Dwa tygodnie temu na forach odkryto bazy danych 600 tysięcy klientów usług Avito i Yula, wśród których znajdowały się prawdziwe adresy i numery telefonów. Bazy danych są nadal ogólnodostępne i każdy może je pobrać. Wyobraź sobie, ile osób pobrało już bazę danych z zamiarem rozsyłania spamu lub, co gorsza, wyciągnięcia danych kart płatniczych użytkowników. Administracja forum nie usuwa baz danych, gdyż Nie widzą w tej sytuacji żadnego problemu, a tym bardziej naruszenia, twierdząc, że nie jest to kradzież danych osobowych, ale gromadzenie otwartych danych.
Wiadomości o wyciekach danych już nikogo nie zaskoczą.
Lipiec i sierpień 2020 r. obfitowały w informacje o blokowaniu TikToka ze względu na nieuprawnione gromadzenie danych. A moim zadaniem nie jest zaskoczenie, ale zrozumienie problemu i dotrzymanie obietnicy danej jednemu z czytelników Habra. Nawiasem mówiąc, nazywam się Wiaczesław Ustimenko, artykuł napisałem wspólnie z Bellą Farzalievą, prawniczką IT z międzynarodowej kancelarii prawnej Icon Partners.
Dlaczego to jest ważne
Temat ochrony i przetwarzania danych osobowych z roku na rok nabiera tempa. Ochrona danych osobowych dotyczy wolności wyboru osoby, kultury społeczeństwa i demokracji. Osobą niezależną trudno kierować, trudno oszukać i nie da się jej skopiować. Ideę tę przekazują dobrze znane przepisy dotyczące ochrony danych w UE (RODO) i USA (CCPA). Osobiście przeprowadziłem ankietę, nawet prawnicy (90% moich subskrybentów) nadal są słabo zorientowani w kwestiach ochrony danych.
Pytanie brzmiało tak: „Które z poniższych danych stanowią dane osobowe?”
Załączam zrzut ekranu z wynikami ankiety.
Około 20% głosujących wybrało prawidłową odpowiedź.
PS Fakt, że jestem z Ukrainy i artykuł o prawie Federacji Rosyjskiej nie powinien Was dezorientować, drodzy czytelnicy, ponieważ wiedza prawnika IT nie może ograniczać się do jednego kraju.
Czym są dane osobowe w Federacji Rosyjskiej
Definicja danych osobowych zgodnie z prawem federalnym nie różni się zbytnio od definicji europejskiej czy ukraińskiej, o której mowa .
Dane osobowe – wszelkie informacje, które bezpośrednio lub pośrednio dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, mówimy o wszelkich danych, na podstawie których można zidentyfikować osobę fizyczną.
W Rosji wykorzystanie i ochrona danych osobowych reguluje wiele dokumentów, w szczególności 152-FZ „O danych osobowych”, 149-FZ „O informacjach, technologiach informacyjnych i ochronie informacji”, Kodeks wykroczeń administracyjnych, Kodeks karny Kodeks Federacji Rosyjskiej, Kodeks pracy Federacji Rosyjskiej i Kodeks cywilny Federacji Rosyjskiej.
Otwórz dane osobowe. Co to za zwierzę?
#Spójrzmy na sytuację oczami użytkownika
Być może czytelnicy nie zastanawiali się jeszcze nad tym, w jaki sposób dane osobowe mogą być otwarte, ponieważ osobiste brzmi jak osobiste, a otwarte brzmi jak publiczne.
Jednocześnie nie opuszcza mnie poczucie pewności, że po kolejnej rozmowie ze sprzedawcą telefonicznym każdy z nas myśli „skąd on ma mój numer” lub „co to za dziwny telefon od nieznajomego, który wie o mnie więcej niż to konieczne.”
Tak więc użytkownicy, którzy wystawią coś na sprzedaż za pośrednictwem Avito, nie zdziwcie się, że trafili do baz danych hakerów, otrzymali wiadomości spamowe lub niezrozumiałe telefony od oszustów lub „zimnych sprzedawców”.
Można w takiej sytuacji winić tylko siebie, bo nieznajomość prawa nie zwalnia z odpowiedzialności.
Wszystko, co użytkownik sam opublikował na swój temat do wiadomości publicznej, czyli w Internecie, staje się publicznie dostępne, czyli otwarte dane i może być przechowywane, rozpowszechniane i wykorzystywane bez zgody użytkownika.
Potwierdzenie z ustawodawstwa
Część 1 art. 152.2 ust. XNUMX. Kodeks cywilny Federacji Rosyjskiej.
O ile prawo wyraźnie nie stanowi inaczej, zbieranie, przechowywanie, rozpowszechnianie i wykorzystywanie jakichkolwiek informacji o jego życiu prywatnym, w szczególności informacji o jego pochodzeniu, miejscu pobytu lub zamieszkania, życiu osobistym i rodzinnym, jest niedozwolone bez zgody obywatela .
