Утечки, избыточный сбор
персональных данных
и «цифровое насилие»­

Недавно мы выпустили большой обзор по утечкам данных. По итогам рассмотрения множества ситуаций мы предлагали компаниям начать как-то научиться адекватно реагировать на потерю пользовательских данных, однако это уже тушение пожара и фиксирование ущерба.

А нельзя ли не закидывать дров в этот костер – тогда и гореть будет нечему? Мы уверены: абсолютное большинство тех персональных данных, что считает нужным собрать о клиентах любой сервис, ему попросту не нужны. Маркетинговый профит от них сомнительный, а вот ущерб пользователям в случае утечек может быть нанесен колоссальный, всего лишь по причине чьего-то желания иметь «портрет клиента».­

Может, все же безопасность клиентов важнее маркетинговых игрищ?

Беспрецедентные утечки колоссального количества персональных данных россиян в этом году ранили многих и особенно остро поставили вопрос: а зачем такому большому количеству контрагентов в нашей жизни СТОЛЬКО данных и покупателях/пользователях и даже случайно проходящих мимо? Настраивать рекламу? Но не слишком ли большая цена в итоге платится несчастным пользователем?

Вопрос об избыточности сбора назрел настолько давно, что вызвал реакцию правительственных кругов еще в 2021 году. Однако эта озабоченность касалась только узкой, хоть и важной части нашей жизни – покупок товаров и услуг. Глава Правительства высказался о том, что «сейчас зачастую людей принуждают указывать избыточные персональные данные при любых покупках. Даже в тех случаях, когда по закону это совсем не обязательно. Понятно, что нужно указать имя и фамилию при оформлении авиа- или железнодорожного билета. Но на многих массовых мероприятиях таких требований при покупке билета просто нет, а продавец вынуждает своего клиента сообщить эту информацию. Под разными предлогами у граждан собирают номера телефонов, адреса электронной почты, данные водительских удостоверений и другие персональные сведения»­. 

Поэтому правительством была разработаны поправки к закону «О правах потребителей»­ , прямо ограничивающие избыточный сбор данных, которые вступили в действие буквально только что – с 1 сентября 2022 года. Об этом довольно много говорилось и писалось в медиа.

Однако бизнес, по нашим наблюдениям, никак не забоялся и особых мер по сокращению числа собираемых данных так и не предпринял. 

Как должны работать поправки об избыточности?

Поправки только что вступили в силу и совершенно не имеет никакой практики правоприменения. Однако попробуем понять, как они должны работать.

Основное: поправка об избыточности данных внесена в закон «О правах потребителей»­ – соответственно, касается в основном случаев покупки товаров и услуг.

В ст. 16 этого закона­ появилась такая формулировка:

«Продавец … не вправе отказывать покупателю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством РФ или непосредственно связана с исполнением договора с потребителем»­.

Далее закон описывает право потребителя запросить у продавца основания для запроса его персональных данных (письменно – в течение 7 дней, устно – незамедлительно).

Если приводить пример, то для доставки еды явно необходим адрес и телефон, а вот фото и паспортные данные – скорее всего, информация избыточная. Если салон красоты просит клиентов сообщить их имущественное положение или образование – это тоже избыточный сбор данных.

Но вот как определять – какие данные строго необходимы, а какие избыточны – новые поправки не предлагают.

И поэтому тут предстоит руководствоваться законом «О персональных данных», причем уже во всех случаях: не только при покупках, но при всех других взаимодействиях, в рамках которых у вас требуют ПД – трудоустройство, медобслуживание, доступ к госуслугам­. 

И в этом законе, если резюмировать коротко, и так основополагающий принцип – минимизация сбора данных. Однако и он не описывает, для какого случая какие персональные данные необходимы, а какие избыточны.

И в сухом остатке буква закона предлагает ориентировать на следующий критерий: соответствуют ли собираемые данные цели их обработки. Цель обработки ПД должна быть обязательно прописана в договоре или согласии на обработку ПД (которое вам должны предлагать каждый раз, когда требуют указать что-то помимо имени и телефона*). Эта цель должна быть законной (т. е. не противоречить никаким нормам законодательства РФ), а все собранные ПД не должны использоваться хоть как-то помимо заявленной цели. 

Например, если видеонаблюдение у вас на работе ведется в целях обеспечения безопасности, то работодатель не имеет права использовать видеозаписи для мониторинга нахождения работника на рабочем месте.

Так как все-таки определить, является ли сбор персональных данных в конкретном случае избыточным?

