Эксперты обнаружили на электронных торговых площадках более 2,2 млн записей с паспортными данными россиян Статьи редакции
Причина — ошибки в законодательстве и безграмотность разработчиков сайтов, считают в Ассоциации участников рынков данных.
- Около 2,2 млн записей с номерами СНИЛС, паспортными данными и сведениями о трудоустройстве россиян оказались в открытом доступе — личную информацию можно найти на электронных торговых площадках. Данные обнаружил председатель Ассоциации участников рынков данных Иван Бегтин.
- Бегтин проанализировал информацию на шести площадках, на которых размещаются коммерческие закупки и госзакупки по федеральным законам 44-ФЗ и 223-ФЗ. В большинстве случаев данные можно было найти в решениях об одобрении открытых аукционов.
- В «РТС-Тендер» сообщили, что компания загружала на сайт перечень документов, который по закону необходим для аккредитации участников на электронной площадке. Все данные, которые отображаются в реестре, готовятся самими участниками, а площадки обязаны публиковать их без изменений, заявили в «Росэлторге».
- По мнению Бегтина, причина — прорехи в законодательстве: требование публиковать решения о согласовании крупных сделок (в них часто включают паспортные данные учредителей) и использование квалифицированной электронной подписи для публикации документов (она содержит ФИО, e-mail, СНИЛС).
- Обработка персональных данных участников торгов регламентируется законом «О персональных данных» и требует согласия участников, указывает РБК. По словам аналитика ГК InfoWatch Андрея Арсентьева, электронные торговые площадки не всегда достаточно следят за защитой личной информации, поскольку нет жёсткой ответственности за нарушения.
- Физлицо, которое обнаружило утечку своих данных, может обратиться в суд. Однако проще попросить саму площадку убрать информацию, говорит советник юридической компании CMS Константин Бочкарев. Оштрафовать такой сайт может и Роскомнадзор — по сообщению в прессе об утечке персональных данных.
0
показов
6.9K
открытий
Вряд ли. У них есть более важные дела
Ага.
За то оштрафовать и забанить сайт навального за код гугл аналитикс они могут
Данные все равно будут продаваться, мне кажется все эти законы и ограничения движутся не в том направлении. И проблему нужно решать по другому. В россии это очень обьемный рынок. Например стоит заключить договор на отправку с почтой россии и тебе на следующий день позвонят из сдэка. Стоит заключить договор на эквайринг с тиньковым и на следующий день сбербанк перебьет их ставки. И это только часть того с чем я сталкивался лично. Но ты попробуй докажи что именно почта россии передала твои данные сдэку.
Судя по всему, проблема эта решится только если на каждого гражданина будет заведён некий цифровой профиль, который будет где-то храниться в зашифрованном виде. Гражданин будет сам разрешать, кому и какие данные считывать с профиля (по типу разрешений Гугла), при этом каждое считывание будет логироваться. Но это что-то из далёкого будущего.
Это создаст еще один рынок где будут продавать эти доступы.
Если я разрешил считывать свои данные только условной почте России, то сразу понятно, откуда слив. Как-то так.
Сотрудник почты россии открыл данные и скопировал их в файлик "клиенты апрель 2019".
Видели бы они ещё, как и где бэкапятся во многих инфраструктурах все эти персональные данные... Я видел даже варианты хранения в корпоративном Дропбоксе :-)
Копия папки дропбокса же хранится на локальном компе? Всё, значит условия хранения данных российских физлиц в России соблюдены. Максимум секьюрити...
Там ещё и расшарено на 80 сотрудников было, потому что менеджер разграничение групп пользователей не осилил.
А не фэсычи ли требования к квалифицированным сертификатам разрабатывали?
II. Требования к совокупности полей квалифицированного сертификатаhttps://www.garant.ru/products/ipo/prime/doc/70033464/
6. В соответствии со статьями 14 и 17 Федерального закона квалифицированный сертификат должен содержать следующую информацию:
- фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата - для физического лица, либо наименование и место нахождения владельца квалифицированного сертификата - для юридического лица, а также в случаях, предусмотренных Федеральным законом, фамилия, имя и отчество (если имеется) физического лица, действующего от имени владельца квалифицированного сертификата - юридического лица на основании учредительных документов юридического лица или доверенности (далее - уполномоченный представитель юридического лица);
- страховой номер индивидуального лицевого счета (далее - СНИЛС) владельца квалифицированного сертификата - для физического лица
В 63-ФЗ «Об электронной подписи», на который они ссылаются, никаких упоминаний СНИЛСов нет, например (http://www.consultant.ru/document/cons_doc_LAW_112701/). А уже спустя 6 лет после писанины ФСБ вышел Приказ Минкомсвязи России от 22.08.2017 N 436.
Я ничего не путаю в хронологии? Так зачем они (ФСБ) включили СНИЛС в открытом виде в состав сертификата?
Комментарий недоступен
Вот чем нельзя торговать - у нас спокойно торгуют. А хамон там - ни-ни! Идиотия.
И эти люди блокируют LinkedIn за какое-то там неправильное хранение данных.
Это лишь малая толика персональных данных, которыми оперируют Агенты НПФ.
Пока сам гражданин, чьи персональные данные слиты на данных площадках, не напишет соответствующее заявление в соответствующее органы, никто никого за его персональные данные привлекать не будет.
За подобное Фейсбук получил штраф от США на $3 млн. Ждем реакции Роскомнадзора) Вангую, что ее не будет