Data terbuka dan pribadi. Analisis kasus "kebocoran data" dengan Avito

Dua minggu lalu, database 600 ribu klien layanan Avito dan Yula ditemukan di forum, di antaranya ada alamat dan nomor telepon asli. Basis datanya masih tersedia secara gratis, siapa pun dapat mengunduhnya. Bayangkan berapa banyak orang yang telah mendownload database dengan maksud untuk mengirimkan spam atau, lebih buruk lagi, menipu data kartu pembayaran pengguna. Administrasi forum tidak menghapus basis, karenaMereka tidak melihat adanya masalah dalam situasi ini, apalagi pelanggaran, dan mereka mengatakan bahwa ini bukan pencurian data pribadi, tetapi pengumpulan data terbuka.

Anda tidak akan mengejutkan siapa pun dengan berita tentang pelanggaran data

Juli dan Agustus 2020 dikemas dengan berita TikTok diblokir karena pengumpulan data yang tidak sah. Dan tugas saya bukan untuk mengejutkan, tapi untuk memahami masalah, dan menepati janji yang dibuat Habr kepada salah satu pembaca. Ngomong-ngomong, nama saya Vyacheslav Ustimenko, saya menulis artikel bersama Bella Farzalieva, pengacara IT dari firma hukum internasional Icon Partners.

Mengapa ini penting

Masalah perlindungan dan pemrosesan data pribadi hanya mendapatkan momentum setiap tahun. Perlindungan data pribadi adalah tentang kebebasan memilih seseorang, budaya masyarakat dan demokrasi. Orang yang mandiri sulit diatur, sulit ditipu dan tidak mungkin ditiru. Ide ini dibawa oleh peraturan perlindungan data terkenal di UE (GDPR) dan Amerika Serikat (CCPA). Saya melakukan survei di akun Instagram pribadi saya, bahkan pengacara (90% pelanggan saya) masih kurang berpengalaman dalam masalah perlindungan data.



Pertanyaannya adalah: "Manakah dari berikut ini yang merupakan data pribadi."

Saya melampirkan layar dengan hasil survei.



Jawaban yang benar dipilih oleh sekitar 20% dari mereka yang memilih.







PS Fakta bahwa saya dari Ukraina, dan artikel tentang hukum Federasi Rusia seharusnya tidak membingungkan Anda, para pembaca yang budiman, karena keahlian seorang pengacara TI tidak dapat terbatas pada satu negara.

Apa data pribadi di Federasi Rusia

Definisi data pribadi sesuai dengan Hukum Federal tidak jauh berbeda dari Eropa atau Ukraina, yang telah ditulis di artikel sebelumnya .



Data pribadi - setiap informasi yang berkaitan langsung atau tidak langsung dengan orang perorangan tertentu atau yang dapat diidentifikasi, kita berbicara tentang data apa pun yang dengannya seseorang dapat diidentifikasi.



Di Rusia, penggunaan dan perlindungan data pribadi diatur oleh banyak dokumen, khususnya, 152-FZ "Pada data pribadi", 149-FZ "Tentang informasi, teknologi informasi dan perlindungan informasi", Kode Administratif, KUHP Federasi Rusia, Kode Perburuhan Federasi Rusia dan Kode Sipil Federasi Rusia.

Buka data pribadi. Betapa binatang itu.

# Mari kita lihat situasi dari sudut pandang pengguna



Mungkin pembaca belum memikirkan bagaimana data pribadi dapat dibuka, karena pribadi terdengar seperti pribadi, dan terbuka - seperti publik.



Pada saat yang sama, perasaan percaya diri tidak hilang setelah percakapan lagi dengan penjual telepon, kita masing-masing berpikir "dari mana dia mendapatkan nomor saya" atau "telepon aneh apa dari orang asing yang tahu lebih banyak tentang saya daripada yang diperlukan."



Jadi, pengguna yang memasang sesuatu untuk dijual melalui Avito, jangan kaget karena mereka masuk ke basis data peretas, menerima spam di surat mereka atau panggilan yang tidak dapat dipahami dari penipu atau "penjual dingin".



Anda hanya dapat menyalahkan diri sendiri dalam situasi seperti itu, karena ketidaktahuan akan hukum tidak membebaskan Anda dari tanggung jawab.



Segala sesuatu yang pengguna sendiri telah posting tentang dirinya untuk pertimbangan publik, dengan kata lain, di Internet, menjadi tersedia untuk umum, yaitu, data terbuka dan dapat disimpan, didistribusikan, digunakan tanpa persetujuan pengguna.







Kesimpulan



Administrasi Avito berhak mengklaim bahwa basis data di forum peretas seluruhnya terdiri dari informasi publik yang tersedia di situs web mereka dan dapat dikumpulkan dengan parsing (pengumpulan informasi otomatis menggunakan program khusus), yaitu, tidak ada pertanyaan tentang kebocoran data ... Apakah data tersebut digunakan untuk tujuan yang sah adalah pertanyaan lain yang tidak boleh ditanyakan tentang Avito.



Jika Anda tidak ingin seseorang membuat, mengevaluasi, atau menggunakan potret konsumen Anda, berikan sedikit informasi tentang diri Anda di sumber daya publik.



Di bawah ini adalah komentar lucu (tapi tidak akurat) dari forum.







# Mari kita lihat situasi dari sudut pandang bisnis

Mari kita ambil Avito yang sama sebagai contoh, dan pertimbangkan pertanyaannya:

• apakah situs tersebut adalah operator data pribadi,
• apakah dia diwajibkan untuk menyetujui pemrosesan data dan menyatakan dirinya di Roskomnadzor untuk dimasukkan dalam daftar operator,
• apakah Avito benar-benar akan luput dari hukuman.

Dalam situasi kebocoran data, Avito benar-benar tidak ada hubungannya dengan itu. Bisa dibayangkan bahwa Avito adalah sebuah pagar dimana pengguna menuliskan "JUAL GARASI" dan menunjukkan nama, nomor telepon atau data lain untuk komunikasi, dan kemudian mulai marah mengapa data tersebut diketahui, disalin atau digunakan oleh setiap orang yang melewati pagar tersebut.







# Kesimpulan



Avito adalah operator data pribadi. Adapun pemberitahuan dari Roskomnadzor, terdapat pengecualian dalam undang-undang, tetapi tidak berlaku untuk Avito, karena situs ini mengumpulkan dan memproses tidak hanya data yang tersedia untuk umum. Tetapi jika situs hanya berfungsi dengan data terbuka, tidak perlu memberi tahu dan mendaftar di Roskomnadzor. Avito tidak bersalah, dan karenanya tidak akan ada hukuman.



Data dapat bocor atau diperoleh secara legal tidak hanya dari pasar, tetapi juga dari situs web mana pun atau dari operator seluler, dari jejaring sosial, bank, pendaftar, dapat diekstraksi dari urutan transaksi seluler dengan kartu bank atau menggunakan fungsi tersembunyi dari aplikasi ponsel cerdas, jutaan pilihan.



Omong-omong, semua orang tahu bahwa Habr bukanlah sebuah forum, tetapi ada kesempatan untuk berkomentar, dan tujuan artikel tersebut bukanlah untuk mengejutkan, tetapi untuk memahami masalahnya.

Pertanyaan

Dalam realita tahun 2020, Anda perlu berhati-hati dalam memposting data pribadi di Internet dan bertindak seperti komentar konyol di atas, atau memperkenalkan undang-undang baru, atau mungkin era baru baru saja tiba dan Anda harus menerima ketersediaan data terbuka untuk publik?