Пытаются отвертеться? Что говорят в Dbrain об утечке миллиона паспортов

После громкой новости о том, что десять микрофинансовых организаций передали краудсорсинговому сервису Dbrain миллион изображений паспортов своих клиентов, нам поступило обращение от лица одного из основателей скандального стартапа – Алексея Хахунова. Он предпринял попытку оправдать откровенно плохую работу Telegram-бота для сбора данных, который компания ранее активно рекламировала на просторах интернета. Также Хахунов заявил, что все данные клиентов Dbrain якобы обрабатываются в соответствии с действующим законодательством.

Мы провели расследование, изучив согласия на обработку персональных данных клиентов сервиса, и рассказываем, как все обстоит на самом деле.

_{Публикуем заявление, полученное от пользователя с именем AlexeiHahunov:}

Здравствуйте!

Недавно ваша редакция опубликовала материал, содержащий некорректную информацию о нашей компании. Ссылка на статью: https://m.politnavigator.news/vzhukh-i-vash-pasport-utek-v-internet-kak-it-startap-dbrain-nezakonno-sobiraet-lichnye-dannye-rossiyan-pritvoryayas-ii.html.

Хотелось бы уточнить, была ли эта информация опубликована намеренно. Если нет, то мы готовы предоставить точные данные и прояснить ситуацию:

Все данные, которые нам передают клиенты, обрабатываются строго в соответствии с требованиями закона 152-ФЗ. Наша компания работает в полном соответствии с действующим законодательством, и никакие личные данные не передаются за пределы установленных нормативов.

Наши решения основаны на уникальных ИИ-системах, которые обрабатывают запросы с высокой скоростью. Обращаем внимание, что телеграм-бот подключен к тестовому стенду с ограниченными ресурсами и предназначен только для демонстрации. Эта система не предназначена для обработки фальшивых данных, таких как примеры из Википедии.

Мы надеемся на конструктивный диалог и исправление допущенных неточностей, чтобы ваши читатели получили достоверную информацию.

_{Все по закону?}

В полученном сообщении говорится, что все данные, которые передают Dbrain клиенты, “обрабатываются строго в соответствии с требованиями закона 152-ФЗ”. К этому Хахунов добавляет, что “никакие личные данные не передаются за пределы установленных нормативов”.

Прежде всего отметим, что обработка персональных данных может осуществляться только в том случае, если гражданин дал прямое согласие на это. Как указано в федеральном законе №152-ФЗ “О персональных данных”, согласие должно быть “конкретным, предметным, информированным, сознательным и однозначным”. Между тем, Telegram-бот Dbrain никаких согласий от пользователей не запрашивал. Сервис охотно принимал документы, а о том, кто и как получит к ним доступ, просто-напросто умалчивалось. Более того, сервис достаточно быстро деактивировал своего бота. Неужели предприниматели опасались ответственности?

Остается только догадываться, куда могли утечь паспорта пользователей и какие махинации с ними решат безнаказанно осуществлять стартаперы. Например, использовать в личных целях, как это было с миллионом паспортов клиентов МФО.  Вся история с Telegram-ботом выглядит как довольно примитивная схема — под благовидным предлогом тестирования системы выманить фотографии паспортов, а потом использовать их для обучения собственных продуктов, не заплатив обладателям документов ни копейки и даже не поставив их в известность. Очень удобно!

_{Найдите пять отличий}

Между тем, после того, как о миллионной утечке паспортов клиентов МФО написали крупные СМИ и Telegram-каналы, в Dbrain, как может показаться, предприняли попытку замести следы. По странному совпадению, как только об инциденте узнала вся страна, с сайта стартапа исчезли названия нескольких микрофинансовых организаций, “помогавших” с разработкой продукта “Антифрод 2.0”.

Напомним, вот так выглядел сайт на момент нашей публикации:

А вот что стало после того, как об утечке написали. Что называется, найдите пять отличий.

Вернемся к сообщению, которое мы получили в ответ на наше расследование. Алексей Хахунов отдельно замечает, что его проект “работает в полном соответствии с действующим законодательством, и никакие личные данные не передаются за пределы установленных нормативов”. Мы изучили согласия на обработку персональных данных и политики конфиденциальности МФО, которые передали сервису изображения паспортов своих клиентов для обучения продукта. Напомним, согласно закону, в таких документах должно быть четко прописаны все цели, с которыми происходит передача данных третьим лицам. В нашем случае речь должна идти об обучении продукта или схожих действиях.

Помимо пропавших с сайта стартапа организаций Нитро Кредит, Ezaem, Ecofinance, Denum, MoneyMan, мы нашли еще несколько МФО, которые упоминались в качестве клиентов Dbrain. Увы, при детальном изучении ситуация выглядит еще печальнее, чем могло показаться на первый взгляд. В итоге организации разделились на три группы.

