Роскомнадзор может закрепить за собой продажу банкам данных об абонентах
В одном месте
На заседании Комиссии по связи Российского союза промышленников и предпринимателей (РСПП) 29 мая участники встречи раскритиковали пакет поправок, предполагающий создание информационной системы проверки сведений о мобильном абоненте. В заседании принимали участие представители операторов связи, Минцифры, «Яндекса», Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Ростелеком», МТС, «Газпромбанк» и др.) и других компаний.
Поправки в законы «О противодействии отмыванию доходов и финансированию терроризма» и «О связи» были внесены группой депутатов Госдумы во главе с Анатолием Аксаковым еще в июле 2018 года и не ушли дальше первого чтения, которое состоялось в марте 2019 года. Главной задачей законопроекта была обозначена упрощенная идентификация клиентов банков с помощью номера телефона и борьба с телефонным мошенничеством. Для этого предполагалось создать единую информационную систему проверки сведений об абонентах операторов связи (ЕИС ПСА): «Единую точку подключения для всех участников взаимодействия на базе универсального программного интерфейса, который при этом не осуществляет сбор и хранение предусмотренной законопроектом информации». Доступ к этой системе предназначался банкам.
В 2021 году поправки были переписаны, сообщал «Коммерсантъ», предполагалось, что доступ к системе получат также силовые ведомства, бюро кредитных историй и коллекторы.
Однако в апреле этого года законопроект был еще раз переписан (копия есть в распоряжении Forbes). Согласно новой версии документа, проверять данные о абонентах будет РКН, и для этого служба планирует доработать свою систему для борьбы с рынком «серых» сим-карт и телефонных мошенничеств, созданную в рамках исполнения поправок к закону «О связи», принятых в декабре 2020 года. Все корпоративные клиенты мобильных операторов должны зарегистрировать конечных пользователей сим-карт на портале госуслуг, а РКН проконтролирует исполнение этих требований.
Новый законопроект расширяет действие системы и на частных абонентов. Кроме того, если действующая система по проверке данных корпоративных абонентов не хранит и не обрабатывает данные об абонентах, то обновленные поправки предполагают, что она будет делать это, а пользователями станут ЦБ, банки, операторы «и иные организации по решению правительства».
Операторы связи будут передавать в эту систему данные о корректности номера, паспортных данных, сим-карты и фактах ее замены и о факте подключения, выключения функции переадресации, идентификаторах устройства (IMEI) и его смены, следует из документа. При этом РКН будет собирать эти сведения и предоставлять за плату банкам. Предлагается также запрет прямых договоров между банками и операторами связи на получение данных для скоринга (система оценки клиентов).
Отбирай и властвуй
Законопроект предполагает принудительную передачу операторами сведений обо всех абонентах РКН для дальнейшего использования, в том числе в коммерческих целях. А служба получит возможность вести самостоятельную коммерческую деятельность, получать плату за предоставление сведений об абонентах и передавать часть вознаграждения операторам связи, отмечает Комиссия РСПП по связи в своем предварительном отзыве на документ, с которым ознакомился Forbes.
Создание дополнительного посредника при обращении данных снижает общий уровень безопасности системы и создает новую «точку отказа», что крайне нецелесообразно в условиях, когда Минцифры России разработан законопроект, предусматривающий оборотные штрафы за утечку пользовательских данных, добавляют в Комиссии.
Эксперты предлагают использовать платформу РКН только в качестве шлюза и исключить возможность обработки и хранения информации об абонентах, а также сохранить прямые договоры между операторами и банками.
Директор по стратегическим проектам Института исследований интернета Ирина Левова оценила затраты РКН на доработку своей системы проверки данных об абонентах примерно в 400-500 млн рублей. При этом она отметила, что затраты и потери операторов будут зависеть от финального текста законопроекта и подзаконных актов, так как состав данных, порядок их передачи и возможности сохранения прямых договоров еще не определены.
«Предлагаемая схема взаимодействия подразумевает изъятие данных, являющихся собственностью операторов связи, на нерыночных условиях, — указывают в АБД. — Данные являются результатом аналитической работы, возможность их накопления, обработки и анализа прямо зависит от инвестиций в технологическую инфраструктуру, компетенций и базы знаний. В случае реализации законопроекта в предложенной редакции участники рынка лишатся возможности самостоятельно устанавливать стоимость передаваемых данных и круг их потребителей. Это неминуемо приведет к снижению качества и количества данных. Фактически исчезнут перспективы развития этого направления», — резюмируют в АБД.
