Há duas semanas, foram descobertos nos fóruns bancos de dados de 600 mil clientes dos serviços Avito e Yula, entre os quais endereços e telefones reais. Os bancos de dados ainda estão disponíveis gratuitamente e qualquer pessoa pode baixá-los. Imagine quantas pessoas já baixaram o banco de dados com a intenção de enviar spam ou, pior ainda, para atrair dados de cartões de pagamento de usuários. A administração do fórum não exclui bancos de dados, pois Eles não veem nenhum problema nessa situação, muito menos uma violação, e dizem que não se trata de roubo de dados pessoais, mas sim de coleta de dados abertos.
Notícias sobre vazamentos de dados não surpreenderão mais ninguém.
Julho e agosto de 2020 foram repletos de notícias sobre o bloqueio do TikTok por coleta não autorizada de dados. E minha tarefa não é surpreender, mas entender a questão e cumprir a promessa que fiz a um dos leitores de Habr. A propósito, meu nome é Vyacheslav Ustimenko, escrevi o artigo junto com Bella Farzalieva, advogada de TI do escritório de advocacia internacional Icon Partners.
Por que isso é importante
A questão da proteção e do tratamento de dados pessoais só ganha força a cada ano. A proteção de dados pessoais diz respeito à liberdade de escolha de uma pessoa, à cultura da sociedade e à democracia. Uma pessoa independente é difícil de administrar, difícil de enganar e impossível de copiar. Esta ideia é transmitida pelos conhecidos regulamentos de proteção de dados na UE (GDPR) e nos EUA (CCPA). Pessoalmente conduzi uma pesquisa, mesmo os advogados (90% dos meus assinantes) ainda são pouco versados em questões de proteção de dados.
A questão era: “Quais dos seguintes são dados pessoais.”
Estou anexando uma captura de tela dos resultados da pesquisa.
Cerca de 20% dos eleitores escolheram a resposta correta.
PS O fato de eu ser da Ucrânia e o artigo sobre as leis da Federação Russa não devem confundi-los, queridos leitores, uma vez que a experiência de um advogado de TI não pode ser limitada a um país.
O que são dados pessoais na Federação Russa
A definição de dados pessoais de acordo com a Lei Federal não difere muito da europeia ou ucraniana, sobre a qual .
Dados pessoais – qualquer informação relativa direta ou indiretamente a uma pessoa singular identificada ou identificável, estamos a falar de quaisquer dados pelos quais uma pessoa possa ser identificada.
Na Rússia, o uso e proteção de dados pessoais são regulamentados por muitos documentos, em particular, 152-FZ “Sobre Dados Pessoais”, 149-FZ “Sobre Informação, Tecnologias de Informação e Proteção de Informação”, o Código de Ofensas Administrativas, o Código Penal Código da Federação Russa, o Código do Trabalho da Federação Russa e o Código Civil da Federação Russa.
Abra dados pessoais. Que tipo de animal é esse?
#Vamos ver a situação através dos olhos do usuário
Talvez os leitores ainda não tenham pensado em como os dados pessoais podem ser abertos, porque pessoal soa como pessoal e aberto soa como público.
Ao mesmo tempo, não me deixa o sentimento de confiança de que depois de mais uma conversa com um vendedor de telefone, cada um de nós pensa “de onde ele conseguiu meu número” ou “que ligação estranha é essa de um estranho que sabe mais sobre mim do que o necessário.”
Assim, os usuários que colocam algo à venda através do Avito não se surpreendem se acabarem em bancos de dados de hackers, receberem e-mails de spam ou uma ligação incompreensível de golpistas ou “vendedores não solicitados”.
Você só pode se culpar em tal situação, porque o desconhecimento das leis não o exime de responsabilidade.
Tudo o que o próprio usuário postou sobre si para consideração pública, ou seja, na Internet, torna-se disponível publicamente, ou seja, dados abertos e pode ser armazenado, distribuído e utilizado sem o consentimento do usuário.
Confirmação da legislação
Parte 1 do Artigo 152.2. Código Civil da Federação Russa.
