Приложение сбербанка следит за пользователями. Сбербанк Онлайн — приложение для Android

Последние изменения в политику конфиденциальности мобильного приложения Сбербанк Онлайн разожгли немалый резонанс в обществе. Люди стали искать попытку пользоваться приложением, не соглашаясь на новую политику конфиденциальности. Почему же так происходит? Давайте разберемся в этом.

Обновляем и что мы видим? А вот что:

Первое что смущает, это прямое указание на отказ от использования приложения в случае несогласия с данной политикой. Допустим, давайте будем читать Новое соглашение дальше:

Сбербанк при Вашем согласии на новую политику конфиденциальности может абсолютно законно брать и использовать список контактов из вашего телефона. Такое было и раньше, просто немного по-другому расписано. Читаем дальше:

А этот пункт позволяет приложению использовать ваши фотографии, полученные с вашей камеры. Какие-то непривычно большие права доступа стали у мобильного приложения Сбербанк Онлайн. Скорей всего, это сделано для удобства проведения платежей (например, когда нужно оcуществить платеж по QR-коду с квитанции).

Основное на что пользователь должен согласиться:

• Контакты из телефонной книги могут быть переданы в сбербанк или спец. службы по запросу
• Фотографии могут быть переданы в сбербанк или спец. сслужбы по запросу
• Аудио файлы могут быть переданы в сбербанк или спец. со по запросу
• Место положение может быть передано в сбербанк или спец. службы по запросу
• IP адрес, sms сообщения, могут быть переданы в сбербанк или спец. службы по запросу.

Ниже мы привели полную политику конфиденциальности по мобильному приложению Сбербанк Онлайн:

Политика конфиденциальности мобильного приложения «Сбербанк Онлайн»

Настоящая Политика конфиденциальности (далее - Политика) мобильного приложения «Сбербанк Онлайн» (далее - Приложение) действует в отношении той информации, которую ПАО Сбербанк (далее – Банк) может получить с устройства пользователя во время использования им Приложения.

Использование Приложения означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки информации, получаемой с устройства пользователя. В случае несогласия с Политикой пользователь должен воздержаться от использования Приложения.

Приложение и услуги в рамках Приложения реализуются пользователю на основании договоров и соглашений с Банком, которые в числе прочего регулируют все вопросы обработки и хранения Банком персональных данных пользователя.

Настоящая Политика применима только к Приложению. Банк не контролирует и не несет ответственность за информацию (последствия её передачи), переданную пользователем третьей стороне, в случае если такая передача была выполнена на ресурсе третьей стороны, на который пользователь мог перейти по ссылкам из Приложения.

Банк имеет право вносить изменения в настоящую Политику путем размещения новой редакции Политики на сайте Банка и/или в Приложении. Обязанность самостоятельного ознакомления с актуальной редакцией Политики лежит на пользователе.

1. Состав информации, которая может быть получена с устройства пользователя при использовании Приложения и цели её получения (далее - Информация пользователя):

1.1. Информация о номерах телефонов из адресной книги устройства.

Цель: номера телефонов из адресной книги контактов на устройстве пользователя используются в Приложении для облегчения совершения пользователями операций переводов денежных средств.

При установке Приложения пользователь дополнительно информируется о целях использования в Приложении данных о номерах телефонов из его адресной книги.

При использовании в Приложении данные о номерах телефонов копируются на серверы Банка и могут периодически обновляться.

1.2. Информация о местоположении устройства пользователя (на основе данных сети оператора сотовой связи и сигналов GPS)

Цель: информирование пользователя при использовании Приложения о местоположении подразделений Банка и устройств самообслуживания Банка, а также о дополнительных сервисах, доступных пользователю и обусловленных его местоположением.

1.3. Фотоизображения, полученные с использованием камеры устройства.

Цель: получение и использование фотоизображений в рамках услуг, реализуемых в Приложении, в том числе для создания и сохранения фотоизображений в профиле пользователя в Приложении, получения фотоизображений платежных документов и штрих-кодов с целью их распознавания и использования для совершения операций по переводу денежных средств в Приложении.

1.4. Информация о версии операционной системы и модели устройства.

Цель: анализ возможных ошибок в работе Приложения и совершенствование работы Приложения.

Для целей анализа Банк может передавать информацию об операционной системе и модели устройства сторонним организациям в обезличенном виде.

1.5. Информация об IP-адресе и адресе точки подключения пользователя.

Цель: повышение безопасности пользователя при использовании Приложения и совершения финансовых операций.

1.6. Информация об SMS-сообщениях на устройстве Пользователя.

Цель: сохранение и использование в Приложении SMS-сообщений, поступивших от Банка (с номера 900).

1.7. Аудиоданные, полученные с использованием микрофона устройства возможности)

Цель: выполнение аудио звонков пользователя в Банк с использованием Приложения.

1.8. Использование встроенного в Приложение антивируса.

