Все течет. Как власти России не заботятся о персональных данных граждан
Если нарушение закона о персональных данных квалифицируется как административное, то максимальный штраф составляет 75 тыс. рублей
Государство и связанные с ним организации - один из главных источников утечек персональных данных в России.
Адреса, телефоны, паспортные данные и даже имена родственников граждан - все это оказывается в сети, когда власти не соблюдают собственный закон о хранении этих данных.
Би-би-си вспомнила самые громкие случаи и нашла еще больше.
Сайт госзакупок На официальном сайте госзакупок Би-би-си нашла десятки таблиц с персональными данными региональных чиновников, сотрудников МЧС, полиции и госпредприятий. В основном это сметы на медицинское страхование за госсчет.
В этих таблицах попадаются номера паспортов, адреса, телефоны, имена родственников и даже оклады страхуемых.
Вот несколько примеров:
Подведомственный МЧС ГУП "Военизированная горноспасательная часть" в 2017 году опубликовал персональные данные 158 сотрудников, включая номера паспортов и адреса и должности.
Учреждение "Северо-Восточная противофонтанная военизированная часть" опубликовало полный набор персональных данных, включая номера паспортов и личные телефоны 26 сотрудников.
Адреса по прописке и годы рождения 27 липецких спасателей также оказались в открытом доступе.
Муниципалитет в Московской области опубликовал полные имена, даты рождения и номера мобильных телефонов 31 сотрудника.
Муниципалитет в Красноярском крае указал даже, кто из сотрудников находится в отпуске по уходу за ребенком.
Большинство ведомств и госпредприятий не публикуют персональные данные сотрудников, ссылаясь на закон "О персональных данных".
Сбербанк
30 августа московский дизайнер Игант Голдман обедал у себя дома, когда на его смартфоне высветилась информация о первом неожиданном денежном переводе. Некий Юрий прислал ему 3,8 тыс. рублей. Зачем - Голдман не знал, никаких других данных "благодетеля" у него не было. "Подумал, что человек ошибся и, может быть, свяжется со мной", - рассказал Голдман Би-би-си.
В следующие дни он получил еще несколько подобных переводов, и на его карточке появились лишние 5 тыс. рублей. Одновременно незнакомые люди стали звонить и писать Голдману в мессенджерах. По словам дизайнера, они называли его мошенником и утверждали, что его номер телефона для переводов им предоставил Сбербанк.
"Звонков принял штук 30-40 из 100, под конец уже просто игнорировал, так как устал, - вспоминает Голдман. - К тому же не все звонки были приятные. Начал думать, что мой номер попал в какую-то мошенническую рассылку, что это фишинг и меня кто-то решил подставить. Думал уже менять номер".
Оказалось, Сбербанк случайно разместил его номер телефона в рекламе сервиса денежных переводов с другим банком. Эта реклама появлялась в мобильном приложении Сбербанка на Android. Люди восприняли рекламу как инструкцию для переводов и вводили номер Голдмана в строке получателя денег.
Голдман утверждает, что ранее сотрудничал со Сбербанком, но к созданию рекламного макета с его номером телефона отношения не имеет. Он заблокировал переводы на свою карту со Сбербанка.
В пресс-службе Сбербанка, куда обратилась Би-би-си, эту историю комментировать отказались. Голдман же утверждает, что в банке извинились перед ним и предложили в качестве компенсации книжку "Сбербанк" (что под этим понимать - дизайнер не уточнил) и дорогую перьевую ручку. Сам он рассчитывает на денежную компенсацию.
Мэрия Москвы
Пенсионер Владимир Михайлович часто жалуется в мэрию Москвы. Так, в апреле 2018 года он пожаловался на ремонт одной из станций метро и назвал компанию, участвующую, с его точки зрения, в коррупции.
Жалобу пенсионер отправил через сайт столичного департамента транспорта. В правилах приема и обработки обращений граждан на сайте департамента указано, что персональные данные граждан хранятся и обрабатываются в соответствии с требованиями закона.
