ВШЭ и персональные данные: могло быть и лучше

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Начиная с августа веду переписку с НИУ ВШЭ («вышка», Высшая школа экономики) по поводу публикации на их сайте ПД абитуриентов. Под катом — вся история.
TL;DR — общение с негосударственным и вроде бы прогрессивным вузом оставило у меня двоякое впечатление. Проблему не признают, хотя ошибки исправляют (очень не спеша). Во избежание всякого — ПД в скринах маскирую.

В августе мой родственник поступал в магистратуру ВШЭ и вся семья напряженно следила за этим процессом. Первым делом абитуриент гордо прислал нам ссылку на сайт ВШЭ (документ Excel), где он фигурировал, как подавший заявление. Радости семьи не было предела, однако у меня возникло сомнение — хорошо ли публиковать СНИЛС в открытом доступе (см. рис. 1)? Я себя успокоил: дескать, там ФИО нет, только регистрационные номера, так что утечки вроде бы не должно быть.

Рис. 1


Но для спокойствия я таки полез в положение ВШЭ, которое касается работы с ПД. Нашел там пункт 3.1.1., относящий ПД абитуриентов (значит, и СНИЛС тоже) к конфиденциальной информации, а еще пункт 9.2.2., запрещающий размещать конфиденциальную информацию в интернете. Поржал и написал в «вышку» обращение о несоответствии их Положения с реальным состоянием дел.

Сделал я это не скандала ради, а чисто для порядка. В обращении предложил в документах маскировать СНИЛС звездочками. На идентификацию это никак не повлияет, т.к. каждый абитуриент получает регистрационный номер и может по нему себя найти. Через две недели мне ожидаемо ответили в стиле «не извольте беспокоиться, ФИО мы не публикуем, а СНИЛС указывать нас закон обязывает». Ну ладно, ОК.

Главное «хаха» началось после окончания приемной кампании. Как и полагается, институт опубликовал списки поступивших. Ясное дело, с ФИО. Конечно, без СНИЛСов. И… да, именно, с указанием тех самых регистрационных номеров (см. рис. 2).

Рис. 2



Тут я, конечно, взвился и направил в ВШЭ письмо следующего содержания (привожу с сокращениями):

На сайте НИУ ВШЭ любой желающий может узнать ФИО и СНИЛС абитуриентов:

— на сайте в открытом доступе размещены списки с парами данных «регистрационный № поступающего — ФИО» и «регистрационный № поступающего — СНИЛС»
— соотнести ФИО и СНИЛС на основании этой информации не составляет труда
— таким образом НИУ ВШЭ нарушает не только собственное Положение об обработке персональных данных, но и федеральное законодательство

Чтобы не быть голословным, высылаю список ФИО и СНИЛС абитуриентов, поступавших в магистратуру на специальность «Аналитик деловой разведки» (оценили иронию?). Эти данные получены из размещенных в свободном доступе списков на сайте www.hse.ru списков.

От ВШЭ мне пришел автоответ «ваше сообщение получено». Далее — тишина в течение почти месяца.

Я как-то даже расстроился: вроде не налоговая инспекция, а прогрессивный вуз. Но сегодня свершилось чудо! Я вновь полез на сайт ВШЭ, скачал свежую версию ведомости с поступившими студентами и увидел, что оттуда убрали колонку с регистрационными номерами (рис. 3)!

Рис. 3


Теперь злоумышленники не смогут сопоставить ФИО со СНИЛСами и оформить на будущих магистров кредиты. Ура, товарищи, здравый смысл восторжествовал, о чем и спешу вам сообщить!

P.S. Никакого ответного письма в стиле «спасибо за бдительность, чувствительные данные из открытого доступа убрали» я от ВШЭ пока не получил. Да ладно, я же это не для наград…

P.P.S. Ссылка на один и второй списки. Публикую без опаски, т.к. после внесенных изменений утечка ПД уже не случится.
Источник: https://habr.com/ru/post/583454/

Интересные статьи

Интересные статьи

Всем привет, меня зовут Егор. Совсем недавно я окончил второй курс радиофака УрФУ по специальности «программная инженерия» и сейчас прохожу стажировку в качестве системного аналитика. Одн...
Привет, Хабр! На связи снова Максим Горшков, специалист по информационной безопасности корпоративного облачного провайдера Cloud4Y. Хочу поднять вопрос о деятельности, ре...
Я давно знаком с Битрикс24, ещё дольше с 1С-Битрикс и, конечно же, неоднократно имел дела с интернет-магазинами которые работают на нём. Да, конечно это дорого, долго, местами неуклюже...
Всем привет! Давненько на Хабре не было блог-постов от команды WebStorm. Что же, будем исправляться, тем более, есть отличный повод: мы только что выпустили последнее крупное обновление WebSto...
История сегодня пойдёт про автосервис в Москве и его продвижении в течении 8 месяцев. Первое знакомство было ещё пару лет назад при странных обстоятельствах. Пришёл автосервис за заявками,...