Oleh kerana jurang perundangan, maklumat mengenai pasport dan SNILS berada di domain awam
Laman web elektronik meletakkan data peribadi peserta lelong yang tidak disulitkan dalam domain awam. Oleh kerana itu, lebih daripada 2.2 juta rekod tersedia untuk umum, termasuk nombor SNILS, pasport dan maklumat mengenai pekerjaan.
Bagaimana bilangan pasport dan SNILS dijumpai di domain awam?
Sekurang-kurangnya 2.24 juta penyertaan dengan data pasport, nombor SNILS dan maklumat mengenai pekerjaan orang Rusia berada di domain awam. Perkara ini ditemui oleh Ivan Begtin, ketua Persatuan Peserta Pasar Data; penyelidikannya Data peribadi bocor dari sumber terbuka. RBC mempunyai platform perdagangan elektronik.
Kajian ini menganalisis maklumat platform perdagangan elektronik Rusia terbesar di mana pembelian komersial dan pembelian kerajaan diletakkan di bawah undang-undang persekutuan 44-FZ dan 223-FZ, iaitu: modul pembelian ZakazRF (562 ribu entri), RTS-tender (550 ribu. rekod), Roseltorg (468 ribu rekod), Platform Elektronik Nasional (142 ribu rekod), ETP AHRF (18 ribu rekod) dan Sberbank AST (500 ribu rekod). Di semua laman web, anda boleh mendapatkan maklumat peribadi peserta lelong.
Menyebut kemunculan maklumat ini hanya kebocoran, Begtin menjelaskan dalam perbualan dengan RBC. "Ini adalah aksesibilitas awal kerana kesalahan dalam perundangan dan ketidaktahuan pemaju [dari laman web]," katanya.
Video promosi:
Bagaimana data pasport dibocorkan?
Begtin memberikan algoritma untuk mendapatkan data peribadi dari setiap laman web yang disebutkan. Kesemua mereka mengusahakan bahan RBC pada saat kerja dimulakan. Setelah RBC menghubungi perwakilan Sberbank AST, sistem menutup kemampuan memuat turun data.
Mekanisme memuat turun dokumen dengan data peribadi di semua laman web yang disenaraikan adalah sama. Dalam kebanyakan kes, data dapat ditemukan (seperti yang diyakini oleh RBC) dalam keputusan yang disimpan di sana atas persetujuan lelong terbuka. Sebahagian daripadanya juga mengandungi alamat e-mel, nombor SNILS dan maklumat mengenai pekerjaan peserta lelong.
Mengapa data dalam domain awam?
Sebab mengapa data peribadi disiarkan di platform elektronik adalah bahawa keputusan untuk meluluskan transaksi besar dalam kebanyakan kes mengandungi maklumat mengenai mereka yang menyetujui transaksi ini, serta wakilnya.
Seorang wakil RTS-Tender memberitahu RBC bahawa menurut undang-undang, untuk pentauliahan peserta di platform elektronik, senarai dokumen tertentu mesti dipindahkan - syarikat memuat naiknya ke laman web. Nikolai Andreev, Ketua Pengarah Sberbank AST, memberitahu RBC bahawa mengikut prosedur yang diluluskan, daftar peserta mengandungi maklumat mengenai nama organisasi, OGRN, TIN, serta tarikh mula dan akhir akreditasi. Dalam daftar terbuka peserta perolehan, yang harus dikendalikan oleh semua pengendali platform elektronik sesuai dengan norma 44-FZ, kadang-kadang data peribadi dapat dijumpai, kata perkhidmatan pers Roseltorg. Bagaimanapun, semua maklumat dan dokumen yang dipaparkan dalam daftar disediakan oleh penawar sendiri, dan pengendali platform elektronik wajib menerbitkannya tidak berubah, jelas wakil syarikat itu.
