Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет
вернуться

Коллектив авторов
Шрифт:

Также персональные данные предлагается различать по точности и надежности. В частности, проект Директивы разделяет персональные данные, основанные на фактах, и персональные данные субъективно оценочного характера.

Отметим, что вопросы о необходимости пересмотра концепции понимания персональных данных поднимаются все чаще как в ЕС, так и за его пределами. Эксперты отмечают, что граница между понятиями «персональные данные» (personally identifiable information, РП) и «неперсональные данные» (non-РП) постепенно размывается. Такое наблюдение подтолкнуло специалистов Международной ассоциации IAPP (далее – IAPP) к изучению того, что же именно входит в понятие «персональные данные», как с развитием технологий меняются официальные определения этих терминов.

В качестве отправной точки были взяты действующие официальные определения персональных данных. Действительно ли «персональные данные» – это «все данные о субъекте персональных данных»? Должны ли данные прямо идентифицировать субъекта персональных данных? Ответы на эти и многие другие вопросы можно получить, изучив определения персональных данных в законодательстве разных стран. Специалисты IAPP проверили соответствующие определения в 36 законах о защите данных 30 стран и пришли к следующим выводам. В упомянутых выше 36 законах используются разные формулировки. В некоторых странах, например в США, понятие персональных данных сформулировано относительно узко, и для его определения зачастую просто перечисляют конкретные элементы персональных данных. В то же время в других странах, особенно в странах Евросоюза, идет тенденция к более широкому толкованию термина «персональные данные». Несмотря на эти различия, в законодательстве этих стран, как и в Российской Федерации, используется типичная формулировка типа «персональные данные – это данные или информация, относящиеся к субъекту персональных данных, который можно идентифицировать». Также во всех странах используется одна и та же формулировка, иногда с небольшими изменениями, что «персональные данные – это данные, которые позволяют прямо или косвенно идентифицировать субъекта персональных данных».

Несмотря на схожесть формулировок, законы по-разному трактуют то, что действительно подпадает под их защиту. В одних странах прямо перечисляют состав персональных данных, в других ограничиваются более гибким (нечетким) определением. Несмотря на то что конкретные формулировки дают больше уверенности, они чаще подвергаются критике за свою инертность и невозможность следовать за современным развитием технологий. Гибкие формулировки, в свою очередь, позволяют адаптироваться к будущим изменениям, но при этом создают неопределенность.

По этим законам данные, которые не входят в состав персональных данных, считаются «неперсональными данными». Такой статус лишает их если не полностью, то большей части защиты со стороны закона. Эта концепция часто применялась в отношении собранных данных и только недавно стала применяться к «обезличенным» данным, из которых намеренно была удалена идентифицирующая информация.

В целях толкования разного рода неточностей в применении законодательства о персональных данных Рабочая группа 29-й статьи при ЕС подготовила Мнение 4/2007 (European Union Article 29 Working Party’s Opinion 4/2007, далее – Группа и Мнение соответственно) о понятии персональных данных, расширяющее правила его толкования. Рабочая группа проанализировала типы данных или информации; отношения между данными и их субъектом; понятие идентифицируемости субъекта; субъекты персональных данных, подпадающие под защиту законодательства.

В рамках данного анализа наиболее интересны аспекты, связанные с идентификацией. Законы о приватности включают такие формулировки, как «ссылающийся на», «относящийся к», «о», «касающийся» субъекта персональных данных или человека. Разница между этими формулировками невелика, так как они так или иначе устанавливают связь между данными и их субъектом.

В Мнении Группы сообщается, что, вероятно, основная работа по установлению связей между персональными данными и субъектом персональных данных сводится к трем элементам – содержанию, задачам и интерпретации результатов.

Содержание данных, пожалуй, самый очевидный из этих трех элементов, так как оно раскрывает информацию о субъекте. Это могут быть его медицинская карта, реквизиты из договора или трудовая книжка. Такая информация, по своей сути, относится к конкретному лицу.

Рассматривая задачи, можно обнаружить, что данные, которые никак не попадают в категорию персональных данных, – например, детализация корпоративных звонков – могут все же являться таковыми, если используются для наблюдения за действиями сотрудника. В этом случае Группа рассматривала такие данные, как персональные данные, относящиеся к сотруднику, делающему звонки, и к лицу, которому звонил данный сотрудник. И наконец, рассматривая интерпретацию результатов, можно утверждать, что даже данные, которые не относятся к определенному лицу,т. е. без элемента «содержание», и которые не используются для получения информации об определенном лице,т. е. даже без элемента «задачи», все равно могут являться персональными данными, затрагивающими права и интересы человека. Например, спутниковая система навигации, которая используется исключительно в целях обеспечения эффективности работы диспетчерской службы такси или службы доставки, может содержать персональные данные, так как данные о местонахождении потенциально могут быть использованы для мониторинга за поведением и передвижением водителей.

Группой, по-видимому, было оставлено пространство для маневров при рассмотрении того, что может являться персональными данными, чтобы со временем сузить или расширить это понятие.

Также требует освещения вопрос, рассмотренный Группой в анализе, касающийся требования идентификации субъекта данных. С этой точки зрения наблюдается единая позиция большинства стран. Ни один из законов не требует, чтобы лицо действительно было идентифицировано. Они либо оставляют такую возможность, используя термин identifiable (поддающийся идентификации), или конкретизируют, что данные являются персональными данными, если по ним можно идентифицировать субъекта персональных данных, либо с их помощью субъект персональных данных поддается идентификации. Таким образом, даже малейшая возможность идентификации лица может быть достаточной для того, чтобы отнести данные к персональным данным.

В то же время ни один из этих законов не требует, чтобы субъекта персональных данных можно было напрямую идентифицировать по этим данным. И хотя почти половина официальных определений персональных данных ничего не говорят на этот счет, многие все же констатируют, что возможность даже косвенной идентификации субъекта является достаточной для того, чтобы их защищать. Это, по сути, означает, что данные, находящиеся в чьем-либо распоряжении, даже если они никого не идентифицируют, подлежат обращению как с персональными данными ровно до тех пор, пока они в сочетании с другой доступной информацией могут использоваться для идентификации их субъекта. Стоит понимать, что определение того, насколько субъект персональных данных поддается идентификации, может сильно зависеть от текущих обстоятельств, и то, что не поддается идентификации сегодня, может ей поддаваться уже через несколько лет, что, в свою очередь, может перевести такие данные в категорию персональных данных.