Лични данни на избирателите: Правителствата на кои щати предлагат най-добрата защита на поверителността на данните?
В Съединените щати правителството на всеки щат държи записи за своите гласоподаватели. Типът информация, която се счита за „неповерителна“ и кой има достъп до тези данни, се различава в зависимост от държавата. Някои разпространяват само имена и адреси на политически партии на строго некомерсиална основа. Други публикуват избирателни списъци онлайн, така че всеки (дори тези извън САЩ) да има достъп до данните.
И все пак, когато „хакери“ се сдобият с тези данни, настава шум. Последните примери включват Информация за избирателите в Мичиган се продават в Тъмната мрежа (властите настояха, че тези данни не са били хакнати, тъй като данните са свободно достъпни за всеки чрез искане за свобода на информацията), и скандален руски хак в изборните бази данни през 2016 г.
Трябва ли да се вгледаме по-отблизо в държавите, които не правят достатъчно, за да защитят поверителността на личните данни на своите гласоподаватели, вместо към хакерите, които имат достъп до това, което вече е налично?
Нашият екип от изследователи премина през законодателството за регистрация на гласоподаватели на всеки щат, процесите за заявка на избирателни списъци и стандартите за киберсигурност, за да разбере кои щати имат най-добрата защита на поверителността на своите избиратели.
Основни констатации:
- 31 щата предоставят на широката общественост достъп до данните на гласоподавателите, като много други позволяват достъп под наблюдение (т.е. в местните изборни служби)
- 11 щата не уточняват как трябва да се използват списъците с избирателна регистрация (т.е. за нетърговски цели) в своя Изборен кодекс и нямат наказания за тези, които използват списъците за привличане
- Нито един щат не предоставя задълбочени предупреждения за данни на трети страни на избирателите, когато се регистрират за гласуване. Но някои предлагат известия за поверителност относно данните, които се оповестяват публично при регистрация
- Повечето щати предлагат някои допълнителни споразумения за поверителност за определени групи, т.е. участници в Програмата за поверителност на адресите (ACP)
- Всеки щат, който позволява на гласоподавателите да се регистрират онлайн, има уебсайт, защитен с HTTPS. По-малко от половината от тях имат добавената мярка за сигурност на кутиите CAPTCHA
- Повечето щати имат силни мерки за киберсигурност, но в някои от тях липсват в определени области, т.е. няма официално обучение по киберсигурност за служители на изборите
- Цената за закупуване на избирателни досиета в цялата страна варира значително. Някои щати ги предлагат безплатно, а други начисляват такси от над $30 000
- 22 щата или не изискват никаква информация преди достъп до избирателния списък, не дават опции за избор на по-малки списъци (т.е. по район), или нямат декларации относно това за какво може/не може да се използва списъкът
- 21 щата имат (или са на път да имат) автоматична регистрация на избиратели
Моля, обърнете внимание: оценихме щатите от гледна точка на защита на поверителността само. Например, докато високите такси за достъп до регистрите на избирателите може да се считат за възпрепятстващи прозрачността, от гледна точка на поверителността, такива такси намаляват широко разпространения достъп до данните. По същия начин автоматичната регистрация на гласоподаватели подобрява участието на гласоподавателите, но може да повлияе отрицателно върху поверителността на гласоподавателите.
Каква информация обикновено се включва в досието на избирателя?
По-голямата част от досиетата на гласоподавателите, достъпни за обществеността или определени групи, ще включват името и адреса на гласоподавателя (освен ако не разполагат с допълнителна защита на поверителността, в който случай адресът им може да бъде задържан). Другата информация включва:
- Дата на раждане (често само годината)
- Телефонен номер
- Имейл адрес
- Подпис (често само за преглед, не за копиране)
- ID на избирателя
- Място за гласуване
- Дата на регистрация за гласуване
- Дата на последното гласуване
- Статус на гласуване
- Предпочитание за партия/принадлежност
- История на гласуването
- Раса и пол
Някои държави ще запазят част от гореспоменатите данни поверителни, както и:
- Осигурителни номера
- Номерата на шофьорските книжки
- Месец и ден на раждане
- Идентичност на агенцията за регистрация на избиратели/местоположение на регистрацията
Няколко щата уточняват, че отказът на дадено лице да гласува, присъдите за углавни престъпления, последната дата на съдебните заседатели, военната лична карта, преброяването на индианците (племенен идентификационен номер), името на бащата или предбрачното име на майката трябва да останат поверителни.
