[Администрирование баз данных, Открытые данные, Хранение данных, Управление проектами, Управление e-commerce] Открытые и персональные данные. Анализ кейса «утечки данных» с Авито
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Две недели назад, на форумах обнаружили базы данных 600 тысяч клиентов сервисов Avito и Юла, среди которых фигурируют реальные адреса и номера телефонов. Базы до сих пор размещены в свободном доступе, их может скачать любой желающий. А представьте сколько человек уже скачало базу с умыслом разослать спам или, что еще хуже, выманить данные платежных карт пользователей. Администрация форумов не удаляет базы, так как не видят в этой ситуации никакой проблемы, а тем более нарушения, и говорят, что это не воровство персональных данных, а сбор открытых данных.
Новостями об утечке данных уже никого не удивишь
Июль и август 2020 года забит новостями о блокировке TikTok за несанкционированный сбор данных. Да и моя задача не удивить, а разобраться в вопросе, и сдержать обещание которое дал одному из читателей Хабра. Кстати, зовут меня Вячеслав Устименко, статью написал вместе с Беллой Фарзалиевой — IT юристом из международной юридической компании Icon Partners.
Почему это важно
Вопрос защиты и обработки персональных данных с каждым годом только набирает обороты. Защита персональных данных — это о свободе выбора человека, культуре общества и демократии. Независимым человеком тяжело управлять, его сложно обмануть и невозможно скопировать. Эту идею и несут известные регламенты защиты данных в ЕС (GDPR) и США (CCPA). В личном инстаграм аккаунте проводил опрос, даже юристы (90% моих подписчиков) пока плохо разбираются в вопросах защиты данных.
Вопрос звучал так: «Что из перечисленного ниже является персональными данными».
Прикрепляю скрин с результатами опроса.
Правильный ответ выбрали около 20% проголосовавших.
P.S. То что я с Украины, а статья о законах РФ не должно смущать вас, уважаемые читатели, так как экспертиза IT юриста не может быть ограничена одной страной.
Что такое персональные данные в РФ
Определение персональных данных в соответствии с Федеральным законом не сильно отличается от европейского или украинского, о котором писали в предыдущей статье.
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, речь идет о любых данных, по которым можно идентифицировать человека.
В России использование и защита персональных данных регулируется многими документами, в частности, 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», КоАП, УК РФ, ТК РФ и ГК РФ.
Открытые персональные данные. Что это за зверь.
#Посмотрим на ситуацию глазами пользователя
Возможно читатели еще не задумывались как персональные данные могут быть открытыми, ведь персональное звучит как личное, а открытое — как публичное.
При этом не покидает чувство уверенность в том, что после очередной беседы с телефонным продавцом каждый из нас думает «откуда у него мой номер» или «что это за странный звонок от незнакомого человека, который знает про меня больше, чем надо».
Итак, пользователи, которые выставляли на продажу что-либо через Авито, не удивляйтесь, что попали в хакерские базах данных, получили спам на почту или непонятный звонок от мошенников или «холодных продавцов».
Винить в такой ситуации можете только себя, ведь незнание законов не освобождает от ответственности.
Все что пользователь сам выложил о себе на публичное рассмотрение, проще говоря, в Интернете — становится общедоступным, то есть открытыми данными и может храниться, распространяться, использоваться без согласия пользователя.
Подтверждение из законодательства
SPL
Часть 1 статьи 152.2. Гражданского кодекса Российской Федерации.
Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.
Не являются нарушением правил, установленных абзацем первым настоящего пункта, сбор, хранение, распространение и использование информации о частной жизни гражданина в государственных, общественных или иных публичных интересах, а также в случаях, если информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле.
Еще одно подтверждение
SPL
Пункт 4 статьи 7 ФЗ РФ № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.
#Вывод
Администрация Авито правомерно утверждает, что база данных на хакерских форумах полностью состоит из публичной информации, которая доступна у них на сайте и может быть собрана парсингом (автоматический сбор информации с помощью специальных программ), то есть ни о какой утечке данных речи не идет. В законных ли целях используются данные — это уже другой вопрос, который задать стоит точно не в адрес Авито.
Если не хотите, чтобы кто-то составлял, оценивал или использовал ваш потребительский портрет — оставляйте о себе меньше информации на публичных ресурсах.
Ниже смешной (но это не точно) комментарий с форума.
#Посмотрим на ситуацию глазами бизнеса
Возьмем за пример все тот же Авито, и рассмотрим вопросы:
— является ли сайт оператором персональных данных,
— нужно ли ему в обязательном порядке брать согласие на обработку данных и заявлять о себе в Роскомнадзор для включения в реестр операторов,
— действительно ли Авито окажется безнаказанным.
В ситуации с утечкой данных, Авито действительно не при чем. Можно представить, что Авито — это забор, на котором пользовател написал «ПРОДАМ ГАРАЖ» и указал имя, телефон или другие данные для связи, а потом начал возмущается, почему данные знают, копируют или используют все кто проходил мимо забора.
Подтверждение из законодательства
SPL
Статья 10 Закона № 152-ФЗ.
Компания или физ. лицо, которые получили письменное согласие клиента на обработку данных — становится оператором общедоступных персональных данных, но к защите общедоступных персональных данных или проще говоря открытым данным, законодательство предъявляет минимальные в сравнении с другими категориями требования.
Еще одно подтверждение
SPL
Пункт 4 часть 2 статьи 22 «О персональных данных».
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных сделанных субъектом персональных данных общедоступными.
#Вывод
Авито — оператор персональных данных. Что касается уведомления Роскомнадзора — в законе есть исключения, но для Авито они не действует, так как эта площадка собирает и обрабатывает не только общедоступные данные. Но если сайт работает только с открытыми данными — уведомлять и ставиться на учет в Роскомнадзор не было бы нужды. Авито невиновен, а следовательно и не будет никакого наказания.
Данные могут утечь или быть законно получены не только с торговых площадок, но и с любого сайта или от мобильных операторов, из социальных сетей, банков, реестров, их можно извлечь из последовательности мобильных операций по банковской карте или с помощью скрытых функций приложений для смартфона, вариантов миллион.
Кстати, всем известно, что Хабр — это не форум, но тут есть возможность комментирования, а цель статьи — не удивить, а разобраться в вопросе.
Вопрос
В реалиях 2020 года нужно быть аккуратным с размещением персональных данных в интернете и поступать как в смешном комментарии выше, или вводить новые законодательные акты, а может просто пришла новая эпоха и стоит смириться с общедоступностью открытых данных?
===========
Источник:
habr.com
===========
Похожие новости:
- [NoSQL, Администрирование баз данных] Riak Cloud Storage. Часть 2. Настройка компонента Riak CS
- [Управление разработкой, Управление проектами, Управление персоналом, Карьера в IT-индустрии] Нам нужно поговорить…
- [Управление проектами, Управление продуктом, Искусственный интеллект] Разработка AI-продукта на основе машинного зрения. Промежуточная ретроспектива: мысли, боль, страдания
- [IT-стандарты] GDRP: Что считать персональными данными граждан ЕС и можно ли с ними работать в РФ
- [Программирование, Управление разработкой, Управление проектами, Управление продуктом, DevOps] Типовые ситуации при непрерывной интеграции (перевод)
- [Высокая производительность, Восстановление данных, Администрирование баз данных, Хранение данных] Путеводитель по репликации баз данных
- [Управление разработкой, Управление проектами, Финансы в IT] Управление проектом по Fix Time, Fix Budget, Flex Scope (FFF)
- [Управление проектами, Учебный процесс в IT, Карьера в IT-индустрии] Где стажировку проходили, там и работайте — 4 истории стажёров Сбербанка
- [PostgreSQL, SQL, Администрирование баз данных, Визуализация данных] Правильно [c]читаем параллельные планы PostgreSQL
- [Управление проектами, Agile] Кейс Русфинанс Банка: Как мы переводили SCRUM в онлайн и что из этого получилось
