Z powodu luk prawnych informacje o paszportach i SNILS były w domenie publicznej
Witryny elektroniczne udostępniają niezaszyfrowane dane osobowe uczestników aukcji w domenie publicznej. Z tego powodu publicznie dostępnych jest ponad 2,2 miliona rekordów, w tym numery SNILS, paszporty i informacje o zatrudnieniu.
W jaki sposób numery paszportów i SNILS zostały znalezione w domenie publicznej?
Co najmniej 2,24 miliona wpisów z danymi paszportowymi, numerami SNILS i informacjami o zatrudnieniu Rosjan znajduje się w domenie publicznej. Odkrył to Ivan Begtin, prezes Stowarzyszenia Uczestników Rynków Danych; jego badanie „Wycieki danych osobowych z otwartych źródeł. RBC ma elektroniczne platformy transakcyjne.
W badaniu przeanalizowano informacje o największych rosyjskich elektronicznych platformach obrotu, na których zakupy komercyjne i rządowe są dokonywane na podstawie przepisów federalnych 44-FZ i 223-FZ, a mianowicie: moduł zakupowy ZakazRF (562 tys. Wpisów), przetarg RTS (550 tys. rekordów), Roseltorg (468 tys. rekordów), National Electronic Platform (142 tys. rekordów), ETP AHRF (18 tys. rekordów) i Sberbank AST (500 tys. rekordów). We wszystkich witrynach można znaleźć dane osobowe uczestników aukcji.
Nazywanie pojawienia się tych informacji wyciekiem może być tylko naciąganiem, wyjaśnił Begtin w rozmowie z RBC. „Jest to początkowa dostępność wynikająca z błędów w przepisach i ignorancji twórców [witryn]” - powiedział.
Film promocyjny:
W jaki sposób dochodzi do wycieku danych paszportowych?
Begtin podał algorytm pozyskiwania danych osobowych z każdej z wymienionych stron. Wszyscy pracowali nad materiałem RBC do czasu rozpoczęcia pracy. Po tym, jak RBC zwrócił się do przedstawicieli Sberbank AST, system zamknął możliwość pobierania danych.
Mechanizm pobierania dokumentów z danymi osobowymi na wszystkich wymienionych stronach jest taki sam. W większości przypadków dane można było znaleźć (o czym był przekonany RBC) w przechowywanych tam decyzjach o zatwierdzeniu otwartych aukcji. Część z nich zawiera również adresy e-mail, numery SNILS oraz informacje o zatrudnieniu uczestników aukcji.
Dlaczego dane są w domenie publicznej?
Powodem, dla którego dane osobowe są publikowane na platformach elektronicznych, jest to, że decyzje o zatwierdzeniu dużych transakcji w większości przypadków zawierają informacje o osobach, które zaakceptowały tę transakcję, a także o ich przedstawicielach.
Przedstawiciel RTS-Tender powiedział RBC, że zgodnie z prawem do akredytacji uczestników na platformie elektronicznej należy przekazać określoną listę dokumentów - jego firma umieściła ją na stronie internetowej. Nikolai Andreev, dyrektor generalny Sberbank AST, powiedział RBC, że zgodnie z zatwierdzoną procedurą rejestr uczestników zawiera informacje o nazwie organizacji, OGRN, NIP, a także o dacie rozpoczęcia i zakończenia akredytacji. W otwartym rejestrze uczestników zamówień, który wszyscy operatorzy platform elektronicznych są zobowiązani prowadzić zgodnie z normami 44-FZ, czasami można znaleźć dane osobowe - odnotował serwis prasowy Roseltorg. Jednak wszystkie informacje i dokumenty znajdujące się w rejestrze są przygotowywane przez samych oferentów, a operatorzy platform elektronicznych są zobowiązani do publikowania ich w niezmienionej formie - wyjaśnił przedstawiciel firmy.