Някои държави пропускат да уточнят каквито и да било изисквания за това каква информация трябва да остане поверителна. Както споменахме, голям брой също нямат конкретни правила за това за какво могат да се използват данните. Други ограничават използването на данни само за политически/изборни цели, докато редица други посочват некомерсиална употреба.
Кой има достъп до данните и до какво ниво също варира според държавата. Голям брой позволяват достъп на всеки (все пак може да се наложи да живеете в държавата, за която искате данни), някои ограничават обществения достъп, като позволяват проверка на списъка само в местните изборни служби, а някои ще споделят информацията само с политически партии/лица. Последният има достъп до почти всеки държавен списък.
Точкуване
За да разберем кои щати защитават най-добре поверителността на своите гласоподаватели, оценихме всеки щат по:
- Кой има достъп до списъците (0 до 5 точки)
- Колко информация се пази поверителна (0 до 3 точки)
- За какво може да се използва файлът (0 до 2 точки)
- Дали избирателите са уведомени, че техните данни ще бъдат оповестени публично (0 до 3 точки)
- Наложени санкции за неправомерно използване на данни на избиратели (0 до 5 точки)
- Кой може да поиска данните му да бъдат поверителни (0 до 5 точки)
- Сигурност на системите за онлайн регистрация на избиратели на щатите (0 до 2 точки)
- Стандарти за киберсигурност на базата данни на избирателите (0 до 6 точки)
- Рекордни разходи за щатски избирателни списъци (0 до 5 точки)
- Каква информация трябва да предоставят заявителите на избирателни списъци, колко конкретни могат да бъдат относно своето искане (т.е. по област/окръг) и дали трябва да подпишат, за да декларират, че данните ще се използват само за цели X (0 до 5 точки)
- Дали избирателният списък е публикуван онлайн (0 до 3 точки)
- Дали се извършва автоматична регистрация на избиратели в щата (0 до 3 точки)
Ниските резултати показват липса на защита на поверителността на данните, докато високите резултати показват най-добрите практики.
Петте щата, в които липсва поверителност на данните на гласоподавателите
Според нашите данни петте държави, в които липсва защита на поверителността на данните за избирателите, са:
- Северна Каролина (12,5 от 47): Северна Каролина получава най-ниската оценка поради това, че всеки има достъп до базата данни с гласоподаватели онлайн без никакво удостоверяване. Това дава на всеки в интернет достъп до данни за избирателя като име, адрес, възраст (година на раждане), раса, пол, партийна принадлежност и история на гласоподавателите. Той обаче печели точки за запазване на определена информация като поверителна по закон (включително SSN и имейл адреси), предоставяне на допълнителна защита на участниците от АКТБ, наличие на HTTPS на своя уебсайт за регистрация на гласоподаватели и липса на автоматична регистрация на гласоподаватели. Той също така има добри резултати за киберсигурност, като губи само половин точка за системата си за регистрация на избиратели, която не е била подменяна през последните 10 години (но се поддържа и актуализира редовно).
- Охайо (15,5 от 47): Подобно на Северна Каролина, лошият резултат на Охайо идва от факта, че неговият избирателен списък се публикува онлайн, без да се изисква удостоверяване за достъп до него. Като се има предвид това, Охайо постановява, че регистрите на избирателите могат да се използват само за нетърговски цели и налага общи санкции на тези, които не спазват Изборния кодекс (до 180 дни лишаване от свобода и/или глоба до $1000). Охайо също е предвидил бюджет за замяна на своята система за регистрация на гласоподаватели, предлага всички други мерки за киберсигурност, които анализирахме, и има CAPTCHA кодове на своя сайт за регистрация на гласоподаватели.
- Арканзас, Масачузетс, Оклахома (17 от 47): Арканзас и Оклахома позволяват публичен достъп до списъците с избирателни регистрации, но Масачузетс ограничава своя списък до политически комитети/кандидати/партии. Нито един от тези щати няма законови ограничения или наказания за използването на досиета с гласоподаватели и никой не изисква нищо освен основни подробности при искане на файла – само Арканзас има такса ($50 за електронен списък). Арканзас също има въведени всички мерки за киберсигурност, но Масачузетс и Оклахома нямат помощ от DHS или Националната гвардия и подходящо обучение за длъжностни лица по изборите (MA е предвидила бюджет за обучението) и двете са в процес на актуализиране на своите системи за регистрация на гласоподаватели .
