Что стоит сделать Минцифре в условиях кризиса доверия к нему, или 5 шагов для "Дії"

Весь минулий тиждень ЗМІ писали про @UABazaBot, який за гроші продавав доступ до персональних даних. Помітної реакції правоохоронних органів не було, аж доки 11-12 травня нардепи зі "Слуги народу" не звернули на це увагу.

Зокрема Олександр Дубінський написав пост, в якому прямо вказав джерелом зливу "Дію", але потім цей пост прибрав – за його словами, до отримання роз'яснень від профільного міністра.

Більшість видань вийшли з питанням "Чи причетна до цього зливу "Дія"?". Здається причина такої недовіри до застосунку лежить на поверхні:

"Дія" у всіх на слуху, але водночас навколо неї створено справжній інформаційний вакуум.

Відповіді, що надходять від міністерства, часто половинчасті, а подекуди взагалі змушують задуматись про їхню правдивість. Так, наприклад, досі невідомо:

• хто саме розробив додаток (конкретно, а не безіменні волонтери);
• як так вийшло, що всі сервери "Дії" знаходяться в Україні та не передають дані за кордон, а домени "Дії" прив'язані до Франкфурта і трафік йде туди;
• чи справді "Дія" не має власних баз і не накопичує дані, коли повідомлення про обробку персональних даних в "Дія" вказує на протилежне.

Так багато питань і так мало офіційних відповідей. Вакуум в комунікаціях породжує здогадки та домисли, які і заповнюють цей вакуум. Чи корисно це бренду "Дія"? Навряд чи.

Натомість єдиний обраний шлях комунікації міністерства – все заперечувати. Дійсно, немає жодних прямих доказів, що до зливу персональних даних причетний мобільний застосунок. І скоріше за все причина не в ньому.

Та це неприпустимо – переводити фокус з реального зливу тільки на питання його свіжості, так ніби від цього всі інші персональні дані стануть менш чутливі, а зливи за 2018-2019 роки менш важливі, ніж за 2020 рік.

Читайте також: Застосунок "Дія": захист персональних даних і безпека
Що знає про вас держава?
Застосунок "Дія" лідирує в App Store та очолює Play Market

Але критикуючи – пропонуй. Тому ось моє бачення, що варто було би зробити міністерству в умовах кризи довіри:

1) Заповнити вакуум. Зібрати фахівців, яким відкрити максимум інформації про "Дію", джерела та стадії її розробки, принципи захисту даних, реальний перелік даних громадян, що накопичується та обробляється. 

Наприклад, Василь Задворний вже запропонував  у ролі посередника "Prozorro" та їхніх фахівців, які мають високий рівень довіри.

Ці фахівці стануть амбасадорами "Дії" для всього іншого, не технічного світу.

2) Оприлюднити дані аудиту безпеки (якщо такий був): коли і ким він зроблений, що саме перевірялось, загальні висновки (можна навіть без технічних подробиць, які часто вважають таємними). Оприлюднити конкретні, вичерпні схеми обробки даних. Оновлювати їх кожен раз, коли фактичний спосіб обробки змінюється. Оприлюднити код, можливо, не весь одразу, але принаймні задати вектор відкритості та публічності.

Дати можливість громадськості тестувати застосунок, не вводячи своїх особистих, чутливих даних.

3) Привести у відповідність згоду користувача з вичерпним переліком даних, що обробляється, вказавши способи та місця зберігання даних.

Громадяни мають право це знати.

4) Прокомунікувати державну політику щодо використання хмарних серверів за кордоном, зокрема на Amazon. В цьому є свої +/-, але не можна де-юре забороняти це всім державним проєктам і де-факто робити виняток для себе.

Правила мають бути однакові для всіх.

5) Розробити та оприлюднити державну політику в сфері захисту персональних даних громадян. Один закон – це добре, та він не сформує сталу політику держави, взірцем якої має стати гарантоване право громадянина знати, де, як та ким накопичуються його персональні дані.

Це має стати першою та головною функцією міністерства. 

Такі прості й водночас непрості п'ять кроків.

Але принаймні початок руху в цю сторону покаже, які висновки зробило для себе з цієї історії надважливе Міністерство цифрової трансформації України.

Володимир Фльонц, для УП

Колонка – матеріал, який відображає винятково точку зору автора. Текст колонки не претендує на об'єктивність та всебічність висвітлення теми, яка у ній піднімається. Редакція "Української правди" не відповідає за достовірність та тлумачення наведеної інформації і виконує винятково роль носія. Точка зору редакції УП може не збігатися з точкою зору автора колонки.