Vor zwei Wochen wurden in den Foren Datenbanken mit 600.000 Kunden von Avito- und Yula-Diensten gefunden, darunter echte Adressen und Telefonnummern. Die Datenbanken sind weiterhin frei verfügbar, jeder kann sie herunterladen. Stellen Sie sich vor, wie viele Personen die Datenbank bereits heruntergeladen haben, um Spam zu versenden oder, noch schlimmer, die Zahlungskartendetails der Benutzer auszutricksen. Die Forenverwaltung löscht die Basen nicht, weilSie sehen in dieser Situation kein Problem, geschweige denn einen Verstoß, und sie sagen, dass dies kein Diebstahl personenbezogener Daten ist, sondern die Erhebung offener Daten.
Sie werden niemanden mit der Nachricht einer Datenverletzung überraschen
Juli und August 2020 sind voll von Nachrichten darüber, dass TikTok für die nicht autorisierte Datenerfassung gesperrt wurde. Und meine Aufgabe ist es nicht, zu überraschen, sondern das Problem zu verstehen und das Versprechen zu halten, das Habr einem der Leser gegeben hat. Mein Name ist übrigens Vyacheslav Ustimenko, ich habe den Artikel zusammen mit Bella Farzalieva, einer IT-Anwältin der internationalen Anwaltskanzlei Icon Partners, geschrieben.
Warum ist es wichtig?
Das Thema Schutz und Verarbeitung personenbezogener Daten gewinnt jedes Jahr an Bedeutung. Beim Schutz personenbezogener Daten geht es um die Wahlfreiheit einer Person, die Kultur der Gesellschaft und die Demokratie. Eine unabhängige Person ist schwer zu verwalten, schwer zu täuschen und unmöglich zu kopieren. Diese Idee wird von den bekannten Datenschutzbestimmungen in der EU (DSGVO) und den USA (CCPA) getragen. Ich habe eine Umfrage in meinem persönlichen Instagram-Konto durchgeführt . Selbst Anwälte (90% meiner Abonnenten) sind mit Datenschutzfragen noch immer nicht vertraut.
Die Frage war: "Welche der folgenden Daten sind personenbezogene Daten?"
Ich füge einen Bildschirm mit den Umfrageergebnissen hinzu.
Die richtige Antwort wurde von etwa 20% der Wähler gewählt.
PS Die Tatsache, dass ich aus der Ukraine komme, und der Artikel über die Gesetze der Russischen Föderation sollten Sie, liebe Leser, nicht verwirren, da das Fachwissen eines IT-Anwalts nicht auf ein Land beschränkt werden kann.
Was sind personenbezogene Daten in der Russischen Föderation?
Die Definition personenbezogener Daten gemäß Bundesgesetz unterscheidet sich nicht wesentlich von der im vorherigen Artikel beschriebenen europäischen oder ukrainischen .
Personenbezogene Daten - Alle Informationen, die sich direkt oder indirekt auf eine bestimmte oder identifizierbare natürliche Person beziehen. Wir sprechen von Daten, anhand derer eine Person identifiziert werden kann.
In Russland wird die Verwendung und der Schutz personenbezogener Daten durch viele Dokumente geregelt, insbesondere 152-FZ "Über personenbezogene Daten", 149-FZ "Über Information, Informationstechnologie und Informationsschutz", Verwaltungsgesetzbuch, Strafgesetzbuch der Russischen Föderation, Arbeitsgesetzbuch der Russischen Föderation und Zivilgesetzbuch der Russischen Föderation.
Öffnen Sie persönliche Daten. Was für ein Biest es ist.
# Lassen Sie uns die Situation mit den Augen eines Benutzers betrachten.
Vielleicht haben die Leser noch nicht darüber nachgedacht, wie persönliche Daten offen sein können, weil persönlich wie persönlich und offen wie öffentlich klingt.
Gleichzeitig lässt das Gefühl des Vertrauens nicht zu, dass jeder von uns nach einem weiteren Gespräch mit einem Telefonverkäufer denkt, "woher hat er meine Nummer" oder "was ist das für ein seltsamer Anruf von einem Fremden, der mehr über mich weiß als nötig".
