Likumdošanas nepilnību dēļ informācija par pasēm un SNILS bija publiski pieejama
Elektroniskās vietnes publiskajā telpā ievieto nešifrētus izsoles dalībnieku personas datus. Tāpēc vairāk nekā 2,2 miljoni ierakstu ir publiski pieejami, ieskaitot SNILS numurus, pases un informāciju par nodarbinātību.
Kā sabiedrībai tika atrasts pasu un SNILS skaits?
Vismaz 2,24 miljoni ierakstu ar pases datiem, SNILS numuriem un informācija par krievu nodarbinātību ir publiski pieejami. To atklāja Ivana Begtins, Datu tirgu dalībnieku asociācijas priekšsēdētājs; viņa pētījums “Personas datu noplūde no atklātiem avotiem. RBC ir elektroniskas tirdzniecības platformas.
Pētījumā tika analizēta informācija no lielākajām Krievijas elektroniskās tirdzniecības platformām, kur komerciālie pirkumi un valdības pirkumi tiek izvietoti saskaņā ar federālajiem likumiem 44-FZ un 223-FZ, proti: ZakazRF iepirkumu modulis (562 tūkstoši ierakstu), RTS-tender (550 tūkstoši. ieraksti), Roseltorg (468 tūkstoši ierakstu), Nacionālā elektroniskā platforma (142 tūkstoši ierakstu), ETP AHRF (18 tūkstoši ierakstu) un Sberbank AST (500 tūkstoši ierakstu). Visās vietnēs varat atrast izsoles dalībnieku personisko informāciju.
Saucot šīs informācijas parādīšanos par noplūdi, tā var būt tikai daļa, Begtins noskaidroja sarunā ar RBC. "Šī ir sākotnējā pieejamība, kas saistīta ar kļūdām likumdošanā un [vietņu] izstrādātāju nezināšanu," viņš teica.
Reklāmas video:
Kā noplūst pases dati?
Begtins sniedza algoritmu personas datu iegūšanai no katras no minētajām vietnēm. Sākot darbu, viņi visi strādāja pie RBC materiāliem. Pēc tam, kad RBC uzrunāja Sberbank AST pārstāvjus, sistēma slēdza iespēju lejupielādēt datus.
Mehānisms dokumentu ar personas datiem lejupielādēšanai visās uzskaitītajās vietnēs ir vienāds. Vairumā gadījumu datus varēja atrast (par ko RBC bija pārliecināta) lēmumos, kas tur tika glabāti par atklātu izsoļu apstiprināšanu. Dažās no tām ir arī e-pasta adreses, SNILS numuri un informācija par izsoles dalībnieku nodarbinātību.
Kāpēc dati ir publiski pieejami?
Personas datu ievietošanas elektroniskajās platformās iemesls ir tas, ka lēmumos par lielu darījumu apstiprināšanu lielākajā daļā gadījumu ir informācija par tiem, kuri šo darījumu apstiprinājuši, kā arī par viņu pārstāvjiem.
RTS-Tender pārstāvis pastāstīja RBC, ka saskaņā ar likumu dalībnieku akreditācijai elektroniskajā platformā ir jāpārsūta noteikts dokumentu saraksts - viņa uzņēmums to augšupielādēja tīmekļa vietnē. Sberbank AST ģenerāldirektors Nikolajs Andrejevs pastāstīja RBC, ka saskaņā ar apstiprināto kārtību dalībnieku reģistrā ir informācija par organizācijas nosaukumu OGRN, TIN, kā arī akreditācijas sākuma un beigu datums. Atklātajā iepirkumu dalībnieku reģistrā, kuru visiem elektronisko platformu operatoriem ir jāuztur saskaņā ar 44-FZ normām, dažreiz var atrast personas datus, atzīmēja Roseltorgas preses dienests. Tomēr visu reģistrā parādīto informāciju un dokumentus sagatavo paši solītāji, un elektronisko platformu operatoriem ir pienākums tos publicēt nemainītos, skaidroja uzņēmuma pārstāvis.
