Новости 29 апреля 2019

На госсайтах обнаружили утечку более 2 млн паспортных данных россиян

В открытом доступе находится не менее 2,24 млн записей с паспортными данными, номерами СНИЛС и сведениями о трудоустройстве россиян, пишет РБК со ссылкой на исследование Ассоциации участников рынков данных.

Как это возможно. Утечку обнаружил председатель Ассоциации участников рынков данных Иван Бегтин. Доступ к данным был открыт на сетевых торговых площадках, где размещаются коммерческие закупки и госзакупки по ФЗ 44 и 223: ZakazRF (562 тыс. записей), «РТС-тендер» (550 тыс. записей), «Росэлторг» (468 тыс. записей), «Национальная электронная площадка» (142 тыс. записей), ЭТП РАД (18 тыс. записей) и «Сбербанк АСТ» (500 тыс. записей), следует из исследования «Утечки персональных данных из регулируемых государством информационных систем». Получить информацию об участниках торгов можно было в решениях об одобрении открытых аукционов.

Причины. Сам Бегтин называет это утечкой лишь с натяжкой. По его словам, «это изначальная доступность из-за ошибок в законодательстве и безграмотности разработчиков [сайтов]». Проблема появилась из-за двух законодательных требований — о публикации решений о согласовании крупных сделок, куда часто включаются паспортные данные учредителей, и об использовании электронной подписи в документах заказчиков и поставщиков, которая содержит ФИО, e-mail и СНИЛС, говорит Бегтин.

Последствия. Наличие персональных данных в открытой среде является нарушением закона «О персональных данных», уверен аналитик ГК Infowatch Андрей Арсентьев. За разглашение паспортных данных может быть предусмотрена и уголовная ответственность по статье 137 УК  (нарушение неприкосновенности частной жизни), отмечает советник юридической компании CMS Константин Бочкарев. По его словам, публикация данных подпадает и под статью 13.11 КоАП (нарушение законодательства в области персональных данных). Электронным площадкам также грозят репутационные риски.

Что делать. Если вы обнаружили утечку своих данных, можно обратиться в суд за возмещением убытков. Но при отсутствии доказательств материальных убытков будет сложно добиться компенсации, говорит Бочкарев. По его словам, для тех, кто не может позволить себе долгое и затратное судебное разбирательство, самый эффективный способ — обратиться напрямую к площадке, где опубликованы данные, и попросить их убрать информацию. Данные удалят и в том случае, если Роскомнадзор оштрафует площадку по сообщениям в прессе и даже при отсутствии жалоб со стороны физлиц.

Узнайте больше. Получить паспортные данные россиян можно не только через утечку, но и на специальных сайтах. В России сложился целый рынок «онлайн-пробивки» — система форумов, на которых можно недорого купить паспортные данные, информацию о перемещениях человека по городу, детализацию телефонных разговоров и даже кодовое слово банковской карты, выяснила Русская служба BBC. Основные поставщики информации — рядовые сотрудники салонов мобильной связи, отделений банков или полиции, часто из провинции.

Лиана Фаизова