Benutzer, die über Avito etwas zum Verkauf anbieten, wundern sich nicht, dass sie in Hacker-Datenbanken gelangt sind, Spam in ihrer E-Mail erhalten haben oder einen unverständlichen Anruf von Betrügern oder "kalten Verkäufern" erhalten haben.
Sie können sich in einer solchen Situation nur selbst die Schuld geben, weil die Unkenntnis der Gesetze Sie nicht von der Verantwortung befreit.
Alles, was der Benutzer selbst zur öffentlichen Prüfung, dh im Internet, über sich selbst gepostet hat, wird öffentlich zugänglich, dh offene Daten, und kann ohne Zustimmung des Benutzers gespeichert, verteilt und verwendet werden.
Bestätigung aus der Gesetzgebung
1 152.2. .
, , , , , , .
, , , , , , , .
, , , , , , .
, , , , , , , .
Eine weitere Bestätigung
4 7 № 149- « , ».
, «» , , , .
, «» , , , .
# Fazit
Die Avito-Administration behauptet zu Recht, dass die Datenbank in Hacker-Foren vollständig aus öffentlichen Informationen besteht, die auf ihrer Website verfügbar sind und durch Parsen (automatische Erfassung von Informationen mit speziellen Programmen) erfasst werden können, dh es besteht keine Frage eines Datenlecks ... Ob die Daten für legitime Zwecke verwendet werden, ist eine weitere Frage, die definitiv nicht zu Avito gestellt werden sollte.
Wenn Sie nicht möchten, dass jemand Ihr Verbraucherporträt erstellt, bewertet oder verwendet, hinterlassen Sie weniger Informationen über sich selbst in öffentlichen Ressourcen.
Unten ist ein lustiger (aber nicht genauer) Kommentar aus dem Forum.
# Betrachten wir die Situation mit den Augen eines Unternehmens.
Nehmen wir den gleichen Avito als Beispiel und betrachten die folgenden Fragen:
- ob die Website Betreiber personenbezogener Daten ist,
- ob es für ihn obligatorisch ist, der Datenverarbeitung zuzustimmen und sich bei Roskomnadzor für die Aufnahme in das Betreiberregister zu erklären,
- ob Avito wirklich ungestraft bleibt.
In einer Situation mit einem Datenleck hat Avito wirklich nichts damit zu tun. Sie können sich vorstellen, dass Avito ein Zaun ist, auf den der Benutzer "GARAGE VERKAUFEN" schrieb und einen Namen, eine Telefonnummer oder andere Daten für die Kommunikation angab. Dann war er empört darüber, warum die Daten allen bekannt sind, kopiert oder verwendet werden, die den Zaun passiert haben.
Bestätigung aus der Gesetzgebung
10 № 152-.
. , — , , .
. , — , , .
Eine weitere Bestätigung
4 2 22 « ».
.
.
# Fazit
Avito ist ein Betreiber personenbezogener Daten. Für die Benachrichtigung von Roskomnadzor gibt es gesetzliche Ausnahmen, die jedoch nicht für Avito funktionieren, da diese Website nicht nur öffentlich verfügbare Daten sammelt und verarbeitet. Wenn die Site jedoch nur mit offenen Daten funktioniert, muss Roskomnadzor nicht benachrichtigt und registriert werden. Avito ist unschuldig und daher wird es keine Bestrafung geben.
Daten können nicht nur von Marktplätzen, sondern auch von Websites oder Mobilfunkbetreibern, von sozialen Netzwerken, Banken und Registern verloren gehen oder legal abgerufen werden. Sie können aus der Abfolge mobiler Transaktionen mit einer Bankkarte oder mithilfe versteckter Funktionen von Smartphone-Anwendungen extrahiert werden. Millionen Optionen.
Übrigens weiß jeder, dass Habr kein Forum ist, aber es gibt die Möglichkeit, Kommentare abzugeben, und der Zweck des Artikels besteht nicht darin, das Problem zu überraschen, sondern es zu verstehen.
Frage
In der Realität von 2020 müssen Sie vorsichtig sein, wenn Sie personenbezogene Daten im Internet veröffentlichen und wie im obigen