Откуда компании знают наши номера телефонов

В начале осени читатель vc.ru Mikhail Chehchetka разразился гневной заметкой. Поводом послужил звонок из «Почта банка», где Михаил никогда никаких счетов не держал. Звонок раздался почти сразу после того, как Михаил вбил в поисковике слово «кредитная карта», причем на сайт «Почта банка» не заходил. Милый женский голос предложил выгодный кредит. На законный вопрос Михаила: “Откуда у вас мой номер телефона?»- девушка на той стороне провода (или, точнее, радиоканала) сказала, что узнает и перезвонит. После поднятого в сети хайпа, на связь вышел «Почта банк» и сказал, что Михаилу позвонили по ошибке.

Случай оказался узнаваем, в комментариях разгорелась бурная дискуссия. Наша компания IDX, занимающаяся удаленным удостоверением личности, общается с крупнейшими российскими операторами персональных данных. Мы немного знаем, как все внутри устроено, и попытаемся объяснить, откуда «Почта банк» (да и любой другой банк) мог взять телефон Михаила. Обращаем внимание, что это лишь наши предположения.

«Почта» знала и так – такова первая версия, высказанная читателями. Действительно, «Почта России» – один из крупнейших держателей персональных данных в РФ. Она знает все наши ФИО и адреса регистрации, а очень часто и место жительства (если оно не совпадает с адресом регистрации). Мы приходим на почту за посылкой или заказным письмом и предъявляем наш паспорт, почтальоны все еще разносят пенсии. А значит, у Почты есть паспортные данные десятков миллионов граждан РФ, причем если гражданин хоть раз получал заказное письмо, собственноручно заполнял на обратной стороне уведомления паспортные данные, то у почты есть и образец его почерка. А еще существует ЕСИА (Единая система идентификации и аутентификации -для непосвященных – это такая государственный реестр физлиц, через который мы можем авторизоваться на портале госуслуг, ФНС, ГИБДД и в других государственных сервисах), к которой «Почта России» не просто имеет доступ, а заполняет ее нашими профилями. Как заявлял летом заместитель генерального директора ФГУП «Почта России» Сергей Емельченков, каждый месяц его предприятие получает дополнительный петабайт информации, благодаря чему идентифицирует клиентов уже по 70 параметрам. Между тем, эта версия в случае с Михаилом не работает, ведь Михаил утверждает, что на почте не был уже много лет.

Вторая версия, высказанная читателями: данные банку слил сотовый оператор. Но, несмотря на кочующие в Сети мифы, сотовые операторы не продают свои базы никому. Это им невыгодно. Хотя бы потому, что, продав «сырые» данные один раз, они уже не продадут второй. Наоборот, операторы пытаются обогатить свои знания о клиентах, на их основе делают аналитику и продают сторонним компаниям уже услуги.

«Я не являюсь вашим клиентом - это 100%. Я не давал в вашем банке разрешение на обработку персональных данных - это 146%», -- утверждает Михаил. Конечно, «Почта банку» он данные не давал. Но он пользовался услугами другого банка. А последние 10 лет банк обязан был брать у него «разрешение на обработку персональных данных». Их никто не читает.

В качестве примера рассмотрим скан разрешения на обработку ПД, подписанный лично работником нашей компании в банке «Хоум кредит» (официально ООО «ХКФ Банк»). «Хоум кредит» честно перечисляет компании, куда будет сливать ваши данные: это и банки (в том числе «Почта банк»), и Mail.ru Group, и «Яндекс», и даже никому не известное ООО «Всегда да». Кстати, на следующий день после подписания в «Хоум кредите» этого разрешения сотруднику IDX позвонили из… Тинькофф Банка. На законный вопрос, откуда у вас мой номер, был стандартный ответ из скрипта: «это номер дал ваш друг». Наш сотрудник не стал поднимать хайпа. Он просто знал, что вчера собственноручно написал разрешение на это. Но! Ребята из банков, поменяйте скрипт! Ваш бред про «друга» раздражает многих и снижает конверсию и так не сильно эффективных «холодных звонков».

Михаил собрался подавать в суд. «Нарушение 18 статьи закона о рекламе и нарушение 15 статьи закона о персональных данных”, -- возмущается Михаил. Непонятно, что он хочет от этого получить. Если деньги, то дело это гиблое. Никакого материального вреда звонок Михаилу не принес. Можно было бы на что-то надеяться, если бы в момент звонка Михаил наливал кипяток, был так шокирован, что ошпарил себе ногу и потом месяц провел с ожогом в больнице. Но этого, к счастью, не произошло.

Остается вред моральный. Здесь российская правоприменительная практика играет не в пользу Михаила. Например, одна клиентка Тинькофф банка в 2015 году уже пыталась отсудить моральный ущерб за то, что банк неправомерно пользовался ее персональными данными. Суд доказательств морального вреда не обнаружил. Хоть что-то можно отсудить, если подать коллективный иск, советуют юристы. Но опять же надо доказывать материальный вред. Более того, и на Западе этот фокус проходит с трудом. Недавно коллективный иск Google о незаконном сборе персональных данных в Британии был проигран истцами.

А откуда на самом деле берут данные банки? Итак, звонок последовал сразу после того, как Михаил набрал в поисковике слова «кредитная карта». Да, мы помним, звонок - это была ошибка «Почта банка». Но, допустим, это не было ошибкой. Тогда (и это не единственный вариант развития событий) в дело мог вступить «пиксель». «Пиксель» - это встроенный жучок (скрипт, маленький программный код), который идентифицирует человека по cookies. Сookies – это кусочек кода, который записывает все поведение человека на сайте. Он создает набор признаков, по которым можно, с некоторой долей вероятности, определить конкретного человека. (Мы по многу раз в день получаем предупреждение от сайтов, на которые заходим, что Сookies там есть. И спокойно это принимаем). Так вот, существуют сервисы, которые обрабатывают Сookies из разных источников и умеют связывать их с номерами мобильных телефонов людей или другими контактами. При этом ФИО человека никто может и не знать. (Теоретически его можно вытащить из других баз, но для «холодного» звонка это не обязательно). Банк, к примеру, заказывает такой компании номера телефонов людей, которые интересуются кредитами, и бац – вот он, онлайн-поток номеров таких бедолаг. Михаил мог стать жертвой такого сервиса. Но не стал. Ведь звонок «Почта банка» - это была просто ошибка.

С удовольствием выслушаем другие версии происшедшего.