Что показывает публикация номеров паспортов участников электронного голосования

По поводу «утечки паспортов» с электронным голосованием не могу не продолжить. Много лет назад, когда деревья были большими, а я меньше работал с большими данными, я начал (и, эх, не закончил) книгу под названием «скрытые данные», которая была посвящена извлечению данных из многочисленных кодов, численных и буквенных, которые нас окружают. Там было о том как читать ОГРН, ИНН и так далее, бесконечное число кодов для расшифровки. Более 99 я тогда проанализировал и, даже, — вздох, — тогда ещё думал формулировать их онтологию ибо многие были взаимосвязаны.

Номера паспортов в России — это тоже некоторые уникальные коды, не менявшиеся структурно десятилетия, чем-то похоже на Social Security Numbers в США, с одной стороны объект пристального внимания и страха, с другой стороны малозначащие сами по себе.

Что важно знать о номере паспорта:

• номера паспортов не уникальны (не спрашивайте меня, я не отвечу), просто посмотрите на портал госуслуг и вспомните что там СНИЛС, а не номер паспорта. Подробностей тут не расскажу;
• в отличие от других кодов, у него нет проверочного номера;
• первые 2 цифры серии паспорта — это код субъекта федерации, следующие 2 цифры серии — это номер года печати бланка, как правило соответствует или предшествует дате выдачи паспорта;
• остальные цифры инкрементальны, но нет какого-то известного алгоритма, как они распределялись по УФМС/ОВД для выдачи, поэтому нельзя оценить по номерам паспортов, например, общее число выданных паспортов за год или дату выдачи конкретного.

Из-за всего этого прямое раскрытие номеров паспортов проголосовавших дистанционно — это, конечно, не раскрытие персональных данных. Это раскрытие факта голосования, да, но не персональных данных формально.

Фактически эту базу стоит воспринимать как состоящую из трех значений:

• номер паспорта;
• признак, что его владелец жив;
• признак, что его владелец использовал интернет-голосование (имеет телефон, компьютер и т. д.).

Для всех кто находится в правовом поле эти данные ничего не дадут, потому что большинство подобных пользователей не оперируют базами с паспортными данными людей.

А вот если мы говорим о неэтичных/пограничных моделях использования данных, то они, конечно, есть.

1. Всяческие торговцы базами «база покупателей БАДов», «база игроков Форекс», «база посетителей казино» могут теперь обогащать свои данные дополнительной информацией, голосовал ли человек онлайн. Можно ли это применить во вредоносных целях? Я по-прежнему не могу придумать. Вижу лишь возможность обогащения одних баз данных другими данными.
2. Контроль голосования на крупных предприятиях. Если предположить, что на некоторых предприятиях контролируют явку граждан на выборы, то о проверке голосовавших на УИКах руководство предприятий может договориться на месте, а проверку проголосовавших онлайн можно сделать только с помощью вот такой вот базы.
3. Косвенная социология, вроде той, что делала «Медуза» по номерам бланков паспортов, выявляя потенциальные возрастные и территориальные группы голосовавших. Очень сомнительная социология, потому что нет возможности сравнить с демографией голосовавших в принципе, а не только онлайн.

Выводов у меня нет, я по прежнему считаю, что персональных данных здесь нет, но публикация базы паспортов (базы хэшей) — это ошибка.

Кстати, когда в мае 2019 года я писал о том, как реально извлекать закодированные персональные данные из цифровых подписей к документам — вот это была реальная утечка данных. Хочешь узнать чей-то СНИЛС, найди документ который этот человек подписал цифровой подписью ©.

Там тоже применялось «кодирование информации», но без хэш сумм.

Вся эта ситуация и многочисленные ранее говорят нам постоянно лишь об одном непреложном факте — в России нет регулятора защищающего права граждан на приватность. Обсуждать роль Роскомнадзора — это просто бессмысленно тратить время. Нужна ли реформа в этой сфере? Необходима.