Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Шрифт:
3. В отношении персональных данных, которые одновременно выступают объектом иного режима охраняемой законом тайны, правовые акты, регулирующие такие виды тайны, также используют термин «предоставление», правда, без его дефиниции. В частности, согласно ст. 13 Федерального закона от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных ч. 3 и 4 указанной статьи. При этом в ст. 4 данного Закона говорится о «предоставлении сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя». Представляется, что понятие «предоставление», использованное в приведенной норме, должно толковаться в том же значении, что и в Законе о персональных данных, и охватывать только случаи передачи сведений, составляющих врачебную тайну, лишь конкретным лицам, исключая возможность предоставления к ним доступа неопределенному кругу лиц.
Понятие блокирования персональных данных
1. Блокирование
2. Блокирование персональных данных представляет собой временную меру, принимаемую либо на период проверки наличия или отсутствия оснований для уничтожения таких данных в связи с возможной неправомерностью их обработки (см. комментарий к ст. 21 настоящего Закона), либо на период, необходимый для уточнения обрабатываемых данных по запросу субъекта персональных данных. Именно поэтому дефиниция «блокирование персональных данных», приведенная в Законе, предусматривает исключение из общего принципа недоступности заблокированных данных для обработки в отношении единственного способа обработки – уточнения персональных данных.
Понятие уничтожения персональных данных
1. Под уничтожением персональных данных в комментируемой статье понимается (1) необратимое прекращение существования персональных данных, которое может принимать форму уничтожения носителя таких данных, либо 2) необратимое уничтожение данных с носителя без ликвидации самого носителя. Последняя форма актуальна для цифровых данных, где носитель может быть использован многократно. В данном случае уничтожение данных должно осуществляться по определенным алгоритмам, чтобы предотвратить возможность их восстановления с использованием специального программного обеспечения. Алгоритмы уничтожения информации стандартизированы. Во многих государствах изданы национальные стандарты, нормы и правила, регламентирующие использование программных средств для уничтожения информации и описывающие механизмы его реализации. В России к числу таких документов можно отнести руководящий документ Государственной технической комиссии России от 30 марта 1992 г. «Автоматизированные системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации» 60 , предусматривающий ряд требований к механизму уничтожения информации для систем определенных классов защищенности. В частности, для классов 3А и 2A «очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов)», для класса 1Г предусмотрена однократная перезапись.
2. Согласно разъяснениям Роскомнадзора порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом. Комиссия создается на основании приказа уполномоченного лица оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта являются оформление соответствующего акта о прекращении обработки персональных данных и регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждается самим оператором 61 .
60
http://fstec.ru/component/attachments/download/296/RD_1992.03.30_1.pdf
61
Информация Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных» // СПС «КонсультантПлюс».
Понятие обезличивания персональных данных
1. Под обезличиванием персональных данных понимается один из способов обработки персональных данных, в результате которого становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Обезличивание персональных данных является одной из мер, направленных на минимизацию рисков причинения вреда гражданам в случае «утечки» их персональных данных из информационных систем 62 . Обезличивание персональных данных выполняет важную социальную функцию, обеспечивая автономию личности человека и его «недосягаемость» для тех, кто не согласен с высказанным лицом мнением либо является потенциально враждебным к тем чертам, которые у этого лица имеются (наличие определенных заболеваний, происхождение, убеждения и т.д.) 63 .
62
См. подп. «з» п. 1 постановления Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
63
Nissenbaum H. The Meaning of Anonymity in an Information Age // The Information Society. No. 15:2. 1999. P. 142.
2. В настоящее время требования и методы по обезличиванию персональных данных утверждены приказом Роскомнадзора от 5 сентября 2013 г. № 996 64 . Сфера применения данного приказа формально ограничена государственными и муниципальными органами, однако de facto применяется в качестве ориентира и частными операторами за неимением иных источников. Среди методов обезличивания этот приказ упоминает следующие:
введение идентификаторов (замена части сведений, составляющих персональные данные, идентификаторами с созданием таблицы соответствия таких идентификаторов исходным данным);
64
Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ»).