Według Begtina problem tkwi w dwóch dużych lukach w przepisach. „Pierwszym z nich jest wymóg publikowania publicznie dostępnych decyzji o zatwierdzeniu dużych transakcji, które zgodnie z rosyjską praktyką często zawierają dane paszportowe założycieli” - wyjaśnił. Drugi to praktyka stosowania kwalifikowanego podpisu elektronicznego do publikacji dokumentów przez klientów i dostawców. „Podpis dołączony do takiego pliku zawiera te same metadane, co podpis elektroniczny - imię i nazwisko, e-mail, SNILS” - powiedział Begtin dla RBC.
Czy jawne umieszczanie danych paszportowych narusza prawo?
Przetwarzanie danych osobowych oferentów wymaga ich zgody i jest regulowane ustawą „O Danych Osobowych” - powiedział Andrey Arsentiev, analityk InfoWatch Group. „Oczywiście posiadanie danych osobowych w otwartym środowisku jest naruszeniem. Wygląda na to, że elektroniczne platformy transakcyjne nie zawsze zwracają wystarczającą uwagę na ochronę danych uczestników handlu, ponieważ nie ma ścisłej odpowiedzialności za naruszenia”- wyjaśnił.
Ujawnienie danych paszportowych może podlegać art. 137 Kodeksu karnego (odpowiedzialność karna za naruszenie prywatności) - mówi Konstantin Bochkarev, doradca kancelarii CMS. Przytacza przykład z praktyki sądowej, kiedy Sąd Miejski w Moskwie uznał numer telefonu za tajemnicę osobistą lub rodzinną. Publikując takie informacje, art. 13.11 Kodeksu Administracyjnego Federacji Rosyjskiej (naruszenie ustawodawstwa Federacji Rosyjskiej w zakresie danych osobowych) - twierdzi prawnik.
Co się stanie, jeśli dowiesz się o naruszeniu danych?
Według prawników osoba, która odkryła wyciek swoich danych, może zwrócić się do sądu o odszkodowanie. Jeśli jednak nie ma dowodów na istnienie strat materialnych, o odszkodowanie będzie trudno - przekonuje Bochkarev. „Dla zwykłego obywatela, którego nie stać na długie i kosztowne postępowanie sądowe, najskuteczniejszym sposobem jest udanie się bezpośrednio do witryny, na której publikowane są dane, i poproszenie o ich usunięcie” - powiedział.
Ponadto Roskomnadzor ma prawo ukarać witrynę elektroniczną po zgłoszeniu wycieku danych osobowych do prasy, nawet bez skarg od osób fizycznych. „W takim przypadku dane również zostaną szybko usunięte” - dodał Bochkarev. Zaznaczył, że takie „zaniedbanie” zagraża reputacji platform elektronicznych.
Ostatnie skandale związane z naruszeniem danych
Na początku kwietnia w Internecie pojawiła się baza danych pacjentów karetek z kilku miast pod Moskwą. Można na niej znaleźć nazwiska, adresy i numery telefonów, a także stan zdrowia osób, które konsultowały się z lekarzami. Komisja Śledcza zaczęła w tej sprawie sprawdzać.
Facebook był kilkakrotnie oskarżany o wycieki danych osobowych na dużą skalę. Ostatni raz miało to miejsce w kwietniu, kiedy dane były publicznie dostępne na innych platformach oraz w chmurze Amazon. Wcześniej przedstawiciele portalu społecznościowego odkryli, że hasła wielu użytkowników Facebooka były przechowywane na jego serwerach w postaci niezaszyfrowanej - w postaci zwykłego tekstu. Doniesiono, że podczas rutynowej kontroli bezpieczeństwa w styczniu ujawniono niewłaściwe przechowywanie informacji; wpłynęło to na „setki milionów użytkowników Facebooka Lite, dziesiątki milionów innych użytkowników Facebooka i dziesiątki tysięcy użytkowników Instagrama”.
Autorzy: Evgeniya Kuznetsova, Evgeniya Balenko
Występują: Michaił Nesterkin