Законодательство не содержит уточнений и правил по проверке избыточности ПД, и лишь устанавливает общие принципы недопустимости сбора избыточных данных. Это обеспечивает определенную гибкость в разрешении спорных ситуаций. Следовательно, в спорных ситуациях самым действенным способом остается суд. 

Также за избыточный сбор ПД компании могут быть привлечены к отвественности Роспотребнадзором по жалобе клиента или в рамках  проверки.

*Cогласие на обработку ПД должно содержать: цель обработки персональных данных, перечень персональных данных, на обработку которых дается согласие, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных и т.д.

Судебная практика

Судебная практика по части избыточного сбора данных скромна, но все-таки имеется.

1. Суд определил, что для идентификации личности при приеме на работу достаточно ФИО при условии предъявления лицом документа, удостоверяющего личность, в котором содержатся все необходимые сведения.

Хранение копий паспорта, военного билета, свидетельства о браке на рабочем месте превышает объем обрабатываемых ПД работника, нарушает права и свободы гражданина, снижает уровень прав и гарантий работника и противоречит законодательству.

Постановление ФАС Северо-Кавказского округа от 21.04.2014г. по делу №А53-13327/2013

Вот сейчас, мы полагаем, мы много кого удивили – работодатели в  вопросе сбора данных о работниках не стесняются. А иные госкорпорации и вообще могут запросить копии паспортов родственников при устройстве на работу. Ну проверка безопасности, то-се. Можете не присылать, но сами понимаете…

2. В другом деле суд признал нарушением закона требование «Ростелекома»­  о предоставлении паспортных данных и адреса регистрации при получении активационного кода для портала госуслуг, поскольку компания не сослалось на соответствующие нормы права, обязывающие его при выдаче кода активации не только устанавливать личность лиц, обратившихся за кодом активации, но и обрабатывать их ПД ( а именно – паспортные данные и адрес регистрации). 

Постановление 14 арбитражного апелляционного суда от 25.04.2013г. по делу №А44-7781/2012

3. С другой стороны, Верховный суд определил, что требование ПД продавцом от покупателя при возврате денег не противоречит требованиям законодательства и избыточным не является, поскольку ЦБ РФ требует при таких возвратах указания в расходном кассовом ордере ФИО и данных документа, удостоверяющего личность.

Как правило, при возврате товара обычно чека достаточно, но у продавца есть правовой базис потребовать у потребителя предъявить паспорт или иной документ, удостоверяющий личность. 

Постановление ВС РФ от 15.06.2015г. №25-АД15-3

Здесь важно отметить: это общее правило – если какие-либо правовые акты прямо предусматривают необходимость получения определенных сведений о субъекте, их сбор и последующая обработка не будут считаться избыточными, как в вышеописанном случае. 

И помните: как мы указывали выше, вы вправе запросить основания для сбора ваших данных – письменно (ответ должен быть предоставлен в течение 7 дней) или устно (ответ должен быть дан незамедлительно).

Также специалисты отмечают, что не соответствуют основновополагающему принципу закона «О защите ПД»­  интернет-сервисы и мобильные приложения, которые запрашивают или получают по факту доступ к большому количеству данных, хранимых на устройстве пользователя (смартфоне или компьютере), если это не вызвано необходимостью его нормального функционирования. Но судебных прецедентов по этому поводу нам пока найти не удалось, но нам приходилось сталкиваться приложением к роботу-пылесосу, требующему доступ к звонкам. Поэтому при установке приложения проверяйте, к чему оно хочет получить доступ. Если это что-то, что не нужно для работы приложения, вероятнее всего вы можете просто запретить. Причем, без потери функциональности приложения. Да, просто маркетологи хотят немного лучше вас узнать.

Наказание

Наказание за избыточный сбор предусмотрены статьей 14.8 Кодекса об административных правонарушениях: 

  • должностным лицам – от 5 тыс. до 10 тыс. рублей, 
  • юридическим — от 30 тыс. до 50 тыс. рублей.

Что-то это не выглядит пугающим.

Резюме по юридической части

Несмотря на большое внимание к поправкам «об избыточности»­ (вполне логичное на фоне колоссальных потерь ПД в этом году) вопрос доказывания избыточности сбора ПД, по всей видимости, ляжет на плечи самих граждан и однозначно потребует недюжинной воли. А наказание вряд ли напугает даже малый бизнес.

Посему мы призываем бизнес посмотреть на те последствия, которые имели беспрецедентные утечки данных в этом году и все-таки ограничить сбор ПД своих клиентов. Вам они нужны для мифических маркетинговых целей, а последствия безалаберности и хакерских атак приводят к реальным серьезным жизненным проблемам у ваших клиентов.