- Кънектикът (17,5 от 47): Подобно на горните щати, Кънектикът предлага публичен достъп до избирателния списък, няма ограничения или санкции за използването му и изисква само писмено искане за достъп до данните. Цената за получаване на данните е $300. Всички мерки за киберсигурност са въведени с изключение на актуализирана система за регистрация на гласоподаватели (но това е планирано за 2022 г.), а уебсайтът за регистрация има както HTTPS, така и CAPTCHA.
- Мичиган (18 от 47): Мичиган позволява пълен достъп до базата данни с гласоподаватели, няма спецификации за какво може да се използва файлът (и следователно няма санкции) и не предоставя допълнителна защита за данните за гласоподавателите на определени групи. Той обаче разполага с всички мерки за киберсигурност, има известна цена (приблизително $50) за достъп до списъка и изисква известна информация от заявителите (те също могат да посочат участъка/района, който изискват).
Поверителност на данните на гласоподавателя - Всички състояния и резултати
Северна Каролина | 12.5 | 0 | две | 0 | 0 | 0 | 1 | 1 | 5.5 | 0 | 0 | 0 | 3 |
Охайо | 15.5 | 0 | 0 | 1 | 0 | 3 | 1 | две | 5.5 | 0 | 0 | 0 | 3 |
Арканзас | 17 | 0 | 0 | 0 | 0 | 0 | 1 | две | 6 | 1 | 1 | 3 | 3 |
Масачузетс | 17 | 3 | 0 | 0 | 3 | 0 | 1 | 1 | 4 | 0 | 1 | 3 | 1 |
Оклахома | 17 | 0 | 1 | 0 | 0 | 0 | 3.5 | две | 3.5 | 0 | 1 | 3 | 3 |
Кънектикът | 17.5 | 0 | 1 | 0 | 0 | 0 | 1 | две | 5.5 | две | 1 | 3 | две |
Мичиган | 18 | 0 | две | 0 | 0 | 0 | 0 | 1 | 6 | две | две | 3 | две |
Аляска | 19 | 0 | две | 0 | 0 | 0 | 3 | две | 6 | 1 | 1 | 3 | 1 |
Окръг Колумбия | 19.5 | 0 | 3 | 0 | 0 | 0 | две | две | 5.5 | 1 | 1 | 3 | две |
Ню Джърси | 20.5 | две | 1 | 1 | 0 | две | 1 | две | 5.5 | 0 | 1 | 3 | две |
Род Айлънд | двадесет и едно | 0 | 0 | две | 3 | 0 | 1 | 1 | 6 | 1 | две | 3 | две |
Колорадо | 21.5 | 0 | две | 0 | 3 | 0 | 2.5 | две | 6 | 1 | 1 | 3 | 1 |
Флорида | 21.5 | 0 | две | 0 | 3 | 0 | две | две | 5.5 | 0 | 1 | 3 | 3 |
Грузия | 22 | 0 | две | 1 | 0 | 3 | 1 | 1 | 5 | две | две | 3 | две |
Мисури | 22 | 0 | 0 | 1 | 0 | 3 | две | 1 | 5 | 1 | 3 | 3 | 3 |
Ню Йорк | 22 | 0 | 0 | две | 0 | 3 | 1 | 1 | 6 | 0 | 4 | 3 | две |
Орегон | 22 | 0 | 0 | 1 | 3 | 3 | 1 | две | 5 | две | 4 | 0 | 1 |
Уисконсин | 22 | 0 | 1 | 1 | 0 | 0 | 1 | 1 | 6 | 5 | 1 | 3 | 3 |
Канзас | 23 | 0 | 1 | 1 | 0 | две | две | 1 | 4 | две | 4 | 3 | 3 |
Алабама | 23.5 | 1 | 1 | 0 | 0 | 0 | 1 | две | 5.5 | 5 | две | 3 | 3 |
Айдахо | 23.5 | 0 | 0 | 1 | 0 | 3 | 1 | две | 5.5 | 1 | 4 | 3 | 3 |
Мисисипи | 24 | 0 | 3 | 1 | 0 | 0 | 1 | две | 5 | 4 | две | 3 | 3 |
Върмонт | 25 | 0 | 3 | 1 | 0 | 5 | 1 | 1 | 6 | 0 | 3 | 3 | две |
Западна Вирджиния | 25 | 0 | 3 | 1 | 0 | 3 | 1 | 1 | 5 | две | 4 | 3 | две |
Айова | 27 | 0 | две | две | 0 | 4 | 1 | 1 | 5 | 4 | две | 3 | 3 |
