Чтение онлайн

Понятие обезличивания персональных данных

1. Под обезличиванием персональных данных понимается один из способов обработки персональных данных, в результате которого становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Обезличивание персональных данных является одной из мер, направленных на минимизацию рисков причинения вреда гражданам в случае «утечки» их персональных данных из информационных систем 62 . Обезличивание персональных данных выполняет важную социальную функцию, обеспечивая автономию личности человека и его «недосягаемость» для тех, кто не согласен с высказанным лицом мнением либо является потенциально враждебным к тем чертам, которые у этого лица имеются (наличие определенных заболеваний, происхождение, убеждения и т.д.) 63 .

2. В настоящее время требования и методы по обезличиванию персональных данных утверждены приказом Роскомнадзора от 5 сентября 2013 г. № 996 64 . Сфера применения данного приказа формально ограничена государственными и муниципальными органами, однако de facto применяется в качестве ориентира и частными операторами за неимением иных источников. Среди методов обезличивания этот приказ упоминает следующие:

введение идентификаторов (замена части сведений, составляющих персональные данные, идентификаторами с созданием таблицы соответствия таких идентификаторов исходным данным);

изменение состава или семантики (обобщение, изменение значений атрибутов персональных данных или удаление части сведений, позволяющих идентифицировать субъекта);

декомпозиция (разделение массива персональных данных на несколько составляющих частей с последующим их раздельным хранением);

перемешивание (перестановка отдельных значений атрибутов персональных данных в массиве).

Конкретный метод выбирается оператором в зависимости от целей и задач обработки персональных данных, учитывая, что обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.

3. Одним из наиболее важных вопросов, возникающих при применении законодательства о персональных данных, является следующий: относятся ли обезличенные данные к категории персональных данных или представляют собой особый вид данных, на который не распространяется режим персональных данных? Закон о персональных данных не дает прямого ответа на данный вопрос. Систематический анализ положений, содержащихся в вышеназванном приказе Роскомнадзора, позволяет сделать вывод о том, что обезличивание персональных данных выводит их за рамки действия Закона о персональных данных. Это следует из приведенного в указанном документе понятия «де-обезличивание», определенного как «действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными» (курсив мой. – А.С.).

В отечественной судебной практике также возникает немало споров, во время которых суды соглашаются с тем, что обезличенные данные не являются персональными (см., например, решение Верховного Суда РФ от 26 января 2011 г. № ГКПИ10-1510; Постановление Девятого арбитражного апелляционного суда от 12 марта 2008 г. по делу № А40-33797/07-47-306; решение Арбитражного суда Удмуртской области по делу № А71-6910/2013 от 25 сентября 2013 г.).

Вместе с тем в судебной практике существует и иной подход. Ранее уже приводились примеры споров, в которых информация, не позволяющая однозначно идентифицировать лицо, признавалась персональными данными. Представляется, что такой подход более соответствует букве и духу положений Закона о персональных данных. Во-первых, само понятие обезличивания предполагает приведение информации к тому состоянию, которое характеризует возможность косвенной идентификации лица посредством привлечения дополнительной информации. Во-вторых, одна из немногих статей, посвященных особенностям обезличенных данных, касается случаев обработки персональных данных без согласия субъекта (п. 7 ч. 1 ст. 6 Закона о персональных данных): «…обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных (курсив мой. – А.С.)». При этом данное положение использует формулировку «хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных (курсив мой. – А.С.)», тем самым намекая на возможность существования персональных данных в форме, не позволяющей определить субъекта персональных данных. Иными словами, закон сам говорит о том, что обработка обезличенных данных является обработкой персональных данных. Наконец, в-третьих, такой подход соответствует европейскому, согласно которому, если обезличенные данные являются обратимыми, т.е. могут быть возвращены к исходному состоянию, то они относятся к категории информации, которая может косвенно определить лицо, а следовательно, являются персональными данными 65 .

4. В зарубежной литературе подчеркивается, что в эпоху «больших данных» информация может либо представлять ценность для обработки, либо быть анонимной, но одновременно и тем, и другим она не может быть никогда 66 . Чем больше степень обезличивания данных, тем меньше ценность таких данных для анализа. Таким образом, в новых технологических реалиях обезличивание данных уже не может выполнять функцию эффективного средства защиты персональных данных и в более глобальном смысле – в частной жизни граждан. Рост производительности и доступности вычислительных мощностей, а также огромный массив доступной в сети «Интернет» личной информации обусловливают техническую возможность деанонимизации

даже тщательно обезличенных данных с учетом того, что любые обезличенные данные всегда имеют какой-либо атрибут, относящийся к личности.

