Перевозчиков хотят обязать передавать в единую базу данные о банковских картах, IP-адресах, телефонах, e-mail и паролях учетных записей путешественников, выяснил «Ъ». В АЭВТ в инициативе усомнились и напомнили о конфиденциальности

Минтранс подготовил проект приказа о новом порядке формирования автоматизированных баз персональных данных о пассажирах и персонале (экипаже), который должен вступить в силу 1 сентября, выяснил «Коммерсантъ». Так, помимо данных паспорта и билета, перевозчиков обяжут передавать в единую базу данные о банковских картах, IP-адресах, телефонах, адресах электронной почты и пароли учетных записей.

Согласно проекту, данные должны передавать перевозчики на воздушном, водном и железнодорожном транспорте, а также автотранспорте при междугородном и международном сообщении (кроме рейсов между Москвой и Подмосковьем, Санкт-Петербургом и Ленобластью).

Сведения будут поступать в единую государственную информационную систему обеспечения транспортной безопасности (ЕГИС ОТБ). Ее оператор — ФГУП Минтранса «Защитаинфотранс». Доступ к базе имеют в том числе Росавиация, Ространснадзор, МВД и ФСБ, отмечает «Коммерсантъ».

В настоящее время в ЕГИС ОТБ поступают только паспортные данные, дата поездки и маршрут. Проект нового приказа расширяет этот перечень на следующие необходимые к отправке данные (будут храниться семь лет):

Информация, которую пассажир указывает при бронировании и покупке билета (Passenger Name Records, PNR): номер телефона, адрес электронной почты, сведения о билете;
Данные учетной записи (логин и пароль) на сайте или в приложении перевозчика;
IP-адрес и номер порта, с которого передавалась информация;
При оплате банковской картой перевозчик должен будет передать четыре последние цифры карты и наименование банка, а также стоимость билета и класс обслуживания.

В Ассоциации эксплуатантов воздушного транспорта (АЭВТ) в отзыве на проект, направленном в Минтранс (есть у «Коммерсанта»), указали, что часть дополнительных данных о пассажирах, в частности логин и пароль учетной записи, являются «сведениями конфиденциального характера, в связи с чем не подлежат раскрытию без согласия субъекта таких данных».

При этом передача данных PNR в течение 15 минут с момента завершения каждой регистрируемой операции с билетами «не соответствует установленным стандартам и рекомендациям ICAO и является труднореализуемой задачей как для российских, так и иностранных перевозчиков, использующих различные системы бронирования», подчеркнули в АЭВТ.

В Smartavia также заявили газете, что запрашиваемые данные «относятся к конфиденциальным и не могут собираться авиаперевозчиками». При этом данные требования увеличивают риск негативных последствий в случае утечки. «Не очень понятна и оценка пользы, так как человек может дойти до стадии бронирования на одном устройстве, продолжить закупку с другого, например с мобильного, осуществлять все эти действия с использованием VPN», — добавили в авиакомпании.

По словам близкого к Минтрансу источника «Коммерсанта», документ дорабатываться уже не будет. Опасения перевозчиков об возможных утечках он считает преувеличенными. «С учетом развития хакерских возможностей ничего нельзя исключать, но системы ЕГИС ОТБ защищены лучше, чем системы бронирований перевозчиков», — добавил он.

О планах властей обязать перевозчиков отправлять больше данных о пассажирах в сентябре сообщали источники «Известий». Помимо банковских карт и номеров телефонов, как рассказали собеседники газеты, в единую систему планировали передавать данные о багаже, дате, когда пассажир бронировал билет, с кем он бронировал его и вносились ли какие-то изменения в бронь.

Как отмечали «Известия», правоохранительные органы различных стран используют PNR-данные для проверки пассажиров на наличие их в списках террористов, в списках подозреваемых в террористической деятельности или совершении других преступлений. Информация также может использоваться для анализа перемещений человека и выявления закономерностей, которые могли бы указать на преступное поведение. «При этом к данным PNR, как правило, не относятся IP-адрес и учетные записи. Во-первых, люди повсеместно пользуются VPN-сервисами, которые шифруют IP-адрес. А регистрации на сайте авиакомпании у пассажира может просто не быть — купить билет можно и без нее», — пояснил один из собеседников газеты.