A jogalkotási hiányosságok miatt az útlevelekre és az SNILS-re vonatkozó információk nyilvánosak voltak
Az elektronikus oldalak az aukció résztvevőinek titkosítatlan személyes adatait közzéteszik. Emiatt több mint 2,2 millió rekord nyilvánosan hozzáférhető, ideértve az SNILS-számokat, útleveleket és a foglalkoztatással kapcsolatos információkat.
Hogyan találták meg az útlevelek és az SNIL-ok számát a nyilvánosság számára?
Legalább 2,24 millió bejegyzés az útlevél-adatokkal, a SNILS-számokkal és az oroszok foglalkoztatásával kapcsolatos információk nyilvánosan elérhetőek. Ezt Ivan Begtin, az adatpiac résztvevőinek szövetségének elnöke fedezte fel; kutatása „Nyilvános forrásokból származó személyes adatok szivárognak. Az RBC elektronikus kereskedési platformokkal rendelkezik.
A tanulmány elemezte a legnagyobb orosz elektronikus kereskedési platformok adatait, ahol a kereskedelmi és állami beszerzéseket a 44-FZ és a 223-FZ szövetségi törvények alá helyezik, nevezetesen: a ZakazRF beszerzési modul (562 ezer bejegyzés), RTS-tender (550 ezer). rekordok), Roseltorg (468 ezer rekord), a Nemzeti Elektronikus Platform (142 ezer rekord), az ETP AHRF (18 ezer rekord) és a Sberbank AST (500 ezer rekord). Minden oldalon megtalálhatja az aukció résztvevőinek személyes adatait.
Ezen információk megjelenését szivárgásnak csak szakaszosnak tekintheti - magyarázta Begtin az RBC-vel folytatott beszélgetésben. "Ez a kezdeti hozzáférhetőség a jogszabályi hibák és a fejlesztők tudatlansága miatt [a helyek]" - mondta.
Promóciós videó:
Hogyan szivárognak az útlevelek adatai?
Begtin algoritmust adott a személyes adatok megszerzésére az említett webhelyek mindegyikéről. A munka megkezdésekor mindannyian dolgoztak az RBC anyagán. Miután az RBC felhívta a Sberbank AST képviselőit, a rendszer lezárta az adatok letöltésének lehetőségét.
A személyes adatokkal rendelkező dokumentumok letöltésének mechanizmusa az összes felsorolt webhelyen azonos. Az esetek többségében (amire az RBC meg volt győződve) az adatok megtalálhatók az ott tárolt, a nyílt aukciók jóváhagyásáról szóló határozatokban. Néhányuk e-mail címeket, SNILS számokat és információkat tartalmaz az aukció résztvevőinek foglalkoztatásáról.
Miért vannak az adatok köztulajdonban?
A személyes adatok elektronikus platformon történő közzétételének oka az, hogy a nagy ügyletek jóváhagyásáról szóló határozatok a legtöbb esetben információkat tartalmaznak az ügyletet jóváhagyó személyekről és azok képviselőiről.
Az RTS-Tender képviselője elmondta az RBC-nek, hogy a törvény szerint a résztvevők elektronikus platformon történő akkreditálása érdekében át kell adni egy bizonyos listát a dokumentumokról - a társaság feltöltötte a weboldalra. Nikolai Andreev, a Sberbank AST főigazgatója elmondta az RBC-nek, hogy a jóváhagyott eljárás szerint a résztvevők nyilvántartása információkat tartalmaz a szervezet nevéről, OGRN, TIN, valamint az akkreditáció kezdő és befejező dátumáról. A beszerzési résztvevők nyilvános nyilvántartásában, amelyet az elektronikus platformok minden üzemeltetőjének a 44-FZ előírásainak megfelelően fenn kell tartania, néha személyes adatok is megtalálhatók - jegyezte meg a Roseltorg sajtószolgálata. A nyilvántartásban szereplő összes információt és dokumentumokat azonban maguk az ajánlattevők készítik el, és az elektronikus platformok üzemeltetői kötelesek ezeket változatlanul közzétenni - magyarázta a cég képviselője.
