Pull to refresh

Comments 154

Интересно. А какие после этого будут последствия? Анонимности больше у нас станет или сбор адресов почты будет в рамках закона и значит повсеместным?

Да никаких, кроме юридических.
Как показала многолетняя практика, закон о защите ПД никак не защищает граждан от массовых утечек ПД. Я тут проверял, что на меня есть - 30 источников... От СДЭК до всяких Гемотестов.

Да, зато этот закон при желании может доставить очень много проблем компаниям. Так хоть за e-mail докопаться не смогут.

По мнению судов нескольких инстанций, адрес электронной почты не обладает свойством «абсолютной неизменности», потому что в случае удаления аккаунта электронной почты другой пользователь может создать почту с точно таким же адресом.

По такой логике и ФИО с адресом не обладают свойством «абсолютной неизменности». Потому что человек может переехать и ФИО поменять. А на его адрес заехать другой человек с такими же ФИО.


Маразм крепчал...

Тоже касается лица, а так же зубного слепка, отпечатков пальцев, списка родствеников и тд Очень мало что во вселенной обладает свойством абсолютной неизменности

Никто не мешает менять лицо, удочерять, усыновлять, установить протезы вместо рук и тд

Осталось убедить в этом Роском надзор

Вы, забыли написать, поменять пол человека, или имитировать это, что одно и тоже

Для Почты, например, не является указание фио и адреса на странице отслеживания треков персданными.

Распространенная практика. День Выборов 2 это наглядно продемонстрировал.

Это так. Персональными данными являются набор характеристик, которые позволяют идентифицировать человека.ФИО само по себе не является. А ФИО и адрес - да.

Отдельно стоят т.н. биометрические ПД. Они могут идентифицировать человека только по одному признаку, поэтому выделены в специальную группу. Если компания потеряет список ФИО - утечки ПД не будет. Если компания потеряет оттиски отпечатков пальцев, то будет утечка ПД. Это по российскому законодательству. В других странах есть свои акты.

ФИО само по себе не является. А ФИО и адрес - да.

А если данный набор ФИО уникальный для страны? Или, напротив, в одной квартире живут два человека с идентичными ФИО?

А если данный набор ФИО уникальный для страны?

Само по себе имя ничего не дает. Допустим в стране живет человек с именем Авууааргоаумн Оооранг, если это имя будет опубликовано здесь, то никакой утечки не будет

Или, напротив, в одной квартире живут два человека с идентичными ФИО?

Формально, ПД - это любая информация, относящаяся к определяемому лицу. Тут важное слово "определяемое".Скорее всего в этом случае будет признано, что это ПД двух лиц сразу.

UPD. Подумал, что может быть уникальное имя может быть признано ПД. Оно же однозначно идентифицирует персону. Оставим это крючкотворство юристам

Само по себе имя ничего не дает.

Как это не даёт? Сами же написали - набор характеристик, позволяющих идентифицировать человека. В подавляющем большинстве случаев имя+адрес таковыми являются: если вы что-то написали про Ипполита Иванова с 3-й улицы Строителей д.25 кв. 12, то можно однозначно установить этого Ипполита. Получается, это будут перс. данные?

Однако же, если у вас в стране есть только один Авууааргоаумн, то любое его упоминание однозначно указывает на конкретного гражданина, и ничем от связки имя+адрес в вопросе идентификации не отличаются.

Скорее всего в этом случае будет признано, что это ПД двух лиц сразу.

С таким подходом можно имя Ипполит признать персональными данными сразу всех Ипполитов страны.

Если вы можете гарантировать что Авууааргоаумн в единственном виде (т.е. не до этого не после этого не появится новый) то в целом то да, можно считать что по этому признаку его можно однозначно идентифицировать

Так и связка фио+адрес этого не гарантирует.

В жизни гарантирует разве что ИИН или там номер паспорт, что будет биться 1 конкретный человек по этому идентификатору.
Однако, это если мы говорим про, скажем, 99,999%.
А если нам достаточно 95% точности, то для большинства случаев оказываются достатошной, для решения идентификации человека, связка ФИО+адрес.

