ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных

4.4 Распознавание персональных данных

 

Чтобы определить, считается ли физическое лицо идентифицируемым, должны быть приняты во внимание некоторые факторы. В частности, следует учитывать все средства, которые могут оправданно использоваться лицом, заинтересованным в обеспечении безопасности ПДн, хранящим данные, или любой другой стороной для идентификации этого физического лица. Информационные системы персональных данных должны поддерживать механизмы, информирующие субъекта ПДн о таких ПДн, и предоставлять физическому лицу соответствующие меры обеспечения безопасности ПДн при совместном использовании этой информации. В следующих подпунктах содержится дополнительное разъяснение того, как определить, следует ли рассматривать субъекта ПДн в качестве идентифицируемого.

4.4.1 Идентификаторы

В определенных случаях идентифицируемость субъекта ПДн может быть очевидной (например, когда информация содержит или связана с идентификатором, который используется для обращения или связи с субъектом ПДн). Информация может быть отнесена к ПДн в следующих случаях:

- если она содержит или связана с идентификатором, который относится к физическому лицу (например, номер социального страхования);

- если она содержит или связана с идентификатором, который может быть легко связан с физическим лицом (например, номер и серия паспорта, номер счета);

- если она содержит или связана с идентификатором, который может использоваться для установления связи с идентифицируемым физическим лицом (например, точное географическое местоположение, номер телефона);

- если она содержит ссылку, которая связывает данные с любым из идентификаторов, приведенных ранее.

4.4.2 Другие отличительные характеристики

Идентифицируемость является способностью определения физического лица, к которому относится данный набор ПДн. Поэтому информация не обязательно должна быть связана с идентификатором, чтобы считаться ПДн. Информацию можно считать ПДн, если она содержит или связана с характеристикой, которая отличает физическое лицо от других физических лиц (например, биометрические данные).

Любой атрибут, имеющий числовое, буквенное или буквенно-числовое значение и который уникально опознает субъекта ПДн, следует рассматривать как отличительную характеристику. Необходимо отметить, что независимо от того, отличает ли данная характеристика физическое лицо от других физических лиц, она может измениться от контекста использования. Например, фамилии физического лица может быть недостаточно, чтобы опознать его в глобальном масштабе, но будет достаточно, чтобы отличить физическое лицо в масштабе организации.

Кроме того, могут существовать ситуации, в которых физическое лицо является идентифицируемым, даже если не существует никакого единственного признака, который уникально определяет его или ее. В этом случае комбинация нескольких признаков, взятых вместе, отличает физическое лицо от других физических лиц. Возможность отнесения некоего физического лица к идентифицируемому, исходя из комбинации признаков, может также зависеть от конкретной области. Например, комбинации признаков "женщина", "45", "адвокат" может быть достаточно для идентификации некоего физического лица в пределах определенной организации, но зачастую этих признаков бывает недостаточно для идентификации этого же физического лица за пределами этой же организации.

В таблице 2 приведены некоторые примеры атрибутов, которые могут являться ПДн в зависимости от сферы деятельности. Эти примеры являются информативными.

 

Таблица 2

 

Примеры атрибутов,

используемых для идентификации физических лиц

 

Примеры

Возраст или особые потребности уязвимых физических лиц; заявление о криминальном поведении; любая информация, собранная во время оказания медицинских услуг; номер банковского счета или кредитной карты; биометрический идентификатор; информация о кредитной карте; осуждение в уголовном порядке или совершенные преступления; отчеты об уголовном расследовании; абонентский номер; дата рождения; информация о диагностике состояния здоровья; нетрудоспособность; документ о нетрудоспособности; сведения о заработной плате служащих и файлы отдела кадров; финансовая информация; пол; данные GPS о местоположении; траектории GPS; домашний адрес; IP-адрес; информация о местоположении, полученная от телекоммуникационных систем; история болезни; фамилия; государственные идентификаторы, например, номер и серия паспорта; адрес личной электронной почты; личные идентификационные номера (PIN-коды) или пароли; личные интересы, полученные из отслеживания web-сайтов Интернет; личный или поведенческий стереотип; номер личного телефона; фотография или видео, по которым можно идентифицировать человека; предпочтения, касающиеся продуктов и услуг; расовое или этническое происхождение; религиозные или философские убеждения; сексуальная ориентация; членство в профсоюзах; счет за коммунальные услуги

 

4.4.3 Информация, которая связана или может быть связана с субъектом ПДн

Если рассматриваемая информация не идентифицирует субъекта ПДн, то должно быть определено, связана ли эта информация или может быть связана с идентификационными данными физического лица.

После установления связи с идентифицируемым физическим лицом необходимо решить, сообщает ли что-либо информация о данном физическом лице, например, информация может быть связана с его (или ее) характеристиками либо поведением. Примерами информации о физическом лице являются истории болезни, финансовая информация или личные интересы, полученные посредством отслеживания использования web-сайтов Интернет. Простые сообщения об отличительных чертах физического лица, таких как возраст или пол физического лица, могут также квалифицировать связанную с ним информацию как ПДн. Независимо от этого, если связь с идентифицируемым физическим лицом может быть установлена, такая информация также должна обрабатываться как ПДн.