Begtin szerint a probléma a jogszabályok két nagy résében rejlik. "Az első a nagy tranzakciók jóváhagyásáról szóló nyilvánosan elérhető határozatok közzétételének követelménye, amelyek az orosz gyakorlat szerint gyakran tartalmazzák az alapítók útleveleit" - magyarázta. A második gyakorlatban egy minősített elektronikus aláírást használnak a dokumentumok ügyfelek és beszállítók általi közzétételére. "Az ilyen fájlhoz csatolt aláírás ugyanazokat a metaadatokat tartalmazza, mint az elektronikus aláírás - teljes név, e-mail, SNILS" - mondta Begtin az RBC-nek.
Az útlevél-adatok nyílt elhelyezése sérti a törvényt?
Az ajánlattevők személyes adatainak feldolgozása hozzájárulásukat igényli és a személyes adatokról szóló törvény szabályozza - mondta Andrej Arsentiev, az InfoWatch Group elemzője. „Természetesen sértés az, ha a személyes adatokat nyílt környezetben tartjuk. Nyilvánvaló, hogy az elektronikus kereskedési platformok nem mindig fordítanak kellő figyelmet a kereskedési résztvevők adatainak védelmére, mivel a jogsértésekért nincs szigorú felelősség”- magyarázta.
Az útlevelek adatainak közzététele a 20. cikk hatálya alá tartozik. A Büntető Törvénykönyv 137. cikke (a magánélet megsértéséért felelős büntetőjogi felelősség) - mondja Konstantin Bochkarev, a CMS ügyvédi iroda tanácsadója. Hivatkozik egy példára az igazságügyi gyakorlatról, amikor a moszkvai városi bíróság a telefonszámot személyes vagy családi titokként ismerte el. Az ilyen információk közzétételekor az Art. Az Orosz Föderáció Közigazgatási Kódexének 13.11. Cikke (az Orosz Föderáció személyes adatokra vonatkozó jogszabályainak megsértése) állítja az ügyvéd.
Mi lenne, ha megtudja az adatsértésről?
Az ügyvédek szerint az a személy, aki adatainak szivárgását fedezte fel, bírósághoz fordulhat kártérítésért. Ha azonban nincs bizonyíték a vagyoni veszteség tényéről, nehéz lesz kompenzációt szerezni - győződött meg Bochkarev. "Egy hétköznapi polgár számára, aki nem engedheti meg magának a hosszú és költséges pert, a leghatékonyabb módszer az, ha közvetlenül az a hely kerül meglátogatásra, ahol az adatokat közzéteszik, és kéri az eltávolítást" - mondta.
Ezenkívül a Roskomnadzornak joga van pénzbírságot szabni az elektronikus platformon, amikor a sajtó beszámol a személyes adatok szivárgásáról, még az egyének panasza nélkül is. "Ebben az esetben az adatok is gyorsan törlődnek" - tette hozzá Bochkarev. Megjegyezte, hogy az ilyen "gondatlanság" fenyegeti az elektronikus platformok hírnevét.
A legutóbbi adatsértési botrányok
Április elején az Moszkva közelében fekvő városok mentőbetegeinek adatbázisát közzétették az interneten. Ebből megtudhatja a nevét, címét és telefonszámát, valamint az orvosokkal konzultált személyek egészségi állapotát. A vizsgálóbizottság elkezdte ellenőrizni ezt a kérdést.
A Facebook-ot több alkalommal vádolták a nagyszabású személyes információszivárgás miatt. Legutóbb ez áprilisban történt, amikor az adatok nyilvánosan hozzáférhetőek voltak más platformokon és az Amazon felhőtárolójában. Ezt megelőzően a közösségi hálózat képviselői felfedezték, hogy számos Facebook-felhasználó jelszavait titkosítatlan formában - egyszerű szövegben - tárolták a szerverén. Úgy tűnik, hogy az információk nem megfelelő tárolására a januári rutin biztonsági ellenőrzés során derült fény; befolyásolta a "több száz millió Facebook Lite-felhasználót, több tízmillió más Facebook-felhasználót és több tízezer Instagram-felhasználót".
Szerzők: Evgeniya Kuznetsova, Evgeniya Balenko
Közreműködik: Mihail Nesterkin