Salvo disposição expressa em contrário da lei, não é permitida a recolha, armazenamento, distribuição e utilização de qualquer informação sobre a sua vida privada, nomeadamente informação sobre a sua origem, local de estada ou residência, vida pessoal e familiar, sem o consentimento do cidadão. .
A recolha, armazenamento, distribuição e utilização de informação sobre a vida privada de um cidadão no interesse estatal, público ou outro interesse público, bem como nos casos em que a informação sobre a vida privada de um cidadão tenha sido anteriormente disponibilizada ao público ou tenha sido divulgada por ele próprio, não constitui violação das regras estabelecidas no primeiro parágrafo deste parágrafo do cidadão ou à sua vontade.
Outra confirmação
Cláusula 4 do Artigo 7 da Lei Federal da Federação Russa nº 149-FZ “Sobre informação, tecnologias de informação e proteção da informação”.
As informações postadas por seus proprietários na Internet em um formato que permite o processamento automatizado sem alterações humanas prévias para fins de reutilização são informações publicamente disponíveis postadas na forma de dados abertos.
#Conclusão
A administração Avito afirma com razão que o banco de dados dos fóruns de hackers consiste inteiramente em informações públicas que estão disponíveis em seu site e podem ser coletadas por análise (coleta automática de informações por meio de programas especiais), ou seja, não se fala em vazamento de dados. Se os dados são utilizados para fins legais é outra questão que definitivamente não deveria ser feita à Avito.
Se você não quer que ninguém compile, avalie ou utilize seu perfil de consumidor, deixe menos informações sobre você em recursos públicos.
Abaixo está um comentário engraçado (mas não preciso) do fórum.
#Vamos ver a situação através dos olhos dos negócios
Tomemos o mesmo Avito como exemplo e consideremos as questões:
- o site é operador de dados pessoais,
- ele precisa obter consentimento para o processamento de dados e declarar-se ao Roskomnadzor para ser incluído no registro de operadores,
- Avito realmente ficará impune?
Numa situação de vazamento de dados, Avito realmente não tem nada a ver com isso. Você pode imaginar que Avito é uma cerca em que o usuário escreveu “VENDE GARAGEM” e indicou seu nome, telefone ou outros dados de comunicação, e então começou a ficar indignado com o motivo pelo qual todos que passavam pela cerca sabiam, copiaram ou usaram os dados .
Confirmação da legislação
Artigo 10 da Lei nº 152-FZ.
Empresa ou indivíduo uma pessoa que recebeu o consentimento por escrito do cliente para processar dados torna-se um operador de dados pessoais publicamente disponíveis, mas a legislação impõe requisitos mínimos para a proteção de dados pessoais publicamente disponíveis, ou, mais simplesmente, dados abertos, em comparação com outras categorias.
Outra confirmação
Cláusula 4, parte 2, artigo 22 “Sobre dados pessoais”.
O operador tem o direito de processar os dados pessoais disponibilizados publicamente pelo titular dos dados pessoais sem notificar o órgão autorizado para a proteção dos direitos dos titulares dos dados pessoais.
#Conclusão
Avito é o operador de dados pessoais. Quanto à notificação do Roskomnadzor, existem exceções na lei, mas não se aplicam ao Avito, uma vez que este site coleta e processa não apenas dados publicamente disponíveis. Mas se o site funcionar apenas com dados abertos, não haveria necessidade de notificação e registro no Roskomnadzor. Avito é inocente e, portanto, não haverá punição.
Os dados podem ser vazados ou obtidos legalmente não apenas de plataformas de negociação, mas também de qualquer site ou de operadoras móveis, de redes sociais, bancos, cartórios, podem ser extraídos da sequência de transações móveis em um cartão bancário ou usando funções ocultas de aplicativos para smartphones, há um milhão de opções.
Aliás, todos sabem que o Habr não é um fórum, mas existe a possibilidade de comentar, e o objetivo do artigo não é surpreender, mas sim entender o assunto.
pergunta
Na realidade de 2020, você precisa ter cuidado ao postar dados pessoais na Internet e agir como no comentário engraçado acima, ou introduzir uma nova legislação, ou talvez uma nova era tenha acabado de chegar e valha a pena aceitar a disponibilidade geral de dados abertos?
Fonte: habr.com