Основные риски при передаче информации онлайн-сервисам
Любой сервис, в который вы вводите данные, становится их хранителем. Хранитель может допустить утечку, продать массив третьей стороне или использовать информацию сверх заявленных целей. Вот три ключевых риска, которые нужно оценить прежде чем регистрироваться.
Утечка базы данных
По данным InfoWatch, в 2025 году в России произошло более 380 инцидентов с утечками персональных данных, затронувших свыше 780 млн записей. Основные причины — незащищённые серверы, уязвимости в API и человеческий фактор (сотрудник скачал базу на флешку). Если сервис хранит ваш пароль в открытом виде или использует устаревший алгоритм хеширования (MD5 без соли), после утечки злоумышленник получит не просто логин, а полноценный доступ к аккаунту.
Что конкретно утекает чаще всего: e-mail, номер телефона, хеш пароля, дата рождения, адрес доставки. Реже — данные банковских карт (крупные сервисы подключают PCI DSS-комплаенс), ещё реже — паспортные сканы.
Больше материалов по смежной теме — полезные инструкции.
Нецелевое использование
Сервис собирает одну информацию, а использует её для другого. Социальная сеть запрашивает геолокацию для «улучшения контента», а на деле продаёт данные о маршрутах рекламным сетям. Фитнес-приложение собирает пульс и вес, а передаёт массив страховой компании. В 2026 году такие схемы формально нарушают Федеральный закон № 152-ФЗ «О персональных данных» (ст. 5, ч. 4 — запрет на обработку данных, несовместимых с заявленной целью), но на практике доказать нарушение пользователю крайне сложно без доступа к внутренним процессам компании.
Профилирование и цифровая слежка
Алгоритмы платформ формируют вашу «цифровую тень»: что читаете, где бываете, что покупаете, во сколько ложитесь. Массив передаётся рекламным системам, кредитным бюро, потенциальным работодателям. Если вы не контролируете настройки приватности, профиль может содержать 1 500–3 000 параметров о вас — от предпочтений в еде до вероятности смены работы.
---
Для похожих разборов смотрите — смежные разборы.
Учётная запись и аутентификация
- Двухфакторная аутентификация (2FA) включена. Приоритет — аппаратные ключи (YubiKey, цена от 4 500 ₽), далее — приложения-аутентификаторы (Google Authenticator, Aegis). SMS-коды — крайний вариант: SIM-свопинг остаётся рабочей атакой.
- Уникальный пароль длиной от 16 символов сгенерирован менеджером паролей (Bitwarden, KeePass, 1Password). Не используйте один пароль для двух и более сервисов.
- Резервные коды сохранены в оффлайн-хранилище (зашифрованный файл на USB-накопителе или распечатка в сейфе).
- Активные сессии проверены: завершены все устройства, которые вы не узнаёте. В Google это «Моё устройство» → «Управление устройствами», в VK — «Настройки» → «Безопасность» → «Активные сессии».
Настройки приватности профиля
- Видимость профиля установлена на «Только я» или «Друзья» для полей: номер телефона, дата рождения, адрес электронной почты, место работы.
- Индексация профиля поисковиками отключена (если сервис позволяет). В Telegram: «Настройки» → «Конфиденциальность» → «Добавить исключения» для незнакомцев. В Facebook: «Настройки» → «Приватность» → «Хотите ли вы, чтобы другие поисковые системы ссылались на вашу хронику» → Нет.
- Геолокация передаётся сервису только при необходимости. Отключите фоновое отслеживание в настройках телефона (iOS: «Конфиденциальность» → «Службы геолокации»; Android: «Местоположение» → «Разрешения приложений»).
- История поиска и просмотров очищается. В YouTube — «Моё видео» → «История» → «Очистить». В Google — myactivity.google.com → «Удалить».
Привязки и разрешения
- Сторонние приложения с доступом к аккаунту проверены и лишние отозваны. В Google: myaccount.google.com → «Безопасность» → «Приложения с доступом к аккаунту». Удалите всё, чем не пользуетесь активно.
- Рассылки и уведомления сведены к минимуму. Отключите маркетинговые email, push-уведомления о «рекомендациях».
- Синхронизация контактов отключена в мессенджерах, если вы не хотите, чтобы сервис знал вашу телефонную книгу.
---
Таблица проверки: какие данные стоит скрывать, а какие допустимо указывать
| Данные | Уровень чувствительности | Когда допустимо указывать | Когда категорически не стоит |
|---|---|---|---|
| Средний | Регистрация в сервисе (используйте алиас или виртуальный адрес через SimpleLogin, от 0 $/мес) | Публикация в открытом профиле, на форумах, в формах обратной связи сомнительных сайтов | |
| Номер телефона | Высокий | Банковский сервис, государственные порталы (Госуслуги), верификация для крупных платформ | Соцсети, магазины скидок, сервисы с подпиской на рассылку |
| Дата рождения | Средний | Банк, страхование, медицинский сервис | Игровые платформы, стриминговые сервисы, приложения для знакомств (укажите только год, без точной даты) |
| Адрес проживания | Высокий | Только при необходимости доставки товаров или оформления документов | Любые сервисы, не связанные с физическим перемещением товаров |
| Паспортные данные | Критический | Банк, Госуслуги, нотариальные сервисы, работодатель (при трудоустройстве) | Маркетплейсы, сервисы бронирования, приложения-подписки — закон не обязывает их это |
| Фото паспорта / скан | Критический | Банк при удалённой идентификации (ст. 7.1 152-ФЗ) | Любые другие сервисы, даже если просят «для верификации» |
| ИНН / СНИЛС | Критический | Налоговая, работодатель, банк (при кредитовании) | Маркетплейсы, сервисы подписок, рекрутинговые платформы (закон не требует) |
| Банковская карта | Высокий | При оплате (привязывайте к виртуальной карте с лимитом, например, карта Тинькофф «Виртуальная», выпуск бесплатно) | Хранение в аккаунте мелкого сервиса без PCI DSS |
| Фотография лица | Средний | Соцсеть, мессенджер (если вам это нужно) | Сервисы, требующие «фото с паспортом» без явного юридического основания |
| Биометрия (отпечаток, радужка) | Критический | Только государственные системы (ЕБС Биометрия, с 2024 года — единый реестр) | Любые коммерческие приложения — передача биометрии регулируется ст. 11 152-ФЗ, требует отдельного согласия |
Правило «минимального порога»: если сервис не может объяснить, зачем ему конкретное поле, — не заполняйте его. Обязательные поля помечены звёздочкой (*); если поле «обязательно», но не помечено — напишите в поддержку и потребуйте обоснование.
