В России зафиксировали утечку персональных данных покупателей через кассовые аппараты

Данные о покупках в магазинах, в том числе электронных, утекают в неизвестном направлении. Об этой практике свидетельствуют предупреждения, которые разослал клиентам оператор фискальных данных «Первый ОФД» (собирает сведения о продажах для передачи в налоговую). В письме, поступившем в распоряжение «Известий», говорится, что кассовая техника была перенастроена на передачу данных третьим лицам. Мало того что по договору вся информация должна идти исключительно на сервер ОФД, так еще и использовать эти данные компании могут далеко не в интересах потребителей. Они полезны для анализа предпочтений покупателей и конкурентной разведки. Опрошенные «Известиями» эксперты полагают, что риски утечки персональных данных по таким фискальным каналам есть, однако они преувеличены.

«Системы мониторинга безопасности выявили случаи изменения настроек на кассовом аппарате для передачи фискальных данных в адрес третьих лиц», — говорится в рассылке одного из крупных ОФД своим потребителям. В письме также указывается, что это высокорискованная практика, которая к тому же не соответствует 54-ФЗ, о чем неоднократно высказывалась ФНС.

В ОФД подчеркивают, что кассовый аппарат должен быть настроен на передачу фискальных данных исключительно на сервер оператора. «В обратном случае ОФД снимает с себя ответственность за возможные перебои и утечку информации», — сообщается в письме.

В пресс-службе оператора на официальный запрос «Известий» не ответили. В его сервисном центре на вопрос о том, что предупреждение означает на практике, сообщили, что в ряде случаев настройки касс были изменены и информация направлялась «на сторону, в неизвестном направлении».

— Условно говоря, от торговца бытовой техникой к продуктовому ритейлеру, — привел пример сотрудник сервисной службы.

«Известия» направили запросы в пресс-центры крупнейших ОФД, официально аккредитованных ФНС. Большая часть уклонилась от ответа на вопрос, случались ли в их практике инциденты, связанные с перенастройкой клиентами касс на передачу фискальных сведений третьим лицам. Представители отрасли ограничились уверениями в защищенности собственных систем обработки и предоставления информации.

Персональные данные. Валюта XXI века
Впрочем, рискованные практики на рынке действительно есть, подтверждают участники отрасли. Например, программное обеспечение, установленное на кассовую технику, может собирать данные без ведома владельца аппарата для их последующей перепродажи, сказал «Известиям» директор OFD.ru Антон Румянцев. Это более вероятный канал утечки, чем передача данных с кассы оператору, согласен замгендиректора ОФД «Электронный экспресс» Владимир Пащак.

— ПО кассы может дополнительно передавать информацию третьей стороне, однако это вопрос к добросовестности разработчиков, а не к ОФД или их клиентам, — пояснил он. — Кроме этого, не исключены уязвимости в информационной безопасности самих операторов фискальных данных.

Формально закон разрешает ОФД обработку данных для статистики и исследований — при условии, что они обезличены. Причем получать на это согласие клиента оператору не требуется, утверждает эксперт Ассоциации участников рынка больших данных Никита Данилов. Если речь идет об обработке сведений о конкретных операциях покупателей, то оператор обязан получать на это согласие своего клиента. Однако не все данные, которые граждане в обиходе могут считать персональными, являются ими по закону. Например, к ним не относятся адрес электронной почты или номер телефона, указываемые в кассовых чеках.

Но и бизнес самих ОФД может представлять определенные риски. Для многих таких компаний на первом месте не столько передача информации, сколько ее сбор и дальнейшая перепродажа, говорит руководитель направления ОФД «Гарант Электронный Экспресс» Александр Лактионов. По его мнению, грань между конфиденциальной информацией и агрегированными данными весьма условна, поэтому слишком увлекаться этим непрофильным для ОФД бизнесом довольно рискованно, хотя такая практика формально и не запрещена.

Кроме этого, в ряде моделей кассовой техники данные о трансакциях автоматически передаются в том числе и в личный кабинет самого клиента, который расположен на ресурсе производителя аппарата. Дальнейшая судьба этих данных определяется политикой производителя техники, добавил Александр Лактионов.

Известия