Что, собственно, такое персональные данные?
Новгородский мальчик Онфим из XIII века превратил кору в носитель персональных данных, собрав набор из изображения человека и его имени.
Представьте, что вы нашли трёх друзей, которые родились с вами в один и тот же день. У вас одинаковая дата рождения, одинаковый пол, и вы можете определёнными усилиями сменить имена в рамках закона. В итоге получится четверо одинаковых людей. Будет ли набор «Ф.И. О. + дата рождения + пол» персональными данными?
Ответ, как это ни странно, — да.
При этом под персональными данными понимается такой набор информации, который так или иначе позволяет идентифицировать физическое лицо — субъекта персональных данных. То есть однозначно указывает на конкретного человека.
Ранее в законодательном определении содержалось указание на конкретные примеры, которые каждый в отдельности или в совокупности с другой информацией составляли персональные данные. В текущей же редакции ст. 3 Федерального закона № 152-ФЗ примеров персональных данных не приводится, т. к. законодатель сделал упор на «духе закона», прямо оговорив, что к таким данным относится «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу», отдав решение этого вопроса на откуп судебной практике.
Поэтому давайте разбирать на примерах, что есть ПДн, а что — нет.
Простые случаи
Для начала — есть категория «сырых» данных, которые позволяют однозначно определить личность конкретного человека. Например, это номер паспорта или набор из Ф.И. О., пола и даты рождения.
Персональные данные, например:
- Номер паспорта
- Ф.И. О. + пол + дата рождения
- Отпечаток пальца
В то же время есть вторая категория «сырых» данных, которые сами по себе вряд ли помогут вам идентифицировать субъекта персональных данных. Например, к таковым относятся:
- Любимое блюдо
- Место работы
- Личные качества (характер нордический, самоотвержен)
- Количество детей
То есть называть такие сведения персональными данными с точки зрения действующего законодательства нельзя.
Правило номер один: если смешать ту информацию, которая сама по себе образует персональные данные, и ту, что их не образует, в одну базу данных, то получится база персональных данных. Например:
- Номер паспорта + место работы = персональные данные
- Медицинский диагноз + любимое блюдо + фотография = персональные данные
- Ф.И. О. + пол + дата рождения + место работы + отпечаток пальца = персональные данные.
Уточнение про «голые» ПДн
Некоторые персональные данные не позволяют случайному человеку установить вашу личность, но позволяют установить вашу личность, например, правоохранительным органам. Так, номер мобильного телефона физического лица привязывается к его Ф.И. О. и номеру паспорта, то есть он является «чистыми» персональными данными. Использовать его отдельно и смешивать номер телефона с какой-либо другой информацией о его владельце — значит получать наборы персональных данных. То же самое может относиться к номеру кредитки, номеру страхового удостоверения, номеру медполиса и так далее.
В случае же если абонентский номер привязан к юридическому лицу, то он сам по себе не является персональными данными, т. к. не позволяет идентифицировать конкретного сотрудника юрлица, пользующегося данным номером.
Более сложные случаи
Не всегда в основе персональных данных лежит что-то, что делает весь набор сразу ПДн. Например, если в наборе есть номер паспорта — это точно ПДн, что бы ещё там ни лежало. Но иногда ни одна часть набора не является ПДн в изолированном виде, но всё вместе позволяет вам точно определить человека.
Например, медицинский диагноз, как правило, не является персональными данным в отрыве от Ф.И. О. (а вот результат анализа кода ДНК является персональными геномными данными, кстати). Расовая принадлежность сама по себе — не персональные данные. Место работы само по себе — не персональные данные.
Однако может так оказаться, что набор «место работы + раса + диагноз» — это персональные данные. Например, когда на автозаправке работает только один однорукий китаец.
Что самое интересное, если изначально на автозаправке работало два одноруких китайца, а потом один уволился, набор данных, по логике, не был персональным, а потом стал. Равно как когда вы были одним таким в наборе «Ф.И. О. + пол + дата рождения», а потом уговорили друзей поменять имена, по идее, набор перестал быть ПДн. На практике же это не так.
Чтобы понять, является ли ваш набор данных персональными, надо учесть следующее:
- Посмотреть судебную практику: если было решение о том, что подобный набор является ПДн, то и ваш набор с очень высокой вероятностью — ПДн.
- Экспертизы, определяющей, ПДн это или нет, пока нет. Вы можете обратиться за разъяснениями в Роскомнадзор. Однако с некоторой вероятностью вы получите ответ: «Если можно определить человека однозначно — это ПДн».
- И, наконец, окончательным определением будет судебное решение, но, как правило, до него лучше не доводить, а продумывать заранее, всё же можно определить человека или нет.
Естественно, в обычной практике большинство наборов уже давно описаны, и с ними понятно, как работать. Тем не менее, есть несколько интересных моментов с биометрией, фото и специальными категориями ПДн.
Интересные моменты
Копия паспорта — это ПДн. Потому что из изображения можно однозначно извлечь числа, которые точно являются ПДн сами по себе.
