Поради законодателни пропуски информацията за паспорти и SNILS беше публично достояние
Електронните сайтове пускат в публично пространство некриптирани лични данни на участниците в търга. Поради това повече от 2,2 милиона записа са публично достъпни, включително номера на SNILS, паспорти и информация за заетостта.
Как бяха намерени броя на паспортите и SNILS в публичното пространство?
Най-малко 2,24 милиона записи с паспортни данни, номера на SNILS и информация за заетостта на руснаците са публично достояние. Това откри Иван Бегтин, председател на Асоциацията на участниците в пазарите на данни; неговото изследване „Личните данни текат от открити източници. RBC има електронни платформи за търговия.
Проучването анализира информацията за най-големите руски платформи за електронна търговия, където търговските покупки и държавните покупки се поставят съгласно федералните закони 44-FZ и 223-FZ, а именно: модулът за закупуване ZakazRF (562 хиляди записа), RTS-търг (550 хиляди. записи), Roseltorg (468 хиляди записи), Национална електронна платформа (142 хиляди записи), ETP AHRF (18 хиляди записа) и Sberbank AST (500 хиляди записа). На всички сайтове можете да намерите личната информация на участниците в търга.
Наричането на появата на тази информация на изтичане може да бъде само разтягане, поясни Бегтин в разговор с RBC. „Това е първоначалната достъпност поради грешки в законодателството и незнание на разработчиците [на сайтовете]“, каза той.
Промоционално видео:
Как се пропускат паспортни данни?
Бегтин даде алгоритъм за получаване на лични данни от всеки от споменатите сайтове. Всички те работеха върху материала на RBC до началото на работата. След като RBC се обърна към представителите на Sberbank AST, системата затвори възможността за изтегляне на данни.
Механизмът за изтегляне на документи с лични данни на всички изброени сайтове е един и същ. В повечето случаи данните могат да бъдат намерени (както се убеди RBC) в решенията, съхранявани там при одобряването на открити търгове. Някои от тях също съдържат електронни адреси, номера на SNILS и информация за наемането на участници в търга.
Защо данните са публично достояние?
Причината личните данни да бъдат публикувани на електронни платформи е, че решенията за одобряване на големи транзакции в повечето случаи съдържат информация за тези, които са одобрили тази транзакция, както и за техните представители.
Представителят на RTS-Tender заяви пред RBC, че според закона за акредитация на участници в електронната платформа трябва да се прехвърли определен списък с документи - компанията му го качи на уебсайта. Николай Андреев, генерален директор на Sberbank AST, каза пред РБК, че според одобрената процедура регистърът на участниците съдържа информация за името на организацията, OGRN, TIN, както и началната и крайна дата на акредитация. В отворения регистър на участниците в обществената поръчка, който всички оператори на електронни платформи са длъжни да поддържат в съответствие с нормите на 44-FZ, понякога могат да се намерят лични данни, отбеляза пресслужбата на Roseltorg. Цялата информация и документи, показани в регистъра обаче, се подготвят от самите участници в търга и операторите на електронни платформи са длъжни да ги публикуват непроменени, обясни представителят на компанията.
Според Бегтин проблемът се състои в две големи пропуски в законодателството. „Първото е изискването за публикуване на обществено достъпни решения за одобряване на големи сделки, които според руската практика често включват паспортните данни на учредителите“, обясни той. Второто е в практиката да се използва квалифициран електронен подпис за публикуване на документи от клиенти и доставчици. „Подписът, прикачен към такъв файл, съдържа същите метаданни като електронния подпис - пълно име, електронна поща, SNILS“, каза Бегтин пред RBC.
Дали откритото поставяне на паспортни данни нарушава закона?
Обработката на лични данни на участници в търга изисква тяхното съгласие и се регулира от закона „За личните данни“, заяви Андрей Арсентиев, анализатор на InfoWatch Group. „Разбира се, наличието на лични данни в открита среда е нарушение. Очевидно електронните платформи за търговия не винаги обръщат достатъчно внимание на защитата на данните на участниците в търговията, тъй като няма строга отговорност за нарушенията “, обясни той.
Разкриването на паспортните данни може да попада в чл. 137 от Наказателния кодекс (наказателна отговорност за нарушаване на личния живот), казва Константин Бочкарев, съветник на адвокатската кантора CMS. Той цитира пример от съдебната практика, когато Московският градски съд разпознава телефонен номер като лична или семейна тайна. Когато публикува такава информация, чл. 13.11 от Административния кодекс на Руската федерация (нарушение на законодателството на Руската федерация в областта на личните данни), твърди адвокатът.
Ами ако разберете за нарушаването на вашите данни?
Според юристи физическо лице, което е открило изтичане на своите данни, може да се обърне към съда за обезщетение. Ако обаче няма доказателства за факта на материални загуби, ще бъде трудно да се получи обезщетение, убеден е Бочкарев. „За един обикновен гражданин, който не може да си позволи дълго и скъпо съдебно дело, най-ефективният начин е да отиде директно до сайта, където се публикуват данните, и да поиска да бъдат премахнати“, убеден е той.
Освен това Roskomnadzor има право да глобява електронния сайт, като съобщава за теч на лични данни в пресата, дори без оплаквания от страна на физически лица. „В този случай данните също бързо ще бъдат изтрити“, добави Бочкарев. Той отбеляза, че подобна "небрежност" заплашва репутационните рискове за електронните платформи.
Скорошни скандали за нарушаване на данни
В началото на април в интернет беше публикувана база данни на пациенти с линейка на няколко града в близост до Москва. От него можете да разберете имената, адресите и телефонните номера, както и здравословното състояние на тези, които са се консултирали с лекарите. Следственият комитет започна да проверява по този въпрос.
Фейсбук няколко пъти е обвинен в мащабни изтичания на лична информация. Последният път това се случи през април, когато данните бяха публично достъпни на други платформи и в облачно хранилище на Amazon. Преди това представители на социалната мрежа откриха, че паролите на редица потребители на Facebook се съхраняват на сървърите му в некриптиран вид - в обикновен текст. Съобщава се, че по време на рутинна проверка за сигурност през януари е разкрито неправилно съхранение на информация; това засегна „стотици милиони потребители на Facebook Lite, десетки милиони други потребители на Facebook и десетки хиляди потребители на Instagram“.
Автори: Евгения Кузнецова, Евгения Баленко
С участието на: Михаил Нестеркин