---
Когда стоит полностью удалить аккаунт из сервиса
Удаление — крайняя мера, но в ряде случаев единственно верная. Вот ситуации, в которых пора действовать немедленно.
Сервис перестал существовать или сменил владельца
Если компанию купила другая организация, а в обновлённой политике конфиденциальности нет пункта о сохранении ваших прав на данные по старым условиям — ваши данные могут попасть в новый массив, обрабатываемый по другим правилам. Пример: после поглощения сервиса новым холдингом пользователи получают уведомление с новой политикой и 30 днями на принятие. Если вы не согласны — удаляйте аккаунт до истечения срока, иначе молчание считается согласием (ч. 1 ст. 9, 152-ФЗ).
Произошла утечка, затронувшая ваш аккаунт
Проверьте свой e-mail на haveibeenpwned.com. Если адрес обнаружен в утечке конкретного сервиса — смените пароль немедленно и оцените, какие данные были скомпрометированы. Если утекли паспортные данные или СНИЛС — удаляйте аккаунт и подавайте обращение в Роскомнадзор через portal.rkn.gov.ru. Срок рассмотрения обращений граждан — 30 рабочих дней.
Сервис запрашивает больше данных, чем необходимо
Музыкальное приложение просит доступ к камере, контактам и SMS — это нарушение принципа минимизации данных (ч. 5 ст. 5, 152-ФЗ). Отклоните запрос, отключите разрешения. Если сервис без этих разрешений не работает — он нарушает закон, и вам лучше его покинуть.
Вы больше не пользуетесь сервисом
Если аккаунт неактивен более 12 месяцев, а сервис не предоставляет функцию автоматического удаления неактивных профилей — удалите вручную. «Мёртвые» аккаунты — лёгкая добыча: злоумышленникам проще взломать профиль, за которым никто не следит.
В сервисе нет прозрачной политики обработки данных
Если на сайте нет раздела «Политика конфиденциальности» или он содержит только общие фразы без указания оператора, целей обработки, сроков хранения и прав субъекта — сервис нарушает ч. 2 ст. 18.1, 152-ФЗ. Штраф для юридических лиц — до 100 000 ₽ за каждый выявленный случай. Но штраф не вернёт ваши данные: просто уходите.
---
Следующий шаг: как отозвать согласие на обработку данных
Отзыв согласия — это не удаление аккаунта, а отдельная процедура, предусмотренная ч. 2 ст. 9, 152-ФЗ. Вот алгоритм.
Шаг 1. Найдите реквизиты оператора
В политике конфиденциальности сервиса указано юридическое лицо-оператор, ИНН, адрес и e-mail для обращений. Если адреса нет — запросите через форму поддержки, сославшись на ч. 3 ст. 20, 152-ФЗ (обязанность оператора сообщить сведения о обработке).
Шаг 2. Составьте заявление
Заявление в свободной форме содержит: ваши ФИО, e-mail, номер телефона, суть требования («Отзываю согласие на обработку персональных данных, предоставленных при регистрации [дата]»), ссылку на ст. 9, ч. 2, 152-ФЗ, дату и подпись. Если отправляете электронно — достаточно текста письма; при отправке почтой — заказное письмо с уведомлением (стоимость отправки от 85 ₽ через Почту России, доставка 3–7 рабочих дней в пределах ЦФО).
Шаг 3. Дождитесь ответа
Оператор обязан прекратить обработку в течение 30 календарных дней с момента получения заявления (ч. 5, 5.1 ст. 21, 152-ФЗ). Если обработка не прекращена — подайте жалобу в Роскомнадзор через электронную приёмную. Приложите скриншот заявления, квитанцию об отправке и ответ оператора (или его отсутствие).
Шаг 4. Удалите данные из браузера и устройств
После отзыва согласия очистите cookies, saved passwords и autofill в браузере (Chrome: «Настройки» → «Конфиденциальность и безопасность» → «Удалить данные» → «За всё время»). Удалите приложение сервиса с телефона. Проверьте, не остался ли аккаунт в менеджере паролей.
Важно: оператор вправе продолжить обработку данных, если есть иное законное основание (исполнение договора, законодательная обязанность). Банк не удалит данные о вашем кредите, даже если вы отозвали согласие, — это требование 115-ФЗ «О противодействии легализации» и нормативов ЦБ РФ.
---