Door lacunes in de wetgeving was informatie over paspoorten en SNILS openbaar
Elektronische sites plaatsen niet-versleutelde persoonsgegevens van veilingdeelnemers in het publieke domein. Hierdoor zijn meer dan 2,2 miljoen records openbaar beschikbaar, waaronder SNILS-nummers, paspoorten en informatie over werk.
Hoe zijn de aantallen paspoorten en SNILS gevonden in het publieke domein?
Minstens 2,24 miljoen inzendingen met paspoortgegevens, SNILS-nummers en informatie over de tewerkstelling van Russen zijn openbaar. Dit werd ontdekt door Ivan Begtin, voorzitter van de Association of Data Markets Participants; zijn onderzoek “Persoonsgegevens lekken uit open bronnen. RBC heeft elektronische handelsplatforms.
De studie analyseerde de informatie van de grootste Russische elektronische handelsplatforms waar commerciële aankopen en overheidsaankopen worden geplaatst volgens de federale wetten 44-FZ en 223-FZ, namelijk: de aankoopmodule ZakazRF (562 duizend inzendingen), RTS-aanbesteding (550 duizend. records), Roseltorg (468 duizend records), National Electronic Platform (142 duizend records), ETP AHRF (18 duizend records) en Sberbank AST (500 duizend records). Op alle sites vindt u de persoonlijke gegevens van veilingdeelnemers.
De schijn van deze informatie een lek noemen, kan alleen maar een rek zijn, verduidelijkte Begtin in een gesprek met RBC. "Dit is de aanvankelijke toegankelijkheid vanwege fouten in de wetgeving en onwetendheid van de ontwikkelaars [van de sites]", zei hij.
Promotie video:
Hoe worden paspoortgegevens gelekt?
Begtin gaf een algoritme voor het verkrijgen van persoonlijke gegevens van elk van de genoemde sites. Ze waren allemaal bezig met het RBC-materiaal tegen de tijd dat het werk begon. Nadat RBC de vertegenwoordigers van Sberbank AST had toegesproken, sloot het systeem de mogelijkheid om gegevens te downloaden.
Het mechanisme voor het downloaden van documenten met persoonlijke gegevens op alle vermelde sites is hetzelfde. In de meeste gevallen waren de gegevens terug te vinden (zoals RBC ervan overtuigd was) in de daar opgeslagen beslissingen over de goedkeuring van open veilingen. Sommige bevatten ook e-mailadressen, SNILS-nummers en informatie over de tewerkstelling van veilingdeelnemers.
Waarom zijn de gegevens in het publieke domein?
De reden waarom persoonlijke gegevens op elektronische platforms worden geplaatst, is dat beslissingen om grote transacties goed te keuren in de meeste gevallen informatie bevatten over degenen die deze transactie hebben goedgekeurd, evenals hun vertegenwoordigers.
De vertegenwoordiger van RTS-Tender vertelde RBC dat volgens de wet, voor de accreditatie van deelnemers op het elektronische platform, een bepaalde lijst met documenten moet worden overgedragen - zijn bedrijf heeft deze geüpload naar de website. Nikolai Andreev, algemeen directeur van Sberbank AST, vertelde RBC dat volgens de goedgekeurde procedure het deelnemersregister informatie bevat over de naam van de organisatie, OGRN, TIN, evenals de start- en einddatum van accreditatie. In het open register van aanbestedende deelnemers, dat alle exploitanten van elektronische platformen moeten bijhouden in overeenstemming met de normen van 44-FZ, zijn soms persoonsgegevens te vinden, aldus de persdienst van Roseltorg. Alle informatie en documenten die in het register worden weergegeven, worden echter door de bieders zelf opgesteld en de exploitanten van elektronische platforms zijn verplicht om ze ongewijzigd te publiceren, legde de bedrijfsvertegenwoordiger uit.
