За словами “защита информации” неотступно следуют четыре классических вопроса: “Что?”, “Отчего?”, “Для чего?” и “Как?”. Задаваться эти вопросы должны каждый раз и именно в перечисленной последовательности, поскольку без четкого ответа на предыдущие вопросы, последующие вопросы теряют смысл. К сожалению, когда речь идет о защите персональных данных, смысл обычно утрачивается уже на первом вопросе: “Что такое персональные данные?”
Поищем ответ на этот нетривиальный вопрос в библиотеке Британского Офиса Информационного Комиссара (звучит немного странно, но так уж это называется). Европейцы наломали копий в данном вопросе и выпустили весьма объемный документ под названием “Техническое руководство по определению того, что такое персональные данные” (Technical Guidance Note – Determining what is personal data).
В британском законе о защите данных (Data Protection Act 1998, далее – DPA) к “персональным данным” относят информацию, которая:
- представляет собой “данные”, которые обрабатываются при помощи автоматизированных средств (в компьютерных системах), либо без использования средств автоматизации (в системах регистрации документов (filing systems))
- относится к определяемому (идентифицируемому) на основании этих данных субъекту ((живому) физическому лицу – индивидууму)
Первый пункт определяет “природу” информации (данные), которая определяется способами ее обработки (автоматизированные компьютерные системы и неавтоматизированные системы регистрации документов). Любая другая информация (не представленная в форме компьютерных данных или бумажных зарегистрированных документов) согласно DPA к данным отношения не имеет.
Второй пункт определяет “принадлежность” информации “определенному” субъекту, т.е. “персональный” характер данной информации. Информация носит персональный характер, если можно установить (не обязательно на основании только этой информации) к кому конкретно она относится, другими словами, если субъекта можно идентифицировать на основании данной информации и эта информация относится именно к нему.
Для того, чтобы определить относится ли конкретная совокупность данных к разряду “персональных данных” (на которые распространяется действие DPA), можно использовать восьми-шаговый алгоритм, заключающийся в ответах на ряд последовательных вопросах (как в службе помощи MS Windows):
1. Идентифицируемость субъекта
Может ли живой индивидуум быть идентифицирован (установлен, определен) на основании этих данных или этих данных и другой информации, находящейся во владении оператора ПДн, или которая может с достаточной вероятностью оказаться у оператора ПДн?
Ответ “Да” – переходим к следующему вопросу
Ответ “Нет” – эти данные не являются “персональными” данными
Идентифицируемость – это возможность отличить индивидуума от других членов группы (сообщества) (не путать с аутентификацией – подтверждением подлинности субъекта) . В большинстве случаев, ФИО и некоторой дополнительной информации достаточно, чтобы идентифицировать субъекта. ФИО – это общепринятое средство идентификации людей на бытовом уровне, но, к сожалению, одних ФИО недостаточно (поэтому, в частности, придуманы паспорта), т.к. существуют полные тезки, поэтому возможность идентифицировать кого-то по ФИО, зависит от контекста (от наличия некоторой дополнительной информации).
Например, “Степан Степаныч” – это однозначно не персональные данные, т.к. таких много на Руси и непонятно о ком конкретно идет речь, а вот “Степан Степаныч – владелец фирмы “Степаныч и партнеры” позволяет идентифицировать Степаныча, если только у “Степаныч и партнеры” среди владельцев не два и не три Степан Степаныча. В последнем случае для идентификации Степаныча потребуется дополнительная информация, например, номер личного телефона. Но и этого будет недостаточно, если у Степанычей один телефон на всех, тогда для идентификации конкретного Степаныча потребуется еще информация о нем и т.д. Отсюда становится понятно, что один и тот же набор данных в зависимости от контекста и от конкретных обстоятельств, может как относится к “персональным” данным, так и не относится к таковым.
Конечно, если вам неизвестно имя (ФИО) человека, это не означает, что вы не можете его идентифицировать. Например, многие соседи Степан Степаныча не знают его полного имени (и даже неполного, если Степаныч, скажем, москвич, живет инкогнито или просто неллюдим), однако это не мешает им его идентифицировать. Они могли бы его описать, например, следующим образом: “небольшой лысеватый человек, проживающий в квартире справа от меня и паркующий свой запорожец у нас под окнами”. Это абстрактное описание, как ни странно, позволяет идентифицировать Степаныча, опять же если их не несколько одинаковых Степанычей, живущих в одной квартире или в одной машине. Отсюда следующий вывод: для идентификации субъекта необязательно наличие его ФИО, паспортных данных, номера социального страхования и прочих официальных данных о нем, т.к. человека можно идентифицировать по косвенным признакам.
