For to uker siden ble databaser med 600 tusen kunder av Avito- og Yula-tjenestene oppdaget på forumene, blant annet ekte adresser og telefonnumre. Databasene er fortsatt fritt tilgjengelig og alle kan laste dem ned. Tenk deg hvor mange som allerede har lastet ned databasen med den hensikt å sende spam eller, enda verre, for å lokke ut brukerbetalingskortdata. Forumadministrasjonen sletter ikke databaser, siden De ser ikke noe problem i denne situasjonen, langt mindre et brudd, og sier at dette ikke er tyveri av personopplysninger, men innsamling av åpne data.
Nyheter om datalekkasjer vil ikke overraske noen lenger.
Juli og august 2020 var fylt med nyheter om at TikTok ble blokkert for uautorisert datainnsamling. Og min oppgave er ikke å overraske, men å forstå problemet, og å holde løftet jeg ga til en av Habrs lesere. Jeg heter forresten Vyacheslav Ustimenko, jeg skrev artikkelen sammen med Bella Farzalieva, en IT-advokat fra det internasjonale advokatfirmaet Icon Partners.
Hvorfor er det viktig
Spørsmålet om beskyttelse og behandling av personopplysninger tar bare fart hvert år. Beskyttelse av personopplysninger handler om en persons valgfrihet, samfunnskultur og demokrati. En selvstendig person er vanskelig å administrere, vanskelig å lure og umulig å kopiere. Denne ideen formidles av de velkjente databeskyttelsesforskriftene i EU (GDPR) og USA (CCPA). Personlig gjennomførte en undersøkelse, selv advokater (90 % av abonnentene mine) er fortsatt dårlig kjent med databeskyttelsesspørsmål.
Spørsmålet lød slik: "Hvilket av følgende er personopplysninger."
Jeg legger ved et skjermbilde av undersøkelsesresultatene.
Omtrent 20 % av velgerne valgte riktig svar.
PS Det faktum at jeg er fra Ukraina, og artikkelen om lovene i den russiske føderasjonen bør ikke forvirre dere, kjære lesere, siden ekspertisen til en IT-advokat ikke kan begrenses til ett land.
Hva er personopplysninger i den russiske føderasjonen
Definisjonen av personopplysninger i samsvar med føderal lov er ikke veldig forskjellig fra den europeiske eller ukrainske, om hvilke .
Personopplysninger - all informasjon som er direkte eller indirekte knyttet til en identifisert eller identifiserbar fysisk person, vi snakker om alle data som en person kan identifiseres med.
I Russland er bruk og beskyttelse av personopplysninger regulert av mange dokumenter, spesielt 152-FZ "Om personopplysninger", 149-FZ "Om informasjon, informasjonsteknologi og informasjonsbeskyttelse", koden for administrative lovbrudd, den kriminelle Den russiske føderasjonens kode, Den russiske føderasjonens arbeidskode og den russiske føderasjonens sivilkode.
Åpne personlige data. Hva slags dyr er dette?
#La oss se på situasjonen gjennom brukerens øyne
Kanskje leserne ennå ikke har tenkt på hvordan personlige data kan være åpne, fordi personlig høres ut som personlig, og åpen høres ut som offentlig.
Samtidig forlater ikke følelsen av selvtillit meg at etter en ny samtale med en telefonselger, tenker hver og en av oss «hvor fikk han nummeret mitt fra» eller «hva er denne merkelige samtalen fra en fremmed som vet mer om meg enn nødvendig."
Så, brukere som legger ut noe for salg gjennom Avito, ikke bli overrasket over at de havnet i hackerdatabaser, mottok spam-e-post eller en uforståelig samtale fra svindlere eller "kalde selgere".
Du kan bare klandre deg selv i en slik situasjon, fordi uvitenhet om lovene fritar deg ikke fra ansvar.
Alt som brukeren selv har lagt ut om seg selv for offentlig behandling, med andre ord på Internett, blir offentlig tilgjengelig, det vil si åpne data og kan lagres, distribueres og brukes uten brukerens samtykke.
Bekreftelse fra lovverket
Del 1 av artikkel 152.2. Civil Code of the Russian Federation.
Med mindre annet er uttrykkelig fastsatt ved lov, er innsamling, lagring, distribusjon og bruk av all informasjon om hans privatliv, spesielt informasjon om hans opprinnelse, oppholdssted eller bosted, personlig og familieliv, ikke tillatt uten samtykke fra en borger. .