Но вместо того, чтобы поступать чиновникам в зашифрованном виде, обращения публиковались прямо на сайте. Их индексировали поисковики, и в результате десятки обращений с именами, паспортными данными, сканами документов оказались доступны всем пользователям интернета.
В июле 2018 года на это обратил внимание SEO-специалист, эксперт по поисковым системам в Rush Agency Павел Медведев. Он проанализировал несколько подобных утечек: помимо мэрии Москвы, по его мнению, их могли допустить несколько крупных банков и сайтов по продаже билетов на транспорт.
Все эти организации могли бы обеспечить приватность данных, запретив поисковым системам индексировать соответствующие страницы. Запрет устанавливается одной строчкой кода в файле robots.txt.
4 сентября глава департамента транспорта Москвы Максим Ликсутов заявил, что "никаких данных никуда не утекало" что и он о такой проблеме даже не слышал. "У нас никаких персональных данных пользователей и нет", - цитировало Ликсутова РИА Новости.
После публикации пенсионера мэрия все же запретила поисковикам индексировать страницы с обращениями граждан. Но сохраненные копии некоторых обращений с персональными данными до сих пор висят во временной памяти (кэше) поисковиков. Один из примеров: обращение Медведева о ремонте метро в Москве, убедилась Би-би-си.
Медведев из Rush Agency посвятил этому новый пост.
"Правительство Москвы могло бы защитить персональные данные за час-два при правильном обращении с инструментами поисковиков, - считает он. - Но они не сделали этого. Я им даже писал в посте, как это делается, сам вручную удалил за них несколько страниц со сканами документов. У них больше возможностей для этого было, могли бы удалить информацию массово, а не по одной ссылке, как я".
Потерпевших нет?
Медведев приводит и другой пример неосторожного обращения властей с внутренней информацией. На сайт одного из московских IT-специалистов поступали запросы поддомена Федеральной налоговой службы. Перейдя по ссылке, он обнаружил списки сайтов, посещенных сотрудниками налоговой. Также он обнаружил даты посещений, трафик и IP-адреса сотрудников. Иногда - подразделения, в которых они работают - например, межрайонная инспекция №6.
Среди посещенных сайтов есть развлекательный fishki.net, playboyrussia.com и порносайты. "Это, конечно, забавно и не тянет на скандал, - полагает Медведев. - Но это показатель халатности админов, не закрывших сайт. В будущем это может привести к более серьезным утечкам данных как сотрудников налоговой, так и граждан".
На сайте Федеральной налоговой службы IT-специалисты наши необычный раздел
Представитель пресс-службы ФНС сообщил Би-би-си, что информация в этом разделе сайта носит технический характер и утечка персональных данных через него невозможна.
Об утечке персональных данных из другого ведомства, Рособрнадзора, в январе 2018 года рассказал пользователь коллективного блога "Хабр". Автор поста под ником NoraQ утверждал, что ему удалось изменить код формы для проверки дипломов о высшем образовании и получить доступ к персональным данным 14 млн выпускников вузов.
Би-би-си не удалось получить комментария Рособрнадзора.
Кто должен отвечать?
За несоблюдение требование по обеспечению конфиденциальности персональных данных должностные лица в России должны платить штрафы.
На практике суды часто не присваивают статус потерпевших лицам, чьи данные были разглашены по вине властей, сказала Би-би-си руководитель практики по интеллектуальной собственности адвокатского бюро "Качкин и Партнеры" Екатерина Смирнова.
"По мнению судов, диспозиции соответствующих статей Кодекса об административных правонарушениях не предусматривают статус потерпевшего, - отметила Смирнова. - В результате лица, чьи персональные данные были разглашены, не могут активно участвовать в рассмотрении административного дела, в том числе обжаловать соответствующее решение суда".
К тому же, по словам Смирновой, зачастую трудно установить должностное лицо, допустившее утечку.
Андрей СОШНИКОВ. Русская служба BBC. 12 сентября 2018 года