1.8.1. Цель: повышение уровня оперативной защиты:

информация об установленном ПО, в том числе уникальный идентификатор установки ПО на устройстве, идентификатор и версия используемого ПО, уникальный идентификатор устройства, уникальный идентификатор пользователя в сервисах правообладателя;
информация о проверяемых URL, в том числе URL, по которому запрашивается репутация, и URL страницы, с которой был получен проверяемый URL, идентификатор протокола соединения и номер используемого порта;
информация о проверяемых сертификатах, в том числе URL и IP адреса сайта, для которого осуществляется проверка, серийный номер и содержимое проверяемого сертификата, а также его тип и контрольная сумма (MD5);
информация для получения репутации проверяемого файла, в том числе его контрольная сумма (MD5), а также тип детектирования, идентификатор использованной записи в базе угроз, тип и время создания записи;
1.8.2. Цель: выявление новых и сложных для обнаружения угроз информационной безопасности и их источников, угроз вторжения, а также повышения уровня защиты информации, хранимой и обрабатываемой пользователем на устройстве:

информация об установленном ПО, в том числе уникальный идентификатор установки ПО на устройстве, идентификатор и версия используемого ПО, уникальный идентификатор устройства, данные о типе устройства и установленной на нем ОС и пакетов обновлений ОС;
информация об атаках, связанных с подменой сетевых ресурсов, в том числе URL, на котором обнаружена подмена, версия используемой базы угроз, идентификатор записи в базе, соответствующий обнаруженной угрозе, имя, контрольная сумма (MD5) и размер файла приложения, запросившего подмененный URL, тип клиента, весовой уровень атаки, название цели атаки, уровень надежности обнаружения, признак Silent-детектирования;
информация о проверенных файлах, в том числе название файла и контрольная сумма (MD5), путь к нему и код шаблона пути, код и идентификатор типа файла, признак исполняемого файла, название обнаруженной угрозы согласно классификации правообладателя, время выпуска и время последнего обновления антивирусной базы, идентификатор и тип использованной записи в базе, признак отладочного детектирования, идентификатор уязвимости и класс её опасности, идентификатор задачи ПО, в рамках которой выполнена проверка, признак проверки или подписи файла.
1.8.3. Цель: улучшение качества работы ПО и обновления ПО:

информация о результатах обновления ПО, в том числе тип и уникальный идентификатор устройства, на котором установлено ПО, уникальный идентификатор установки ПО на устройстве, идентификаторы ПО и задачи обновления, идентификатор и версия обновления ПО, идентификатор настроек обновления ПО, результат обновления ПО, идентификатор условия формирования передаваемой статистики, идентификатор настроек ПО, идентификатор и название партнера, для которого выпущено ПО, язык локализации ПО, уникальный идентификатор и тип установленной лицензии, данные об установленной ОС, в том числе тип и версия, идентификатор программы «приведи друга», доступной для ПО;
информация о возникших ошибках в работе компонент ПО, в том числе тип и время возникновения ошибки, а также идентификатор компонента ПО и задачи, при выполнении которой возникла ошибка, копия участка оперативной памяти устройства, относящегося к вызвавшему ошибку компоненту ПО, тип и время создания копии участка оперативной памяти, даты создания, активации и истечения используемого лицензионного ключа, количество компьютеров, на которое рассчитана лицензия, имя первичного файла обновления, дата и время первичных файлов предыдущего и нового обновлений, дата и время завершения последнего обновления, версия набора передаваемой информации, время отправки информации.
1.8.4. Цель: защита пользователя от мошенничества при посещении страниц сайта Банка:

Идентификатор и версию используемого ПО, уникальный идентификатор компьютера, информацию о состоянии используемого браузера, идентификатор параметров настроек ПО.
1.8.5. Цель: повышение уровня защиты информации, хранимой и обрабатываемой пользователем на устройстве:

Идентификатор и версия используемого ПО, уникальный идентификатор устройства, тип и версия установленной ОС, тип и версия браузера, время последнего обновления антивирусных баз;
информация об атаках, связанных с подменой сетевых ресурсов, в том числе URL, на котором обнаружена подмена, название цели и метода обнаружения атаки;
информация о проверяемых сертификатах, в том числе URL и IP адресе сайта, для которого осуществляется проверка, контрольная сумма (MD5) проверяемого сертификата, причина его не действительности;
информация об обнаруженных угрозах и уязвимостях, в том числе название угрозы и результат ее устранения, признак обнаружения уязвимости ОС, идентификатор угрозы, обнаруженный при запуске браузера, признак обнаружения загрузки не доверенного модуля;
информация об уровне защиты от получения снимков экрана
Указанные выше данные по встроенному антивирусу могут также использоваться для формирования отчетов по рискам информационной безопасности.

Дополнительно в рамках настоящей Политики Банк вправе использовать дополнительные программные инструменты (в том числе партнеров Банка) и cookies для сбора и обработки обезличенной статистической информации об использовании пользователем Приложения и услуг в рамках Приложения для целей улучшения Приложения;

2. Условия обработки Информации пользователя

2.1. В соответствии с настоящей Политикой Банк осуществляет обработку только той информации и только для тех целей, которые определены в пункте 1.

