Чтобы защитить персональные данные россиян—покупателей иностранных интернет-магазинов, в «Деловой России» предлагают изменить законодательство. Сейчас оплата трансграничных покупок картами идет напрямую, что и создает риски утечки данных. Предлагается проводить все такие трансакции только через российские шлюзы.
Фото: Дмитрий Духанин, Коммерсантъ
В распоряжении “Ъ” оказалось письмо «Деловой России» в правительство с рядом идей в области защиты персональных данных россиян при трансграничных платежах банковскими картами. В организации подсчитали, что около 30% платежей по всем российским картам через интернет уходят в адрес лидеров зарубежной электронной коммерции, таких как iTunes.com, AliExpress.com, Airbnb.com, Google.com и др. Объем таких трансакций превысил 300 млрд руб.
«При приобретении товаров на зарубежных сайтах покупатель указывает свои данные, ФИО, адрес доставки и номер карты,— отмечает участвовавший разработке рекомендаций глава компании ChronoPay Павел Врублевский.— Эти данные относятся к персональным данным физлиц в понимании профильного закона (152-ФЗ), а также являются персональными платежными данными, хотя в законодательстве нет такого определения». По 152-ФЗ при сборе персональных данных, в том числе в сети Интернет, оператор обязан обеспечить запись, хранение и пр. с использованием баз на территории РФ.
Из-за недочетов законов 152-ФЗ и 161-ФЗ персональные платежные данные не защищены при трансграничных платежах, отмечают эксперты «Деловой России».
«Сейчас данные покупателя вводятся прямо на сайте иностранного продавца и там же аккумулируются,— поясняет Павел Врублевский.— Банк—эмитент карты не несет ответственности за их сохранность вне территории РФ, так как трансграничные операции выходят за рамки 161-ФЗ. При внутрироссийских трансакциях есть еще одно звено, так называемые платежные шлюзы, которые сохраняют первую копию персональной платежной информации».
Таким платежным шлюзом, в частности, является ChronoPay. Всего, по словам господина Врублевского, таких независимых компаний около 30 в России. Стоимость услуг платежных шлюзов в среднем составляет 0,2–0,5% и закладывается в общую эквайринговую комиссию.
Сейчас платежные шлюзы не участвуют в трансграничных интернет-платежах. По сути, инициатива «Деловой России» сводится к тому, чтобы побудить правительство обязать ЦБ и иные ответственные органы принять законодательные изменения в 161-ФЗ, в результате которых международные платежные системы будут вынуждены осуществлять трансграничные интернет-расчеты по картам россиян только через зарегистрированные в России платежные шлюзы, поясняют собеседники “Ъ” из числа разработчиков. Это принесет дополнительные средства в виде комиссий отрасли, которые сейчас Россия «фактически дарит», следует из документа.
Господин Врублевский утверждает, что предложения «Деловой России» позволят защитить персональные данные и затруднить их использование социальными инженерами для хищения средств.
В ЦБ неоднократно отмечали, что именно социальная инженерия сейчас является основным каналом хищения средств граждан. Регулятор обещает изучить идеи «Деловой России» после их получения.
Однако эксперты считают предложения бессмысленными. Никаких платежных персональных данных не существует, а обязать следить за ними тех, кто вообще с такой информацией не работает,— «более чем странная идея», полагает исполнительный директор Национальной платежной ассоциации Мария Михайлова. «Персональной информации держателей карт в платежной трансакции нет,— подтверждает независимый эксперт на рынке платежных карт Дмитрий Вишняков.— Любой посредник в проведении трансакции (шлюз, агрегатор, свич) будет только лишним барьером для передачи информации, обработки платежей, расчетов, для защиты от мошенников». Директор «КартСтандарта» Майя Глотова согласна, что предлагаемые изменения не решают декларируемых задач. Уже принят пакет Яровой, подчеркивает она, который обеспечивает хранение в РФ копии всех данных, передаваемых через интернет, эта обязанность возложена на операторов связи, дополнительное их хранение банками не решит никакой задачи.