Ключевые риски ПП от 30.10.2025 N 1687: как данные сделали товаром

Правительство РФ и Госуслуги поделились недавно радостной (с их точки зрения) новостью: премьер Мишустин подписал постановление Правительства о взимании платы с коммерческих компаний (операторы связи, банки и др.) за обращения к госорганам через СМЭВ.

Документ определяет тарифную сетку для таких случаев. Так, платный доступ предусмотрен для получения сведений из цифровых профилей граждан и компаний и для обращений к государственным информационным системам государственных и муниципальных платежей и ЖКХ.

В большинстве случаев плата составит 4,93 руб., для первичных запросов к цифровым профилям — 10 руб.

Если кратко:

• Банки смогут заранее узнать, давать ли вам кредит (спойлер: скорее всего, нет).
• Сотовые операторы подберут для вас тариф, от которого вы не сможете отказаться (потому что будут знать всё о ваших привычках).
• Наши партнеры из Big Data наконец-то сложат пазл из вашей личности полностью и покажут вам ту самую, единственную рекламу, которая заставит вас купить даже то, что не планировали.

И всё это — по смешной, почти символической цене! Всего за 4.93 рубля за ваш цифровой след частный бизнес сможет узнать о вас чуточку больше, чем вы сами.

Возмездный доступ — к ПД

Возмездный доступ, как пояснили в Минцифры, предусмотрен за получение коммерческими организациями сведений из «цифровых профилей» граждан и компаний (совокупность данных о физлице, юрлице и ИП, собранных в ЕСИА) и за часть обращений к государственным информационным системам (ГИС) государственных и муниципальных платежей и ЖКХ.

Это, в частности, некоторые категории участников национальной платежной системы (при работе с ГИС через инфраструктуру электронного правительства), а также, к примеру, банки, финансовые организации, страховые компании, операторы связи и коммерческие компании, получающие сведения в рамках проекта по «цифровому профилю».

«Мы понимаем необходимость инвестиций в инфраструктуру электронного правительства и надеемся, что принятая мера будет способствовать повышению качества и скорости предоставления данных бизнесу», — заявили “Ъ” в Ассоциации больших данных (объединяет «Сбер», «Яндекс», VK и др.).

Тарифицироваться будет сам сеанс взаимодействия (запрос-ответ), по итогам которого в систему поступили данные или ответ об их отсутствии, выставлять счета специальная подсистема СМЭВ будет ежеквартально. В перечне запросов, которые компании могут направлять через СМЭВ,— о действительности паспортов, данные о недвижимости и транспортных средствах.

Взимание платы разработчик объяснял необходимостью в дополнительных средствах на развитие и работу информсистем, используемых для оказания госуслуг. Огромный поток запросов от бизнеса создает серьезную нагрузку на СМЭВ, отмечают в Минцифры.

Государство собирало наши цифровые профили на Госуслугах (ЕСИА), в МВД и т.д., чтобы… начать торговать нашими ключевыми личными данными с частниками — если кратко, то это звучит примерно так. Причем нам с вами за пользование НАШИМИ данными в коммерческих целях — увы — ничего перечисляться не будет.

Ключевые риски Постановления правительства от 30.10.2025 N 1687

Канал «Матери Планеты»: статьи, расследования сделал краткую сводку по ключевым рискам данного ПП. Получился по итогу такой нехитрый список.

Риски для прав и свобод граждан

•  Государство превращает инфраструктуру, созданную для предоставления услуг гражданам (СМЭВ, ЕСИА), в коммерческий продукт. Это создает прецедент, когда государственные информационные системы используются для извлечения прибыли из данных граждан, собранных в том числе в обязательном порядке (например, базы МВД).
• Формализация согласия: В п. 2(д) Правил доступ к данным из ЕСИА (цифровому профилю) осуществляется на основании согласия гражданина. Однако на практике такое согласие часто получается в рамках оферт банков, операторов связи и других компаний под видом «улучшения сервиса». Гражданин может дать его неосознанно, под давлением или не имея реальной возможности отказаться без потери услуги. Это создает риски нарушения принципа добровольности и информированности согласия на обработку ПДн.
• В связке с законопроектом 1026189-8 создаёт законодательный  маневр, который не позволяет общественности адекватно оценить последствия и лишает граждан возможности для содержательного публичного обсуждения.

