Как электронные торговые площадки сливают персональные данные россиян

Как обнаружились номера паспортов и СНИЛС в открытом доступе?

В открытом доступе находится не менее 2,24 млн записей с паспортными данными, номерами СНИЛС и сведениями о трудоустройстве россиян. Это обнаружил председатель Ассоциации участников рынков данных Иван Бегтин; его исследование «Утечки персональных данных из открытых источников. Электронные торговые площадки» есть у РБК.

В исследовании проанализирована информация крупнейших российских электронных торговых площадок, на которых размещаются коммерческие закупки и госзакупки по федеральным законам 44-ФЗ и 223-ФЗ, а именно: закупочного модуля ZakazRF (562 тыс. записей), «РТС-тендер» (550 тыс. записей), «Росэлторг» (468 тыс. записей), «Национальной электронной площадки» (142 тыс. записей), ЭТП РАД (18 тыс. записей) и «Сбербанк АСТ» (500 тыс. записей). На всех площадках можно найти личную информацию участников аукционов.

Называть появление этой информации утечкой можно только с натяжкой, уточнил Бегтин в разговоре с РБК. «Это изначальная доступность из-за ошибок в законодательстве и безграмотности разработчиков [сайтов]», — считает он.

Исследование Бегтина состоит из трех частей. Неделю назад он опубликовал первую часть, посвященную утечкам на сайтах удостоверяющих центров, занимающихся подтверждением электронной подписи. Бегтин обнаружил утечку 63 тыс. записей с раскрытием персональных данных в виде Ф.И.О., места работы, e-mail и СНИЛС.

Как утекают паспортные данные?

Бегтин привел алгоритм получения персональных данных с каждой из упомянутых площадок. Все они к моменту начала работы над материалом РБК работали. После обращения РБК к представителям «Сбербанк АСТ» система закрыла возможность скачивания данных.

Механизм скачивания документов с персональными данными на всех перечисленных площадках совпадает. В большинстве случаев данные можно было найти (в чем убедился РБК) в хранящихся там решениях об одобрении открытых аукционов. На некоторых из них также размещены адреса электронной почты, номера СНИЛС и сведения о трудоустройстве участников аукционов.

Почему данные оказались в открытом доступе?

Причина, по которой на электронных площадках размещаются персональные данные, заключается в том, что решения об одобрении крупных сделок в большинстве случаев содержат информацию о тех, кто эту сделку одобрил, а также об их представителях.

Представитель «РТС-Тендер» сообщил РБК, что по закону для аккредитации участников на электронной площадке необходима передача определенного перечня документов — его компания и загружала на сайт. Генеральный директор «Сбербанк АСТ» Николай Андреев заявил РБК, что согласно утвержденному порядку в реестре участников указываются сведения о наименовании организации, ОГРН, ИНН, а также дата начала и окончания аккредитации. В открытом реестре участников закупок, который обязаны вести все операторы электронных площадок в соответствии с нормами 44-ФЗ, иногда могут встречаться данные персонального характера, отметили в пресс-службе «Росэлторга». Однако вся отображаемая в реестре информация и документы готовятся самими участниками торгов, и операторы электронных площадок обязаны публиковать их в неизменном виде, пояснил представитель компании.

По мнению Бегтина, проблема — в двух больших прорехах в законодательстве. «Первая — это требования по публикации в открытом доступе решений о согласовании крупных сделок, в которые по российской практике часто включают паспортные данные учредителей», — пояснил он. Вторая — в практике использования квалифицированной электронной подписи для публикации документов заказчиками и поставщиками. «Подпись, приложенная к такому файлу, содержит те же метаданные, что и электронная подпись — Ф.И.О., e-mail, СНИЛС», — сказал Бегтин РБК.

Нарушает ли закон открытое размещение паспортных данных?

Обработка персональных данных участников торгов требует их согласия и регламентируется законом «О персональных данных», указал аналитик ГК InfoWatch Андрей Арсентьев. «Разумеется, наличие персональных данных в открытой среде является нарушением. Судя по всему, электронные торговые площадки не всегда уделяют достаточно внимания защите данных участников торгов, поскольку нет жесткой ответственности за нарушения», — пояснил он.

Разглашение паспортных данных может подпасть под ст. 137 УК (уголовная ответственность за нарушение неприкосновенности частной жизни), говорит советник юридической компании CMS Константин Бочкарев. Он приводит пример из судебной практики, когда Мосгорсуд признал телефонный номер личной или семейной тайной. При публикации такой информации нарушается и ст. 13.11 КоАП РФ (нарушение законодательства Российской Федерации в области персональных данных), утверждает юрист.

Что делать, если вы узнали об утечке своих данных?

По мнению юристов, физлицо, обнаружившее утечку своих данных, может обратиться в суд за возмещением убытков. Однако, если нет доказательств факта материальных убытков, добиться компенсации будет сложно, убежден Бочкарев. «Для обычного гражданина, который не может позволить себе долгий и затратный судебный процесс, самый эффективный способ — обратиться напрямую к той площадке, где данные опубликованы, и попросить их убрать», — убежден он.

Кроме того, у Роскомнадзора есть право по сообщению в прессе об утечке персональных данных, даже без наличия жалоб со стороны физических лиц, оштрафовать электронную площадку. «В этом случае данные тоже быстро удалят», — добавил Бочкарев. Он отметил, что для электронных площадок подобная «небрежность» грозит репутационными рисками.

Последние скандалы с утечками данных

В начале апреля в интернете выложили базу данных пациентов скорой помощи нескольких подмосковных городов. Из нее можно узнать имена, адреса и телефоны, а также состояние здоровья обратившихся к врачам. Следственный комитет начал проверку по этому поводу.

Несколько раз в масштабных утечках персональной информации обвиняли Facebook. В последний раз это произошло в апреле, когда данные оказались в открытом доступе других платформ и в облачном хранилище Amazon. До этого представители социальной сети обнаружили, что пароли ряда пользователей Facebook хранились на ее серверах в незашифрованном виде — в виде обычного текста. Сообщалось, что ненадлежащее хранение информации было выявлено в ходе рутинной проверки безопасности в январе; оно затронуло «сотни миллионов пользователей Facebook Lite, десятки миллионов других пользователей Facebook и десятки тысяч пользователей Instagram».