2.2. Встроенный в Приложение антивирус обрабатывает полученную информацию, исключая данные, относящие к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), и никак не связывает обрабатываемую информацию с персональными данными пользователя.

2.3. Банк принимает все зависящие от Банка организационные и технические меры для защиты Информации пользователя от неправомерного доступа третьих лиц, использования, копирования и распространения.

2.4. Для целей, изложенных в настоящей Политике, Банк может привлекать к обработке Информации пользователя партнеров, с которыми у Банка заключены соответствующие соглашения о конфиденциальности. Передача Банком партнерам обезличенных данных об использовании Приложения для целей улучшения работы Приложения осуществляется на основании договоров с партнерами.

2.5. Информация пользователя может сохраняться на ресурсах Банка и его партнеров в течение срока действия договорных отношений между Банком и пользователем касаемо Приложения, а также в течение 5 лет после расторжения таких договоров.

2.6. Информация Пользователя может быть предоставлена государственным органам в соответствии с требованиями действующего законодательства.

(далее Сайт) с уважением относится к правам посетителей Сайта. Мы безоговорочно признаем важность конфиденциальности личной информации посетителей нашего Сайта. Данная страница содержит сведения о том, какую информацию мы получаем и собираем, когда Вы пользуетесь Сайтом. Мы надеемся, что эти сведения помогут Вам принимать осознанные решения в отношении предоставляемой нам личной информации.

Настоящая Политика конфиденциальности распространяется только на Сайт и на информацию, собираемую этим сайтом и через его посредство. Она не распространяется ни на какие другие сайты и не применима к веб-сайтам третьих лиц, с которых могут делаться ссылки на Сайт.

Сбор информации

Когда Вы посещаете Сайт, мы определяем имя домена Вашего провайдера и страну (например, «aol.com») и выбранные переходы с одной страницы на другую (так называемую «активность потока переходов»).

Сведения, которые мы получаем на Сайте, могут быть использованы для того, чтобы облегчить Вам пользование Сайтом, включая, но не ограничиваясь:

— организация Сайта наиболее удобным для пользователей способом;
— предоставление возможности подписаться на почтовую рассылку по специальным предложениям и темам, если Вы хотите получать такие уведомления.

Сайт собирает только личную информацию, которую Вы предоставляете добровольно при посещении или регистрации на Сайте. Понятие «личная информация» включает информацию, которая определяет Вас как конкретное лицо, например, Ваше имя или адрес электронной почты. Тогда как просматривать содержание Сайта можно без прохождения процедуры регистрации, Вам потребуется зарегистрироваться, чтобы воспользоваться некоторыми функциями, например, оставить свой комментарий к статье.

Сайт применяет технологию «cookies» («куки») для создания статистической отчетности. «Куки» представляет собой небольшой объем данных, отсылаемый веб-сайтом, который браузер Вашего компьютера сохраняет на жестком диске Вашего же компьютера. В «cookies» содержится информация, которая может быть необходимой для Сайта, - для сохранения Ваших установок вариантов просмотра и сбора статистической информации по Сайту, т.е. какие страницы Вы посетили, что было загружено, имя домена интернет-провайдера и страна посетителя, а также адреса сторонних веб-сайтов, с которых совершен переход на Сайт и далее. Однако вся эта информация никак не связана с Вами как с личностью. «Cookies» не записывают Ваш адрес электронной почты и какие-либо личные сведения относительно Вас.

Кроме того, мы используем стандартные журналы учета веб-сервера для подсчета количества посетителей и оценки технических возможностей нашего Сайта. Мы используем эту информацию для того, чтобы определить, сколько человек посещает Сайт и организовать страницы наиболее удобным для пользователей способом, обеспечить соответствие Сайта используемым браузерам, и сделать содержание наших страниц максимально полезным для наших посетителей. Мы записываем сведения по перемещениям на Сайте, но не об отдельных посетителях Сайта, так что никакая конкретная информация относительно Вас лично не будет сохраняться или использоваться Администрацией Сайта без Вашего согласия.

Чтобы просматривать материал без «cookies», Вы можете настроить свой браузер таким образом, чтобы он не принимал «cookies» либо уведомлял Вас об их посылке.

Совместное использование информации

Администрация Сайта ни при каких обстоятельствах не продает и не отдает в пользование Вашу личную информацию, каким бы то ни было третьим сторонам. Мы также не раскрываем предоставленную Вами личную информацию за исключением случаев предусмотренных законодательством (укажите страну, где расположен сервер).

Администрация сайта имеет партнерские отношения с компанией Google, которая размещает на возмездной основе на страницах сайта рекламные материалы и объявления (включая, но не ограничиваясь, текстовые гиперссылки). В рамках данного сотрудничества Администрация сайта доводит до сведения всех заинтересованных сторон следующую информацию:

1. компания Google как сторонний поставщик использует файлы cookie для показа объявлений на Сайте;
2. файлы cookie рекламных продуктов DoubleClick DART используются Google в объявлениях, показываемых на Сайте, как участнике программы AdSense для контента.
3. использование компанией Google файлов cookie DART позволяет ей собирать и использовать информацию о посетителях Сайта (за исключением имени, адреса, адреса электронной почты или номера телефона), о Ваших посещениях Сайта и других веб-сайтов с целью предоставления наиболее релевантных объявлений о товарах и услугах.
4. компания Google в процессе сбора данной информации руководствуется собственной политикой конфиденциальности;
5. пользователи Сайта могут отказаться от использования файлов cookie DART, посетив страницу с политикой конфиденциальности для объявлений и сети партнерских сайтов Google.

