25 июня 2013 г.

Взгляд из-за океана: персональные данные – что это?

Европа и Америка готовятся к пересмотру подходов к защите персональных данных. Это, в общем-то, логично. Европейская Конвенция, из-за желания следовать которой (не вполне добровольного) родился российский закон «О персональных данных», была принята в далеком 1981 году, когда интернета, соцсетей и электронной коммерции в современном понимании не было. Да и пластиковые и электронные деньги для большей части населения земли были экзотикой.
Жизнь изменилась, должны меняться и законы. Россия тоже не в стороне от этого процесса. Уполномоченный орган, один известный сенатор и один не менее известный думец постоянно говорят о необходимости достаточно радикального изменения закона и дороге к европейским нормам.
К процессу выработки новых правил активно подключились глобальные интернет-компании, последнее время находящиеся в центре бесконечных скандалов, связанных с приватностью, использованием попавших в их руки данных о гражданах, доступом спецслужб к их серверам, а, следовательно, и к нашим данным. Естественно, что лоббируется максимальная либерализация правил, определяющих порядок использования персональных данных, в первую очередь – доступа к ним, передачи третьим лицам и хранения в течение неограниченного времени без согласия клиентов. Даже одиозный CISPA, головную боль Банка России, и не только его, Google, Microsoft, Yahoo, Cisco, Oracle и Marvell дружно поддержали.
Евгений Бартов разместил перевод весьма интересной статьи Вильяма Бэйкера (William B. Baker) и Энтони Матьяшевски (Anthony Matyjaszewski) ««Персональные данные» и «неперсональные данные»», опубликованной на сайте International Association of Privacy Professionals (IAPP), в которой представлен заокеанский взгляд на то, что же на самом деле требует защиты из неопределенной массы «любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу». Специалисты IAPP изучили определения персональных данных в 36 законах о защите данных 30 стран.
Для начала я бы обратил внимание, что в «Директиве Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24.10.1995 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных» после слов про «прямо и косвенно», так глянувшихся нашим депутатам, идут слова про определение этого самого лица через идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности. А в Европейской конвенции речь идет о «конкретном или могущем быть идентифицированным лице». Все-таки европейские нормы говорят, в первую очередь, именно об идентификации, а не просто об информации, относящейся к кому-то. Она вся к кому-то относится.
Но самое интересное – это вывод авторов о том, что ни один из рассмотренных в исследовании законов не требует, чтобы лицо действительно было идентифицировано. Они либо оставляют такую возможность, используя термин identifiable (поддающийся идентификации), либо конкретизируют, что данные являются персональными, если по ним можно идентифицировать субъекта или с их помощью субъект ПДн поддается идентификации. Таким образом, даже малейшая возможность идентификации лица может быть достаточной для того, чтобы отнести данные к ПДн.
А теперь, после затравки, - про статью. Главный ее посыл в том, что, прежде чем говорить о защите персональных данных, необходимо определиться, что защищать надо, а что вовсе в этом не нуждается. С подачи Джулии Брилл, члена Федеральной торговой комиссии США, использовавшей вынесенные в заголовок термины «персональные данные» (personally identifiable information, PII) и «неперсональные данные» (non-PII) авторы статьи препарируют блюдо, пытаясь разделить в нем собственно котлету и мух.
В результате анализа законодательства уже упомянутых 30 стран (!) авторы приходят к неожиданному для нас с вами выводу, что во всех законах, даже размытых европейских, речь всегда идет об идентифицирующих данных. Вот кто бы это объяснил нашим законотворцам и применителям. За рубежом законодатели иногда даже опускаются до унылого перечисления всего того, что к таким данным относится, создавая фактически исчерпывающие перечни. Порадовал вывод: «Гибкие формулировки [определения ПДн] позволяют адаптироваться к будущим изменениям, но при этом создают неопределенность».
Следующие важнейшие вопросы касаются того, надо ли защищать только зафиксированные на материальном носителе данные, или любые, в том числе, например, просто произнесенные, и какие способы их фиксации влекут необходимость защиты. Нам бы их проблемы. У нас бабушку с внучкой в больнице не принимают, считая, что бабушке без нотариальной доверенности на представление интересов ребенка про ОРЗ внучки знать нельзя.
Следующая глобальная проблема – надо ли защищать ложные сведения о субъекте? Без комментариев. Надо, думают в некоторых странах. И фиксируют это в законах.
Отдельная тема – про публичные личности. Где граница допустимости обработки персданных Барака Обамы (в переводе – Владимира Путина :-)) и есть ли она?
Очень интересный вопрос – рабочая контактная информация. В документах наших клиентов приходилось видеть такие шикарные формулировки, как «допустимость использования имени (имени и отчества) при личном обращении к субъекту на территории предприятия и согласие на это». Это уже жесть, что называется «довели народ до кондиции». Кстати, вопрос использования адреса электронной почты и отнесения почтовых систем к ИСПДн остается весьма нетривиальным.
А как вам персданные только живых или неживых людей, в том числе не рожденных?
Мы в своей практике уже не раз сталкивались с оценкой правомерности обработки персданных умерших субъектов, являвшихся стороной договора с оператором, и оценки правомерности обработки данных их правопреемников, наследников и выгодоприобретателей. И мало не показалось никому.
В оценке идентифицирующих данных крайне интересными являются подходы к отнесению к этой категории данных IP-адресов, как статических, так и динамических, цифровых отпечатков или, например, конфигурации компьютера субъекта, особенностей использования браузеров, шрифтов или кликов мышью.
А как насчет ваших данных, сдаваемых управляющим и ресурсопоставляющим компаниям, операторам связи и прочее-прочее? Они вас идентифицируют? По каким признакам?

Общий вывод и совет интересующимся проблемой. Почитайте. Крайне интересно. Вдруг среди вас окажутся пишущие законы… И мы включимся в общемировой процесс обсуждения этих проблем. Их же все-таки надо решать.