Мейн | 27 | 3 | 0 | две | 0 | 1 | 1 | две | 4 | 4 | 5 | 3 | две |
Монтана | 27.5 | 0 | 1 | 1 | 0 | 4 | две | две | 5.5 | 3 | 3 | 3 | 3 |
Пенсилвания | 27.5 | две | 0 | две | 0 | 5 | 1 | две | 5.5 | 1 | 3 | 3 | 3 |
Хавай | 28 | 1 | 0 | две | 0 | 4 | две | 1 | 5 | 3 | 4 | 3 | 3 |
Кентъки | 28 | 3 | 1 | 1 | 0 | 1 | 1 | 1 | 5 | 4 | 5 | 3 | 3 |
Ню Мексико | 28 | 0 | две | две | 3 | две | 1 | 1 | 6 | две | 4 | 3 | две |
Южна Каролина | 28 | две | 1 | 1 | 0 | две | 0 | две | 6 | 4 | 4 | 3 | 3 |
Вашингтон | 28 | 0 | две | 1 | 3 | 5 | 1 | две | 6 | 0 | 3 | 3 | две |
Аризона | 29 | 3 | две | две | 0 | 4 | две | 1 | 6 | две | 1 | 3 | 3 |
Делауеър | 29 | 0 | 1 | две | 3 | 5 | две | две | 5 | 1 | две | 3 | 3 |
Илинойс | 29 | 3 | 0 | две | 0 | 5 | 1 | 1 | 6 | две | 4 | 3 | две |
Невада | 29 | 0 | 3 | две | 0 | 1 | 1.5 | две | 5.5 | 5 | 4 | 3 | две |
Небраска | 29.5 | 0 | 1 | две | 0 | 5 | 3.5 | две | 5 | две | 3 | 3 | 3 |
Тенеси | 29.5 | 0 | 1 | две | 3 | две | 0 | две | 5.5 | 4 | 4 | 3 | 3 |
Тексас | 29.5 | 0 | 1 | 1 | 0 | 4 | 2.5 | 1 | 6 | 4 | 4 | 3 | 3 |
Уайоминг | 30 | 3 | 3 | две | 0 | 3 | 0 | две | 6 | 0 | 5 | 3 | 3 |
Мериленд | 30.5 | 3 | 1 | 1 | 3 | две | 3 | 1 | 5.5 | две | 4 | 3 | две |
Луизиана | 31 | 4 | 3 | 1 | 0 | 3 | 1.5 | 1 | 5.5 | 4 | две | 3 | 3 |
Ню Хемпшир | 31 | 3 | 3 | 1 | 0 | 4 | 1 | две | 5 | 5 | 1 | 3 | 3 |
Северна Дакота | 31 | 3 | 1 | две | 0 | 4 | 1 | две | 6 | 4 | две | 3 | 3 |
Южна Дакота | 32 | 3 | 1 | две | 0 | 4 | 0 | две | 5 | 4 | 5 | 3 | 3 |
Минесота | 33.5 | 3 | две | две | 3 | 5 | 1 | 1 | 5.5 | 1 | 4 | 3 | 3 |
Калифорния | 34.5 | 3 | две | 1 | 0 | две | 3.5 | две | 6 | 5 | 5 | 3 | две |
Индиана | 34.5 | 3 | 3 | две | 0 | 3 | 1.5 | 1 | 5 | 5 | 5 | 3 | 3 |
Юта | 34.5 | 0 | две | 0 | 3 | 5 | 3 | две | 5.5 | 4 | 4 | 3 | 3 |
Вирджиния | 37.5 | 1 | две | две | 3 | 4 | 3.5 | 1 | 6 | 5 | 5 | 3 | две |
Петте държави, в които поверителността на данните на избирателите е по-добре защитена
Въпреки че нито един щат не получава пълни оценки, пет щата се открояват със защитата на поверителността си:
- Вирджиния (37,5 от 47): Virginia излиза на първо място благодарение на своята цялостна защита. Достъпът до списъка е ограничен до политически партии, комисии и кандидати и изследователи, но други (т.е. обществеността) могат да получат достъп, ако могат да докажат, че това е за насърчаване на регистрацията и участието на избиратели. Всеки, който получи списъка, трябва да плати около 5500 долара за него, да предостави пълни подробности и да декларира, че няма да го използва за незаконни цели. Вирджиния ограничава използването на списъка само до политически дейности и тези, които го използват за други цели, могат да бъдат осъдени на затвор и/или глоби до 2500 долара. Всички стандарти за киберсигурност са въведени и има автоматична регистрация на избирателите.
