Технический аудит · 2026-05-31

mygovid.ie

MyGovID — государственная система цифровой идентификации Ирландии

MyGovID — единственная точка цифровой идентификации для всех государственных онлайн-сервисов Ирландии. 49 запросов, 4 домена. Нет GTM, нет аналитики, нет рекламы. Единственный внешний домен — Microsoft Bot Framework для чат-бота. Политика 2022 года описывает несуществующий Google Analytics.

Хронология утечки

+421–430 мс · загрузка ресурсов

mygovidstatic.blob.core.windows.net — 42 запроса: jQuery, JS-бандлы, CSS, SVG-логотипы, изображения партнёров (Revenue, NDLS, RSA, HSE, Department of Agriculture и др.). Собственный Azure Blob Storage аккаунт DSP.

+429 мс · чат-виджет

cdn.botframework.com/botframework-webchat/4.15.6/webchat-es5.js — Microsoft Bot Framework SDK для чат-бота поддержки MyGovID.

+463 мс · шрифты

www.mygovid.ie/cf-fonts/s/montserrat — 4 начертания Montserrat. Шрифты проксируются через собственный домен (Cloudflare Workers), а не загружаются напрямую с Google Fonts.

+590 мс · cookie consent API

base.mygovid.ie/api/CookieConsent/GetCookiesConsented — собственный cookie consent API запрашивает статус согласия пользователя. Нет внешних CMP-сервисов.

Декларация против факта

✓ Google Analytics — упомянут в политике (2022) — заявлен

✓ WebChat / Third Party cookies — упомянуты категориально — заявлен

+ Microsoft Bot Framework (cdn.botframework.com) — не упомянут — не заявлен

Тайминги передачи

+429 мс cdn.botframework.com загрузка Bot Framework webchat-es5.js v4.15.6. Microsoft. США.

Зафиксированные трекеры

Microsoft Bot Framework (cdn.botframework.com)

Зафиксированные нарушения

GDPR Art. 13(1)(e); GDPR Art. 5(1)(a) — прозрачность

Политика конфиденциальности (последнее изменение: 23 мая 2022 года) заявляет: «MyGovID uses Google Analytics cookies». В HAR Google Analytics отсутствует полностью. Вместо него присутствует Microsoft Bot Framework (cdn.botframework.com) — чат-виджет поддержки. Bot Framework не упомянут в политике. Документация описывает инструменты, которых нет, и молчит об инструментах, которые есть.

Контекст

MyGovID — государственная система цифровой идентификации Ирландии, управляемая Министерством социальной защиты. Обеспечивает единый вход для более чем 60 государственных онлайн-сервисов: Revenue, MyWelfare, NDLS, RSA, SUSI, службы здравоохранения. Для верификации аккаунта обрабатывает PPS-номера, паспортные данные, биометрические данные. Sensitivity — high: компрометация данных MyGovID означает компрометацию доступа к всей государственной идентификации гражданина. HAR: 49 запросов, 4 домена.

Архитектура приватности — намеренная

mygovid.ie демонстрирует архитектурные решения, которые явно принимались сознательно:

Шрифты Montserrat загружаются с www.mygovid.ie/cf-fonts/ — проксирование через собственный домен, а не прямое подключение к fonts.googleapis.com. IP-адреса посетителей не покидают инфраструктуру сайта при загрузке шрифтов. Статические ресурсы (JS, CSS, SVG) хостятся на mygovidstatic.blob.core.windows.net — собственный Azure Blob Storage аккаунт Министерства социальной защиты. Нет Google Tag Manager, нет аналитики третьих сторон, нет рекламных пикселей. Cookie consent реализован через собственный API (base.mygovid.ie/api/CookieConsent/GetCookiesConsented) без внешних CMP-платформ.

Для системы, обрабатывающей идентификационные данные всех граждан Ирландии, такая архитектура является обоснованным выбором.

Microsoft Bot Framework — единственный внешний домен

Единственное внешнее соединение — cdn.botframework.com/botframework-webchat/4.15.6/webchat-es5.js (+429 мс). Microsoft Bot Framework — SDK для встроенного чата поддержки MyGovID. Это Microsoft Azure-инфраструктура (американская компания), загружающая файл размером несколько МБ с американских серверов. IP-адрес посетителя передаётся на серверы Microsoft в США при каждой загрузке главной страницы. Альтернатива — самохостинг webchat-es5.js на том же mygovidstatic.blob.core.windows.net, где хранятся все остальные скрипты.

Политика 2022 года: Google Analytics без Google Analytics

Политика конфиденциальности последний раз обновлялась 23 мая 2022 года. В ней содержится конкретное утверждение: «MyGovID uses Google Analytics cookies. Google Analytics collects information anonymously». В HAR от мая 2026 года — четыре года спустя — Google Analytics отсутствует полностью: ни GTM, ни gtag, ни analytics.js, ни g/collect. Ни одного запроса к Google-доменам кроме тех, что загружаются в рамках самого браузера.

Очевидно, Google Analytics был удалён в какой-то момент между 2022 и 2026 годом — возможно, в рамках улучшения архитектуры приватности. Политика не была обновлена. Microsoft Bot Framework, появившийся вместо (или параллельно с) удалённым Analytics, в политике не упомянут вовсе: ни в контексте webchat, ни в контексте сторонних cookies.

Ни один из 49 запросов не устанавливает cookie через Set-Cookie.

Вывод

mygovid.ie — лучший результат по архитектуре приватности среди всех нежилых (не noyb.eu) сайтов ирландской серии: один внешний домен, нет трекеров, нет рекламы, локальные шрифты, собственный consent API. Нарушение одно и носит документальный характер: политика 2022 года описывает Google Analytics, которого нет, и не упоминает Microsoft Bot Framework, который есть. Для системы, являющейся единственной точкой цифровой идентификации граждан, точность документации о данных — не формальность.

Доказательство

Оригинал (разбор)

HAR-файл: ie/mygovid-ie-2026-05-31.har

SHA-256: 66cf5172ce876f22b99e3b76e13479f98ab682da03dc7ad71b4cabdf5dcd6df1

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: DPC — Ирландская комиссия по защите данных — dataprotection.ie

Кому: DPC — Ирландская комиссия по защите данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом mygovid.ie.

2. Обстоятельства
Я посетил сайт mygovid.ie и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика конфиденциальности (последнее изменение: 23 мая 2022 года) заявляет: «MyGovID uses Google Analytics cookies». В HAR Google Analytics отсутствует полностью. Вместо него присутствует Microsoft Bot Framework (cdn.botframework.com) — чат-виджет поддержки. Bot Framework не упомянут в политике. Документация описывает инструменты, которых нет, и молчит об инструментах, которые есть.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/mygovid-ie/

3. Нарушенные положения
GDPR Art. 13(1)(e); GDPR Art. 5(1)(a) — прозрачность

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]