Наверняка уже читали, слышали, видели или просто знаете, что персональные данные (они же — ПД) — священный грааль закона №152 от 27 июля 2006 года (дабы не нарушать спокойствие ряда Хаброжителей относительно не-сквозной нумерации).
При этом, не так давно на арену вышел интересный, для меня лично, блокчейн-проект — Golos.io. Помимо прочего, он отличается и подходом к обработке ПД.
Уникальность состоит в том, что G.io вообще не обрабатывает ПД.
Не буду рассказывать о сервисе: на сайте есть множество ссылок, постов и комментариев по этому направлению, отмечу лишь соглашение о конфиденциальности, которое меня, как it-юриста, заинтересовало.
Буквально в первом же разделе видим вот что:
- Техническая информация (буду далее писать — ТИ для краткости) не является персональными данными (п. 1.2);
- Пользователь предоставляет Сервису адрес электронной почты и логин (п. 1.4). Предоставленная информация не является персональными данными;
- При этом пользователи понимают, что передача ТИ может быть в том числе и трансграничной;
- Интересно, что «Сервис не продаёт и не передаёт информацию о Пользователях отдельно» (п. 3.3);
- Мошенники и недобропорядочные граждане при этом спокойны быть не могут (п. 4.2 и 4.3);
Соглашение — совсем крохотное.
И вспомнил я о нём по двум причинам:
- Первая зовётся Airbnb и заключается в том, что теперь ООО у этого сервиса в РФ нет;
- Вторая — Linkedin, закрыли который как раз из-за «проблем» с ФЗ №152;
- На самом деле есть и третья — это Минфин с их резким изменением позиции относительно криптовалют (к этому ещё вернусь в следующих постах).
Весьма показательно, что у Golos’а — есть юридическое лицо с интересным именем Graciola Systems Inc., зарегистрированное в Белизе: юрисдикция, весьма любима и Роскомнадзором и Росфинмониторингом, к слову.
Пользовательское соглашение вполне коррелирует с политикой конфиденциальности и устанавливает, в частности, что «при создании аккаунта на Сайте Сервис генерирует и хранит криптографическую пару секретный ключ – открытый ключ» (п. 4.1). Кроме того, как поясняется далее (п. 4.2.): «Секретный ключ уникальным образом совпадает с Учетными данными Пользователя». И далее — логичный вывод о том, что «Сервис не хранит Учетные данные Пользователей, а также секретные ключи».
Как и многие другие «спорные»-на-перспективу проекты, Голос при росте аудитории вполне может попасть в стоп-листы вышеуказанных государственных органов:
- за распространение «не того» контента;
- за токены «Голос», которые ни много — ни мало "… являются нематериальными цифровыми активами" (ср. с понятием «цифровых денег» от ЦБ РФ),
- по другим основаниям.
И в этом разрезе подобный лайфхак относительно обработки ПД видится весьма интересным и даже, как ни странно, перспективным: ст. 1 ФЗ №152 говорит, что «настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных…», а если отношений как таковых нет, то и сам НПА не применяется?
Правда, есть в этом законе другая статья, на которую ссылаются чаще — ст. 2: «целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».
Пока не буду оценивать подход команды Golos, которая, кстати, начинала с Калининграда, т.е. территории РФ.
Знаю, что на Хабре немало людей, которые боятся/не хотят/не знают, как работать на территории РФ, если «проект непонятен или может вызывать сомнения» (читай — относится или категории «пограничных», как, например, vpn-сервисы; или же к «непонятным в принципе», это, безусловно, подавляющая часть блокчейн-стартапов), поэтому — можно присмотреться к правилам Голоса и переработать их для своих нужд.
Вариант — не идеальный, но он многим лучше, чем позиция «не делать ничего, пока возможно». В комментариях, быть может, кто-то добавит подобные жизненные уловки (удачные/неудачные попытки реализации) и по итогу — можно составить вполне законный список технических подходов к (не)обработке ПД. Безусловно, это будет полезно в свете последних событий.