Тем более, вопрос же стоит не в том, что где-то собрали данные конкретного супер-рекдого близнеца с одинаковыми именами, родившимися в один день, живущими в одной квартире, а для большинства граждан, потому что эти данные продаются на развес оптом.

Вопрос может стоять по-разному. И нормальный закон должен все эти варианты учитывать. Например, для идентификации нам может хватить должности - "нынешний ректор СПбГУ". Зная эти данные, мы можем установить и ФИО, и адрес, и всё остальное. Является ли уникальная должность персональными данными?

Конкретно этот пример не релевантен - учебные заведения обязаны раскрывать (распространять) сведения о руководстве и преподавательском составе включая персональные данные. Поэтому сведения о нынешнем ректоре СПбГУ" являются общедоступными. Вместе с тем, оценка по уникальным должностям будет решаться в зависимости от ситуации: сама по себе даже уникальная должность написанная на заборе - это не ПД ибо относится не только к конкретному человеку, но также обозначает вполне себе позицию, которая является открытой информацией. Но как идентификатор в ИСПДн может признаваться и ПД (например, получатель рассылки, участник акции и т.д.).

А если нам достаточно 95% точности

Особенно хорошо, когда судебным приставам достаточно 95% точности. Подумаешь, немного не тому Ипполиту арест на счёт наложили. Обычно-то всё нормально.

Как я сказал, есть разные задачи, для которых нужна разная точность.

>Или, напротив, в одной квартире живут два человека с идентичными ФИО?

Так по ФИО и нельзя идентифицировать человека, там ещё и дата рождения должна фигурировать. Например в одной квартире живут отец и сын Иван Ивановичи.

А если это близнецы с одинаковыми именами? Законом не запрещено.

Не обязательно близнецы. Страна большая, в один день могут и тёзки родиться.

Тезки скорее всего будут в разных квартирах жить. А у близнецов ещё и адрес совпадет.

А ФИО и адрес — да.

Так нет же. Потому что "в случае переезда другой человек может взять себе такие же ФИО и прописаться по тому же адресу". Чем это отличается от "в случае удаления аккаунта электронной почты другой пользователь может создать почту с точно таким же адресом."?

В итоге решение принимает суд. Я своим примером хотел показать, что многие ошибочно считают, что утекшее имя является персональными данными. В большинстве случаев нет (уникальные скорее всего будут).

Можно сделать такое упражнение:

  • Я Ипполит - какой (из 12345) именно?

  • Из Ленинграда - откуда конкретно (т.к. их 123)

  • Из 3 улицы строителей дом 25 кв 15 - ага тот самый Ипполит. Теперь понятно

Когда говорят об утечках, то там учитывают набор дополнительных данных.

Например, Ипполит заказал торт по адресу Ленинград, 3 улица строителей дом 25 кв 15, (на момент timestamp). То есть это это персона ФИО, которая проживала по Адресу на момент Время. Если потом Лаврентий въедет в эту квартиру и поменяет имя на Ипполит, то это не его данные.

Почему опасна именно комбинация, потому что по нескольким утечкам можно сделать JOIN.

Можно сделать такое упражнение:

Можно. Например человек с мылом MikhailZakharov@mail.ru и/или телефонным номером 12345678890.


Сколько таких людей существует в любую единицу времени? Больше чем "Ипполитов из Ленинграда с 3 улицы строителей дом 25 кв 15"? :)

Абсолютно верно. Однозначно идентифицировать по минимальному набору нельзя. На другом конце линейки стоит биометрия, где по минимальному набору можно идентифицировать человека.

Но при этом "ФИО с адресом" это ПД, а "мыло с номером телефона" не ПД. Хотя второе как минимум не менее уникально.

Все пд, что относится к конкретному субъекту.

Ещё надо учесть новое определение от 2020 года

"персональные данные, разрешенные субъектом персональных данных для распространения" - это новый подвид.

Если я в профиле опубликовал имя, почту и телефон, то это именно тот тип ПД

Все пд, что относится к конкретному субъекту.

Если верить статье, то суд решил иначе.

Суд в постановлении не только про почту, но и про телефон говорил. Само постановление о том, что по этим данным нельзя определить субъект. Вот выдержка из одного дела из статьи.

