“Яндекс” и два крупнейших российских кредитных бюро запустили новый проект по оценке заёмщиков — физических лиц: их скоринговый балл может оцениваться в том числе с помощью данных, которые собирает “Яндекс”. В компании заявили, что обезличенные данные будут обрабатываться алгоритмами автоматически и исключительно в закрытом контуре “Яндекса”. Кредитное бюро будет передавать «Яндексу» в хэшированном виде адрес электронной почты и мобильный телефон пользователя. На основе этих данных система построит модель и выдаст показатель платёжеспособности.
Юрист Центра цифровых прав Владимир Ожерельев рассказывает, как это отразится на безопасности пользовательских данных и согласуется ли с законом “О персональных данных”.
Будут ли защищены данные пользователей?
Без полного понимания внутренних алгоритмов проблематично оценить, насколько данные пользователей будут защищены. Если к базе данных с информацией о заёмщиках будет получен несанкционированный доступ, технические возможности злоумышленников могут позволить установить конкретное лицо по набору данных даже в случае их обезличивания — всё зависит от уровня применяемых алгоритмов. Несмотря на большое внимание банков к защите информации, её передача в “Яндекс” создает дополнительную угрозу. Но учитывая технические возможности и компетенцию Яндекса, нет оснований полагать, что данные заёмщиков непременно окажутся в опасности. Подобные проекты являются неизбежными в силу постоянного развития информационных технологий и в целом несут в себе общественно полезные функции.
А что насчёт закона “О персональных данных”?
Другой аспект — законность такой передачи и обработки. ФЗ “О персональных данных” содержит механизмы, которые позволяют обеспечить соблюдение закона при таких операциях. Банки легко могут получить согласия заёмщика на обработку данных, а вот “Яндексу” нужно будет приложить усилия, чтобы все пользователи “Яндекса” согласились с тем, что их данные могут быть впоследствии использованы для оценки платёжеспособности. Вероятно, сбор данных и их подготовка для цели оценки платежеспособности будут осуществляться Яндексом заблаговременно, чтобы на момент получения запроса от банка иметь возможность дать оценку на основании уже имеющихся данных. Таким образом, сбор данных для целей оценки платёжеспособности может осуществляться независимо от желания пользователя осуществлять такой анализ. К сожалению, ФЗ “О персональных данных” содержит множество пробелов, которые позволяют злоупотреблять правом на обработку. А незначительный размер штрафов позволяет смотреть на риски нарушения закона сквозь пальцы.
Как найти компромисс между пользователями и компаниями, которые хотят использовать их данные?
Для пользователей было бы оптимальным создание отдельного пользовательского сервиса Яндекса, позволяющего выбирать типы данных и срок их обработки для целей кредитного скоринга и по собственному желанию отправлять их в банки. Ведь чем больше информации сможет получить банк для оценки заёмщика, тем быстрее сможет принять решение по кредиту, а на основании предоставленной дополнительной информации от Яндекса кредитный рейтинг может быть повышен, что было бы актуальным для заёмщиков, не имеющих кредитной истории.
Комментарии (13)
UnhappyPanda
26.12.2019 14:11+7Интересно что именно произойдет в момент вступления этой инициативы в силу. Вот допустим сейчас я пользуюсь Яндекс-сервисами и у них есть какие-то мои данные. В день Икс они обновляют своё лицензионное соглашение и высылают мне, что-то типа «плюс к тому что было, мы теперь можем отдать какие-то ваши данные в банки, на свое усмотрение», или что-то в таком роде. Как мне правильно разорвать отношения с Яндексом? Надо удалить все свои аккаунты во всех их сервисах? Я вот не уверен, что это вообще технически возможно. Надо запросить удаление данных? Что-то еще сделать?
habradante
26.12.2019 15:12+3Я что-то не понял. Если банк запрашивает скоринг для конкретного человека, то как данные могут быть обезличены? Если передаются хэши почты и мыла, то значит у яндекса есть с чем сравнивать и данные точно не обезличены. Получается рекламная сеть яндекса работает не с обезличенными данными, когда строит круг интересов пользователя.
И правильно ли я понимаю, что для того чтобы в банке дали кредит надо до этого в яндексе искать дорогие машины, часы и дома, а в почте посылать письма с ключевыми словами «я купил», «на днях приобрел» и т.п.?qasta
26.12.2019 17:27Думаю, что речь идёт о том, чтобы Яндекс возвращал результат только в том случае, если у него есть тот же самый телефон и та же самая почта в каком-нибудь профиле.
Многие компании так делают — чтобы обойти передачу персональных данных (типа мы ничего не передавали — эта информация у Яндекса уже и так была).
ChePeter
26.12.2019 15:51+2Это просто такая реклама Яндекса — кто не пользуется Яндекс кредита не получит.
Никакого другого смысла там нет. Все куки, ссылки и т.п. легко можно нарисовать.
molec
27.12.2019 16:18Предполагаю, что если все это сделать через третью компанию «Яндекс Скоринг», то с т.з. законодательства все будет действительно деперсонализировано.
Т.е. Яндекс из всех своих сервисов готовит некоторую деперсонифицированную выгрузку с захэшированными почтой, телефоном и неподписанными столбцами факторов.
Передает эту выгрузку новому юрлицу, в этих данных нет ни грамма персональных данных.
Аналогично поступают банки, только готовят выгрузку с информацией о выплате кредитов.
Скоринговое ООО готовит не менее скоринговую модель на базе этих двух выборок, формально не прикасаясь к персональным данным.
Далее банки просят яндекс скоринг оценить клиента, используя опять же хэшированные данные. При некоторой сноровке, можно даже использовать разные алгоритмы хэширования почты и телефонов в обучающей выборке и для собственно скоринга, чтобы модель не использовала в явном виде кредитную историю конкретного человека.habradante
28.12.2019 10:19Вот только данные надо обновлять, а значит «Яндекс Поиск» будет сгружать в «Яндекс Скоринг» вполне себе конкретные данные конкретного человека. И опять-таки, для того чтобы обновлять эти данные, Яндекс должен знать кому они принадлежат.
То что будет сделано «правильно» с точки зрения законодательства, не гарантирует что будет сделано «правильно» с точки зрения безопасности.
Анекдот на тему— Мойша, не ходите сегодня к магазину, там собрались нацисты и они бьют всех евреев.
— Так я по паспорту русский.
— Мойша, там не по паспорту, там по лицу бьют.molec
28.12.2019 11:28Насколько я понимаю — совершенно необязательно. Возможно создать вполне себе честную скоринговую модель, в которой ни на одном этапе никто не будет иметь доступа к действительно персональным данным. Другой вопрос, что в разы проще сделать иначе.
habradante
28.12.2019 11:47Достаточно того что в рамках обработки Яндекса данные не деперсонализированы, отдельные этапы/функции/сервисы не так важны.
Да и в целом, вместо того чтобы городить защиту «от себя», легче сказать «мы используем анонимные данные», большинство схавает. Код не публичный, проверить нельзя.
Revertis
27.12.2019 22:37Кредитное бюро будет передавать «Яндексу» в хэшированном виде адрес электронной почты и мобильный телефон пользователя.
То есть, к разным ящикам для разных сервисов, добавляется ещё и необходимость нескольких симок?
man41k
Вероятно подсунут соглашение в каком нибудь сервисе мелким шрифтом.