Чиновники ответили на публикацию «Медузы» об утечке данных интернет-избирателей. Разбираем их аргументы Спойлер: в мэрии Москвы почему-то считают, что серия и номер паспорта — это не персональные данные
В день публикации «Медузы» об утекшей базе данных интернет-избирателей ее прокомментировали чиновники из мэрии Москвы и Минкомсвязи РФ. Начальник управления по совершенствованию территориального управления и развитию смарт-проектов правительства Москвы Артем Костырко написал заметку «Почему власти не выкладывали персональные данные в открытый доступ» в своем блоге на сайте радиостанции «Эхо Москвы». Неназванный собеседник ТАСС в пресс-службе Минкомсвязи РФ сообщил агентству, что паспортные данные избирателей в принципе не могли утечь. «Медуза» подробно разбирает аргументы чиновников и объясняет, что с ними не так.
Архив degvoter.zip находился в открытом доступе
«Приложение было доступно для скачивания по закрытой ссылке и располагалось в запароленном архиве, а пароли распространялись через защищенные каналы передачи данных только лицам, уполномоченным использовать сервис» (пресс-служба Минкомсвязи)
«Дальше по тексту — жаль, многие люди не читают материалы дальше заголовка — „Медуза“ фактически сама же и признается, что получила все от сотрудника избирательной системы — только у членов ТИКов и УИКов был доступ к этим установочным файлам, то есть ни в каком открытом доступе никакие базы интернет-избирателей не появлялись. Другой вопрос, что кто-то решил рабочий документ (инструкцию) и рабочие файлы отдать журналистам из „Медузы“ — поздравляем „Медузу“ с тем, что у них есть такие надежные источники информации» (Артем Костырко)
Утром 1 июля приложение с данными интернет-избирателей было доступно для скачивания любому желающему на сайте «Госуслуг». Источник «Медузы» прислал нам только инструкцию, но не архив degvoter.zip с программой. Архив находился там же, где и специальный сервис по проверке интернет-избирателей — на домене третьего уровня checkvoter.gosuslugi.ru. Доступ к этому сервису тоже сначала был свободным, его ограничили только после публикации «Медузой» новости о запуске этого сервиса: от посетителей сайта стали требовать логин и пароль. Одновременно был ограничен доступ к архиву degvoter.zip.
Факт свободного доступа к архиву можно подтвердить с помощью сайта web.archive.org. Утром 1 июля он сохранил копию файла с сайта checkvoter.gosuslugi.ru (сейчас архив degvoter.zip исключен из выдачи). Веб-архив не умеет автоматически сохранять копии сайтов и файлов, доступ к которым закрыт логином и паролем. Более того, этот сервис уважает ограничения, которые администраторы сайтов прописывают в специальном файле robots.txt, и не дает сохранить у себя явно запрещенные для индексирования файлы, даже если физически их можно скачать. То есть утром 1 июля на сайте «Госуслуг» не было даже запрета на индексирование файла degvoter.zip, не то что на скачивание.
Хеш-сумма — это не случайная последовательность знаков. Публикация таких сведений может навредить избирателям
«Серии и номера паспортов перед загрузкой в приложение были закодированы и представляли собой полученную случайным образом последовательность знаков (хеш-сумма), не позволяющую идентифицировать гражданина. Хеш-суммы не являются персональными данными. Публикация такого случайного набора символов не может навредить гражданам» (пресс-служба Минкомсвязи)
Ни одна хеш-сумма не может быть случайным набором символов. Если хеш-функция используется с одними и теми же аргументами на входе, то на выходе она всегда возвращает одну и ту же строку, одну и ту же хеш-сумму. В противном случае это была бы не хеш-функция, а генератор случайных чисел. Именно тот факт, что при расчете хеш-суммы с одинаковыми аргументами всегда получается одна и та же строка, позволял программе degvoter.exe проверить, числился ли конкретный паспорт в списке интернет-избирателей и получал ли его владелец электронный бюллетень.
Паспорта интернет-избирателей были захешированы таким образом, что «Медузе» не составило никаких проблем восстановить серии и номера паспортов. То же самое мог проделать работодатель или другое лицо, от которого зависит избиратель. С помощью серий и номеров паспортов работодатель мог проверить, записались ли его сотрудники на дистанционное голосование; выяснить, кто из них в итоге получил электронный бюллетень, и наказать ослушавшихся. То, что некоторые работодатели в Москве принуждали своих сотрудников записываться на интернет-голосование, подтверждали сами власти.
Серия и номер паспорта — это персональные данные
«Но дальше самое интересное. „Медуза“ громко именует это „персональными данными избирателей“. Почему ничего не было в открытом доступе, я уже объяснил, а теперь самое главное: почему эта база — не персональные данные. Файлы, которые отправлялись на УИКи — это реестр номеров паспортов. Без ФИО и даты рождения. Серия и номер паспорта без наличия других данных не позволяет однозначно идентифицировать человека — это просто цифры, оторванные от людей. Восстановить по этой базе целиком реестр избирателей невозможно, потому что реестр избирателей — это люди, персональные данные и прочее. А в приложении, которое было создано для членов УИКов для проверки статуса избирателя, содержались лишь серия и номер паспорта. И на этом все» (Артем Костырко)
Серия и номер паспорта позволяют идентифицировать большинство интернет-избирателей. За редким исключением серия и номер конкретного паспорта являются уникальными. Выяснить, кто скрывается за конкретным числом, мог, например, работодатель, принуждавший своего сотрудника проголосовать. Или любой человек, имеющий доступ к базам российских паспортов, в том числе утекшим.
