Drept & Internet - noutati si opinii

Articole si stiri din Romania si strainatate
Posted by on 25 Nov 2008 in Stiri - Romania, Pareri personale, Criminalitate informatica, Viata privata

CeNePeu-ul lui, mura campului...

Primesc de la un prieten un link. Dar asta ni se intampla tuturor :-)

Pe linkul asta cineva ne ofera posibilitatea de a ne “da” in mod gratuit niste CNP-uri (pentru cei care nu sunt din Romania - Cod Numeric Personal) care sa te ajute sa activezi nu stiu ce extraoptiuni de pe cartela Orange.

Nu stiu ce extraoptiuni sunt si nici macar de ce cei de la Orange au venit cu ideea asta creata de a cere sa bagi un CNP ca sa se activeze extraoptiunea. Insa m-a surpinde nota asta:

Aceasta lista se revizuieste la fiecare refresh de pagina deci va garantam ca un CNP nu poate fi vizualizat de doua ori.

Hm- evident ca am dat refresh de vreo 4 ori - CNP-urile pareau a fi altele (toate pareau a fi a unor persoane nascute dupa 86). O fi vreo baza de date in spate cu toate CNP-uirile ?
Probabil ca nu. (si nu e singurul din cite se pare, iar unii o fac din ignoranta)

De altfel orice pusti care merge pe DC a vazut ca exista baze de date de luat de acolo cu CNP-urile, care numai date personale nu mai sunt cind trebuie sa le pui pe orice factura si orice forumular catre stat.

Problema e alta - chiar daca cineva e prins ca a facut ceva ilegal cu baze de date cu date personale, nu i se intampla nimic. Cel mult o contraventie, zice legea 677. De altfel - ca ironia sa fie maxima - prima lege care stabileste o infractiune pentru ne-pastrarea in mod corect a datelor personale e recenta lege pentru pastrarea datelor de trafic. Eu am zis ca daca cineva ar pune public in mod ilegal baza de date cu CNP-uri ar fi o incalcare a dreptului sui-generis pentru baze de date prevazut de legea dreptului de autor.

Dar situatia se va schimba in cativa ani. Pachetul telecom (trecut de prima citire in Parlamentul European - si cu multe dezbateri in Europa, dar nu si in .ro) deja a stabilit ca toti operatorii de telecom care vor pierde date personale vor fi obligati sa notifice autoritatea in domeniu (iar apoi sa notifice clientii daca e o pierdere grava). Asta e deja stabilit in negocierile politice.

Ceea ce insa e in discutie, si ar putea fi interesant de vazut - este faptul ca obligatia ar putea fi extinsa catre “furnizori de servicii ale societatii informationale” care inseamna practic orice serviciu online.

This entry was posted by Bogdan and filed under Stiri - Romania, Pareri personale, Criminalitate informatica, Viata privata.

10 comments

Comment from: cristi Visitor

Poate directia e buna poate nu…
Oricine gestioneaza date personale va trebui sa fie mai atent … poate deranju nu merita si atunci nu vor mai cere asa multe date de identificare… pe de alta parte acolo unde aceste date sunt justificate inseamna un cost in plus pentru business deci preturi mai mari.
Deci pana la urma vrei siguranta => platesti mai mult.

Comment from: Oribilul Visitor

Faptul ca se gasesc CNP-uri pe internet (site-uri, dc, etc.) nu inseamna automat ca ele provin din baze de date cu persoane reale. Oricine cunoaste algoritmul de validare al codului CNP (care este informatie publica) poate genera unul valid - adica unul care trece de o verificare insa nu apartine neaparat unei persoane.

O consecinta (neplacuta pentru Orange si alti operatori care cer CNP-ul) este ca cel mai probabil baza lor de date e plina de gunoaie (CNP-uri valide din punct de vedere al algoritmului de codare insa care nu apartin nici unei persoane).

