Не менее 2,24 млн записей с паспортными данными, номерами СНИЛС и сведениями о трудоустройстве россиян оказались в открытом доступе.
Это обнаружил председатель Ассоциации участников рынков данных Иван Бегтин, подготовивший исследование «Утечки персональных данных из открытых источников. Электронные торговые площадки».
В частности, Бегтину удалось проверить ряд российских электронных торговых площадок – закупочного модуля ZakazRF, «РТС-тендер», а также «Росэлторга» «Национальной электронной площадки», ЭТП РАД и «Сбербанк АСТ». В результате эксперт выяснил, что найти личную информацию участников аукционов можно на каждой из этих площадок.
Механизм скачивания документов с персональными данными на них совпадает: информация содержится в хранящихся на площадках решениях об одобрении открытых аукционов. На некоторых из них также размещены адреса электронной почты, номера СНИЛС и сведения о трудоустройстве участников аукционов.
«Впрочем, называть появление этой информации “утечкой” можно только с натяжкой. Это изначальная доступность из-за ошибок в законодательстве и безграмотности разработчиков [сайтов – «Фингазета»]», – считает председатель ассоциации.
По словам Бегтина, причина, по которой на электронных площадках размещаются персональные данные, заключается в том, что решения об одобрении крупных сделок в большинстве случаев содержат информацию о тех, кто эту сделку одобрил, а также об их представителях.
«Проблема – в двух больших прорехах в законодательстве. Первая – это требования по публикации в открытом доступе решений о согласовании крупных сделок, в которые по российской практике часто включают паспортные данные учредителей. А вторая – в практике использования квалифицированной электронной подписи для публикации документов заказчиками и поставщиками», – указывает эксперт, уточняя, что подпись, приложенная к такому файлу, содержит те же метаданные, что и электронная подпись – то есть Ф.И.О., e-mail, СНИЛС.
Аналитик ГК InfoWatch Андрей Арсентьев напоминает, что обработка персональных данных участников торгов регламентируется законом «О персональных данных» и требует согласия субъектов персональных данных на обработку их личной информации.
«Разумеется, наличие персональных данных в открытой среде является нарушением. Судя по всему, электронные торговые площадки не всегда уделяют достаточно внимания защите данных участников торгов, поскольку нет жесткой ответственности за нарушения», – пояснил он.
Отметим, что согласно Уголовному кодексу разглашение паспортных данных может подпасть под статью 137 (нарушение неприкосновенности частной жизни). В судебной практике уже был пример, когда Мосгорсуд признал телефонный номер личной или семейной тайной. А потому гражданин, обнаруживший утечку своих данных, может обратиться в суд за возмещением убытков.
Однако, если нет доказательств факта материальных убытков, добиться компенсации будет сложно, убежден советник юридической компании CMS Константин Бочкарев.
«Для обычного гражданина, который не может позволить себе долгий и затратный судебный процесс, самый эффективный способ – обратиться напрямую к той площадке, где данные опубликованы, и попросить их убрать», – убежден он.