К первой относятся те, у кого есть согласия с упоминанием Dbrain в качестве одной из организаций, кому МФО передают и от кого получают персональные данные своих клиентов. Однако упоминания отправки данных для обучения какого-либо продукта в них нет.

Вот характерный пример. В политике конфиденциальности MoneyMan при упоминании ООО «Дибрейн» среди целей передачи указано только следующее: “распознавание полей скан-копии или фотографии паспорта и преобразование данных в текст; проверка соответствия внешности пользователя и его фотографии в документе, удостоверяющем личность”. Как можно убедиться,  принимая согласие, пользователь не позволяет отдавать свои данные на обучение каких-либо продуктов.

У другой МФО – Ezaem – среди операций, которые можно проводить с данными, также отсутствует упоминание тренировки ИИ.

Во вторую группу входят МФО, у которых есть согласия на передачу данных или положения об обработке персональных данных, однако в них не фигурирует Dbrain. Это, например, “Финмолл” и “Лайм Займ”. Возникает вопрос: на каком же основании данные получателей микрозаймов были отправлены этому сервису? Тем более – для проведения операций в собственных целях. Третья группа, в которую вошел “Нитро Кредит”, состоит из МФО, чьи согласия попросту недоступны для изучения. Документы нельзя открыть, посмотреть либо скачать. Так что узнать, есть ли там Dbrain, и для каких целей организация передает данные своих клиентов, невозможно.

Таким образом, у одних МФО имеются согласия на обработку или передачу персональных данных, где указан Dbrain, однако в них не прописано использование данных клиентов для обучения ИИ-моделей. Соответственно, изображения клиентов микрофинансовых организаций не должны были использоваться для отладки антифрод-системы. У других организаций Dbrain либо не упомянут в согласиях, либо эти согласия не доступны для изучения. Не говоря о том, что у некоторых МФО первая отправка персональных данных клиентов происходит вообще без принятия согласия пользователя.

Самостоятельно убедиться в неправомерности передачи данных, изучив интернет-ресурсы упомянутых МФО, может каждый желающий.

_{Угроза на миллион?}

Представители Dbrain открыто говорят не только о безнаказанном использовании настоящих документов в собственных целях, но и о сомнительных методах работы сервиса. Причем зачастую позиция стартапа меняется от комментария к комментарию. Например, летом этого года в компании признали, что используют труд краудсорсеров для обработки документов, в то время как в сообщении Хахунова говорится, что решения Dbrain якобы “основаны на уникальных ИИ-системах, которые обрабатывают запросы с высокой скоростью”. Последние события доказали, что пытаться искать правду в этих словах может оказаться так же бессмысленно, как и стараться найти пользовательские соглашения на использование паспортов для обучения ИИ.

Но ограничивается ли стартап одним лишь обучением? Дело в том, что в Dbrain активно пропагандируют так называемый HITL – подход, который подразумевает прямое вовлечение человека в функционирование искусственного интеллекта. Однако велик соблазн выдать труд людей за результат работы алгоритмов — и отдельные предприниматели ему поддаются. Тем самым они экономят на разработке и попутно за счет человеческого фактора “искусственно” повышают показатели успешности своих продуктов. Что мы имеем в виду? Клиенту могут рассказать красивую историю о беспрецедентно точном искусственном интеллекте, который за несколько секунд считает любую информацию. Однако в действительности текст с изображения паспорта или иной документации перепечатывают анонимные краудсорсеры.

Не секрет, что за выполнение работы ИИ человеку много не заплатят — речь о самых настоящих копейках. Сам Dbrain сулит своим наемным рабочим несметные богатства — одну десятую рубля за выполненное задание. Притом оператором краудсорсинговой платформы может стать абсолютно кто угодно, и ничто не мешает ему поступить с чьими-то персональными данными, мягко говоря, недобросовестно. Сегодня мошенники и иностранные спецслужбы умело работают со слитыми в сеть данными и создают паспорта-подделки, пользуясь технологиями deep-fake. А потому на один слитый в сеть документ может найтись десять проходимцев, готовых им воспользоваться. Добавить к этому остается лишь то, что клиентами Dbrain выступают Госуслуги, Газпромбанк, структуры Сбера, страховые компании. Если представить, сколько всего документов проходит через руки краудсорсеров и что может произойти, становится по-настоящему страшно…

К слову, на просторах интернета уже обнаружили некоторые публикации, которые указывают на возможную связь руководства стартапа со структурами, близкими к ВСУ.

А теперь вспомним о миллионе паспортов клиентов МФО, которые были отданы на обучение такому вот “хитрому” ИИ без согласия владельцев. С точки зрения самих микрофинансовых организаций это действие – фактически выстрел себе в ногу. Мы не знаем, было ли решение Dbrain скрыть упоминание МФО-партнеров самостоятельным, или его приняли под давлением. Однако слов из песни не выкинешь – так и скриншоты не удалить из интернета.

Теперь, если пострадавшие клиенты обратятся к юристам, никакие оправдания уже не помогут.