兩週前,Avito 和 Yula 服務的 600 萬客戶資料庫在論壇上被發現,其中包含真實地址和電話號碼。 這些資料庫仍然免費提供,任何人都可以下載。 想像一下有多少人已經下載了資料庫,意圖發送垃圾郵件,或者更糟的是,引誘用戶支付卡資料。 論壇管理部門不會刪除資料庫,因為 他們認為這種情況沒有任何問題,更沒有違規,並表示這不是竊取個人數據,而是收集開放資料。
有關資料外洩的消息不會再讓任何人感到驚訝。
2020 年 XNUMX 月和 XNUMX 月充斥著有關 TikTok 因未經授權的數據收集而被封鎖的新聞。 我的任務不是讓人驚訝,而是理解這個問題,並兌現我對哈布爾的一位讀者所做的承諾。 順便說一下,我的名字是 Vyacheslav Ustimenko,我與國際律師事務所 Icon Partners 的 IT 律師 Bella Farzalieva 一起撰寫了這篇文章。
它為什麼如此重要
個人資料的保護和處理問題每年都在愈演愈烈。 個人資料的保護關係到個人的選擇自由、社會文化和民主。 一個獨立的人很難管理,很難欺騙,也無法複製。 歐盟 (GDPR) 和美國 (CCPA) 著名的資料保護法規傳達了這一理念。 私下里 進行了一項調查,即使是律師(我的訂閱者中的 90%)仍然對資料保護問題知之甚少。
這個問題聽起來是這樣的: “以下哪一項屬於個人資料。”
我附上調查結果的螢幕截圖。
大約20%的選民選擇了正確答案。
PS:親愛的讀者,我來自烏克蘭,這篇關於俄羅斯聯邦法律的文章不應該讓您感到困惑,因為 IT 律師的專業知識不能只限於一個國家。
什麼是俄羅斯聯邦的個人數據
聯邦法律對個人資料的定義與歐洲或烏克蘭的定義沒有太大不同, .
個人資料 - 與已識別或可識別的自然人直接或間接相關的任何信息,我們指的是可以識別一個人的任何資料。
在俄羅斯,個人資料的使用和保護受到許多文件的監管,特別是152-FZ「關於個人資料」、149-FZ「關於資訊、資訊科技和資訊保護」、《行政違法法》、《刑事訴訟法》俄羅斯聯邦法典、俄羅斯聯邦勞動法典和俄羅斯聯邦民法典。
開啟個人資料。 這是什麼動物?
#讓我們從使用者的角度來看情況
或許讀者還沒有思考過個人資料如何公開,因為個人聽起來像個人,開放聽起來像公共。
同時,自信的感覺並沒有讓我消失,在與電話銷售人員再次交談後,我們每個人都會想「他從哪裡得到我的電話號碼」或「這個對我更了解的陌生人打來的奇怪電話是什麼?”比必要的。”
因此,透過 Avito 出售商品的用戶,如果最終進入駭客資料庫、收到垃圾郵件或來自詐騙者或「冷賣家」的難以理解的電話,請不要感到驚訝。
在這種情況下你只能怪自己,因為對法律的無知並不能免除你的責任。
用戶自己為公眾考慮而發布的所有內容,換句話說,在互聯網上,都將成為公開的,即開放數據,並且可以在未經用戶同意的情況下存儲、分發和使用。
立法確認
第 1 條第 152.2 部分。 俄羅斯聯邦民法典。
除法律另有明確規定外,未經公民同意,不得收集、儲存、傳播和使用任何有關其私生活的信息,特別是有關其籍貫、停留或居住地、個人和家庭生活的信息。 。
出於國家、公共或其他公共利益的目的收集、存儲、分發和使用有關公民私生活的信息,以及有關公民私生活的信息先前已公開或由其本人披露的情況,不違反本款第一款規定的規則。公民或其意願。
再次確認
俄羅斯聯邦第 4-FZ 號聯邦法「關於資訊、資訊科技與資訊保護」第 7 條第 149 款。
由其所有者在互聯網上發布的信息,其格式允許自動處理,無需事先進行人為更改,以便重複使用,是以開放數據形式發布的公開信息。
#結論
Avito 政府正確地聲稱,駭客論壇上的資料庫完全由其網站上提供的公共資訊組成,並且可以透過解析(使用特殊程式自動收集資訊)來收集,也就是說,不存在任何資料外洩的說法。 數據是否用於合法目的是另一個絕對不應該問 Avito 的問題。
如果您不希望任何人編譯、評估或使用您的消費者檔案,請在公共資源上留下更少的有關您自己的資訊。
以下是來自論壇的有趣(但不準確)評論。
#讓我們從商業的角度來看這個情況
讓我們以同一個 Avito 為例並考慮以下問題:
- 該網站是個人資料的運營商,
- 他是否需要獲得數據處理的同意並向 Roskomnadzor 聲明自己被列入運營商名冊,
- 阿維托真的會逍遙法外嗎?
在資料外洩的情況下,Avito 確實與此無關。 你可以想像,Avito 是一個柵欄,用戶在柵欄上寫下“SELLING GARAGE”並註明自己的姓名、電話號碼或其他通訊數據,然後開始憤慨為什麼每個經過柵欄的人都知道、複製或使用這些數據。
立法確認
第 10-FZ 號法律第 152 條。
公司或個人獲得客戶書面同意處理資料的人成為公開個人資料的經營者,但與其他類別相比,立法對保護公開個人資料(或更簡單地說,開放資料)施加了最低要求。
再次確認
第 4 條第 2 部分第 22 款「關於個人資料」。
運營者有權在不通知授權機構的情況下處理個人資料主體公開提供的個人數據,以保護個人資料主體的權利。
#結論
Avito 是個人資料的營運商。 至於 Roskomnadzor 通知,法律有例外情況,但它們不適用於 Avito,因為該網站不僅收集和處理公開資料。 但如果網站僅使用開放數據,則無需通知 Roskomnadzor 並進行註冊。 阿維托是無辜的,因此不會受到懲罰。
資料不僅可以從交易平台洩露或合法獲取,還可以從任何網站或行動電信業者、社交網路、銀行、登記處洩露或合法獲取,可以從銀行卡上的行動交易序列中提取或使用銀行卡的隱藏功能提取數據。智慧型手機應用程式有百萬種選擇。
順便說一句,大家都知道 Habr 不是論壇,但有發表評論的可能性,而且文章的目的不是為了驚訝,而是為了了解問題。
問題
在 2020 年的現實中,您需要小心在互聯網上發布個人資料並按照上面有趣的評論行事,或者引入新的立法,或者也許一個新時代剛剛到來,值得接受普遍可用性開放資料?
來源: www.habr.com