20 ноября Госдума приняла в 3 чтении законопроект 1026189-8 «О внесении изменений в Бюджетный кодекс РФ и отдельные законодательные акты РФ». В первом чтении внесенного в парламент документа, как и в пояснительной записке к нему, и близко не подразумевалось пункта, который появился после второго чтения.

А именно, в ПФЗ добавили вот такую поправку:

Статья 17 ФЗ «О полиции» под названием «Формирование и ведение банков данных о гражданах» дополняется пунктом:

«5.5 Информация, содержащаяся в банках данных, в случаях, предусмотренных федеральным законом, предоставляется, в том числе с использованием единой системы межведомственного электронного взаимодействия (СМЭВ), организациям, включая банки и иные кредитные организации. Указанная информация предоставляется за плату в случаях, порядке и размере, которые определяются Правительством РФ».

Ранее доступ к информационным системам МВД имели только государственные органы, должностные лица в пределах своих полномочий, зарубежные правоохранители и международные полицейские организации с соответствующими соглашениями.

А теперь за плату доступ к базам силовиков может получить практически любой (!) частник. Ничего личного, просто бизнес.

Риски для сохранности и конфиденциальности ПД

• Доступ к данным, включая сведения из ЕСИА и систем МВД, получает широкий круг коммерческих организаций (банки, операторы связи, кредитные организации, платежные агенты). Каждая такая организация — это дополнительная точка утечки. Чем больше точек доступа, тем выше совокупный риск несанкционированного распространения данных.
• Компании, получая данные из официальных государственных источников, могут объединять их с другими данными, собранными самостоятельно (напр., из вашего поведения в приложении банка, истории покупок, геолокации), для формирования детализированных поведенческих профилей. Эти профили могут использоваться для манипулятивного маркетинга, несправедливого ценообразования (напр., персональные тарифы) или иных целей, о которых гражданин не подозревает.
• В постановлении не содержится достаточных гарантий, что полученные данные не будут переданы компаниями третьим лицам (напр., партнерам по «экосистеме») или не будут использованы для целей, не указанных при получении согласия. Юридические формулировки часто позволяют широко трактовать цели обработки.

Риски для защищенности ПД

 Массовый платный доступ к СМЭВ со стороны множества коммерческих организаций увеличивает нагрузку на систему и расширяет ее периметр атаки. Любая уязвимость в системе одной из компаний-получателей или в каналах взаимодействия может стать лазейкой для хакеров к центральным государственным базам данных.

Гражданин не имеет эффективных инструментов для контроля:

• Кто и когда запрашивал его данные.
• Какие именно данные были переданы (постановление оперирует общими понятиями «сведения о физическом лице»).
• С какой конкретной целью был сделан запрос.
• Система уведомлений об обращении к его цифровому профилю отсутствует.
• Дисбаланс власти: Государство и крупный бизнес, объединив свои массивы данных, получают беспрецедентную власть над гражданином. Это создает риск принятия решений, автоматически ограничивающих права гражданина на основе алгоритмического анализа его данных (кредитный скоринг, социальный рейтинг и т.д.), без возможности оспорить логику такого решения.

Постановление № 1687, в связке с поправками в закон о полиции, легализует модель, при которой персональные данные граждан становятся товаром, а государственная инфраструктура — платформой для его продажи.

Основной риск заключается не в самой сумме платы (4,93-10 руб.), а в системном изменении парадигмы отношения государства к приватности граждан.

Вместо того чтобы быть гарантом защиты прав, государство становится главным оператором по их монетизации. Это создает фундаментальную угрозу приватности, конфиденциальности личной жизни и права на защиту персональных данных, гарантированных Конституцией РФ (ст. 23, 24).

Анализ Пользовательского соглашения (ПС) ЕСИА (Госуслуги)

Анализ Пользовательского соглашения (ПС) ЕСИА (Госуслуги).
В данном документе заложены правовые механизмы, которые делают эту передачу возможной и легитимной с точки зрения оператора (Минцифры).

• Широкие права Минцифры и отсылка к законодательству.

Пункт: «Минцифры России вправе: … реализовывать в соответствии с законодательством Российской Федерации иные права в качестве федерального органа исполнительной власти… и оператора…»

Это самый важный пункт. Он является юридическим «шлюзом». Любые новые полномочия, которые будут прописаны в федеральных законах (как поправка в закон «О полиции») или в постановлениях Правительства (как Постановление № 1687), автоматически считаются включенными в это соглашение.

Пользователь, принимая соглашение, заранее соглашается с тем, что Минцифры может действовать в рамках меняющегося законодательства, даже если на момент принятия соглашения таких правил не существовало.

