哈薩克斯坦的政府採購系統再次洩露了公民的個人資料——而且又是經由其官方入口網站。這次的「受害者」之一是該國最富有的商人之一——BI Group 的負責人艾丁·拉希姆巴耶夫。
事件經過
在政府採購入口網站上,公開展示了供應商公司代表的完整身份證掃描件,包括照片、個人身份識別碼(IIN)、出生日期和簽名樣本。首批被發現的文件之一,是 BI Group 董事會主席艾丁·拉希姆巴耶夫的身份證件,根據《富比士》估計,他的財富約為9.67億美元。
然而,BI Group 並不認為這存在問題。該公司新聞處表示,這些文件是按照「既定程序」發布的。
議員葉卡捷琳娜·斯梅什利亞耶娃持不同看法。她認為,個人身份識別碼(IIN)是數位系統的工作識別碼,而身份證件本身是非公開文件,因此數位發展與創新部(MCRIAP)的資訊安全委員會應進行檢查。
歷史重演
對於 FBRK 編輯部來說,個人資料洩漏的事件並不新鮮。早在2024年,我們就曾報導過,東哈薩克斯坦州(VKO)的一所學校在其招標技術規格中,公布了包含個人資料的全體員工名單。
當時還發現,如果沒有受害者本人的個人申請,無論是記者還是政府機構都無法啟動行政案件。該校的員工沒有出面聯繫——很可能是因為害怕失去工作。最終,校長和總會計師受到了警告,而國家審計部門則認為未發現違規行為。與此同時,已經上傳到入口網站的文件是無法刪除的,這些資料會永久留存於此。
在這種結構下,個人資料法與其說是保護,不如說是形式主義。要追究肇事者的責任,受害人必須親自出面提交申請。沒有申請,就等於沒有違法。這意味著,國家實際上是將保護自身資料的責任,推給了那些資料(往往又是通過國家資源)已經外洩的公民。
FBRK 主編資料外洩事件
2025年,這個問題也波及了我們的編輯部,有了切身的體驗。FBRK 主編的個人資料,落入了私營公司「Sunkar Eavision International LLP」手中——這正是我們編輯部不久前調查過、為農業部採購無人機的公司。該公司向警方報案,指控這名記者因準確引用他們在官方政府文件中的報價,而散布「虛假信息」。
關於這家私營公司是如何取得主編個人資料的問題,始終沒有得到明確的答案。這些資料僅在官方調查請求中被提供給政府機構,包括在調查上述無人機採購案時提供給了農業部國家監察委員會。
由此看來,這家與政府機構關係密切的公司,不知以何種方式獲得了記者向該政府機構發送查詢時所提供的個人資料。這一切,大概純屬巧合。無論如何,資料傳輸的機制被正式歸結為律師職權範圍內,該案實際上已不了了之。
選擇性警覺
如果將這三起事件按時間順序排列,得出的圖景頗具代表性。普通教師的資料通過政府採購入口網站洩漏——結果是行政警告和沉默。調查政府採購案的記者的個人資料外洩——案件結案,資料傳輸被視為合法。而當國家最富有者之一的全套身份證掃描件外洩時——則引發了議員的立即反應和要求進行檢查。
這個問題並非新問題,也非個案。它是系統性的。而且,到目前為止,無論是引入政府機構負責人責任制,還是加強個人資料保護要求、擴大控制機制,這些已採取的措施都沒能讓這個系統變得更安全,尤其是對普通用戶而言。