Федеральные агентства не обеспечивают конфиденциальности при обновлении системы предоставления убежища, подвергая риску данные беженцев
Как стало известно CBC News, три правительственных учреждения, объединившиеся в рамках проекта стоимостью 68 миллионов долларов по модернизации системы предоставления убежища в Канаде, в течение многих лет, пока реализовывался проект, не проводили обязательные тесты на соблюдение мер по защите конфиденциальности.
По словам юристов, отсутствие защиты конфиденциальности вызывает опасения и может поставить под угрозу данные и заявления лиц, ходатайствующих о предоставлении убежища.
Министерство иммиграции, беженцев и гражданства Канады (IRCC), Агентство пограничных служб Канады (CBSA) и Совет по иммиграции и беженцам (IRB) совместно работали над «проектом по обеспечению совместимости в сфере предоставления убежища», который должен был преобразовать систему предоставления убежища в более эффективную цифровую систему и решить проблему постоянно растущего количества нерассмотренных заявлений о предоставлении убежища, которое в настоящее время составляет более 290 000 .
Ранее в этом году CBC сообщила, что проект, запущенный в 2019 году, был преждевременно закрыт в 2024 году, что CBSA назвало «неожиданным» шагом.
Теперь документы, полученные в рамках законодательства о доступе к информации, показывают, что для проекта были проведены «выдающиеся» оценки воздействия на конфиденциальность (PIA), которые были тихо отменены, когда он был завершен всего на 64 процента.
Согласно правительственному руководству по обеспечению цифровой конфиденциальности , PIA — это «политический процесс, направленный на выявление, оценку и снижение потенциальных рисков для конфиденциальности до того, как они произойдут».
«Все эти шаги необходимо выполнить до запуска инициативы», — говорится в руководстве.
«Хотя проект по обеспечению совместимости теперь закрыт, он внес изменения в порядок сбора и использования данных в цифровом виде, а это значит, что заполнение PIA остается неотъемлемой частью процесса выявления рисков», — заявил Эндрю Колтун, юрист по вопросам иммиграции и беженцев, который также занимается вопросами права в области конфиденциальности.
Однако ведомства сообщили CBC по электронной почте, что оценка конфиденциальности ещё не завершена. IRCC заявило, что в настоящее время разрабатывает свою часть PIA и рассчитывает завершить её к концу 2025 года.
По словам Колтуна, тот факт, что работа еще не завершена, вызывает «множество тревожных сигналов».
«К сожалению, если у вас нет оценки воздействия на конфиденциальность, увеличивается риск утечки данных и их попадания в руки злоумышленников», — сказал он.
Директива Секретариата Казначейского совета Канады требует, чтобы такая проверка состояния конфиденциальности проводилась «до» запуска или обновления проектов, в случаях, когда учреждение планирует «существенно изменить» способ сбора и использования информации в административных целях.
В рамках проекта по обеспечению взаимодействия в сфере предоставления убежища был создан процесс подачи заявлений о предоставлении убежища в режиме онлайн, что является существенным шагом по сравнению с подачей заявлений на бумажных носителях.
Согласно документам, проект помог внедрить некоторую автоматизацию и обеспечить более оперативный обмен информацией между ведомствами. Помимо прочих улучшений, он также позволил правительству автоматически аннулировать действующие разрешения на работу или учёбу при выдаче распоряжения о высылке.
«Горячая картошка» с обязанностямиУправление комиссара по вопросам конфиденциальности Канады называет оценки конфиденциальности «системой раннего оповещения», которая может помочь укрепить общественное доверие, гарантируя, что государственные органы соблюдают требования законодательства и защищают конфиденциальность людей.
Контролирующий орган по вопросам конфиденциальности отказался от интервью, заявив, что проводит консультации по вопросам конфиденциальности в конфиденциальном порядке, однако в электронном письме повторил, что комиссар ранее рекомендовал включить обязательства по защите конфиденциальности в законодательство.
Согласно полученной CBC информационной записке CBSA, внутри ведомства, по-видимому, возникла путаница относительно того, кто несет ответственность за PIA.
