ФСБ получит круглосуточный доступ к данным зарубежных сервисов «Яндекс.Такси» — «Медуза»

Данные клиентов, которые пользуются «Яндекс Go» не только в России, но и за границей, теперь хранятся только в российских дата-центрах, узнала «Медуза» (признана в России иноагентом и нежелательной организацией). С 1 сентября круглосуточный доступ к ним по новому закону получит ФСБ.

Что случилось

В конце прошлого года Госдума приняла законопроект о регулировании работы такси, в котором обязала службы заказа, внесенные в реестр «Организаторов распространения информации», давать ФСБ круглосуточный доступ к данным о поездках. Из всех российских сервисов такси в реестр пока внесен только «Яндекс Go».

Информация о всех поездках сейчас хранится только в трех российских дата-центрах, расположенных в Московской, Рязанской и Владимирской областях, рассказали «Медузе» два сотрудника «Яндекса» на условиях анонимности. До начала войны компания хранила часть данных в дата-центре в Финляндии, в городе Мянтсяля. При этом информация все равно дублировалась во всех дата-центрах «Яндекса» без разделения на поездки по России и за границей, уточнили источники.

В одном из пунктов «политики конфиденциальности» зарубежных сервисов «Яндекса» говорится, что регламент разрешает хранить и обрабатывать данные в России. Но в документе до сих пор утверждается, что персональные данные хранятся не только в России, но и в европейской экономической зоне. Это предположительно относится к дата-центру в Финляндии, но данных сервиса такси там уже нет, указывает «Медуза».

Как будет устроена передача данных ФСБ

ФСБ получит круглосуточный доступ к данным клиентов зарубежных сервисов такси «Яндекса» с 1 сентября, следует из постановления правительства. Речь идет об автоматически собираемой информации (например, IP-адрес, идентификатор устройства, модель телефона, его операционная система, сведения о браузере или мобильном приложении) и о тех сведениях, которые предоставляет сам пользователь (имя, телефонный номер, электронный адрес, банковская информация, комментарии и адреса поездок).

Экс-директор по технологиям «Яндекса» Григорий Бакунов считает, что спецслужба может работать с данными двумя способами: исследовать копии всего трафика сервиса либо конкретные поездки пользователей по специальному каналу связи.

Во втором случае особый риск возникает для россиян, уехавших в страны бывшего СССР после начала войны, предупреждает Бакунов. Такое же мнение выразил один из сотрудников «Яндекса». «Медуза» напоминает, что Грузия, к примеру, часто отказывает во въезде оппозиционно настроенным россиянам, и отмечает, что сфабриковать дело против бывшего журналиста издания Ивана Голунова удалось с помощью данных о его поездках на такси, которые «Яндекс» предоставил правоохранительным органам.

В Европе компания обязана работать в соответствии с нормами Евросоюза и европейскими протоколами GDPR, которые позволяют пользователям в любой момент отозвать свое согласие на обработку персональных данных, а также потребовать от сервиса удалить или запретить использовать свои персональные данные. Однако, как следует из документов «Яндекса», есть отдельная категория данных, которые сотрудники могут не удалять. Это «некоторые технические данные, которые не являются персональными», а также «исторические данные», которые хранились в базе данных «Яндекс.Такси», но не были видны пользователю, но о чем именно идет речь — непонятно.

Что дальше

Сервис такси «Яндекса» работает более чем в 20 странах мира, включая Финляндию, Израиль, Алжир, Норвегию, Беларусь, Казахстан, Грузию и Армению. После запроса «Медузы» финские власти выпустили распоряжение о приостановке передачи информации в Россию. Омбудсмен Финляндии по кибербезопасности Ану Талус заявила, что вопрос безопасности данных сервиса такси «вызывает беспокойство» и требует «детальной оценки».