Devido a lacunas legislativas, as informações sobre passaportes e SNILS eram de domínio público
As plataformas eletrônicas publicam dados pessoais não criptografados dos participantes do leilão no domínio público. Por causa disso, mais de 2,2 milhões de registros estão disponíveis publicamente, incluindo números SNILS, passaportes e informações sobre emprego.
Como os números de passaportes e SNILS foram encontrados no domínio público?
Pelo menos 2,24 milhões de entradas com dados de passaporte, números SNILS e informações sobre o emprego de russos são de domínio público. Isso foi descoberto por Ivan Begtin, presidente da Association of Data Markets Participants; sua pesquisa “Vazamentos de dados pessoais de fontes abertas. O RBC possui plataformas de negociação eletrônica.
O estudo analisou as informações das maiores plataformas de negociação eletrônica russas onde as compras comerciais e as compras governamentais são colocadas sob as leis federais 44-FZ e 223-FZ, a saber: o módulo de compras ZakazRF (562 mil entradas), RTS-leilão (550 mil). registros), Roseltorg (468 mil registros), National Electronic Platform (142 mil registros), ETP AHRF (18 mil registros) e Sberbank AST (500 mil registros). Em todos os sites, você pode encontrar as informações pessoais dos participantes do leilão.
Chamar de vazamento a aparência dessas informações pode ser apenas um exagero, Begtin esclareceu em uma conversa com RBC. “Essa é a acessibilidade inicial devido a erros na legislação e desconhecimento dos desenvolvedores [dos sites]”, disse.
Vídeo promocional:
Como os dados do passaporte são divulgados?
Begtin forneceu um algoritmo para a obtenção de dados pessoais de cada um dos sites mencionados. Todos eles estavam trabalhando no material RBC quando o trabalho começou. Depois que o RBC se dirigiu aos representantes do Sberbank AST, o sistema encerrou a capacidade de download de dados.
O mecanismo de download de documentos com dados pessoais em todos os sites listados é o mesmo. Na maioria dos casos, os dados podiam ser encontrados (como RBC estava convencido) nas decisões ali armazenadas sobre a aprovação de leilões abertos. Alguns deles também contêm endereços de e-mail, números SNILS e informações sobre a contratação de participantes do leilão.
Por que os dados são de domínio público?
A razão pela qual os dados pessoais são postados em plataformas eletrônicas é que as decisões de aprovar grandes transações na maioria dos casos contêm informações sobre quem aprovou essa transação, bem como seus representantes.
O representante da RTS-Tender disse à RBC que de acordo com a lei, para o credenciamento dos participantes na plataforma eletrónica, deve ser transferida uma determinada lista de documentos - a sua empresa carregou no site. Nikolai Andreev, Diretor Geral do Sberbank AST, disse ao RBC que de acordo com o procedimento aprovado, o registro de participantes contém informações sobre o nome da organização, OGRN, TIN, bem como a data de início e término do credenciamento. No cadastro aberto de participantes de compras, que todos os operadores de plataformas eletrônicas são obrigados a manter de acordo com as normas da 44-FZ, às vezes podem ser encontrados dados pessoais, informou a assessoria de imprensa da Roseltorg. No entanto, todas as informações e documentos constantes do cadastro são elaborados pelos próprios licitantes, sendo os operadores das plataformas eletrónicas obrigados a publicá-los sem alterações, explicou o representante da empresa.
Segundo Begtin, o problema está em duas grandes lacunas na legislação. “O primeiro é a exigência de publicar as decisões disponíveis ao público sobre a aprovação de grandes transações, que, de acordo com a prática russa, costumam incluir os dados do passaporte dos fundadores”, explicou. A segunda é a prática do uso de assinatura eletrônica qualificada para publicação de documentos por clientes e fornecedores. "A assinatura anexada a esse arquivo contém os mesmos metadados da assinatura eletrônica - nome completo, e-mail, SNILS", disse Begtin ao RBC.
A colocação aberta de dados de passaporte viola a lei?
O tratamento de dados pessoais dos licitantes requer o seu consentimento e é regulado pela lei "Sobre Dados Pessoais", disse Andrey Arsentiev, analista do Grupo InfoWatch. “Claro, ter dados pessoais em um ambiente aberto é uma violação. Aparentemente, as plataformas de negociação eletrônica nem sempre dão atenção suficiente à proteção dos dados dos participantes da negociação, uma vez que não há responsabilidade objetiva por violações”, explicou.
A divulgação de dados do passaporte pode ser abrangida pelo art. 137 do Código Penal (responsabilidade criminal por violação de privacidade), afirma Konstantin Bochkarev, consultor do escritório de advocacia CMS. Ele cita um exemplo da prática judicial, quando o Tribunal da Cidade de Moscou reconheceu um número de telefone como segredo pessoal ou familiar. Ao publicar tais informações, o art. 13.11 do Código Administrativo da Federação Russa (violação da legislação da Federação Russa no domínio dos dados pessoais), afirma o advogado.
E se você descobrir sobre sua violação de dados?
De acordo com advogados, um indivíduo que descobriu um vazamento de seus dados pode ir ao tribunal por danos. No entanto, se não houver evidência do fato de perdas materiais, será difícil obter indenização, Bochkarev está convencido. “Para um cidadão comum que não pode arcar com um processo longo e custoso, a maneira mais eficaz é ir diretamente ao site onde os dados são publicados e pedir que sejam removidos”, disse ele.
Além disso, a Roskomnadzor reserva-se o direito de multar o site eletrônico ao relatar o vazamento de dados pessoais na imprensa, mesmo sem reclamações de pessoas físicas. “Nesse caso, os dados também serão excluídos rapidamente”, acrescentou Bochkarev. Ele observou que tal "negligência" ameaça riscos à reputação das plataformas eletrônicas.
Escândalos recentes de violação de dados
No início de abril, um banco de dados de pacientes de ambulâncias de várias cidades próximas a Moscou foi postado na Internet. Nele você pode conhecer os nomes, endereços e telefones, bem como o estado de saúde de quem consultou os médicos. O Comitê de Investigação começou a verificar o assunto.
O Facebook foi acusado várias vezes de vazamento de informações pessoais em grande escala. A última vez que isso aconteceu foi em abril, quando os dados foram disponibilizados publicamente em outras plataformas e no armazenamento em nuvem da Amazon. Antes disso, representantes da rede social descobriram que as senhas de vários usuários do Facebook eram armazenadas em seus servidores de forma não criptografada - em texto simples. Foi relatado que o armazenamento impróprio de informações foi revelado durante uma verificação de segurança de rotina em janeiro; afetou "centenas de milhões de usuários do Facebook Lite, dezenas de milhões de outros usuários do Facebook e dezenas de milhares de usuários do Instagram".
Autores: Evgeniya Kuznetsova, Evgeniya Balenko
Apresentando: Mikhail Nesterkin
