Dėl įstatymų spragų informacija apie pasus ir SNILS buvo viešai prieinama
Elektroninės svetainės viešai skelbia nešifruotus aukcionų dalyvių asmens duomenis. Dėl šios priežasties daugiau kaip 2,2 mln. Įrašų yra viešai prieinami, įskaitant SNILS numerius, pasus ir informaciją apie užimtumą.
- „Salik.biz“
Kaip pasų ir SNILS numeriai buvo rasti viešoje erdvėje?
Mažiausiai 2,24 mln. Įrašų su pasų duomenimis, SNILS numeriais ir informacija apie rusų įdarbinimą yra vieša. Tai sužinojo Duomenų rinkų dalyvių asociacijos pirmininkas Ivanas Begtinas; jo tyrimas „Asmeninių duomenų nutekėjimas iš atvirų šaltinių. RBC turi elektronines prekybos platformas.
Tyrime buvo analizuota didžiausių Rusijos elektroninių prekybos platformų, kuriose komerciniai pirkimai ir vyriausybių pirkimai yra vykdomi pagal federalinius įstatymus 44-FZ ir 223-FZ, duomenys: pirkimo modulis „ZakazRF“(562 tūkst. Įrašų), RTS-tenderis (550 tūkst.). įrašai), „Roseltorg“(468 tūkst. įrašų), Nacionalinė elektroninė platforma (142 tūkst. įrašų), ETP AHRF (18 tūkst. įrašų) ir „Sberbank AST“(500 tūkst. įrašų). Visose svetainėse galite rasti aukcionų dalyvių asmeninę informaciją.
Pavadinimas šios informacijos pasirodymu nutekėjimu gali būti tik ruožas, - Begtin paaiškino pokalbyje su RBC. „Tai yra pradinis prieinamumas dėl teisės aktų klaidų ir kūrėjų [svetainių] nežinojimo“, - sakė jis.
Reklaminis vaizdo įrašas:
Kaip nutekėja paso duomenys?
„Begtin“pateikė algoritmą asmens duomenims iš kiekvienos iš paminėtų svetainių gauti. Visi jie iki darbo pradžios dirbo prie RBC medžiagos. Po to, kai RBC kreipėsi į „Sberbank AST“atstovus, sistema uždarė galimybę atsisiųsti duomenis.
Dokumentų su asmens duomenimis atsisiuntimo visose išvardytose svetainėse mechanizmas yra tas pats. Daugeliu atvejų duomenų (kaip buvo įsitikinusi RBC) buvo galima rasti ten saugomuose sprendimuose dėl atvirų aukcionų patvirtinimo. Kai kuriuose iš jų taip pat yra el. Pašto adresai, SNILS numeriai ir informacija apie aukciono dalyvių įdarbinimą.
Kodėl duomenys yra viešai prieinami?
Asmens duomenys skelbiami elektroninėse platformose dėl to, kad sprendimai patvirtinti didelius sandorius dažniausiai būna informacija apie tuos, kurie patvirtino šį sandorį, taip pat apie jų atstovus.
„RTS-Tender“atstovas RBC teigė, kad pagal įstatymus, norint akredituoti dalyvius elektroninėje platformoje, turi būti perduotas tam tikras dokumentų sąrašas - jo įmonė jį įkėlė į interneto svetainę. Nikolajus Andrejevas, „Sberbank AST“generalinis direktorius, sakė RBC, kad pagal patvirtintą tvarką, dalyvių registre pateikiama informacija apie organizacijos pavadinimą, OGRN, TIN, taip pat akreditacijos pradžios ir pabaigos data. Atvirame viešųjų pirkimų dalyvių registre, kurį privalo prižiūrėti visi elektroninių platformų operatoriai, laikydamiesi 44-FZ normų, kartais galima rasti asmens duomenų, pažymėjo „Roseltorg“spaudos tarnyba. Tačiau visą registre rodomą informaciją ir dokumentus rengia patys konkurso dalyviai, o elektroninių platformų operatoriai įpareigoti skelbti juos nepakeistus, paaiškino bendrovės atstovas.
