哈萨克斯坦的政府采购系统再次泄露了公民的个人数据——而且同样是通过自己的门户网站。这一次,“受害者”中包括该国最富有的商人之一——BI Group 负责人艾登·拉希姆巴耶夫。
发生了什么
在政府采购门户网站上,公开出现了供应商公司代表的完整身份证扫描件:包括照片、个人识别码、出生日期和签名样本。首批被发现的文件之一便是BI Group董事会主席艾登·拉希姆巴耶夫的身份证件,福布斯对其资产的估值约为9.67亿美元。
然而,BI Group 并不认为这存在什么问题。该公司新闻处表示,这些文件是按照“既定程序”发布的。
议员叶卡捷琳娜·斯梅什利亚耶娃持不同立场:她认为,个人识别码是数字系统的工作标识,身份证本身是非公开文件,数字化与创新部的信息安全委员会有必要进行检查。
历史重演
对于“腐败与黑金调查编辑部”来说,个人数据泄露的事件并不新鲜。早在2024年,我们就曾报道过,东哈萨克斯坦州的一所学校在招标的技术规格书中公布了包含个人数据的全体员工名单。
当时还发现,如果没有受害者本人的个人申请,记者和政府机构都无法启动行政案件。由于担心失去工作,学校的员工最终未与外界联系。校长和总会计师最终被处以警告,而国家审计部门则未发现任何违规行为。与此同时,已上传至门户网站的文件无法删除,这些内容将永久保留在那里。
在这种结构下,个人数据保护法更多是作为一种形式而非保护措施在运作。要让违法者承担责任,受害者本人必须亲自前来提交申请。没有申请,就没有违规。这意味着,国家实际上将保护个人数据的责任推给了公民,而他们的数据往往正是通过国家自身的资源泄露的。
当“腐败与黑金调查编辑部”主编的数据泄露时
2025年,这个故事也波及了我们的编辑部,有了切身的体会。“腐败与黑金调查编辑部”主编的个人数据落入了私营公司“Sunkar Eavision International LLP”有限公司手中——而这家公司正是此前本编辑部调查其为农业部采购无人机项目的公司。该公司向警方报案,指控该记者因准确引用其来自官方政府文件的自身报价而传播“虚假信息”。
关于这家私营公司如何获得主编个人数据的问题,始终没有得到明确的答复。这些数据仅在进行正式询问时提供给政府机构,包括在调查上述无人机采购案时提供给农业部国家监察委员会。
结果就是,这家与政府机构关系密切的公司,以某种方式获得了曾向该政府机构发送询问的记者的个人数据。这一切大概都是绝对的巧合。无论如何,数据传输机制被正式纳入了律师权限的框架内,案件实际上已经被结案。
选择性警报
如果将这三起事件按时间顺序排列,得出的图景就非常说明问题了。普通教师的数据通过政府采购门户网站泄露——结果是行政警告和沉默。调查政府采购的记者的个人数据——案件被结案,传输机制被视为合法。该国最富有者之一的完整身份证扫描件——结果是议员的立即反应和检查要求。
这个问题并不新鲜,也非个案。它是系统性的。而且,迄今为止,无论是追究政府机构负责人责任,还是加强对个人数据的保护要求、扩大控制机制,所有已采取的措施都未能使该系统变得更安全,尤其是对普通用户而言。
