A causa di lacune legislative, le informazioni sui passaporti e SNILS erano di pubblico dominio
I siti elettronici rendono di pubblico dominio i dati personali in chiaro dei partecipanti all'asta. Per questo motivo, sono disponibili pubblicamente più di 2,2 milioni di documenti, inclusi numeri SNILS, passaporti e informazioni sull'occupazione.
Come sono stati trovati di pubblico dominio il numero di passaporti e SNILS?
Almeno 2,24 milioni di voci con dati del passaporto, numeri SNILS e informazioni sull'occupazione dei russi sono di dominio pubblico. Lo ha scoperto Ivan Begtin, presidente dell'Associazione dei partecipanti ai mercati dei dati; la sua ricerca “Fughe di dati personali da fonti aperte. RBC dispone di piattaforme di trading elettronico.
Lo studio ha analizzato le informazioni delle più grandi piattaforme di trading elettronico russe dove gli acquisti commerciali e gli acquisti governativi sono soggetti alle leggi federali 44-FZ e 223-FZ, ovvero: il modulo acquisti ZakazRF (562mila voci), RTS-gara (550mila. record), Roseltorg (468 mila record), National Electronic Platform (142 mila record), ETP AHRF (18 mila record) e Sberbank AST (500 mila record). Su tutti i siti è possibile trovare le informazioni personali dei partecipanti all'asta.
Definire la comparsa di queste informazioni una perdita può essere solo un tratto, ha chiarito Begtin in una conversazione con RBC. "Questa è l'accessibilità iniziale a causa di errori nella legislazione e ignoranza degli sviluppatori [dei siti]", ha detto.
Video promozionale:
Come vengono trapelati i dati del passaporto?
Begtin ha fornito un algoritmo per ottenere dati personali da ciascuno dei siti menzionati. Tutti loro stavano lavorando al materiale RBC quando il lavoro è iniziato. Dopo che RBC si è rivolto ai rappresentanti di Sberbank AST, il sistema ha chiuso la possibilità di scaricare i dati.
Il meccanismo per scaricare documenti con dati personali in tutti i siti elencati è lo stesso. Nella maggior parte dei casi, i dati potevano essere trovati (come RBC era convinto) nelle decisioni ivi archiviate per l'approvazione delle aste aperte. Alcuni di essi contengono anche indirizzi e-mail, numeri SNILS e informazioni sull'occupazione dei partecipanti all'asta.
Perché i dati sono di pubblico dominio?
Il motivo per cui i dati personali vengono pubblicati su piattaforme elettroniche è che le decisioni di approvare transazioni di grandi dimensioni nella maggior parte dei casi contengono informazioni su coloro che hanno approvato questa transazione, nonché sui loro rappresentanti.
Un rappresentante di RTS-Tender ha detto a RBC che secondo la legge, per l'accreditamento dei partecipanti su una piattaforma elettronica, deve essere trasferito un certo elenco di documenti - l'azienda lo ha caricato sul sito web. Nikolai Andreev, direttore generale di Sberbank AST, ha dichiarato a RBC che, secondo la procedura approvata, il registro dei partecipanti contiene informazioni sul nome dell'organizzazione, OGRN, TIN, nonché la data di inizio e fine dell'accreditamento. Nel registro aperto dei partecipanti agli appalti, che tutti gli operatori di piattaforme elettroniche sono tenuti a mantenere in conformità con le norme della 44-FZ, a volte si possono trovare dati personali, ha osservato il servizio stampa di Roseltorg. Tuttavia, tutte le informazioni ei documenti visualizzati nel registro sono preparati dagli stessi offerenti e gli operatori delle piattaforme elettroniche sono obbligati a pubblicarli senza modifiche, ha spiegato il rappresentante dell'azienda.
Secondo Begtin, il problema risiede in due grandi lacune nella legislazione. "Il primo è l'obbligo di pubblicare le decisioni pubblicamente disponibili sull'approvazione di transazioni importanti, che, secondo la prassi russa, spesso includono i dati del passaporto dei fondatori", ha spiegato. Il secondo è nella pratica di utilizzare una firma elettronica qualificata per la pubblicazione di documenti da parte di clienti e fornitori. "La firma allegata a tale file contiene gli stessi metadati della firma elettronica: nome completo, e-mail, SNILS", ha detto Begtin a RBC.
Il posizionamento aperto dei dati del passaporto viola la legge?
Il trattamento dei dati personali degli offerenti richiede il loro consenso ed è regolato dalla legge "Sui dati personali", ha affermato Andrey Arsentiev, analista di InfoWatch Group. “Ovviamente, avere dati personali in un ambiente aperto è una violazione. Apparentemente, le piattaforme di trading elettronico non prestano sempre sufficiente attenzione alla protezione dei dati dei partecipanti al trading, poiché non esiste una responsabilità oggettiva per le violazioni ", ha spiegato.
La divulgazione dei dati del passaporto può rientrare nell'art. 137 del codice penale (responsabilità penale per violazione della privacy), afferma Konstantin Bochkarev, consulente dello studio legale CMS. Cita un esempio tratto dalla pratica giudiziaria, quando il tribunale della città di Mosca ha riconosciuto un numero di telefono come segreto personale o familiare. Nel pubblicare tali informazioni, l'art. 13.11 del Codice amministrativo della Federazione Russa (violazione della legislazione della Federazione Russa in materia di dati personali), sostiene l'avvocato.
E se scopri la tua violazione dei dati?
Secondo gli avvocati, una persona che ha scoperto una fuga di dati può andare in tribunale per i danni. Tuttavia, se non ci sono prove del fatto di perdite materiali, sarà difficile ottenere un risarcimento, Bochkarev è convinto. "Per un normale cittadino che non può permettersi una causa lunga e costosa, il modo più efficace è andare direttamente al sito in cui sono pubblicati i dati e chiedere che vengano rimossi", ha detto.
Inoltre, Roskomnadzor ha il diritto di multare il sito elettronico dopo aver segnalato una fuga di dati personali dalla stampa, anche senza reclami da parte di individui. "In questo caso, anche i dati verranno eliminati rapidamente", ha aggiunto Bochkarev. Ha osservato che tale "negligenza" minaccia i rischi reputazionali per le piattaforme elettroniche.
Recenti scandali di violazione dei dati
All'inizio di aprile è stato pubblicato su Internet un database di pazienti in ambulanza di diverse città vicino a Mosca. Da esso è possibile conoscere nomi, indirizzi e numeri di telefono, nonché lo stato di salute di chi ha consultato i medici. La commissione investigativa ha iniziato a verificare la questione.
Facebook è stato accusato più volte di fughe di informazioni personali su larga scala. L'ultima volta che è successo è stato ad aprile, quando i dati erano pubblicamente disponibili su altre piattaforme e nel cloud storage di Amazon. In precedenza, i rappresentanti del social network hanno scoperto che le password di un certo numero di utenti di Facebook erano memorizzate sui suoi server in forma non crittografata, in testo normale. È stato riferito che l'archiviazione impropria delle informazioni è stata rivelata durante un controllo di sicurezza di routine a gennaio; ha colpito "centinaia di milioni di utenti di Facebook Lite, decine di milioni di altri utenti di Facebook e decine di migliaia di utenti di Instagram".
Autori: Evgeniya Kuznetsova, Evgeniya Balenko
Dotato di: Mikhail Nesterkin
