Игорь Ашманов ответил московскому метрополитену, опровергшему штрафы за проезд без маски через Face Pay

12 января 2022 2592 просмотра История о сдаче мужчиной биометрии в метро и последовавшем штрафе за хождение без маски получила большой медийный резонанс, в том числе привела к появлениям официальных опровержений. Поскольку именно мой пересказ этой истории в конце прошлого года послужил первичным источником медийной шумихи, хотелось бы её прокомментировать.
 
Вот оригинальный пост в Фейсбуке, с которого началась эта история. Я ссылался на него, как на анекдот из жизни. Заметим, что в нём сразу говорится о штрафе в 5000 рублей, во-вторых, не говорится, что штраф «прилетел» за пребывание именно в метро без маски, упомянуто просто «общественное место».
 
В ходе моего пересказа и массовых ссылок и перепечаток в блогах и СМИ оригинальная ситуация слегка смазалась (например, я лично перепутал размер штрафа), но суть её не изменилась: взяли биометрию для оплаты проезда, а потом распознали и оштрафовали за хождение без маски.
 
Журналисты и блогеры сделали из этой пересказанной мной пользовательской байки про продвинутого и оштрафованного «братишку» несомненный факт жизни и растиражировали его, так что в СМИ и в сети начали появляться официальные и полуофициальные опровержения этой истории.

Между тем, не исключено, что это вообще именно байка, или что участник событий зря связал между собой два этих факта – сдачу биометрии и штраф (хотя штраф и правда был «бесконтактный»). Надеюсь, заинтересованные стороны – журналисты или Роскомнадзор расследуют этот конкретный инцидент.
 
Но вот возникшая общественная дискуссия вокруг темы сбора и использования биометрии – важна, что легко видеть по градусу обсуждений в социальных сетях и СМИ.
 
Официальные «опровержения» про систему Face Pay и штрафующую организацию - не очень убедительные: они спорят не с тем и ломятся в открытую дверь, то есть опровергают утверждения, которых никто не делал.

Основные аргументы такие:
- система Face Pay сама никого не штрафует,
- ГКУ «Организация перевозок», выписывающая штрафы за проезд без масок, не имеет данных от Face Pay,
- система Face Pay очень хорошо защищена,
- в системе не хранятся ФИО граждан, так что их нельзя идентифицировать по лицу,
- штраф не три тысячи, а пять, ну и так далее.
 
Но речь на самом деле шла вовсе не о том, штрафует ли пассажиров система оплаты проезда и надёжно ли там хранение данных. Понятно, что система Face Pay сама не штрафует, а атака хакеров на неё маловероятна.
 
Обществу интересны не «опровергаемые» нерелевантные утверждения производства самих официальных пиарщиков, а гораздо более важные вопросы: куда и зачем передаются биометрические данные из Face Pay, и почему собранные для одной декларированной цели данные используются (и используются ли) для совершенно другой цели.
И как отозвать свои биометрические данные из системы – а также из тех мест, куда их успели передать.
 
Высказывания официальных лиц о том, что при регистрации лица в метро якобы не собирают ФИО и другие личные данные – только понижают уровень доверия.  Потому что на самом-то деле при регистрации в системе оплаты проезда «лицом» в основном просят привязать банковскую карту – а уж на ней есть вообще всё; кроме того, у операторов системы, скорее всего, есть в том числе доступ к номеру телефона.
 
При этом ДИТ Москвы в публичных заявлениях стараются вообще не упоминать - а я лично уверен, что именно туда передаётся вообще всё, в том числе и биометрия из Face Pay.
Потому что до этого всё именно так и было, мощнейшая база данных ДИТа аккумулирует и данные подъездных и уличных камер, и данные мобильных операторов о перемещениях, звонках и сообщениях, и данные медиков о ПЦР-тестах и перенесённом коронавирусном заболевании, и данные с камер ГИБДД, и «лица» с митингов, и т.п.
 
Например, в согласии на вакцинацию, которое нужно подписывать в московских центрах вакцинации, прямо сказано, что данные о вакцинации гражданина, а также заполненная им анкета о медицинском состоянии будут переданы не только в Департамент здравоохранения г. Москвы, но также в ДИТ Москвы и в Российскую Торгово-промышленную палату, а также их «партнёрам». Вакцинируемые граждане, конечно, не читают этот документ, а отказаться от него при вакцинации тоже нельзя. И вычёркивание этого разрешения передавать данные из текста согласия не помогает – потом всё равно прилетает СМС от ДИТ Москвы про присвоение QR-кода.
 
Ну и в то, что у штрафующей организации ГКУ «Организатор перевозок» якобы «нет базы данных Face Pay», лично мне также верится с трудом.
 
Ведь мы помним, что распознавание лиц на улицах Москвы и Петербурга сейчас уже вовсю используется для поиска разыскиваемых преступников – со скандальными ошибками (наподобие нелепых задержаний в октябре прошлого года режиссёра Ермошина и артиста Коротича). А также помним, что граждан, участвовавших в несанкционированных митингах, останавливали для проверки и разбирательств именно после распознавания камерами в метро.

Ну и про приложение контроля от ДИТ Москвы за больными ковидом с требованием непрерывно фотографироваться и штрафы за нарушение режима карантина (довольно сомнительные с правовой точки зрения и изобилующие ошибками) – мы тоже помним.
 
Короче говоря, дело не в том, что произошло с конкретным пользователем системы оплаты проезда по лицу; речь прежде всего о том, что у граждан и общества сейчас нет вообще никакого способа проверить высказывания чиновников, что «данные не передаются», «нет доступа», «не храним ФИО» и т.п.
 
Института независимой экспертизы потоков данных в нашей «цифровой экономике» – нет. Мандата на инструментальный контроль потоков данных у Роскомнадзора, главного регулятора оборота персональных данных – также нет.
Предлагается просто верить чиновникам на слово.
 
А верить тем, кто допустил за последние 3 года утечки десятков миллионов записей, содержащих телефонные номера, ФИО, паспортные данные, номера кредитных договоров и цунами мошенничеств, основанных на этих данных (и не понёс за это никакой ответственности) – довольно нелогично и странно.
 
Хотелось бы получить официальные разъяснения именно по задававшимся вопросам:
- Куда и как передаётся биометрия, собранная для оплаты проезда?
- Где ещё собираются, атрибутируются паспортными данными и хранятся «слепки» лиц наших граждан, как используются?
- Как гарантируется отсутствие утечек и цифровой коррупции со стороны операторов этих баз данных?
- Какова ответственность должностных лиц и разработчиков за такие утечки, где примеры наказания виновных?
- Зачем ДИТом Москвы и правительством собираются единые базы данных «всех сведений о гражданине», в нарушение 152-ФЗ и Конституции?
- Как гражданину гарантированно изъять свои персональные данные и биометрию из их систем?
 
Хотелось бы поговорить о биометрии и персональных данных граждан по существу, без «отмазок». Нужна общественная дискуссия, а не одностороннее вещание пиар-отделов метро и мэрии.