主持人 > 博客 > 管理 > 公共和个人数据。 Avito“数据泄露”案分析

公共和个人数据。 Avito“数据泄露”案分析

公共和个人数据。 Avito“数据泄露”案分析

两周前,Avito 和 Yula 服务的 600 万客户数据库在论坛上被发现,其中包含真实地址和电话号码。 这些数据库仍然免费提供,任何人都可以下载。 想象一下有多少人已经下载了数据库,意图发送垃圾邮件,或者更糟糕的是,引诱用户支付卡数据。 论坛管理部门不会删除数据库,因为 他们认为这种情况没有任何问题,更没有违规,并表示这不是窃取个人数据,而是收集开放数据。

有关数据泄露的消息不会再让任何人感到惊讶。

2020 年 XNUMX 月和 XNUMX 月充斥着有关 TikTok 因未经授权的数据收集而被屏蔽的新闻。 我的任务不是让人惊讶,而是理解这个问题,并兑现我对哈布尔的一位读者做出的承诺。 顺便说一下,我的名字是 Vyacheslav Ustimenko,我与国际律师事务所 Icon Partners 的 IT 律师 Bella Farzalieva 一起撰写了这篇文章。

它为什么如此重要

个人数据的保护和处理问题每年都在愈演愈烈。 个人数据的保护关系到个人的选择自由、社会文化和民主。 一个独立的人很难管理,很难欺骗,也无法复制。 欧盟 (GDPR) 和美国 (CCPA) 著名的数据保护法规传达了这一理念。 私下里 Instagram 帐户 进行了一项调查,即使是律师(我的订阅者中的 90%)仍然对数据保护问题知之甚少。

问题是: “以下哪项属于个人数据。”
我附上调查结果的屏幕截图。

大约20%的选民选择了正确答案。

公共和个人数据。 Avito“数据泄露”案分析

PS:亲爱的读者,我来自乌克兰,这篇关于俄罗斯联邦法律的文章不应让您感到困惑,因为 IT 律师的专业知识不能仅限于一个国家。

什么是俄罗斯联邦的个人数据

联邦法律对个人数据的定义与欧洲或乌克兰的定义没有太大不同, 在上一篇文章中写过.

个人数据 - 与已识别或可识别的自然人直接或间接相关的任何信息,我们指的是可以识别一个人的任何数据。

在俄罗斯,个人数据的使用和保护受到许多文件的监管,特别是 152-FZ“关于个人数据”、149-FZ“关于信息、信息技术和信息保护”、《行政违法法》、《刑事诉讼法》俄罗斯联邦法典、俄罗斯联邦劳动法典和俄罗斯联邦民法典。

打开个人数据。 这是什么动物?

#让我们从用户的角度来看一下情况

或许读者还没有思考过个人数据如何才能公开,因为个人听起来像个人,开放听起来像公共。

与此同时,自信的感觉并没有让我消失,在与电话销售人员再次交谈后,我们每个人都会想“他从哪里得到我的电话号码”或“这个对我更了解的陌生人打来的奇怪电话是什么?”比必要的。”

因此,通过 Avito 出售商品的用户,如果最终进入黑客数据库、收到垃圾邮件或来自诈骗者或“冷卖家”的难以理解的电话,请不要感到惊讶。

在这种情况下你只能怪自己,因为对法律的无知并不能免除你的责任。

用户自己为公众考虑而发布的所有内容,换句话说,在互联网上,都将成为公开的,即开放数据,并且可以在未经用户同意的情况下存储、分发和使用。

立法确认
第 1 条第 152.2 部分。 俄罗斯联邦民法典。

除法律另有明文规定外,未经本人同意,不得收集、储存、分发和使用有关其私人生活的任何信息,特别是有关其出身、居住地或居住地、个人和家庭生活的信息。公民的同意。

出于国家、公共或其他公共利益的目的收集、存储、分发和使用有关公民私生活的信息,以及有关公民私生活的信息先前已公开或由其本人披露的情况,不违反本款第一款规定的规则。公民或其意愿。

再次确认
俄罗斯联邦第 4-FZ 号联邦法“关于信息、信息技术和信息保护”第 7 条第 149 款。

由其所有者在互联网上发布的信息,其格式允许自动处理,无需事先进行人为更改,以便重复使用,是以开放数据形式发布的公开信息。

#结论

Avito 政府正确地声称,黑客论坛上的数据库完全由其网站上提供的公共信息组成,并且可以通过解析(使用特殊程序自动收集信息)来收集,也就是说,不存在任何数据泄露的说法。 数据是否用于合法目的是另一个绝对不应该问 Avito 的问题。

如果您不希望任何人编译、评估或使用您的消费者档案,请在公共资源上留下更少的有关您自己的信息。

以下是来自论坛的有趣(但不准确)评论。

公共和个人数据。 Avito“数据泄露”案分析

#让我们从商业的角度来看这个情况
让我们以同一个 Avito 为例并考虑以下问题:

  • 该网站是个人数据的运营商,
  • 他是否需要获得数据处理的同意并向 Roskomnadzor 声明自己被列入运营商名册,
  • 阿维托真的会逍遥法外吗?

在数据泄露的情况下,Avito 确实与此无关。 你可以想象,Avito 是一个栅栏,用户在栅栏上写下“SELLING GARAGE”并注明自己的姓名、电话号码或其他通讯数据,然后开始愤慨为什么每个经过栅栏的人都知道、复制或使用这些数据。

立法确认
第 10-FZ 号法律第 152 条。

公司或个人获得客户书面同意处理数据的人成为公开个人数据的运营者,但与其他类别相比,立法对保护公开个人数据(或更简单地说,开放数据)施加了最低要求。

再次确认
第 4 条第 2 部分第 22 款“关于个人数据”。

运营者有权在不通知授权机构的情况下处理个人数据主体公开提供的个人数据,以保护个人数据主体的权利。

#结论

Avito 是个人数据的运营商。 至于 Roskomnadzor 通知,法律有例外情况,但它们不适用于 Avito,因为该网站不仅收集和处理公开数据。 但如果该网站仅使用开放数据,则无需通知 Roskomnadzor 并进行注册。 阿维托是无辜的,因此不会受到惩罚。

数据不仅可以从交易平台泄露或合法获取,还可以从任何网站或移动运营商、社交网络、银行、登记处泄露或合法获取,可以从银行卡上的移动交易序列中提取或使用银行卡的隐藏功能提取数据。智能手机应用程序有上百万种选择。

顺便说一句,大家都知道 Habr 不是论坛,但有发表评论的可能性,而且文章的目的不是为了惊讶,而是为了了解问题。

问题

在 2020 年的现实中,您需要小心在互联网上发布个人数据并按照上面有趣的评论行事,或者引入新的立法,或者也许一个新时代刚刚到来,值得接受普遍可用性开放数据?

来源: habr.com

添加评论