Aufgrund gesetzlicher Lücken waren Informationen zu Pässen und SNILS gemeinfrei
Auf elektronischen Websites werden unverschlüsselte personenbezogene Daten von Auktionsteilnehmern öffentlich zugänglich gemacht. Aus diesem Grund sind mehr als 2,2 Millionen Datensätze öffentlich verfügbar, darunter SNILS-Nummern, Pässe und Informationen zur Beschäftigung.
Wie wurde die Anzahl der Pässe und SNILS im öffentlichen Bereich gefunden?
Mindestens 2,24 Millionen Einträge mit Passdaten, SNILS-Nummern und Informationen zur Beschäftigung von Russen sind gemeinfrei. Dies wurde von Ivan Begtin, Vorsitzender des Verbandes der Datenmarktteilnehmer, entdeckt. seine Forschung „Personenbezogene Daten stammen aus offenen Quellen. RBC verfügt über elektronische Handelsplattformen.
Die Studie analysierte die Informationen der größten russischen elektronischen Handelsplattformen, auf denen gewerbliche und staatliche Einkäufe gemäß den Bundesgesetzen 44-FZ und 223-FZ getätigt werden, nämlich: das Einkaufsmodul ZakazRF (562.000 Einträge), RTS-Tender (550.000). Aufzeichnungen), Roseltorg (468.000 Aufzeichnungen), National Electronic Platform (142.000 Aufzeichnungen), ETP AHRF (18.000 Aufzeichnungen) und Sberbank AST (500.000 Aufzeichnungen). Auf allen Websites finden Sie die persönlichen Daten der Auktionsteilnehmer.
Begtin hat in einem Gespräch mit RBC klargestellt, dass das Auftreten dieser Informationen nur ein Leck sein kann. "Dies ist die anfängliche Erreichbarkeit aufgrund von Gesetzesfehlern und Unkenntnis der Entwickler [der Websites]", sagte er.
Werbevideo:
Wie werden Passdaten durchgesickert?
Begtin gab einen Algorithmus zum Abrufen persönlicher Daten von jeder der genannten Websites an. Alle arbeiteten zu Beginn der Arbeiten am RBC-Material. Nachdem sich RBC an die Vertreter der Sberbank AST gewandt hatte, schloss das System das Herunterladen von Daten.
Der Mechanismus zum Herunterladen von Dokumenten mit persönlichen Daten auf allen aufgeführten Websites ist der gleiche. In den meisten Fällen konnten die Daten (wie RBC überzeugt war) in den dort gespeicherten Entscheidungen über die Genehmigung offener Auktionen gefunden werden. Einige von ihnen enthalten auch E-Mail-Adressen, SNILS-Nummern und Informationen zur Beschäftigung von Auktionsteilnehmern.
Warum sind die Daten gemeinfrei?
Der Grund, warum personenbezogene Daten auf elektronischen Plattformen veröffentlicht werden, besteht darin, dass Entscheidungen zur Genehmigung großer Transaktionen in den meisten Fällen Informationen über diejenigen enthalten, die diese Transaktion genehmigt haben, sowie über ihre Vertreter.
Der Vertreter von RTS-Tender teilte RBC mit, dass laut Gesetz für die Akkreditierung von Teilnehmern auf der elektronischen Plattform eine bestimmte Liste von Dokumenten übertragen werden muss - sein Unternehmen hat sie auf die Website hochgeladen. Nikolai Andreev, Generaldirektor der Sberbank AST, sagte gegenüber RBC, dass das Teilnehmerregister gemäß dem genehmigten Verfahren Informationen über den Namen der Organisation, OGRN, TIN sowie das Start- und Enddatum der Akkreditierung enthält. In dem offenen Register der Beschaffungsteilnehmer, das alle Betreiber elektronischer Plattformen gemäß den Normen von 44-FZ führen müssen, finden sich manchmal personenbezogene Daten, so der Pressedienst von Roseltorg. Alle im Register angezeigten Informationen und Dokumente werden jedoch von den Bietern selbst erstellt, und die Betreiber elektronischer Plattformen sind verpflichtet, diese unverändert zu veröffentlichen, erklärte der Unternehmensvertreter.
