Обработка персональных данных? Нет, не к нам. Элегантное решение от Golos


На сей раз — статья не такая большая, но весьма актуальная.

Наверняка уже читали, слышали, видели или просто знаете, что персональные данные (они же — ПД) — священный грааль закона №152 от 27 июля 2006 года (дабы не нарушать спокойствие ряда Хаброжителей относительно не-сквозной нумерации).

При этом, не так давно на арену вышел интересный, для меня лично, блокчейн-проект — Golos.io. Помимо прочего, он отличается и подходом к обработке ПД.

Уникальность состоит в том, что G.io вообще не обрабатывает ПД.

2b8f1f73fc8746cfa99e8856f4289466.jpg

Не буду рассказывать о сервисе: на сайте есть множество ссылок, постов и комментариев по этому направлению, отмечу лишь соглашение о конфиденциальности, которое меня, как it-юриста, заинтересовало.

Буквально в первом же разделе видим вот что:

  1. Техническая информация (буду далее писать — ТИ для краткости) не является персональными данными (п. 1.2);
  2. Пользователь предоставляет Сервису адрес электронной почты и логин (п. 1.4). Предоставленная информация не является персональными данными;
  3. При этом пользователи понимают, что передача ТИ может быть в том числе и трансграничной;
  4. Интересно, что «Сервис не продаёт и не передаёт информацию о Пользователях отдельно» (п. 3.3);
  5. Мошенники и недобропорядочные граждане при этом спокойны быть не могут (п. 4.2 и 4.3);

Соглашение — совсем крохотное.

И вспомнил я о нём по двум причинам:

  • Первая зовётся Airbnb и заключается в том, что теперь ООО у этого сервиса в РФ нет;
  • Вторая — Linkedin, закрыли который как раз из-за «проблем» с ФЗ №152;
  • На самом деле есть и третья — это Минфин с их резким изменением позиции относительно криптовалют (к этому ещё вернусь в следующих постах).

Весьма показательно, что у Golos«а — есть юридическое лицо с интересным именем Graciola Systems Inc., зарегистрированное в Белизе: юрисдикция, весьма любима и Роскомнадзором и Росфинмониторингом, к слову.

Пользовательское соглашение вполне коррелирует с политикой конфиденциальности и устанавливает, в частности, что «при создании аккаунта на Сайте Сервис генерирует и хранит криптографическую пару секретный ключ — открытый ключ» (п. 4.1). Кроме того, как поясняется далее (п. 4.2.): «Секретный ключ уникальным образом совпадает с Учетными данными Пользователя». И далее — логичный вывод о том, что «Сервис не хранит Учетные данные Пользователей, а также секретные ключи».

Как и многие другие «спорные»-на-перспективу проекты, Голос при росте аудитории вполне может попасть в стоп-листы вышеуказанных государственных органов:

  1. за распространение «не того» контента;
  2. за токены «Голос», которые ни много — ни мало »… являются нематериальными цифровыми активами» (ср. с понятием «цифровых денег» от ЦБ РФ),
  3. по другим основаниям.

И в этом разрезе подобный лайфхак относительно обработки ПД видится весьма интересным и даже, как ни странно, перспективным: ст. 1 ФЗ №152 говорит, что «настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных…», а если отношений как таковых нет, то и сам НПА не применяется?

Правда, есть в этом законе другая статья, на которую ссылаются чаще — ст. 2: «целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».

Пока не буду оценивать подход команды Golos, которая, кстати, начинала с Калининграда, т.е. территории РФ.

Знаю, что на Хабре немало людей, которые боятся/не хотят/не знают, как работать на территории РФ, если «проект непонятен или может вызывать сомнения» (читай — относится или категории «пограничных», как, например, vpn-сервисы; или же к «непонятным в принципе», это, безусловно, подавляющая часть блокчейн-стартапов), поэтому — можно присмотреться к правилам Голоса и переработать их для своих нужд.