В аппарате вице-премьера Дмитрия Чернышенко Forbes сообщили, что в курсе проработки вопроса, добавив, что официально информация в аппарат пока не направлялась.
«Банк России совместно с другими заинтересованными ведомствами принимает участие в подготовке ко второму чтению законопроекта, предусматривающего возможность проверки финансовыми организациями сведений об абоненте с использованием баз данных операторов связи. Его принятие будет способствовать снижению риска осуществления мошеннических операций на финансовом рынке», — считают в Центробанке.
В Минцифры, РКН, комитете Госдумы по информполитике на запрос Forbes не ответили.
Реакция рынка
Концентрация чувствительной для абонентов информации будет храниться на одной платформе, и потенциальная утечка этих данных может привести к тому, что доступ к ним получат злоумышленники, рассуждают в МТС. Передача персональных данных абонентов и информации о событиях, происходящих с абонентским номером, широкому перечню третьих лиц, а также необходимость обеспечить безопасность при передаче и хранении также ставят под вопрос гарантии сохранности этой информации, согласны в Tele2. «Хранение всей информации в одной информационной системе повышает к ней интерес хакеров», — добавляют в компании.
РКН, который недавно допустил утечку данных, вряд ли может гарантировать сохранность данных, сомневается источник Forbes в одном из операторов. «Появление дополнительного посредника и большого количества получателей в цепочке обмена информацией между банками и ведомством несет риски уязвимости. Это представляется «одиозной мерой» в условиях участившихся хакерских атак и ужесточения ответственности операторов за допущение утечек, поясняет собеседник Forbes.
Важно сохранить прямые договоры, это дает вариативность взаимодействия, например, расширять перечень сведений, важных для противодействия мошенничеству в банковской сфере, а также развивать и совершенствовать сервис, поясняет директор по работе с органами государственной власти «Вымпелкома» Виталий Недыхалов. «Сегодняшняя модель взаимодействия с банком предполагает, что кредитная организация, понимая, каким номером телефона пользуется его клиент, определяет, нужно ли мониторить события по его номеру. Одна из проблем текущей редакции законопроекта — прописанная обязанность операторов отгружать данные в систему даже в том случае, если ни один заказчик в них не нуждается. Это создает дополнительные риски несанкционированого доступа к критичной информации об абонентах», — разъясняет Недыхалов.
Инициатива в явном виде направлена на поддержку финансового сектора, так как позволит банкам оптимизировать свои расходы, считают в Tele2. Сейчас банки являются потребителями коммерческих продуктов операторов — антифрод-решений, моделей скоринга, а также моделей, оценивающих вероятность клиента оператора приобрести продукты банка. «Качество таких продуктов напрямую зависит от инвестиций в их развитие. Искусственное создание новой государственной функции и монополиста в сфере операторских данных ущемляет интересы операторов связи, что, в свою очередь, негативно скажется на их основной деятельности в и так неблагоприятных условиях санкционного давления», — заключают в Tele2.
Реализация механизма, предложенного законопроектом, вызывает опасения распространения такого подхода и на данные, которые собираются другими компаниями, для решения квазигосударственных задач, отмечает источник, знакомый с документом.
С технической точки зрения для банков не имеет значения, откуда получать сведения — от операторов сотовой связи или из ЕИС ПСА, рассуждает источник Forbes в одном из крупных банков, добавляя, что скорее важен вопрос ценообразования на получение этих данных. «Но если операторам с появлением единой системы запретят передачу данных, то такая система станет монополистом на этом рынке, что может увеличить расходы на получение данных (в отличие от текущей ситуации, когда хоть и небольшое количество игроков в виде операторов составляют конкуренцию друг другу), — продолжает он. — В конечном счете это лишь увеличит расходы банков на борьбу с мошенничеством, которые и так высоки. В реальности для более эффективной борьбы с мошенничеством помогли бы дополнительные средства на совершенствование антифрод-технологий за счет снижения расходов банков на получение необходимых сведений. Это было бы возможно либо в случае увеличения количества игроков на этом рынке (операторы + государственная система), либо если доступ в ЕИС ПСА сделают бесплатным».
В «Сбере», ВТБ, Райффайзенбанке, Газпромбанке, Альфа-банке, Тинькофф Банке на запрос Forbes не ответили.