ВШЭ и персональные данные: могло быть и лучше + UPD: Ответ вуза +10


Начиная с августа веду переписку с НИУ ВШЭ («вышка», Высшая школа экономики) по поводу публикации на их сайте ПД абитуриентов. Под катом — вся история.

TL;DR — общение с негосударственным (UPD: в комментариях поправили — он государственный) и, вроде бы, прогрессивным вузом оставило у меня двоякое впечатление. Проблему не признают, хотя ошибки исправляют (очень не спеша). Во избежание всякого — ПД в скринах маскирую.
UPD2: Уже после публикации на Хабре мне прилетел ответ от ВШЭ — добавлю его в конец статьи.

В августе мой родственник поступал в магистратуру ВШЭ, и вся семья напряженно следила за этим процессом. Первым делом абитуриент гордо прислал нам ссылку на сайт ВШЭ (документ Excel), где он фигурировал, как подавший заявление. Радости семьи не было предела, однако у меня возникло сомнение — хорошо ли публиковать СНИЛС в открытом доступе (см. рис. 1)? Я себя успокоил: дескать, там ФИО нет, только регистрационные номера, так что утечки вроде бы не должно быть.

Рис. 1


Но для спокойствия я таки полез в положение ВШЭ, которое касается работы с ПД. Нашел там пункт 3.1.1., относящий ПД абитуриентов (значит, и СНИЛС тоже) к конфиденциальной информации, а еще пункт 9.2.2., запрещающий размещать конфиденциальную информацию в интернете. Поржал и написал в «вышку» обращение о несоответствии их Положения с реальным состоянием дел.

Сделал я это не скандала ради, а чисто для порядка. В обращении предложил в документах маскировать СНИЛС звездочками. На идентификацию это никак не повлияет, т.к. каждый абитуриент получает регистрационный номер и может по нему себя найти. Через две недели мне ожидаемо ответили в стиле «не извольте беспокоиться, ФИО мы не публикуем, а СНИЛС указывать нас закон обязывает». Ну ладно, ОК.

Главное «хаха» началось после окончания приемной кампании. Как и полагается, институт опубликовал списки поступивших. Ясное дело, с ФИО. Конечно, без СНИЛСов. И… да, именно, с указанием тех самых регистрационных номеров (см. рис. 2).

Рис. 2



Тут я, конечно, взвился и направил в ВШЭ письмо следующего содержания (привожу с сокращениями):

На сайте НИУ ВШЭ любой желающий может узнать ФИО и СНИЛС абитуриентов:

— на сайте в открытом доступе размещены списки с парами данных «регистрационный № поступающего — ФИО» и «регистрационный № поступающего — СНИЛС»
— соотнести ФИО и СНИЛС на основании этой информации не составляет труда
— таким образом НИУ ВШЭ нарушает не только собственное Положение об обработке персональных данных, но и федеральное законодательство

Чтобы не быть голословным, высылаю список ФИО и СНИЛС абитуриентов, поступавших в магистратуру на специальность «Аналитик деловой разведки» (оценили иронию?). Эти данные получены из размещенных в свободном доступе списков на сайте www.hse.ru списков.

От ВШЭ мне пришел автоответ «ваше сообщение получено». Далее — тишина в течение почти месяца.

Я как-то даже расстроился: вроде не налоговая инспекция, а прогрессивный вуз. Но сегодня свершилось чудо! Я вновь полез на сайт ВШЭ, скачал свежую версию ведомости с поступившими студентами и увидел, что оттуда убрали колонку с регистрационными номерами (рис. 3)!

Рис. 3


Теперь злоумышленники не смогут сопоставить ФИО со СНИЛСами и оформить на будущих магистров кредиты. Ура, товарищи, здравый смысл восторжествовал, о чем и спешу вам сообщить!

P.S. Никакого ответного письма в стиле «спасибо за бдительность, чувствительные данные из открытого доступа убрали» я от ВШЭ пока не получил. Да ладно, я же это не для наград…

UPD: А, нет, все же получил! И какое письмо — в лучших традициях госструктур. Не поленюсь, процитирую.
Начало ожидаемое: 'как вы нас достали'

Я и с первого раза понял, что вузам СНИЛС публиковать полагается. Хотя это и несекьюрно. Но лишний раз меня ткнуть носом стоит. Оборот «повторно сообщаем» прямо музыкой отзывается!

Дальше идет (фанфары) скромное признание моих заслуг.
Ну почти...

Честно говоря, слабовато. Ну можно же было дописать: «данные, необходимые для сопоставления, убраны из открытого доступа». Но это ведь означало бы, что институт признал косяк (пусть даже уже ликвидированный). Но этого в госструктурах не бывает.

Берегите персональные данные смолоду, в общем…

P.P.S. Ссылка на один и второй списки. Публикую без опаски, т.к. после внесенных изменений утечка ПД уже не случится.




К сожалению, не доступен сервер mySQL