Laut Begtin liegt das Problem in zwei großen Lücken in der Gesetzgebung. "Das erste ist die Anforderung, öffentlich zugängliche Entscheidungen über die Genehmigung wichtiger Transaktionen zu veröffentlichen, die nach russischer Praxis häufig die Passdaten der Gründer enthalten", erklärte er. Die zweite Möglichkeit besteht darin, eine qualifizierte elektronische Signatur für die Veröffentlichung von Dokumenten durch Kunden und Lieferanten zu verwenden. "Die an eine solche Datei angehängte Signatur enthält dieselben Metadaten wie die elektronische Signatur - vollständiger Name, E-Mail, SNILS", sagte Begtin gegenüber RBC.
Verstößt die offene Platzierung von Passdaten gegen das Gesetz?
Die Verarbeitung personenbezogener Daten von Bietern bedarf ihrer Zustimmung und unterliegt dem Gesetz "Über personenbezogene Daten", sagte Andrey Arsentiev, Analyst der InfoWatch Group. „Persönliche Daten in einer offenen Umgebung zu haben, ist natürlich ein Verstoß. Offensichtlich achten elektronische Handelsplattformen nicht immer genug auf den Schutz der Daten von Handelsteilnehmern, da keine strikte Haftung für Verstöße besteht “, erklärte er.
Die Offenlegung von Passdaten kann unter Art. Konstantin Bochkarev, Berater der Anwaltskanzlei CMS, sagt 137 des Strafgesetzbuches (strafrechtliche Verantwortlichkeit für die Verletzung der Privatsphäre). Er führt ein Beispiel aus der Rechtspraxis an, als das Moskauer Stadtgericht eine Telefonnummer als persönliches oder familiäres Geheimnis anerkannte. Bei der Veröffentlichung solcher Informationen wird Art. 13.11 des Verwaltungsgesetzbuches der Russischen Föderation (Verstoß gegen die Gesetzgebung der Russischen Föderation im Bereich personenbezogener Daten), behauptet der Anwalt.
Was ist, wenn Sie von Ihrer Datenschutzverletzung erfahren?
Laut Anwälten kann eine Person, die ein Leck ihrer Daten entdeckt hat, Schadensersatz vor Gericht bringen. Wenn es jedoch keine Hinweise auf wesentliche Verluste gibt, wird es schwierig sein, eine Entschädigung zu erhalten, ist Bochkarev überzeugt. "Für einen normalen Bürger, der sich eine lange und kostspielige Klage nicht leisten kann, ist es am effektivsten, direkt zu der Website zu gehen, auf der die Daten veröffentlicht werden, und sie zu bitten, entfernt zu werden", sagte er.
Darüber hinaus hat Roskomnadzor das Recht, die elektronische Website zu bestrafen, wenn ein Leck personenbezogener Daten in der Presse gemeldet wird, auch ohne Beschwerden von Einzelpersonen. "In diesem Fall werden die Daten auch schnell gelöscht", fügte Bochkarev hinzu. Er stellte fest, dass eine solche "Nachlässigkeit" Reputationsrisiken für elektronische Plattformen gefährdet.
Jüngste Skandale um Datenschutzverletzungen
Anfang April wurde im Internet eine Datenbank mit Krankenwagenpatienten mehrerer Städte in der Nähe von Moskau veröffentlicht. Daraus können Sie die Namen, Adressen und Telefonnummern sowie den Gesundheitszustand derjenigen herausfinden, die die Ärzte aufsuchen. Der Untersuchungsausschuss begann, diese Angelegenheit zu prüfen.
Facebook wurde mehrfach vorgeworfen, große personenbezogene Daten verloren zu haben. Das letzte Mal geschah dies im April, als die Daten auf anderen Plattformen und im Amazon-Cloud-Speicher öffentlich verfügbar waren. Zuvor stellten Vertreter des sozialen Netzwerks fest, dass die Passwörter einer Reihe von Facebook-Nutzern unverschlüsselt auf ihren Servern gespeichert waren - im Klartext. Es wurde berichtet, dass bei einer routinemäßigen Sicherheitskontrolle im Januar eine unsachgemäße Speicherung von Informationen aufgedeckt wurde. Es betraf "Hunderte Millionen Facebook Lite-Nutzer, Zehntausende andere Facebook-Nutzer und Zehntausende Instagram-Nutzer".
Autoren: Evgeniya Kuznetsova, Evgeniya Balenko
Mit: Mikhail Nesterkin
