24 мая

ДИТ Москвы при проверке пропуска получает разрешение на отправку рекламы на следующие 10 лет

Блог компании AnalogBytes ConferenceИнформационная безопасность
Recovery mode
Одна из вещей, которые никогда не делают пользователи — это чтение до конца лицензионных соглашений. Тем временем, читать их стоит, даже если, казалось бы, в контексте конкретного сервиса их содержание представляется очевидным.

К таким «очевидным» сервисам относится, например, сервис проверки цифрового пропуска https://i.moscow/covid. Если раньше он позволял проверить только организацию по ИНН, то с недавних пор ДИТ Москвы стал массово аннулировать пропуска горожанам за якобы предоставление неверных сведений о месте работы — и отсылать их для подтверждения места работы на указанный сервис.

При нажатии на «Если у Вас заблокировали цифровой пропуск, перейдите по ссылке» сервис выдаёт просьбу ввести сначала номер паспорта, а потом ИНН компании, сопровождаемую непримечательной галочкой:


Абсолютное большинство людей проставят её, не читая сопутствующий документ — и очень зря.

Если говорить коротко, все граждане, попавшие на этот сервис, подписываются на передачу абсолютно всех данных, которые сервис в принципе способен о них собрать — от IP-адреса до номера паспорта и названия работодателя — любым третьим лицам с практически любыми целями, включая рассылку рекламы, на срок в 10 лет.

По ссылке открывается PDF-файл (копия на всякий случай), гласящий — выделение наше:

Настоящим подтверждаю свое согласие на осуществление Департаментом предпринимательства и инновационного развития города Москвы, Департаментом информационных технологий города Москвы (ОГРН 1107746943347, адрес 123112, г. Москва, 1-Красногвардейский проезд, д. 21, стр. 1), государственным казенным учреждением города Москвы «Информационный город» (ОГРН 5147746224324, адрес 123112, г. Москва, 1-Красногвардейский проезд, д. 21, стр. 1), Фондом «Московский инновационный кластер» (ОГРН 1197700007141, адрес: 125009, г. Москва, Вознесенский переулок, д.22) (далее – оператор) обработки следующих моих персональных данных:

фамилия, имя, отчество; дата рождения; адрес; профессия; место работы, адрес организации, иная информация о трудовой деятельности; должность в организации; данные документа, удостоверяющего личность, гражданство, образование; номера телефонов; адрес электронной почты;; технические данные, которые автоматически передаются устройством, с помощью которого используются информационные системы и (или) сайт оператора (в том числе технические характеристики устройства (идентификатор устройства), IP-адрес, файлы «cookies», информация о браузере и др.), в том числе на осуществление следующих действий: обработка (включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, распространение и передачу третьим лицам, блокирование, уничтожение персональных данных),

в целях проверки достоверности данных цифрового пропуска для передвижения по городу Москве, коммуникации со мной оператора и (или) третьих лиц, в том числе при моем обращении к оператору; в том числе смс и e-mail рассылок посредством указанных мною в настоящем согласии номеров телефона и (или) адреса электронной почты, направления мне новостных материалов оператора и (или) третьих лиц; получения от оператора и (или) третьих лиц по сетям электросвязи информации (материалов информационного и (или) рекламного характера)

Настоящим подтверждаю свое ознакомление с тем, что оператор, осуществляющий обработку моих персональных данных, вправе в соответствии с частью 3 статьи 6 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» поручить обработку моих персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо путем принятия соответствующего акта.

Настоящее согласие выдано мной сроком на 10 (десять) лет. Настоящее согласие может быть отозвано путем составления мной в письменной форме требования о прекращении обработки моих персональных данных, направленного в адрес оператора заказным письмом с уведомлением о вручении, либо иным доступным способом, позволяющим подтвердить факт его получения. Также подтверждаю, что представленная мной при регистрации в информационной системе обеспечения деятельности инновационного кластера на территории города Москвы или на сайте оператора контактная информация совпадает с контактной информацией субъекта персональных данных для предоставления информации об обработке персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.