Volgens Begtin zit het probleem in twee grote hiaten in de wetgeving. "De eerste is de vereiste om openbaar beschikbare besluiten over de goedkeuring van belangrijke transacties te publiceren, die volgens de Russische praktijk vaak de paspoortgegevens van de oprichters bevatten", legt hij uit. De tweede is het gebruik van een gekwalificeerde elektronische handtekening voor de publicatie van documenten door klanten en leveranciers. "De handtekening die aan zo'n bestand is gehecht, bevat dezelfde metadata als de elektronische handtekening: volledige naam, e-mail, SNILS", zei Begtin tegen RBC.
Is het open plaatsen van paspoortgegevens in strijd met de wet?
De verwerking van persoonlijke gegevens van bieders vereist hun toestemming en wordt gereguleerd door de wet "Op persoonlijke gegevens", zei Andrey Arsentiev, analist bij InfoWatch Group. “Natuurlijk is het hebben van persoonsgegevens in een open omgeving een overtreding. Blijkbaar besteden elektronische handelsplatforms niet altijd voldoende aandacht aan de bescherming van de gegevens van handelsdeelnemers, aangezien er geen strikte verantwoordelijkheid is voor overtredingen”, legt hij uit.
Openbaarmaking van paspoortgegevens kan vallen onder art. 137 van het Wetboek van Strafrecht (strafrechtelijke aansprakelijkheid voor schending van de privacy), zegt Konstantin Bochkarev, een adviseur van het advocatenkantoor CMS. Hij noemt een voorbeeld uit de juridische praktijk, toen de rechtbank van Moskou een telefoonnummer erkende als een persoonlijk of familiegeheim. Bij het publiceren van dergelijke informatie, art. 13.11 van de Administratieve Code van de Russische Federatie (schending van de wetgeving van de Russische Federatie op het gebied van persoonlijke gegevens), beweert de advocaat.
Wat als u te weten komt over uw datalek?
Volgens advocaten kan een persoon die een lek van zijn gegevens heeft ontdekt, naar de rechter stappen voor schadevergoeding. Als er echter geen bewijs is van materiële verliezen, zal het moeilijk zijn om compensatie te krijgen, is Bochkarev ervan overtuigd. "Voor een gewone burger die zich geen lange en kostbare rechtszaak kan veroorloven, is de meest effectieve manier om rechtstreeks naar de site te gaan waar de gegevens zijn gepubliceerd en ze te vragen om te worden verwijderd", zei hij.
Bovendien heeft Roskomnadzor het recht om de elektronische site te beboeten bij het melden van een persoonlijk datalek in de pers, zelfs zonder klachten van individuen. "In dit geval worden de gegevens ook snel verwijderd", voegde Bochkarev toe. Hij merkte op dat dergelijke "nalatigheid" reputatierisico's voor elektronische platforms bedreigt.
Recente datalekschandalen
Begin april werd op internet een database met ambulancepatiënten van verschillende steden in de buurt van Moskou geplaatst. Hieruit kunt u de namen, adressen en telefoonnummers achterhalen, evenals de gezondheidstoestand van degenen die de artsen hebben geraadpleegd. De onderzoekscommissie begon deze kwestie te controleren.
Facebook is meerdere keren beschuldigd van grootschalige persoonlijke informatielekken. De laatste keer dat dit gebeurde was in april, toen de gegevens openbaar beschikbaar waren op andere platforms en in de cloudopslag van Amazon. Voordien ontdekten vertegenwoordigers van het sociale netwerk dat de wachtwoorden van een aantal Facebook-gebruikers in onversleutelde vorm - in platte tekst - op hun servers waren opgeslagen. Er werd gemeld dat onjuiste opslag van informatie werd onthuld tijdens een routinematige veiligheidscontrole in januari; het had gevolgen voor "honderden miljoenen Facebook Lite-gebruikers, tientallen miljoenen andere Facebook-gebruikers en tienduizenden Instagram-gebruikers".
Auteurs: Evgeniya Kuznetsova, Evgeniya Balenko
Met: Mikhail Nesterkin
