Il y a deux semaines, des bases de données de 600 000 clients des services Avito et Yula ont été trouvées sur les forums, parmi lesquelles se trouvent de véritables adresses et numéros de téléphone. Les bases de données sont toujours disponibles gratuitement, n'importe qui peut les télécharger. Imaginez combien de personnes ont déjà téléchargé la base de données avec l'intention d'envoyer du spam ou, pire encore, d'attirer les détails de la carte de paiement des utilisateurs. L'administration des forums ne supprime pas les bases, carIls ne voient aucun problème dans cette situation, encore moins une violation, et ils disent qu'il ne s'agit pas de vol de données personnelles, mais de collecte de données ouvertes.
Vous ne surprendrez personne avec la nouvelle d'une violation de données
Juillet et août 2020 regorgent d'informations sur le blocage de TikTok pour la collecte de données non autorisée. Et ma tâche n'est pas de surprendre, mais de comprendre le problème et de tenir la promesse que Habr a faite à l'un des lecteurs. Au fait, je m'appelle Vyacheslav Ustimenko, j'ai écrit l'article avec Bella Farzalieva, avocate informatique du cabinet d'avocats international Icon Partners.
Pourquoi c'est important
La question de la protection et du traitement des données personnelles prend de l'ampleur chaque année. La protection des données personnelles concerne la liberté de choix d'une personne, la culture de la société et la démocratie. Une personne indépendante est difficile à gérer, difficile à tromper et impossible à copier. Cette idée est portée par les réglementations bien connues en matière de protection des données dans l'UE (GDPR) et aux États-Unis (CCPA). J'ai mené une enquête sur mon compte Instagram personnel , même les avocats (90% de mes abonnés) sont encore peu familiarisés avec les questions de protection des données.
La question était: "Lequel des éléments suivants sont des données personnelles?"
Je joins un écran avec les résultats de l'enquête.
La bonne réponse a été choisie par environ 20% de ceux qui ont voté.
PS Le fait que je sois originaire d'Ukraine et l'article sur les lois de la Fédération de Russie ne doivent pas vous dérouter, chers lecteurs, car l'expertise d'un avocat en informatique ne peut se limiter à un seul pays.
Que sont les données personnelles en Fédération de Russie
La définition des données personnelles conformément à la loi fédérale ne diffère pas beaucoup de celle européenne ou ukrainienne, qui a été décrite dans l'article précédent .
Données personnelles - toute information relative directement ou indirectement à une personne physique spécifique ou identifiable, nous parlons de toutes les données par lesquelles une personne peut être identifiée.
En Russie, l'utilisation et la protection des données à caractère personnel sont régies par de nombreux documents, en particulier 152-FZ "Sur les données à caractère personnel", 149-FZ "Sur l'information, les technologies de l'information et la protection de l'information", le Code administratif, le Code pénal de la Fédération de Russie, le Code du travail de la Fédération de Russie et le Code civil de la Fédération de Russie.
Ouvrez les données personnelles. Quelle bête c'est.
# Regardons la situation à travers les yeux d'un utilisateur
Peut-être que les lecteurs n'ont pas encore réfléchi à la manière dont les données personnelles peuvent être ouvertes, car les données personnelles semblent personnelles et ouvertes - comme publiques.
En même temps, le sentiment de confiance ne laisse pas qu'après une autre conversation avec un vendeur de téléphone, chacun de nous se demande «où a-t-il obtenu mon numéro» ou «quel est cet appel étrange d'un inconnu qui en sait plus sur moi que nécessaire».
Ainsi, les utilisateurs qui mettent quelque chose en vente via Avito, ne sont pas surpris qu'ils soient entrés dans des bases de données de pirates informatiques, aient reçu du spam dans leur courrier ou un appel incompréhensible de fraudeurs ou de «vendeurs à froid».
Vous ne pouvez vous blâmer que dans une telle situation, car l'ignorance des lois ne vous exempte pas de responsabilité.
Tout ce que l'utilisateur lui-même a publié sur lui-même à des fins publiques, en d'autres termes, sur Internet, devient accessible au public, c'est-à-dire des données ouvertes et peut être stocké, distribué, utilisé sans le consentement de l'utilisateur.
Confirmation de la législation
1 152.2. .
, , , , , , .
, , , , , , , .
, , , , , , .
, , , , , , , .
Une autre confirmation
4 7 № 149- « , ».
, «» , , , .
, «» , , , .
Conclusion
L'administration Avito affirme à juste titre que la base de données sur les forums de hackers est entièrement constituée d'informations publiques disponibles sur leur site Web et pouvant être collectées par analyse (collecte automatique d'informations à l'aide de programmes spéciaux), c'est-à-dire qu'il n'est pas question de fuite de données ... La question de savoir si les données sont utilisées à des fins légitimes est une autre question qui ne devrait certainement pas être posée à propos d'Avito.
Si vous ne voulez pas que quelqu'un rédige, évalue ou utilise votre portrait de consommateur, laissez moins d'informations sur vous-même sur les ressources publiques.
Vous trouverez ci-dessous un commentaire drôle (mais pas exact) du forum.
# Regardons la situation à travers les yeux d'une entreprise
Prenons le même Avito comme exemple, et considérons les questions:
- si le site est l'exploitant de données personnelles,
- s'il est obligatoire pour lui de consentir au traitement des données et de se déclarer à Roskomnadzor pour inscription au registre des opérateurs,
- si Avito restera vraiment impuni.
Dans une situation de fuite de données, Avito n'a vraiment rien à voir avec cela. Vous pouvez imaginer qu'Avito est une clôture sur laquelle l'utilisateur a écrit "VENDRE GARAGE" et a indiqué un nom, un numéro de téléphone ou d'autres données pour la communication, puis a commencé à s'indigner des raisons pour lesquelles les données sont connues, copiées ou utilisées par tous ceux qui ont passé la clôture.
Confirmation de la législation
10 № 152-.
. , — , , .
. , — , , .
Une autre confirmation
4 2 22 « ».
.
.
# Conclusion
Avito est un opérateur de données personnelles. En ce qui concerne la notification de Roskomnadzor, il existe des exceptions dans la loi, mais elles ne fonctionnent pas pour Avito, car ce site collecte et traite non seulement des données accessibles au public. Mais si le site fonctionne uniquement avec des données ouvertes, il ne serait pas nécessaire de notifier et de s'inscrire auprès de Roskomnadzor. Avito est innocent et il n'y aura donc pas de punition.
Les données peuvent fuir ou être légalement obtenues non seulement à partir de places de marché, mais aussi de tout site Web ou auprès d'opérateurs mobiles, de réseaux sociaux, de banques, de registres, elles peuvent être extraites de la séquence de transactions mobiles avec une carte bancaire ou en utilisant des fonctions cachées d'applications pour smartphone millions d'options.
Au fait, tout le monde sait que Habr n'est pas un forum, mais il y a une possibilité de commenter, et le but de l'article n'est pas de surprendre, mais de comprendre le problème.
Question
Dans les réalités de 2020, vous devez faire attention au placement de données personnelles sur Internet et agir comme dans le commentaire