Две недели назад, на форумах обнаружили базы данных 600 тысяч клиентов сервисов Avito и Юла, среди которых фигурируют реальные адреса и номера телефонов. Базы до сих пор размещены в свободном доступе, их может скачать любой желающий. А представьте сколько человек уже скачало базу с умыслом разослать спам или, что еще хуже, выманить данные платежных карт пользователей. Администрация форумов не удаляет базы, так как не видят в этой ситуации никакой проблемы, а тем более нарушения, и говорят, что это не воровство персональных данных, а сбор открытых данных.
Новостями об утечке данных уже никого не удивишь
Июль и август 2020 года забит новостями о блокировке TikTok за несанкционированный сбор данных. Да и моя задача не удивить, а разобраться в вопросе, и сдержать обещание которое дал одному из читателей Хабра. Кстати, зовут меня Вячеслав Устименко, статью написал вместе с Беллой Фарзалиевой — IT юристом из международной юридической компании Icon Partners.
Почему это важно
Вопрос защиты и обработки персональных данных с каждым годом только набирает обороты. Защита персональных данных — это о свободе выбора человека, культуре общества и демократии. Независимым человеком тяжело управлять, его сложно обмануть и невозможно скопировать. Эту идею и несут известные регламенты защиты данных в ЕС (GDPR) и США (CCPA). В личном инстаграм аккаунте проводил опрос, даже юристы (90% моих подписчиков) пока плохо разбираются в вопросах защиты данных.
Вопрос звучал так: «Что из перечисленного ниже является персональными данными».
Прикрепляю скрин с результатами опроса.
Правильный ответ выбрали около 20% проголосовавших.
P.S. То что я с Украины, а статья о законах РФ не должно смущать вас, уважаемые читатели, так как экспертиза IT юриста не может быть ограничена одной страной.
Что такое персональные данные в РФ
Определение персональных данных в соответствии с Федеральным законом не сильно отличается от европейского или украинского, о котором писали в предыдущей статье.
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, речь идет о любых данных, по которым можно идентифицировать человека.
В России использование и защита персональных данных регулируется многими документами, в частности, 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», КоАП, УК РФ, ТК РФ и ГК РФ.
Открытые персональные данные. Что это за зверь.
#Посмотрим на ситуацию глазами пользователя
Возможно читатели еще не задумывались как персональные данные могут быть открытыми, ведь персональное звучит как личное, а открытое — как публичное.
При этом не покидает чувство уверенность в том, что после очередной беседы с телефонным продавцом каждый из нас думает «откуда у него мой номер» или «что это за странный звонок от незнакомого человека, который знает про меня больше, чем надо».
Итак, пользователи, которые выставляли на продажу что-либо через Авито, не удивляйтесь, что попали в хакерские базах данных, получили спам на почту или непонятный звонок от мошенников или «холодных продавцов».
Винить в такой ситуации можете только себя, ведь незнание законов не освобождает от ответственности.
Все что пользователь сам выложил о себе на публичное рассмотрение, проще говоря, в Интернете — становится общедоступным, то есть открытыми данными и может храниться, распространяться, использоваться без согласия пользователя.
Подтверждение из законодательства
Часть 1 статьи 152.2. Гражданского кодекса Российской Федерации.
Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.
Не являются нарушением правил, установленных абзацем первым настоящего пункта, сбор, хранение, распространение и использование информации о частной жизни гражданина в государственных, общественных или иных публичных интересах, а также в случаях, если информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле.
Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.
Не являются нарушением правил, установленных абзацем первым настоящего пункта, сбор, хранение, распространение и использование информации о частной жизни гражданина в государственных, общественных или иных публичных интересах, а также в случаях, если информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле.
Еще одно подтверждение
Пункт 4 статьи 7 ФЗ РФ № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.
Информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.
#Вывод
Администрация Авито правомерно утверждает, что база данных на хакерских форумах полностью состоит из публичной информации, которая доступна у них на сайте и может быть собрана парсингом (автоматический сбор информации с помощью специальных программ), то есть ни о какой утечке данных речи не идет. В законных ли целях используются данные — это уже другой вопрос, который задать стоит точно не в адрес Авито.
Если не хотите, чтобы кто-то составлял, оценивал или использовал ваш потребительский портрет — оставляйте о себе меньше информации на публичных ресурсах.
Ниже смешной (но это не точно) комментарий с форума.
#Посмотрим на ситуацию глазами бизнеса
Возьмем за пример все тот же Авито, и рассмотрим вопросы:
- является ли сайт оператором персональных данных,
- нужно ли ему в обязательном порядке брать согласие на обработку данных и заявлять о себе в Роскомнадзор для включения в реестр операторов,
- действительно ли Авито окажется безнаказанным.
В ситуации с утечкой данных, Авито действительно не при чем. Можно представить, что Авито — это забор, на котором пользовател написал «ПРОДАМ ГАРАЖ» и указал имя, телефон или другие данные для связи, а потом начал возмущается, почему данные знают, копируют или используют все кто проходил мимо забора.
Подтверждение из законодательства
Статья 10 Закона № 152-ФЗ.
Компания или физ. лицо, которые получили письменное согласие клиента на обработку данных — становится оператором общедоступных персональных данных, но к защите общедоступных персональных данных или проще говоря открытым данным, законодательство предъявляет минимальные в сравнении с другими категориями требования.
Компания или физ. лицо, которые получили письменное согласие клиента на обработку данных — становится оператором общедоступных персональных данных, но к защите общедоступных персональных данных или проще говоря открытым данным, законодательство предъявляет минимальные в сравнении с другими категориями требования.
Еще одно подтверждение
Пункт 4 часть 2 статьи 22 «О персональных данных».
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных сделанных субъектом персональных данных общедоступными.
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных сделанных субъектом персональных данных общедоступными.
#Вывод
Авито — оператор персональных данных. Что касается уведомления Роскомнадзора — в законе есть исключения, но для Авито они не действует, так как эта площадка собирает и обрабатывает не только общедоступные данные. Но если сайт работает только с открытыми данными — уведомлять и ставиться на учет в Роскомнадзор не было бы нужды. Авито невиновен, а следовательно и не будет никакого наказания.
Данные могут утечь или быть законно получены не только с торговых площадок, но и с любого сайта или от мобильных операторов, из социальных сетей, банков, реестров, их можно извлечь из последовательности мобильных операций по банковской карте или с помощью скрытых функций приложений для смартфона, вариантов миллион.
Кстати, всем известно, что Хабр — это не форум, но тут есть возможность комментирования, а цель статьи — не удивить, а разобраться в вопросе.
Вопрос
В реалиях 2020 года нужно быть аккуратным с размещением персональных данных в интернете и поступать как в