Добрый день. Для проведения онлайн-экзаменов в Санкт-Петербургском государственном университете используется программное обеспечение "Экзамус". Есть все основания предполагать, что этот продукт содержит множество нарушений как технического, так и правового характера со стороны его разработчика, компании "Электронные платформы".
Система прокторинга "Экзамус" является вредоносным программным обеспечением. Такой вывод можно сделать как по результатам анализа программы в антивирусных системах при установке программы, так и по косвенным признакам – например, для установки программы требуется отключить антивирусную защиту (отдельно указано в официальном руководстве, опубликованном на сайте продукта). Это характерно для вредоносного программного обеспечения, так как ему, в отличии от безопасных программ, зачастую требуется более высокий уровень доступа для совершения неправомочных действий (например, сбор ипередача данных без ведома пользователя). Необходимое для установки и работы программного продукта "Экзамус" отключение антивируса ставит под угрозу безопасность пользователя и функционирование системы пользователя.
Обработка персональных данных проводится с множественными нарушениями. Так, отсутствует соглашение об обработке персональных данных, полученное ДО проведения экзамена, а пути и конечный получатель персональных данных студентов неочевидны, как и методы шифрования таких данных. В нарушение правового режима обработки персональных данных, согласие на обработку персональных данных необходимо заполнить ПОСЛЕ проведения экзамена, путем распечатки бланка и отправки его в г. Екатеринбург по юридическому адресу компании "Электронные платформы" (скриншот всплывающего окна прилагается к обращению). Фактически, система вынуждает пользователя заполнить соглашение, не уведомив его об этом перед началом использования системы. В публикации "О защите персональных данных при использовании системы Examus", размещенной на сайте Виртуальной приемной 24 декабря 2020 года упоминается, что "...Вам необходимо будет письменно подтвердить свое согласие и отправить сотрудникам учебного отдела по соответствующему направлению заполненную форму согласия (форма согласия высылается до экзамена)". Данная информация, помимо вышеуказанного случая, доводится до студента только в Виртуальной приемной. На данный момент студенты таких форм согласия не получают и не отправляют свое согласие ни в подразделения СПбГУ, ни по адресу владельца программного продукта.
Все перечисленное в отношении персональных дает основание говорить о предположительном нарушении ч.1. ст.24 Конституции Российской Федерации, ч.3 ст. 63 федерального закона №126 «О связи», ст. 9 федерального закона № 152 «О персональных данных».
Из документа о политике обработки персональных данных, размещённого на сайте компании-производителя "Электронные платформы" не следует, что персональные данные пользователей сервиса не передаются в третьи руки; по данным СМИ, в ранее размещённом соглашении на английском языке присутствовала информация о возможности передачи данных третьим лицам, в том числе и рекламным компаниям; в публикациях СМИ присутствуют данные о том, что студентам Высшей школы экономики, Российской академии народного хозяйства и государственного управления, Санкт-Петербургского государственного университета после прохождения аттестации в системе "Экзамус" поступали рекламные предложения по контактным данным, полученным через систему "Экзамус".
Согласно ч.1. ст.11 Закона о персональных данных, биометрические персональные данные (в случае системы "Экзамус" – изображение экзаменируемых, их внешность, запись голоса) могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 ст.11 Закона о персональных данных. Экзамены с дистанционным контролем к таким исключениям не относится. Тем не менее, студенты не дают отдельного согласия на обработку охраняемых Законом биометрических данных, которые получает и хранит компания-производитель системы "Экзамус".
Система "Экзамус" устанавливается непосредственно в браузер и, помимо доступа к веб-камере и микрофону, получает неограниченный по времени доступ ко всем элементам операционной системы: общая телеметрия, контроль нажатий клавиш, контроль файловой системы, менеджер паролей; в том числе, система получает доступ ко всей истории просмотра страниц в Интернете – в том числе тех, которые были просмотрены до и после установки системы и прохождения экзамена. Таким образом, система "Экзамус" получает доступ к приватной информации, не имеющей отношения к процессу аттестации. Перечисленное является нарушением ст.24 Конституции Российской Федерации и попадает под действие ст. 137, 272 УК РФ.
Все вышеперечисленное дает основание предполагать, что для прохождения онлайн-аттестации в Санкт-Петербургском государственном университете используется сомнительное программное обеспечение, которое можно определить как вредоносное. Его использование сопровождается как непосредственными угрозами операционным системам тестируемых, так и нарушением законодательства Российской Федерации в отношении сбора персональных данных, угрозой неприкосновенности частной жизни студентов СПбГУ.
В связи с вышеизложенным, прошу Вас ответить на следующие вопросы:
1) Кто и когда санкционировал использование системы "Экзамус" производства компании "Электронные платформы" в Санкт-Петербургском государственном университете?
