Спектр

«За вами выехали». ФСБ получит данные о поездках на «Яндекс.Такси» за пределами России — «Медуза»

Яндекс такси. Фото Peter Kovalev / TASS / Scanpix / Leta

Яндекс такси. Фото Peter Kovalev / TASS / Scanpix / Leta

C 1 сентября ФСБ получит доступ к данным сервиса «Яндекс.Такси», в том числе за границей, пишет «Медуза», в распоряжении которой оказалась переписка сотрудников сервиса с руководством компании.

Из неё издание узнало, что данные всех клиентов «Яндекс.Такси», которые пользуются услугами компании в более чем 20 странах, хранятся только в российских дата-центрах. Три действующих дата-центра расположены в Московской, Рязанской и Владимирской областях. Ещё один дата-центр строят в Калуге.

Согласно закону, регулирующему работу такси, который Госдума приняла в конце прошлого года, службы заказа, внесённые в реестр «Организаторов распространения информации», обязаны давать ФСБ круглосуточный доступ к данным о поездках. Из всех российских сервисов такси в реестр пока внесён только «Яндекс Go».

Закон позволяет ФСБ получать доступ ко всей информации, которую собирает сервис такси. Это и автоматически собираемая информация (например, IP-адрес, идентификатор устройства, модель телефона, его операционная система, сведения о браузере или мобильном приложении), и сведения, которые предоставляет сам пользователь: имя, телефонный номер, электронный адрес, банковская информация, комментарии и адреса поездок.

Экс-директор по технологиям «Яндекса» Григорий Бакунов считает, что спецслужба может работать с данными двумя способами: исследовать копии всего трафика сервиса либо конкретные поездки пользователей по специальному каналу связи. Во втором случае особый риск возникает для россиян, уехавших в страны бывшего СССР после начала войны, предупреждает Бакунов.

Офис «Яндекса». Фото RIA Novosti/Scanpix

С ним согласен один из сотрудников «Яндекса», чьё имя в тексте не называется. «Мы не знаем, есть ли у спецслужб достаточный объем мощностей, которые они готовы положить на это дело, сколько у них есть вычислительных ресурсов, „железа“, высококвалифицированных разработчиков [чтобы обработать весь массив поездок по России и за её пределами]. Это большая морока, но сделать это можно», — говорит он.

В Европе компания обязана работать в соответствии с нормами Евросоюза и европейскими протоколами GDPR (General Data Protection Regulation — Общий регламент по защите данных). Они позволяют пользователям в любой момент отозвать своё согласие на обработку персональных данных, а также потребовать от сервиса удалить или запретить использовать свои персональные данные.

В приложениях Yango и Yandex Go (под этими брендами компания работает за рубежом) упоминаются права, гарантированные GDPR. Как стало известно из утечки исходных кодов «Яндекса», ставшей публичной в начале 2023 года, компания уже удаляла неанонимизированные данные пользователей. Для этого был разработан внутренний сервис takeout.

Яндекс. Фото REUTERS/Scanpix/LETA

В то же время, как следует из документов, которые изучила «Медуза», есть отдельная категория данных, которые сотрудники «Яндекса» могут не удалять. Это «некоторые технические данные, не являющиеся персональными», а также «исторические данные», которые хранились в базе данных «Яндекс.Такси», но не были видны пользователю; о чём именно идет речь — непонятно.

Ещё до войны, в первой половине 2019 года, «Яндекс», получил от властей более 15 000 запросов на раскрытие данных пользователей и удовлетворил 84% из них. Заметная доля запросов касалась пользователей сервисов «Яндекс.Почта», «Яндекс.Еда» и «Яндекс.Такси». Из утечки данных «Яндекс.Еды» следует, что компания хранит адреса доставки в Ереване, Минске и Алматы, а также иностранные номера телефонов.

Сервис такси «Яндекса» работает более чем в 20 странах мира, включая Финляндию, Израиль, Алжир, Норвегию, Беларусь, Казахстан, Грузию и Армению. До начала войны компания хранила часть данных в дата-центре в Финляндии, в городе Мянтсяля. При этом информация всё равно дублировалась во всех дата-центрах «Яндекса» без разделения на поездки по России и за границей, уточнили источники «Медузы». После войны данные сервиса такси в финском дата-центре уже не хранятся, говорится в материале.

«Мы же не можем допустить, чтобы в НАТО или любой другой недружественной стране узнали, как чиновники из администрации президента по стрип-клубам ездят», — говорит близкий к руководству «Яндекса» источник издания.

После запроса «Медузы» финские власти выпустили распоряжение о приостановке передачи информации в Россию. Омбудсмен Финляндии по кибербезопасности Ану Талус заявила, что вопрос безопасности данных сервиса такси «вызывает беспокойство» и требует «детальной оценки».

После публикации материала пресс-служба «Яндекс.Такси» распространила заявление, в котором заверяет, что российские правоохранительные органы не смогут получить доступ к информации о поездках пользователей вне России через запрос к сервису. Согласно заявлению компании, хотя данные о поездках хранятся в разных дата-центрах, получить их могут только правоохранительные органы той страны, где поездка была совершена, и по процедурам, прописанным в локальных законах.