Gromadzenie, przechowywanie, rozpowszechnianie i wykorzystywanie informacji o życiu prywatnym obywatela w interesie państwowym, publicznym lub innym interesie publicznym, a także w przypadkach, gdy informacje o życiu prywatnym obywatela stały się wcześniej publicznie dostępne lub zostały przez niego ujawnione, nie stanowi naruszenia zasad określonych w pierwszym akapicie niniejszego paragrafu obywatela lub według jego woli.
Kolejne potwierdzenie
Klauzula 4 art. 7 ustawy federalnej Federacji Rosyjskiej nr 149-FZ „O informacji, technologiach informacyjnych i ochronie informacji”.
Informacje zamieszczane przez swoich właścicieli w Internecie w formacie umożliwiającym zautomatyzowane przetwarzanie bez wcześniejszych zmian człowieka w celu ponownego wykorzystania są informacjami publicznie dostępnymi zamieszczanymi w formie otwartych danych.
#Wniosek
Administracja Avito słusznie twierdzi, że baza danych na forach hakerskich składa się w całości z informacji publicznych, które są dostępne na ich stronie i można je zebrać poprzez parsowanie (automatyczne zbieranie informacji za pomocą specjalnych programów), czyli nie ma mowy o jakimkolwiek wycieku danych. To, czy dane są wykorzystywane do celów prawnych, to kolejne pytanie, którego zdecydowanie nie należy zadawać Avito.
Jeśli nie chcesz, aby ktokolwiek kompilował, oceniał lub wykorzystywał Twój profil konsumenta, zostawiaj mniej informacji o sobie w zasobach publicznych.
Poniżej znajduje się zabawny (ale nie dokładny) komentarz z forum.
#Spójrzmy na sytuację oczami biznesu
Weźmy na przykład tego samego Avito i rozważmy pytania:
- czy serwis jest operatorem danych osobowych,
- czy musi uzyskać zgodę na przetwarzanie danych i zgłosić się do Roskomnadzoru w celu wpisania go do rejestru operatorów,
- Czy Avito naprawdę pozostanie bezkarny?
W sytuacji wycieku danych Avito naprawdę nie ma z tym nic wspólnego. Można sobie wyobrazić, że Avito to ogrodzenie, na którym użytkownik napisał „SPRZEDAM GARAŻ” i podał swoje imię i nazwisko, numer telefonu lub inne dane komunikacyjne, a potem zaczął się oburzyć, dlaczego każdy, kto przechodził obok płotu, znał, kopiował lub wykorzystywał dane .
Potwierdzenie z ustawodawstwa
Artykuł 10 ustawy nr 152-FZ.
Firma lub osoba fizyczna operatorem publicznie dostępnych danych osobowych staje się osoba, która otrzymała pisemną zgodę klienta na przetwarzanie danych, ale przepisy nakładają minimalne wymagania w zakresie ochrony publicznie dostępnych danych osobowych, czyli prościej danych otwartych, w porównaniu do innych kategorii.
Kolejne potwierdzenie
Klauzula 4 ust. 2 art. 22 „O danych osobowych”.
Operator ma prawo przetwarzać dane osobowe udostępnione publicznie przez podmiot danych osobowych bez powiadamiania o tym uprawnionego organu do spraw ochrony praw osób, których dane dotyczą.
#Wniosek
Operatorem danych osobowych jest Avito. Jeśli chodzi o powiadomienie Roskomnadzor, istnieją wyjątki w prawie, ale nie dotyczą one Avito, ponieważ ta strona gromadzi i przetwarza nie tylko dane publicznie dostępne. Ale jeśli witryna działa tylko z otwartymi danymi, nie byłoby potrzeby powiadamiania i rejestrowania się w Roskomnadzor. Avito jest niewinny i dlatego nie będzie kary.
Dane mogą wyciekać lub być legalnie uzyskane nie tylko z platform transakcyjnych, ale także z dowolnej strony internetowej lub od operatorów komórkowych, z sieci społecznościowych, banków, rejestrów, mogą zostać wydobyte z sekwencji transakcji mobilnych na karcie bankowej lub przy użyciu ukrytych funkcji aplikacji na smartfony, istnieje milion opcji.
Swoją drogą każdy wie, że Habr to nie forum, ale istnieje możliwość komentowania, a celem artykułu nie jest zaskoczenie, ale zrozumienie problemu.
pytanie
W realiach roku 2020 trzeba uważać z publikowaniem danych osobowych w Internecie i postępować jak w śmiesznym komentarzu powyżej, albo wprowadzić nowe ustawodawstwo, a może właśnie nastała nowa era i warto się pogodzić z powszechną dostępnością otwartych danych?
Źródło: www.habr.com