- Индиана, Калифорния, Юта (34,5 от 47): Въпреки че обществеността има достъп до базата данни в Юта, има строги санкции за онези, които използват списъка незаконно (наказателни глоби до 2500 долара и граждански глоби, които могат да надхвърлят 48 000 долара). Тези, които искат достъп до файла, трябва да предоставят своята информация, могат да посочат какъв тип списък желаят (т.е. по район) и трябва да декларират, че знаят за какво може да се използва файлът. В Калифорния и Индиана и двата щата ограничават достъпа до политически партии, изследователи и/или журналисти и ограничават използването на файлове само за нетърговски или политически цели. Тези, които искат списъка в Калифорния, трябва да посочат пълните си данни, да предоставят идентификация и да платят над $10 000 за достъп, а всеки, който злоупотребява със списъка, е изправен пред глоба от $0,50 за име, което е използвано незаконно. Заявките в Индиана са подобни. Цената за достъп до данните е 5000 долара, а тези, които използват данните незаконно, са изправени пред глоби до 1000 долара. На ниво киберсигурност Калифорния разполага с всички стандарти, но системата за регистрация на гласоподаватели в Индиана е на повече от 10 години, а Юта все още е в процес на надграждане на своята система от бази данни за регистрация на гласоподаватели.
- Минесота (33,5 от 47): Само регистрирани гласоподаватели имат достъп до базата данни с гласоподаватели в Минесота (обществеността може да преглежда при проверка в местните избирателни служби) и списъкът може да се използва само за политически/изборни цели. Тези, които нарушат кодекса, са изправени пред признаване за виновни за престъпление, което води до повече от година затвор и глоби, които могат да надхвърлят $10 000. Цената за придобиване на списъка е ниска ($46), но исканията трябва да бъдат подробни и трябва да бъде подписана декларация за законното използване на данни. Минесота също има въведени всички мерки за киберсигурност, освен нова система за регистрация на избиратели (но е предложен бюджет).
- Южна Дакота (32 от 47): Достъпът до избирателните списъци е ограничен до политически субекти/кандидати, докато обществеността може да проверява в местните изборни служби. Цената на електронен списък е 2500 долара. Може да се използва само за политически цели и тези, които го използват незаконно, могат да бъдат изправени пред глоби до 2000 долара и/или една година лишаване от свобода. Могат да бъдат добавени и граждански санкции до $2000. Южна Дакота не предлага допълнителна защита на уязвимите групи.
- Северна Дакота, Ню Хемпшир, Луизиана (31 от 47): И трите щата ограничават достъпа до избирателния списък – Северна Дакота и Ню Хемпшир ограничават до политически групи/лица, докато Луизиана разрешава достъп само под наблюдение в местните изборни служби (обществеността може да види и в местните изборни служби в NH). Всички държави налагат глоби за неправилна употреба и имат големи разходи за достъп до списъците. Никой няма автоматична регистрация на избиратели.
Методика
- Достъп до избирателния списък: Щатите са получили точки от 3 въз основа на това колко хора/организации могат да получат достъп до списъците с избирателни регистрации – както се урежда от държавното законодателство. „Общественият“ достъп може да бъде ограничен до жители на щата.
- Информацията се пази поверителна: Щатите се оценяват от 3 въз основа на това колко данни се считат за „поверителни“ – според държавното законодателство. Оценява се въз основа на какъвто и да е достъп до лични данни – т.е. ако политическа партия има достъп до някои данни, но широката общественост няма, държавата се оценява само по информацията, която се пази поверителна отвсеки.
