För två veckor sedan upptäcktes databaser med 600 tusen kunder av Avito- och Yula-tjänsterna på forumen, bland annat riktiga adresser och telefonnummer. Databaserna är fortfarande fritt tillgängliga och vem som helst kan ladda ner dem. Föreställ dig bara hur många som redan har laddat ner databasen med avsikten att skicka skräppost eller, ännu värre, för att locka ut användarens betalkortsdata. Forumadministrationen tar inte bort databaser, sedan De ser inga problem i den här situationen, än mindre en kränkning, och säger att detta inte är stöld av personuppgifter, utan insamling av öppna data.
Nyheter om dataläckor kommer inte att förvåna någon längre.
Juli och augusti 2020 var fyllda med nyheter om att TikTok blockerades för otillåten datainsamling. Och min uppgift är inte att överraska, utan att förstå frågan och att hålla det löfte jag gav till en av Habrs läsare. Jag heter förresten Vyacheslav Ustimenko, jag skrev artikeln tillsammans med Bella Farzalieva, en IT-jurist från den internationella advokatbyrån Icon Partners.
Varför är det viktigt
Frågan om skydd och behandling av personuppgifter tar bara fart för varje år. Skydd av personuppgifter handlar om en persons valfrihet, samhällets kultur och demokrati. En självständig person är svår att hantera, svår att lura och omöjlig att kopiera. Denna idé förmedlas av de välkända dataskyddsbestämmelserna i EU (GDPR) och USA (CCPA). Personligt genomfört en undersökning, även advokater (90 % av mina prenumeranter) är fortfarande dåligt insatta i dataskyddsfrågor.
Frågan gick så här: "Vilket av följande är personuppgifter."
Jag bifogar en skärmdump av undersökningsresultaten.
Cirka 20 % av väljarna valde rätt svar.
PS Det faktum att jag kommer från Ukraina och artikeln om Rysslands lagar bör inte förvirra er, kära läsare, eftersom expertis hos en IT-advokat inte kan begränsas till ett land.
Vad är personuppgifter i Ryska federationen
Definitionen av personuppgifter i enlighet med federal lag skiljer sig inte mycket från den europeiska eller ukrainska, om vilken .
Personuppgifter - all information som direkt eller indirekt hänför sig till en identifierad eller identifierbar fysisk person, vi talar om alla uppgifter som en person kan identifieras med.
I Ryssland regleras användningen och skyddet av personuppgifter av många dokument, i synnerhet 152-FZ "Om personuppgifter", 149-FZ "Om information, informationsteknik och informationsskydd", lagen om administrativa brott, brottsligheten Ryska federationens kod, den ryska federationens arbetslag och den ryska federationens civillag.
Öppna personuppgifter. Vad är detta för djur?
#Låt oss titta på situationen genom användarens ögon
Kanske har läsarna ännu inte tänkt på hur personlig data kan vara öppen, eftersom personlig låter som personlig, och öppen låter som offentlig.
Samtidigt lämnar inte känslan av självförtroende mig att efter ytterligare ett samtal med en telefonförsäljare tänker var och en av oss "var fick han mitt nummer ifrån" eller "vad är det här konstiga samtalet från en främling som vet mer om mig än nödvändigt."
Så användare som lägger ut något till försäljning via Avito, bli inte förvånade över att de hamnat i hackerdatabaser, fått spam-e-post eller ett obegripligt samtal från bedragare eller "kalla säljare".
Du kan bara skylla dig själv i en sådan situation, eftersom okunnighet om lagarna inte fritar dig från ansvar.
Allt som användaren själv har lagt ut om sig själv för offentlig bedömning, det vill säga på Internet, blir allmänt tillgängligt, det vill säga öppna data och kan lagras, distribueras och användas utan användarens medgivande.
Bekräftelse från lagstiftning
Del 1 av artikel 152.2. Ryska federationens civillag.
Såvida inte annat uttryckligen föreskrivs i lag är insamling, lagring, distribution och användning av all information om hans privatliv, i synnerhet information om hans ursprung, vistelseort eller hemvist, personliga liv och familjeliv, inte tillåten utan medborgares samtycke. .
