Общество , 22 фев, 08:38

«Коммерсантъ» узнал о планах собирать данные о паролях пассажиров

«Коммерсантъ»: власти хотят обязать перевозчиков передавать IP-адреса пассажиров

Перевозчиков хотят обязать передавать в единую базу данные о банковских картах, IP-адресах, телефонах, email и паролях учетных записей пассажиров, выяснил «Ъ». В АЭВТ в инициативе усомнились и напомнили о конфиденциальности

Фото: Михаил Гребенщиков / РБК

Минтранс подготовил проект приказа о новом порядке формирования автоматизированных баз персональных данных о пассажирах и персонале (экипаже), который должен вступить в силу 1 сентября, выяснил «Коммерсантъ».

Помимо данных паспорта и билета, перевозчиков хотят обязать передавать в единую базу данные о банковских картах, IP-адресах, телефонах, адресах электронной почты и пароли учетных записей.

Предполагается, что данные будут передавать перевозчики на воздушном, водном и железнодорожном транспорте, а также автотранспорте при междугородном и международном сообщении (кроме рейсов между Москвой и Подмосковьем, а также Санкт-Петербургом и Ленобластью).

rbc.group

Сведения будут поступать в единую государственную информационную систему обеспечения транспортной безопасности (ЕГИС ОТБ). Ее оператор — ФГУП Минтранса «Защитаинфотранс». Доступ к базе есть у Росавиации, Ространснадзора, МВД и ФСБ, отмечает «Коммерсантъ».

rbc.group

Сейчас в систему поступают только паспортные данные, дата поездки и маршрут. Проект нового приказа расширяет этот перечень на следующие необходимые к отправке данные (будут храниться семь лет):

Информация, которую пассажир указывает при бронировании и покупке билета (Passenger Name Records, PNR): номер телефона, адрес электронной почты, сведения о билете.
Данные учетной записи (логин и пароль) на сайте или в приложении перевозчика.
IP-адрес и номер порта, с которого передавалась информация.
При оплате банковской картой перевозчик должен будет передать четыре последние цифры карты и наименование банка, а также стоимость билета и класс обслуживания.

В Ассоциации эксплуатантов воздушного транспорта (АЭВТ) в отзыве на проект, направленном в Минтранс (есть у «Коммерсанта»), указали, что часть дополнительных данных о пассажирах, в частности логин и пароль учетной записи, являются «сведениями конфиденциального характера, в связи с чем не подлежат раскрытию без согласия субъекта таких данных».

При этом передача данных PNR в течение 15 минут с момента завершения каждой регистрируемой операции с билетами «не соответствует установленным стандартам и рекомендациям ICAO и является труднореализуемой задачей как для российских, так и иностранных перевозчиков, использующих различные системы бронирования», подчеркнули в АЭВТ.

В АЭВТ входят 23 российские авиакомпании — «Аэрофлот», UTair, S7, «Сибирь», «Уральские авиалинии», Red Wings и др.

В Smartavia также заявили газете, что запрашиваемые данные «относятся к конфиденциальным и не могут собираться авиаперевозчиками». При этом данные требования увеличивают риск негативных последствий в случае утечки. «Не очень понятна и оценка пользы, так как человек может дойти до стадии бронирования на одном устройстве, продолжить закупку с другого, например с мобильного, осуществлять все эти действия с использованием VPN», — добавили в авиакомпании.

По словам близкого к Минтрансу источника «Коммерсанта», документ дорабатываться уже не будет. Опасения перевозчиков о возможных утечках он считает преувеличенными. «С учетом развития хакерских возможностей ничего нельзя исключать, но системы ЕГИС ОТБ защищены лучше, чем системы бронирований перевозчиков», — добавил он.

Крупнейший частный авиаперевозчик России сократит присутствие в Москве

Бизнес

О планах властей обязать перевозчиков отправлять больше данных о пассажирах в сентябре сообщали источники «Известий». Помимо банковских карт и номеров телефонов, как рассказали собеседники газеты, в единую систему планировали обязать передавать данные о багаже, дате, когда пассажир бронировал билет, с кем он бронировал его и вносились ли какие-то изменения в бронь.

В ноябре «Коммерсантъ» со ссылкой на результаты опросов ВЦИОМа, АНО «Национальные приоритеты» и Координационного центра при правительстве сообщал, что половина россиян (52%) не готовы делиться персональными данными, поскольку уверены: ни государство, ни компании не могут обеспечить необходимую защиту информации. Так, 46% граждан считают, что данные, предоставленные государству, плохо защищены, и только 36% уверены в обратном. Треть респондентов (33%) полагают, что государство использует собранные данные для контроля за жизнью людей и подтверждения их личности.

По данным Роскомнадзора, за 2023 год в России утекло более 300 млн записей с персональными данными при 1688 случаев утечек. Всего в прошлом году суды рассмотрели 87 составленных ведомством протоколов по факту утечек персональных данных и назначили штрафы на общую сумму более 4,6 млн рублей.