Комментарии в СМИ
«Все течет. Как власти России не заботятся о персональных данных граждан»
Руководитель практики по интеллектуальной собственности / информационным технологиям «Качкин и Партнеры» Екатерина Смирнова отмечает, что на практике суды часто не присваивают статус потерпевших лицам, чьи персональные данные были разглашены по вине властей.
Государство и связанные с ним организации — один из главных источников утечек персональных данных в России.
Адреса, телефоны, паспортные данные и даже имена родственников граждан — все это оказывается в сети, когда власти не соблюдают собственный закон о хранении этих данных.
Би-би-си вспомнила самые громкие случаи и нашла еще больше.
Сайт госзакупок
На официальном сайте госзакупок Би-би-си нашла десятки таблиц с персональными данными региональных чиновников, сотрудников МЧС, полиции и госпредприятий. В основном это сметы на медицинское страхование за госсчет.
В этих таблицах попадаются номера паспортов, адреса, телефоны, имена родственников и даже оклады страхуемых.
Вот несколько примеров:
Подведомственный МЧС ГУП «Военизированная горноспасательная часть» в 2017 году опубликовал персональные данные 158 сотрудников, включая номера паспортов и адреса и должности.
Учреждение «Северо-Восточная противофонтанная военизированная часть» опубликовало полный набор персональных данных, включая номера паспортов и личные телефоны 26 сотрудников.
Адреса по прописке и годы рождения 27 липецких спасателей также оказались в открытом доступе.
Муниципалитет в Московской области опубликовал полные имена, даты рождения и номера мобильных телефонов 31 сотрудника.
Муниципалитет в Красноярском крае указал даже, кто из сотрудников находится в отпуске по уходу за ребенком.
Большинство ведомств и госпредприятий не публикуют персональные данные сотрудников, ссылаясь на закон «О персональных данных».
Сбербанк
30 августа московский дизайнер Игант Голдман обедал у себя дома, когда на его смартфоне высветилась информация о первом неожиданном денежном переводе. Некий Юрий прислал ему 3,8 тыс. рублей. Зачем — Голдман не знал, никаких других данных «благодетеля» у него не было. «Подумал, что человек ошибся и, может быть, свяжется со мной», — рассказал Голдман Би-би-си.
В следующие дни он получил еще несколько подобных переводов, и на его карточке появились лишние 5 тыс. рублей. Одновременно незнакомые люди стали звонить и писать Голдману в мессенджерах. По словам дизайнера, они называли его мошенником и утверждали, что его номер телефона для переводов им предоставил Сбербанк.
«Звонков принял штук 30-40 из 100, под конец уже просто игнорировал, так как устал, — вспоминает Голдман. — К тому же не все звонки были приятные. Начал думать, что мой номер попал в какую-то мошенническую рассылку, что это фишинг и меня кто-то решил подставить. Думал уже менять номер».
Оказалось, Сбербанк случайно разместил его номер телефона в рекламе сервиса денежных переводов с другим банком. Эта реклама появлялась в мобильном приложении Сбербанка на Android. Люди восприняли рекламу как инструкцию для переводов и вводили номер Голдмана в строке получателя денег.
Голдман утверждает, что ранее сотрудничал со Сбербанком, но к созданию рекламного макета с его номером телефона отношения не имеет. Он заблокировал переводы на свою карту со Сбербанка.
В пресс-службе Сбербанка, куда обратилась Би-би-си, эту историю комментировать отказались. Голдман же утверждает, что в банке извинились перед ним и предложили в качестве компенсации книжку «Сбербанк» (что под этим понимать — дизайнер не уточнил) и дорогую перьевую ручку. Сам он рассчитывает на денежную компенсацию.
Мэрия Москвы
Пенсионер Владимир Михайлович часто жалуется в мэрию Москвы. Так, в апреле 2018 года он пожаловался на ремонт одной из станций метро и назвал компанию, участвующую, с его точки зрения, в коррупции.