Вариант — не идеальный, но он многим лучше, чем позиция «не делать ничего, пока возможно». В комментариях, быть может, кто-то добавит подобные жизненные уловки (удачные/неудачные попытки реализации) и по итогу — можно составить вполне законный список технических подходов к (не)обработке ПД. Безусловно, это будет полезно в свете последних событий.

P.S. Интересно, что подобную борьбу «брони и снаряда» можно, увидеть на примере разного рода сервисов, предоставляющих услуги по агрегации платежей и не ставшие на не твёрдые рельсы закона «О национальной платёжной системы». Или сервисов такси. Или в перспективе — в сфере товарных агрегаторов. Не всегда это будут ПД, но всегда — попытка прочтения закона по его букве. Или духу?

Комментарии (5)

  • 17 апреля 2017 в 13:42

    0

    Улыбнуло

    Из политики конфиденциальности по ссылке
    1.1. Сервис собирает, получает доступ и использует в определенных Политикой целях техническую и иную информацию, связанную с Пользователем.

    ст. 3 152-ФЗ «О перс. данных»
    1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    Вывод, если пользователь физ. лицо, сервис обрабатывает перс. данные.

    • 17 апреля 2017 в 13:48 (комментарий был изменён)

      0

      Я пока не стал как раз этот момент комментировать. На самом деле могу сказать, что не всё так просто. Скажем, email принадлежит физ. лицу. Но сам по себе email делеко не всегда идентифицирует физ. лицо. Особенно, скажем, если он одноразовый или создан на tutanota. И это — не моё мнение, а судебной практики. Впрочем, это отдельный будет, думаю, пост.

      А суды наши, скажу Вам, долго не могли даже разобраться, IP-адрес — это ПД или тайна связи? Не говоря про cookie и тем паче — какие-то там хэши.

      • 17 апреля 2017 в 14:11

        0

        Говоря о ПДн, все всегда начинаю вспоминать про идентификацию. Ради интереса открыл сейчас актуальную редакцию 152-ФЗ и поискал там слово идент* его нет…

        Поэтому не стоит говорить о том, чего нет в законе. Есть только про установление личности в части биометрических ПДн, но это не то.

        К слову говоря идентификация была в первых редакциях 152-ФЗ, но еще раз подчеркну, сейчас ее нет.

        Определение ПДн в законе МЕГА КРИВОЕ и под него можно подвести что угодно. Я не хочу его защищать, но оперировать можно только тем, что написано в законе ну или найти разъяснения высших судов.

        Никто другой, кроме судов, включая Роскомнадзор толковать законодательство не имеет право…

        А про суды общей юрисдикции можно сказать, что в России не прецедентное право, и по одинаковым ситуациям могут быть вынесены диаметрально противоположные решения. Выигрывает тот, чей адвокат / прокурор лучше умеют говорить.

        • 17 апреля 2017 в 14:19

          0

          Всё правильно, кроме того, что ни закон, ни кто-то ещё не развёл понятия идентификации и информации, которая определяет прямо или косвенно. На самом деле есть универсальный «приём», кот. называется формально-юридическим методом: можно просто дать определение.

          А оно звучит довольно просто: «установление тождественности неизвестного объекта известному на основании совпадения признаков». И здесь равнозначность понятий более, чем очевидна. На мой опять же взгляд.

          На счёт толкования — это вы зря, т.к. это может слишком далеко завести: толкование бывает разных видов — от доктринального до легального — и это понятие можно использовать, исходя из контекста. Контекст — выше.

          Что касается не прецедентной системы, то тут как раз вопрос частый: да — не обязаны принимать одинаковые решения. Более того, толкуют судьи свою независимость как раз так, что могут ВСЁ понимать по-своему. Пока ВС не скажет: «стоп!». Но именно поэтому- публикация здесь, на Хабре, т.к. подходов пока довольно много, а найти подходящее здесь-и-сейчас решение для себя нужно. И многим.

    • 17 апреля 2017 в 13:53

      0

      В дополнение: особенно интересно понятие ПД и общие аккаунты (хоть почты, хоть Голоса, да хоть чего). Это физ. лица, но уже нет сути «определенному или определяемому физическому лицу»

© Habrahabr.ru