Эксперты обнаружили на электронных торговых площадках более 2,2 млн записей с паспортными данными россиян
Причина — ошибки в законодательстве и безграмотность разработчиков сайтов, считают в Ассоциации участников рынков данных.
- Около 2,2 млн записей с номерами СНИЛС, паспортными данными и сведениями о трудоустройстве россиян оказались в открытом доступе — личную информацию можно найти на электронных торговых площадках. Данные обнаружил председатель Ассоциации участников рынков данных Иван Бегтин.
- Бегтин проанализировал информацию на шести площадках, на которых размещаются коммерческие закупки и госзакупки по федеральным законам 44-ФЗ и 223-ФЗ. В большинстве случаев данные можно было найти в решениях об одобрении открытых аукционов.
- В «РТС-Тендер» сообщили, что компания загружала на сайт перечень документов, который по закону необходим для аккредитации участников на электронной площадке. Все данные, которые отображаются в реестре, готовятся самими участниками, а площадки обязаны публиковать их без изменений, заявили в «Росэлторге».
- По мнению Бегтина, причина — прорехи в законодательстве: требование публиковать решения о согласовании крупных сделок (в них часто включают паспортные данные учредителей) и использование квалифицированной электронной подписи для публикации документов (она содержит ФИО, e-mail, СНИЛС).
- Обработка персональных данных участников торгов регламентируется законом «О персональных данных» и требует согласия участников, указывает РБК. По словам аналитика ГК InfoWatch Андрея Арсентьева, электронные торговые площадки не всегда достаточно следят за защитой личной информации, поскольку нет жёсткой ответственности за нарушения.
- Физлицо, которое обнаружило утечку своих данных, может обратиться в суд. Однако проще попросить саму площадку убрать информацию, говорит советник юридической компании CMS Константин Бочкарев. Оштрафовать такой сайт может и Роскомнадзор — по сообщению в прессе об утечке персональных данных.
Оштрафовать такой сайт может и Роскомнадзор — по сообщению в прессе об утечке персональных данных.
Вряд ли. У них есть более важные дела
Ага.
За то оштрафовать и забанить сайт навального за код гугл аналитикс они могут
Данные все равно будут продаваться, мне кажется все эти законы и ограничения движутся не в том направлении. И проблему нужно решать по другому. В россии это очень обьемный рынок. Например стоит заключить договор на отправку с почтой россии и тебе на следующий день позвонят из сдэка. Стоит заключить договор на эквайринг с тиньковым и на следующий день сбербанк перебьет их ставки. И это только часть того с чем я сталкивался лично. Но ты попробуй докажи что именно почта россии передала твои данные сдэку.
Судя по всему, проблема эта решится только если на каждого гражданина будет заведён некий цифровой профиль, который будет где-то храниться в зашифрованном виде. Гражданин будет сам разрешать, кому и какие данные считывать с профиля (по типу разрешений Гугла), при этом каждое считывание будет логироваться. Но это что-то из далёкого будущего.
Видели бы они ещё, как и где бэкапятся во многих инфраструктурах все эти персональные данные... Я видел даже варианты хранения в корпоративном Дропбоксе :-)
Копия папки дропбокса же хранится на локальном компе? Всё, значит условия хранения данных российских физлиц в России соблюдены. Максимум секьюрити...
А не фэсычи ли требования к квалифицированным сертификатам разрабатывали?
https://www.garant.ru/products/ipo/prime/doc/70033464/
II. Требования к совокупности полей квалифицированного сертификата 6. В соответствии со статьями 14 и 17 Федерального закона квалифицированный сертификат должен содержать следующую информацию:- фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата - для физического лица, либо наименование и место нахождения владельца квалифицированного сертификата - для юридического лица, а также в случаях, предусмотренных Федеральным законом, фамилия, имя и отчество (если имеется) физического лица, действующего от имени владельца квалифицированного сертификата - юридического лица на основании учредительных документов юридического лица или доверенности (далее - уполномоченный представитель юридического лица);- страховой номер индивидуального лицевого счета (далее - СНИЛС) владельца квалифицированного сертификата - для физического лица
В 63-ФЗ «Об электронной подписи», на который они ссылаются, никаких упоминаний СНИЛСов нет, например (http://www.consultant.ru/document/cons_doc_LAW_112701/). А уже спустя 6 лет после писанины ФСБ вышел Приказ Минкомсвязи России от 22.08.2017 N 436.
Я ничего не путаю в хронологии? Так зачем они (ФСБ) включили СНИЛС в открытом виде в состав сертификата?