Menurut Begtin, masalahnya terletak pada dua jurang besar dalam perundangan. "Yang pertama adalah syarat untuk menerbitkan keputusan yang tersedia untuk umum mengenai persetujuan transaksi besar, yang, menurut praktik Rusia, sering kali memasukkan data pasport pengasas," jelasnya. Yang kedua adalah dalam praktik menggunakan tandatangan elektronik yang memenuhi syarat untuk penerbitan dokumen oleh pelanggan dan pembekal. "Tanda tangan yang dilampirkan pada fail tersebut mengandungi metadata yang sama dengan tandatangan elektronik - nama penuh, e-mel, SNILS," kata Begtin kepada RBC.
Apakah penempatan data pasport secara terbuka melanggar undang-undang?
Pemprosesan data peribadi pembida memerlukan persetujuan mereka dan diatur oleh undang-undang "Tentang Data Peribadi", kata Andrey Arsentiev, penganalisis InfoWatch Group. “Sudah tentu, memiliki data peribadi di lingkungan terbuka adalah pelanggaran. Nampaknya, platform perdagangan elektronik tidak selalu memberi perhatian yang cukup untuk melindungi data peserta perdagangan, kerana tidak ada tanggung jawab yang ketat atas pelanggaran,”jelasnya.
Pendedahan data pasport mungkin termasuk dalam Art. 137 Kanun Jenayah (tanggungjawab jenayah kerana pelanggaran privasi), kata Konstantin Bochkarev, penasihat firma undang-undang CMS. Dia memetik contoh dari praktik kehakiman, ketika Mahkamah Kota Moscow mengakui nombor telefon sebagai rahsia peribadi atau keluarga. Semasa menerbitkan maklumat tersebut, Art. 13.11 Kanun Pentadbiran Persekutuan Rusia (pelanggaran perundangan Persekutuan Rusia dalam bidang data peribadi), kata peguam itu.
Bagaimana jika anda mengetahui mengenai pelanggaran data anda?
Menurut peguam, seorang individu yang telah menemui kebocoran data boleh pergi ke mahkamah untuk ganti rugi. Namun, jika tidak ada bukti tentang fakta kerugian material, sukar untuk mendapatkan pampasan, Bochkarev yakin. "Bagi warganegara biasa yang tidak mampu menuntut tuntutan yang panjang dan mahal, cara yang paling berkesan adalah pergi langsung ke laman web di mana data diterbitkan dan meminta mereka dikeluarkan," katanya.
Sebagai tambahan, Roskomnadzor berhak mendenda laman web elektronik apabila melaporkan kebocoran data peribadi di akhbar, walaupun tanpa aduan daripada individu. "Dalam kes ini, data juga akan dihapus dengan cepat," tambah Bochkarev. Dia menyatakan bahawa "kelalaian" tersebut mengancam risiko reputasi untuk platform elektronik.
Skandal pelanggaran data terkini
Pada awal April, pangkalan data pesakit ambulans dari beberapa bandar berhampiran Moscow telah diposkan di Internet. Dari situ anda dapat mengetahui nama, alamat dan nombor telefon, serta keadaan kesihatan mereka yang berkonsultasi dengan doktor. Jawatankuasa Siasatan mula memeriksa perkara ini.
Facebook telah beberapa kali dituduh membocorkan maklumat peribadi secara besar-besaran. Kali terakhir ini berlaku adalah pada bulan April, ketika data tersedia secara terbuka di platform lain dan di penyimpanan awan Amazon. Sebelum ini, perwakilan rangkaian sosial mengetahui bahawa kata laluan sejumlah pengguna Facebook disimpan di pelayannya dalam bentuk yang tidak dienkripsi - dalam teks biasa. Dilaporkan bahawa penyimpanan maklumat yang tidak betul telah dinyatakan semasa pemeriksaan keselamatan rutin pada bulan Januari; ia mempengaruhi "ratusan juta pengguna Facebook Lite, puluhan juta pengguna Facebook lain dan puluhan ribu pengguna Instagram."
Pengarang: Evgeniya Kuznetsova, Evgeniya Balenko
Menampilkan: Mikhail Nesterkin