Теги для поиска: #_administrirovanie_baz_dannyh (Администрирование баз данных), #_otkrytye_dannye (Открытые данные), #_hranenie_dannyh (Хранение данных), #_upravlenie_proektami (Управление проектами), #_upravlenie_ecommerce (Управление e-commerce), #_icon_partners, #_juristy_dlja_it (юристы для it), #_jurist_po_it (юрист по it), #_jurisprudentsija_v_it (юриспруденция в it), #_dannye_polzovatelej (данные пользователей), #_gdpr, #_administrirovanie_baz_dannyh (
Администрирование баз данных
), #_otkrytye_dannye (
Открытые данные
), #_hranenie_dannyh (
Хранение данных
), #_upravlenie_proektami (
Управление проектами
), #_upravlenie_ecommerce (
Управление e-commerce
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 18:37
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Две недели назад, на форумах обнаружили базы данных 600 тысяч клиентов сервисов Avito и Юла, среди которых фигурируют реальные адреса и номера телефонов. Базы до сих пор размещены в свободном доступе, их может скачать любой желающий. А представьте сколько человек уже скачало базу с умыслом разослать спам или, что еще хуже, выманить данные платежных карт пользователей. Администрация форумов не удаляет базы, так как не видят в этой ситуации никакой проблемы, а тем более нарушения, и говорят, что это не воровство персональных данных, а сбор открытых данных. Новостями об утечке данных уже никого не удивишь Июль и август 2020 года забит новостями о блокировке TikTok за несанкционированный сбор данных. Да и моя задача не удивить, а разобраться в вопросе, и сдержать обещание которое дал одному из читателей Хабра. Кстати, зовут меня Вячеслав Устименко, статью написал вместе с Беллой Фарзалиевой — IT юристом из международной юридической компании Icon Partners. Почему это важно Вопрос защиты и обработки персональных данных с каждым годом только набирает обороты. Защита персональных данных — это о свободе выбора человека, культуре общества и демократии. Независимым человеком тяжело управлять, его сложно обмануть и невозможно скопировать. Эту идею и несут известные регламенты защиты данных в ЕС (GDPR) и США (CCPA). В личном инстаграм аккаунте проводил опрос, даже юристы (90% моих подписчиков) пока плохо разбираются в вопросах защиты данных. Вопрос звучал так: «Что из перечисленного ниже является персональными данными». Прикрепляю скрин с результатами опроса. Правильный ответ выбрали около 20% проголосовавших. P.S. То что я с Украины, а статья о законах РФ не должно смущать вас, уважаемые читатели, так как экспертиза IT юриста не может быть ограничена одной страной. Что такое персональные данные в РФ Определение персональных данных в соответствии с Федеральным законом не сильно отличается от европейского или украинского, о котором писали в предыдущей статье. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, речь идет о любых данных, по которым можно идентифицировать человека. В России использование и защита персональных данных регулируется многими документами, в частности, 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», КоАП, УК РФ, ТК РФ и ГК РФ. Открытые персональные данные. Что это за зверь. #Посмотрим на ситуацию глазами пользователя Возможно читатели еще не задумывались как персональные данные могут быть открытыми, ведь персональное звучит как личное, а открытое — как публичное. При этом не покидает чувство уверенность в том, что после очередной беседы с телефонным продавцом каждый из нас думает «откуда у него мой номер» или «что это за странный звонок от незнакомого человека, который знает про меня больше, чем надо». Итак, пользователи, которые выставляли на продажу что-либо через Авито, не удивляйтесь, что попали в хакерские базах данных, получили спам на почту или непонятный звонок от мошенников или «холодных продавцов». Винить в такой ситуации можете только себя, ведь незнание законов не освобождает от ответственности. Все что пользователь сам выложил о себе на публичное рассмотрение, проще говоря, в Интернете — становится общедоступным, то есть открытыми данными и может храниться, распространяться, использоваться без согласия пользователя. Подтверждение из законодательстваSPLЧасть 1 статьи 152.2. Гражданского кодекса Российской Федерации.
Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни. Не являются нарушением правил, установленных абзацем первым настоящего пункта, сбор, хранение, распространение и использование информации о частной жизни гражданина в государственных, общественных или иных публичных интересах, а также в случаях, если информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле. Еще одно подтверждениеSPLПункт 4 статьи 7 ФЗ РФ № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных. #Вывод Администрация Авито правомерно утверждает, что база данных на хакерских форумах полностью состоит из публичной информации, которая доступна у них на сайте и может быть собрана парсингом (автоматический сбор информации с помощью специальных программ), то есть ни о какой утечке данных речи не идет. В законных ли целях используются данные — это уже другой вопрос, который задать стоит точно не в адрес Авито. Если не хотите, чтобы кто-то составлял, оценивал или использовал ваш потребительский портрет — оставляйте о себе меньше информации на публичных ресурсах. Ниже смешной (но это не точно) комментарий с форума. #Посмотрим на ситуацию глазами бизнеса Возьмем за пример все тот же Авито, и рассмотрим вопросы: — является ли сайт оператором персональных данных, — нужно ли ему в обязательном порядке брать согласие на обработку данных и заявлять о себе в Роскомнадзор для включения в реестр операторов, — действительно ли Авито окажется безнаказанным. В ситуации с утечкой данных, Авито действительно не при чем. Можно представить, что Авито — это забор, на котором пользовател написал «ПРОДАМ ГАРАЖ» и указал имя, телефон или другие данные для связи, а потом начал возмущается, почему данные знают, копируют или используют все кто проходил мимо забора. Подтверждение из законодательстваSPLСтатья 10 Закона № 152-ФЗ.
Компания или физ. лицо, которые получили письменное согласие клиента на обработку данных — становится оператором общедоступных персональных данных, но к защите общедоступных персональных данных или проще говоря открытым данным, законодательство предъявляет минимальные в сравнении с другими категориями требования. Еще одно подтверждениеSPLПункт 4 часть 2 статьи 22 «О персональных данных».
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных сделанных субъектом персональных данных общедоступными. #Вывод Авито — оператор персональных данных. Что касается уведомления Роскомнадзора — в законе есть исключения, но для Авито они не действует, так как эта площадка собирает и обрабатывает не только общедоступные данные. Но если сайт работает только с открытыми данными — уведомлять и ставиться на учет в Роскомнадзор не было бы нужды. Авито невиновен, а следовательно и не будет никакого наказания. Данные могут утечь или быть законно получены не только с торговых площадок, но и с любого сайта или от мобильных операторов, из социальных сетей, банков, реестров, их можно извлечь из последовательности мобильных операций по банковской карте или с помощью скрытых функций приложений для смартфона, вариантов миллион. Кстати, всем известно, что Хабр — это не форум, но тут есть возможность комментирования, а цель статьи — не удивить, а разобраться в вопросе. Вопрос В реалиях 2020 года нужно быть аккуратным с размещением персональных данных в интернете и поступать как в смешном комментарии выше, или вводить новые законодательные акты, а может просто пришла новая эпоха и стоит смириться с общедоступностью открытых данных? =========== Источник: habr.com =========== Похожие новости:
Администрирование баз данных ), #_otkrytye_dannye ( Открытые данные ), #_hranenie_dannyh ( Хранение данных ), #_upravlenie_proektami ( Управление проектами ), #_upravlenie_ecommerce ( Управление e-commerce ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 18:37
Часовой пояс: UTC + 5