Отказ от ответственности

Помните, передача информации личного характера при посещении сторонних сайтов, включая сайты компаний-партнеров, даже если веб-сайт содержит ссылку на Сайт или на Сайте есть ссылка на эти веб-сайты, не подпадает под действия данного документа. Администрация Сайта не несет ответственности за действия других веб-сайтов. Процесс сбора и передачи информации личного характера при посещении этих сайтов регламентируется документом «Защита информации личного характера» или аналогичным, расположенном на сайтах этих компаний.

Представьте ситуацию: оставили вы на 5 минут без присмотра телефон (например, на зарядке). Возвращаетесь и видите SMSку о переводе крупной суммы денег 3-ему лицу. Представили? А это ведь легко может быть реальностью… В статье пойдёт речь о не очень безопасной системе входа в мобильное приложение Сбербанка, дабы предупредить пользователей о возможности финансовых потерь.

После того, как у меня затупил телефон, мне пришлось сбросить его к заводским настройкам. Установив из Play-маркета приложение «Сбербанк Онлайн», и прождав значительное время, пока приложение сканирует телефон на наличие вирусов, создаётся полное ощущение, что тут всё хорошо с безопасностью. Но каково же было моё удивление, когда после ввода логина и готовности ввести пароль, вместо него меня просят ввести SMS-код, который тут же пришёл на этот же телефон!

Сначала я подумал, что возможно где-то на карте памяти сохранился какой-нибудь идентификатор сессии, из-за которого не надо проходить процедуру ввода пароля, а достаточно пройти упрощённую процедуру подтверждения по SMS. Но это было не так.

Тогда мы с коллегой решили проверить на его телефоне, смогу ли я войти в его приложение. Мы берём его телефон, открываем приложение, выбираем «Сменить пользователя» в меню, вводим логин (который секретным не является и используется им на разных сервисах). И, бинго, опять вводим SMS-код и оказываюсь внутри приложения с полным доступом ко всем финансам! Всё дело заняло пару минут времени.

А как же блокировка телефона по паролю/секретному ключу/отпечатку пальца, спросите вы? Ну во-первых, дело тут не в устройстве а SIM-карте. И полный возврат к заводским настройкам также может свести на нет всю защиту, просто это будет немного дольше.

Кроме того, в ОС куча приложений, которые просят разрешений на чтение SMS. Не удивлюсь, если появится вирус, способный сымитировать вход в приложение с чтением и последующим входом кода из SMS.

А что Сбербанк?

Через обратную связь я писал дважды об этой проблеме сбербанку и оставил отзыв на banki.ru. Но сбербанк судя по всему не считает это проблемой. Кроме того, в условиях использования был найден следующий пункт:

Не совмещайте устройства доступа к системе «Сбербанк Онлайн» и устройства получения SMS-сообщений с подтверждающим одноразовым паролем (например, мобильный телефон, смартфон или планшет). Для мобильных устройств созданы специализированные версии системы.
При утрате мобильного телефона, на который Вы получаете сообщения с SMS-паролем, сразу же обратитесь к оператору сотовой связи и заблокируйте SIM-карту.

То есть фактически приложение нельзя ставить на тот же телефон, на который приходят SMS-ки.

Выводы

Выводы можно сделать только такие - держите телефон всегда при себе, даже когда решили выйти на 5 минут в туалет. Не устанавливайте приложений с доступом к SMS. А ещё лучше - получайте SMS с кодами на кнопочный телефон без приложений.

Источник: Cryptoworld

Приложение Сбербанка следит за пользователями

В России разгорается скандал: специалисты по информационной безопасности обнаружили, что мобильное приложение Сбербанка «слишком много себе позволяет». Или, иначе говоря, просто хозяйничает на мобильном устройстве пользователя, попутно шпионя за ним.

Речь идет об известном многим пользователям приложении под названием «Сбербанк Онлайн». Это мобильный клиент одноименного банка, причем, по отзывам, клиент качественный и приятный в использовании. Он удобен, функционален, у него прекрасный интерфейс и есть встроенная защита от фишинга и утечек данных.

Однако с информбезопасностью разработчики переборщили - или просто превратно ее поняли. «Сбербанк Онлайн» не дает использовать себя без знания PIN-кода, при первом запуске он обязательно проверит смартфон на наличие прав root и, если они есть, не даст переводить деньги куда угодно, ограничив функциональность шаблонами. У него есть встроенная клавиатура, которая защищает от шпионских приложений, реализованных в виде сторонних клавиатур. Для взаимодействия с сервером он использует токены и зашифрованный канал.