Что мы видим прямо сейчас?

Сегодня в России собирается невероятное количество данных пользователей буквально везде, порою в довольно неожиданных местах.

Пример 1. Русский музей (🫣)

Пример 2. Wildberries 

Пример 3. СДЭК

Пример 4. ГИС ЖКХ

Пример 5. ID и массовая цифровая паспортизация

Пример 1. Русский музей (🫣)

Недавно наши сотрудники посещали легендарный Русский музей в Санкт-Петербурге.

Для приобщения к шедеврам мировой культуры музей нынче требует покупать билеты через свой сайт на определенное время.

И в общем ничего такого, но при покупке требуется ввести:

  • ФИО покупателя,
  • ФИО посетителя, 
  • телефон покупателя;
  • e-mail покупателя.

В итоге формируется билет, на котором все эти данные полностью указаны: кто пришел, кто за него платил, и какие у последнего контакты.

При этом на сайте музея есть предупреждение о том, что работники музея оставляют за собой право проверить паспорта посетителей и сверить с данными на билетах.

Музейное дело – не новое и не редкое, сотни лет (не побоимся так сказать) тысячи музеев по всему миру, включая самые именитые, справлялись с показом своих экспонатов БЕЗ сбора детальных данных миллионов своих посетителей. Ни в Лувре, ни в Ватикане, ни в Метрополитан-музее у сотрудников iFreedomLab не требовали на паспорта, ни имени. 

Обоснованность подобных мер в конкретном случае нам искренне непонятна.

И кстати, согласия на обработку ПД, положенного по закону, музей не предлагает.

Пример 2. Wildberries

Некоторое время назад крупнейший российский маркетплейс Wildberries разместил объявление в ЛК покупателей о том, что ограничит возможности неподтвержденных пользователей: не будет привозить заказы без предоплаты. 

А «подтверждение»­ пользователя предполагается через банк «Тиньков»­ или Госуслуги.

Те, кто пытался «подтвердиться»­, довольно сильно удивились: оказалось, что портал требует полный доступ к аккаунту пользователей на Госуслугах – со всеми содержащимися там данными.

Поскольку окончательно доступ к услугам маркетплейса не закрывается (можете покупать товары и без госуслуг, но только с полной предоплатой), новый закон они не нарушают, но избыточным сбором, по нашему мнению, все же несомненно занимаются.

Миллионы торговых интернет-площадок в России и мире как-то умудряются продавать товары без информации о паспортных данных, прописке и даты рождения пользователей. Покупать условные «керосин и спички» по паспорту – это какое-то удивительное для нас ноу-хау.­ И категорически непонятно: ааа зачем Wildberries столько информации о пользователях и как они без нее справлялись до сих пор?

Пример 3. СДЭК

Та самая служба доставки СДЭК, которая в этом году стала трижды (!!!) фигуранткой крупных скандалов с потерей пользовательской информации, что в совокупности позволило говорить экспертам о «самой крупной утечке данных в истории России».­ 

СДЭК ОБЯЗАТЕЛЬНО требует точного указания ПД покупателей и отправителя, а при получении посылок еще более ультимативно требует паспорт и сверяет имя на посылке. 

(И при несовпадении имени посылки не отдают – подобное несколько раз проходили сотрудники iFreedomLab).

Далее в пункте выдачи СДЭК требуют заполнить накладную с указанием паспортных данных полностью (фио-номер-кем-когда) и временем получения посылки – без этого также посылки отказываются отдавать (да, мы проходили это и скандалили).

Никакого согласия на обработку ПД при этом не предполагается: при нашем опыте взаимодействия сотрудники пунктов выдачи вообще не понимали, о чем им говорят.

При этом с ПД пользователей в СДЭКе обращаются крайне вольно: известны не только утечки, но и вот такие случаи – заполненная чьими-то данными накладная ПЕРЕВОРАЧИВАЕТСЯ И ЗАПОЛНЯЕТСЯ ДАННЫМИ ДРУГОГО КЛИЕНТА. Это как?!

Наверное, нет нужды подчеркивать, что масса логистических служб доставок в России и по всему миру как-то справляется с доставкой посылок без полного «досье»­  на клиента? Зачем СДЭКу паспортный контроль?

Пример 4. ГИС ЖКХ

В России работает ГИС ЖКХ – единая система поставщиков и потребителей коммунальных услуг. Сейчас ей владеет некое АО «Оператор информационной системы».