P.S. Интересно, что подобную борьбу «брони и снаряда» можно, увидеть на примере разного рода сервисов, предоставляющих услуги по агрегации платежей и не ставшие на не твёрдые рельсы закона «О национальной платёжной системы». Или сервисов такси. Или в перспективе — в сфере товарных агрегаторов. Не всегда это будут ПД, но всегда — попытка прочтения закона по его букве. Или духу?
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (21)
spock
17.04.2017 17:56+2На самом деле с Голосом всё ещё интереснее — так как проект основан на публичном распределённом блокчейне, то совершенно нет необходимости использовать официальный сайт (который выступает лишь одним из многих фрондентов к данным внутри блокчейна) для работы.
И зарегистрировать аккаунт там можно вообще не используя никакие данные, включая email, телефон или ещё что-то. Аккаунт можно открыть, купив токены проекта на бирже, что обойдётся не дороже 1 рубля по текущему курсу. Или вообще бесплатно — например, через майнинг (аналогично майнингу биткоинов и других криптовалют).
Т.е. Голос не только не хранит персональные данные, но и позволяет регистрироваться, вообще не используя никакие данные пользователей.
Если у Роскомнадзора или других компетентных органов возникнут претензии к Грациоле по поводу ПД пользователей, проект легко может перейти на саморегистрацию пользователей без ввода вообще каких-либо данных.
Menaskop
18.04.2017 03:24Да, всё верно: мы как раз с ними обсуждали этот момент. Пока единственное «но» — это порог вхождения: обычные пользователи понимают, «что такое есть», но как это именно сделать — для них вопрос. Думаю, что работа в этом направлении была бы правильной. Вроде бы, она и ведётся.
dinarv
18.04.2017 03:21+1Для понижения класса ИСПДн не проще в соглашении объявить собираемые данные общедоступными и не защищать их конфиденциальность? Данные то в любом случае ПДн, как их не называй — технические или еще какие.
Loreweil
25.04.2017 09:52+1Понятия «класс ИСПДн» уже давно не существует. Сейчас вместо них уровни значимости ПДн. При этом даже при общедоступных можно вылезти на высокий УЗ, если к модели угроз отнестись халатно, тк теперь тип угроз — довольно важный параметр.
dinarv
25.04.2017 10:04+2Классом по привычке уж называют. А если быть до конца точным, то не «уровни значимости» (это термин из ГИС), а «уровни защищенности персональных данных».
Loreweil
26.04.2017 08:54+1Все правильно, сам вечно путаю УЗ и УЗ :)
Но, все-таки, самое главное о чем хотел хотел сказать, что общедоступность сейчас не гарантирует минимальный УЗ.
Menaskop
18.04.2017 03:22Можно объявить: такие подходы даже встречал. Проблема всё равно не улетучится, т.к. нужно доказать общедоступность. Скажем, регистрация через те же соц. сети. Но что, если страница, пусть даже номинально, закрыта в ВК от доступа, кроме «друзей»?
dinarv
20.04.2017 14:56+1РЖД так делал до 2015 года. На сегодняшний день оговорку, что «пользователь при регистрации признает свои данные общедоступными» и «отказывается от их защиты» (!!!) убрали — пруфы легко найти в сети. Видимо РКН обратил таки на них внимание.
Про закрытие доступа самим пользователем. Пользователь же не оператор ПДн, работает только со своими данными. Т. е. пользователь скрыл часть своих (видимо) общедоступных данных от других пользователей, но не от Оператора ПДн. Поэтому правила управления доступом (УПД) с т. зр. ФСТЭК особо не затрагиваются. А правила обмена с третьими сторонами прописаны в никем не читаных пользовательском соглашении и политике обработки ПДн.Menaskop
20.04.2017 18:04Очень хорошо написали. Отдал коллегам — думаю, мы под это сделаем ещё одну статью с практикой. А Вам — спасибо!
imbasoft
Улыбнуло
Из политики конфиденциальности по ссылке
1.1. Сервис собирает, получает доступ и использует в определенных Политикой целях техническую и иную информацию, связанную с Пользователем.
