Две недели назад, на форумах обнаружили базы данных 600 тысяч клиентов сервисов Avito и Юла, среди которых фигурируют реальные адреса и номера телефонов. Базы до сих пор размещены в свободном доступе, их может скачать любой желающий. А представьте сколько человек уже скачало базу с умыслом разослать спам или, что еще хуже, выманить данные платежных карт пользователей. Администрация форумов не удаляет базы, так как не видят в этой ситуации никакой проблемы, а тем более нарушения, и говорят, что это не воровство персональных данных, а сбор открытых данных.

Новостями об утечке данных уже никого не удивишь


Июль и август 2020 года забит новостями о блокировке TikTok за несанкционированный сбор данных. Да и моя задача не удивить, а разобраться в вопросе, и сдержать обещание которое дал одному из читателей Хабра. Кстати, зовут меня Вячеслав Устименко, статью написал вместе с Беллой Фарзалиевой — IT юристом из международной юридической компании Icon Partners.

Почему это важно


Вопрос защиты и обработки персональных данных с каждым годом только набирает обороты. Защита персональных данных — это о свободе выбора человека, культуре общества и демократии. Независимым человеком тяжело управлять, его сложно обмануть и невозможно скопировать. Эту идею и несут известные регламенты защиты данных в ЕС (GDPR) и США (CCPA). В личном инстаграм аккаунте проводил опрос, даже юристы (90% моих подписчиков) пока плохо разбираются в вопросах защиты данных.

Вопрос звучал так: «Что из перечисленного ниже является персональными данными».
Прикрепляю скрин с результатами опроса.

Правильный ответ выбрали около 20% проголосовавших.



P.S. То что я с Украины, а статья о законах РФ не должно смущать вас, уважаемые читатели, так как экспертиза IT юриста не может быть ограничена одной страной.

Что такое персональные данные в РФ


Определение персональных данных в соответствии с Федеральным законом не сильно отличается от европейского или украинского, о котором писали в предыдущей статье.

Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, речь идет о любых данных, по которым можно идентифицировать человека.

В России использование и защита персональных данных регулируется многими документами, в частности, 152-ФЗ «О персональных данных», 149-ФЗ «Об информации, информационных технологиях и о защите информации», КоАП, УК РФ, ТК РФ и ГК РФ.

Открытые персональные данные. Что это за зверь.


#Посмотрим на ситуацию глазами пользователя

Возможно читатели еще не задумывались как персональные данные могут быть открытыми, ведь персональное звучит как личное, а открытое — как публичное.

При этом не покидает чувство уверенность в том, что после очередной беседы с телефонным продавцом каждый из нас думает «откуда у него мой номер» или «что это за странный звонок от незнакомого человека, который знает про меня больше, чем надо».

Итак, пользователи, которые выставляли на продажу что-либо через Авито, не удивляйтесь, что попали в хакерские базах данных, получили спам на почту или непонятный звонок от мошенников или «холодных продавцов».

Винить в такой ситуации можете только себя, ведь незнание законов не освобождает от ответственности.

Все что пользователь сам выложил о себе на публичное рассмотрение, проще говоря, в Интернете — становится общедоступным, то есть открытыми данными и может храниться, распространяться, использоваться без согласия пользователя.

Подтверждение из законодательства
Часть 1 статьи 152.2. Гражданского кодекса Российской Федерации.

Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни.

Не являются нарушением правил, установленных абзацем первым настоящего пункта, сбор, хранение, распространение и использование информации о частной жизни гражданина в государственных, общественных или иных публичных интересах, а также в случаях, если информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле.


Еще одно подтверждение
Пункт 4 статьи 7 ФЗ РФ № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.

#Вывод

Администрация Авито правомерно утверждает, что база данных на хакерских форумах полностью состоит из публичной информации, которая доступна у них на сайте и может быть собрана парсингом (автоматический сбор информации с помощью специальных программ), то есть ни о какой утечке данных речи не идет. В законных ли целях используются данные — это уже другой вопрос, который задать стоит точно не в адрес Авито.

Если не хотите, чтобы кто-то составлял, оценивал или использовал ваш потребительский портрет — оставляйте о себе меньше информации на публичных ресурсах.

Ниже смешной (но это не точно) комментарий с форума.



#Посмотрим на ситуацию глазами бизнеса
Возьмем за пример все тот же Авито, и рассмотрим вопросы:

  • является ли сайт оператором персональных данных,
  • нужно ли ему в обязательном порядке брать согласие на обработку данных и заявлять о себе в Роскомнадзор для включения в реестр операторов,
  • действительно ли Авито окажется безнаказанным.

В ситуации с утечкой данных, Авито действительно не при чем. Можно представить, что Авито — это забор, на котором пользовател написал «ПРОДАМ ГАРАЖ» и указал имя, телефон или другие данные для связи, а потом начал возмущается, почему данные знают, копируют или используют все кто проходил мимо забора.

Подтверждение из законодательства
Статья 10 Закона № 152-ФЗ.

Компания или физ. лицо, которые получили письменное согласие клиента на обработку данных — становится оператором общедоступных персональных данных, но к защите общедоступных персональных данных или проще говоря открытым данным, законодательство предъявляет минимальные в сравнении с другими категориями требования.

Еще одно подтверждение
Пункт 4 часть 2 статьи 22 «О персональных данных».

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных сделанных субъектом персональных данных общедоступными.

#Вывод

Авито — оператор персональных данных. Что касается уведомления Роскомнадзора — в законе есть исключения, но для Авито они не действует, так как эта площадка собирает и обрабатывает не только общедоступные данные. Но если сайт работает только с открытыми данными — уведомлять и ставиться на учет в Роскомнадзор не было бы нужды. Авито невиновен, а следовательно и не будет никакого наказания.

Данные могут утечь или быть законно получены не только с торговых площадок, но и с любого сайта или от мобильных операторов, из социальных сетей, банков, реестров, их можно извлечь из последовательности мобильных операций по банковской карте или с помощью скрытых функций приложений для смартфона, вариантов миллион.

Кстати, всем известно, что Хабр — это не форум, но тут есть возможность комментирования, а цель статьи — не удивить, а разобраться в вопросе.

Вопрос


В реалиях 2020 года нужно быть аккуратным с размещением персональных данных в интернете и поступать как в смешном комментарии выше, или вводить новые законодательные акты, а может просто пришла новая эпоха и стоит смириться с общедоступностью открытых данных?