Размах катастрофы приобретает невероятное рвение российского бизнеса захватить как можно больше персональных данных россиян и незаметно сделать их обладателями ненужных, на наш взгляд, услуг и сервисов.
Очередная прекрасная история приключилась с нашим коллегой. В один непрекрасный день он обнаружил, что банк «Тинькофф» ему ежемесячно напоминает о выставленном счёте за газ — прямо с конкретными цифрами, соответствующими свежей квитанции.
Надо ли говорить, что подобного рода подписки сознательно никто не оформлял?
Ситуация оказалась нередкой: знакомые показали, что им стали сваливаться в личный кабинет банка счета из налоговой, штрафы ГИБДД и прочее. А банк заботливо складывал все счета в специальную новую папку «Счета на оплату».
Вот местечко для ваших счетов в ЛК на сайте (помечено зелёным), у нас уже удалены все подписки на штрафы, счета и прочие налоговые начисления, а у вас ещё вполне могут числиться.
А вот так выглядит самовозникшая подписка на счета налоговой в мобильном приложении.
Кнопку отписки от такого счастья найти нам не удалось. (в ЛК на сайте, в отличие от приложения, раздел подписок/отписок на этот фантастический сервис есть).
Самостоятельность банка коллегу не устроила и в устном скандале по телефону со службой поддержки он от оных подписок отказался и попросил их удалить.
На вопрос: откуда банк берёт данные и кто ему разрешал — он, вестимо, никакого внятного ответа не получил:
Основываясь на ранее совершённых платежах, понятно? Втихую под Новый год.
По всей видимости, к чёрту вопросы и согласия в таких сферах, как личные финансы и персональные данные!
Но это было только начало загадочной истории…
Прошел месяц! И оказалось, что подписка на счета «Газпрома» хоть и перестала отражаться в дебрях личного кабинета, тем не менее осталась.
Теперь при вводе реквизитов «Газмпрома» актуальная сумма платежа автоматически самовозникает в платёжном окне:
Т.о., очевидно, что существует синхронизация клиентских данных между банком «Тинькофф» и структурами «Газпрома». Но на каких правовых основаниях она производится, кто им разрешал и почему от этого нельзя отказаться — решительно непонятно.
а) Банк считает себя так вправе делать потому, что в УКБО* написано в п. 3.2.1 о том, что банк может передавать информацию о клиенте партнёрам;
б) Банк почему‑то берёт информацию о счетах «Газпрома» в системе государственных муниципальных платежей (или ГИС ГМП).
Что?! да! у нас есть скрины:
УКБО — это Условия комплексного банковского обслуживания, основной документ, по которому регламентируются все ваши отношения с банком. Они идут в нагрузку к договору, отказаться вы от них не можете, банк вправе в одностороннем порядке менять как и когда ему хочется. Но все разбирательства с банком будут идти в соответствии с этим документом — вы же подписались при договоре под это. Не нравится — не пользуйтесь.
ГИС ГМП, или Государственная информационная система о государственных и муниципальных платежах,предназначена для размещения и получения информации об уплате физическими и юридическими лицами платежей за оказание государственных и муниципальных услуг. Она не имеет никакого отношения ни к коммунальным платежам, ни к банковским фортелям, ни к структурам «Газпрома».
Ну и пункт в):
Как мы видим, специалисты клиентской поддержки банка «Тинькофф» ссылаются на то, что данные как будто бы против их воли им предоставляет ГИС ГМП (мы до сих пор смеёмся) и контрагент, сиречь — «Газпром».
А что же «Газпром»?
А структура «Газпрома» заверила, что они никому никаких данных клиентов не предоставляют и к такой операции банка отношения не имеют.
Письмо имеется (ответили просто на электронную почту, но с официального адреса):
О_о
Т.о., данные синхронизируются чудесным образом.
К этому не причастен никто!
Ну разве ГИС ГМП…
… а как удивилось Федеральное казначейство!
Больше всего в этой ситуации, полагаем, удивилось Федеральное казначейство, которое отвечает за ГИС ГМП, и куда мы направляли запрос по нашей теме.
И получили письменный ответ о непричастности ко всему происходящему (что таковым и является, ГМП — это в принципе про другое).
Но это не отменяет вопрос: каким образом банк получает данные о счетах своего клиента в структурах «Газпрома», который нам сообщил, что не предоставляет данных сторонним организациям.
Мы запросили в банке логи — электронные записи действий в личном кабинете — на дату, когда якобы была совершена наша «подписка». Ответ мы получили не то чтоб неожиданный:
Поэтому посмотрим в банковские документы, в которых, по всей видимости, наворочено столько, что менеджеры наверное и не в курсе — что ж там есть.
Исходя из текста документа выходит, что банк считает следующим образом:
А казалось бы, какая невинная фраза в контексте: «Мы проверим выставленные вам счета и теперь будем регулярно проверять новые». А стоит ввести лицевой счёт в реквизиты обычного платежа и нажать «продолжить» — и тут же неведомые услуги у тебя в кармане, а персональные данные и вовсе неизвестно у кого (по крайней мере — нам неизвестно).
Самое удивительное, что отключить эту подписку «нет технической возможности» — и это ещё одно категорически непонятное нам действо.
Нам по‑прежнему непонятно, что такого в том, чтобы спросить согласия пользователя в ПРОЗРАЧНОЙ и ОДНОЗНАЧНОЙ манере. То есть напрямую: «А можно мы запросим данные, связанные с вашими коммунальными счетами там‑то и там‑то и будем вам подсказывать сумму к оплате»? Может, кому‑то это и будет удобно, а для кого‑то это будет возможностью отказаться от такого невероятного счастья.
И мы призываем никогда, никогда не запрашивать согласие, связанное с персональными данными, в «пакете» с остальными услугами. Кто вообще придумал идею «Нажимая на кнопку „оплатить“, вы соглашаетесь на …» [кучу дополнительных услуг]? Нажимая «оплатить», можно согласиться ТОЛЬКО на оплату. Для остального заведите, пожалуйста, отдельные кнопочки. Современные программные средства это вполне позволяют.
Очередная прекрасная история приключилась с нашим коллегой. В один непрекрасный день он обнаружил, что банк «Тинькофф» ему ежемесячно напоминает о выставленном счёте за газ — прямо с конкретными цифрами, соответствующими свежей квитанции.
Надо ли говорить, что подобного рода подписки сознательно никто не оформлял?
Ситуация оказалась нередкой: знакомые показали, что им стали сваливаться в личный кабинет банка счета из налоговой, штрафы ГИБДД и прочее. А банк заботливо складывал все счета в специальную новую папку «Счета на оплату».
Вот местечко для ваших счетов в ЛК на сайте (помечено зелёным), у нас уже удалены все подписки на штрафы, счета и прочие налоговые начисления, а у вас ещё вполне могут числиться.
А вот так выглядит самовозникшая подписка на счета налоговой в мобильном приложении.
Кнопку отписки от такого счастья найти нам не удалось. (в ЛК на сайте, в отличие от приложения, раздел подписок/отписок на этот фантастический сервис есть).
Самостоятельность банка коллегу не устроила и в устном скандале по телефону со службой поддержки он от оных подписок отказался и попросил их удалить.
На вопрос: откуда банк берёт данные и кто ему разрешал — он, вестимо, никакого внятного ответа не получил:
Основываясь на ранее совершённых платежах, понятно? Втихую под Новый год.
По всей видимости, к чёрту вопросы и согласия в таких сферах, как личные финансы и персональные данные!
Но это было только начало загадочной истории…
Прошел месяц! И оказалось, что подписка на счета «Газпрома» хоть и перестала отражаться в дебрях личного кабинета, тем не менее осталась.
Теперь при вводе реквизитов «Газмпрома» актуальная сумма платежа автоматически самовозникает в платёжном окне:
Т.о., очевидно, что существует синхронизация клиентских данных между банком «Тинькофф» и структурами «Газпрома». Но на каких правовых основаниях она производится, кто им разрешал и почему от этого нельзя отказаться — решительно непонятно.
Откуда банк берёт данные? О, вы даже не представляете…
Анекдотичная переписка со службой поддержки поведала нам, что:а) Банк считает себя так вправе делать потому, что в УКБО* написано в п. 3.2.1 о том, что банк может передавать информацию о клиенте партнёрам;
б) Банк почему‑то берёт информацию о счетах «Газпрома» в системе государственных муниципальных платежей (или ГИС ГМП).
Что?! да! у нас есть скрины:
УКБО — это Условия комплексного банковского обслуживания, основной документ, по которому регламентируются все ваши отношения с банком. Они идут в нагрузку к договору, отказаться вы от них не можете, банк вправе в одностороннем порядке менять как и когда ему хочется. Но все разбирательства с банком будут идти в соответствии с этим документом — вы же подписались при договоре под это. Не нравится — не пользуйтесь.
ГИС ГМП, или Государственная информационная система о государственных и муниципальных платежах,предназначена для размещения и получения информации об уплате физическими и юридическими лицами платежей за оказание государственных и муниципальных услуг. Она не имеет никакого отношения ни к коммунальным платежам, ни к банковским фортелям, ни к структурам «Газпрома».
Ну и пункт в):
Отключить это нельзя!
Как мы видим, специалисты клиентской поддержки банка «Тинькофф» ссылаются на то, что данные как будто бы против их воли им предоставляет ГИС ГМП (мы до сих пор смеёмся) и контрагент, сиречь — «Газпром».
А что же «Газпром»?
А структура «Газпрома» заверила, что они никому никаких данных клиентов не предоставляют и к такой операции банка отношения не имеют.
Письмо имеется (ответили просто на электронную почту, но с официального адреса):
О_о
Т.о., данные синхронизируются чудесным образом.
К этому не причастен никто!
Ну разве ГИС ГМП…
… а как удивилось Федеральное казначейство!
Больше всего в этой ситуации, полагаем, удивилось Федеральное казначейство, которое отвечает за ГИС ГМП, и куда мы направляли запрос по нашей теме.
И получили письменный ответ о непричастности ко всему происходящему (что таковым и является, ГМП — это в принципе про другое).
Все врут?
Менеджеры службы поддержки банка, ссылаясь на ГИС ГМП, очевидно транслируют клиентам какую угодно ахинею в ответ на претензии (на наш субъективный взгляд).Но это не отменяет вопрос: каким образом банк получает данные о счетах своего клиента в структурах «Газпрома», который нам сообщил, что не предоставляет данных сторонним организациям.
Мы запросили в банке логи — электронные записи действий в личном кабинете — на дату, когда якобы была совершена наша «подписка». Ответ мы получили не то чтоб неожиданный:
Поэтому посмотрим в банковские документы, в которых, по всей видимости, наворочено столько, что менеджеры наверное и не в курсе — что ж там есть.
Юридическая сторона вопроса
В ходе разбирательств мы нашли такой документ: это инструкция по сервисам банка для оплаты услуг ЖКХ. В частности, как раз про подписки на информацию о платежах или автоплатежи. Наш общегражданский взгляд не усмотрел никакого криминала, но наш юрист поведал нам страшное.Исходя из текста документа выходит, что банк считает следующим образом:
- когда клиент вводит данные своего единого лицевого счета, ИНН и прочих идентификаторов, он таким образом совершает конклюдентное действие и подтверждает свое согласие на услугу со всем сопутствующими разрешениями и согласиями.
А казалось бы, какая невинная фраза в контексте: «Мы проверим выставленные вам счета и теперь будем регулярно проверять новые». А стоит ввести лицевой счёт в реквизиты обычного платежа и нажать «продолжить» — и тут же неведомые услуги у тебя в кармане, а персональные данные и вовсе неизвестно у кого (по крайней мере — нам неизвестно).
Самое удивительное, что отключить эту подписку «нет технической возможности» — и это ещё одно категорически непонятное нам действо.
Впрочем, банк «Тинькофф» неоднократно был замечен нами в крайне вольном трактовании границ своих прав и прав клиентов. Мы писали ранее о том, как все сервисы под брендом «Тинькофф» вносят в свои договоры пункты о беспрепятственной передаче персональных данных клиентов любым третьим лица по своему желанию, что, как нам кажется, может выглядеть как игнорирование самого существования «Закона о персональных данных». На днях мы писали о другой прекрасной выходке этого банка — согласие на услугу после показа сториз в приложении. Это тоже до сих пор плохо в нашей голове укладывается.
А нельзя по-человечески?
Необходимость оплачивать услуги ЖКХ или налоги почему‑то воспринимается банком как объект для необъяснимых действий с персональными данными клиентов. И если понять — зачем они банку?! да ещё добытые подобным скрытым (по нашему мнению) образом — мы не в силах, то вот утечек таких обильных массивов персональных данных мы закономерно опасаемся. Весь прошлый и текущий год нам нагляднейше показали, как российский бизнес умеет хранить персональные данные клиентов: никак, как нам кажется. Поэтому всё более дерзкие попытки собирать и увязывать наши данные в огромные массивы против нашей воли (на наш взгляд) вызывают у нас уже не просто опасения, а панику.Нам по‑прежнему непонятно, что такого в том, чтобы спросить согласия пользователя в ПРОЗРАЧНОЙ и ОДНОЗНАЧНОЙ манере. То есть напрямую: «А можно мы запросим данные, связанные с вашими коммунальными счетами там‑то и там‑то и будем вам подсказывать сумму к оплате»? Может, кому‑то это и будет удобно, а для кого‑то это будет возможностью отказаться от такого невероятного счастья.
И мы призываем никогда, никогда не запрашивать согласие, связанное с персональными данными, в «пакете» с остальными услугами. Кто вообще придумал идею «Нажимая на кнопку „оплатить“, вы соглашаетесь на …» [кучу дополнительных услуг]? Нажимая «оплатить», можно согласиться ТОЛЬКО на оплату. Для остального заведите, пожалуйста, отдельные кнопочки. Современные программные средства это вполне позволяют.
Бермудский треугольник: откуда банк берет данные, которые ему никто не давал?
Размах катастрофы приобретает невероятное рвение российского бизнеса захватить как можно больше персональных данных россиян и незаметно сделать их обладателями ненужных, на наш взгляд, услуг...
habr.com