Многие операторы ПДн увлекаются анонимизацией (обезличиванием) персональных данных с целью минимизации класса ИСПДн (см. “Миф о минимизации класса защищенности ИСПДн“) или вообще ухода из-под действия закона. Один из практикуемых подходов заключается в том, что из баз данных ИСПДн, используемых в организации, удаляется информация, позволяющая идентифицировать субъектов (чаще всего это их ФИО) и заменяется неким абстрактным идентификатором. Данный идентификатор вместе с ФИО и прочими данными, позволяющими однозначно идентифицировать субъекта, храниться в службе каталогов (например, в AD), которая и классифицируется как ИСПДн, все же прочие ИСПДн организации (по мнению оператора) вовсе ИСПДн и не являются (или относятся к четвертому классу согласно принятой на данный момент в РФ классификации, что по факту тоже самое).
Подобные “анонимизаторы” обманывают сами себя, т.к. то, чем они занимаются, с точки зрения развитой европейской судебной практики, это не обезличивание, а всего лишь разнесение персональных данных по нескольким базам данных. Подобные действия могут иметь смысл сами по себе (с точки зрения защиты и обработки ПДн), но, к сожалению, не позволяют обезличить данные. В этом случае европейские директивы признают субъекта идентифицируемым, если это можно сделать любыми доступными оператору или любому другому лицу способами. Очевидно, что оператор ПДн располагает и необходимыми полномочиями и техническими возможностями для определения того, кому пренадлежат обрабатываемые им данные, даже если они разнесены по разным базам данных. Например, банк, эмитировавший кредитную карту, сможет (по данным на карте) определить кому она принадлежит, независимо от того, как он хранит эти данные, вместе или по отдельности (в соответствии с требованиями PCI DSS) и как он обеспечивает защиту этих данных. Оператор сотовой связи по номеру телефона имеет возможность определить, кто является абонентом, хотя и не всегда и т.д.
В спорных ситуациях рекомендуется рассматривать все доступные способы идентификации субъекта по представленным данным и не ограничиваться средствами, доступными каждому обычному незаинтересованному человеку, а рассматривать также средства, которые скорее всего были бы использованы людьми, заинтересованными в идентификации (установлении личности) конкретного субъекта, такими как следственные органы, шпионы всех мастей, супруги, журналисты и т.д. Если установление личности человека по имеющимся данным возможно только теоретически, но практически сложно реализуемо (слишком (необоснованно) затратно), то такие данные не относятся к персональным.
Таким образом, возможность идентифицировать субъекта по определенным данным, а значит и возможность квалифицировать данные как “персональные”, за исключением вполне очевидных или общепринятых ситуаций, зависит от различных факторов и определяется, фактически, на основании, субъективных экспертных оценок и сложившейся практики. Например, с точки зрения европейской практики, ФИО в сочетании с номером телефона, местом работы или домашним адресом, в большинстве случаев, вполне достаточно для идентификации субъекта.
Как мы видим, вопрос идентифицируемости субъекта является достаточно сложным и неоднозначным даже в европейском законодательстве о персональных данных, которому уже больше 20 лет, что тут говорить о нашем ФЗ-152, которому не исполнилось еще и 4 лет и в котором понятие персональных данных, хотя и позаимствовано из европейского, но не совпадает с ним (см. “ФЗ-152 “О персональных данных” vs UK Data Protection Act 1998“).
PS
Сначала я рассчитывал привести руководство по определению “персональных данных” в одной статье, но вопрос оказался столь сложен, что я физически не успеваю этого сделать, ведь рассмотренный признак идентифицируемости субъекта не единственный и мы ответили пока только на один из восьми вопросов, необходимых для определения персональных данных! Поэтому ко второму вопросу о том, как определить, что данные “относятся к субъекту” мы перейдем в следующей публикации, из которой увидим, что этот вопрос еще более нетривиален, нежели предыдущий, и распадается он на целых 7 отдельных вопросов.