Более 2,2 млн паспортных данных россиян оказались в свободном доступе на электронных торговых площадках. Об этом сообщает РБК со ссылкой на исследование председателя ассоциации участников рынков данных Ивана Бегтина.

В своем исследовании «Утечки персональных данных из открытых источников. Электронные торговые площадки» Бегтин проанализировал данные, которые размещаются на крупнейших российских торговых площадках, где размещаются коммерческие и государственные закупки по 44-ФЗ и 223-ФЗ (ZakazRF, «РТС-тендер», «Сбербанк АСТ» и другие).

Как выяснилось, на всех площадках можно найти личную информацию участников аукционов: речь идет не только о данных паспортов, но и номерах СНИЛС, а также сведениях о трудоустройстве.

При этом утечкой назвать появление этой информации сложно, подчеркивает автор исследования. «Это изначальная доступность из-за ошибок в законодательстве и безграмотности разработчиков [сайтов]», — уверен он. Чтобы это доказать, он привел алгоритм получения персональных данных с каждой площадки: РБК убедился, что он работает. Однако после того, как агентство обратилось за комментарием к «Сбербанк АСТ», система закрыла возможность скачивания данных.

По словам Бегтина, механизм скачивания документов на всех площадках совпадает. Причина, по которой персональные данные размещаются на таких сайтах, заключается в том, что в решениях об одобрении крупных сделок часто есть информация о тех, кто эту сделку одобрил. Эксперт считает, что проблема — в двух больших «прорехах» в законодательстве. Первая заключается в том, что закон требует обязательной публикации решений о таких сделках в открытом доступе, вторая — в практике использования квалифицированной электронной подписи для публикации документов.

Представители площадок прокомментировали РБК, что определенный перечень документов, необходимый для аккредитации участников аукционов, публикуется на сайте по закону. При этом вся информация и все данные готовятся непосредственно самими участниками торгов, и операторы обязаны публиковать их в неизменном виде.

Аналитики отмечают, что наличие персональных данных в открытой среде является нарушением. Более того, разглашение паспортных данных может подпасть под ст. 137 УК, указывают юристы: они полагают, что физлицо, обнаружившее утечку своих данных, может обратиться в суд за возмещением убытков.