Минтранс предложил собирать данные об IP-адресах и банковских картах пассажиров
Минтранс предложил расширить перечень сведений о пассажирах, которые перевозчики должны передавать в единую базу. С 1 сентября в него могут включить данные о банковских картах, IP-адресах, телефоны, адреса электронной почты и пароли учетных записей, узнал «Коммерсантъ». Собеседники газеты отмечают, что часть этих данных — «сведения конфиденциального характера», которые нельзя раскрывать без согласия самого пассажира. Кроме того, необходимость передачи этих данных увеличивает риск их утечек
Минтранс предложил расширить перечень сведений о пассажирах и членах экипажа, которые перевозчики должны передавать в единую базу, — с 1 сентября в него могут включить данные о банковских картах, IP-адресах, телефоны, адреса электронной почты и пароли учетных записей. Об этом говорится в подготовленном Минтрансом проекте приказа, с которым ознакомился «Коммерсантъ».
Данные должны передавать перевозчики на воздушном, водном и железнодорожном транспорте, а также автотранспорте на поездки между городами и в другие страны. Они будут поступать в единую государственную информационную систему обеспечения транспортной безопасности, доступ к которой есть в том числе у Росавиации, Ространснадзора, МВД и ФСБ.
Сейчас перевозчики должны передавать в единую базу паспортные данные и информацию о билете. Минтранс предлагает включать в перечень в том числе сведения, указанные при бронировании и покупке билета (Passenger Name Records, PNR), а также четыре последние цифры карты, по которой билет оплачен, название банка, стоимость билета и класс обслуживания. Эти данные будут храниться семь лет.
Ассоциация эксплуатантов воздушного транспорта (АЭВТ) отмечает, что часть указанных в проекте Минтранса данных, в том числе логин и пароль учетной записи, — это «сведения конфиденциального характера», которые нельзя раскрывать без согласия самого пассажира. Об этом говорится в отзыве АЭВТ на проект, с которым также ознакомился «Коммерсантъ».
В отзыве указано и на технические сложности выполнения приказа. В частности, в нем говорится, что необходимость передавать данные PNR в течение 15 минут после регистрируемых операций с билетами — это «труднореализуемая задача как для российских, так и для иностранных перевозчиков, использующих различные системы бронирования». АЭВТ попросила Минтранс доработать проект.
Источник газеты отметил, что сведения, которые предлагает
собирать ведомство, могут заинтересовать мошенников. «Чем больше
информации собирается, тем больше может быть негативных последствий в случае утечки»,— соглашаются в авиакомпании Smartavia.
Собеседник газеты в отечественной системе бронирования добавил, что в ней хранится минимальный набор данных о пассажире и поездке, с необходимостью расширить перечень собираемых сведений связан большой объем юридической работы.
Однако источник газеты, близкий к Минтрансу, заявил, что проект дорабатываться уже не будет. По его словам, новые данные позволят вычислять злоумышленников «от контрабандистов до террористов».
Накануне, 21 февраля, «Ведомости» писали, что компании стали чаще скрывать утечки персональных данных. В Kaspersky газете рассказали, что за прошедший год количество объявлений об утечках сократилось на 8%, в то время как число опубликованных строк пользовательских данных, наоборот, выросло на 24%. Эксперты связывают стремление компаний скрыть утечки с обсуждением законопроектов об оборотных штрафах и уголовной ответственности за такие нарушения.
В декабре 2023 года в Госдуму внесли два законопроекта, которые предлагают ужесточить наказание за утечки персональных данных. Документ предусматривает внесение поправок в Кодекс об административных нарушениях и Уголовный кодекс. Согласно предложенным изменениям в КоАП, штраф для юрлиц и индивидуальных предпринимателей за утечку персональных данных составит от 3 млн до 15 млн рублей в зависимости от ее объема. За повторные утечки грозит еще большее наказание — штраф в размере до 3% выручки за календарный год, но не более 500 млн рублей.
Поправки в УК предусматривают до восьми лет лишения свободы для тех, кто вывозит данные граждан России за рубеж для их продажи или передачи. Если же утечка повлекла вред жизни и здоровью граждан, а также общественной безопасности, или же речь идет об оргпреступности, то «это уже 10 лет тюрьмы», отмечал в своем Telegram-канале один из авторов законопроекта, секретарь генсовета партии «Единая Россия» Андрей Турчак. Уголовная ответственность предусмотрена и для тех, кто делает бизнес на краденых данных, — до пяти лет лишения свободы.
Законопроект об оборотных штрафах за утечки подвергался критике со стороны
Ассоциации больших данных (объединяет «Яндекс», VK, Сбербанк,
Газпромбанк, Тинькофф Банк, Россельхозбанк, «Мегафон», «Ростелеком»,
QIWI, билайн, МТС, «Авито», фонд «Сколково», Аналитический центр при
правительстве, ВТБ, Центр стратегических разработок).