Повторное использование одних и тех же серий и номеров паспортов настолько редкое, что разработчики degvoter.exe не научили свою программу, как обходиться с такими случаями. В базе данных интернет-избирателей «Медуза» обнаружила 97 пар записей с одинаковыми сериями и номерами паспортов. В 91-м случае каждой конкретной серии и номеру паспорта соответствовали две противоречащие отметки: избиратель получил электронный бюллетень и избиратель не принимал участие в дистанционном голосовании. При проверке таких паспортов с помощью программы degvoter.exe она не предупреждала о наличии второй записи для паспорта с тем же номером и серией, но явно разрешала или запрещала очное «бумажное» голосование.
Российские суды и Роскомнадзор, являющийся основным регулятором в области защиты персональных данных, считают серию и номер паспорта персональными данными. В постатейном комментарии к закону о персональных данных, разработанном в 2014-2015 годах сотрудниками Роскомнадзора, утверждается: «В частности, к числу идентификаторов (данных, позволяющих однозначно идентифицировать физическое лицо), которые сами по себе однозначно определяют физическое лицо, могут быть отнесены: номер и серия паспорта; страховой номер индивидуального лицевого счета; идентификационный номер налогоплательщика; биометрические данные; банковский счет, номер банковской карты». Эту формулировку в своих решениях любят копировать российские суды. Региональные подразделения РКН упростили ее и явно утверждают, что номер и серия паспорта — это именно персональные данные.
25 июля 2011 года в федеральном законе «О персональных данных» поменялось определение персональных данных.
Новая формулировка: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»
Старая формулировка: «Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»
Прежняя формулировка с перечнем конкретных персональных данных позволяла судам утверждать, что раз там не упоминаются серия и номер паспорта, то они и не являются персональными данными. Например, несколько арбитражных и московских судов общей юрисдикции упорно утверждали, что серия и номер паспорта относятся не к личности гражданина, а к бланку документа, удостоверяющего его личность.
Но уже в 2014 году московские суды признали паспортные данные персональными. Новая формулировка позволяет судам признавать персональными данными не только явные идентификаторы вроде паспортных данных, ИНН, СНИЛС, но даже статические IP-адреса и файлы cookies.
Тот факт, что в свободный доступ были выложены обезличенные персональные данные, не делают их менее персональными.
Недействительные паспорта из базы МВД — правда недействительные. И по учетным записям, привязанным к ним, можно было зарегистрироваться на голосование
«Отдельно остановлюсь на номерах паспортов, особенно на тех, которые „Медуза“ называет „недействительными“ и призывает всех проверить. Я рад, что информационные технологии и открытые данные в России развиваются как ни в одной другой стране. Однако не стоит забывать, что та база, которая размещена в сети — это сервис, интерфейс — ею нельзя руководствоваться как истиной в последней инстанции. Истиной в последней инстанции является система межведомственного электронного взаимодействия — сокращенно СМЭВ. Именно с ней сверяли данные паспортов в ЦИКе и в Минкомсвязи» (Артем Костырко)
Через пять дней (из них три рабочих) после публикации статьи об утечке персональных данных база МВД избавилась только от 24 из 4720 записей. Все эти 24 паспорта считались недействительными еще 22 мая.
В эфире радиостанции «Эхо Москвы» ведущий программы «Точка» Сергей Оселедько заявил, что в утекшей базе интернет-избирателей указаны оба его паспорта — старый и новый. Оселедько зарегистрировался для участия в интернет-голосовании еще по старому паспорту, 18 июня получил новый и обновил свои паспортные данные на «Госуслугах». В итоге его старый паспорт без отметки о голосовании оказался в списке недействительных паспортов, опубликованном «Медузой».
Два читателя «Медузы» также заявили, что нашли в списке недействительных свои старые паспорта (у нас есть серии и номера их документов). Оба читателя, судя по отметкам, проголосовали по своим старым паспортам. «Да, мой паспорт недействителен по причине утери, но утеря паспорта не блокирует доступ к порталу „Госуслуг“ и не мешает голосовать», — пояснил один из читателей. Теоретически такие избиратели могли проголосовать сначала дистанционно, а затем очно: прийти на свой избирательный участок, предъявить новый паспорт и «доказать» членам УИК, что они вообще не являются интернет-избирателями.
Что осталось без комментариев
Некоторые данные из базы интернет-избирателей не сходятся с официальными отчетами.
- Непонятно, сколько интернет-избирателей зарегистрировались для голосования. Власти оценивали число проголосовавших в 1 190 726 человек. В утекшей базе было точно такое же число записей, но 97 паспортов были записаны там дважды, а ведущий «Эха Москвы» нашел в базе два своих разных паспорта.
- Непонятно, сколько человек получили так называемые электронные бюллетени. Власти утверждали, что было выдано 1 107 648 бюллетеней. Но в выложенной в свободный доступ базе данных было только 1 107 594 отметок о голосовании.
- Непонятно, как была организована проверка паспортных данных, если она позволяла принять участие в голосовании по старым паспортам.