Однако хорошее изначально приложение стало жертвой бесконечного наращивания функциональности. Это привело к тому, что «продвинутым» пользователям приходится либо удалять его со своих устройств, либо применять специальные методики, чтобы свести его вредное воздействие на систему к минимуму.

Источник: Cryptoworld

Проблемы хорошей программы

Первая проблема мобильного «Сбербанка» - это его размер. APK-файл с приложением «весит» ни много ни мало 41 Мбайт. Для сравнения: игра Smash Hit с отличной трехмерной графикой «весит» 80 Мбайт, игра Geometry Dash с кучей уровней и музыкальных треков - 48 Мбайт, а Google Chrome - те же 41 Мбайт. Причем в данном случае мы сравниваем сложный комплексный софт с клиентским приложением, единственная задача которого - получать данные с сервера и отправлять их обратно в ответ на действия пользователя.

На устройствах с разным объемом памяти и различными настройками размер приложения в оперативной памяти может варьироваться от 40 до 80 Мбайт. Опять же для сравнения: одно из самых «прожорливых» приложений Google Chrome с одной открытой вкладкой потребляет ~90 Мбайт. Причем «Сбербанк Онлайн» висит в памяти в виде сервиса все время работы смартфона. Если его отключить - клиент перезапустится, если перезагрузить смартфон - он запустится при загрузке, если применить таск-киллер - получится «пинг-понг» под названием «Прощай, батарея»: таск-киллер «убивает» сервис, система его запускает, и так продолжается бесконечно.

При этом сервис не просто висит в памяти, он регулярно активирует смартфон, чтобы обновить информацию о местоположении устройства и выполнить какие-то другие свои дела. Получается, что приложение, которым человек пользуется раз в неделю, чтобы положить деньги на телефон или проверить баланс, постоянно висит в фоне и регулярно «будит» смартфон. Возникает вопрос: почему?

Источник: Cryptoworld

Чрезмерная забота о безопасности

Примечательный момент: прямо в программу «Сбербанк Онлайн» встроен антивирус Касперского. То есть сервис не только висит в фоне и постоянно «будит» смартфон, он еще и активируется каждый раз, когда владелец устанавливает новое приложение. Кроме того, у него есть определенный распорядок проверки. Человек сидит, читает книгу на смартфоне - и вдруг «просыпается» «Сбербанк» и начинает сканировать систему. Как это влияет на батарею - пояснять не надо.

Самая же парадоксальная черта «Сбербанка» в том, что, обвиняя другие приложения в возможности отправки SMS, он сам может не только их отправлять, но и читать, и даже изменять. Также клиент умеет читать контакты, делать снимки, управлять Bluetooth, звонить, изменять настройки смартфона, настройки Wi-Fi, узнавать местоположение, «убивать» фоновые процессы, читать и изменять историю браузера, менять настройки APN, следить за запущенными приложениями, отслеживать установку и удаление приложений, читать и писать логи звонков.

Не каждая троянская программа обладает таким внушительным списком полномочий. Вряд ли всё это нужно антивирусу - трудно придумать, зачем ему может понадобиться возможность звонить, снимать, управлять Wi-Fi или читать логи звонков. Отдельная тема - списки контактов. «Сбербанк Онлайн» использует доступ к ним, чтобы совершать быстрые переводы денег. Но при этом, не спрашивая владельца смартфона, отправляет в Сбербанк его книгу контактов.

Источник: Cryptoworld

Как примириться с приложением-шпионом

Понятно, откуда в клиенте Сбербанка взялась подобная функциональность. Проще встроить в приложение антивирус, чем разбираться с тысячами пользователей, у которых украли деньги. Да и многие любят гиперфункциональные приложения, способные даже варить кофе. Тот же ES File Explorer очень популярен, несмотря на фантастическую перегруженность всевозможными функциями.

Как же пользователю «обуздать» «Сбербанк Онлайн» или другое чрезмерно «прожорливое» приложение? Вопрос важный, учитывая, что и белорусские банки активно продвигают собственные мобильные приложения, и излишней «стеснительностью» они тоже не страдают.

Первое, что необходимо сделать, - это отозвать у приложения полномочия. Если на устройстве установлен Android 6.0, то сделать это можно, открыв «Настройки Приложения Сбербанк» и отключив в меню «Разрешения» всё, кроме «Память». При следующем запуске приложение вновь запросит разрешения, и их надо отклонить.

Если нет Android 6.0, но есть CyanogenMod, то же самое можно сделать в меню «Настройки - Конфиденциальность - Защищенный режим - Сбербанк». Если нет ни Android 6.0, ни CyanogenMod, но есть root, следует поставить Xposed, через него установить модуль Xprivacy и уже с его помощью отозвать полномочия.

Далее необходимо сделать так, чтобы «Сбербанк Онлайн» не висел в фоне и не высаживал батарею. Для этого обязательно нужны права root и приложение Greenify. Устанавливаем приложение, соглашаемся предоставить ему права root, нажимаем кнопку «+» в тулбаре и видим список «будящих» смартфон приложений. Наверняка «Сбербанк» окажется где-то в начале - выделяем его и нажимаем круглую кнопку внизу экрана. Теперь приложение будет заморожено сразу после выключения экрана и уже не запустится самостоятельно.

Источник: Office Life

Как регулируются персональные данные в Беларуси

Главная претензия к приложению «Сбербанк Онлайн» - то, что оно собирает и отправляет в Сбербанк чересчур большой объем персональных данных своего пользователя. В России это рассматривают как проблему, а вот в Беларуси пока не было слышно громких скандалов со сбором личных данных людей кем бы то ни было - то ли частными, то ли государственными структурами.

В Беларуси тема защиты персональных данных выглядит побочной повесткой: только в этом году планируется утвердить концепцию закона о персональных данных и в 2018 году уже принять сам закон. При этом уже действующие законы и сейчас достаточно жестко защищают наши права, но, с другой стороны, они не очень конкретны.

В соответствии с Законом Республики Беларусь от 10.11.2008 №455-З (ред. от 11.05.2016) «Об информации, информатизации и защите информации» (далее - Закон об информации) персональные данные - основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами РБ внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо. Персональные данные относятся к информации, распространение и предоставление которой ограничено.

Закон Республики Беларусь от 21.07.2008 №418-З (ред. от 04.01.2015) «О регистре населения» (далее - Закон о регистре населения) определяет следующие основные персональные данные: идентификационный номер, фамилия, собственное имя, отчество, пол, число, месяц, год рождения, место рождения, цифровой фотопортрет, данные о гражданстве (подданстве), данные о регистрации по месту жительства и (или) месту пребывания, данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным.

Дополнительными персональными данными по Закону о регистре населения являются: данные о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица, о высшем образовании, ученой степени, ученом звании, о роде занятий, о налоговых обязательствах и некоторые иные.

Закон об информации содержит расширительную формулировку «и иные данные, позволяющие идентифицировать такое лицо», что свидетельствует о том, что белорусское законодательство не ограничивается перечнем, установленным Законом о регистре населения, но распространяет свое действие на любую информацию, способную идентифицировать определенное лицо.

Закон об информации, тем не менее, не уточняет, о какой идентификации идет речь - прямой или косвенной. Некоторые виды данных (например, IP-адрес) могут лишь косвенно идентифицировать субъекта - в совокупности с иными данными. В законодательстве большинства западных государств подобный аспект урегулирован, и «косвенные» персональные данные также подлежат такой же защите, как и «прямые». Белорусское законодательство пока не содержит таких деталей.

В соответствии с Законом об информации при сборе, обработке, хранении персональных данных необходимо получать согласие физического лица, к которому эти персональные данные относятся. При этом согласие должно быть дано в письменной форме.

Ни Закон об информации, ни иные нормативно-правовые акты не уточняют, что подразумевается под согласием в «письменной форме». Гражданский кодекс лишь содержит определение того, чем является совершение сделки в письменной форме - к ней, например, относится и обмен факсимильными подписями, и иными аналогами подписей.

Применение подобного положения возможно по аналогии и к выражению согласия на сбор, обработку, хранение и пользование персональными данными. Тем не менее в отсутствие четкого указания на форму согласия в законодательстве многие субъекты (например, визовые центры при обработке анкет) вынуждены собирать подписи «вручную» - при помощи форм-согласий, которые подписываются лицом, к которому относятся персональные данные.

Подобное положение затрудняет работу многим компаниям - простых кликов «я согласен» в некоторых случаях бывает недостаточно, и формально может возникнуть нарушение Закона об информации. Некоторые компании (в частности, онлайн-магазины) включают согласие на сбор персональных данных в публичные договоры (договоры присоединения), заключение которых возможно простым присоединением (например, покупкой товара в магазине). Законодательно они приравниваются к письменным. Тем не менее здесь речь опять-таки идет о письменной форме договора, а не согласия как такового.

Как и в случае со сбором персональных данных, любая их передача третьей стороне нуждается в отдельном письменном согласии лица, к которому эти персональные данные относятся. Такое согласие может быть получено непосредственно при сборе персональных данных. Здесь, тем не менее, также возникает вопрос о возможности получения электронного согласия.

С учетом того, что трансграничная передача данных сейчас стала нормальной практикой (особенно в ИТ-сфере), необходимость получения согласия в письменной форме не способствует упрощению и ускорению информационного обмена.

Последние изменения в политику конфиденциальности мобильного приложения Сбербанк Онлайн разожгли немалый резонанс в обществе. Люди стали искать попытку пользоваться приложением, не соглашаясь на новую политику конфиденциальности. Почему же так происходит? Давайте разберемся в этом.

Обновляем и что мы видим? А вот что:

Первое что смущает, это прямое указание на отказ от использования приложения в случае несогласия с данной политикой. Допустим, давайте будем читать Новое соглашение дальше:

Сбербанк при Вашем согласии на новую политику конфиденциальности может абсолютно законно брать и использовать список контактов из вашего телефона. Такое было и раньше, просто немного по-другому расписано. Читаем дальше:

А этот пункт позволяет приложению использовать ваши фотографии, полученные с вашей камеры. Какие-то непривычно большие права доступа стали у мобильного приложения Сбербанк Онлайн. Скорей всего, это сделано для удобства проведения платежей (например, когда нужно оcуществить платеж по QR-коду с квитанции).

Основное на что пользователь должен согласиться:

• Контакты из телефонной книги могут быть переданы в сбербанк или спец. службы по запросу
• Фотографии могут быть переданы в сбербанк или спец. сслужбы по запросу
• Аудио файлы могут быть переданы в сбербанк или спец. со по запросу
• Место положение может быть передано в сбербанк или спец. службы по запросу
• IP адрес, sms сообщения, могут быть переданы в сбербанк или спец. службы по запросу.

Ниже мы привели полную политику конфиденциальности по мобильному приложению Сбербанк Онлайн:

Политика конфиденциальности мобильного приложения «Сбербанк Онлайн»

Настоящая Политика конфиденциальности (далее - Политика) мобильного приложения «Сбербанк Онлайн» (далее - Приложение) действует в отношении той информации, которую ПАО Сбербанк (далее – Банк) может получить с устройства пользователя во время использования им Приложения.

Использование Приложения означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки информации, получаемой с устройства пользователя. В случае несогласия с Политикой пользователь должен воздержаться от использования Приложения.

Приложение и услуги в рамках Приложения реализуются пользователю на основании договоров и соглашений с Банком, которые в числе прочего регулируют все вопросы обработки и хранения Банком персональных данных пользователя.

Настоящая Политика применима только к Приложению. Банк не контролирует и не несет ответственность за информацию (последствия её передачи), переданную пользователем третьей стороне, в случае если такая передача была выполнена на ресурсе третьей стороны, на который пользователь мог перейти по ссылкам из Приложения.

Банк имеет право вносить изменения в настоящую Политику путем размещения новой редакции Политики на сайте Банка и/или в Приложении. Обязанность самостоятельного ознакомления с актуальной редакцией Политики лежит на пользователе.

1. Состав информации, которая может быть получена с устройства пользователя при использовании Приложения и цели её получения (далее - Информация пользователя):

1.1. Информация о номерах телефонов из адресной книги устройства.

Цель: номера телефонов из адресной книги контактов на устройстве пользователя используются в Приложении для облегчения совершения пользователями операций переводов денежных средств.

При установке Приложения пользователь дополнительно информируется о целях использования в Приложении данных о номерах телефонов из его адресной книги.

При использовании в Приложении данные о номерах телефонов копируются на серверы Банка и могут периодически обновляться.

1.2. Информация о местоположении устройства пользователя (на основе данных сети оператора сотовой связи и сигналов GPS)

Цель: информирование пользователя при использовании Приложения о местоположении подразделений Банка и устройств самообслуживания Банка, а также о дополнительных сервисах, доступных пользователю и обусловленных его местоположением.

1.3. Фотоизображения, полученные с использованием камеры устройства.

Цель: получение и использование фотоизображений в рамках услуг, реализуемых в Приложении, в том числе для создания и сохранения фотоизображений в профиле пользователя в Приложении, получения фотоизображений платежных документов и штрих-кодов с целью их распознавания и использования для совершения операций по переводу денежных средств в Приложении.

1.4. Информация о версии операционной системы и модели устройства.

Цель: анализ возможных ошибок в работе Приложения и совершенствование работы Приложения.

Для целей анализа Банк может передавать информацию об операционной системе и модели устройства сторонним организациям в обезличенном виде.

1.5. Информация об IP-адресе и адресе точки подключения пользователя.

Цель: повышение безопасности пользователя при использовании Приложения и совершения финансовых операций.

1.6. Информация об SMS-сообщениях на устройстве Пользователя.

Цель: сохранение и использование в Приложении SMS-сообщений, поступивших от Банка (с номера 900).

1.7. Аудиоданные, полученные с использованием микрофона устройства возможности)

Цель: выполнение аудио звонков пользователя в Банк с использованием Приложения.

1.8. Использование встроенного в Приложение антивируса.

1.8.1. Цель: повышение уровня оперативной защиты:

информация об установленном ПО, в том числе уникальный идентификатор установки ПО на устройстве, идентификатор и версия используемого ПО, уникальный идентификатор устройства, уникальный идентификатор пользователя в сервисах правообладателя;
информация о проверяемых URL, в том числе URL, по которому запрашивается репутация, и URL страницы, с которой был получен проверяемый URL, идентификатор протокола соединения и номер используемого порта;
информация о проверяемых сертификатах, в том числе URL и IP адреса сайта, для которого осуществляется проверка, серийный номер и содержимое проверяемого сертификата, а также его тип и контрольная сумма (MD5);
информация для получения репутации проверяемого файла, в том числе его контрольная сумма (MD5), а также тип детектирования, идентификатор использованной записи в базе угроз, тип и время создания записи;
1.8.2. Цель: выявление новых и сложных для обнаружения угроз информационной безопасности и их источников, угроз вторжения, а также повышения уровня защиты информации, хранимой и обрабатываемой пользователем на устройстве:

информация об установленном ПО, в том числе уникальный идентификатор установки ПО на устройстве, идентификатор и версия используемого ПО, уникальный идентификатор устройства, данные о типе устройства и установленной на нем ОС и пакетов обновлений ОС;
информация об атаках, связанных с подменой сетевых ресурсов, в том числе URL, на котором обнаружена подмена, версия используемой базы угроз, идентификатор записи в базе, соответствующий обнаруженной угрозе, имя, контрольная сумма (MD5) и размер файла приложения, запросившего подмененный URL, тип клиента, весовой уровень атаки, название цели атаки, уровень надежности обнаружения, признак Silent-детектирования;
информация о проверенных файлах, в том числе название файла и контрольная сумма (MD5), путь к нему и код шаблона пути, код и идентификатор типа файла, признак исполняемого файла, название обнаруженной угрозы согласно классификации правообладателя, время выпуска и время последнего обновления антивирусной базы, идентификатор и тип использованной записи в базе, признак отладочного детектирования, идентификатор уязвимости и класс её опасности, идентификатор задачи ПО, в рамках которой выполнена проверка, признак проверки или подписи файла.
1.8.3. Цель: улучшение качества работы ПО и обновления ПО:

информация о результатах обновления ПО, в том числе тип и уникальный идентификатор устройства, на котором установлено ПО, уникальный идентификатор установки ПО на устройстве, идентификаторы ПО и задачи обновления, идентификатор и версия обновления ПО, идентификатор настроек обновления ПО, результат обновления ПО, идентификатор условия формирования передаваемой статистики, идентификатор настроек ПО, идентификатор и название партнера, для которого выпущено ПО, язык локализации ПО, уникальный идентификатор и тип установленной лицензии, данные об установленной ОС, в том числе тип и версия, идентификатор программы «приведи друга», доступной для ПО;
информация о возникших ошибках в работе компонент ПО, в том числе тип и время возникновения ошибки, а также идентификатор компонента ПО и задачи, при выполнении которой возникла ошибка, копия участка оперативной памяти устройства, относящегося к вызвавшему ошибку компоненту ПО, тип и время создания копии участка оперативной памяти, даты создания, активации и истечения используемого лицензионного ключа, количество компьютеров, на которое рассчитана лицензия, имя первичного файла обновления, дата и время первичных файлов предыдущего и нового обновлений, дата и время завершения последнего обновления, версия набора передаваемой информации, время отправки информации.
1.8.4. Цель: защита пользователя от мошенничества при посещении страниц сайта Банка:

Идентификатор и версию используемого ПО, уникальный идентификатор компьютера, информацию о состоянии используемого браузера, идентификатор параметров настроек ПО.
1.8.5. Цель: повышение уровня защиты информации, хранимой и обрабатываемой пользователем на устройстве:

Идентификатор и версия используемого ПО, уникальный идентификатор устройства, тип и версия установленной ОС, тип и версия браузера, время последнего обновления антивирусных баз;
информация об атаках, связанных с подменой сетевых ресурсов, в том числе URL, на котором обнаружена подмена, название цели и метода обнаружения атаки;
информация о проверяемых сертификатах, в том числе URL и IP адресе сайта, для которого осуществляется проверка, контрольная сумма (MD5) проверяемого сертификата, причина его не действительности;
информация об обнаруженных угрозах и уязвимостях, в том числе название угрозы и результат ее устранения, признак обнаружения уязвимости ОС, идентификатор угрозы, обнаруженный при запуске браузера, признак обнаружения загрузки не доверенного модуля;
информация об уровне защиты от получения снимков экрана
Указанные выше данные по встроенному антивирусу могут также использоваться для формирования отчетов по рискам информационной безопасности.

Дополнительно в рамках настоящей Политики Банк вправе использовать дополнительные программные инструменты (в том числе партнеров Банка) и cookies для сбора и обработки обезличенной статистической информации об использовании пользователем Приложения и услуг в рамках Приложения для целей улучшения Приложения;

2. Условия обработки Информации пользователя

2.1. В соответствии с настоящей Политикой Банк осуществляет обработку только той информации и только для тех целей, которые определены в пункте 1.

2.2. Встроенный в Приложение антивирус обрабатывает полученную информацию, исключая данные, относящие к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), и никак не связывает обрабатываемую информацию с персональными данными пользователя.

2.3. Банк принимает все зависящие от Банка организационные и технические меры для защиты Информации пользователя от неправомерного доступа третьих лиц, использования, копирования и распространения.

2.4. Для целей, изложенных в настоящей Политике, Банк может привлекать к обработке Информации пользователя партнеров, с которыми у Банка заключены соответствующие соглашения о конфиденциальности. Передача Банком партнерам обезличенных данных об использовании Приложения для целей улучшения работы Приложения осуществляется на основании договоров с партнерами.

2.5. Информация пользователя может сохраняться на ресурсах Банка и его партнеров в течение срока действия договорных отношений между Банком и пользователем касаемо Приложения, а также в течение 5 лет после расторжения таких договоров.

2.6. Информация Пользователя может быть предоставлена государственным органам в соответствии с требованиями действующего законодательства.