В этой связи новое европейское законодательство пошло по пути дифференциации понятий псевдоанонимизации данных и анонимизированных данных. Псевдоанонимизация представляет собой способ обработки персональных данных, в результате которого становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту, при условии, что такая дополнительная информация хранится отдельно и в отношении ее принимаются организационные и технические меры, обеспечивающие ее неиспользование для соотнесения с определенным или определяемым лицом (ст. 4 (5) Регламента 2016 г.). Анонимизированность данных предполагает такую степень обезличенности данных, при которой последние не относятся к определенному или определяемому лицу. Такие данные не являются персональными и не подпадают под действие законодательства о персональных данных. При разграничении указанных понятий принимается во внимание наличие возможности осуществления их деобезличивания разумными средствами оператором или иным лицом. При этом принимаются во внимание материальные и временные затраты, которые оператор должен понести для этого, а также уровень развития технологий на момент совершения процесса обработки (п. 26 Преамбулы Регламента 2016 г.).

Таким образом, обезличенные (псевдоанонимизированные – по терминологии Регламента 2016 г.) данные по новому европейскому законодательству по общему правилу рассматриваются в качестве персональных данных, а сами действия по обезличиванию - как одно из средств защиты персональных данных, при обработке которых в ряде случаев действуют некоторые послабления 67 .

Понятия информационной системы персональных данных и базы данных

1. Понятие информационной системы персональных данных по сути является воспроизведением понятия информационной системы, которое содержится в Законе об информации, с одним уточнением - указанием на особый характер обрабатываемой в ней информации в виде персональных данных. Согласно п. 3 ст. 2 Закона об информации под информационной системой понимается совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Таким образом, в соответствии с данной трактовкой рассматриваемого понятия информационная система персональных данных имеет место только при автоматизированной обработке, в отличие от прежней дефиниции этого понятия, которое охватывало и обработку данных без использования средств автоматизации.

2. База данных является всего лишь одним из элементов информационной системы наряду с техническими средствами и иными информационными технологиями, используемыми при обработке информации. Данное разграничение особенно важно с учетом требования о локализации отдельных процессов обработки персональных данных (ч. 5 ст. 18 Закона о персональных данных), которое предусматривает обязанность нахождения на территории Российской Федерации именно базы данных, а не всей информационной системы персональных данных. Понятие «информационная система персональных данных» используется для «обслуживания» вопросов, связанных с информационной безопасностью – при формулировании организационных и технических мер по обеспечению безопасности персональных данных в ходе их обработки в информационных системах персональных данных и уровней защищенности таких данных (см. ст. 19 Закона о персональных данных и комментарий к ней).

3. Ни Закон о персональных данных, ни Закон об информации не содержат определения базы данных, в связи с чем следует обратиться к дефиниции базы данных, используемой в гражданском законодательстве. В соответствии с п. 2 ст. 1260 ГК РФ базой данных является представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ). Стоит отметить, что отдельные представители Роскомнадзора дают более широкое толкование понятия «база данных», понимая под ней «упорядоченный массив данных, независимый от вида материального носителя информации, и используемых средств его обработки (архивы, картотеки, электронные базы данных)». Так, например, базой данных, по их мнению, «можно считать таблицу в форматах Excel или Word, в которой содержатся персональные данные граждан» 68 . Данный подход объясняется представителями Роскомнадзора тем, что «в законодательстве Российской Федерации существует много понятий баз данных, тем не менее все они сводятся к одному общему значению, которое и приведено выше». Оставляя в стороне весьма спорное заявление о наличии множества понятий баз данных в российском законодательстве, обратим внимание на тот факт, что предлагаемое представителями Роскомнадзора понятие «база данных» дословно совпадает с дефиницией, которая содержится в Модельном законе СНГ «О персональных данных» 1999 г. 69 Данный документ хотя и можно рассматривать в качестве авторитетного источника, но формально он не имеет юридической силы и не может выступать в качестве акта, регулирующего «в рамках СНГ международные отношения в сфере защиты прав субъектов персональных данных» 70 .