โปรโฮสต์ > บล็อก > การบริหาร > ข้อมูลสาธารณะและส่วนบุคคล การวิเคราะห์กรณี “ข้อมูลรั่วไหล” จาก Avito

ข้อมูลสาธารณะและส่วนบุคคล การวิเคราะห์กรณี “ข้อมูลรั่วไหล” จาก Avito

ข้อมูลสาธารณะและส่วนบุคคล การวิเคราะห์กรณี “ข้อมูลรั่วไหล” จาก Avito

สองสัปดาห์ที่ผ่านมา ฐานข้อมูลของลูกค้า 600 รายของบริการ Avito และ Yula ถูกค้นพบในฟอรัม รวมถึงที่อยู่จริงและหมายเลขโทรศัพท์ ฐานข้อมูลยังคงมีให้ใช้งานได้ฟรีและใครๆ ก็สามารถดาวน์โหลดได้ ลองจินตนาการดูว่ามีกี่คนที่ดาวน์โหลดฐานข้อมูลไปแล้วโดยมีจุดประสงค์เพื่อส่งสแปม หรือที่แย่กว่านั้นคือเพื่อล่อลวงข้อมูลบัตรชำระเงินของผู้ใช้ การดูแลระบบฟอรัมจะไม่ลบฐานข้อมูลเนื่องจาก พวกเขาไม่เห็นปัญหาใด ๆ ในสถานการณ์นี้ ถือเป็นการละเมิดน้อยกว่ามากและบอกว่านี่ไม่ใช่การขโมยข้อมูลส่วนบุคคล แต่เป็นการรวบรวมข้อมูลที่เปิดอยู่

ข่าวเกี่ยวกับการรั่วไหลของข้อมูลจะไม่ทำให้ใครแปลกใจอีกต่อไป

กรกฎาคมและสิงหาคม 2020 เต็มไปด้วยข่าวเกี่ยวกับ TikTok ถูกบล็อกเนื่องจากการรวบรวมข้อมูลโดยไม่ได้รับอนุญาต และงานของฉันคือไม่ต้องแปลกใจ แต่ต้องเข้าใจปัญหาและรักษาสัญญาที่ฉันให้ไว้กับผู้อ่านคนหนึ่งของ Habr ชื่อของฉันคือ Vyacheslav Ustimenko ฉันเขียนบทความร่วมกับ Bella Farzalieva ทนายความด้านไอทีจาก Icon Partners บริษัทกฎหมายระหว่างประเทศ

ทำไมมันถึงสำคัญ

ปัญหาการปกป้องและการประมวลผลข้อมูลส่วนบุคคลกำลังได้รับแรงผลักดันทุกปี การคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องเกี่ยวกับเสรีภาพในการเลือกบุคคล วัฒนธรรมของสังคม และประชาธิปไตย บุคคลที่เป็นอิสระนั้นจัดการได้ยาก ยากต่อการหลอกลวง และลอกเลียนแบบไม่ได้ แนวคิดนี้ถ่ายทอดโดยกฎระเบียบด้านการปกป้องข้อมูลที่รู้จักกันดีในสหภาพยุโรป (GDPR) และสหรัฐอเมริกา (CCPA) ในส่วนตัว บัญชีอินสตาแกรม ทำการสำรวจ แม้แต่นักกฎหมาย (90% ของสมาชิกของฉัน) ก็ยังไม่ค่อยเชี่ยวชาญเรื่องการปกป้องข้อมูล

คำถามฟังเช่นนี้: “ข้อใดต่อไปนี้เป็นข้อมูลส่วนบุคคล”
ฉันกำลังแนบภาพหน้าจอของผลการสำรวจ

ผู้มีสิทธิเลือกตั้งประมาณ 20% เลือกคำตอบที่ถูกต้อง

ข้อมูลสาธารณะและส่วนบุคคล การวิเคราะห์กรณี “ข้อมูลรั่วไหล” จาก Avito

ป.ล. ความจริงที่ว่าฉันมาจากยูเครนและบทความเกี่ยวกับกฎหมายของสหพันธรัฐรัสเซียไม่ควรทำให้คุณสับสนผู้อ่านที่รักเนื่องจากความเชี่ยวชาญของทนายความด้านไอทีไม่สามารถจำกัดอยู่เพียงประเทศเดียวได้

ข้อมูลส่วนบุคคลในสหพันธรัฐรัสเซียคืออะไร

คำจำกัดความของข้อมูลส่วนบุคคลตามกฎหมายของรัฐบาลกลางไม่แตกต่างไปจากคำนิยามของยุโรปหรือยูเครนมากนัก เขียนไว้ในบทความที่แล้ว.

ข้อมูลส่วนบุคคล - ข้อมูลใด ๆ ที่เกี่ยวข้องโดยตรงหรือโดยอ้อมกับบุคคลธรรมดาที่ระบุหรือระบุตัวตนได้ เรากำลังพูดถึงข้อมูลใด ๆ ที่สามารถระบุตัวบุคคลได้

ในรัสเซีย การใช้และการปกป้องข้อมูลส่วนบุคคลได้รับการควบคุมโดยเอกสารจำนวนมาก โดยเฉพาะอย่างยิ่ง 152-FZ “เกี่ยวกับข้อมูลส่วนบุคคล”, 149-FZ “เกี่ยวกับข้อมูล เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูล”, ประมวลกฎหมายความผิดทางปกครอง, ความผิดทางอาญา ประมวลกฎหมายของสหพันธรัฐรัสเซีย ประมวลกฎหมายแรงงานของสหพันธรัฐรัสเซีย และประมวลกฎหมายแพ่งของสหพันธรัฐรัสเซีย

เปิดข้อมูลส่วนบุคคล นี่คือสัตว์ชนิดใด?

#มาดูสถานการณ์ผ่านสายตาผู้ใช้กันดีกว่า

บางทีผู้อ่านอาจยังไม่ได้คิดว่าข้อมูลส่วนบุคคลสามารถถูกเปิดได้อย่างไร เพราะเสียงส่วนบุคคลก็เหมือนกับเสียงส่วนตัว และเสียงที่เปิดกว้างก็เหมือนกับเสียงสาธารณะ

ในขณะเดียวกันความรู้สึกมั่นใจก็ไม่ทิ้งฉันว่าหลังจากการสนทนากับพนักงานขายทางโทรศัพท์อีกครั้งเราแต่ละคนคิดว่า "เขาไปเอาหมายเลขของฉันมาจากไหน" หรือ "การโทรแปลก ๆ จากคนแปลกหน้าที่รู้จักฉันมากขึ้นนี้คืออะไร เกินความจำเป็น”

ดังนั้น ผู้ใช้ที่ขายของผ่าน Avito ไม่ต้องแปลกใจเลยที่พวกเขาไปอยู่ในฐานข้อมูลของแฮ็กเกอร์ ได้รับอีเมลขยะ หรือสายเรียกเข้าที่เข้าใจยากจากนักต้มตุ๋นหรือ "คนขายเย็น"

คุณสามารถตำหนิตัวเองในสถานการณ์เช่นนี้ได้เท่านั้น เนื่องจากการเพิกเฉยต่อกฎหมายไม่ได้ทำให้คุณไม่ต้องรับผิดชอบ

ทุกสิ่งที่ผู้ใช้โพสต์เกี่ยวกับตัวเองเพื่อการพิจารณาของสาธารณะ กล่าวคือ บนอินเทอร์เน็ต จะกลายเป็นข้อมูลสาธารณะ กล่าวคือ เปิดข้อมูลและสามารถจัดเก็บ แจกจ่าย และใช้โดยไม่ได้รับความยินยอมจากผู้ใช้

การยืนยันจากกฎหมาย
ส่วนที่ 1 ของข้อ 152.2 ประมวลกฎหมายแพ่งของสหพันธรัฐรัสเซีย

เว้นแต่กฎหมายจะกำหนดไว้อย่างชัดแจ้งเป็นอย่างอื่น การรวบรวม การจัดเก็บ การแจกจ่าย และการใช้ข้อมูลใด ๆ เกี่ยวกับชีวิตส่วนตัวของเขา โดยเฉพาะอย่างยิ่งข้อมูลเกี่ยวกับแหล่งกำเนิด สถานที่พำนักหรือที่อยู่อาศัย ชีวิตส่วนตัวและครอบครัวของเขา จะไม่ได้รับอนุญาตโดยไม่ได้รับความยินยอมจากพลเมือง .

การรวบรวม การจัดเก็บ การแจกจ่าย และการใช้ข้อมูลเกี่ยวกับชีวิตส่วนตัวของพลเมืองในผลประโยชน์ของรัฐ สาธารณะ หรือสาธารณะอื่น ๆ รวมถึงในกรณีที่ข้อมูลเกี่ยวกับชีวิตส่วนตัวของพลเมืองก่อนหน้านี้เปิดเผยต่อสาธารณะหรือถูกเปิดเผยโดยตัวเขาเอง ไม่เป็นการละเมิดกฎเกณฑ์ที่กำหนดโดยวรรคแรกของวรรคนี้ พลเมือง หรือตามความประสงค์ของเขา

อีกหนึ่งคำยืนยัน
ข้อ 4 ของมาตรา 7 ของกฎหมายสหพันธรัฐรัสเซียหมายเลข 149-FZ “เกี่ยวกับข้อมูล เทคโนโลยีสารสนเทศ และการปกป้องข้อมูล”

ข้อมูลที่โพสต์โดยเจ้าของบนอินเทอร์เน็ตในรูปแบบที่ช่วยให้สามารถประมวลผลอัตโนมัติโดยไม่ต้องมีการเปลี่ยนแปลงโดยมนุษย์ก่อนเพื่อวัตถุประสงค์ในการนำมาใช้ซ้ำคือข้อมูลที่เปิดเผยต่อสาธารณะที่โพสต์ในรูปแบบของข้อมูลเปิด

#บทสรุป

ฝ่ายบริหารของ Avito อ้างอย่างถูกต้องว่าฐานข้อมูลในฟอรัมของแฮ็กเกอร์ประกอบด้วยข้อมูลสาธารณะทั้งหมดที่มีอยู่ในเว็บไซต์ของตนและสามารถรวบรวมได้โดยการแยกวิเคราะห์ (การรวบรวมข้อมูลอัตโนมัติโดยใช้โปรแกรมพิเศษ) นั่นคือไม่มีการพูดถึงการรั่วไหลของข้อมูลใด ๆ ข้อมูลถูกใช้เพื่อวัตถุประสงค์ทางกฎหมายหรือไม่เป็นอีกคำถามหนึ่งที่ไม่ควรถาม Avito อย่างแน่นอน

หากคุณไม่ต้องการให้ใครรวบรวม ประเมิน หรือใช้โปรไฟล์ผู้บริโภคของคุณ จงเปิดเผยข้อมูลเกี่ยวกับตัวคุณให้น้อยลงในแหล่งข้อมูลสาธารณะ

ด้านล่างนี้เป็นความคิดเห็นตลก (แต่ไม่ถูกต้อง) จากฟอรัม

ข้อมูลสาธารณะและส่วนบุคคล การวิเคราะห์กรณี “ข้อมูลรั่วไหล” จาก Avito

#มาดูสถานการณ์ผ่านสายตาธุรกิจกัน
ลองใช้ Avito เดียวกันเป็นตัวอย่างและพิจารณาคำถาม:

  • เป็นเว็บไซต์ที่เป็นผู้ดำเนินการข้อมูลส่วนบุคคล
  • เขาจำเป็นต้องได้รับความยินยอมในการประมวลผลข้อมูลและประกาศตัวเองต่อ Roskomnadzor เพื่อรวมอยู่ในการลงทะเบียนของผู้ปฏิบัติงานหรือไม่
  • Avito จะไม่ได้รับการลงโทษจริง ๆ หรือไม่?

ในสถานการณ์ที่มีข้อมูลรั่วไหล Avito ไม่มีส่วนเกี่ยวข้องกับมันเลย คุณสามารถจินตนาการได้ว่า Avito เป็นรั้วที่ผู้ใช้เขียนว่า "SELLING GARAGE" และระบุชื่อหมายเลขโทรศัพท์หรือข้อมูลการสื่อสารอื่น ๆ จากนั้นเริ่มไม่พอใจว่าทำไมทุกคนที่ผ่านรั้วจึงรู้คัดลอกหรือใช้ข้อมูล .

การยืนยันจากกฎหมาย
มาตรา 10 ของกฎหมายหมายเลข 152-FZ

บริษัทหรือบุคคล บุคคลที่ได้รับความยินยอมเป็นลายลักษณ์อักษรจากลูกค้าในการประมวลผลข้อมูลจะกลายเป็นผู้ดำเนินการข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ แต่กฎหมายกำหนดข้อกำหนดขั้นต่ำสำหรับการปกป้องข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะ หรือพูดง่ายๆ ก็คือข้อมูลเปิด เมื่อเปรียบเทียบกับหมวดหมู่อื่น ๆ

อีกหนึ่งคำยืนยัน
ข้อ 4 ส่วนที่ 2 ข้อ 22 “เกี่ยวกับข้อมูลส่วนบุคคล”

ผู้ดำเนินการมีสิทธิ์ในการประมวลผลข้อมูลส่วนบุคคลที่เปิดเผยต่อสาธารณะโดยเรื่องของข้อมูลส่วนบุคคลโดยไม่ต้องแจ้งให้หน่วยงานที่ได้รับอนุญาตทราบเพื่อปกป้องสิทธิ์ของเจ้าของข้อมูลส่วนบุคคล

#บทสรุป

Avito เป็นผู้ดำเนินการข้อมูลส่วนบุคคล สำหรับการแจ้งเตือน Roskomnadzor มีข้อยกเว้นในกฎหมาย แต่ไม่มีผลกับ Avito เนื่องจากไซต์นี้รวบรวมและประมวลผลไม่เพียง แต่ข้อมูลที่เปิดเผยต่อสาธารณะเท่านั้น แต่หากไซต์ใช้งานได้กับข้อมูลแบบเปิดเท่านั้น ก็ไม่จำเป็นต้องแจ้งและลงทะเบียนกับ Roskomnadzor Avito เป็นผู้บริสุทธิ์ ดังนั้นจะไม่มีการลงโทษ

ข้อมูลสามารถรั่วไหลหรือได้รับอย่างถูกกฎหมายไม่เพียงแต่จากแพลตฟอร์มการซื้อขายเท่านั้น แต่ยังมาจากเว็บไซต์ใดๆ หรือจากผู้ให้บริการมือถือ จากโซเชียลเน็ตเวิร์ก ธนาคาร สำนักทะเบียน สามารถดึงมาจากลำดับธุรกรรมทางมือถือบนบัตรธนาคาร หรือใช้ฟังก์ชันที่ซ่อนอยู่ของ แอพพลิเคชั่นบนสมาร์ทโฟนมีให้เลือกนับล้าน

อย่างไรก็ตามทุกคนรู้ดีว่า Habr ไม่ใช่ฟอรัม แต่มีความเป็นไปได้ที่จะแสดงความคิดเห็นและจุดประสงค์ของบทความนี้ไม่ได้ทำให้ประหลาดใจ แต่เพื่อทำความเข้าใจปัญหา

คำถาม

ในความเป็นจริงของปี 2020 คุณต้องระมัดระวังในการโพสต์ข้อมูลส่วนบุคคลบนอินเทอร์เน็ตและปฏิบัติตามความคิดเห็นตลกด้านบนหรือแนะนำกฎหมายใหม่หรืออาจเป็นยุคใหม่ที่เพิ่งมาถึงและคุ้มค่าที่จะตกลงกับความพร้อมใช้งานทั่วไป ของข้อมูลที่เปิดอยู่?

ที่มา: will.com

เพิ่มความคิดเห็น