Karena kesenjangan legislatif, informasi tentang paspor dan SNIL berada di domain publik
Situs elektronik menempatkan data pribadi peserta lelang yang tidak terenkripsi di domain publik. Karena itu, lebih dari 2,2 juta catatan tersedia untuk umum, termasuk nomor SNILS, paspor, dan informasi tentang pekerjaan.
Bagaimana jumlah paspor dan SNIL yang ditemukan di domain publik?
Setidaknya 2,24 juta entri dengan data paspor, nomor SNILS, dan informasi tentang pekerjaan orang Rusia berada di domain publik. Ini ditemukan oleh Ivan Begtin, ketua Asosiasi Peserta Pasar Data; penelitiannya Kebocoran data pribadi dari sumber terbuka. RBC memiliki platform perdagangan elektronik.
Studi tersebut menganalisis informasi dari platform perdagangan elektronik Rusia terbesar di mana pembelian komersial dan pembelian pemerintah ditempatkan di bawah undang-undang federal 44-FZ dan 223-FZ, yaitu: modul pembelian ZakazRF (562 ribu entri), RTS-tender (550 ribu. arsip), Roseltorg (468 ribu arsip), Platform Elektronik Nasional (142 ribu arsip), ETP AHRF (18 ribu arsip) dan Sberbank AST (500 ribu arsip). Di semua situs, Anda dapat menemukan informasi pribadi peserta lelang.
Menyebut kemunculan informasi ini sebagai kebocoran hanya bisa berlebihan, Begtin mengklarifikasi dalam percakapan dengan RBC. “Ini adalah aksesibilitas awal karena kesalahan dalam undang-undang dan ketidaktahuan pengembang [situs],” katanya.
Video promosi:
Bagaimana data paspor bocor?
Begtin memberikan algoritme untuk mendapatkan data pribadi dari masing-masing situs yang disebutkan. Semuanya mengerjakan materi RBC pada saat pekerjaan dimulai. Setelah RBC berbicara kepada perwakilan Sberbank AST, sistem menutup kemampuan untuk mengunduh data.
Mekanisme untuk mengunduh dokumen dengan data pribadi di semua situs yang terdaftar adalah sama. Dalam kebanyakan kasus, data dapat ditemukan (seperti yang diyakini oleh RBC) dalam keputusan yang disimpan di sana atas persetujuan lelang terbuka. Beberapa di antaranya juga berisi alamat email, nomor SNILS, dan informasi tentang pekerjaan peserta lelang.
Mengapa data berada di domain publik?
Alasan mengapa data pribadi diposting di platform elektronik adalah karena keputusan untuk menyetujui transaksi besar dalam banyak kasus berisi informasi tentang mereka yang menyetujui transaksi ini, serta perwakilan mereka.
Perwakilan RTS-Tender mengatakan kepada RBC bahwa menurut undang-undang, untuk akreditasi peserta di platform elektronik, daftar dokumen tertentu harus ditransfer - perusahaannya mengunggahnya ke situs web. Nikolai Andreev, Direktur Jenderal Sberbank AST, mengatakan kepada RBC bahwa sesuai prosedur yang telah disetujui, daftar peserta berisi informasi mengenai nama organisasi, OGRN, NPWP, serta tanggal mulai dan berakhir akreditasi. Dalam daftar terbuka peserta pengadaan, yang harus dipelihara oleh semua operator platform elektronik sesuai dengan norma 44-FZ, terkadang data pribadi dapat ditemukan, catat layanan pers Roseltorg. Namun, semua informasi dan dokumen yang ditampilkan dalam register disiapkan oleh penawar sendiri, dan operator platform elektronik berkewajiban untuk mempublikasikannya tanpa perubahan, perwakilan perusahaan menjelaskan.
Menurut Begtin, masalahnya terletak pada dua celah besar di legislasi. "Yang pertama adalah persyaratan untuk mempublikasikan keputusan yang tersedia untuk umum tentang persetujuan transaksi besar, yang menurut praktik Rusia, sering kali menyertakan data paspor para pendiri," jelasnya. Yang kedua adalah praktik penggunaan tanda tangan elektronik yang memenuhi syarat untuk publikasi dokumen oleh pelanggan dan pemasok. "Tanda tangan yang dilampirkan ke file tersebut berisi metadata yang sama dengan tanda tangan elektronik - nama lengkap, email, SNILS," kata Begtin kepada RBC.
Apakah penempatan terbuka data paspor melanggar hukum?
Pemrosesan data pribadi penawar membutuhkan persetujuan mereka dan diatur oleh hukum "Tentang Data Pribadi", kata Andrey Arsentiev, analis InfoWatch Group. “Tentu saja, memiliki data pribadi di lingkungan terbuka merupakan pelanggaran. Ternyata platform perdagangan elektronik tidak selalu memberikan perhatian yang cukup untuk melindungi data peserta perdagangan, karena tidak ada kewajiban yang tegas atas pelanggaran,”jelasnya.
Pengungkapan data paspor mungkin termasuk dalam Art. 137 KUHP (pertanggungjawaban pidana atas pelanggaran privasi), kata Konstantin Bochkarev, penasihat firma hukum CMS. Dia mengutip contoh dari praktik peradilan, ketika Pengadilan Kota Moskow mengakui nomor telepon sebagai rahasia pribadi atau keluarga. Saat mempublikasikan informasi tersebut, Art. 13.11 dari Kode Administrasi Federasi Rusia (pelanggaran undang-undang Federasi Rusia di bidang data pribadi), klaim pengacara.
Bagaimana jika Anda mengetahui tentang pelanggaran data Anda?
Menurut pengacara, seseorang yang menemukan kebocoran datanya dapat mengajukan ganti rugi ke pengadilan. Namun, jika tidak ada bukti fakta kerugian materi, maka akan sulit mendapatkan ganti rugi, kata Bochkarev yakin. “Bagi warga negara biasa yang tidak mampu mengajukan gugatan yang panjang dan mahal, cara paling efektif adalah langsung ke situs tempat datanya dipublikasikan dan meminta mereka untuk dihapus,” katanya.
Selain itu, Roskomnadzor berhak mendenda situs elektronik tersebut setelah melaporkan kebocoran data pribadi di media, bahkan tanpa ada keluhan dari individu. “Dalam hal ini, datanya juga akan segera dihapus,” tambah Bochkarev. Dia mencatat bahwa "kelalaian" seperti itu mengancam risiko reputasi untuk platform elektronik.
Skandal pelanggaran data terbaru
Pada awal April, database pasien ambulans dari beberapa kota dekat Moskow diposting di Internet. Dari situ Anda bisa mengetahui nama, alamat dan nomor telepon, serta keadaan kesehatan mereka yang memeriksakan diri ke dokter. Komite Investigasi mulai memeriksa masalah ini.
Facebook telah beberapa kali dituduh membocorkan informasi pribadi berskala besar. Terakhir kali ini terjadi adalah pada bulan April, ketika data tersedia untuk umum di platform lain dan di penyimpanan cloud Amazon. Sebelum ini, perwakilan dari jejaring sosial menemukan bahwa kata sandi sejumlah pengguna Facebook disimpan di servernya dalam bentuk yang tidak terenkripsi - dalam teks biasa. Dilaporkan bahwa penyimpanan informasi yang tidak tepat terungkap selama pemeriksaan keamanan rutin pada bulan Januari; itu memengaruhi "ratusan juta pengguna Facebook Lite, puluhan juta pengguna Facebook lainnya, dan puluhan ribu pengguna Instagram."
Penulis: Evgeniya Kuznetsova, Evgeniya Balenko
Menampilkan: Mikhail Nesterkin
