C 1 сентября ФСБ получит доступ к данным сервиса «Яндекс.Такси», в том числе за границей, пишет «Медуза», в распоряжении которой оказалась переписка сотрудников сервиса с руководством компании.
Из неё издание узнало, что данные всех клиентов «Яндекс.Такси», которые пользуются услугами компании в более чем 20 странах, хранятся только в российских дата-центрах. Три действующих дата-центра расположены в Московской, Рязанской и Владимирской областях. Ещё один дата-центр строят в Калуге.
Согласно закону, регулирующему работу такси, который Госдума приняла в конце прошлого года, службы заказа, внесённые в реестр «Организаторов распространения информации», обязаны давать ФСБ круглосуточный доступ к данным о поездках. Из всех российских сервисов такси в реестр пока внесён только «Яндекс Go».
Закон позволяет ФСБ получать доступ ко всей информации, которую собирает сервис такси. Это и автоматически собираемая информация (например, IP-адрес, идентификатор устройства, модель телефона, его операционная система, сведения о браузере или мобильном приложении), и сведения, которые предоставляет сам пользователь: имя, телефонный номер, электронный адрес, банковская информация, комментарии и адреса поездок.
Экс-директор по технологиям «Яндекса» Григорий Бакунов считает, что спецслужба может работать с данными двумя способами: исследовать копии всего трафика сервиса либо конкретные поездки пользователей по специальному каналу связи. Во втором случае особый риск возникает для россиян, уехавших в страны бывшего СССР после начала войны, предупреждает Бакунов.
С ним согласен один из сотрудников «Яндекса», чьё имя в тексте не называется. «Мы не знаем, есть ли у спецслужб достаточный объем мощностей, которые они готовы положить на это дело, сколько у них есть вычислительных ресурсов, „железа“, высококвалифицированных разработчиков [чтобы обработать весь массив поездок по России и за её пределами]. Это большая морока, но сделать это можно», — говорит он.
В Европе компания обязана работать в соответствии с нормами Евросоюза и европейскими протоколами GDPR (General Data Protection Regulation — Общий регламент по защите данных). Они позволяют пользователям в любой момент отозвать своё согласие на обработку персональных данных, а также потребовать от сервиса удалить или запретить использовать свои персональные данные.
В приложениях Yango и Yandex Go (под этими брендами компания работает за рубежом) упоминаются права, гарантированные GDPR. Как стало известно из утечки исходных кодов «Яндекса», ставшей публичной в начале 2023 года, компания уже удаляла неанонимизированные данные пользователей. Для этого был разработан внутренний сервис takeout.
В то же время, как следует из документов, которые изучила «Медуза», есть отдельная категория данных, которые сотрудники «Яндекса» могут не удалять. Это «некоторые технические данные, не являющиеся персональными», а также «исторические данные», которые хранились в базе данных «Яндекс.Такси», но не были видны пользователю; о чём именно идет речь — непонятно.
Ещё до войны, в первой половине 2019 года, «Яндекс», получил от властей более 15 000 запросов на раскрытие данных пользователей и удовлетворил 84% из них. Заметная доля запросов касалась пользователей сервисов «Яндекс.Почта», «Яндекс.Еда» и «Яндекс.Такси». Из утечки данных «Яндекс.Еды» следует, что компания хранит адреса доставки в Ереване, Минске и Алматы, а также иностранные номера телефонов.
Сервис такси «Яндекса» работает более чем в 20 странах мира, включая Финляндию, Израиль, Алжир, Норвегию, Беларусь, Казахстан, Грузию и Армению. До начала войны компания хранила часть данных в дата-центре в Финляндии, в городе Мянтсяля. При этом информация всё равно дублировалась во всех дата-центрах «Яндекса» без разделения на поездки по России и за границей, уточнили источники «Медузы». После войны данные сервиса такси в финском дата-центре уже не хранятся, говорится в материале.
«Мы же не можем допустить, чтобы в НАТО или любой другой недружественной стране узнали, как чиновники из администрации президента по стрип-клубам ездят», — говорит близкий к руководству «Яндекса» источник издания.
После запроса «Медузы» финские власти выпустили распоряжение о приостановке передачи информации в Россию. Омбудсмен Финляндии по кибербезопасности Ану Талус заявила, что вопрос безопасности данных сервиса такси «вызывает беспокойство» и требует «детальной оценки».
После публикации материала пресс-служба «Яндекс.Такси» распространила заявление, в котором заверяет, что российские правоохранительные органы не смогут получить доступ к информации о поездках пользователей вне России через запрос к сервису. Согласно заявлению компании, хотя данные о поездках хранятся в разных дата-центрах, получить их могут только правоохранительные органы той страны, где поездка была совершена, и по процедурам, прописанным в локальных законах.