АнтиФинРазведка

Самый честный блог о финансовой системе Российской Федерации

GetContact внесли в список ОРИ: теперь компания может передавать властям данные 50 млн. пользователей.

2021-09-26 Максиминформация

Популярное приложение GetContact (позволяет не только звонить, но и идентифицировать звонящего) внесено в специализированный перечень Роскомнадзора. Это означает, что теперь ведомствам фактически открыт доступ к пробиву данных на потенциальных правонарушителей по номеру телефона.

СМС-спам, так любимый российскими компаниями, окончательно ушел в прошлое: десятикратное повышение цен на услугу со стороны мобильных операторов в 2015-2019 годах существенно модифицировало рынок навязчивой рекламы, так как теперь вместо сообщений используется голосовое обращение. Эти звонки (включая попытки мошеннических действий со стороны «служб безопасности банков»), считают специалисты, серьезно надоедают гражданам: по опросам общественного мнения, проведенным НАФИ в 2021 году, 53% от опрошенных 1,6 тыс. человек старше 18 лет негативно относятся ко всем таким звонящим. Так как государство действенных способов борьбы с подобным явлением не предлагает, то единственным средством эффективной защиты становятся приложения-блокираторы неудобных вызовов. Одним из них является GetContact.

Свое распространение он получил в начале 2018 года. При этом установка и использование сервиса первоначально большинством рассматривалась как «игра»: пользователь давал доступ к своей телефонной книге, а также получал право посмотреть, как записан его номер у друзей, знакомых и родственников. Эксперты предупреждали, что такой формат получения данных несет многочисленные риски: возможна ситуация, когда слитые в открытую агрегированную базу телефонные номера могут быть получены мошенниками или иными недобросовестными субъектами.

GetContact и сотрудничество с властями.

3 сентября 2021 года GetContact попросил Роскомнадзор включить сервис в реестр организаторов распространения информации, так как в самом скором времени внутри программы появится ряд новых функций (включая голосовые чаты).

По словам представителя компании, основная причина такого ходатайства – нежелание подвергаться риску блокировки, под которую ранее попал Telegram.

Что такое ОРИ? Под ним понимается субъект, осуществляющий деятельность по обеспечению функционирования информационных систем и (или) программ для ЭВМ, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет».

ОРИ обязан хранить на территории РФ:

- всю информацию о фактах приема, передачи, доставки, обработки информации разного типа, информацию об этих пользователях в течение года с момента окончания осуществления таких действий;

- сообщения пользователей до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки.

При необходимости – предоставить доступ уполномоченным государственным органам к собранным материалам.

В «Роскомсвободе» убеждены, что включение компании в ОРИ не означает, что она станет в автоматическом режиме передавать данные силовикам: «У крупных компаний все данные хранятся в зашифрованном виде, и сторонний наблюдатель не может посмотреть, что находится внутри».

А что на практике?

Оптимизму «Роскомсвободы» можно только позавидовать, так как в правоприменении сформировалось «золотое правило»: если компания собирает персональные данные пользователей на территории РФ и внесена в список ОРИ, то ни для кого нет сомнений в том, что сотрудники органов власти вправе в любой момент затребовать интересующую их информацию. И в 90% случаев российские компании, соблюдающие требования законодательства, удовлетворят мотивированное любопытство правоохранителей (например, Яндекс за первое полугодие 2020 года удовлетворил почти 13 тысяч запросов о пользователях (отклонено 16% официальных обращений).

Какие сведения может передать GetContact при полученном запросе?

Список этих данных обозначен в пункте 3 Соглашения:

  1. информация, которую субъект предоставляет добровольно:

- контактные данные, включающие электронный адрес и имя;

- данные профиля (биографию, фото);

- иные учетные данные (необходимые для идентификации утерянной учетной записи);

  1. все сведения, пересылаемые с использованием сервиса;

  2. автоматическая информация:

- сведения об IP-адресе и идентификаторе мобильного устройства;

- данные о браузере, cookie-файлы, географическое положение;

  1. информация, которую компания может получить из независимых источников:

- сведения о субъекте в том случае, если происходит соединение сторонних инструментов и сервисов компании;

- демографические данные;

- данные от платформ, на которых работают сервисы (например, для проверки оплаты);

- данные, необходимые для целей рекламы и аналитики;

  1. информация, поступающая от третьих лиц (других пользователей).

Таким образом, правоохранители, зная лишь номер мобильного телефона, могут в самое ближайшее время, обратившись к руководству компании, занимающейся развитием приложения, получить полные сведения о всей деятельности интересующего их субъекта.