4.4.4 Псевдонимные данные

Чтобы ограничить возможность операторов и обработчиков ПДн идентифицировать субъекта ПДн, идентификационная информация может быть заменена псевдонимами. Такая замена обычно выполняется поставщиком ПДн до передачи ПДн получателю ПДн, в частности, как указано в сценариях a), b), c), g), h) таблицы 1.

При некоторых процессах бизнеса полагаются на назначенных обработчиков, которые выполняют замену и контролируют таблицу или функцию назначения. Как правило, это бывает тогда, когда существует необходимость обработки чувствительных данных лицами, заинтересованными в обеспечении защиты ПДн, не производившими их сбор.

Замена идентификационной информации на псевдонимы обеспечивает следующее:

a) оставшиеся атрибуты, связанные с псевдонимами, недостаточны для идентификации субъекта ПДн, к которому они относятся;

b) псевдонимы назначаются так, чтобы их использование для выполнения обратного действия не могло осуществляться даже при затрачивании значительных усилий лицами, заинтересованными в обеспечении защиты ПДн, кроме тех лиц, которые уполномочены это делать.

Применение псевдонимов сохраняет возможность установления связи. Можно установить связь между различными данными, связанными с одним и тем же псевдонимом. Чем больше объем данных, связанных с определенным псевдонимом, тем больше риск того, что свойство будет нарушено. Более того, чем меньше группа физических лиц, к которым относится набор псевдонимных данных, тем больше вероятность того, что субъект ПДн станет идентифицируемым. Признаки, содержащиеся непосредственно в информации, о которой идет речь, и признаки, которые могут быть легко связаны с этой информацией (например, посредством использования поисковой системы или перекрестных ссылок с другими базами данных), должны быть приняты во внимание при определении того, относится или не относится информация к идентифицируемому физическому лицу.

Применение псевдонимов является действием, в определенном смысле противоположным обезличиванию. Процессы обезличивания также обеспечивают свойства a) и b), приведенные ранее, но нарушают возможность установления связи. Во время обезличивания идентификационная информация либо удаляется, либо заменяется псевдонимами, для которых функция или таблица назначения уничтожаются. Поэтому обезличенные данные больше не являются ПДн.

4.4.5 Метаданные

ПДн могут храниться в информационной системе персональных данных таким образом, что они не будут являться видимыми для пользователя системы (т.е. субъекта ПДн). Примерами такой информации являются фамилия субъекта ПДн, хранящаяся как метаданные в свойствах документа, комментарии или отслеженные изменения, хранящиеся как метаданные в документе по подготовке текстов. Если субъекту ПДн станет известно о существовании ПДн или обработке ПДн для этой цели, то он, возможно, предпочтет, чтобы ПДн не обрабатывались таким образом или не использовались совместно.

4.4.6 Незапрашиваемые персональные данные

ПДн, которые не были запрошены оператором ПДн или обработчиком ПДн (т.е. получены непреднамеренно), могут также храниться в информационной системе персональных данных. Например, субъект ПДн потенциально мог бы предоставить ПДн оператору ПДн, которые последний не запрашивал или не отыскивал (например, дополнительные ПДн, предоставляемые в контексте в форме анонимной обратной связи на web-сайте). Риск сбора незапрашиваемых ПДн может быть уменьшен путем рассмотрения мер защиты ПДн во время проектирования системы (также известных как понятие "обеспечение защиты ПДн через проектирование").

4.4.7 Чувствительные персональные данные (специальные категории ПДн)

Чувствительность распространяется на все ПДн, из которых могут быть получены специальные категории ПДн. Например, медицинские предписания могут предоставить подробную информацию о здоровье субъекта ПДн. Даже если ПДн не содержат прямую информацию о сексуальной ориентации или здоровье субъекта ПДн, но могут быть использованы для получения подобной информации, то такие ПДн могут являться чувствительной информацией. Для целей настоящего стандарта ПДн следует рассматривать как чувствительную информацию там, где это возможно.

В некоторых странах понятие чувствительных ПДн явно определено в законе. Примером является информация о расовой принадлежности, этническом происхождении, религиозных или философских убеждениях, политических взглядах, членстве в профсоюзах, сексуальной жизни или ориентации, а также о физическом или психическом здоровье субъекта ПДн. В других странах чувствительные ПДн могут включать в себя информацию, которая могла бы способствовать "краже личности" (идентификационных данных) или иным образом приводить к значительному финансовому ущербу для физического лица (например, номера кредитных карт, информация о банковском счете или государственные идентификаторы, такие как номер и серия паспорта, номера страховых свидетельств, номера водительских удостоверений), и информацию, которая могла бы использоваться для определения местонахождения субъекта ПДн в реальном масштабе времени.

Обработка чувствительных ПДн требует применения специальных мер. Во многих странах обработка чувствительных ПДн может быть запрещена действующим законом, даже если субъект ПДн дал согласие на их обработку. Некоторые страны могут потребовать выполнения определенных мер обеспечения безопасности при обработке определенных типов чувствительных ПДн (например, требование зашифровать медицинские ПДн при передаче их по общедоступной сети).