Vzhledem k mezerám v právních předpisech byly informace o pasech a snech SNILS veřejně dostupné
Elektronické stránky zveřejňují nešifrovaná osobní data účastníků aukce ve veřejné doméně. Z tohoto důvodu je veřejně dostupných více než 2,2 milionu záznamů, včetně čísel SNILS, pasů a informací o zaměstnání.
Jak byly ve veřejné doméně nalezeny počty pasů a SNILů?
Ve veřejném vlastnictví je zveřejněno nejméně 2,24 milionu záznamů s cestovními údaji, čísly SNILS a informacemi o zaměstnávání Rusů. Objevil to Ivan Begtin, předseda Asociace účastníků datových trhů; jeho výzkum „Osobní údaje unikají z otevřených zdrojů. RBC má platformy pro elektronické obchodování.
Studie analyzovala informace o největších ruských elektronických obchodních platformách, na které se komerční a vládní nákupy vztahují podle federálních zákonů 44-FZ a 223-FZ, konkrétně: nákupní modul ZakazRF (562 tis. Záznamů), nabídka RTS (550 tis.). záznamy), Roseltorg (468 tisíc záznamů), Národní elektronická platforma (142 tisíc záznamů), ETP AHRF (18 tisíc záznamů) a Sberbank AST (500 tisíc záznamů). Na všech stránkách najdete osobní informace účastníků aukce.
Volání vzhledu této informace únik může být jen úsek, Začněte vyjasněno v rozhovoru s RBC. "Toto je počáteční dostupnost kvůli chybám v legislativě a neznalosti vývojářů [stránek]," řekl.
Propagační video:
Jak dochází k úniku dat z pasu?
Begtin dal algoritmus pro získávání osobních údajů z každého z uvedených serverů. Všichni začali pracovat na materiálu RBC v době, kdy začala práce. Poté, co společnost RBC oslovila zástupce společnosti Sberbank AST, systém uzavřel možnost stahování dat.
Mechanismus stahování dokumentů s osobními údaji na všech uvedených webech je stejný. Ve většině případů byla data nalezena (jak byla přesvědčena RBC) v rozhodnutích uložených na základě schválení otevřených dražeb. Některé z nich také obsahují e-mailové adresy, čísla SNILS a informace o zaměstnávání účastníků aukce.
Proč jsou data ve veřejné doméně?
Důvodem, proč jsou osobní údaje zveřejňovány na elektronických platformách, je to, že rozhodnutí o schválení velkých transakcí ve většině případů obsahují informace o těch, kteří tuto transakci schválili, a také o jejich zástupcích.
Zástupce RTS-Tender řekl RBC, že podle zákona musí být pro akreditaci účastníků na elektronické platformě převeden určitý seznam dokumentů - jeho společnost jej nahrála na webovou stránku. Nikolai Andreev, generální ředitel Sberbank AST, řekl RBC, že podle schváleného postupu obsahuje registr účastníků informace o názvu organizace, OGRN, TIN, jakož i datum zahájení a ukončení akreditace. V otevřeném registru účastníků veřejných zakázek, který musí všichni provozovatelé elektronických platforem udržovat v souladu s normami 44-FZ, lze někdy najít osobní údaje, uvedla tisková služba společnosti Roseltorg. Veškeré informace a dokumenty zobrazené v rejstříku jsou však připravovány samotnými uchazeči a provozovatelé elektronických platforem jsou povinni je zveřejňovat beze změny, vysvětlil zástupce společnosti.
Podle Begtin problém spočívá ve dvou velkých mezerách v legislativě. "Prvním je požadavek zveřejňovat veřejně dostupná rozhodnutí o schválení významných transakcí, která podle ruské praxe často zahrnují údaje o pasech zakladatelů," vysvětlil. Druhým je v praxi používání kvalifikovaného elektronického podpisu pro zveřejňování dokumentů zákazníky a dodavateli. "Podpis připojený k takovému souboru obsahuje stejná metadata jako elektronický podpis - celé jméno, e-mail, SNILY," řekl Begtin RBC.
Porušuje otevřené umístění údajů z pasu zákon?
Zpracování osobních údajů uchazečů vyžaduje jejich souhlas a je upraveno zákonem „O osobních údajích“, řekl Andrey Arsentiev, analytik InfoWatch Group. „Mít osobní údaje v otevřeném prostředí je samozřejmě porušení. Elektronické obchodní platformy zjevně ne vždy věnují dostatečnou pozornost ochraně údajů účastníků obchodování, protože za jejich porušení neexistuje žádná přísná odpovědnost, “vysvětlil.
Zveřejňování údajů o pasech může spadat pod čl. 137 trestního zákoníku (trestní odpovědnost za porušení soukromí), říká Konstantin Bochkarev, poradce advokátní kanceláře CMS. Cituje příklad z justiční praxe, když městský soud v Moskvě rozpoznal telefonní číslo jako osobní nebo rodinné tajemství. Při zveřejňování těchto informací čl. 13.11 správního řádu Ruské federace (porušení právních předpisů Ruské federace v oblasti osobních údajů), advokát tvrdí.
Co když zjistíte porušení vašich údajů?
Podle právníků může fyzická osoba, která zjistila únik svých údajů, předložit soudu náhradu škody. Pokud však neexistuje důkaz o materiálních ztrátách, bude obtížné získat náhradu, je Bochkarev přesvědčen. "Pro běžného občana, který si nemůže dovolit dlouhý a nákladný soudní proces, je nejúčinnějším způsobem jít přímo na web, kde jsou data zveřejněna, a požádat o jejich odstranění," uvedl.
Kromě toho má Roskomnadzor právo pokutovat elektronickou stránku po oznámení úniku osobních údajů v tisku, a to i bez stížností jednotlivců. "V tomto případě budou data také rychle vymazána," dodal Bochkarev. Poznamenal, že taková „nedbalost“ohrožuje reputační riziko elektronických platforem.
Nedávné skandály s porušením údajů
Začátkem dubna byla na internetu zveřejněna databáze ambulancí několika měst poblíž Moskvy. Z toho můžete zjistit jména, adresy a telefonní čísla, jakož i zdravotní stav těch, kteří konzultovali lékaře. Vyšetřovací výbor začal tuto záležitost kontrolovat.
Facebook byl několikrát obviněn z úniku rozsáhlých osobních údajů. Naposledy se to stalo v dubnu, kdy byla data veřejně dostupná na jiných platformách a v cloudovém úložišti Amazon. Předtím zástupci sociální sítě zjistili, že hesla několika uživatelů Facebooku byla na svých serverech uložena v nešifrované podobě - v prostém textu. Bylo hlášeno, že při rutinní bezpečnostní kontrole v lednu bylo odhaleno nesprávné uložení informací; ovlivnilo to „stovky milionů uživatelů Facebook Lite, desítky milionů dalších uživatelů Facebooku a desítky tisíc uživatelů Instagramu.“
Autoři: Evgeniya Kuznetsova, Evgeniya Balenko
Díky: Michail Nesterkin