Фотография с паспорта, фотография с улицы, видеоизображение — это уже дискуссионный вопрос. Дискуссионный он потому, что не всегда можно однозначно понять, позволяет ли, например, конкретная фотография установить личность (где проходит та же граница качества съёмки?). Если это 3000 пикселей по узкой стороне и съёмка на паспорт — очевидно, это ПДн. А если эта же картинка хранится в размере 32×32 px? А если это не фото с паспорта, а фото в толпе на улице?
Пока чёткого определения нет. Оценки экспертные: например, когда вы проходите паспортный контроль, сотрудник ФСБ (пограничник) смотрит на ваше лицо, смотрит на фото в паспорте или визе и решает, похожи вы или нет. Если с его точки зрения достаточно похожи — значит, экспертное решение вынесено положительно. Примерно так же проходит идентификация по фото: суд привлечёт эксперта, а эксперт решит, можно или нет.
Что ещё забавнее, гражданин может прекратить обработку своих ПДн, то есть в теории можно вылавливать все свои фотографии в толпе и настаивать, что это хранение и обработка без вашего согласия. Исключениями из данной ситуации являются случаи, когда:
- использование изображения осуществляется в государственных, общественных или иных публичных интересах;
- изображение получено при съёмке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях);
- гражданин позировал за плату.
Изображение человека является ПДн. Обычно речь про фото, но не про портрет. Тем не менее по этому портрету можно установить человека, поэтому непонятно, как его хранить и обрабатывать.
Ещё один спорный случай — это почта. Однозначно понятно, что info@domain.ru в изолированном виде (без Ф.И. О., например) — это не ПДн, потому что там может оказаться кто угодно, включая робота. А вот если это ivanpetrov1990@mail.ru? Или billgates@microsoft.com? Скорее всего — не ПДн, нужны ещё наборы. Кроме того, по аналогии с телефонным номером всё зависит от того, на кого зарегистрирована почта: на юрлицо или гражданина.
Биометрические данные — индивидуальная форма черепа и ушей — однозначно являются персональными данными, как и отпечаток пальца. Это накладывает серьёзные ограничения на системы распознавания лиц — надо заручаться согласием даже на хранение хэша от биометрических замеров.
Чем регулируется
Федеральное законодательство:
- «Об утверждении перечня сведений конфиденциального характера» — Указ Президента РФ от 06.03.1997 № 188 определяет, что к персональным данным также относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
- 149-ФЗ «Об информации, информационных технологиях и защите информации» — базовый закон, устанавливающий общие вещи.
- «О персональных данных» от 27.07.2006 № 152-ФЗ — в нём задаётся фреймворк того, что такое ПДн, как их обрабатывать (кстати, хранение и передача — это подвиды обработки).
Особенно интересны цитаты:«Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой».
«Обработке подлежат только персональные данные, которые отвечают целям их обработки».
«Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».
- Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119 — в документе описаны правила определения уровней защищённости ПДн и основные требования по защите ПДн.
- Постановление Правительства РФ «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 № 512 — содержит требования, которые должны применяться при использовании материальных носителей, на которые осуществляется запись биометрических ПДн, а также при хранении биометрических ПДн вне информационных систем персональных данных. Документ хоть и старый, но учитывать его требования нужно.
- Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 № 687 — всё понятно из названия: требования по обработке и защите ПДн, которые обрабатываются в бумажном виде.
Основные документы регуляторов:
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — большой набор организационных и технических требований по защите информации, а также правила создания систем защиты персональных данных. Вкратце — смотрите пост про то, как мы проходили сертификацию и как мы помогаем аттестовываться.
- Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» — очень полезный документ, который содержит не только требования по защите ПДн, но и позволяет определить класс необходимых к применению криптосредств.
- «Об утверждении требований и методов по обезличиванию персональных данных» — Приказ Роскомнадзора от 05.09.2013 № 996 (Зарегистрировано в Минюсте России 10.09.2013 № 29935) и «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» утв. Роскомнадзором 13.12.2013, что перестаёт делать ПДн собственно ПДн при обезличивании, например, для целей Data Mining.
Существенное внимание тонкостям квалификации изображений в качестве персональных данных уделил Роскомнадзор в своих разъяснениях «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» (см. 25.rsoc.ru).
Конечно, список далеко не полный, выше приведены только основные документы. Ещё есть информационные сообщения и документы по моделированию угроз безопасности информации от ФСТЭК России, методические рекомендации и документы по формированию предположений о возможностях нарушителей от ФСБ России, документы Минкомсвязи и прочее.
Что это значит?
Когда вы строите ИТ-инфраструктуру, надо понимать, являются ли ваши данные персональными или нет. Классов персональных данных уже нет, есть таблица вот отсюда (в посте больше про сертификацию). Если ваши данные всё же персональные, то надо понять, что у вас за типы данных, какие угрозы для них возможны и сколько у вас будет записей. Дальше из таблицы вычисляется нужный уровень защищённости — и для этого уровня реализуются меры защиты в соответствии с требованиями законодательства.
Следуя духу закона и правоприменительной практике, почти во всех ситуациях можно определить, речь идёт про ПДн или нет. Крайне редкие случаи обычно рассматриваются отдельно юристами, которые выполняют оценку и делают запросы в контролирующие органы.
Это материал начальника отдела правового консалтинга Ильи Григорьева.