Как стало известно изданию “Коммерсантъ”, Минтранс подготовил проект приказа о новом порядке формирования автоматизированных баз персональных данных о пассажирах и персонале (экипаже), который должен вступить в силу 1 сентября. Данные должны передавать перевозчики на воздушном, водном и железнодорожном транспорте, а также автотранспорте при междугородном и международном сообщении (кроме рейсов между Москвой и Подмосковьем, Петербургом и Ленинградской областью).
Сведения будут поступать в единую государственную информационную систему обеспечения транспортной безопасности (ЕГИС ОТБ). Ее оператор — ФГУП Минтранса «Защитаинфотранс». Доступ к базе имеют в том числе Росавиация, Ространснадзор, МВД и ФСБ. Сейчас в ЕГИС ОТБ собираются паспортные данные, дата поездки и маршрут.
Проект нового приказа расширяет этот перечень. В него добавится информация, которую пассажир указывает при бронировании и покупке билета (Passenger Name Records, PNR): номер телефона, адрес электронной почты, сведения о билете. Кроме того, предлагается также собирать данные учетной записи (логин и пароль) на сайте или в приложении перевозчика, а также IP-адрес и номер порта, с которого передавалась информация. При оплате банковской картой перевозчик должен будет передать четыре последние цифры карты и наименование банка, а также стоимость билета и класс обслуживания. Данные будут храниться семь лет.
В Ассоциации эксплуатантов воздушного транспорта (АЭВТ) в отзыве на проект, направленном в Минтранс, указали, что часть дополнительных данных о пассажирах, в частности логин и пароль учетной записи, являются «сведениями конфиденциального характера, в связи с чем не подлежат раскрытию без согласия субъекта таких данных». АЭВТ попросила Минтранс доработать проект.
В ОАО РЖД и крупнейших авиакомпаниях воздержались от официальных комментариев.
Сбор и передача данных накладывают на авиакомпании дополнительные расходы, обязанности и ответственность. Источники в отрасли с беспокойством отмечают, что новые сведения могут заинтересовать злоумышленников. При этом в РФ вот-вот ужесточат ответственность за утечки персональных данных: юрлицам при повторном нарушении грозят штрафы до 500 млн руб., или 3% годовой выручки.
Так, например, в Smartavia согласились с АЭВТ, что запрашиваемые данные «относятся к конфиденциальным и не могут собираться авиаперевозчиками». Сейчас авиакомпания не хранит IP-адрес и порт, с которого осуществлена закупка или бронирование билета. «Не очень понятна и оценка пользы, так как человек может дойти до стадии бронирования на одном устройстве, продолжить закупку с другого, например с мобильного, осуществлять все эти действия с использованием VPN»,— добавили в пресс-службе. Пароли от личного кабинета на сайте перевозчик не хранит, «их передать мы также не можем, так как это лишь хеш пароля, который еще надо подобрать под этот хеш, что является весьма трудной задачей». Банк и четыре последние цифры номера банковской карты пассажира перевозчик теоретически может предоставить, «но в случае оплаты по системе СБП или SberPay такой информации у авиакомпании не будет». «Чем больше информации собирается, тем больше может быть негативных последствий в случае утечки»,— заключают в авиакомпании.
В автобусных рейсовых перевозках через интернет оформляется всего 10–15% билетов, отмечает директор «Объединения автопассажирских перевозчиков» Татьяна Ракулова. Верификация карт пассажиров при безналичном расчете пассажиров на кассе создаст дополнительные сложности для перевозчиков. Сама цифровизация и сбор данных о пассажирах, по ее мнению, успешно внедряются в международной практике, но попытка увеличить сбор данных сейчас «опережает ситуацию на российском рынке перевозок».
Несмотря на замечания отраслевых экспертов, по словам близкого к Минтрансу собеседника “Ъ”, документ дорабатываться уже не будет. Опасения перевозчиков об возможных утечках в ведомстве считают преувеличенными, а системы ЕГИС ОТБ — защищенными лучше, чем системы бронирований перевозчиков. Анализ же данных о пассажирах позволит оперативно выявлять «поведенческие аномалии» и вычислять злоумышленников «от контрабандистов до террористов».
Представители отечественных систем бронирования возражают, что у них хранится минимальный набор PNR о пассажире и его билете. Теперь предстоит большой объем юридической работы по пересмотру соглашений систем бронирования с перевозчиками, которые позволят расширить перечень собираемых данных. А также дополнительные расходы на повышение их защищенности. Для перевозчиков, заключил он, перестройка процессов будет «дорогим и долгим процессом».
С заботой о вашей безопасности, команда Origin Security
