Мобильное приложение Сбербанка с 1 августа передает Apple, Google и Samsung данные своих клиентов, использующих системы Apple Pay, Android Pay и Samsung Pay – эту информацию обнаружили «Ведомости» в условиях банковского обслуживания клиентов-физлиц Сбербанка.
Речь идет о передаче информации о сумме и времени платежа, типе операции и валюте. Эти данные нужны компаниям для борьбы с мошенничеством, усовершенствования мобильных платежных приложений и их рекламы, а также для анализа рекламных объявлений в платежных приложениях, пишет Сбербанк.
Отдельно в условиях указано, что банк передает Google информацию о персональных данных владельца карты – имя, отчество (фамилия при этом не раскрывается) и адрес регистрации.
Apple Pay и Samsung Pay появились на российском рынке прошлой осенью, Android Pay вышла в Россию в мае этого года. Все три технологии работают по схожему принципу: к приложению «кошелек», предустановленному на смартфонах, привязывается банковская карта. Оплатить покупку можно, просто поднеся к платежному терминалу смартфон, поддерживающий технологию NFC. Клиент должен подтвердить транзакцию.
Клиенты Альфа-банка также разрешают банку предоставлять Apple, Google и Samsung данные об их транзакциях, оговаривая, что с ними должно быть заключено соглашение о конфиденциальности, сообщается в документах банка.
«Тинькофф банк» также обменивается с Apple, Google и Samsung и этот обмен полностью соответствует российскому законодательству о персональных данных, объясняет представитель банка. Впрочем, «ВТБ 24» никому не передает данные клиентов при проведении платежей через сервисы Pay, уверяет представитель банка.
Все банки работают с этими системами по одинаковым правилам и клиенту предлагается согласиться с условиями обслуживания банка в тот момент, когда он добавляет выпущенную банком карту в кошелек смартфона.
Передача данных о транзакции не нарушает законодательство о защите персональных данных, поскольку это не персональные данные, объясняет консультант по безопасности Cisco Алексей Лукацкий. Не запрещено даже передавать имя, отчество и адрес регистрации клиента. Ведь запрещена не передача данных за границу, а хранение – и вот здесь возникает вопрос к Google, указывает Лукацкий. Но есть тонкость: закон о персональных данных отделяет первичную базу, куда сначала вводятся персональные данные, от вторичной, куда они могут передаваться с заранее оговоренными целями (например, резервное копирование, рекламные рассылки), и эта база может располагаться за границей, рассказывает главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян.
Накопив большие объемы данных, корпорации смогут строить прогнозные модели поведения пользователя и в будущем зарабатывать на их продаже для таргетинга рекламы, уверен президент Фонда информационной демократии Илья Массух. Помимо этого у корпораций появляется возможность за несколько лет стать самыми большими держателями массивов больших данных о пользователях, и тогда они смогут потеснить банки и начать предлагать пользователям финансовые услуги и за счет объема своих знаний о клиенте делать ему, например, более точное кредитное предложение.
Представители Apple, Google и Samsung на запрос «Ведомостей» не ответили.
