Há duas semanas, foram encontrados nos fóruns bancos de dados de 600 mil clientes dos serviços Avito e Yula, entre os quais se encontram endereços e telefones reais. Os bancos de dados ainda estão disponíveis gratuitamente, qualquer pessoa pode baixá-los. Imagine quantas pessoas já baixaram o banco de dados com a intenção de enviar spam ou, pior ainda, enganar os detalhes do cartão de pagamento dos usuários. A administração dos fóruns não apaga as bases, poisNão vêem nenhum problema nesta situação, muito menos uma violação, e dizem que não se trata de roubo de dados pessoais, mas sim de recolha de dados abertos.
Você não vai surpreender ninguém com a notícia de uma violação de dados
Julho e agosto de 2020 estão repletos de notícias de que o TikTok foi bloqueado por coleta de dados não autorizados. E minha tarefa não é surpreender, mas entender o problema e cumprir a promessa que Habr fez a um dos leitores. A propósito, meu nome é Vyacheslav Ustimenko, escrevi o artigo junto com Bella Farzalieva, advogada de TI do escritório internacional de advocacia Icon Partners.
Por que isso é importante
A questão da proteção e do processamento de dados pessoais está ganhando força a cada ano. A proteção de dados pessoais diz respeito à liberdade de escolha de uma pessoa, à cultura da sociedade e à democracia. Uma pessoa independente é difícil de gerenciar, difícil de enganar e impossível de copiar. Esta ideia é sustentada pelos conhecidos regulamentos de proteção de dados na UE (GDPR) e nos EUA (CCPA). Fiz uma pesquisa em minha conta pessoal do Instagram , até mesmo advogados (90% dos meus assinantes) ainda são pouco versados em questões de proteção de dados.
A pergunta era: "Qual dos seguintes são dados pessoais."
Anexei uma tela com os resultados da pesquisa.
A resposta correta foi escolhida por cerca de 20% dos que votaram.
PS O fato de eu ser da Ucrânia e o artigo sobre as leis da Federação Russa não devem confundi-los, queridos leitores, uma vez que a experiência de um advogado de TI não pode se limitar a um país.
O que são dados pessoais na Federação Russa
A definição de dados pessoais de acordo com a Lei Federal não difere muito da europeia ou ucraniana, que foi descrita no artigo anterior .
Dados pessoais - quaisquer informações relacionadas direta ou indiretamente a uma pessoa física específica ou identificável, estamos falando de quaisquer dados pelos quais uma pessoa pode ser identificada.
Na Rússia, o uso e a proteção de dados pessoais são regulamentados por muitos documentos, em particular, 152-FZ "Sobre dados pessoais", 149-FZ "Sobre informação, tecnologia da informação e proteção da informação", Código Administrativo, Código Penal da Federação Russa, Código do Trabalho da Federação Russa e Código Civil da Federação Russa.
Abra os dados pessoais. Que besta é isso.
# Vejamos a situação através dos olhos de um usuário.
Talvez os leitores ainda não tenham pensado em como os dados pessoais podem ser abertos, porque pessoal soa como pessoal e aberto - como público.
Ao mesmo tempo, o sentimento de confiança não sai de que depois de outra conversa com um vendedor de telefone, cada um de nós pensa "onde ele conseguiu meu número" ou "que chamada estranha é essa de um estranho que sabe mais sobre mim do que o necessário".
Assim, os usuários que colocam algo à venda através do Avito, não se surpreendem se entraram em bancos de dados de hackers, receberam spam pelo correio ou uma ligação incompreensível de golpistas ou "vendedores indiferentes".
Você só pode culpar a si mesmo em tal situação, porque a ignorância das leis não o isenta de responsabilidade.
Tudo o que o próprio usuário postou sobre si para consideração pública, ou seja, na Internet, torna-se publicamente disponível, ou seja, abre dados e pode ser armazenado, distribuído, utilizado sem o consentimento do usuário.
Confirmação da legislação
1 152.2. .
, , , , , , .
, , , , , , , .
, , , , , , .
, , , , , , , .
Outra confirmação
4 7 № 149- « , ».
, «» , , , .
, «» , , , .
Conclusão
A administração Avito afirma com razão que o banco de dados em fóruns de hackers consiste inteiramente em informações públicas que estão disponíveis em seu site e podem ser coletadas por análise (coleta automática de informações usando programas especiais), ou seja, não há dúvida de qualquer vazamento de dados ... Se os dados são usados para fins legítimos é outra questão que definitivamente não deve ser perguntada sobre o Avito.
Se você não quer que alguém componha, avalie ou use seu retrato de consumidor - deixe menos informações sobre você nos recursos públicos.
Abaixo está um comentário engraçado (mas incorreto) do fórum.
# Vejamos a situação através dos olhos de uma empresa.
Vamos pegar o mesmo Avito como exemplo e considerar as questões:
- se o site é o operador de dados pessoais,
- se é obrigatório para ele obter consentimento para o processamento de dados e se declarar em Roskomnadzor para inclusão no cadastro de operadores,
- se Avito realmente ficará impune.
Em uma situação de vazamento de dados, o Avito realmente não tem nada a ver com isso. Você pode imaginar que Avito é uma cerca na qual o usuário escrevia "VENDER GARAGEM" e indicava um nome, número de telefone ou outros dados para comunicação, e então começava a se indignar com o fato de os dados serem conhecidos, copiados ou usados por todos que passaram pela cerca.
Confirmação da legislação
10 № 152-.
. , — , , .
. , — , , .
Outra confirmação
4 2 22 « ».
.
.
# Conclusão
Avito é um operador de dados pessoais. Quanto à notificação do Roskomnadzor, existem exceções na lei, mas elas não funcionam para a Avito, uma vez que este site coleta e processa não apenas dados publicamente disponíveis. Mas se o site funcionar apenas com dados abertos, não haveria necessidade de notificar e registrar-se no Roskomnadzor. Avito é inocente e, portanto, não haverá punição.
Os dados podem vazar ou ser legalmente obtidos não só de marketplaces, mas também de qualquer site ou de operadoras móveis, de redes sociais, bancos, cartórios, podem ser extraídos da sequência de transações móveis com um cartão de banco ou usando funções ocultas de aplicativos de smartphone, milhões de opções.
Aliás, todos sabem que o Habr não é um fórum, mas existe uma oportunidade para comentar, e o objetivo do artigo não é surpreender, mas entender a questão.
Questão
Na realidade de 2020, você precisa ter cuidado com a colocação de dados pessoais na Internet e agir como no comentário