En raison de lacunes législatives, les informations sur les passeports et les SNILS étaient du domaine public
Les sites électroniques placent les données personnelles non cryptées des participants aux enchères dans le domaine public. Pour cette raison, plus de 2,2 millions de documents sont accessibles au public, y compris les numéros SNILS, les passeports et les informations sur l'emploi.
Comment les numéros de passeports et de SNILS ont-ils été trouvés dans le domaine public?
Au moins 2,24 millions d'entrées avec des données de passeport, des numéros SNILS et des informations sur l'emploi des Russes sont du domaine public. Cela a été découvert par Ivan Begtin, président de l'Association of Data Markets Participants; sa recherche «Les données personnelles fuites de sources ouvertes. RBC a des plateformes de négociation électroniques.
L'étude a analysé les informations des plus grandes plates-formes de commerce électronique russes où les achats commerciaux et les achats gouvernementaux sont placés sous les lois fédérales 44-FZ et 223-FZ, à savoir: le module d'achat ZakazRF (562 mille entrées), RTS-appel d'offres (550 mille. records), Roseltorg (468 000 enregistrements), National Electronic Platform (142 000 enregistrements), ETP AHRF (18 000 enregistrements) et Sberbank AST (500 000 enregistrements). Sur tous les sites, vous pouvez trouver les informations personnelles des participants aux enchères.
Appeler l'apparence de ces informations une fuite ne peut être qu'un étirement, a précisé Begtin lors d'une conversation avec RBC. «C'est l'accessibilité initiale due à des erreurs de législation et à l'ignorance des développeurs [des sites]», a-t-il déclaré.
Vidéo promotionelle:
Comment les données de passeport sont-elles divulguées?
Begtin a donné un algorithme pour obtenir des données personnelles de chacun des sites mentionnés. Tous travaillaient sur le matériel de RBC au moment où les travaux ont commencé. Après que RBC s'est adressé aux représentants de la Sberbank AST, le système a fermé la possibilité de télécharger des données.
Le mécanisme de téléchargement des documents contenant des données personnelles sur tous les sites répertoriés est le même. Dans la plupart des cas, les données ont pu être trouvées (comme RBC en était convaincu) dans les décisions qui y étaient stockées sur l'approbation des enchères ouvertes. Certains d'entre eux contiennent également des adresses e-mail, des numéros SNILS et des informations sur l'emploi des participants aux enchères.
Pourquoi les données sont-elles du domaine public?
La raison pour laquelle des données personnelles sont publiées sur des plateformes électroniques est que les décisions d'approuver des transactions importantes contiennent dans la plupart des cas des informations sur ceux qui ont approuvé cette transaction, ainsi que sur leurs représentants.
Le représentant de RTS-Tender a déclaré à RBC que, conformément à la loi, pour l'accréditation des participants sur la plateforme électronique, une certaine liste de documents doit être transférée - son entreprise l'a téléchargée sur le site Web. Nikolai Andreev, directeur général de la Sberbank AST, a déclaré à RBC que selon la procédure approuvée, le registre des participants contient des informations sur le nom de l'organisation, OGRN, TIN, ainsi que la date de début et de fin de l'accréditation. Dans le registre ouvert des participants aux marchés, que tous les opérateurs de plates-formes électroniques sont tenus de maintenir conformément aux normes de 44-FZ, des données personnelles peuvent parfois être trouvées, a noté le service de presse de Roseltorg. Cependant, toutes les informations et tous les documents affichés dans le registre sont préparés par les soumissionnaires eux-mêmes et les opérateurs de plates-formes électroniques sont tenus de les publier tels quels, a expliqué le représentant de la société.
Selon Begtin, le problème réside dans deux grandes lacunes de la législation. «Le premier est l'obligation de publier les décisions publiquement disponibles sur l'approbation des transactions majeures, qui, selon la pratique russe, incluent souvent les données de passeport des fondateurs», a-t-il expliqué. Le second est la pratique consistant à utiliser une signature électronique qualifiée pour la publication de documents par les clients et les fournisseurs. «La signature jointe à un tel fichier contient les mêmes métadonnées que la signature électronique - nom complet, courriel, SNILS», a déclaré Begtin à RBC.
Le placement ouvert de données de passeport enfreint-il la loi?
Le traitement des données personnelles des soumissionnaires nécessite leur consentement et est réglementé par la loi «sur les données personnelles», a déclaré Andrey Arsentiev, analyste d'InfoWatch Group. «Bien sûr, avoir des données personnelles dans un environnement ouvert est une violation. Apparemment, les plates-formes de négociation électroniques ne prêtent pas toujours suffisamment d'attention à la protection des données des participants au trading, car il n'y a pas de responsabilité stricte en cas de violation », a-t-il expliqué.
La divulgation des données du passeport peut relever de l'art. 137 du Code pénal (responsabilité pénale pour violation de la vie privée), explique Konstantin Bochkarev, conseiller du cabinet d'avocats CMS. Il cite un exemple tiré de la pratique judiciaire, lorsque le tribunal municipal de Moscou a reconnu un numéro de téléphone comme secret personnel ou familial. Lors de la publication de ces informations, l'art. 13.11 Code administratif de la Fédération de Russie (violation de la législation de la Fédération de Russie dans le domaine des données personnelles), affirme l'avocat.
Et si vous découvrez votre violation de données?
Selon les avocats, un individu qui a découvert une fuite de ses données peut saisir les tribunaux pour obtenir des dommages-intérêts. Cependant, s'il n'y a aucune preuve du fait de pertes matérielles, il sera difficile d'obtenir une compensation, Bochkarev est convaincu. «Pour un citoyen ordinaire qui ne peut pas se permettre un procès long et coûteux, le moyen le plus efficace est d'aller directement sur le site où les données sont publiées et de demander leur suppression», a-t-il déclaré.
En outre, Roskomnadzor a le droit d'infliger une amende au site électronique en cas de signalement d'une fuite de données personnelles dans la presse, même sans plainte d'individus. «Dans ce cas, les données seront également rapidement supprimées», a ajouté Bochkarev. Il a noté qu'une telle "négligence" menace les risques de réputation des plateformes électroniques.
Scandales récents de violation de données
Début avril, une base de données des patients ambulanciers de plusieurs villes proches de Moscou a été mise en ligne sur Internet. De là, vous pouvez trouver les noms, adresses et numéros de téléphone, ainsi que l'état de santé de ceux qui ont consulté les médecins. Le comité d'enquête a commencé à vérifier cette question.
Facebook a été accusé à plusieurs reprises de fuites d'informations personnelles à grande échelle. La dernière fois que cela s'est produit, c'était en avril, lorsque les données étaient accessibles au public sur d'autres plates-formes et dans le stockage cloud d'Amazon. Auparavant, les représentants du réseau social avaient découvert que les mots de passe d'un certain nombre d'utilisateurs de Facebook étaient stockés sur ses serveurs sous forme non chiffrée - en texte brut. Il a été signalé qu'un mauvais stockage d'informations avait été révélé lors d'un contrôle de sécurité de routine en janvier; il a affecté «des centaines de millions d'utilisateurs de Facebook Lite, des dizaines de millions d'autres utilisateurs de Facebook et des dizaines de milliers d'utilisateurs d'Instagram».
Auteurs: Evgeniya Kuznetsova, Evgeniya Balenko
Avec: Mikhail Nesterkin