Innsamling, lagring, distribusjon og bruk av informasjon om en borgers privatliv i statlige, offentlige eller andre offentlige interesser, samt i tilfeller der opplysninger om en borgers privatliv tidligere ble offentlig tilgjengelig eller ble offentliggjort av ham selv, er ikke et brudd på reglene fastsatt av første ledd i dette leddet borger eller etter hans vilje.
Nok en bekreftelse
Klausul 4 i artikkel 7 i den russiske føderasjonens føderale lov nr. 149-FZ "Om informasjon, informasjonsteknologi og informasjonsbeskyttelse."
Informasjon lagt ut av eierne på Internett i et format som tillater automatisert behandling uten forutgående menneskelige endringer for gjenbruksformål er offentlig tilgjengelig informasjon lagt ut i form av åpne data.
#Konklusjon
Avito-administrasjonen hevder med rette at databasen på hackerfora består utelukkende av offentlig informasjon som er tilgjengelig på deres nettside og kan samles inn ved parsing (automatisk innsamling av informasjon ved hjelp av spesielle programmer), det vil si at det ikke er snakk om noen datalekkasje. Hvorvidt dataene brukes til juridiske formål er et annet spørsmål som definitivt ikke bør stilles til Avito.
Hvis du ikke vil at noen skal kompilere, evaluere eller bruke forbrukerprofilen din, legg igjen mindre informasjon om deg selv på offentlige ressurser.
Nedenfor er en morsom (men ikke nøyaktig) kommentar fra forumet.
#La oss se på situasjonen gjennom virksomhetens øyne
La oss ta den samme Avito som eksempel og vurdere spørsmålene:
- er nettstedet en operatør av personopplysninger,
- trenger han å innhente samtykke til databehandling og erklære seg overfor Roskomnadzor for å bli inkludert i operatørregisteret,
- Vil Avito virkelig forbli ustraffet?
I en situasjon med en datalekkasje har Avito egentlig ingenting med det å gjøre. Du kan forestille deg at Avito er et gjerde som brukeren skrev «SELGEGARASJE» på og oppga navn, telefonnummer eller andre kommunikasjonsdata, og deretter begynte å bli indignert over hvorfor alle som gikk forbi gjerdet visste, kopierte eller brukte dataene. .
Bekreftelse fra lovverket
Artikkel 10 i lov nr. 152-FZ.
Bedrift eller enkeltperson en person som har fått klientens skriftlige samtykke til å behandle data blir en operatør av offentlig tilgjengelige personopplysninger, men lovgivningen stiller minimumskrav til beskyttelse av offentlig tilgjengelige personopplysninger, eller rett og slett åpne data sammenlignet med andre kategorier.
Nok en bekreftelse
Klausul 4, del 2, artikkel 22 "Om personopplysninger".
Operatøren har rett til å behandle personopplysninger som er gjort offentlig tilgjengelige av gjenstanden for personopplysninger uten å varsle det autoriserte organet for beskyttelse av rettighetene til personopplysninger.
#Konklusjon
Avito er operatør for personopplysninger. Når det gjelder Roskomnadzor-varslingen, er det unntak i loven, men de gjelder ikke for Avito, siden dette nettstedet samler inn og behandler ikke bare offentlig tilgjengelige data. Men hvis nettstedet bare fungerer med åpne data, vil det ikke være nødvendig å varsle og registrere seg hos Roskomnadzor. Avito er uskyldig, og derfor blir det ingen straff.
Data kan lekkes eller lovlig innhentes ikke bare fra handelsplattformer, men også fra et hvilket som helst nettsted eller fra mobiloperatører, fra sosiale nettverk, banker, registre, det kan trekkes ut fra sekvensen av mobiltransaksjoner på et bankkort eller ved å bruke skjulte funksjoner av smarttelefonapplikasjoner, er det en million alternativer.
Forresten, alle vet at Habr ikke er et forum, men det er mulighet for å kommentere, og hensikten med artikkelen er ikke å overraske, men å forstå problemstillingen.
spørsmålet
I realitetene i 2020 må du være forsiktig med å legge ut personopplysninger på internett og opptre som i den morsomme kommentaren ovenfor, eller introdusere ny lovgivning, eller kanskje en ny æra har nettopp kommet og det er verdt å forsone seg med den generelle tilgjengeligheten av åpne data?
Kilde: www.habr.com