Hai tuần trước, cơ sở dữ liệu của 600 nghìn khách hàng của dịch vụ Avito và Yula đã được phát hiện trên các diễn đàn, trong đó có địa chỉ và số điện thoại thực. Cơ sở dữ liệu vẫn được cung cấp miễn phí và bất kỳ ai cũng có thể tải xuống. Chỉ cần tưởng tượng có bao nhiêu người đã tải xuống cơ sở dữ liệu với mục đích gửi thư rác hoặc thậm chí tệ hơn là thu hút dữ liệu thẻ thanh toán của người dùng. Ban quản trị diễn đàn không xóa cơ sở dữ liệu, vì Họ không thấy bất kỳ vấn đề nào trong tình huống này, ít vi phạm hơn nhiều và nói rằng đây không phải là hành vi trộm cắp dữ liệu cá nhân mà là thu thập dữ liệu mở.
Tin tức về rò rỉ dữ liệu sẽ không còn làm ai ngạc nhiên nữa.
Tháng 2020 và tháng XNUMX năm XNUMX tràn ngập tin tức về việc TikTok bị chặn vì thu thập dữ liệu trái phép. Và nhiệm vụ của tôi không phải là gây ngạc nhiên mà là hiểu rõ vấn đề và giữ lời hứa mà tôi đã hứa với một trong những độc giả của Habr. Nhân tiện, tên tôi là Vyacheslav Ustimenko, tôi đã viết bài này cùng với Bella Farzalieva, một luật sư CNTT của công ty luật quốc tế Icon Partners.
Tại sao nó lại quan trọng
Vấn đề bảo vệ và xử lý dữ liệu cá nhân đang được quan tâm hàng năm. Bảo vệ dữ liệu cá nhân liên quan đến quyền tự do lựa chọn của một người, văn hóa xã hội và dân chủ. Người độc lập khó quản lý, khó lừa dối và không thể bắt chước. Ý tưởng này được truyền tải bằng các quy định bảo vệ dữ liệu nổi tiếng ở EU (GDPR) và Hoa Kỳ (CCPA). Trong cá nhân đã tiến hành một cuộc khảo sát, ngay cả luật sư (90% số người đăng ký của tôi) vẫn còn kém hiểu biết về vấn đề bảo vệ dữ liệu.
Câu hỏi diễn ra như thế này: “Điều nào sau đây là dữ liệu cá nhân.”
Tôi đính kèm ảnh chụp màn hình kết quả khảo sát.
Khoảng 20% số người bỏ phiếu đã chọn câu trả lời đúng.
Tái bút Việc tôi đến từ Ukraine và bài viết về luật pháp của Liên bang Nga sẽ không làm bạn bối rối, quý độc giả thân mến, vì chuyên môn của một luật sư CNTT không thể chỉ giới hạn ở một quốc gia.
Dữ liệu cá nhân ở Liên bang Nga là gì
Định nghĩa về dữ liệu cá nhân theo Luật Liên bang không khác lắm so với định nghĩa của Châu Âu hoặc Ukraina, về điều đó .
Dữ liệu cá nhân - bất kỳ thông tin nào liên quan trực tiếp hoặc gián tiếp đến một thể nhân được xác định hoặc có thể nhận dạng, chúng ta đang nói về bất kỳ dữ liệu nào mà một người có thể được nhận dạng.
Ở Nga, việc sử dụng và bảo vệ dữ liệu cá nhân được quy định bởi nhiều văn bản, đặc biệt là 152-FZ “Về dữ liệu cá nhân”, 149-FZ “Về thông tin, công nghệ thông tin và bảo vệ thông tin”, Bộ luật vi phạm hành chính, Bộ luật hình sự. Bộ luật Liên bang Nga, Bộ luật Lao động Liên bang Nga và Bộ luật Dân sự Liên bang Nga.
Mở dữ liệu cá nhân. Đây là loại động vật gì?
#Hãy nhìn tình huống qua con mắt của người dùng
Có lẽ độc giả vẫn chưa nghĩ đến việc làm thế nào để dữ liệu cá nhân có thể được mở, bởi vì cá nhân thì giống như cá nhân, và mở thì giống như công khai.
Đồng thời, cảm giác tự tin không rời bỏ tôi mà sau một cuộc trò chuyện khác với nhân viên bán hàng qua điện thoại, mỗi người trong chúng tôi đều nghĩ “anh ấy lấy số của tôi từ đâu” hoặc “cuộc gọi kỳ lạ này từ một người lạ biết nhiều hơn về tôi là gì?” hơn mức cần thiết.”
Vì vậy, những người dùng rao bán thứ gì đó thông qua Avito, đừng ngạc nhiên khi cuối cùng họ lọt vào cơ sở dữ liệu của hacker, nhận được email spam hoặc cuộc gọi khó hiểu từ những kẻ lừa đảo hoặc “người bán hàng lạnh lùng”.
Bạn chỉ có thể tự trách mình trong tình huống như vậy, vì sự thiếu hiểu biết về pháp luật không miễn trừ trách nhiệm cho bạn.
Mọi thứ mà chính người dùng đã đăng về bản thân mình để công chúng xem xét, nói cách khác, trên Internet, đều được cung cấp công khai, tức là dữ liệu mở và có thể được lưu trữ, phân phối và sử dụng mà không cần sự đồng ý của người dùng.
Xác nhận từ pháp luật
Phần 1 Điều 152.2. Bộ luật Dân sự Liên bang Nga.
