Зачем компании собирают столько данных о нас?
Вопрос в заголовке риторический, а дальше будет длиннопост по теме.
Беспрецедентные утечки колоссального количества персональных данных россиян в этом году ранили многих и особенно остро поставили вопрос: а зачем такому большому количеству контрагентов в нашей жизни СТОЛЬКО данных и покупателях/пользователях и даже случайно проходящих мимо? Настраивать рекламу? Но не слишком ли большая цена в итоге платится несчастным пользователем?
Большинство корпораций в России почему-то считают себя вправе собирать какое-то невероятное досье на каждого своего клиента.
Для покупок в онлайн-магазине – требовать доступа к профилю на Госуслугах.
Для получения посылок – требовать полные паспортные данные.
И бизнес-задачами в большинстве случаев это объяснить невозможно. Это при том, что российский бизнес, как мы знаем, не умеет защищать собранную с клиентов информацию.
Законодательство на данный момент не содержит уточнений и правил по проверке избыточности ПД, и лишь устанавливает общие принципы недопустимости сбора избыточных данных. Это обеспечивает определенную гибкость в разрешении спорных ситуаций. Следовательно, в спорных ситуациях самым действенным способом остается суд.
Судебная практика
Судебная практика по части избыточного сбора данных скромна, но все-таки имеется.
1. Суд определил, что для идентификации личности при приеме на работу достаточно ФИО при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения.
Хранение копий паспорта, военного билета, свидетельства о браке на рабочем месте превышает объем обрабатываемых ПД работника, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника и противоречит законодательству.
Постановление ФАС Северо-Кавказского округа от 21.04.2014г. по делу №А53-13327/2013
Вот сейчас, мы полагаем, мы много кого удивили – работодатели в вопросе сбора данных о работниках не стесняются. А иные госкорпорации и вообще могут запросить копии паспортов родственников при устройстве на работу. Ну проверка безопасности, то-се. Можете не присылать, но сами понимаете…
2. В другом деле суд признал нарушением закона требование «Ростелекома» о предоставлении паспортных данных и адреса регистрации при получении активационного кода для портала госуслуг, поскольку компания не сослалось на соответствующие нормы права, обязывающие его при выдаче кода активации не только устанавливать личность лиц, обратившихся за кодом активации, но и обрабатывать их ПД ( а именно – паспортные данные и адрес регистрации).
Постановление 14 арбитражного апелляционного суда от 25.04.2013г. по делу №А44-7781/2012
3. С другой стороны, Верховный суд определил, что требование ПД продавцом от покупателя при возврате денег не противоречит требованиям законодательства и избыточным не является, поскольку ЦБ РФ требует при таких возвратах указания в расходном кассовом ордере ФИО и данных документа, удостоверяющего личность.
Как правило, при возврате товара обычно чека достаточно, но у продавца есть правовой базис потребовать у потребителя предъявить паспорт или иной документ, удостоверяющий личность.
Постановление ВС РФ от 15.06.2015г. №25-АД15-3
Здесь важно отметить: это общее правило – если какие-либо правовые акты прямо предусматривают необходимость получения определенных сведений о субъекте, их сбор и последующая обработка не будут считаться избыточными, как в вышеописанном случае.
И помните: как мы указывали выше, вы вправе запросить основания для сбора ваших данных – письменно (ответ должен быть предоставлен в течение 7 дней) или устно (ответ должен быть дан незамедлительно).
Также специалисты отмечают, что не соответствуют основновополагающему принципу закона «О защите ПД» интернет-сервисы и мобильные приложения, которые запрашивают или получают по факту доступ к большому количеству данных, хранимых на устройстве пользователя (смартфоне или компьютере), если это не вызвано необходимостью его нормального функционирования. Но судебных прецедентов по этому поводу нам пока найти не удалось, но нам приходилось сталкиваться приложением к роботу-пылесосу, требующему доступ к звонкам. Поэтому при установке приложения проверяйте, к чему оно хочет получить доступ. Если это что-то, что не нужно для работы приложения, вероятнее всего вы можете просто запретить. Причем, без потери функциональности приложения. Да, просто маркетологи хотят немного лучше вас узнать.
Наказание
Наказание за избыточный сбор предусмотрены статьей 14.8 Кодекса об административных правонарушениях:
· юридическим — от 30 тыс. до 50 тыс. рублей.
Что-то это не выглядит пугающим.
Резюме по юридической части
Несмотря на большое внимание к поправкам «об избыточности» (вполне логичное на фоне колоссальных потерь ПД в этом году) вопрос доказывания избыточности сбора ПД, по всей видимости, ляжет на плечи самих граждан и однозначно потребует недюжинной воли. А наказание вряд ли напугает даже малый бизнес.
Очевидно, что бизнесу важно посмотреть на те последствия, которые имели беспрецедентные утечки данных в этом году и все-таки ограничить сбор ПД своих клиентов. Вам они нужны для мифических маркетинговых целей, а последствия безалаберности и хакерских атак приводят к реальным серьезным жизненным проблемам у ваших клиентов.
Что мы видим прямо сейчас?
Сегодня в России собирается невероятное количество данных пользователей буквально везде, порою в довольно неожиданных местах.
Пример 1. Wildberries
Некоторое время назад крупнейший российский маркетплейс Wildberries разместил объявление в ЛК покупателей о том, что ограничит возможности неподтвержденных пользователей: не будет привозить заказы без предоплаты.
А «подтверждение» пользователя предполагается через банк «Тиньков» или Госуслуги.
Те, кто пытался «подтвердиться», довольно сильно удивились: оказалось, что портал требует полный доступ к аккаунту пользователей на Госуслугах – со всеми содержащимися там данными.
Поскольку окончательно доступ к услугам маркетплейса не закрывается (можете покупать товары и без госуслуг, но только с полной предоплатой), новый закон они не нарушают, но избыточным сбором, по нашему мнению, все же несомненно занимаются.
Миллионы торговых интернет-площадок в России и мире как-то умудряются продавать товары без информации о паспортных данных, прописке и даты рождения пользователей. Покупать условные «керосин и спички» по паспорту – это какое-то удивительное для нас ноу-хау. И категорически непонятно: ааа зачем Wildberries столько информации о пользователях и как они без нее справлялись до сих пор?
Пример 2. СДЭК
Та самая служба доставки СДЭК, которая в этом году стала трижды (!!!) фигуранткой крупных скандалов с потерей пользовательской информации, что в совокупности позволило говорить экспертам о «самой крупной утечке данных в истории России».
СДЭК ОБЯЗАТЕЛЬНО требует точного указания ПД покупателей и отправителя, а при получении посылок еще более ультимативно требует паспорт и сверяет имя на посылке.
Далее в пункте выдачи СДЭК требуют заполнить накладную с указанием паспортных данных полностью (фио-номер-кем-когда) и временем получения посылки – без этого также посылки отказываются отдавать (да, мы проходили это и скандалили).
Никакого согласия на обработку ПД при этом не предполагается: при нашем опыте взаимодействия сотрудники пунктов выдачи вообще не понимали, о чем им говорят.
При этом с ПД пользователей в СДЭКе обращаются крайне вольно: известны не только утечки, но и вот такие случаи – заполненная чьими-то данными накладная ПЕРЕВОРАЧИВАЕТСЯ И ЗАПОЛНЯЕТСЯ ДАННЫМИ ДРУГОГО КЛИЕНТА. Это как?!
Наверное, нет нужды подчеркивать, что масса логистических служб доставок в России и по всему миру как-то справляется с доставкой посылок без полного «досье» на клиента? Зачем СДЭКу паспортный контроль?
Пример 3. ГИС ЖКХ
В России работает ГИС ЖКХ – единая система поставщиков и потребителей коммунальных услуг. Сейчас ей владеет некое АО «Оператор информационной системы».
Задумка неплохая и, видимо, предполагалось, что будет удобно: каждый житель страны получает доступ к своим счетам за коммунальные услуги и может вносить данные по расходу ресурсов, все операции и расчеты «в одном окне».
Однако при регистрации в этом сервисе пользователи с большим изумлением отметили, что оная ГИС ЖКХ требует полного доступа ко всем данным пользователей на портале Госуслуг.
Предоставить доступ к данным о своем загранпаспорте, медполисе и военном билете некоему АО, чтобы подавать цифры по расходу воды?! Нам кажется, это не просто избыточно, это какой-то сюрреализм.
Пример 4. ID и массовая цифровая паспортизация
Сейчас время расцвета цифровых эко-систем с целыми кустами различных сервисов. Ими гордятся, они делают повестку IT-рынка и на них возлагаются надежды экономики. Мы все их знаем поименно.
При этом у всех этих крупных IT-конгломератов пошла повальная мода делать свой ID – условный цифровой паспорт клиента, по которому возможен сквозной доступ ко всем сервисам: кинотеатрам, доставкам, маркетплейсам – кто там чем богат. У кого больше 2 сервисов – уже разрабатывают свой «паспорт».
Есть Яндекс-ID, Сбер-ID, Тиньков-ID, Билайн-ID, СДЭК-ID (да, у них тоже) и пр., и пр.
Все это делается под соусом удобства для пользователя и его защиты – но, как правило, совершенно без учета желания этого пользователя: хочется ему есть свой «паспорт» в данном цифровом государстве, или нет.
И если в СДЭКе надо регистрировать и подтверждать ID, то, например, «Яндекс» и «Тиньков» совершенно не стесняются распоряжаться информацией на устройствах пользователя и моментально предлагают сшить свои сервисы и копируют себе пользовательские данные. «Яндекс» не дает отдельно пользоваться своим сервисом GO (такси, доставка, etc.) от почты/переводчика и прочих – он связывает все приложения своим «паспортом» на всех устройствах (устали ловить и разлогинивать). Что касается «Тинькова», то там, похоже, вообще не считают данные пользователя чем-то важным и уверены в своем праве распоряжаться ими по своему усмотрению.
Конкретно сейчас один из сотрудников iFreedomLab находится в процессе разбирательства со службой поддержки «Тиньков» в попытке выяснить: как удалить из информационной системы банка все контакты, «подсосанные» в одночасье из телефонной книги. У него теперь в десктопной версии (!!!) интернет-банка при любых платежах предлагается в подсказках контакты из его телефона. Уже 10 дней никто не может объяснить: ни как это произошло, ни как – главное – эту информацию теперь убрать. Что это, «Тиньков»?
Это уже какое-то насилие, по нашему мнению. И очень страшно: а если организация не сможет адекватно защитить данные – а как показывают события последних месяцев, может ох как не всегда – то масса твоих данных, в том числе и крайне чувствительных, попадет в руки злоумышленников? И кто ответит за ущерб?
Зачем всё это делается? В чем удобство пользователя? Оно точно перевешивает вопросы его цифровой безопасности?