Z dôvodu legislatívnych medzier boli informácie o pasoch a SNILS vo verejnej doméne
Elektronické stránky zverejňujú nezašifrované osobné údaje účastníkov aukcie. Z tohto dôvodu je verejne dostupných viac ako 2,2 milióna záznamov vrátane čísel SNILS, pasov a informácií o zamestnaní.
Ako sa našli verejné pasy a čísla pasov?
Vo verejnom vlastníctve je zverejnených najmenej 2,24 milióna záznamov s údajmi z cestovného pasu, číslami SNILS a informáciami o zamestnávaní Rusov. Zistil to Ivan Begtin, predseda Združenia účastníkov dátových trhov; jeho výskum „Únik osobných údajov z otvorených zdrojov. RBC má elektronické obchodné platformy.
Štúdia analyzovala informácie o najväčších ruských elektronických obchodných platformách, na ktoré sa komerčné a vládne nákupy vzťahujú podľa federálnych zákonov 44-FZ a 223-FZ, a to: nákupný modul ZakazRF (562 tisíc záznamov), ponuka RTS (550 tisíc). záznamov), Roseltorg (468 000 záznamov), Národná elektronická platforma (142 000 záznamov), ETP AHRF (18 000 záznamov) a Sberbank AST (500 tisíc záznamov). Na všetkých stránkach nájdete osobné informácie účastníkov aukcie.
Pri volaní vzhľadu tejto informácie môže únik predstavovať len úsek. Začať objasnené v rozhovore s RBC. „Toto je počiatočná dostupnosť kvôli chybám v právnych predpisoch a neznalosti vývojárov [stránok],“uviedol.
Propagačné video:
Ako dochádza k úniku údajov z pasu?
Begtin dal algoritmus na získavanie osobných údajov z každej z uvedených lokalít. Do začiatku práce všetci pracovali na materiáli RBC. Keď spoločnosť RBC oslovila zástupcov spoločnosti Sberbank AST, systém uzavrel možnosť sťahovania údajov.
Mechanizmus sťahovania dokumentov s osobnými údajmi na všetkých uvedených stránkach je rovnaký. Vo väčšine prípadov sa údaje našli (ako bola presvedčená RBC) v rozhodnutiach uložených na základe schválenia otvorených aukcií. Niektoré z nich obsahujú aj e-mailové adresy, čísla SNILS a informácie o zamestnávaní účastníkov aukcie.
Prečo sú údaje vo verejnej doméne?
Dôvodom zverejnenia osobných údajov na elektronických platformách je to, že rozhodnutia o schválení veľkých transakcií vo väčšine prípadov obsahujú informácie o tých, ktorí túto transakciu schválili, ako aj o ich zástupcoch.
Zástupca RTS-Tender povedal RBC, že podľa zákona musí byť na akreditáciu účastníkov na elektronickej platforme prevedený určitý zoznam dokumentov - jeho spoločnosť ich na webovú stránku nahrala. Nikolai Andreev, generálny riaditeľ Sberbank AST, povedal RBC, že podľa schváleného postupu register účastníkov obsahuje informácie o názve organizácie, OGRN, TIN, ako aj o počiatočnom a konečnom dátume akreditácie. V otvorenom registri účastníkov obstarávania, ktorý musia všetci prevádzkovatelia elektronických platforiem viesť v súlade s normami 44-FZ, sa niekedy dajú nájsť osobné údaje, uviedla tlačová služba spoločnosti Roseltorg. Všetky informácie a dokumenty zobrazené v registri sú však pripravené samotnými uchádzačmi a prevádzkovatelia elektronických platforiem sú povinní ich zverejňovať v nezmenenom stave, vysvetlil zástupca spoločnosti.
Podľa Beginta spočíva problém v dvoch veľkých medzerách v právnych predpisoch. „Prvou je požiadavka zverejňovať verejne dostupné rozhodnutia o schválení veľkých transakcií, ktoré podľa ruskej praxe často obsahujú údaje o pasoch zakladateľov,“vysvetlil. Druhým je v praxi používanie kvalifikovaného elektronického podpisu na zverejňovanie dokumentov zákazníkmi a dodávateľmi. „Podpis pripojený k takémuto súboru obsahuje rovnaké metadáta ako elektronický podpis - celé meno, e-mail, SNILY,“povedal Begtin RBC.
Porušuje otvorené umiestnenie pasových údajov zákon?
Spracovanie osobných údajov uchádzačov vyžaduje ich súhlas a je upravené zákonom „o osobných údajoch“, uviedol analytik spoločnosti InfoWatch Andrey Arsentiev. „Mať osobné údaje v otvorenom prostredí je samozrejme porušením. Elektronické obchodné platformy zrejme nie vždy venujú dostatočnú pozornosť ochrane údajov účastníkov obchodovania, pretože za porušenia niet striktnej zodpovednosti, “vysvetlil.
Zverejňovanie údajov z cestovného pasu môže spadať pod čl. 137 Trestného zákona (trestná zodpovednosť za porušenie súkromia), hovorí Konstantin Bochkarev, poradca advokátskej kancelárie CMS. Cituje príklad zo súdnej praxe, keď mestský súd v Moskve uznal telefónne číslo ako osobné alebo rodinné tajomstvo. Pri uverejňovaní takýchto informácií čl. 13.11 správneho poriadku Ruskej federácie (porušenie právnych predpisov Ruskej federácie v oblasti osobných údajov), advokát tvrdí.
Čo ak zistíte porušenie vašich údajov?
Podľa právnikov sa jednotlivec, ktorý zistil únik svojich údajov, môže obrátiť na súd o náhradu škody. Ak však neexistuje dôkaz o tom, že došlo k podstatným stratám, bude ťažké získať náhradu, je Bochkarev presvedčený. „Pre bežného občana, ktorý si nemôže dovoliť dlhý a nákladný súdny proces, je najúčinnejším spôsobom ísť priamo na web, kde sú údaje zverejnené, a požiadať ich o odstránenie,“uviedol.
Okrem toho má Roskomnadzor právo pokutovať elektronickú platformu po oznámení v tlači o úniku osobných údajov, a to aj bez sťažností jednotlivcov. "V tomto prípade sa údaje tiež rýchlo vymažú," dodal Bochkarev. Poznamenal, že takáto „nedbanlivosť“ohrozuje reputačné riziko elektronických platforiem.
Škandály s nedávnym porušením údajov
Začiatkom apríla bola na internete zverejnená databáza sanitných pacientov z niekoľkých miest neďaleko Moskvy. Z toho môžete zistiť mená, adresy a telefónne čísla, ako aj zdravotný stav tých, ktorí lekári vidia. Vyšetrovací výbor začal túto záležitosť kontrolovať.
Facebook bol niekoľkokrát obvinený z úniku rozsiahlych osobných informácií. Naposledy sa to stalo v apríli, keď boli údaje verejne dostupné na iných platformách a v cloudovom úložisku Amazon. Predtým zástupcovia spoločenskej siete zistili, že heslá viacerých používateľov Facebooku boli na svojich serveroch uložené v nezašifrovanej podobe - vo formáte obyčajného textu. Bolo hlásené, že pri rutinnej bezpečnostnej kontrole v januári bolo odhalené nesprávne uloženie informácií; ovplyvnilo to „stovky miliónov používateľov Facebook Lite, desiatky miliónov ďalších používateľov Facebooku a desiatky tisíc používateľov Instagramu.“
Autori: Evgeniya Kuznetsova, Evgeniya Balenko
Účinkujú: Michail Nesterkin