- Използване на регистрационен файл – Щатите са оценени от 3 въз основа на начина, по който могат да се използват списъците с избирателна регистрация (т.е. само за политически/изборни цели) – както се урежда от щатското законодателство.
- Предупреждение за публични данни – Дава се оценка 3, ако е предоставено съобщение за поверителност в онлайн и/или формуляра за изпращане по пощата. 0, ако не се споменава нищо.
- Санкции за неправомерно използване на данни – Държавите получават оценка от 5 въз основа на това колко тежки са наказанията за незаконно използване на данни на гласоподаватели. Щатът трябва да има конкретно наказание, посочено в Изборния кодекс, което да бъде отбелязано тук, или общо наказание, което се прилага към ясни правила в кодекса, които нямат конкретно наказание.
- Допълнителни искания за поверителност – Щатите, оценени въз основа на # групи, които могат да получат допълнителна поверителност от публичните регистри – както се урежда от държавния закон. Т.е. тези по Програмата за поверителност на адресите (ACP).
- Онлайн система – Държавите оценяват въз основа на това дали техните сайтове за онлайн регистрация са защитени с HTTPS (1 точка) и включват защита на Captcha в началните етапи на регистрация (1 точка).
- Стандарти за киберсигурност при регистрация на избиратели – Щати, оценени в шест категории с една точка за всяка или половин точка за планове/актуализации, които са бюджетирани за:
- Контрол на достъпа, така че само оторизиран персонал да има достъп до базата данни с избиратели
- Система за откриване на проникване, която следи мрежата за всякакви нередности
- Редовни анализи на уязвимостта на системата за регистрация на избиратели
- Държавата привлече DHS или Националната гвардия за идентифициране и оценка на всички потенциални заплахи за базата данни/системата
- Изборните служители преминават обучение по киберсигурност
- Държавната система за регистрация на избиратели, актуализирана през последните 10 години
- Цена за всички записи ($) – Щатите оценяват от пет въз основа на това колко скъпо е да се получи пълен списък с избиратели за регистрация в целия щат. Не са включени по-малки списъци, както и отпечатани разходи (включени са само електронни разходи).
- Тип формуляр за искане на информация за избирателя – Щатите са оценени от пет въз основа на това колко лесно е да се получи достъп до информация за гласоподавателите в целия щат и колко конкретен може да бъде даден относно искането (да се изисква да посочите определен окръг, вместо просто да получите достъп до списъка за целия щат, е по-добре от поверителност перспектива).
- Избирателният списък е публикуван онлайн – Ако пълен списък с избиратели бъде публикуван онлайн за произволен период от време (законно), даден щат получава нула. Докато тези, които нямат законово задължение да публикуват данни, оценяват тройка.
- Автоматична регистрация на избиратели – Щатите са получили точки от три въз основа на това дали имат автоматична регистрация на избирателите
Масачузетс: Свързахме се с изборния отдел относно формуляра, който политическите партии и т.н. трябва да попълнят, за да получат списъка. Поради липса на отговор държавата е оценена въз основа на факта, че политическите партии имат достъп (така че ще трябва да предоставят подробности) и че няма специфични закони, свързани с използването.
Ню Хемпшир: Свързахме се с изборния отдел относно формуляра, който политическите партии и т.н. трябва да попълнят, за да получат списъка и разходите за получаването му. Поради липса на отговор, щатът е оценен въз основа на скорошен цитат за една политическа партия – $8327 – и факта, че политическите партии имат достъп само (така че ще трябва да предоставят подробности) и че няма специфични закони около използването.
Окръг Колумбия: Въпреки че изборен календар се посочва, че избирателният списък ще бъде публикуван онлайн 14 дни преди общите избори през ноември 2020 г., разделът от закона, уреждащ това ( Официален кодекс на DC § 1-1001.07(h)(2A) ) е отменен. Следователно DC е оценен така, сякаш списъкът с избирателите не е публикуван онлайн.
Източници
За пълен списък с източници и цялата информация за всяка категория вижте тук: https://docs.google.com/spreadsheets/d/1QFidvrRNy3o3jOwLGxFtEyQBkF8PPslUClf0L6Om8xo/edit?usp=sharing