Интернет-голосование в Эстонии: тайность VS конфиденциальность
Блог | Дмитрий Нестеров
Эксперт по выборам. Москва
|
Вдогонку к посту, в котором сравнивались наши и эстонская системы интернет-голосований. Коллеги напомнили, что в качестве одной из инноваций российских систем дистанционного электронного голосования часто преподносится обеспечение тайности голосования, которой как бы нет в эстонской системе.
Подобный тезис вызывает привычное раздражение в силу его манипулятивности. Появился удобный повод описать в чем подвох. И попытаться сформулировать свое отношение.
Обсуждаемая тема достаточно деликатна, и часть коллег из независимых экспертов и наблюдателей придерживаются иных мнений.
«Тайность» и «конфиденциальность»
Для большей определенности разделим понятия «тайности» и «конфиденциальности» голосования. Гарантия тайности голосования — это гарантия невозможности регулярной процедуры, восстанавливающей связь избирателя и его волеизъявления. Более того, строгая тайность требует, чтобы и сам избиратель не мог иметь возможности доказать свое конкретное волеизъявление. Гарантии конфиденциальности — это гарантии того, что ваше волеизъявление не станет известно третьим лицам.
В реальном мире сложных систем тайность и конфиденциальность в реальных системах не могут быть полными и абсолютными. Без труда в любой систем голосования можно найти ситуации исключения или вероятность организации нерегламентированных процедур, которые могут частично нарушить эти свойства.
Практический вопрос состоит в степени и мере реализации тайности и конфиденциальности в рамках конкретных процедур и технологий голосования. А также в адекватности предпринимаемых мер защиты от тех рисков, с которыми та или иная система может столкнуться.
Зачем вообще нужна тайность/конфиденциальность на выборах?
Прежде всего, чтобы повысить степень объективности/добровольности волеизъявления, чтобы уменьшить зависимость волеизъявления от влияния (вольного или невольного) третьих лиц. Что обеспечит большую точность взвешивания интересов/предпочтений граждан в рамках электоральных процедур, что важно для демократических систем.
Если мы представим прекрасное общество будущего, в котором нет административного и иного давления на граждан, где общественная культура достигла уровня, когда граждане уважительно и терпимо относятся друг другу, к мнениям и интересам других членов общества, то чем ближе к такому состоянию общества, тем меньше нужды и резонов гражданам скрывать свое волеизъявление. Тем меньше результаты открытого голосования будут отличаться от результатов тайного голосования по аналогичному вопросу.
Получается, что чем авторитарнее государство, чем поляризованнее общество и чем нетерпимее общественная культура, тем выше должен быть общественный запрос на тайность голосования. И тем рискованнее полагаться на конфиденциальность голосования, ибо волеизъявление людей может быть с большей вероятностью раскрыто из чьих-то коррупционных или политических интересов. И тем больший ущерб это может принести избирателям, чье волеизъявление оказалось раскрыто.
Сравним концепцию и реализацию эстонской и российских систем
Эстонская система интернет-голосования формально не обеспечивает тайность на аппаратном уровне, как и почтовое голосование с двумя конвертами. Теоретически внутренний злоумышленник может получить доступ к данным и скомпрометировать систему двух конвертов, вскрыв внешний конверт и как-то на основе электронной подписей избирателей связать голос и личность избирателя. Это в теории можно сделать, пока в ходе подсчета бюллетени не анонимизируются и не перемешиваются.
Однако практически такой риск в эстонской политической реальности считается ничтожным. Ибо в Эстонии ни у кого не может возникнуть практический политический интерес в подобном предприятии. Нет административных и силовых вертикалей, способных оказать давление на широкие социальные слои из-за неправильного мнения, граждане в целом достаточно терпимы к политическим предпочтениям сограждан, поскольку нет радикализации и сильного социального напряжения. Тем более невероятно представить сговор нескольких неслучайных и публичных акторов, необходимый для реализации подобной затеи.
Случайное и непреднамеренное нарушение тайны волеизъявления исключается продуманностью, четкостью и простотой процедуры подведения итогов. На определенном этапе данные о цифровых следах избирателей стираются, и восстановление связи избирателей и их электронных волеизъявлений становится невозможным.
В итоге по факту получается, что эстонская система интернет-голосования (как и вся их избирательная система) в нынешнем виде решает свои задачи и соответствует информированным ожиданиям общества. Что и выражается в достаточно высоком для демократий доверии к данному институту.
Разработчики российских систем утверждают, что они на программном уровне обеспечивают тайность голосования. В концепции анонимизация происходит на стадии голосования.
Если немного упростить, что разработчики говорят: мы не храним данных (логов) позволяющих связать избирателя и анонимизированный бюллетень; когда выдаем и обрабатываем бюллетень, мы сами себя запутываем (в московской системе) и таким образом теряем связь бюллетеня с избирателем. В публичный блокчейн бюллетень попадает анонимизированным и немного «замиксованным» в рамках небольшого промежутка времени.
«Анонимизация гарантирует тайность. Это круче, чем просто обещание организаторов не сговариваться и не восстанавливать связь избирателей и бюллетеней!»