Trừ khi pháp luật có quy định rõ ràng khác, việc thu thập, lưu trữ, phân phối và sử dụng bất kỳ thông tin nào về đời sống riêng tư của người đó, đặc biệt là thông tin về nguồn gốc, nơi ở hoặc nơi cư trú, cuộc sống cá nhân và gia đình, đều không được phép nếu không có sự đồng ý của công dân. .
Việc thu thập, lưu trữ, phân phối và sử dụng thông tin về đời sống riêng tư của một công dân vì lợi ích nhà nước, công cộng hoặc lợi ích công cộng khác, cũng như trong trường hợp thông tin về đời sống riêng tư của một công dân trước đây đã được công khai hoặc do chính người đó tiết lộ, không vi phạm các quy tắc được thiết lập bởi đoạn đầu tiên của đoạn này. công dân hoặc theo ý muốn của mình.
Một xác nhận khác
Khoản 4 Điều 7 Luật Liên bang Liên bang Nga số 149-FZ “Về thông tin, công nghệ thông tin và bảo vệ thông tin.”
Thông tin được chủ sở hữu đăng trên Internet ở định dạng cho phép xử lý tự động mà không cần sự thay đổi trước của con người nhằm mục đích tái sử dụng là thông tin có sẵn công khai được đăng dưới dạng dữ liệu mở.
#Phần kết luận
Chính quyền Avito tuyên bố một cách đúng đắn rằng cơ sở dữ liệu trên các diễn đàn hacker bao gồm toàn bộ thông tin công khai có sẵn trên trang web của họ và có thể được thu thập bằng cách phân tích cú pháp (thu thập thông tin tự động bằng các chương trình đặc biệt), nghĩa là không có bất kỳ rò rỉ dữ liệu nào. Liệu dữ liệu có được sử dụng cho mục đích hợp pháp hay không là một câu hỏi khác chắc chắn không nên hỏi Avito.
Nếu bạn không muốn bất kỳ ai biên soạn, đánh giá hoặc sử dụng hồ sơ người tiêu dùng của mình, hãy để lại ít thông tin về bản thân hơn trên các nguồn công khai.
Dưới đây là một bình luận hài hước (nhưng không chính xác) từ diễn đàn.
#Hãy nhìn sự việc dưới con mắt của doanh nghiệp
Hãy lấy Avito tương tự làm ví dụ và xem xét các câu hỏi:
- là trang web vận hành dữ liệu cá nhân,
- anh ta có cần phải có được sự đồng ý cho việc xử lý dữ liệu và tuyên bố với Roskomnadzor để được đưa vào sổ đăng ký của các nhà khai thác không,
- Liệu Avito có thực sự không bị trừng phạt?
Trong tình huống rò rỉ dữ liệu, Avito thực sự không liên quan gì đến nó. Bạn có thể tưởng tượng rằng Avito là một hàng rào mà trên đó người dùng viết “BÁN GARAGE” và cho biết tên, số điện thoại hoặc các dữ liệu liên lạc khác của mình, sau đó bắt đầu phẫn nộ tại sao tất cả những người đi ngang qua hàng rào đều biết, sao chép hoặc sử dụng dữ liệu đó .
Xác nhận từ pháp luật
Điều 10 Luật số 152-FZ.
Công ty hoặc cá nhân một người đã nhận được sự đồng ý bằng văn bản của khách hàng để xử lý dữ liệu sẽ trở thành người điều hành dữ liệu cá nhân có sẵn công khai, nhưng luật pháp áp đặt các yêu cầu tối thiểu để bảo vệ dữ liệu cá nhân có sẵn công khai, hay đơn giản hơn là dữ liệu mở, so với các danh mục khác.
Một xác nhận khác
Khoản 4, phần 2, điều 22 “Về dữ liệu cá nhân”.
Nhà điều hành có quyền xử lý dữ liệu cá nhân được chủ thể dữ liệu cá nhân cung cấp công khai mà không cần thông báo cho cơ quan có thẩm quyền để bảo vệ quyền của chủ thể dữ liệu cá nhân.
#Phần kết luận
Avito là nhà điều hành dữ liệu cá nhân. Đối với thông báo Roskomnadzor, luật có những trường hợp ngoại lệ, nhưng chúng không áp dụng cho Avito, vì trang web này không chỉ thu thập và xử lý dữ liệu có sẵn công khai. Nhưng nếu trang web chỉ hoạt động với dữ liệu mở thì sẽ không cần phải thông báo và đăng ký với Roskomnadzor. Avito vô tội nên sẽ không bị trừng phạt.
Dữ liệu có thể bị rò rỉ hoặc thu được một cách hợp pháp không chỉ từ các nền tảng giao dịch mà còn từ bất kỳ trang web nào hoặc từ nhà khai thác di động, từ mạng xã hội, ngân hàng, cơ quan đăng ký, nó có thể được trích xuất từ chuỗi giao dịch di động trên thẻ ngân hàng hoặc sử dụng các chức năng ẩn của ứng dụng điện thoại thông minh, có hàng triệu lựa chọn.
Nhân tiện, mọi người đều biết rằng Habr không phải là một diễn đàn, nhưng có khả năng bình luận, và mục đích của bài viết không phải là gây ngạc nhiên mà là để hiểu vấn đề.
câu hỏi
Trong thực tế của năm 2020, bạn cần cẩn thận với việc đăng dữ liệu cá nhân lên Internet và hành động như trong nhận xét hài hước ở trên hoặc đưa ra luật mới hoặc có thể một kỷ nguyên mới vừa đến và bạn nên chấp nhận tính khả dụng chung của dữ liệu mở?
Nguồn: www.habr.com