Крупнейший портал о международной защите и диверсификации активов

Время работы 9:00-18:00 Вых
icon-skype-png icon-telegram-png icon-viber-png icon-whatsapp-png

Крупнейший портал о международной защите и диверсификации активов

Время работы
9:00-18:00 Вых
+372 5 489 53 37
+381 6911 12327

Российских перевозчиков обяжут собирать личную информацию о пассажирах

Несанкционированный доступ к личной информации в развитых странах считается серьёзным правонарушением. А утечки, вызванные хакерскими атаками или недальновидными действиями отдельных должностных лиц, расследуются, чтобы не допустить повторения эпизода в будущем. Поэтому планы российских властей обязать перевозчиков собирать при продаже билетов на внутренние рейсы персональную информацию пассажиров — идея достаточно спорная.

Сбор информации о путешественниках в России

На момент написания статьи в единой базе хранятся только данные паспорта и информация по билету, который купил пассажир. Такой порядок действует давно и гражданских прав не нарушает. Но уже с 1 сентября 2024 года ситуация может измениться. Неназванные источники в правительстве РФ сообщают о том, что внутренних перевозчиков обяжут собирать и хранить расширенный блок информации о пассажирах.

Какие данные предположительно будут собирать:

  • банковская карта, с которой был оплачен билет (4 последних цифры и сведения о банке);
  • IP-адрес устройства и номер порта, с которого пассажир зашёл в систему резервирования / продажи билетов;
  • номер телефона;
  • данные по устройству, через который были куплены билеты;
  • адрес электронной почты;
  • пароль учётной записи.

Официальные лица Минтранса уверены, что информационная система ведомства надёжно защищена, поэтому персональным данным пассажиров ничего не угрожает. Независимые эксперты менее оптимистичны. Они считают, что передача таких сведений может происходить только с явного и выраженного согласия конкретного человека, вынужденное принятие условий перевозчика таковым не является. К тому же есть вопросы к надёжности сетей Минтранса, которые теоретически можно взломать.

Автоматический сбор информации о клиентах, что известно точно:

  • проект подготовлен Минтрансом;
  • ожидаемая дата вступления новшеств в законную силу — 1 сентября 2024 года;
  • требования по автоматическому сбору информации затронут пассажиров наземного (автомобильного и железнодорожного), водного и воздушного транспорта;
  • единственное исключение — внутриобластные рейсы между Москвой и областью, Санкт-Петербургом и областью;
  • оператор системы обработки и хранения собранной информации (ЕГИС ОТБ) — Федеральное государственное предприятие «Защитаинфотранс»;
  • доступ к информации, не требующий явного согласия пассажира, получат несколько ведомств:
  • Росавиация;
  • Ространснадзор;
  • ФСБ;
  • МВД.

ICAO против Минтранса

То, что новшество противоречит законам РФ о защите персональной информации, ясно уже сейчас. Но, судя по заявлениям официальных лиц Минтранса, этот момент российские власти не смущает. Гораздо важнее то, что длительное хранение информации PNR (Passenger Name Records) в таком объёме не соответствует рекомендациям и нормативам ICAO (International Civil Aviation Organization, Международная организация гражданской авиации).

Основной документ, который регулирует вопросы сбора и обработки информации воздушным перевозчиком, — Doc 9944. В нём прямо указано, что страны-участницы ICAO обязуются не требовать от авиакомпаний информации по PNR, если она уже не содержится в базах данных или системе бронирования. Более того, государственным органам запрещено возлагать ответственность за сбор и хранение персональных данных.

Ещё одна потенциальная проблема касается систем бронирования билетов. Нормы ICAO допускают предварительную фиксацию желания пассажира купить билет через некоторое время без предоставления им каких-либо удостоверяющих документов. Новшества, если их примут, вступают в конфликт с рекомендациями ICAO.

Проблемы для перевозчиков

Трудности и неудобства возникнут не только у пассажиров, но и у компаний. Разработать и адаптировать программные средства для учёта и хранения большого объёма персональных данных сложно, долго и дорого. Дополнительные расходы перевозчикам никто компенсировать не станет, поэтому они с вероятностью, близкой к 100%, переложат их на самих пассажиров.

Ещё одна потенциальная проблема — риск взлома сети. Хакеры точно заинтересуются возможностью «получить» в одном месте все основные персональные данные пассажиров. А если атака на базу данных и не удастся, одна только попытка может нарушить нормальное функционирование системы на дни и недели. Масла в огонь подливает недавнее ужесточение ответственности за утечку персональных данных. Теперь компаниям за повторное нарушение закона грозит штраф до 500 млн руб., или 3% от годовой выручки.

Вызывает много вопросов и о целесообразности сбора такого объёма информации. Например, требование хранить IP-адрес устройства, с которого пассажир выкупает или бронирует билеты, в принципе лишено смысла. Такие действия могут производиться из зоны публичного Wi-Fi, с использованием технологии VPN, вообще с другого устройства. А если IP-адрес не «белый» (постоянный), а «серый» (меняется при каждом новом заходе в сеть)?

С паролями от личного кабинета ситуация не лучше. В большинстве случаев перевозчик пароли пользователей не хранит, а только их хеш. Теоретически, имея хеш, можно вычислить пароль, но решение такой задачи требует значительных вычислительных мощностей. Поэтому обязательное хранение пароля ведёт к снижению безопасности и рискам утечки данных на сторону.

Аналогичные проблемы возникнут из-за требования хранить информацию о банке и карте, с которой производится оплата. Если пассажир использует личный кабинет в финансовом приложении, трудностей не будет. Но когда деньги за билет перечисляются через СБП или SberPay, проблемы появляются. Ведь у авиакомпании просто нет информации о том, какой конкретно российский банк выпустил карту.

Если же говорить о традиционных автобусных маршрутах, которые чаще всего россияне выбирают для путешествий, с ними также хватает потенциальных проблем. Дело в том, что через интернет оплачивается не больше 15% билетов. Оставшиеся 85% выкупаются в кассах. И если перевозчиков обяжут обрабатывать данные пассажиров (при условии, что билет приобретается офлайн), система может просто рухнуть под такой нагрузкой. Не говоря уже о том, что доступность стабильного интернета в российской глубинке очень относительная.

Но глобальная проблема планов Минтранса не в этом. Технические трудности можно решить, если профильные службы открыты для диалога с экспертами. Однако источники, близкие к руководству Министерства транспорта Российской Федерации, сообщают, что документ дорабатываться не будет. Поэтому выбора у перевозчиков и пассажиров просто не остаётся.

Нужна консультация?
Помогите сделать наш портал еще детальней, актуальней и полезней для Вас и Вашего бизнеса.

Адрес вашей почты не будет опубликован.