Comment from: Adrian Visitor

Eu mi-am scris un generator de CNP-uri pentru uz personal. Folosesc CNP-uri generate automat peste tot unde mi se pare ca nu exista siguranta datelor. Ma refer in special la magazine online, pentru ca la operatorul de telefonie mobile am lasat totusi datele corecte, nu de alta dar am facut abonament cu cartea de identitate la ghiseu :)

Securitatea oferita de sistemele de tip CNP este extrem de slaba. Este relativ simplu sa “compui” CNP-ul exact al unei persoane odata ce ai niste date despre aceasta.

Comment from: Adrian Visitor

Bogdan,

Dar ce te faci cind primesti acasa un redit card, cobranded BRD-Renault, desi nu ai cerut asa ceva, si nici nu ti-ai dat acordul pentru asa ceva?
Sau alta speta colaterala. Companiile detinatoare de domneiu si site sint obligate sa isi afiseze Ro, CUI, cont bancar. In acelasi timp stampila nu mai este obligatorie pe facturi……

Comment from: Tudor Visitor

CNP-ul, in Romania cel putin, practic, nu e o informatie “personala", la fel cum nu e codul/seria cartii de identitate, care sunt la fel de publice cum e numele/prenumele - orice sistem care foloseste CNP-ul pentru autentificare (dovedirea identitatii persoanei care il acceseaza), va avea probleme serioase de securitate..

Comment from: Member

Multumesc pentru comentarii !

Oribilul, ai dreptate - si atunci trebuie sa ne punem intrebarea legata l autilitatea cererii unei astfel de informatii.
Dupa cum zice Adrian - securitatea este extrem de slaba - adica daca nu ai access la baza de date legala cu CNP-uri, degeaba aplici algoritmul ca se poate sa mearga, dar codul sa fie fals.
Adrian2, datele firmelor sunt publice si nu sunt informatii cu caracter personal, ele fiind persoane juridice.
Tudor, te contrazic - CNP, la fel ca si seria si numarul de buletin sunt date cu caracter personal - uita-te in legea 677 - citata in text.

Comment from: Tudor Visitor

Nu ma refeream la lege, ci la realitatea practica - CNP-ul nu e o informatie care sa o tinem “secreta", ca o parola - e doar un numar public, unic, asociat fiecarei persoane, si care poate fi aflat relativ usor (la fel ca Numele/Prenumele), de oricate ori aratam CI-ul cuiva..

Comment from: nicu Visitor

Acum citeva luni am scris si eu un articol pe unul dintre blogurile mele despre stupiditatea cererii CNP-ului de catre magazinele online romanesti (de pe cele americane pot cumpara doar lasind o adresa de mail). Era atunci un context oarecum incarcat politic, pentru ca se zvonea despre un politician ca ar fi folosit baza de date cu CNP-urile pacientilor din spitalul pe care il conducea pentru a-si alcatui lista de semnaturi pentru candidatura.

Whatever, am fost surprins sa vad un comentariu de la un cititor care sincer nu intelegea de ce CNP-ul ar trebui sa fie confidential.

Comment from: Adi Visitor

ok, dar de pagina aceasta ce ziceti?
http://www.congaz.ro/index.php?id=23

CONGAZ este furnizorul de gaze naturale catre populatia din Constanta, Medgidia, Navodari, Mangalia, etc., si desi pe site acolo acestia pretind ca respecta prevederile legii 677 in practica nu o fac.

Daca va uitati si la prevederile Ordinului Avocatului Poporului nr. 52 din 18 aprilie 2002 (MO 383 din 5 iun 2002) privind aprobarea Cerintelor minime de securitate a prelucrarilor de date cu caracter personal, art. 7, in acest caz solicitarea Codului Numeric Personal pentru login si transmiterea acestuia fara criptare prin internet nu reprezinta o data cu caracter personal strict necesar, pentru acest lucru poate fi folosita si adresa de email de unde s-a facut inregistrarea, un nume de utilizator generat arbitrar pentru site, sau chiar CODUL DE CLIENT ce apare pe factura trimisa prin posta. (aceasta utilizare este una logica, doar aceasta este una din situatiile pentru care a fost creat codul de client, nu?)


Form is loading...