Логическая дыра скрыта в этой последней части рассуждения. Во-первых, до сих пор нет механизмов, которые могут доказать добросовестность работы анонимизатора в реальной системе. То есть это пока «слово джентльмена». Вероятно анонимизатор действительно есть и действительно работает, но есть и иная засада. Операторы системы ДЭГ не гарантируют (и даже при желании не смогли бы гарантировать) что в логах систем не содержится информации по которой автоматически можно было бы восстановить связь избирателей и их бюллетеней.
Во-вторых, в российских системах не раскрывается совокупность хранящейся в системе ДЭГ информации (логов). Более того, системы ДЭГ запускаются в серверном окружении, которое само может собирать и логировать чувствительную информацию.
Теперь дополним картину политическим контекстом. Отечественные системы ДЭГ фактически находятся под контролем исполнительной власти, которая в России удерживается одной вполне конкретной политической группой, и частично спецслужб. У них может быть практический или политический интерес к раскрытию тайны голосования граждан — пусть и не для опубличивания, а например, для мониторинга политической ситуации и поиска неблагонадежных в системе управления, что они не устают нам демонстрировать.
Здесь уместно поставить практический вопрос: какая система в итоге способна лучше сохранять тайну волеизъявления?
Система, где запрограммирована конфиденциальность и у граждан есть рациональная уверенность, что нарушатся она не будет (потому что в этом нет практического и политического смысла)? Или система, в которой объявляется наличие механизма анонимизации, но проверить его работу никто не может, и у широкого слоя избирателей есть обоснованное рациональное недоверие организаторам выборов?
Если оставаться реалистами, то ко всем системам интернет-голосования имеет смысл относиться как к системам, которые должны так или иначе обеспечивать конфиденциальность голосования. Нужно иметь очень серьезные аргументы, чтобы ожидать от таких систем тайности. У меня нет таких аргументов ни про одну из известных мне систем голосований через интернет.
Более того, если влезать в технические детали, то реализация аппаратных способов анонимизации обычно или противоречит, или затрудняет имплементацию механизмов проверки/контроля. Чем снижает прозрачность и защищенность от фальсификаций. В истории московской системы так и происходило: под предлогом наличия анонимизации, сворачивалось обсуждение нескольких функций внешнего контроля системы.
Во всем хороша мера. Концентрация на проблематике тайности, а тем более строгой тайности, по отношению к системам интернет-голосования контрпродуктивна. Имеет смысл внедрять явное нормативное требование обеспечения конфиденциальности голосования, с ясным пониманием кто и как именно должен это обеспечивать и нести ответственность, в случае нарушения.
Тут ситуация аналогична общественной дихотомии безопасностью и прав/свобод. Под соусом безопасности власти часто протаскивают уменьшение общественного контроля над управленческими и общественными процессами, проталкивают ограничение прав. Это в запущенных ситуациях в итоге приводит к уменьшению и свободы, и благополучия и той же безопасности тех же граждан.
Заинтересованы ли организаторы голосования в раскрытии тайны
Полезно проговорить и такой часто эмоционально воспринимаемый вопрос, насколько реалистичны интересы организаторов в нарушении тайны голосования и в какой форме с какими последствиями это может произойти.
Часто подразумевается, что нарушение тайны голосования выльется в кампанию давления на нелояльных граждан. И даже само ожидание таких последствий заметно влияет на волеизъявление голосующих через ДЭГ.
Последняя часть тезиса — абсолютная правда. А вот первый тезис нереалистичен как минимум на данном историческом этапе. И получается, что нерациональный страх, порождает негативные ожидания, которые в свою очередь порождают реальные негативные социальные процессы.
В российской ситуации я бы не стал параноить [больше минимально необходимого] по поводу реальности рисков наступления негативных последствий для граждан из-за нарушения тайности голосования. С доверием системам ДЭГ и так есть серьезные проблемы. Очевидно, что факты нарушения тайности могут еще больше усугубить имидж систем.
В текущей политической ситуации максимум как можно представить использование (например, мэрией Москвы) данных о голосовании избирателей — более прецизионный социологический мониторинг бюджетных и иных подконтрольных организаций ну и упоминавшееся выше точечное выявление неблагонадежных в своем круге или среди элит-конкурентов по подковерной борьбе за федеральную власть.
Подобную социологию московская администрация и так использует при планировании и управлениями избирательными кампаниями, потому грех не воспользоваться более полной и точной картиной, которую может дать электоральная социология голосования, которую легко на основе московских баз данных привязать и к организациям, и к территориям и прочему.
При этом мне сложно представить практический электоральный смысл организации кампании давления на широкие слои москвичей из-за нелояльного голосования — продолжаем рассуждать о Москве, где административно и технологически такие возможности есть, но практического политического смысла все равно нет. Если, не дай бог, дойдет и до такого, то на такой стадии деградации сами выборы потеряют последний смысл. Как для граждан (понятно, что и так уже не допускаются независимые кандидаты), но и для власти (такие выборы практически не будут добавлять легитимности). И думать надо будет совсем не о доверии выборам или шансах на развитие.
Мне кажется, что сейчас тема отсутствия гарантий тайности волеизъявления при интернет-голосовании непропорционально переоценена. В условиях, когда системы ДЭГ не прозрачны и нет страховок от основных фальсификационных уязвимостей, проблема тайности голосования все же оказывается второстепенной. Бессмысленно говорить о точности и качестве волеизъявления, если само волеизъявление может потерять смысл, в погоне за дополнительным качеством.