Задумка неплохая и, видимо, предполагалось, что будет удобно: каждый житель страны получает доступ к своим счетам за коммунальные услуги и может вносить данные по расходу ресурсов, все операции и расчеты «в одном окне».­ 

Однако при регистрации в этом сервисе пользователи с большим изумлением отметили, что оная ГИС ЖКХ требует полного доступа ко всем данным пользователей на портале Госуслуг.

Предоставить доступ к данным о своем загранпаспорте, медполисе и военном билете некоему АО, чтобы подавать цифры по расходу воды?! Нам кажется, это не просто избыточно, это какой-то сюрреализм.

Пример 5. ID и массовая цифровая паспортизация

Сейчас время расцвета цифровых эко-систем с целыми кустами различных сервисов. Ими гордятся, они делают повестку IT-рынка и на них возлагаются надежды экономики. Мы все их знаем поименно.

При этом у всех этих крупных IT-конгломератов пошла повальная мода делать свой ID – условный цифровой паспорт клиента, по которому возможен сквозной доступ ко всем сервисам: кинотеатрам, доставкам, маркетплейсам – кто там чем богат. У кого больше 2 сервисов – уже разрабатывают свой «паспорт»­.

Есть Яндекс-ID, Сбер-ID, Тиньков-ID, Билайн-ID, СДЭК-ID (да, у них тоже) и пр., и пр.

Все это делается под соусом удобства для пользователя и его защиты – но, как правило, совершенно без учета желания этого пользователя: хочется ему есть свой «паспорт» в ­данном цифровом государстве, или нет. 

И если в СДЭКе надо регистрировать и подтверждать ID, то, например, «Яндекс» и «Тиньков» совершенно не стесняются распоряжаться информацией на устройствах пользователя и моментально предлагают сшить свои сервисы и копируют себе пользовательские данные.­ ­«Яндекс» не дает отдельно пользоваться своим сервисом GO (такси, доставка, etc.)­ от почты/переводчика и прочих – он связывает все приложения своим «паспортом» на всех устройствах (устали ловить и разлогинивать). Что касается «Тинькова», то там, похоже, вообще не считают данные пользователя чем-то важным и уверены в своем праве распоряжаться ими по своему усмотрению (мы писали об этом)­. 

Конкретно сейчас один из сотрудников iFreedomLab находится в процессе разбирательства со службой поддержки «Тиньков» в попытке выяснить: как удалить из информационной системы банка все контакты, «подсосанные» в одночасье из телефонной книги. У него теперь в десктопной версии (!!!) интернет-банка при любых платежах предлагается в подсказках контакты из его телефона. Уже 10 дней никто не может объяснить: ни как это произошло, ни­ как – главное – эту информацию теперь убрать. Что это, «Тиньков»?­ 

Это уже какое-то насилие, по нашему мнению. И очень страшно: а если организация не сможет адекватно защитить данные – а как показывают события последних месяцев, может ох как не всегда – то масса твоих данных, в том числе и крайне чувствительных, попадет в руки злоумышленников? И кто ответит за ущерб? 

Зачем всё это делается? В чем удобство пользователя? Оно точно перевешивает вопросы его цифровой безопасности? 

Мы против избыточного и «насильного»­ сбора ПД!

Мы уже задавались вопросами цифрового насилия, и тотальный ничем не объяснимый сбор­ максимума информации о пользователях относим к нему же.

Профиты от того, что компания знает о пользователе/клиенте/сотруднике буквально все – от того, какие труселя он покупал, до его полной книги контактов и списка родственников с паспортными данными – совершенно не очевидны и здравому смыслу недоступны. При этом потеря этой информации может быть фатальной для клиента/пользователя/сотрудника. Рост киберпреступности во всем мире набрал невероятные темпы, и мы считаем, что основной драйвер её роста – как раз вот такие странные решения собирать побольше информации о людях. А как показал нам последний год, пользовательскую информацию достойно защищать не умеет никто.

И мы обращаемся к бизнесу: может быть, вы все-же откажетесь от тотальных досье на своих клиентов (кто их все у вас  изучает?!) и будете работать ровно с теми данными, которые достаточны для оказания ваших услуг?

Мы предлагаем задуматься о социальной ответственности перед клиентами, пользователями и сотрудниками по-настоящему, и просто не подставлять их под молох киберпреступности. Тем более, это так просто: нужно всего лишь отказаться от сбора ненужных для вашего бизнеса данных о них.

Не собираете – не потеряете.
 

Мы запускаем петицию к российскому бизнесу с просьбой отказаться от избыточного сбора данных.

Поддержать ее можно здесь.