Два тижні тому на форумах виявили бази даних 600 тисяч клієнтів сервісів Avito та Юла, серед яких фігурують реальні адреси та номери телефонів. Бази досі розміщені у вільному доступі, їх може завантажити будь-хто. А уявіть скільки людей вже завантажило базу з наміром розіслати спам або, що ще гірше, виманити дані платіжних карт користувачів. Адміністрація форумів не видаляє бази, оскільки не бачать у цій ситуації жодної проблеми, а тим більше порушення, і кажуть, що це не крадіжка персональних даних, а збирання відкритих даних.
Новинами про витік даних вже нікого не здивуєш
Липень та серпень 2020 року забитий новинами про блокування TikTok за несанкціонований збір даних. Та й моє завдання не здивувати, а розібратися в питанні і стримати обіцянку, яку дав одному з читачів Хабра. До речі, звуть мене В'ячеслав Устименко, статтю написав разом із Беллою Фарзалієвою – IT юристом з міжнародної юридичної компанії Icon Partners.
Чому це важливо
Питання захисту та обробки персональних даних з кожним роком лише набирає обертів. Захист персональних даних — це про свободу вибору людини, культуру суспільства та демократію. Незалежною людиною важко керувати, її складно обдурити та неможливо скопіювати. Цю ідею і несуть відомі регламенти захисту даних у ЄС (GDPR) та США (CCPA). В особистому проводив опитування, навіть юристи (90% моїх передплатників) поки що погано розуміються на питаннях захисту даних.
Питання звучало так: «Що з наведеного нижче є персональними даними».
Прикріплюю скрін із результатами опитування.
Правильна відповідь обрали близько 20% тих, хто проголосував.
PS Те, що я з України, а стаття про закони РФ не повинна бентежити вас, шановні читачі, оскільки експертиза IT юриста не може бути обмежена однією країною.
Що таке персональні дані в РФ
Визначення персональних даних відповідно до Федерального закону не сильно відрізняється від європейського чи українського, про яке .
Персональні дані — будь-яка інформація, що відноситься прямо чи опосередковано до певної чи фізичній особі, що визначається, йдеться про будь-які дані, за якими можна ідентифікувати людину.
У Росії використання та захист персональних даних регулюється багатьма документами, зокрема, 152-ФЗ «Про персональні дані», 149-ФЗ «Про інформацію, інформаційні технології та про захист інформації», КоАП, КК РФ, ТК РФ та ЦК РФ.
Відкриті особисті дані. Що то за звір.
#Подивимось на ситуацію очима користувача
Можливо, читачі ще не замислювалися як персональні дані можуть бути відкритими, адже персональне звучить як особисте, а відкрите — як публічне.
При цьому не залишає почуття упевненість у тому, що після чергової розмови з телефонним продавцем кожен з нас думає «звідки у нього мій номер» або «що це за дивний дзвінок від незнайомої людини, яка знає про мене більше, ніж треба».
Отже, користувачі, які виставляли на продаж що-небудь через Авіто, не дивуйтеся, що потрапили в бази даних хакерів, отримали спам на пошту або незрозумілий дзвінок від шахраїв або «холодних продавців».
Звинувачувати у такій ситуації можете лише себе, адже незнання законів не звільняє від відповідальності.
Все, що користувач сам виклав про себе на публічний розгляд, простіше кажучи, в Інтернеті стає загальнодоступним, тобто відкритими даними і може зберігатися, поширюватися, використовуватися без згоди користувача.
Підтвердження із законодавства
Частина 1 статті 152.2. Цивільного кодексу Російської Федерації.
Якщо інше прямо не передбачено законом, не допускаються без згоди громадянина збір, зберігання, розповсюдження та використання будь-якої інформації про його приватне життя, зокрема відомостей про його походження, місце його перебування або проживання, про особисте та сімейне життя.
Не є порушенням правил, встановлених абзацом першим цього пункту, збирання, зберігання, розповсюдження та використання інформації про приватне життя громадянина у державних, громадських чи інших публічних інтересах, а також у випадках, коли інформація про приватне життя громадянина раніше стала загальнодоступною або була розкрита самим громадянином чи з його волі.
Ще одне підтвердження
Пункт 4 статті 7 ФЗ РФ № 149-ФЗ «Про інформацію, інформаційні технології та захист інформації».
Інформація, розміщена її власниками у мережі «Інтернет» у форматі, що допускає автоматизовану обробку без попередніх змін людиною з метою повторного її використання, є загальнодоступною інформацією, яка розміщується у формі відкритих даних.
#Висновок
Адміністрація Авіто правомірно стверджує, що база даних на хакерських форумах повністю складається з публічної інформації, яка доступна у них на сайті і може бути зібрана парсингом (автоматичний збір інформації за допомогою спеціальних програм), тобто ні про який витік даних не йдеться. Чи в законних цілях використовуються дані — це вже інше питання, яке поставити варто не на адресу Авіто.
Якщо не хочете, щоб хтось складав, оцінював чи використовував ваш споживчий портрет — залишайте про себе менше інформації на публічних ресурсах.
Нижче смішний (але це не точно) коментар з форуму.
#Подивимось на ситуацію очима бізнесу
Візьмемо за приклад той самий Авіто, і розглянемо питання:
- чи є сайт оператором персональних даних,
- чи потрібно йому обов'язково брати згоду на обробку даних і заявляти про себе в Роскомнагляд для включення до реєстру операторів,
- чи справді Авіто виявиться безкарним.
У ситуації з витоком даних, Авіто дійсно ні до чого. Можна уявити, що Авіто — це паркан, на якому користувач написав «ПРОДАМ ГАРАЖ» і вказав ім'я, телефон чи інші дані для зв'язку, а потім почав обурюватися, чому дані знають, копіюють або використовують всі, хто проходив повз паркан.
Підтвердження із законодавства
Стаття 10 Закону №152-ФЗ.
Компанія чи фіз. особа, яка отримала письмову згоду клієнта на обробку даних, стає оператором загальнодоступних персональних даних, але до захисту загальнодоступних персональних даних або, простіше кажучи, відкритих даних, законодавство пред'являє мінімальні порівняно з іншими категоріями вимоги.
Ще одне підтвердження
Пункт 4 частина 2 статті 22 "Про персональні дані".
Оператор має право здійснювати без повідомлення уповноваженого органу захисту прав суб'єктів персональних даних обробку персональних даних, зроблених суб'єктом персональних даних загальнодоступними.
#Висновок
Авіто - оператор персональних даних. Щодо повідомлення Роскомнагляду — у законі є винятки, але для Авіто вони не діє, оскільки цей майданчик збирає та обробляє не лише загальнодоступні дані. Але якщо сайт працює тільки з відкритими даними — повідомляти та ставитися на облік у Роскомнагляд не було б потреби. Авіто невинний, а отже й не буде жодного покарання.
Дані можуть витекти або бути законно отримані не тільки з торгових майданчиків, але і з будь-якого сайту або від мобільних операторів, соціальних мереж, банків, реєстрів, їх можна вилучити з послідовності мобільних операцій по банківській карті або за допомогою прихованих функцій додатків для смартфона, варіантів мільйон.
До речі, всім відомо, що Хабр — це не форум, але тут є можливість коментування, а мета статті не здивувати, а розібратися в питанні.
питання
У реаліях 2020 року потрібно бути обережним з розміщенням персональних даних в інтернеті і чинити як у смішному коментарі вище, чи вводити нові законодавчі акти, а може, просто прийшла нова епоха і варто змиритися із загальнодоступністю відкритих даних?
Джерело: habr.com