Debido a lagunas legislativas, la información sobre pasaportes y SNILS era de dominio público
Los sitios electrónicos ponen los datos personales no cifrados de los participantes de la subasta en el dominio público. Debido a esto, más de 2.2 millones de registros están disponibles públicamente, incluidos números SNILS, pasaportes e información sobre empleo.
¿Cómo se encontraron los números de pasaportes y SNILS en el dominio público?
norte
Al menos 2,24 millones de entradas con datos de pasaporte, números SNILS e información sobre el empleo de rusos son de dominio público. Esto fue descubierto por Ivan Begtin, presidente de la Asociación de Participantes de los Mercados de Datos; su investigación “Fugas de datos personales de fuentes abiertas. RBC tiene plataformas de comercio electrónico.
El estudio analizó información de las mayores plataformas de comercio electrónico rusas donde las compras comerciales y las compras gubernamentales se realizan bajo las leyes federales 44-FZ y 223-FZ, a saber: el módulo de compras ZakazRF (562 mil entradas), RTS-tender (550 mil. registros), Roseltorg (468 mil registros), Plataforma Electrónica Nacional (142 mil registros), ETP AHRF (18 mil registros) y Sberbank AST (500 mil registros). En todos los sitios, puede encontrar la información personal de los participantes de la subasta.
Calificar la aparición de esta información como una fuga solo puede ser una exageración, aclaró Begtin en una conversación con RBC. “Esta es la accesibilidad inicial debido a errores en la legislación y al desconocimiento de los desarrolladores [de los sitios]”, dijo.
Video promocional:
¿Cómo se filtran los datos del pasaporte?
Begtin proporcionó un algoritmo para obtener datos personales de cada uno de los sitios mencionados. Todos estaban trabajando en el material de RBC cuando comenzó el trabajo. Después de que RBC se dirigió a los representantes de Sberbank AST, el sistema cerró la capacidad de descargar datos.
El mecanismo para descargar documentos con datos personales en todos los sitios enumerados es el mismo. En la mayoría de los casos, los datos se pueden encontrar (como estaba convencido de RBC) en las decisiones almacenadas allí sobre la aprobación de subastas abiertas. Algunos de ellos también contienen direcciones de correo electrónico, números SNILS e información sobre el empleo de los participantes de la subasta.
¿Por qué los datos son de dominio público?
La razón por la que los datos personales se publican en plataformas electrónicas es que las decisiones para aprobar grandes transacciones en la mayoría de los casos contienen información sobre quienes aprobaron esta transacción, así como sobre sus representantes.
El representante de RTS-Tender dijo a RBC que de acuerdo con la ley, para la acreditación de los participantes en la plataforma electrónica, se debe transferir una determinada lista de documentos: su empresa la subió al sitio web. Nikolai Andreev, Director General de Sberbank AST, dijo a RBC que de acuerdo con el procedimiento aprobado, el registro de participantes contiene información sobre el nombre de la organización, OGRN, TIN, así como la fecha de inicio y finalización de la acreditación. En el registro abierto de participantes de adquisiciones, que todos los operadores de plataformas electrónicas deben mantener de acuerdo con las normas de 44-FZ, a veces se pueden encontrar datos personales, señaló el servicio de prensa de Roseltorg. Sin embargo, toda la información y los documentos que se muestran en el registro son elaborados por los propios postores, y los operadores de plataformas electrónicas están obligados a publicarlos sin cambios, explicó el representante de la empresa.
norte
Según Begtin, el problema radica en dos grandes lagunas en la legislación. “El primero es el requisito de publicar decisiones disponibles públicamente sobre la aprobación de transacciones importantes, que, según la práctica rusa, a menudo incluyen los datos del pasaporte de los fundadores”, explicó. El segundo está en la práctica de utilizar una firma electrónica cualificada para la publicación de documentos por parte de clientes y proveedores. "La firma adjunta a dicho archivo contiene los mismos metadatos que la firma electrónica: nombre completo, correo electrónico, SNILS", dijo Begtin a RBC.
¿La colocación abierta de datos de pasaportes viola la ley?
El procesamiento de datos personales de los postores requiere su consentimiento y está regulado por la ley "Sobre Datos Personales", dijo Andrey Arsentiev, analista de InfoWatch Group. “Por supuesto, tener datos personales en un entorno abierto es una violación. Aparentemente, las plataformas de comercio electrónico no siempre prestan suficiente atención a la protección de los datos de los participantes en el comercio, ya que no existe una responsabilidad estricta por las violaciones”, explicó.
La divulgación de los datos del pasaporte puede estar sujeta al art. 137 del Código Penal (responsabilidad penal por violación de la privacidad), dice Konstantin Bochkarev, asesor de la firma de abogados CMS. Cita un ejemplo de la práctica judicial, cuando el Tribunal Municipal de Moscú reconoció un número de teléfono como secreto personal o familiar. Al publicar dicha información, el art. 13.11 del Código Administrativo de la Federación de Rusia (violación de la legislación de la Federación de Rusia en el campo de los datos personales), afirma el abogado.
¿Qué pasa si se entera de su violación de datos?
Según los abogados, una persona que haya descubierto una filtración de sus datos puede acudir a los tribunales por daños y perjuicios. Sin embargo, si no hay pruebas del hecho de pérdidas materiales, será difícil obtener una compensación, está convencido Bochkarev. “Para un ciudadano común que no puede pagar una demanda larga y costosa, la forma más efectiva es ir directamente al sitio donde se publican los datos y pedir que se eliminen”, dijo.
Además, Roskomnadzor tiene derecho a multar al sitio electrónico si informa una fuga de datos personales en la prensa, incluso sin quejas de los particulares. "En este caso, los datos también se eliminarán rápidamente", agregó Bochkarev. Señaló que tal "negligencia" amenaza los riesgos de reputación de las plataformas electrónicas.
Escándalos recientes de violación de datos
A principios de abril, se publicó en Internet una base de datos de pacientes de ambulancia de varias ciudades cercanas a Moscú. En él se pueden averiguar los nombres, direcciones y números de teléfono, así como el estado de salud de quienes acuden a los médicos. El Comité de Investigación comenzó a verificar este asunto.
Facebook ha sido acusado varias veces de filtraciones de información personal a gran escala. La última vez que sucedió esto fue en abril, cuando los datos estaban disponibles públicamente en otras plataformas y en el almacenamiento en la nube de Amazon. Antes de esto, los representantes de la red social descubrieron que las contraseñas de varios usuarios de Facebook se almacenaban en sus servidores de forma no cifrada, en texto sin formato. Se informó que se reveló un almacenamiento inadecuado de información durante un control de seguridad de rutina en enero; afectó a "cientos de millones de usuarios de Facebook Lite, decenas de millones de otros usuarios de Facebook y decenas de miles de usuarios de Instagram".
Autores: Evgeniya Kuznetsova, Evgeniya Balenko
Con: Mikhail Nesterkin