• Цели использования данных выходят за рамки предоставления госуслуг.

Пункт: «Пользователь вправе: использовать свою учётную запись в ЕСИА для санкционированного доступа к информации, содержащейся в государственных, муниципальных и других информационных системах».

Формулировка «другие информационные системы» не ограничивается государственными. Это может включать и коммерческие системы банков, операторов связи и т.д., если для них предоставлен «санкционированный доступ».

Законопроект как раз и предоставляет таким организациям этот санкционированный доступ.

• Отсутствие прямого запрета на передачу данных третьим лицам.

Пункт: «Минцифры России обязано: обеспечить защиту персональных данных пользователя в соответствии с требованиями законодательства Российской Федерации и «Политикой конфиденциальности»».

Это классическая уловка. Защита данных гарантируется, но только в рамках законодательства. Если законодательство (новый закон или постановление) разрешает передачу данных определенным третьим лицам за плату, то это не считается нарушением конфиденциальности.

Обязанность «обеспечить защиту» не равна обязательству «не передавать». Защита подразумевает технические и организационные меры, но не запрет на саму передачу, если она узаконена.

• Мониторинг действий пользователя.

Пункт: «Минцифры России вправе: проводить мониторинг действий пользователя на портале Госуслуг, в ЕСИА и в иных ФГИС инфраструктуры взаимодействия…».

Хотя этот пункт прямо не о передаче данных, он демонстрирует, что сбор и анализ информации о поведении пользователя является легитимной практикой.

Собранные метаданные (кто, когда, к какой услуге обращался) сами по себе являются ценной информацией, которая может быть частью того самого «цифрового профиля», передаваемого коммерческим организациям.

Ключевые выводы

• ПС ЕСИА устанавливает общие правила игры и дает Минцифры широкие полномочия действовать в рамках закона.
• Поправка в закон «О полиции» и Постановление Правительства № 1687 являются теми самыми «федеральными законами» и нормативными актами, на которые есть отсылка в соглашении.
• Согласно этим документам, доступ к данным (включая сведения из ЕСИА и МВД) для коммерческих организаций становится предусмотренным федеральным законом.

Хотя в ПС нет пункта, который бы прямо гласил: «Мы продаем ваши данные банкам», однако в нем есть системные положения, которые позволяют легитимировать эту практику постфактум, не меняя само соглашение.

Принимая это соглашение, пользователь де-факто соглашается с тем, что:

• Его данные могут быть переданы третьим лицам, если это разрешено текущим или будущим законодательством.
• Минцифры имеет право осуществлять такую передачу в рамках своих полномочий оператора.
• Такие действия не будут считаться нарушением конфиденциальности или условий соглашения.

Таким образом, ПС действует как юридический фундамент, а конкретные механизмы монетизации данных прописываются в других нормативных актах, что делает всю схему формально законной с точки зрения взаимоотношений «пользователь — оператор».

Это и есть та самая «лукавость» и «маскировка», о которой мы писали выше.

Другие полезные материалы по теме «Персональные данные и их защита»

• Обезличенные персональные данные и опасность их обработки
• Кто вы — «СФЕРУМ»? Куда утекают персональные данные наших детей?
• Жалоба на случай принуждения к установке того самого мессенджера
• Инструкция: если пришел перевод на карту от неизвестного
• Использование МАХа — полностью добровольное
• «Ладошки» от Сбербанка. Новый-старый формат сбора биометрии
• Новый проект Worldcoin и какие данные через него хотят украсть
• Минцифры хочет загнать всех детей на Госуслуги
• Важный доклад СПЧ «Цифровая трансформация и защита прав граждан в цифровом пространстве 2.0»
• «Цифровая ювеналка» АИС «Профилактика» готовится к наступлению с 1 сентября 2024
• О требовании копии паспорта салонами связи
• Платные медицинские услуги и обработка персональных данных
• Банк «Тинькофф» снова собирает биометрию
• Как бороться с утечкой персональных данных и вирусными ботами / Часть 2
• Учет успеваемости ребенка в школе, если у родителя нет Госуслуг
• Как закрыть (удалить) профиль на Госуслугах и запретить использовать свои ПД?

Источник: канал Матери Планеты»: статьи, расследования

Как закрыть (удалить) профиль на Госуслугах и запретить использовать свои ПД?

Спасибо нашим коллегам и специалистам цифровой сферы за пост — поделились с нами данной инструкцией юристы канала Юристы31/Online. […]