Жалобу пенсионер отправил через сайт столичного департамента транспорта. В правилах приема и обработки обращений граждан на сайте департамента указано, что персональные данные граждан хранятся и обрабатываются в соответствии с требованиями закона.
Но вместо того, чтобы поступать чиновникам в зашифрованном виде, обращения публиковались прямо на сайте. Их индексировали поисковики, и в результате десятки обращений с именами, паспортными данными, сканами документов оказались доступны всем пользователям интернета.
В июле 2018 года на это обратил внимание SEO-специалист, эксперт по поисковым системам в Rush Agency Павел Медведев. Он проанализировал несколько подобных утечек: помимо мэрии Москвы, по его мнению, их могли допустить несколько крупных банков и сайтов по продаже билетов на транспорт.
Все эти организации могли бы обеспечить приватность данных, запретив поисковым системам индексировать соответствующие страницы. Запрет устанавливается одной строчкой кода в файле robots.txt.
4 сентября глава департамента транспорта Москвы Максим Ликсутов заявил, что «никаких данных никуда не утекало» что и он о такой проблеме даже не слышал. «У нас никаких персональных данных пользователей и нет», — цитировало Ликсутова РИА Новости.
После публикации пенсионера мэрия все же запретила поисковикам индексировать страницы с обращениями граждан. Но сохраненные копии некоторых обращений с персональными данными до сих пор висят во временной памяти (кэше) поисковиков. Один из примеров: обращение Медведева о ремонте метро в Москве, убедилась Би-би-си.
Медведев из Rush Agency посвятил этому новый пост.
«Правительство Москвы могло бы защитить персональные данные за час-два при правильном обращении с инструментами поисковиков, — считает он. — Но они не сделали этого. Я им даже писал в посте, как это делается, сам вручную удалил за них несколько страниц со сканами документов. У них больше возможностей для этого было, могли бы удалить информацию массово, а не по одной ссылке, как я».
Потерпевших нет?
Медведев приводит и другой пример неосторожного обращения властей с внутренней информацией. На сайт одного из московских IT-специалистов поступали запросы поддомена Федеральной налоговой службы. Перейдя по ссылке, он обнаружил списки сайтов, посещенных сотрудниками налоговой. Также он обнаружил даты посещений, трафик и IP-адреса сотрудников. Иногда — подразделения, в которых они работают — например, межрайонная инспекция №6.
Среди посещенных сайтов есть развлекательный fishki.net, playboyrussia.com и порносайты. «Это, конечно, забавно и не тянет на скандал, — полагает Медведев. — Но это показатель халатности админов, не закрывших сайт. В будущем это может привести к более серьезным утечкам данных как сотрудников налоговой, так и граждан».
Представитель пресс-службы ФНС сообщил Би-би-си, что информация в этом разделе сайта носит технический характер и утечка персональных данных через него невозможна.
Об утечке персональных данных из другого ведомства, Рособрнадзора, в январе 2018 года рассказал пользователь коллективного блога «Хабр». Автор поста под ником NoraQ утверждал, что ему удалось изменить код формы для проверки дипломов о высшем образовании и получить доступ к персональным данным 14 млн выпускников вузов.
Би-би-си не удалось получить комментария Рособрнадзора.
Кто должен отвечать?
За несоблюдение требование по обеспечению конфиденциальности персональных данных должностные лица в России должны платить штрафы.
На практике суды часто не присваивают статус потерпевших лицам, чьи данные были разглашены по вине властей, сказала Би-би-си руководитель практики по интеллектуальной собственности адвокатского бюро «Качкин и Партнеры» Екатерина Смирнова.
«По мнению судов, диспозиции соответствующих статей Кодекса об административных правонарушениях не предусматривают статус потерпевшего, — отметила Смирнова. — В результате лица, чьи персональные данные были разглашены, не могут активно участвовать в рассмотрении административного дела, в том числе обжаловать соответствующее решение суда».
К тому же, по словам Смирновой, зачастую трудно установить должностное лицо, допустившее утечку.
Андрей Сошников
Материал опубликован на сайте «Би-би-си» 12.09.2018
