Страница 18 из 22
Понятие блокирования персональных данных
1. Блокирование персональных данных выступает одним из способов обработки персональных данных и в самом общем виде представляет собой намеренное создание невозможности доступа и использования таких данных при одновременном обеспечении их сохранности. Последний признак отличается от уничтожения, которое предполагает необратимое прекращение существования таких данных.
2. Блокирование персональных данных представляет собой временную меру, принимаемую либо на период проверки наличия или отсутствия оснований для уничтожения таких данных в связи с возможной неправомерностью их обработки (см. комментарий к ст. 21 настоящего Закона), либо на период, необходимый для уточнения обрабатываемых данных по запросу субъекта персональных данных. Именно поэтому дефиниция «блокирование персональных данных», приведенная в Законе, предусматривает исключение из общего принципа недоступности заблокированных данных для обработки в отношении единственного способа обработки – уточнения персональных данных.
Понятие уничтожения персональных данных
1. Под уничтожением персональных данных в комментируемой статье понимается (1) необратимое прекращение существования персональных данных, которое может принимать форму уничтожения носителя таких данных, либо 2) необратимое уничтожение данных с носителя без ликвидации самого носителя. Последняя форма актуальна для цифровых данных, где носитель может быть использован многократно. В данном случае уничтожение данных должно осуществляться по определенным алгоритмам, чтобы предотвратить возможность их восстановления с использованием специального программного обеспечения. Алгоритмы уничтожения информации стандартизированы. Во многих государствах изданы национальные стандарты, нормы и правила, регламентирующие использование программных средств для уничтожения информации и описывающие механизмы его реализации. В России к числу таких документов можно отнести руководящий документ Государственной технической комиссии России от 30 марта 1992 г. «Автоматизированные системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации»60, предусматривающий ряд требований к механизму уничтожения информации для систем определенных классов защищенности. В частности, для классов 3А и 2A «очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов)», для класса 1Г предусмотрена однократная перезапись.
2. Согласно разъяснениям Роскомнадзора порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом. Комиссия создается на основании приказа уполномоченного лица оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта являются оформление соответствующего акта о прекращении обработки персональных данных и регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждается самим оператором61.
Понятие обезличивания персональных данных
1. Под обезличиванием персональных данных понимается один из способов обработки персональных данных, в результате которого становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Обезличивание персональных данных является одной из мер, направленных на минимизацию рисков причинения вреда гражданам в случае «утечки» их персональных данных из информационных систем62. Обезличивание персональных данных выполняет важную социальную функцию, обеспечивая автономию личности человека и его «недосягаемость» для тех, кто не согласен с высказанным лицом мнением либо является потенциально враждебным к тем чертам, которые у этого лица имеются (наличие определенных заболеваний, происхождение, убеждения и т.д.)63.
2. В настоящее время требования и методы по обезличиванию персональных данных утверждены приказом Роскомнадзора от 5 сентября 2013 г. № 99664. Сфера применения данного приказа формально ограничена государственными и муниципальными органами, однако de facto применяется в качестве ориентира и частными операторами за неимением иных источников. Среди методов обезличивания этот приказ упоминает следующие:
● введение идентификаторов (замена части сведений, составляющих персональные данные, идентификаторами с созданием таблицы соответствия таких идентификаторов исходным данным);
● изменение состава или семантики (обобщение, изменение значений атрибутов персональных данных или удаление части сведений, позволяющих идентифицировать субъекта);
● декомпозиция (разделение массива персональных данных на несколько составляющих частей с последующим их раздельным хранением);
● перемешивание (перестановка отдельных значений атрибутов персональных данных в массиве).
Конкретный метод выбирается оператором в зависимости от целей и задач обработки персональных данных, учитывая, что обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.
3. Одним из наиболее важных вопросов, возникающих при применении законодательства о персональных данных, является следующий: относятся ли обезличенные данные к категории персональных данных или представляют собой особый вид данных, на который не распространяется режим персональных данных? Закон о персональных данных не дает прямого ответа на данный вопрос. Систематический анализ положений, содержащихся в вышеназванном приказе Роскомнадзора, позволяет сделать вывод о том, что обезличивание персональных данных выводит их за рамки действия Закона о персональных данных. Это следует из приведенного в указанном документе понятия «де-обезличивание», определенного как «действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными» (курсив мой. – А.С.).
В отечественной судебной практике также возникает немало споров, во время которых суды соглашаются с тем, что обезличенные данные не являются персональными (см., например, решение Верховного Суда РФ от 26 января 2011 г. № ГКПИ10-1510; Постановление Девятого арбитражного апелляционного суда от 12 марта 2008 г. по делу № А40-33797/07-47-306; решение Арбитражного суда Удмуртской области по делу № А71-6910/2013 от 25 сентября 2013 г.).
Вместе с тем в судебной практике существует и иной подход. Ранее уже приводились примеры споров, в которых информация, не позволяющая однозначно идентифицировать лицо, признавалась персональными данными. Представляется, что такой подход более соответствует букве и духу положений Закона о персональных данных. Во-первых, само понятие обезличивания предполагает приведение информации к тому состоянию, которое характеризует возможность косвенной идентификации лица посредством привлечения дополнительной информации. Во-вторых, одна из немногих статей, посвященных особенностям обезличенных данных, касается случаев обработки персональных данных без согласия субъекта (п. 7 ч. 1 ст. 6 Закона о персональных данных): «…обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных (курсив мой. – А.С.)». При этом данное положение использует формулировку «хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных (курсив мой. – А.С.)», тем самым намекая на возможность существования персональных данных в форме, не позволяющей определить субъекта персональных данных. Иными словами, закон сам говорит о том, что обработка обезличенных данных является обработкой персональных данных. Наконец, в-третьих, такой подход соответствует европейскому, согласно которому, если обезличенные данные являются обратимыми, т.е. могут быть возвращены к исходному состоянию, то они относятся к категории информации, которая может косвенно определить лицо, а следовательно, являются персональными данными65.
60
http://fstec.ru/component/attachments/download/296/RD_1992.03.30_1.pdf
61
Информация Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных» // СПС «КонсультантПлюс».
62
См. подп. «з» п. 1 постановления Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
63
Nissenbaum H. The Meaning of Anonymity in an Information Age // The Information Society. No. 15:2. 1999. P. 142.
64
Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ»).
65
Opinion 4/2007 On the concept of personal data. WP 136, 20 June 2007. Article 29 Data Protection Working Party. P. 18. URL: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf