Збір персональних даних, відсутність політики конфіденційності, незахищені партійні сайти і таргетована реклама – Тетяна Богданова разом з Лабораторією Цифрової Безпеки та Громадянською мережею ОПОРА презентували результати дослідження “Використання персональних даних виборців під час парламентських виборів в Україні 2019 року: дослідження про цифровий вплив поза межами дезінформації”.
Що виявили дослідники?
Автори дослідили методи збору інформації онлайн, якими користувалися п’ять політичних партій під час парламентської виборчої кампанії на своїх офіційних сайтах та сторінках в соцмережах, а також розглянули ці практики з огляду на чинне законодавство, партійні заяви про те, яким чином вони збирали та обробляли персональні дані, методи та інструменти цифрової агітації, які застосовували політичні партії на виборах 2019 року.
Збір даних через партійні сайти
Усі п’ять партій збирали персональні дані відвідувачів через різноманітні реєстраційні форми на сайтах, в соцмережах, файли-cookies тощо. Аналіз веб-сайтів п’яти парламентських політичних партій свідчить, що жодна не дотрималась вимог і принципів отримання поінформованої згоди користувачів, встановлених у законі «Про захист персональних даних», в повному обсязі.
Наприклад, лише дві партії опублікували на сайтах політики конфіденційності. Три партії просили згоди користувачів на обробку їхніх персональних даних
Чотири з п’яти партій використовували різноманітні аналітичні сервіси, здатні відстежувати активність особи в мережі та надсилати дані третім сторонам і всі п’ять застосовували cookies. Лише дві партії намагалися інформувати користувачів про такі деталі, але й вони не питали їхньої згоди на використання cookies. Жоден із веб-сайтів не попереджав користувачів про те, що вони надають персональні дані з моменту переходу на їхній сайт.
Безпека партійних сайтів
Усі п’ять аналізованих партійних сайтів використовувались для збору персональних даних, а вимоги безпеки до таких вебсайтів є вищими, ніж до класичних партійних сайтів-візиток.
Відповідно до ст. 7 і 24 Закону про захист персональних даних, політичні партії мають забезпечити реальну спроможність власних веб-сайтів захищати дані користувачів від перехоплення чи втрати.
Чотири з п’яти вебсайтів мали ті чи інші легко уникні вразливості:
- незашифрований весь вебсайт або його частини;
- неоновлені модулі та програмне забезпечення з відомими вразливостями;
- щонайменше у одному випадку волонтери знайшли низку вразливостей;
- Усе вказує на відсутність системного підходу до безпеки сайтів, зокрема з огляду на ризики збору та збереження даних користувачів.
- Є потреба у обов’язкових аудитах безпеки партійних сайтів ДО початку виборчої кампанії.
Висновки
Стрімкий розвиток і поширення технологій, що використовують персональні дані для політичних цілей, створюють правовий вакуум, в якому нові інструменти масово використовуються в умовах ігнорування правових норм. Ця ситуація ускладнюється ще й тим, що суспільство не має можливості повністю усвідомити, до яких технологій звертаються політичні суб’єкти протягом кампанії і як далеко вони готові зайти.
Питання безпеки партійних сайтів та інших онлайн інструментів, які використовуються протягом виборчої кампанії, часто згадуються в останню чергу. Хоча не всі партії мають однакові ресурси під час кампанії, цей аспект має завжди бути пріоритетним, а належні заходи для захисту персональних даних виборців мають вживатися вчасно.
Законодавці та керівництво ЦВК готові запроваджувати такі інновації, як електронне голосування, в той час, як чинному законодавству бракує важливих роз’яснень, механізмів та безпекових заходів, необхідних для регулювання цифрової агітації та захисту персональних даних виборців.
Існує ще одна проблема, яка викликає навіть більше занепокоєння. Мова йде про відсутність культури приватності та слабку обізнаність про пов’язані з цим ризики серед громадян, приватних підприємств та органів державної влади. Обсяг персональних даних громадян, який вже доступний в мережі внаслідок витоків, хакерських атак або нелегальної торгівлі, створює серйозні ризики розповсюдження серед великої кількості громадян будь-якого потенційно шкідливого контенту.
Повний текст дослідження: