Благодаря бывшему полицейскому, обвиняемому сейчас в фабрикации дела против журналиста Ивана Голунова, стало известно, что компания Яндекс.Такси предоставляет данные о поездках россиян правоохранительным органам. 

Бывший начальник отделения по контролю за оборотом героина и синтетических наркотиков УВД по Западному административному округу Москвы майор Игорь Ляховец рассказал в своих показаниях, что установил адрес проживания журналиста, запросив историю его перемещений в Яндекс.Такси. Компания публично подтвердила, что получила запрос и ответила на него. 

История с Яндекс.Такси — всего лишь маленькая деталь в деле Голунова, но она демонстрирует возможности российских спецслужб получать любые данные о каждом, кто пользуется онлайн-сервисами. Вопрос о безопасности клиентов Яндекс.Такси в других странах, где можно воспользоваться услугами компании, тоже пока остается открытым.

Беспокойства добавляет тот факт, что компания Яндекс.Такси не была обязана предоставлять полиции данные о Голунове. Правозащитная группа “Роскомсвобода” проверила реестр распространения информации — список организаций, которые обязаны предоставлять данные о своих пользователях по запросу российских властей, созданного в рамках “пакета Яровой”. В нем есть несколько других сервисов Яндекса, но Яндекс.Такси нет. 

Тем не менее, Яндекс.Такси ссылается на другой закон — “Об оперативно-розыскной деятельности”. Этот акт регулирует любые расследования полиции, и, согласно ему, любая организация, вне зависимости от того, находится ли она в реестре распространения информации, обязана отвечать на запросы правоохранителей. 

Однако по словам представителя правозащитной группы Агора Кирилла Коротеева, этот закон предусматривает, что отвечать на запросы о предоставлении конфиденциальных данных при отсутствии судебного постановления не обязательно. И в деле Голунова такого постановления действительно не было. Представитель Яндекс.Такси Наталья Журавлёва сообщила Coda Story, что, хотя “некоторые типы запросов — например, запросы на раскрытие текста частной переписки между людьми — требуют соответствующего судебного решения”, запросы на истории о поездках — нет.

Сам Иван Голунов сомневается, что запрос, предоставленный правоохранителями, законен. По его словам, он был написан в свободной форме и отправлен с почтового адреса, зарегистрированного на mail.ru. Голунов подтвердил Coda Story, что видел доказательства этому во время судебного разбирательства. Однако Яндекс.Такси отрицает, что запрос был получен по электронной почте. Представитель компании Владимир Исаев в своём посте на Facebook заявил, что лично видел подписанный документ, “оформленный по всем правилам”. 

Голунов объяснил Coda Story, почему он считает вопрос о получении запроса по электронной почте предельно важным: “Мне не нравится, что информация о моих передвижениях может стать доступна любому человеку, который может отправить письмо в Яндекс.Такси, подписавшись сотрудником полиции. Я считаю, что подобную информацию компания должна разглашать только по решению суда”.

Вне зависимости от того, предоставило ли Яндекс.Такси сотрудникам полиции больше информации, чем это было юридически необходимо, этот случай показывает, что у российских властей нет проблем с получением беспрепятственного доступа к данным частных компаний, они даже не видят необходимости обосновывать свои запросы. “Я думаю, сейчас особенно необходимо подчеркнуть, что запросы от властей не содержат деталей или имён. Они также не уточняют, находится интересующее их лицо под подозрением или является жертвой. В запросе может быть указан только телефон или пользовательский номер”, — пояснила Наталья Журавлёва.

Международные последствия 

Яндекс.Такси работает в семнадцати странах Восточной Европы, Центральной Азии и Западной Африки. И в некоторых из них уже обеспокоились, как такая непрозрачность деятельности компании может отразиться на гражданах. В Грузии Яндекс.Такси является вторым по популярности приложением, предоставляющем услуги перевозок. Новость о роли компании в деле Голунова была воспринята с тревогой. Парламентарий Ираклий Абесадзе в своём интервью грузинскому телевидению призвал государственные службы безопасности расследовать, передаёт ли Яндекс.Такси данные о грузинских пользователях российским властям или нет.

Вопрос о передаче данных клиентов Яндекс.Такси из разных стран российским властям поднимался задолго до истории с Голуновым. В 2018 году Национальный Центр Кибербезопасности министерства обороны Литвы опубликовал расследование о том, что приложение Яндекс.Такси в Литве регулярно отправляло зашифрованные сообщения на российские IP-адреса. Премьер-министр Литвы Саулюс Сквернялис публично призвал граждан не устанавливать приложение из соображений безопасности.

Наталья Журавлёва объяснила, что ответственность за пользовательские данные за пределами России несет юридическое лицо, которое обслуживает Яндекс.Такси в конкретной стране: “Например, российское ООО “Яндекс.Такси” будет обрабатывать запросы правоохранительных органов о поездках в России, если запросы выполняются в соответствии с установленным законом порядком. Запросы о поездках в Грузии будут обрабатывать находящиеся в Нидерландах Yandex.Taxi B.V., в то время как запросы о поездках в Гане будут обрабатывать MLU Africa B.V.”

Партнерство с Uber

В 2018 году Яндекс.Такси и Uber в Беларуси, Грузии, Казахстане, Армении, Азербайджане и России объединились в корпорацию под названием MLU B.V c главным офисом в Нидерландах. Если вы сегодня откроете приложение Uber на своем смартфоне в одной из этих стран, то вас перенаправят на Яндекс.Такси или другое управляемое Яндексом приложение. В России ещё можно воспользоваться Uber Russia, но в числе разработчиков всё равно будет указан Яндекс.

В США Uber в соответствии с политикой конфиденциальности предоставляет данные пользователей только по постановлению суда. Компания также публикует отчёты о прозрачности с уточнением числа таких запросов.

При этом российские компании не обязаны публично отчитываться о том, какие данные они предоставляют правоохранительным органам и в каких количествах, объясняет руководитель “Роскомсвободы” Артем Козлюк. “Все крупные IT-компании в мире выпускают доклады о своей прозрачности, два раз в год или раз в год. Это правило хорошего тона для ведущих компаний. При этом нет закона, который бы обязывал их это делать. В России компании не предоставляют даже статистику, поэтому мы не можем представить даже масштабы полицейских запросов”. 

На вопрос, может ли Яндекс.Такси публиковать отчеты о запросах правоохранительных органов, Журавлёва ответила: “Мы пока этого не делаем, но размышляем, как повысить прозрачность в этом направлении”.

Перевод Карины Левитиной

Оригинальный текст