В России предложили защитить данные пользователей в каршеринге

Институт развития правового общества (ИРПО) предлагает увеличить штрафы за утечку персональных данных пользователей каршеринга и усложнить процедуру регистрации пользователей в приложениях каршеринга. Меры нужны для снижения рисков утечки данных пользователей и использования этих данных мошенниками. Письмо с предложениями ИРПО направил руководителю Роскомнадзора Андрею Липову (документ есть в распоряжении «Ведомостей»).

В частности, предлагается ввести единую процедуру регистрации и предоставления документов для всех работающих в России каршеринговых компаний. Например, внедрить специализированную пометку с названием компании (водяной знак) и наносить ее на селфи-фотографию пользователя и на сканы паспорта и водительского удостоверения, которые нужно предоставить при регистрации в каршеринге.

«Тем самым в случае утечки данных правоохранительные органы смогут определить ее источник», – говорится в письме. Предлагается также предусмотреть 10-кратное увеличение размера штрафов за несоблюдение условий по сохранности персональных данных при их обработке (п. 6 ст. 13.11 КоАПа): для граждан – до 20 000 руб., для должностных лиц – до 100 000 руб., для индивидуальных предпринимателей – до 200 000 руб., для юридических лиц – до 500 000 руб., а также вменить в обязанность виновному возмещать материальные и моральные убытки пострадавшему от утечки.

Об усилении защиты данных в каршеринге заговорили на фоне регулярно появляющейся в последнее время информации о массовых утечках данных из каршеринговых компаний, говорится в письме ИРПО. Например, в обращении ссылаются на мартовскую публикацию газеты «Известия»: по данным издания, после утечки паспортных данных и номеров водительских удостоверений в одном из небольших сервисов резко возросло число поддельных аккаунтов в других сервисах, оформленных на людей, которые не пользовались услугами этих компаний. В результате мошенники получали доступ к аккаунту, арендовали автомобиль, а счета и штрафы приходили человеку, на которого оформлен аккаунт.

Источники в трех крупных каршеринговых операторах Москвы сообщили «Ведомостям», что в их сервисах никогда не происходило утечек данных. «Единичные утечки были на заре развития отрасли у 1–2 мелких компаний-операторов, которые уже не работают на рынке», – говорит один из собеседников. В компании по противодействию DDoS-атакам Qrator Labs также не располагают информацией о массовых инцидентах утечки данных из каршерингов. Представители «Яндекс.Драйва» и Youdrive отказались от официальных комментариев. Представитель Belkacar не ответил на запрос «Ведомостей». В «Делимобиле» никогда не было утечек данных, сообщил представитель этого сервиса. «Безопасность персональных данных построена в строгом соответствии требованиям регулятора», – уточняют там.

По данным дептранса Москвы, в 2019 г. клиенты каршеринга в столице совершили более 36 млн поездок на арендованных автомобилях, что приблизительно в 1,5 раза больше показателей 2018 г. На начало 2020 г. в московском каршеринге было задействовано 30 000 автомобилей, всего в парке каршеринга в России 40 000–50 000 автомобилей.

По мнению экспертов, опрошенных «Ведомостями», предложенные меры являются актуальными. «При наличии водяных знаков на сканах банк или иные органы могут установить, что копии сделаны не для них, а для иного сервиса. А в случае судебного разбирательства у пользователя будет весомый аргумент, подтверждающий факт недобросовестности, например, банка, который не принял во внимание вотермарк», – говорит руководитель направления «Разрешение IT&IP споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле. Введение водяных знаков позволит предупредить намеренную продажу баз данных должностными лицами компании, а в случае утечки вследствие взлома – предупредить пользователей сервиса о необходимости смены паролей и иных сведений, подчеркивает Шицле. Эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов говорит, что появление водяных знаков может заставить компании, которые хранят данные, более ответственно относиться к мерам безопасности. «Это позволит снизить риск утечки, но не исключит его», – добавляет эксперт.

При этом технический директор Qrator Labs Артем Гавриченков считает, что «стигматизация» конкретно отрасли каршеринга необоснованна. «Проблема утечек данных актуальна не только для каршеринга, но и для многих других отраслей, обрабатывающих паспортные данные. Решить проблему могли бы нормализация и актуализация законодательства о персональных данных», – говорит эксперт. Сканы документов или селфи с документами востребованы сейчас не только в каршеринге, но и в медицине, страховании и любой другой сфере, где важно идентифицировать клиента удаленно, и использование подобной информации продолжит расти, соглашается Галов. Оценить целесообразность предложений можно будет только после оценки сложности и стоимости внедрения дополнительной меры защиты документов, сравнив эту оценку со сложностью обхода таковой меры злоумышленником, считает руководитель направления «Аудит и консалтинг» Group-IB Андрей Брызгин.

В Роскомнадзоре не ответили на вопросы «Ведомостей» на момент публикации.