Открытые и персональные данные. Анализ кейса «утечки данных» с Авито



    Две недели назад, на форумах обнаружили базы данных 600 тысяч клиентов сервисов Avito и Юла, среди которых фигурируют реальные адреса и номера телефонов. Базы до сих пор размещены в свободном доступе, их может скачать любой желающий. А представьте сколько человек уже скачало базу с умыслом разослать спам или, что еще хуже, выманить данные платежных карт пользователей. Администрация форумов не удаляет базы, так как не видят в этой ситуации никакой проблемы, а тем более нарушения, и говорят, что это не воровство персональных данных, а сбор открытых данных.

    Новостями об утечке данных уже никого не удивишь


    Июль и август 2020 года забит новостями о блокировке TikTok за несанкционированный сбор данных. Да и моя задача не удивить, а разобраться в вопросе, и сдержать обещание которое дал одному из читателей Хабра. Кстати, зовут меня Вячеслав Устименко, статью написал вместе с Беллой Фарзалиевой — IT юристом из международной юридической компании Icon Partners.

    Почему это важно


    Вопрос защиты и обработки персональных данных с каждым годом только набирает обороты. Защита персональных данных — это о свободе выбора человека, культуре общества и демократии. Независимым человеком тяжело управлять, его сложно обмануть и невозможно скопировать. Эту идею и несут известные регламенты защиты данных в ЕС (GDPR) и США (CCPA). В личном инстаграм аккаунте проводил опрос, даже юристы (90% моих подписчиков) пока плохо разбираются в вопросах защиты данных.

    Вопрос звучал так: «Что из перечисленного ниже является персональными данными».
    Прикрепляю скрин с результатами опроса.

    Правильный ответ выбрали около 20% проголосовавших.



    P.S. То что я с Украины, а статья о законах РФ не должно смущать вас, уважаемые читатели, так как экспертиза IT юриста не может быть ограничена одной страной.

    Что такое персональные данные в РФ


    Определение персональных данных в соответствии с Федеральным законом не сильно отличается от европейского или украинского, о котором писали в предыдущей статье.

    Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, речь идет о любых данных, по которым можно идентифицировать человека.

    В России использование и защита персональных данных регулируется многими документами, в частности, 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», КоАП, УК РФ, ТК РФ и ГК РФ.

    Открытые персональные данные. Что это за зверь.


    #Посмотрим на ситуацию глазами пользователя

    Возможно читатели еще не задумывались как персональные данные могут быть открытыми, ведь персональное звучит как личное, а открытое — как публичное.

    При этом не покидает чувство уверенность в том, что после очередной беседы с телефонным продавцом каждый из нас думает «откуда у него мой номер» или «что это за странный звонок от незнакомого человека, который знает про меня больше, чем надо».

    Итак, пользователи, которые выставляли на продажу что-либо через Авито, не удивляйтесь, что попали в хакерские базах данных, получили спам на почту или непонятный звонок от мошенников или «холодных продавцов».

    Винить в такой ситуации можете только себя, ведь незнание законов не освобождает от ответственности.

    Все что пользователь сам выложил о себе на публичное рассмотрение, проще говоря, в Интернете — становится общедоступным, то есть открытыми данными и может храниться, распространяться, использоваться без согласия пользователя.

    Подтверждение из законодательства
    Часть 1 статьи 152.2. Гражданского кодекса Российской Федерации.

    Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.

    Не являются нарушением правил, установленных абзацем первым настоящего пункта, сбор, хранение, распространение и использование информации о частной жизни гражданина в государственных, общественных или иных публичных интересах, а также в случаях, если информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле.


    Еще одно подтверждение
    Пункт 4 статьи 7 ФЗ РФ № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

    Информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.

    #Вывод

    Администрация Авито правомерно утверждает, что база данных на хакерских форумах полностью состоит из публичной информации, которая доступна у них на сайте и может быть собрана парсингом (автоматический сбор информации с помощью специальных программ), то есть ни о какой утечке данных речи не идет. В законных ли целях используются данные — это уже другой вопрос, который задать стоит точно не в адрес Авито.

    Если не хотите, чтобы кто-то составлял, оценивал или использовал ваш потребительский портрет — оставляйте о себе меньше информации на публичных ресурсах.

    Ниже смешной (но это не точно) комментарий с форума.



    #Посмотрим на ситуацию глазами бизнеса
    Возьмем за пример все тот же Авито, и рассмотрим вопросы:

    • является ли сайт оператором персональных данных,
    • нужно ли ему в обязательном порядке брать согласие на обработку данных и заявлять о себе в Роскомнадзор для включения в реестр операторов,
    • действительно ли Авито окажется безнаказанным.

    В ситуации с утечкой данных, Авито действительно не при чем. Можно представить, что Авито — это забор, на котором пользовател написал «ПРОДАМ ГАРАЖ» и указал имя, телефон или другие данные для связи, а потом начал возмущается, почему данные знают, копируют или используют все кто проходил мимо забора.

    Подтверждение из законодательства
    Статья 10 Закона № 152-ФЗ.

    Компания или физ. лицо, которые получили письменное согласие клиента на обработку данных — становится оператором общедоступных персональных данных, но к защите общедоступных персональных данных или проще говоря открытым данным, законодательство предъявляет минимальные в сравнении с другими категориями требования.

    Еще одно подтверждение
    Пункт 4 часть 2 статьи 22 «О персональных данных».

    Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных сделанных субъектом персональных данных общедоступными.

    #Вывод

    Авито — оператор персональных данных. Что касается уведомления Роскомнадзора — в законе есть исключения, но для Авито они не действует, так как эта площадка собирает и обрабатывает не только общедоступные данные. Но если сайт работает только с открытыми данными — уведомлять и ставиться на учет в Роскомнадзор не было бы нужды. Авито невиновен, а следовательно и не будет никакого наказания.

    Данные могут утечь или быть законно получены не только с торговых площадок, но и с любого сайта или от мобильных операторов, из социальных сетей, банков, реестров, их можно извлечь из последовательности мобильных операций по банковской карте или с помощью скрытых функций приложений для смартфона, вариантов миллион.

    Кстати, всем известно, что Хабр — это не форум, но тут есть возможность комментирования, а цель статьи — не удивить, а разобраться в вопросе.

    Вопрос


    В реалиях 2020 года нужно быть аккуратным с размещением персональных данных в интернете и поступать как в смешном комментарии выше, или вводить новые законодательные акты, а может просто пришла новая эпоха и стоит смириться с общедоступностью открытых данных?

    Средняя зарплата в IT

    111 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 7 000 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 2

      0

      Ответ.
      В прошлом году сменил все финансовые номера, выбрал отдельный емейл для всяких регистраций на сайтах, удалился с не нужных уже сайтов (сколько вспомнил). И выдохнул. Успокоился.
      В этом году непонятно кто после установки
      Getcontact и тому подобного шлака, где вместе с именем записывают много "лишней", как уже для публичности, информации. Куда же сбежать с подводной лодки?

        0
        А если ПД опубликованы не самим пользователем, а третьими лицами: законно, например, данные банкрота опубликованы конкурсным управляющим, то эти «открытые» данные тоже могут храниться, распространяться, использоваться кем угодно без согласия субъекта ПД?

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое