Seadusandlike lünkade tõttu oli passide ja SNILSide teave avalikkusele kättesaadav
Elektroonilised saidid panevad oksjonil osalejate krüptimata isikuandmed avalikku omandisse. Seetõttu on avalikult kättesaadav üle 2,2 miljoni kirje, sealhulgas SNILSi numbrid, passid ja teave tööhõive kohta.
Kuidas leiti passide ja SNIL-de arv avalikus omandis?
Vähemalt 2,24 miljonit sisestust passiandmete, SNILS-numbrite ja venelaste tööhõivealase teabega on avalikkusele kättesaadavad. Selle avastas andmeturul osalejate liidu esimees Ivan Begtin; tema uurimus „Isikuandmete lekked avatud allikatest. RBC-l on elektroonilised kauplemisplatvormid.
Uuringus analüüsiti teavet Venemaa suurimatelt elektroonilistelt kauplemisplatvormidelt, kus kommertsostud ja valitsuse ostud on föderaalseaduste 44-FZ ja 223-FZ alusel, nimelt: ZakazRF-i ostumoodul (562 tuhat kannet), RTS-tender (550 tuhat). kirjet), Roseltorg (468 tuhat kirjet), Riiklik elektrooniline platvorm (142 tuhat kirjet), ETP AHRF (18 tuhat kirjet) ja Sberbank AST (500 tuhat kirjet). Kõigilt saitidelt leiate oksjonil osalejate isiklikke andmeid.
Selle teabe ilmnemise nimetamine lekkeks võib olla ainult venitus, täpsustas Begtin vestluses RBC-ga. "See on esialgne juurdepääsetavus, mis tuleneb vigadest seadustes ja [saitide] arendajate teadmatusest," ütles ta.
Reklaamvideo:
Kuidas passiandmeid lekitatakse?
Begtin esitas algoritmi kõigi nimetatud saitidelt isikuandmete saamiseks. Kõik nad töötasid selleks ajaks RBC materjalide kallal. Pärast seda, kui RBC pöördus Sberbank AST esindajate poole, sulges süsteem andmete allalaadimise võimaluse.
Isikuandmetega dokumentide allalaadimise mehhanism kõigil loetletud saitidel on sama. Enamikul juhtudel võis andmeid (nagu RBC oli veendunud) leida seal säilitatavate otsuste kohta avatud oksjonite kinnitamise kohta. Mõned neist sisaldavad ka e-posti aadresse, SNILS-numbreid ja teavet oksjonil osalejate tööhõive kohta.
Miks on andmed avalikus omandis?
Isikuandmete elektroonilistele platvormidele postitamise põhjuseks on asjaolu, et suurte tehingute heakskiitmise otsused sisaldavad enamasti teavet selle tehingu heaks kiitnud isikute ja nende esindajate kohta.
RTS-Tenderi esindaja ütles RBC-le, et seaduse kohaselt tuleb elektroonilisel platvormil osalejate akrediteerimiseks edastada teatud loetelu dokumentidest - tema ettevõte laadis selle üles veebisaidile. Sberbank AST peadirektor Nikolai Andrejev ütles RBC-le, et vastavalt kinnitatud protseduurile sisaldab osalejate register teavet organisatsiooni nime OGRN, TIN ning akrediteerimise alguse ja lõpu kuupäeva kohta. Hankemenetluses osalejate avatud registris, mida kõik elektrooniliste platvormide operaatorid on kohustatud pidama vastavalt 44-FZ normidele, võib mõnikord leida isikuandmeid, märkis Roseltorgi pressiteenistus. Kogu registris kuvatava teabe ja dokumendid koostavad pakkujad aga ise ning elektrooniliste platvormide operaatorid on kohustatud need muutmata kujul avaldama, selgitas ettevõtte esindaja.
Begtini sõnul seisneb probleem kahes suures lüngas seadusandluses. “Esimene on nõue avaldada avalikult kättesaadavad otsused suuremate tehingute heakskiitmise kohta, mis sisaldavad Venemaa tava kohaselt sageli ka asutajate passi andmeid,” selgitas ta. Teine on praktikas kvalifitseeritud elektroonilise allkirja kasutamine dokumentide avaldamiseks klientide ja tarnijate poolt. "Sellisele failile lisatud allkiri sisaldab samu metaandmeid nagu elektrooniline allkiri - täisnimi, e-post, SNILS," rääkis Begtin RBC-le.
Kas passiandmete avatud paigutamine rikub seadusi?
Pakkujate isikuandmete töötlemiseks on vaja nende nõusolekut ja see on reguleeritud seadusega "Isikuandmete kohta", ütles InfoWatch Groupi analüütik Andrei Arsentiev. “Muidugi on isikuandmete hoidmine avatud keskkonnas rikkumine. Ilmselt ei pööra elektroonilised kauplemisplatvormid alati piisavalt tähelepanu kauplemises osalejate andmete kaitsele, kuna rikkumiste eest ei ole ranget vastutust, “selgitas ta.
Passiandmete avalikustamine võib kuuluda artikli 6 alla. Kriminaalkoodeksi 137 (kriminaalvastutus eraelu puutumatuse rikkumise eest), ütles advokaadibüroo CMS nõunik Konstantin Bochkarev. Ta toob näite kohtupraktikast, kui Moskva linnakohus tunnistas telefoninumbri isiklikuks või perekonna saladuseks. Sellise teabe avaldamisel on Art. Vene Föderatsiooni halduskoodeksi 13.11 (Vene Föderatsiooni isikuandmete valdkonna õigusaktide rikkumine) väidab advokaat.
Mis siis, kui saate teada oma andmeterikkumisest?
Advokaatide sõnul võib isik, kes on avastanud oma andmetest lekke, pöörduda kahju hüvitamiseks kohtusse. Kui aga materiaalse kahju fakti kohta pole tõendeid, on hüvitist keeruline saada, on Bochkarev veendunud. "Tavakodaniku jaoks, kes ei saa pikka ja kulukat kohtuasja lubada, on kõige tõhusam viis minna otse saidile, kus andmed avaldatakse, ja paluda need eemaldada," ütles ta.
Lisaks on Roskomnadzoril õigus ajakirjanduses avaldatud isikuandmete lekkest teatamise korral trahvida elektroonilist saiti isegi ilma eraisikute kaebusteta. "Sel juhul kustutatakse ka andmed kiiresti," lisas Bochkarev. Ta märkis, et selline "hooletus" ohustab elektrooniliste platvormide maineriski.
Hiljutised andmete rikkumise skandaalid
Aprilli alguses postitati Internetis mitme Moskva lähedal asuva linna kiirabipatsientide andmebaas. Siit saate teada arstide poole pöördujate nimesid, aadresse ja telefoninumbreid ning ka nende tervislikku seisundit. Juurdluskomitee asus seda küsimust kontrollima.
Facebooki on mitu korda süüdistatud ulatuslikus isikuandmete lekitamises. Viimati juhtus see aprillis, kui andmed olid avalikult kättesaadavad teistel platvormidel ja Amazoni pilvesalvestuses. Enne seda avastasid sotsiaalvõrgustiku esindajad, et mitmete Facebooki kasutajate paroole hoiti selle serverites krüptimata kujul - lihttekstina. Teatati, et jaanuaris toimunud korrapärase turvakontrolli käigus avastati teabe valesti salvestamine; see mõjutas "sadu miljoneid Facebook Lite'i kasutajaid, kümneid miljoneid teisi Facebooki kasutajaid ja kümneid tuhandeid Instagrami kasutajaid".
Autorid: Evgeniya Kuznetsova, Evgeniya Balenko
Kavas: Mihhail Nesterkin