Комментировать это всерьёз, честно говоря, трудно — либо структуры Правительства Москвы решили единомоментно утратить остатки совести и немного подзаработать, либо, как обычно, текст составляло молодое гуманоидное существо, только начинающее свой путь в профессии и внёсшее в него вообще всё, что существу удалось найти в гугле, просто на всякий случай.

Напомним, что когда 31 марта ДИТ Москвы выложил в Google Play первую версию приложения «Социальный мониторинг» (по некоторым сведениям, переделанным из приложения контроля водителей мусоровозов), в нём так же «на всякий случай» при установке требовались разрешения примерно на всё, до чего приложение в принципе может дотянуться в смартфоне, а данные передавались по нешифрованному протоколу на обработку эстонской компании с серверами в Германии.

Тем не менее, между галочками в приложении и официально подписываемым пользователем в рамках действующего законодательства согласием есть существенная разница — которую, кажется, в структурах Правительства Москвы не понимают.

Юристам ещё предстоит дать правовую оценку происходящему, мы же настоятельно советуем — если вы в принципе, хотя бы один раз пользовались сервисами i.moscow или nedoma.mos.ru, в первый же день после отмены в Москве пропускного режима (либо, если вы больше не планируете пользоваться пропусками, то завтра) дойти до ближайшего отделения почты и отправить заказным письмом отзыв согласия на обработку персональных данных перечисленным ниже организациям.

Если, конечно, вы не хотите, чтобы данные вашего паспорта и ваше место работы завтра с вашего же разрешения оказались в распоряжении кредитных отделов пары-тройки банков, которые немедленно начнут звонить вам с выгодными предложениями.

Образец письма

Заявление необходимо отправить заказным письмом с уведомлением о вручении по следующим адресам:

Руководителю Департамента предпринимательства и инновационного развития города Москвы Фурсину А.А.
125009, г. Москва, Романов переулок, д.4 стр.2
dpir@mos.ru

Руководителю Департамента информационных технологий города Москвы Лысенко Э.А.
123112, г. Москва, 1-Красногвардейский проезд, д. 21, стр. 1
dit@mos.ru

Генеральному директору ГКУ г. Москвы «Информационный город» Дзенгану А.Н.
123112, г. Москва, 1-Красногвардейский проезд, д. 21, стр. 1
ig@it.mos.ru

ВРИО генерального директора Фонда «Московский инновационный кластер» Валетову А.И.
125009, г. Москва, Вознесенкий пер., д. 22
support@i.moscow

Настоятельно рекомендуем также подписанное бумажное письмо отсканированить либо сфотографировать и отправить по указаным электронным адресам с примечанием, что оригинал выслан заказным письмом почтой (можно приложить номер трека).

Также скан стоит отправить через приёмную Правительства г. Москвы в адрес Департамента информационных технологий и Департамента предпринимательства и инновационного развития, с тем же примечанием.

После получения вашего письма у соответствующих структур есть 30 дней на удаление ваших персональных данных.

P.S. За бдительность редакция искренне благодарит Alex Petrov.

P.P.S. Получили первые комментарии — пока что только «от своих» (помимо собственно того факта, что сам исходный текст написан Олегом Артамоновым, также членом ВКС Партии прямой демократии, с которой конференция AnalogBytes неразрывно дружит), но уже есть поводы для раздумий:

Борис Чигидин, к.ю.н., руководитель правовой службы Партии прямой демократии:

Органом, несущим обязанность по обеспечению и защите прав граждан на охрану их персональных данных, является Роскомнадзор. За все время с запуска системы цифровых пропусков в Москве следов каких-либо действий Роскомнадзора по проверке законности соответствующих действий московских властей в общедоступном информационном пространстве не замечено. Это позволяет предположить, что уполномоченный орган по защите персональных данных решил занять позицию невмешательства.

Полагаю, что занимать эту позицию и дальше Роскомнадзору будет намного сложнее, если он начнет получать массовые (речь как минимум должна идти о нескольких тысячах) жалобы граждан, составленные в произвольной форме, на соответствующие действия ДИТ города Москвы. Если Роскомнадзор и в этих условиях продолжит самоустраняться от участия в разрешении проблемы, следующим адресатом жалоб — уже на бездействие самого Роскомнадзора — должна будет стать прокуратура Москвы.