Pēc Begtin domām, problēma slēpjas divās lielās nepilnībās likumdošanā. "Pirmais ir prasība publicēt publiski pieejamus lēmumus par galveno darījumu apstiprināšanu, kas saskaņā ar Krievijas praksi bieži ietver dibinātāju pases datus," viņš paskaidroja. Otrais ir praksē izmantot kvalificētu elektronisko parakstu, lai klienti un piegādātāji publicētu dokumentus. "Parakstam, kas pievienots šādam failam, ir tādi paši metadati kā elektroniskajam parakstam - pilns vārds, e-pasts, SNILS," Begtins pastāstīja RBC.
Vai atklāta pases datu izvietošana pārkāpj likumu?
Pretendentu personas datu apstrādei nepieciešama viņu piekrišana, un to regulē likums "Par personas datiem", sacīja Andrew Arsentiev, grupas InfoWatch analītiķis. “Protams, personas datu atrašana atklātā vidē ir pārkāpums. Acīmredzot elektroniskās tirdzniecības platformas ne vienmēr pievērš pietiekamu uzmanību tirdzniecības dalībnieku datu aizsardzībai, jo par pārkāpumiem nav stingras atbildības,”viņš skaidroja.
Uz pases datu izpaušanu var attiekties Art. Kriminālkodeksa 137. pants (kriminālatbildība par privātuma pārkāpšanu), saka Konstantīns Bočkarevs, advokātu biroja CMS padomnieks. Viņš min piemēru no tiesu prakses, kad Maskavas pilsētas tiesa atzina tālruņa numuru kā personisku vai ģimenes noslēpumu. Publicējot šādu informāciju, Art. Krievijas Federācijas Administratīvā kodeksa 13.11. Punktu (Krievijas Federācijas tiesību aktu pārkāpums personas datu jomā), apgalvo advokāts.
Ko darīt, ja uzzināsit par savu datu pārkāpumu?
Pēc juristu teiktā, indivīds, kurš ir atklājis savu datu noplūdi, var vērsties tiesā par zaudējumu atlīdzību. Tomēr, ja nav pierādījumu par materiālo zaudējumu faktu, būs grūti iegūt kompensāciju, ir pārliecināts Bočkarevs. "Parastam pilsonim, kurš nevar atļauties ilgu un dārgu tiesas procesu, visefektīvākais veids ir doties tieši uz vietni, kur dati tiek publicēti, un lūgt tos noņemt," viņš sacīja.
Turklāt Roskomnadzor ir tiesības uzlikt naudas sodu elektroniskajai vietnei, paziņojot presē par personas datu noplūdi, pat bez fizisku personu sūdzībām. "Šajā gadījumā arī dati tiks ātri izdzēsti," piebilda Bočkarevs. Viņš atzīmēja, ka šāda "nolaidība" apdraud elektronisko platformu reputācijas riskus.
Nesenie datu pārkāpumu skandāli
Aprīļa sākumā internetā tika ievietota datu bāze ar ambulatorās palīdzības slimniekiem no vairākām pilsētām netālu no Maskavas. No tā jūs varat uzzināt vārdus, adreses un tālruņu numurus, kā arī veselības stāvokli tiem, kuri konsultējās ar ārstiem. Izmeklēšanas komiteja sāka pārbaudīt šo lietu.
Facebook vairākas reizes ir apsūdzēts par liela mēroga personiskās informācijas noplūdi. Pēdējo reizi tas notika aprīlī, kad dati bija publiski pieejami citās platformās un Amazon mākoņa krātuvē. Pirms tam sociālā tīkla pārstāvji atklāja, ka vairāku Facebook lietotāju paroles tika glabātas tā serveros nešifrētā formā - vienkāršā tekstā. Tika ziņots, ka nepareiza informācijas glabāšana tika atklāta kārtējās drošības pārbaudes laikā janvārī; tas ietekmēja "simtiem miljonu Facebook Lite lietotāju, desmitiem miljonu citu Facebook lietotāju un desmitiem tūkstošu Instagram lietotāju".
Autori: Evgeniya Kuznetsova, Evgeniya Balenko
Attēlots: Mihails Nesterkins