Begtin teigimu, problema slypi dviejose didelėse įstatymų spragose. „Pirmasis yra reikalavimas skelbti viešai prieinamus sprendimus dėl pagrindinių sandorių patvirtinimo, kurie, remiantis Rusijos praktika, dažnai apima steigėjų pasų duomenis“, - aiškino jis. Antrasis dalykas yra praktikoje naudoti kvalifikuotą elektroninį parašą, kai klientai ir tiekėjai skelbia dokumentus. „Prie tokio failo pridėtame parašas turi tuos pačius metaduomenis kaip ir elektroninis parašas - vardas, pavardė, el. Paštas, SNILS“, - RBC pasakojo Begtin.
Ar atviras pasų duomenų talpinimas pažeidžia įstatymus?
Konkurso dalyvių asmens duomenų tvarkymui reikalingas jų sutikimas ir tai reglamentuoja įstatymas „Dėl asmens duomenų“, - sakė grupės „InfoWatch“analitikas Andrejus Arsentjevas. „Žinoma, asmens duomenų turėjimas atviroje aplinkoje yra pažeidimas. Matyt, elektroninės prekybos platformos ne visada skiria pakankamai dėmesio prekybos dalyvių duomenų apsaugai, nes nėra griežtos atsakomybės už pažeidimus “, - aiškino jis.
Paso duomenų atskleidimas gali būti įtrauktas į 4 str. 137 Baudžiamasis kodeksas (baudžiamoji atsakomybė už privatumo pažeidimą), sako advokatų kontoros CMS patarėjas Konstantinas Bochkarevas. Jis cituoja teismų praktikos pavyzdį, kai Maskvos miesto teismas telefono numerį pripažino asmenine ar šeimos paslaptimi. Skelbiant tokią informaciją, str. Rusijos Federacijos administracinio kodekso 13.11 punktas (Rusijos Federacijos įstatymų pažeidimas asmens duomenų srityje), teigia advokatas.
Ką daryti, jei sužinosite apie savo duomenų pažeidimą?
Advokatų teigimu, asmuo, atradęs savo duomenų nutekėjimą, gali kreiptis į teismą dėl žalos atlyginimo. Tačiau, jei nėra įrodymų apie materialinių nuostolių faktą, bus sunku gauti kompensaciją, įsitikinęs Bochkarevas. „Paprastam piliečiui, kuris negali sau leisti ilgo ir brangaus teismo proceso, veiksmingiausias būdas yra kreiptis tiesiai į svetainę, kurioje skelbiami duomenys, ir paprašyti jų pašalinti“, - sakė jis.
Be to, „Roskomnadzor“turi teisę skirti baudą elektroninei svetainei pranešus apie asmens duomenų nutekėjimą spaudoje, net neturint asmenų skundų. „Tokiu atveju duomenys taip pat bus greitai ištrinti“, - pridūrė Bochkarevas. Jis pažymėjo, kad toks „aplaidumas“kelia grėsmę elektroninių platformų reputacijai.
Naujausi duomenų pažeidimų skandalai
Balandžio pradžioje internete buvo paskelbta kelių netoli Maskvos esančių miestų greitosios pagalbos pacientų duomenų bazė. Iš jo galite sužinoti pavardes, adresus ir telefonų numerius, taip pat sveikatos būklę tiems, kurie konsultavosi su gydytojais. Tyrimo komitetas pradėjo tikrinti šį reikalą.
„Facebook“keletą kartų buvo apkaltintas didelio masto asmeninės informacijos nutekėjimu. Paskutinį kartą tai nutiko balandžio mėnesį, kai duomenys buvo viešai prieinami kitose platformose ir „Amazon“debesies saugykloje. Prieš tai socialinio tinklo atstovai išsiaiškino, kad daugelio „Facebook“vartotojų slaptažodžiai buvo saugomi jo serveriuose nešifruota forma - paprastu tekstu. Pranešama, kad netinkamas informacijos saugojimas buvo atskleistas atliekant sausio mėn. Įprastą saugumo patikrinimą; tai paveikė „šimtus milijonų„ Facebook Lite “vartotojų, dešimtis milijonų kitų„ Facebook “vartotojų ir dešimtis tūkstančių„ Instagram “vartotojų“.
Autoriai: Evgeniya Kuznetsova, Evgeniya Balenko
Vaidina: Michailas Nesterkinas