2) Имеет ли система "Экзамус" и компания "Электронные платформы" лицензии и сертификаты, необходимые для осуществления как деятельности по проведению каких бы то ни было атттестаций, так и деятельности по сбору и обработке персональных данных? Если да, то на каких ресурсах Санкт-Петербургского государственного университета они размещены?
3) После публикаций в СМИ о потенциальной ненадежности системы "Экзамус", неоправданном уровне доступа данной программы к компьютерным системам пользователя и предположительной передаче персональных данных студентов третьим лицам, была ли проведена экспертиза данного программного продукта? Поставлено ли в известность руководство Санкт-Петербургского государственного университета?
4) Почему перед прохождением экзамена не осуществляется сбор письменных соглашений об обработке персональных данных студентов? Почему студенты не уведомляются о том, что их персональные данные последуют обработке? Почему информация о необходимости заполнить согласие об обработке персональных данных не доводится до студентов?
5) Почему система прокторинга собирает приватную информацию (перечисленную в данном обращении), не имеющую отношения ни к образовательному процессу в целом, ни к прохождению аттестации? Известно ли руководству Санкт-Петербургского государственного университета и лицам, ответственным за использование системы "Экзамус", кем и в каких целях используется данная информация?
6) Какие протоколы используются при шифровании данных экзаменируемых? Имеют ли они соответующие лицензии? Используются ли отечественные криптографические алгоритмы? Осуществляется ли шифрование персональных данных студентов в принципе?
Также прошу Вас:
1) Провести проверку по фактам, изложенным в данном обращении.
2) В случае, если факт нарушения законодательства в отношении обработки персональных данных не подтвердится, прошу решить вопрос в отношении информирования студентов об обработке их персональных данных, в том числе биометрии; о необходимости заключать с компанией "Электронные платформы" соглашение в письменном виде.
3) Прошу Вас проверить оправданность уровня доступа системы прокторинга к данным, не относящимся к образовательному процессу и не имеющим значенмя для работоспособности программы. Если такой доступ будет найден оправданным, то прошу отдельно разъяснить целесообразность такого доступа и разместить эту информацию на ресурсах Университета. Прошу заранее информировать студентов об уровне доступа, который получает система "Экзамус", как то: пути расположения файлов и папок, к которым система получает доступ; изменения в системных реестрах; периферийные устройства, к которым система получает доступ; наименования конкретных сетевых портов, к которым система имеет доступ и проч., и разместить эту информацию на ресурсах Университета, в том числе и с помощью рассылки.
4. Прошу направить мне по указанному в обращении адресу электронной почты контактные данные сотрудников СПбГУ, ответственных за развертывание и функционирование системы "Экзамус" в Университете для уточнения ряда технических вопросов.
5. Прошу опубликовать данное обращение и ответ на него на сайте Виртуальной приемной СПбГУ и в разделе "Результаты обращений".
Ответ первого проректора по учебной и методической работе Марины Юрьевны Лавриковой:
В ответ на Ваше обращение сообщаю следующее.
Санкт-Петербургский государственный университет (далее – СПбГУ) взаимодействует с ООО «Электронные платформы» в части оказания услуг мониторинга процесса прохождения контрольных испытаний и использования соответствующего программного комплекса с 2017 года и по настоящее время, поскольку ООО «Электронные платформы» является единственной организацией, которая является поставщиком услуги по мониторингу контрольных испытаний с идентификацией личности (прокторингу) обучающихся различных образовательных организаций на национальной платформе «Открытое образование» (далее – НПОО) (www.openedu.ru). Соответствующая информация подтверждена письмом директора Ассоциации «НПОО» Д. А. Юшина.
Кроме того по результатам мониторинга предложений на рынке оказания подобных услуг и по результатам осуществления закупочных процедур в соответствии с действующим законодательством, ООО «Электронные платформы» был определен в качестве поставщика, представляющего услуги на наиболее выгодной цене.
По итогам проведенной проверки по фактам, изложенным в обращении, информируем, что программный комплекс «Экзамус» является официально зарегистрированной Федеральной службой по интеллектуальной собственности Российской Федерации программой для ЭВМ (Свидетельство о государственной регистрации программы для ЭВМ 2017662638 от 13.11.2017 «Экзамус. Система онлайн-прокторинга»).
ООО «Электронные платформы» является зарегистрированным в реестре Роскомнадзора оператором персональных данных (регистрационный номер 66-16-001931) и осуществляет обработку персональных данных в соответствии с законодательством Российской Федерации.
По итогам запроса информации об особенностях работы программного комплекса «Экзамус» директором ООО «Электронные платформы» Д. В. Истоминым были даны разъяснения.