Pred dvema tednoma so na forumih odkrili baze podatkov 600 tisoč strank storitev Avito in Yula, med katerimi so bili pravi naslovi in telefonske številke. Baze podatkov so še vedno prosto dostopne in si jih lahko vsakdo naloži. Samo predstavljajte si, koliko ljudi je že naložilo bazo podatkov z namenom pošiljanja neželene pošte ali, še huje, izvabljanja podatkov o plačilnih karticah uporabnikov. Uprava foruma ne briše baz podatkov, saj V tej situaciji ne vidijo nobenega problema, še manj pa kršitve in pravijo, da ne gre za krajo osebnih podatkov, temveč za zbiranje odprtih podatkov.
Novice o uhajanju podatkov ne bodo nikogar več presenetile.
Julij in avgust 2020 sta bila polna novic o blokiranju TikToka zaradi nepooblaščenega zbiranja podatkov. In moja naloga ni presenetiti, ampak razumeti vprašanje in držati obljubo, ki sem jo dal enemu od bralcev Habra. Mimogrede, moje ime je Vyacheslav Ustimenko, članek sem napisal skupaj z Bello Farzalievo, pravnico za IT iz mednarodne odvetniške družbe Icon Partners.
Zakaj je pomembno
Problematika varstva in obdelave osebnih podatkov vsako leto dobiva le še večji zagon. Pri varstvu osebnih podatkov gre za svobodo izbire osebe, kulturo družbe in demokracijo. Neodvisno osebo je težko obvladovati, težko prevarati in nemogoče kopirati. To idejo izražajo znani predpisi o varstvu podatkov v EU (GDPR) in ZDA (CCPA). V osebnem izvedel raziskavo, so tudi pravniki (90% mojih naročnikov) še vedno slabo seznanjeni z vprašanji varstva podatkov.
Vprašanje je zvenelo takole: "Kaj od naslednjega je osebni podatek."
Prilagam posnetek zaslona rezultatov ankete.
Približno 20 % volivcev je izbralo pravilen odgovor.
PS Dejstvo, da sem iz Ukrajine, in članek o zakonodaji Ruske federacije naj vas ne zmedeta, dragi bralci, saj strokovno znanje IT pravnika ne more biti omejeno na eno državo.
Kaj so osebni podatki v Ruski federaciji
Opredelitev osebnih podatkov v skladu z zveznim zakonom se ne razlikuje zelo od evropske ali ukrajinske, o kateri .
Osebni podatek - vsak podatek, ki se neposredno ali posredno nanaša na določeno ali določljivo fizično osebo, govorimo o katerem koli podatku, s katerim je osebo mogoče identificirati.
V Rusiji uporabo in varstvo osebnih podatkov urejajo številni dokumenti, zlasti 152-FZ "O osebnih podatkih", 149-FZ "O informacijah, informacijskih tehnologijah in varstvu informacij", Zakonik o upravnih prekrških, Kazenski Zakonik Ruske federacije, delovni zakonik Ruske federacije in civilni zakonik Ruske federacije.
Odprti osebni podatki. Kakšna žival je to?
#Poglejmo na situacijo skozi oči uporabnika
Morda bralci še niste pomislili, kako so lahko osebni podatki odprti, saj osebno zveni osebno, odprto pa javno.
Hkrati pa me ne zapusti občutek zaupanja, da si po ponovnem pogovoru s telefonskim prodajalcem vsak od nas pomisli »od kje mu moja številka« ali »kaj je to čuden klic neznanca, ki ve več o meni. kot je potrebno."
Torej, uporabniki, ki dajo nekaj v prodajo prek Avita, ne bodite presenečeni, da so končali v bazah podatkov hekerjev, prejeli vsiljeno e-pošto ali nerazumljiv klic prevarantov ali "hladnih prodajalcev".
V takšni situaciji lahko krivite le sebe, saj vas nepoznavanje zakonov ne odvezuje od odgovornosti.
Vse, kar je uporabnik sam objavil o sebi v javno obravnavo, z drugimi besedami, na internetu, postane javno dostopno, to je odprti podatek in se lahko hrani, distribuira in uporablja brez privolitve uporabnika.
Potrditev iz zakonodaje
1. del člena 152.2. Civilni zakonik Ruske federacije.
Če zakon izrecno ne določa drugače, brez privolitve državljana ni dovoljeno zbiranje, shranjevanje, razširjanje in uporaba kakršnih koli podatkov o njegovem zasebnem življenju, zlasti podatkov o njegovem izvoru, kraju bivanja ali prebivališča, osebnem in družinskem življenju. .