изменение состава или семантики (обобщение, изменение значений атрибутов персональных данных или удаление части сведений, позволяющих идентифицировать субъекта);
декомпозиция (разделение массива персональных данных на несколько составляющих частей с последующим их раздельным хранением);
перемешивание (перестановка отдельных значений атрибутов персональных данных в массиве).
Конкретный метод выбирается оператором в зависимости от целей и задач обработки персональных данных, учитывая, что обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.
3. Одним из наиболее важных вопросов, возникающих при применении законодательства о персональных данных, является следующий: относятся ли обезличенные данные к категории персональных данных или представляют собой особый вид данных, на который не распространяется режим персональных данных? Закон о персональных данных не дает прямого ответа на данный вопрос. Систематический анализ положений, содержащихся в вышеназванном приказе Роскомнадзора, позволяет сделать вывод о том, что обезличивание персональных данных выводит их за рамки действия Закона о персональных данных. Это следует из приведенного в указанном документе понятия «де-обезличивание», определенного как «действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными» (курсив мой. – А.С.).
В отечественной судебной практике также возникает немало споров, во время которых суды соглашаются с тем, что обезличенные данные не являются персональными (см., например, решение Верховного Суда РФ от 26 января 2011 г. № ГКПИ10-1510; Постановление Девятого арбитражного апелляционного суда от 12 марта 2008 г. по делу № А40-33797/07-47-306; решение Арбитражного суда Удмуртской области по делу № А71-6910/2013 от 25 сентября 2013 г.).
Вместе с тем в судебной практике существует и иной подход. Ранее уже приводились примеры споров, в которых информация, не позволяющая однозначно идентифицировать лицо, признавалась персональными данными. Представляется, что такой подход более соответствует букве и духу положений Закона о персональных данных. Во-первых, само понятие обезличивания предполагает приведение информации к тому состоянию, которое характеризует возможность косвенной идентификации лица посредством привлечения дополнительной информации. Во-вторых, одна из немногих статей, посвященных особенностям обезличенных данных, касается случаев обработки персональных данных без согласия субъекта (п. 7 ч. 1 ст. 6 Закона о персональных данных): «…обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных (курсив мой. – А.С.)». При этом данное положение использует формулировку «хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных (курсив мой. – А.С.)», тем самым намекая на возможность существования персональных данных в форме, не позволяющей определить субъекта персональных данных. Иными словами, закон сам говорит о том, что обработка обезличенных данных является обработкой персональных данных. Наконец, в-третьих, такой подход соответствует европейскому, согласно которому, если обезличенные данные являются обратимыми, т.е. могут быть возвращены к исходному состоянию, то они относятся к категории информации, которая может косвенно определить лицо, а следовательно, являются персональными данными 65 .
65
Opinion 4/2007 On the concept of personal data. WP 136, 20 June 2007. Article 29 Data Protection Working Party. P. 18. URL: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf
4. В зарубежной литературе подчеркивается, что в эпоху «больших данных» информация может либо представлять ценность для обработки, либо быть анонимной, но одновременно и тем, и другим она не может быть никогда 66 . Чем больше степень обезличивания данных, тем меньше ценность таких данных для анализа. Таким образом, в новых технологических реалиях обезличивание данных уже не может выполнять функцию эффективного средства защиты персональных данных и в более глобальном смысле – в частной жизни граждан. Рост производительности и доступности вычислительных мощностей, а также огромный массив доступной в сети «Интернет» личной информации обусловливают техническую возможность деанонимизации даже тщательно обезличенных данных с учетом того, что любые обезличенные данные всегда имеют какой-либо атрибут, относящийся к личности.
66
Ohm P. Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization // UCLA Law Review No. 57. 2010. P. 1704.