Из документов следует, что изначально предполагалось провести одну масштабную оценку конфиденциальности под руководством IRCC.
Однако три года спустя, в конце 2022 года, IRCC уведомила CBSA и IRB, что они больше не проводят единую оценку воздействия на окружающую среду «для всего проекта и что каждый партнер будет нести ответственность за свою собственную оценку».
Затем CBSA заявило, что IRCC изменило подход «и расширило сферу оценки до уровня программы», как следует из документов.
Когда проект неожиданно закрыли в прошлом году, CBSA заявило, что PIA остаются «нерешенным вопросом», и IRCC по-прежнему ожидает, что другие партнеры завершат свои планы по обеспечению конфиденциальности.
«Однако, учитывая нехватку финансирования, нехватку ресурсов… необходимы дальнейшие обсуждения», — говорится в записке CBSA.
Колтун, изучивший внутренние документы, описывает, как департаменты играли в «горячую картошку» с проверками конфиденциальности, хотя они должны были быть «базовым строительным блоком».
«[Это] символизирует неустанное стремление IRCC проводить цифровую модернизацию с головокружительной скоростью, не гарантируя при этом, что все необходимые меры по снижению рисков будут приняты заранее», — сказал он.
«Пространство беженцев — неподходящая область для бета-тестирования по принципу «Работай быстро, ломай, а потом чини».
Нарушения конфиденциальности «травмируют» клиентов, утверждает адвокатГрег Уиллоуби, адвокат по делам беженцев из Лондона, Онтарио, говорит, что IRCC отправляет ему электронные письма «чаще, чем [он] может сосчитать», в которых раскрываются личные документы и крайне конфиденциальная информация заявителей, которые не являются его клиентами.
«Похоже, это системное отсутствие заботы о вопросах конфиденциальности и приватности», — сказал Уиллоуби.
Он вспомнил, что одним из худших примеров стал случай, когда IRCC отправил электронное письмо членам семьи одной из его клиенток в Иране — членам семьи, от которой она бежала, — таким образом сообщив им о ее ходатайстве о предоставлении защиты беженца.
«Я подумала: „Что это? Это же агенты преследования“», — сказала Уиллоуби. «Это было для неё очень травматично и разрушительно. Это было ужасно».
Пока не ясно, есть ли связь между цифровыми обновлениями в проекте взаимодействия при предоставлении убежища и случаями нарушения конфиденциальности в Уиллоуби за последние годы.
Однако Уиллоуби предупреждает, что сосредоточенность правительства на эффективности и технологической интеграции без надлежащих гарантий конфиденциальности «очень и очень опасна», особенно если существует риск несанкционированного доступа к данным со стороны злоумышленников.
«Правительства и иммиграционные службы должны быть крайне параноидальными. Это должно быть в центре внимания».
В заявлении IRCC говорится, что тип информации, собираемой и передаваемой между партнерами, не изменился, но «в рамках [проекта] были созданы ИТ-интерфейсы для обеспечения безопасной передачи этой информации».
IRCC по-прежнему утверждает, что следует директиве Секретариата Совета Казначейства, хотя в этой директиве указано, что PIA должны быть завершены до внедрения инициатив, особенно когда «используются какие-либо новые или модифицированные информационные технологии».
«Все соглашения между государственными партнерами предусматривают надежные гарантии», — пишет IRCC.
Тем временем CBSA заявило, что «больше не занимается» оценкой воздействия на конфиденциальность, и указало на IRCC как на ведущую организацию по этому проекту.
«CBSA признает важность процесса PIA», — написал представитель.
IRB заявила, что «внимательно рассмотрела последствия для конфиденциальности» при запуске проекта и определила, что вопросы конфиденциальности «по-прежнему в достаточной степени учтены» в существующей PIA для ее собственных систем.
Колтун заявил, что ответы IRCC и IRB «неадекватны», поскольку «они игнорируют юридические обязанности» в соответствии с федеральной директивой.
«При использовании новой или модифицированной информационной технологии или ИТ-процесса минимальным требованием является создание обновленной PIA», — сказал он.
cbc.ca