Zbiranje, shranjevanje, distribucija in uporaba informacij o zasebnem življenju državljana v državnem, javnem ali drugem javnem interesu, pa tudi v primerih, ko so informacije o zasebnem življenju državljana že prej postale javno dostopne ali jih je razkril sam, ni kršitev pravil iz prvega odstavka tega odstavka.državljana ali po njegovi volji.
Še ena potrditev
4. odstavek 7. člena Zveznega zakona Ruske federacije št. 149-FZ "O informacijah, informacijskih tehnologijah in varstvu informacij."
Podatki, ki jih lastniki objavijo na spletu v obliki, ki omogoča avtomatizirano obdelavo brez predhodnih človeških sprememb z namenom ponovne uporabe, so javno dostopni podatki, objavljeni v obliki odprtih podatkov.
#Zaključek
Administracija Avita upravičeno trdi, da je zbirka podatkov na hekerskih forumih v celoti sestavljena iz javnih informacij, ki so na voljo na njihovi spletni strani in jih je mogoče zbrati z razčlenjevanjem (samodejno zbiranje informacij s posebnimi programi), torej ni govora o kakršnem koli uhajanju podatkov. Ali se podatki uporabljajo v zakonite namene, je drugo vprašanje, ki ga nikakor ne bi smeli postavljati Avitu.
Če ne želite, da kdo zbira, ocenjuje ali uporablja vaš potrošniški profil, pustite manj informacij o sebi v javnih virih.
Spodaj je smešen (vendar ne točen) komentar s foruma.
#Poglejmo na situacijo skozi poslovne oči
Vzemimo za primer isti Avito in razmislimo o vprašanjih:
- je spletno mesto upravljavec osebnih podatkov,
- ali mora pridobiti soglasje za obdelavo podatkov in se prijaviti Roskomnadzorju za vključitev v register operaterjev,
- Bo Avito res ostal nekaznovan?
V primeru uhajanja podatkov Avito res nima nič s tem. Lahko si predstavljate, da je Avito ograja, na katero je uporabnik napisal “PRODAJAM GARAŽO” in navedel svoje ime, telefonsko številko ali druge komunikacijske podatke, nato pa se začel zgražati, zakaj vsi, ki so šli mimo ograje, vedo, prepisujejo ali uporabljajo podatke. .
Potrditev iz zakonodaje
10. člen zakona št. 152-FZ.
Podjetje ali posameznik oseba, ki je prejela naročnikovo pisno privolitev za obdelavo podatkov, postane upravljavec javno dostopnih osebnih podatkov, vendar zakonodaja postavlja minimalne zahteve glede varstva javno dostopnih osebnih podatkov oziroma, povedano, odprtih podatkov v primerjavi z drugimi kategorijami.
Še ena potrditev
4. odstavek 2. člena 22. člena »O osebnih podatkih«.
Upravljavec ima pravico do obdelave osebnih podatkov, ki jih je subjekt osebnih podatkov javno objavil, ne da bi o tem obvestil pooblaščeni organ za varstvo pravic posameznikov osebnih podatkov.
#Zaključek
Avito je upravljavec osebnih podatkov. Kar zadeva obvestilo Roskomnadzorja, obstajajo izjeme v zakonu, vendar ne veljajo za Avito, saj to spletno mesto zbira in obdeluje ne le javno dostopne podatke. Če pa spletno mesto deluje samo z odprtimi podatki, ne bi bilo treba obveščati in se registrirati pri Roskomnadzorju. Avito je nedolžen in zato ne bo kaznovan.
Podatke je mogoče uhajati ali zakonito pridobiti ne le s platform za trgovanje, ampak tudi s katerega koli spletnega mesta ali mobilnih operaterjev, iz družbenih omrežij, bank, registrov, pridobiti jih je mogoče iz zaporedja mobilnih transakcij na bančni kartici ali z uporabo skritih funkcij aplikacij za pametne telefone, obstaja milijon možnosti.
Mimogrede, vsi vedo, da Habr ni forum, vendar obstaja možnost komentiranja, namen članka pa ni presenetiti, ampak razumeti vprašanje.
Vprašanje
V realnosti leta 2020 morate biti previdni pri objavljanju osebnih podatkov na internetu in ravnati kot v zgornjem smešnem komentarju, ali uvesti novo zakonodajo, ali pa je morda pravkar nastopilo novo obdobje in se je vredno sprijazniti s splošno dostopnostjo. odprtih podatkov?
Vir: www.habr.com