Дмитрий Лысаковский, член ВКС Партии прямой демократии, старший партнёр «Объединённого правового партнёрства»:

Сайт i.moscow принадлежит ГКУ «Мосгортелеком», учредителем которого является ДИТ Москвы. «Мосгортелеком» является, согласно положению, «Оператором государственной информационной системы «Единый центр хранения и обработки данных».

ЕЦХД представляет собой государственную информационную систему города Москвы, содержащую совокупность информации об объектах, за которыми ведется видеонаблюдение в городе Москве (далее — объекты видеонаблюдения), а именно — видеоизображение объекта видеонаблюдения, сведения о его местонахождении, дате и времени осуществления видеонаблюдения, совокупность сведений о поставщиках и пользователях информации об объектах видеонаблюдения, истории движения данной информации (далее — информация), а также содержащую программные и технические средства, обеспечивающие взаимодействие между оператором ЕЦХД, поставщиками информации, пользователями информации в электронной форме. (Источник).

Поставщиками информации в ЕЦХД являются органы исполнительной власти города Москвы и подведомственные им организации, обладающие информацией об объектах видеонаблюдения, а также иные лица, с которыми в соответствии с настоящим Положением заключены соглашения или государственные контракты.

Ставя галочку на сайте, вы даёте право вести за собой слежку 10 лет. Причём всеми техническими ресурсами ДИТ Москвы и московского Правительства. Судебное разрешение на доступ к такой информации не нужно — доступ к вашим персональным данным вы дали сами и добровольно. Одновременно нужно напомнить, что эти ресурсы включают и другие приложения, выпущенные ГКУ «Информационный город»: «Моя москва», «Госуслуги Москвы», «Активный гражданин», «Дневник МЭШ» и другие. При этом «Дневник МЭШ» и «Активный гражданин» (не упоминая уже «Социальный мониторинг» при установке требуют доступа к камере телефона, а значит, могут по своему усмотрению собирать видеоинформацию, дополняя и расширяя базу знаний Правительства Москвы о вашей жизни.

С момента, когда кто-то не очень умный написал текст согласия на обработку персональных данных сайта i.moscow, фраза «отсутствие у вас паранойи не значит, что за вами не следят» заиграла для москвичей новыми красками. Почему-то уверен, что такая же фраза есть и в других лицензионных соглашениях продуктов ДИТ Москвы.


Тимофей Шевяков, руководитель пресс-службы «Партии Прямой Демократии»:

Требования о предоставлении такого количества персональных данных явным образом грубо нарушают положения пп. 4 и 5 статьи 5 152-ФЗ, гласящих: «4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. 5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».

Заметим, что доступ к этим данным ДИТ требует для проверки действительности пропуска, что по факту не просто избыточно, а в принципе не нужно. Десятилетий срок даже нельзя называть избыточным — он сверхизбыточный. Помимо прочего, для того, чтобы согласиться с этим противозаконным документом, его вообще читать не нужно — достаточно поставить галочку, что, разумеется, является мошенничеством.


Надеемся, что другие комментарии по сути вопроса также последуют, а также что СМИ не ограничатся перепечатками и ссылками, а также будут получать комментарии юристов и правозащитников и публиковать их — хотя понимаем, что вечером воскресенья сделать это трудно.

Upd. Юристы выспались и обдумали случившееся, Правительство Москвы также дало свой ответ (если вы вчера читали ряд телеграм-каналов, публикующих «Ответ ДИТ Москвы» — это был фейк, ДИТ Москвы никаких комментариев не давал, тем более, в воскресенье вечером).

Что характерно, г-н Фурсин (это не ДИТ, это ДПИР, который косвенно и владеет площадкой i.moscow) в ответе прямо признал — да, реклама будет рассылаться. Правда, социальная. С информацией о коронавирусе.

Так как здесь написано уже много, плюс вопрос уходит в чистую юриспруденцию пополам с политикой, разбор заявления Фурсина мы не будем тащить на Хабр, его можно почитать здесь: «Правительство Москвы подтвердило рассылку рекламы проверявшим свои пропуска».
Теги:дит москвыперсональные данные152-фз
Хабы: Блог компании AnalogBytes Conference Информационная безопасность
+279
175,6k 184
Комментарии 354
Лучшие публикации за сутки