nicalaitch
Пользователь
- Сообщения
- 16
1. Введение и предыстория
Проблематика и история возникновения проблемыВ нашей стране безопасность личной информации только начинает набирать обороты. Люди начинают заботиться об ограничении доступности другим их личного номера телефона, данных банковской карты, адреса проживания и т.п.
В этот же момент появляются и становятся популярными множество сервисов, облегчающих жизнь. Почти каждый сервис желает знать как можно больше информации о своем потребителе, например, телефон, по которому можно связаться с пользователем.
В этой статье речь пойдет о сервисах доставки продуктов и еды: какие данные предоставляются курьерам и так ли они им нужны?
По мнению Роскомнадзора совокупность набора атрибутов ФИО+Адрес+Номер телефона можно отнести к персональным данным (далее – ПДн) субъекта ПДн, т.к. такой набор позволяет однозначно идентифицировать субъекта ПДн. И согласно их же рекомендациями доступ к ПДн субъектов ПДн должен предоставляться только сотрудникам, которым в рамках должностных обязанностей такой доступ необходим. Нужен ли курьеру доступ к номеру мобильного телефона клиента для выполнения обязанностей по доставке заказа?
В 2020 году всплыли несколько неприятных событий: курьер hoff написал сообщение клиентке спустя сутки после доставки заказа с непристойным контекстом, курьер Delivery club предложил клиентке провести время вместе. Hoff тогда никак не отреагировал (во всяком случае я не нашел официальных комментариев), Delivery club отреагировали и ввели «виртуальные номера» (промежуточную АТС), которые не позволяют видеть номер телефона клиента и курьера друг другу, т.к. используется промежуточный номер телефона, который помимо сокрытия телефонов собеседников может осуществлять запись телефонного разговора.
В январе 2022 года от СМИ пришел запрос, где затрагивалась тема доступности ПДн клиентов курьерам.
В ответ, не думая, набросал первый абзац о том, что большинство крупных и средних компаний давно используют виртуальную телефонию и промежуточные АТС для сокрытия номера телефона клиента и курьера. Для подтверждения своей позиции я начал писать в службы технической поддержки сервисов доставки. Реальное положение дел меня удивило.
2. Подробные результаты опроса службы поддержки сервисов, которыми я пользуюсь
В первую очередь я написал в техническую поддержку Яндекс Лавки, т.к. пользуюсь этим сервисов чаще всего, и получил следующий ответ./attachments/0cdc1b06b308edcc8f2d615e6e037530-png.1878/
Ответ оператора службы поддержки Яндекс.Лавка
Итак, ФИО+адрес+номер телефона, указанный в приложении, доступен курьеру при активном заказе.
Пункт 7 в пользовательском соглашении описан, как и во всех пользовательских соглашениях, очень размыто:
Скриншоты с пользовательского соглашения Яндекс
/attachments/bd4ae8baa2ba06c3cf7c97bdc22154bf-jpeg.1879/
Сохраненные скриншоты пользовательского соглашения yandex
В общем, если устроиться курьером в службу доставки на несколько дней, можно собрать собственную базу с номерами и адресами, а вот вариантов как эту базу дальше использовать немало.
Дальше будут идти скриншоты переписок с службами поддержки других сервисов. Если мало времени или неинтересно, можно перейти к таблице с результатами в разделе 3.
Следует отметить, что, например, в Яндекс Go (Яндекс такси) промежуточный номер телефона используется и водитель не знает номера клиента (и наоборот). В Яднекс.Еда также реализована подмена номера телефона для внутренних курьеров.
/attachments/4d15c7b27fcc9cdcfa0beff75a88f629-jpg.1880/
Ответ оператора службы поддержки Яндекс.Еда
Почему такая же система не введена в Яндекс Лавке мне непонятно, но, наверное, ответ простой: дорого (либо оператор поддержки некорректно ответил на вопрос).
После Яндекса мы идем к конкурентам и смотрим на ответ от Delivery Club:
/attachments/04fc6e9b25fa7b05276bc0a5f516fc44-png.1881/
Ответ оператора службы поддержки Delivery Club
Промежуточная АТС (или виртуальный номер) используется для штатных курьеров Delivery, но на курьеров ресторанов и кафе, которые сами осуществляют доставку, такой метод не распространяется.
В целом неплохо и приложение явно подчеркивает кто будет осуществлять доставку: непосредственно сам сервис или ресторан. Такой же подход реализован в Яндекс.Еде.
После двух наиболее популярных компаний по доставке еды я решил пойти дальше и опросить другие компании, которые используют своих курьеров для доставки посылок или еды. Опрашивал я только те сервисы, которыми пользовался или пользуюсь.
Быстрее всех ответил и больше всех порадовал Самокат:
/attachments/f9adc6f0f974ba0cd4c01c78147c933c-png.1882/
Ответ оператора службы поддержки Самокат
Четкий и ясный ответ, который не вызывает вопросов, как и ответ техподдержки Утконоса:
/attachments/6bea1ef5b55aaf5cf81ab266c38057ee-png.1883/
Ответ оператора службы поддержки Утконос
Снова похожая картина: очень близкие сервисы по смыслу, но совершенно разный подход к минимизации доступа к ПДн.
Едем дальше. Ответ Перекрестка (считай, что Х5, т.к. они полностью ведут приложение):
/attachments/cffdf6dfb957de1763d689255d3ef965-png.1884/
Ответ оператора службы поддержки Перекресток
Отмечу, что в приложении Перекресток четко описано куда и какие ПДн передаются.
Дальше идет мой любимый сервис по доставке продуктов с гипермаркетов:
/attachments/c3af93e284ab20fe217ee16894f950c3-png.1885/
Ответ оператора службы поддержки igooods
Первый ответ дали размытым, и я решил на всякий случай уточнить, чтобы не быть голословным.
В хронологическом порядке дальше пришел ответ от Азбуки Вкуса.
/attachments/2e73c7d9c80c1ba25475909e17f8fa38-png.1886/
Ответ оператора службы поддержки Азбуки вкуса
Они первые и единственные кто не дал четкого ответа.
Идем на сайт, куда нас послали для ознакомления. На сайте нас ждут два документа: Политика защиты и обработки ПДн и Условия и соглашения для физлиц (есть еще Bug Bounty, но это к нашему вопросу не относится).
Начнем со второго документа:
/attachments/f65285811f3edf26045c1a09d2dfc324-png.1887/
Рисунок 8. Условия и соглашения для физлиц (Азбука вкуса)
Видимо, передача ПДн курьерам зашифрована в пункте об обязательствах Владельца Сайта перед Пользователем сайта и Соглашении об условиях дистанционного способа продажи. Идем в это Соглашение и находим там такой пункт:
В общем, Азбука вкуса идет в список сервисов, которые не используют промежуточную АТС для курьеров.
Вопрос по политике защиты и обработки ПДн в Азбуке Вкуса
Кстати, пока искал ответы в месте куда меня послала служба поддержки Азбуки нашел в Политике защиты и обработки ПДн какую-то странную формулировку (возможно, я чего-то не понял). В пункте 5.2 Политики идет ссылка на раздел 4 Политики, в котором якобы должны быть указаны НПА по которым определяется перечень обрабатываемых ПДн:
ПРОДОЛЖЕНИЕ СНИЗУ
