Чек трусцой: почему и куда «утекают» персональные данные покупателей
Кассы торговых точек программируют на передачу сведений о покупках «на сторону»
Данные о покупках в магазинах, в том числе электронных, утекают в неизвестном направлении. Об этой практике свидетельствуют предупреждения, которые разослал клиентам оператор фискальных данных «Первый ОФД» (собирает сведения о продажах для передачи в налоговую). В письме, поступившем в распоряжение «Известий», говорится, что кассовая техника была перенастроена на передачу данных третьим лицам. Мало того что по договору вся информация должна идти исключительно на сервер ОФД, так еще и использовать эти данные компании могут далеко не в интересах потребителей. Они полезны для анализа предпочтений покупателей и конкурентной разведки. Опрошенные «Известиями» эксперты полагают, что риски утечки персональных данных по таким фискальным каналам есть, однако они преувеличены.
Виновата касса
«Системы мониторинга безопасности выявили случаи изменения настроек на кассовом аппарате для передачи фискальных данных в адрес третьих лиц», — говорится в рассылке одного из крупных ОФД своим потребителям. В письме также указывается, что это высокорискованная практика, которая к тому же не соответствует 54-ФЗ, о чем неоднократно высказывалась ФНС.
В ОФД подчеркивают, что кассовый аппарат должен быть настроен на передачу фискальных данных исключительно на сервер оператора. «В обратном случае ОФД снимает с себя ответственность за возможные перебои и утечку информации», — сообщается в письме.
В пресс-службе оператора на официальный запрос «Известий» не ответили. В его сервисном центре на вопрос о том, что предупреждение означает на практике, сообщили, что в ряде случаев настройки касс были изменены и информация направлялась «на сторону, в неизвестном направлении».
— Условно говоря, от торговца бытовой техникой к продуктовому ритейлеру, — привел пример сотрудник сервисной службы.
Примите это как данность
«Известия» направили запросы в пресс-центры крупнейших ОФД, официально аккредитованных ФНС. Большая часть уклонилась от ответа на вопрос, случались ли в их практике инциденты, связанные с перенастройкой клиентами касс на передачу фискальных сведений третьим лицам. Представители отрасли ограничились уверениями в защищенности собственных систем обработки и предоставления информации.
Впрочем, рискованные практики на рынке действительно есть, подтверждают участники отрасли. Например, программное обеспечение, установленное на кассовую технику, может собирать данные без ведома владельца аппарата для их последующей перепродажи, сказал «Известиям» директор OFD.ru Антон Румянцев. Это более вероятный канал утечки, чем передача данных с кассы оператору, согласен замгендиректора ОФД «Электронный экспресс» Владимир Пащак.
— ПО кассы может дополнительно передавать информацию третьей стороне, однако это вопрос к добросовестности разработчиков, а не к ОФД или их клиентам, — пояснил он. — Кроме этого, не исключены уязвимости в информационной безопасности самих операторов фискальных данных.
Формально закон разрешает ОФД обработку данных для статистики и исследований — при условии, что они обезличены. Причем получать на это согласие клиента оператору не требуется, утверждает эксперт Ассоциации участников рынка больших данных Никита Данилов. Если речь идет об обработке сведений о конкретных операциях покупателей, то оператор обязан получать на это согласие своего клиента. Однако не все данные, которые граждане в обиходе могут считать персональными, являются ими по закону. Например, к ним не относятся адрес электронной почты или номер телефона, указываемые в кассовых чеках.
Но и бизнес самих ОФД может представлять определенные риски. Для многих таких компаний на первом месте не столько передача информации, сколько ее сбор и дальнейшая перепродажа, говорит руководитель направления ОФД «Гарант Электронный Экспресс» Александр Лактионов. По его мнению, грань между конфиденциальной информацией и агрегированными данными весьма условна, поэтому слишком увлекаться этим непрофильным для ОФД бизнесом довольно рискованно, хотя такая практика формально и не запрещена.
Кроме этого, в ряде моделей кассовой техники данные о трансакциях автоматически передаются в том числе и в личный кабинет самого клиента, который расположен на ресурсе производителя аппарата. Дальнейшая судьба этих данных определяется политикой производителя техники, добавил Александр Лактионов.
Куда впадают данные
Экономика данных многослойна — сведения об особенностях покупательского трафика могут быть интересны в том числе и производителям вредной для здоровья продукции, например табака, предупреждает советник адвокатского бюро ЕПАМ Елена Авакян. Или, например, информация позволяет навязывать покупателям ненужные им услуги — страховки, управление капиталом и так далее, говорит эксперт. По ее словам, конкретные жалобы на нарушения в использовании данных в юридической практике крайне редки, однако это связано в том числе с недостаточной урегулированностью и непрозрачностью рынка.
— Если вам звонит неизвестная компания и предлагает свои услуги, вам сложно оценить, откуда она получила ваш номер, — поясняет эксперт.
По ее мнению, риски того, что сведения о покупателе будут недобросовестно использованы, преувеличены. Однако инциденты, когда гражданину звонят, называют по имени и фамилии и предлагают ту или иную персональную акцию, случаются.
Другой способ агрессивного использования фискальных данных — это конкурентная разведка, добавил руководитель департамента системных решений Group-IB Антон Фишман. Например, сведения о продажах в той или иной торговой точке могут представлять существенный интерес для ее конкурентов. Не исключено, что таким образом бизнес может выискивать слабые места у своих соперников.
Для перенастройки кассового оборудования могут быть и криминальные мотивы. Так, по словам замдиректора компании «Такском» Артема Меликджаняна, это может быть способом уклонения от налогов. Действительно, пользователь кассовой техники может продать товар на сумму, в несколько раз превышающую значение, поступающее через ОФД в ФНС, подтвердил Антон Фишман.
За последние годы в мире было выявлено несколько десятков скандальных случаев массовой утечки данных — например, пользователей соцсети Facebook, поисковой системы Google, цепочки отелей Mariott.
Дмитрий Гринкевич / Известия