Пассажиры и айпикнуть не успеют


Власти хотят собирать данные об IP-адресах и банковских картах путешественников
По данным “Ъ”, с 1 сентября помимо данных паспорта и билета перевозчиков обяжут передавать в единую базу данные о банковских картах, IP-адресах, телефонах, адресах электронной почты и пароли учетных записей. В АЭВТ и авиакомпаниях считают, что часть данных относится к конфиденциальной информации и не может передаваться без дополнительного согласия пассажира. Источники “Ъ” в авиакомпаниях также опасаются утечек данных и возросшей ответственности за них. Близкие к Минтрансу собеседники “Ъ” говорят, что госсистема хорошо защищена, а отслеживание аномалий в данных позволит быстрее вычислять преступников.

Как стало известно “Ъ”, Минтранс подготовил проект приказа о новом порядке формирования автоматизированных баз персональных данных о пассажирах и персонале (экипаже), который должен вступить в силу 1 сентября. Данные должны передавать перевозчики на воздушном, водном и железнодорожном транспорте, а также автотранспорте при междугородном и международном сообщении (кроме рейсов между Москвой и Подмосковьем, Петербургом и Ленобластью).

Сведения будут поступать в единую государственную информационную систему обеспечения транспортной безопасности (ЕГИС ОТБ). Ее оператор — ФГУП Минтранса «Защитаинфотранс». Доступ к базе имеют в том числе Росавиация, Ространснадзор, МВД и ФСБ. Сейчас в ЕГИС ОТБ собираются паспортные данные, дата поездки и маршрут.

Проект нового приказа, с которым ознакомился “Ъ”, расширяет этот перечень. В него добавится информация, которую пассажир указывает при бронировании и покупке билета (Passenger Name Records, PNR): номер телефона, адрес электронной почты, сведения о билете. Кроме того, предлагается также собирать данные учетной записи (логин и пароль) на сайте или в приложении перевозчика, а также IP-адрес и номер порта, с которого передавалась информация. При оплате банковской картой перевозчик должен будет передать четыре последние цифры карты и наименование банка, а также стоимость билета и класс обслуживания. Данные будут храниться семь лет.

В Ассоциации эксплуатантов воздушного транспорта (АЭВТ) в отзыве на проект, направленном в Минтранс (есть у “Ъ”), указали, что часть дополнительных данных о пассажирах, в частности логин и пароль учетной записи, являются «сведениями конфиденциального характера, в связи с чем не подлежат раскрытию без согласия субъекта таких данных».

При этом передача данных PNR в течение 15 минут с момента завершения каждой регистрируемой операции с билетами «не соответствует установленным стандартам и рекомендациям ICAO и является труднореализуемой задачей как для российских, так и иностранных перевозчиков, использующих различные системы бронирования».

АЭВТ указывает, что международным стандартом является документ ICAO (Doc 9944) «Рекомендации в отношении записей регистрации пассажиров (PNR)», который «предписывает государствам не требовать от эксплуатанта или возлагать на него ответственность за предоставление данных PNR, которые еще не собраны или не содержатся в его системе бронирования». Кроме того, отметили там, действующее законодательство не обязывает перевозчиков или уполномоченных агентов на этапе бронирования получать у пассажира данные документа, удостоверяющего личность. АЭВТ попросила Минтранс доработать проект.

В ОАО РЖД и крупнейших авиакомпаниях воздержались от официальных комментариев.

В Smartavia согласились с АЭВТ, что запрашиваемые данные «относятся к конфиденциальным и не могут собираться авиаперевозчиками». Сейчас авиакомпания не хранит IP-адрес и порт, с которого осуществлена закупка или бронирование билета. «Не очень понятна и оценка пользы, так как человек может дойти до стадии бронирования на одном устройстве, продолжить закупку с другого, например с мобильного, осуществлять все эти действия с использованием VPN»,— добавили в пресс-службе. Пароли от личного кабинета на сайте перевозчик не хранит, «их передать мы также не можем, так как это лишь хеш пароля, который еще надо подобрать под этот хеш, что является весьма трудной задачей». Банк и четыре последние цифры номера банковской карты пассажира перевозчик теоретически может предоставить, «но в случае оплаты по системе СБП или SberPay такой информации у авиакомпании не будет». «Чем больше информации собирается, тем больше может быть негативных последствий в случае утечки»,— заключают в авиакомпании.
Айгуль Абдуллина
(в сокращении)
Мнение авторов может не совпадать с мнением редакции 
Некоммерческое сообщество журналистов

Комментариев нет :