Минтранс предложил собирать данные об IP-адресах и банковских картах пассажиров

Международные

Сведения, которые предлагает собирать ведомство, могут заинтересовать мошенников.

Минтранс предложил расширить перечень сведений пассажиров и экипажа, которые перевозчики должны передавать в единую базу — с 1 сентября в него могут включить данные о банковских картах, IP-адресах, телефонах, адресах электронной почты и пароли учетных записей.

Данные должны передавать перевозчики на воздушном, водном и железнодорожном транспорте, а также автотранспорте на поездки между городами и в другие страны. Они будут поступать в единую государственную информационную систему обеспечения транспортной безопасности (ЕГИС ОТБ), доступ к которой есть в том числе у Росавиации, Ространснадзора, МВД и ФСБ.

Сейчас перевозчики должны передавать в единую базу паспортные данные и информацию о билете. Минтранс предлагает включать в перечень, в том числе, сведения, указанные при бронировании и покупке билета (Passenger Name Records, PNR), а также четыре последние цифры карты, по которой билет оплачен, название банка, стоимость билета и класс обслуживания. Эти данные будут хранить семь лет.

Механизм предоставления расширенной информации о пассажирах "в интересах обеспечения их безопасности в условиях существования угроз террористического характера" предусмотрен изменениями в Конвенцию о международной гражданской авиации, которые были внесены в конце 2022 года, сообщил журналистам замминистра транспорта Дмитрий Баканов.

"Законодательство ряда стран уже сегодня требует, чтобы авиакомпании в случае полетов в аэропорты этих стран или через их территории предоставляли уполномоченным властям этих стран расширенную информацию о бронировании пассажиров, — передал он через пресс-службу. — Перечень информации, предлагаемый к нормативному регулированию Минтрансом России, меньше, чем требуемый многими другими странами. При этом новый приказ не обязывает перевозчиков собирать дополнительную информацию о пассажирах, помимо той, которая указывается пассажиром при покупке билета. Такой перечень информации предоставляется только в случае ее фактической фиксации в информационной системе авиакомпании".

Ассоциация эксплуатантов воздушного транспорта (АЭВТ) отмечает, что часть указанных в проекте Минтранса данных — в том числе логин и пароль учетной записи, — это «сведения конфиденциального характера», которые нельзя раскрывать без согласия самого пассажира. Об этом говорится в отзыве АЭВТ на проект.

В отзыве указано и на технические сложности выполнения приказа. В частности, в нем говорится, что необходимость передавать данные PNR в течение 15 минут после регистрируемых операций с билетами — это «труднореализуемая задачей как для российских, так и иностранных перевозчиков, использующих различные системы бронирования». АЭВТ попросила Минтранс доработать проект.

Сведения, которые предлагает собирать ведомство, могут заинтересовать мошенников. «Чем больше информации собирается, тем больше может быть негативных последствий в случае утечки»,— соглашаются в авиакомпании Smartavia.

Собеседник газеты в отечественной системе бронирования добавил, что в ней хранится минимальный набор данных о пассажире и поездке, с необходимостью расширить перечень собираемых сведений связан большой объем юридической работы

Однако источник газеты, близкий к Минтрансу, заявил, что проект дорабатываться уже не будет. По его словам, новые данные позволят вычислять злоумышленников «от контрабандистов до террористов».

Компании стали чаще скрывать утечки персональных данных, сообщили «Ведомости» в феврале. В Kaspersky газете рассказали, что за прошедший год количество объявлений об утечках сократилось на 8%, в то время как число опубликованных строк пользовательских данных, наоборот, выросло на 24%. Эксперты связывают стремление компаний скрыть утечки с обсуждением законопроектов об оборотных штрафах и уголовной ответственности за такие нарушения.

В декабре 2023 года в Госдуму внесли два законопроекта, которые предлагают ужесточить наказание за утечки персональных данных. Документ предусматривает внесение поправок в Кодекс об административных нарушениях и Уголовный кодекс. Согласно предложенным изменениям в КоАП, штраф для юрлиц и индивидуальных предпринимателей за утечку персональных данных составит от 3 млн до 15 млн рублей в зависимости от ее объема. За повторные утечки грозит еще большее наказание — штраф в размере до 3% выручки за календарный год, но не более 500 млн рублей.

Поправки в УК предусматривают до восьми лет лишения свободы для тех, кто вывозит данные граждан России за рубеж для их продажи или передачи. Если же утечка повлекла вред жизни и здоровью граждан, а также общественной безопасности, или же речь идет об оргпреступности, то «это уже 10 лет тюрьмы», отметил в своем Telegram-канале один из авторов законопроекта, секретарь генсовета партии «Единая Россия» Андрей Турчак. Уголовная ответственность предусмотрена и для тех, кто делает бизнес на краденных данных, — до пяти лет лишения свободы.

Законопроект об оборотных штрафах за утечки подвергался критике со стороны Ассоциации больших данных (объединяет «Яндекс», VK, Сбербанк, Газпромбанк, Тинькофф Банк, Россельхозбанк, «Мегафон», «Ростелеком», QIWI, билайн, МТС, «Авито», фонд «Сколково», Аналитический центр при правительстве, ВТБ, Центр стратегических разработок).