Insamling, lagring, spridning och användning av information om en medborgares privatliv i statliga, allmänna eller andra allmänna intressen, samt i fall då information om en medborgares privatliv tidigare blivit allmänt tillgänglig eller lämnats ut av honom själv, är inte ett brott mot de regler som fastställs i första stycket i detta stycke medborgare eller på hans vilja.
Ännu en bekräftelse
Klausul 4 i artikel 7 i Ryska federationens federala lag nr 149-FZ "Om information, informationsteknik och informationsskydd."
Information som lagts ut av dess ägare på Internet i ett format som tillåter automatiserad behandling utan föregående mänskliga förändringar i syfte att återanvända är allmänt tillgänglig information som publiceras i form av öppna data.
#Slutsats
Avito-administrationen hävdar med rätta att databasen på hackerforum helt består av offentlig information som finns tillgänglig på deras hemsida och kan samlas in genom parsning (automatisk insamling av information med hjälp av speciella program), det vill säga att det inte är tal om något dataläckage. Huruvida uppgifterna används för lagliga ändamål är en annan fråga som definitivt inte bör ställas till Avito.
Om du inte vill att någon ska sammanställa, utvärdera eller använda din konsumentprofil, lämna mindre information om dig själv på offentliga resurser.
Nedan finns en rolig (men inte korrekt) kommentar från forumet.
#Låt oss se på situationen genom affärslivets ögon
Låt oss ta samma Avito som ett exempel och överväga frågorna:
- är webbplatsen en operatör av personuppgifter,
- behöver han inhämta samtycke för databehandling och förklara sig för Roskomnadzor att ingå i operatörsregistret,
- Kommer Avito verkligen att förbli ostraffad?
I en situation med en dataläcka har Avito egentligen ingenting med det att göra. Du kan föreställa dig att Avito är ett staket på vilket användaren skrev "SÄLJA GARAGE" och angav sitt namn, telefonnummer eller andra kommunikationsdata, och sedan började bli indignerade över varför alla som gick förbi staketet kände till, kopierade eller använde uppgifterna .
Bekräftelse från lagstiftning
Artikel 10 i lag nr 152-FZ.
Företag eller individ en person som har fått klientens skriftliga samtycke till att behandla uppgifter blir operatör av allmänt tillgängliga personuppgifter, men lagstiftningen ställer minimikrav på skydd av allmänt tillgängliga personuppgifter, eller, enklare, öppna uppgifter jämfört med andra kategorier.
Ännu en bekräftelse
Klausul 4, del 2, artikel 22 "Om personuppgifter".
Operatören har rätt att behandla personuppgifter som gjorts allmänt tillgängliga av den person som är föremål för personuppgifter utan att meddela det auktoriserade organet för skydd av personuppgiftspersoners rättigheter.
#Slutsats
Avito är operatör för personuppgifter. När det gäller Roskomnadzor-anmälan finns det undantag i lagen, men de gäller inte Avito, eftersom denna sida samlar in och behandlar inte bara offentligt tillgänglig data. Men om sajten bara fungerar med öppna data, skulle det inte finnas något behov av att anmäla och registrera sig hos Roskomnadzor. Avito är oskyldig, och därför blir det inget straff.
Data kan läcka eller lagligen erhållas inte bara från handelsplattformar utan också från vilken webbplats som helst eller från mobiloperatörer, från sociala nätverk, banker, register, den kan extraheras från sekvensen av mobila transaktioner på ett bankkort eller med hjälp av dolda funktioner i smartphone-applikationer, det finns en miljon alternativ.
Förresten, alla vet att Habr inte är ett forum, men det finns möjlighet att kommentera, och syftet med artikeln är inte att överraska, utan att förstå frågan.
Fråga
I verkligheten av 2020 måste du vara försiktig med att lägga ut personuppgifter på internet och agera som i den roliga kommentaren ovan, eller införa ny lagstiftning, eller så kanske en ny era precis har kommit och det är värt att komma överens med den allmänna tillgängligheten av öppna data?
Källa: will.com