ст. 3 152-ФЗ «О перс. данных»
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Вывод, если пользователь физ. лицо, сервис обрабатывает перс. данные.
Menaskop
Я пока не стал как раз этот момент комментировать. На самом деле могу сказать, что не всё так просто. Скажем, email принадлежит физ. лицу. Но сам по себе email делеко не всегда идентифицирует физ. лицо. Особенно, скажем, если он одноразовый или создан на tutanota. И это — не моё мнение, а судебной практики. Впрочем, это отдельный будет, думаю, пост.
А суды наши, скажу Вам, долго не могли даже разобраться, IP-адрес — это ПД или тайна связи? Не говоря про cookie и тем паче — какие-то там хэши.
imbasoft
Говоря о ПДн, все всегда начинаю вспоминать про идентификацию. Ради интереса открыл сейчас актуальную редакцию 152-ФЗ и поискал там слово идент* его нет…
Поэтому не стоит говорить о том, чего нет в законе. Есть только про установление личности в части биометрических ПДн но это не то.
К слову говоря идентификация была в первых редакциях 152-ФЗ, но еще раз подчеркну, сейчас ее нет.
Определение ПДн в законе МЕГА КРИВОЕ и под него можно подвести что угодно. Я не хочу его защищать, но оперировать можно только тем, что написано в законе ну или найти разъяснения высших судов.
Никто другой, кроме судов, включая Роскомнадзор толковать законодательство не имеет право…
А про суды общей юрисдикции можно сказать, что в России не прецедентное право, и по одинаковым ситуациям могут быть вынесены диаметрально противоположные решения. Выигрывает тот, чей адвокат / прокурор лучше умеют говорить.
Menaskop
Всё правильно, кроме того, что ни закон, ни кто-то ещё не развёл понятия идентификации и информации, которая определяет прямо или косвенно. На самом деле есть универсальный «приём», кот. называется формально-юридическим методом: можно просто дать определение.
А оно звучит довольно просто: «установление тождественности неизвестного объекта известному на основании совпадения признаков». И здесь равнозначность понятий более, чем очевидна. На мой опять же взгляд.
На счёт толкования — это вы зря, т.к. это может слишком далеко завести: толкование бывает разных видов — от доктринального до легального — и это понятие можно использовать, исходя из контекста. Контекст — выше.
Что касается не прецедентной системы, то тут как раз вопрос частый: да — не обязаны принимать одинаковые решения. Более того, толкуют судьи свою независимость как раз так, что могут ВСЁ понимать по-своему. Пока ВС не скажет: «стоп!». Но именно поэтому- публикация здесь, на Хабре, т.к. подходов пока довольно много, а найти подходящее здесь-и-сейчас решение для себя нужно. И многим.
imbasoft
Про формально-юридический метод очень интересно!..
Вы утверждаете что «идентификация» и «информация которая определят прямо или косвенно» одно и тоже. Но в законе сказано не определяет, а информация, которая относится, а не определяет.
Используя указанный вами метод и смысловой анализ проведу разбор всего определения.
«ПДн — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);»
(0)
Определение задает отличительные признаки факта, позволяющие выбрать его из всего множества доступных фактов.
(1)
Рассмотрим влияние слов «прямо или косвено» на определение ПДн.
Отношение, как связь чего-то с чем-то, а в данном случае информации и физ. лица может быть прямое или косвенное, других типов отношений быть не может,
Поэтому упоминание типа связи — прямое или косвенное можно вообще опустить, поскольку они описывают все возможные варианты, соответственно получаем сокращенное определение
«ПДн — любая информация, относящаяся к определенному или определяемому физическому лицу».
(2)
Слова «определенному» или «определяемому» подразумевают что КТО-ТО определил или определяет физ. лицо,.на основании «любой информации».
