Министерство цифровой трансформации оказалось в эпицентре скандала. Якобы из Telegram-бота мобильного приложения «Дия» произошел слив базы данных с 26 миллионами водительских удостоверений. Эту информацию сразу же опровергли в министерстве и заявили, что «Дия» не собирает персональные данные граждан и не имеет собственной базы. Ситуацию изучает Служба безопасности Украины.

Как бы там ни было, сохранность персональных данных в «Дие» и «Дий вдома» давно вызывают много вопросов у экспертов, которые считают, что оба приложения нарушают права человека, в частности право на приватность и защиту персональных данных. Возможно, СБУ стоит изучить и этот вопрос?

Защита информации – только на словах

Как сообщалось ранее, председатель правления Украинского Хельсинкского союза по правам человека, директор Харьковской правозащитной группы Евгений Захаров упрекнул ведомство, что для использования приложений одного постановления правительства недостаточно, нужны изменения в законодательную базу. По словам правозащитника, чтобы использовать информацию из каналов связи, необходимо решение суда, потому что это мероприятия, предусмотренные законом «Об оперативно-розыскной деятельности». Без этого использование приложений нарушает право на приватность, которое гарантирует Конституция и Европейская конвенция по правам человека.

В Минцифре на подобные заявления не обращают внимания. А на портале «Дия», с которого в принципе начиналась работа ведомства и где должна быть собрана вся информация о диджитал-проектах, до сих пор нет четких объяснений, как же защищают данные при пользовании министерскими разработками.

«Дия» - хорошо защищенная платформа. Она находится в надежном дата-центре и соответствует мировым стандартам защиты от киберугроз, - указано на портале. - Все данные мы передаем исключительно в зашифрованном виде, а для части критических данных используем блокчейн технологию распределенного хранения данных. Ничего лучшего в мире пока не придумали».

Фактически министерство просит граждан поверить на слово, что о безопасности данных хорошо позаботились. Никаких фактов и доказательств нет. После запуска «Дии» информации о проверках системы на киберугрозы так и не появилось. Министр Михаил Федоров всего лишь обозначил, что систему пробовали «хакнуть» разработчики, специалисты компании EPAM. Эксперты из области IT отметили, что подобные проверки должны делать независимые компании. На худой конец, где результаты этого испытания?

Приложение «Дий вдома» вызывает не меньше вопросов. Во-первых, отслеживать передвижение украинцев с помощью мобильных телефонов можно, когда в стране вводится чрезвычайное положение и принят специальный закон с описанными мерами защиты населения от коронавируса. Об этом также заявлял ранее Евгений Захаров. Иначе это нарушает права человека. Во-вторых, подзаконные акты для использования разработки появились через несколько недель после запуска приложения. Первое время граждане пользовались им без наличия нормативной базы. И в-третьих, хоть Украина еще не член Евросоюза, но могла бы использовать опыт европейских стран во внедрении подобных приложений. Тем более, что в Минцифре ранее заявляли, что следуют лучшим мировым практикам кибербезопасности.

Почему игнорируются рекомендации ЕС?

С появлением приложения «Дий вдома» пользователи также часто спрашивают министерство, почему не воспользовались практикой ЕС? Евросоюз разработал руководство для защиты персональных данных специально для мобильных приложений, которые используются в борьбе с COVID-19.  В целом рекомендации содержат 8 пунктов, которые обозначают, каким требованиям должны отвечать программные средства.

Например, приложения должны использовать новейшие технологические решения, которые усиливают приватность (как раз то, в чем обвиняют правозащитники «Дий вдома»). Это могут быть технологии Bluetooth, которые не позволяют отслеживать местонахождение людей. «Дий вдома» использует как раз-таки принудительную геолокацию путем доступа к соответствующим функциям смартфона.

По рекомендациям ЕС приложения должны базироваться на анонимности данных, а также предупреждать людей о возможных контактах с инфицированными людьми, чтобы те могли пройти тестирование или самоизолироваться. Ничего подобного «Дий вдома» не предусматривает. Только контроль за местоположением пользователя и приезд полиции домой в случае нарушения режима самоизоляции.

«Я лично свои данные в «Дии» не размещу, потому что непонятно, кто имеет к ним доступ»

Что касается защиты персональных данных, то нормативы ЕС гласят, что граждане должны давать отдельное добровольное согласие на каждую функцию приложения, а государство в свою очередь должно прописать на законодательном уровне, как именно будут обрабатываться данные, кто будет их контролировать и кто будет иметь к ним доступ. Разработчик приложения должен четко описать цель создания программы. Вариант, что это поможет предотвращать распространение COVID-19, не подходит.

«В «Дии» действительно нет полного перечня всех субъектов отношений, связанных с персональными данными. Нам говорят, что владелец персональных данных – это Минцифры, но при проверке эти данные просматривает полиция. Каким образом у них появляется доступ к этим данным, на основании каких законов, каким порядком регулируется передача данных, какие существуют договорные обязательства? Эту информацию обязано предоставить Министерство цифровой трансформации вместе с Офисом Омбудсмена как органа, который стоит на защите персональных данных. А европейские стандарты не хотят внедрять, потому что в них есть требование на удаление данных, также надо обеспечить прозрачность обработки данных, чтобы как раз было понятно, кто к ним имеет доступ. Я лично свои данные в «Дии» не размещу, потому что не понимаю, кто в конечном итоге будет ими пользоваться», - отметил в интервью DATA.UA эксперт по защите персональных данных и технической защите информации Алексей Мервинский.

В украинском законе о защите персональных данных тоже четко прописано: граждане имеют право знать, кто собирает о них информацию, на каком основании использует данные и какой механизм автоматической обработки данных используется. Так что ничего сверхъестественного от Минцифры не требуется – дать чёткий отчет, что же происходит внутри приложений. Иначе подобные скандалы, как с Telegram-ботом, будут появляться все чаще.

Подписывайтесь на канал свежих новостей DATA.ua в telegram, а так же на официальные страницы в facebook и twitter, чтобы быть первым в курсе событий.