[svoboda] Российские торговые площадки для проведения закупок допустили утечку 2,2 млн паспортных данных
Здравствуйте, свобода.
В России в открытом доступе находится не менее 2,24 млн записей с
паспортными данными, номерами СНИЛС и сведениями о трудоустройстве россиян.
Как говорится в исследовании председателя Ассоциации участников рынков
данных Ивана Бегтина, утечку этих сведений допустили электронные торговые
площадки, на которых размещаются коммерческие закупки и госзакупки по
федеральным законам 44-ФЗ и 223-ФЗ.
Как пишет РБК, в исследовании Бегтина проанализирована информация крупнейших
российских электронных торговых площадок: закупочного модуля ZakazRF (562
тыс. записей), "РТС-тендер" (550 тыс. записей), "Росэлторг" (468 тыс.
записей), "Национальной электронной площадки" (142 тыс. записей), ЭТП РАД
(18 тыс. записей) и "Сбербанк АСТ" (500 тыс. записей). На всех из них можно
найти личную информацию участников аукционов, но, по словам Бегтина, речь не
идет об утечках в прямо смысле - данные доступны изначально из-за ошибок в
законодательстве и безграмотности разработчиков сайтов.
Механизм скачивания документов, содержащих персональные данные, совпадает на
всех перечисленных площадках. Эти материалы можно найти в размещенных на
площадках решениях об одобрении открытых аукционов. В некоторых случаях
документы содержат не только паспортные данные, но и адреса электронной
почты, номера СНИЛС и сведения о трудоустройстве участников аукционов. После
обращения РБК к представителям площадок, администрация "Сбербанк АСТ"
закрыла возможность скачивания данных.
Публикация площадками личных данных участников торгов связана с тем, что
решения об одобрении крупных сделок в большинстве случаев содержат
информацию о тех, кто эту сделку одобрил, а также об их представителях. Так,
представитель "РТС-Тендер" пояснил, что по закону для аккредитации
участников на электронной площадке необходима передача определенного перечня
документов, которые загружаются на сайт. В пресс-службе "Росэлторга"
отметили, что в открытом реестре участников закупок, который обязаны вести
все операторы электронных площадок, могут встречаться персональные данные,
но эти документы готовятся самими участниками торгов, а операторы площадок
должны публиковать их в неизменном виде.
По словам Бегтина, эта проблема связана с двумя ошибками в законодательстве.
"Первая - это требования по публикации в открытом доступе решений о
согласовании крупных сделок, в которые по российской практике часто включают
паспортные данные учредителей. Вторая - в практике использования
квалифицированной электронной подписи для публикации документов заказчиками
и поставщиками. Подпись, приложенная к такому файлу, содержит те же
метаданные, что и электронная подпись -- Ф.И.О., e-mail, СНИЛС", - рассказал
Бегтин.
"Разумеется, наличие персональных данных в открытой среде является
нарушением. Судя по всему, электронные торговые площадки не всегда уделяют
достаточно внимания защите данных участников торгов, поскольку нет жесткой
ответственности за нарушения", - считает аналитик ГК InfoWatch Андрей
Арсентьев.
В свою очередь, советник юридической компании CMS Константин Бочкарев
отметил, что публикация паспортных данных может подпасть под ст. 137 УК
("Нарушение неприкосновенности частной жизни"). Физлицо, обнаружившее утечку
своих данных, может обратиться в суд за возмещением убытков, но без
доказательств факта материальных убытков, добиться компенсации будет трудно.
Бочкарев также напомнил, что на основании публикаций в СМИ Роскомнадзор
может даже без наличия жалоб со стороны физических лиц оштрафовать
электронную площадку. В этом случае личные данные оперативно удалят.
Информация о персональных данных заинтересовала Роскомнадзор
Во второй половине дня 29 апреля стало известно, что Роскомнадзор направил
электронным торговым площадкам запросы по поводу размещения в открытом
доступе персональных данных участников аукционов.
О направлении таких запросов "Ведомостям" рассказал представитель ведомства,
но в чем состоит суть запросов и планирует ли Роскомнадзор возбуждать дело
из-за утечки данных, он не уточнил.