Подчеркну, что в определении не указано КТО выполняет эти действия. Соответственно, если не заданы отличительные признаки, то лицом, которое «определяет» или для которого физ. лицо может быть «определено» может быть абсолютно любым лицом на земном шаре,
С учетом (0) и данного факта можно Сделать
Вывод 1 — если хоть один человек в мире может на основании рассматриваемой информации определить физ. лицо, то указанная информация является ПДн.
Пример, если хоть один человек знает что почта a@b.c принадлежит мне, то a@b.c — ПДн
С учетом приведенных фактов и выводов можно сделать
Вывод 2
ПДн — любая информация относящаяся к физ. лицу.
Menaskop
Это, конечно, всё хорошо. Только 1 человек — не годится. ФЗ №152 даёт исключения относительно физ. лиц. Это первое.
Второе: информация, кот. относится — это только часть выражения. Пока даже наши суды не доходят до того, чтобы силлогизмы рассматривать на одной посылке. Вторая часть заключается в том, что субъект должен быть или определён, или определяем. И то, что вы указали в 2 — это да: кто определил или определяет лицо. Скажем, есть ник — по которому кто-то определяет человека, как Nick. И считает, что это так. А это тем временем — ник в соц. сети и принадлежит он в другой соц. сети другому человеку, поэтому важно не только то, что определяет кто-то и т.п., но и как и где.
Про косвенные и прямые — тут да, можно опустить. В этом вся и беда.
Если вернуться к Golos, то как вы на практике докажите, что их ключи есть ПД?
imbasoft
Не понял о чем речь. Ну да ладно.
Считаю что Golos вообще зря заморочился на тему ПД и опубликовал эти слова в политике конфиденциальности.
Строить защиту по 152-ФЗ лучше с точки зрения анализа риска утечки. Если утечет база с предполагаемыми данными будут ли проблемы со стороны физ. лиц или нет. Если не будет, то можно забить, чтобы у вас там не лежало.
Menaskop
Ну если — они заявляют то, что делают, и делают так, как заявляют — как таковой утечки быть не должно. Только тезис о том. что нет абсолютно безопасных систем, никто ведь не отменял. Да и без указания о ПД — они под закон всё одно попадут, а так — у них есть возможность предложить рабочую юр. схему. Примут ли — это уже вопрос открытый.
Menaskop
И да — спасибо, что так подробно расписываете этот момент: я его, если позволите, вставлю частично в публикацию про ПД и email/телефон/ники?
Loreweil
Советую посмотреть постатейный комментарий РКН закона «О персональных данных» от 2015 года.Там они довольно долго сопли по бумаге разводят о том, что в целом определить что такое ПДн, а что нет — довольно проблематично, была собрана целая рабочая группа, которая и пришла к такому абстрактному определению и прочее бла-бла. В конце делают вывод, что такое определение ПДн принято в целях учета интересов всех сторон (по факту — выгодно только РКН). Поэтому будет в том или ином кейсе IP-адрес определен как ПДн будет в большинстве случаев зависеть от рандома в конкретный момент времени в нейронах и синоптических связях конкретного проверяющего.
Кстати, все-таки общепринятое сокращение для персональных данных это — ПДн. На этом в свое время настоял ФСТЭК, тк у них есть еще один термин — противодействие иностранным техническим разведкам, сокращенно — ПД ИТР. И вот, чтобы в этих «ПД» не путаться, для персданных сделали общепринятое сокращение с маленькой буквой «н» на конце.
Menaskop
Про email я статью пишу отдельно: тут, как мне видится, всё проще всего показать на примерах.
По ПДн — принято, хотя я сторонник всё же писать в оф. документах — полностью (или с отсылкой на полное написание), а в не оф. — предельно кратко.
Menaskop
В дополнение: особенно интересно понятие ПД и общие аккаунты (хоть почты, хоть Голоса, да хоть чего). Это физ. лица, но уже нет сути «определенному или определяемому физическому лицу»