Совокупность данных, получаемых обществом посредством формы «Заявка на оформление полиса», как обоснованно отметили суды, не обеспечивает возможности доподлинно определить конкретное физическое лицо, которому принадлежит номер телефона и/или адрес электронной почты, поскольку форма не подразумевает предоставления полных «Фамилии имени отчества» и/или иных идентификаторов, таких как «Номер документа удостоверяющего личность», «ИНН», «СНИЛС», «Дата и место рождения», в особенности принимая во внимание тот факт, что в форме могут быть указаны номер телефона и адрес электронной почты, принадлежащие юридическому лицу или иному физическому лицу, не являющемуся заполнителем формы.

Само постановление о том, что по этим данным нельзя определить субъект.

Ну так и по ФИО с адресом нельзя. Они теперь тоже не ПД и с ними можно обращаться не как с ПД?

Это определяет суд.

Но так как в большинстве случаев по ФИО и адресу можно определить субъект, то рекомендую обращаться с этими данными как с ПД.

А в случае с мылом и телефоном не рекомендуете? :)

Мне казалось, что вам нужно было разобраться в нюансах, а не троллить.

В решении суда, на которое ссылается статья сказано, что почта и телефон не персональные данные.

Указание дополнительных сведений, каких как ФИО приведёт к идентификации

Приведу выдержку из https://www.garant.ru/consult/civil_law/1622422/

Но указание дополнительных сведений (Ф.И.О. и инициалы), которые позволяют отнести их к конкретному физическому лицу, является грубым нарушением законодательства РФ. Такого же мнения придерживаются суды (смотрите, например, решение Московского районного суда г. Твери Тверской области от 18.02.2016 по делу N 12-24/2016).

А я не троллю. Я всё ещё не вижу принципиальной разницы между "адрес + ФИО" и "мыло + номер телефона". Особенно в контексте конкретно той формулировки обоснования, которую привёл суд.

Странно, что по адресу субъект определить можно, а по номеру телефона - нельзя.

Только лишь по адресу - нельзя. Если я назову адрес, допустим, "Москва, ул. Профсоюзная, дом 33, квартира 1", то из этих данных вы ничего не вынесете, кроме того факта что этот адрес существует и там, возможно, кто-то живёт - неизвестно кто, неизвестно сколько. Точно также я могу назвать любой другой адрес. Могу и назвать любое имя - например, Пупкин Василий Иванович - и из этого невозможно сделать никакой вывод. А вот если я назову соответствующие адрес и имя одновременно, то это уже будет идентификацией конкретного человека.

Номер телефона - голый, без его сопоставления с другими данными - тоже ничего не сообщает. Возможно, у опсосов есть база данных, где номера сопоставлены с ФИО, но у нас её нет и, следовательно, для нас это не ПД.

Так по этому и странно, что адрес считается ПД, а телефон - нет.

без его сопоставления с другими данными - тоже ничего не сообщает.

Конечно нужны другие данные. Например факт покупки дилдо в сексшопе клиентом с номером телефона ХХХ. Многое сообщает.

А есть гарантия, что вы опубликовали ИСТИННЫЕ имя, почту и телефон ?

Надо смотреть с другой стороны. Потерпевшая сторона та, чьи данные утекли. Она говорит, что это мои настоящие данные попали на сторону. Нет необходимости доказывать, что данные истинные

"тот самый Ипполит" на самом деле из 12 квартиры
Простите, не смог удержаться :)

Если компания потеряет оттиски отпечатков пальцев, то будет утечка ПД.

Только если каждый файл отпечатка содержит где-то (в имени или метаданных или в дополнительных потерянных совместно с отпечатками данных) информацию, позволяющую связать отпечаток и человека и достаточную для уникальной идентификации (скажем, это может быть табельный номер работника или там номер трудового договора), то да.

А если компания просто потеряет папку со сканами пальчиков, где имена файлов случайные, сгенерированные системой хранения, то это ни о чём. Хотя клизму всё равно пропишут.

И пропишут правильно. Главная беда всех видов биоидентификации -невозможность смены в случае компрометации. Если в сеть попали ваши отпечатки пальцев с привязкой к вашей личностности, то вы больше НИКОГДА не сможете их использовать для идентификации себя самого.

Почему? От того что мои отпечатки попали в сеть они у кого-то выросли на пальцах?

В зависимости от технологии которая используется часто этого достаточно чтобы прикинуться вами.

То есть есть куча сканеров отпечатков, которые можно обмануть просто картинкой.

Если компания потеряет оттиски отпечатков пальцев, то будет утечка ПД.

Но почему? Сами по себе оттиски пальцев точно такие же обезличенные данные, как и фио. Они ценные только в совокупности, когда за определенной мат. моделью построенной на основе капиллярного рисунка указанны другие пд конкретного человека.

Маразм крепчал...

но не потому, а потому что когда требуют от бложика держать сервера на территории страны и копить логи по 3 года, то "персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.", даже если там только емайлы

Поменять электронную почту вы можете так, чтобы этого не знал никто кроме вас, к ней государство отношения не имеет.

С ФИО и пропиской так не получится, их изменение проводится и фиксируется государственными органами.

Потому такое решение суда логики отнюдь не лишено.

Т.е. на миллиарде сайтов людей идентифицируют по имени почте + паролю, но внезапно оказывается, что нет, это не персональные данные (которые как раз про идентификацию).

Вопрос с ФИО и регистрацией (кек) это вопрос другого уровня доверия, но решает ту же задачу.

Поэтому, купить кофе в кофейне и получить скидку вполне достаточно емейла или номера телефона, а вот банку скажем и ФИО с регистрацией недостаточно.

на миллиарде сайтов людей идентифицируют по имени почте + паролю

Может не людей, а пользователей сайтов? У одного человека может быть несколько аккаунтов с разными почтами.

Да но закон интересует многое к одному, а не один ко многим.

Вот когда у тебя угонят почту, подобрав/взломав/сперев пароль, и ты попытаешься получить/восстановить доступ обратно (без привязанного телефона, секретного вопроса/ответа и пр., чисто на "оно моё"), тогда и поймёшь, сколько на самом деле в этих данных персональности.

Секретный вопрос ну ни как к персональным данным не относится.

Причём здесь государственные органы? Я могу всё это поменять без того чтобы об этом узнала какая-то там страховая компания из статьи. Или те кому она сливает информацию

Зона ответственности. Тут не важно страховая компания или кто-то другой, а тип данных и его квалификация. За теми данными, что государство считает важными, в том числе потому, что это персональные данные, оно же и следит.

Вы можете вместо электронной почты стучать по трубе отопления или кричать в мусоропровод - тоже средство связи получается. Но схема труб общего отопления от этого вашими персональными данными не станет.

Тут не важно страховая компания или кто-то другой, а тип данных и его квалификация.

Абсолютно верно. И "тип данных и его квалификация", а точнее ПД эти данные или не ПД, не зависит от того проводится и фиксируется их изменение государственными органами или нет.


Вы можете вместо электронной почты стучать по трубе отопления или кричать в мусоропровод — тоже средство связи получается.

Причём здесь средство связи или не средство связи? Мыло и номер телефона являются ПД не потому что это какие-то "средства связи"...

И "тип данных и его квалификация", а точнее ПД эти данные или не ПД, не зависит от того проводится и фиксируется их изменение государственными органами или нет.

Зависимость обратная, если не фиксируется, то суд не имеет оснований квалифицировать их как важные.

Причём здесь средство связи или не средство связи?

В данном случае речь шла о средстве связи, но аналогию можно провести и в других случаях, это не принципиально.

то суд не имеет оснований квалифицировать их как важные.

Что значит "важные" и почему это кого-то должно интересовать? Речь идёт о ПД или не ПД. "Важность" тут не причём.

В данном случае речь шла о средстве связи,

В данном случае речь шла о ПД. Средства связи тут вообще не причём.

Что значит "важные" и почему это кого-то должно интересовать?

Потому, что цвет обоев в вашей квартире - это тоже ваши персональные данные, фактически, но не юридически, их утечка не влечет существенных последствий. Суд оперирует не словарный смыслом слова "персональные".

В данном случае речь шла о ПД. Средства связи тут вообще не причём.

Персональный идентификатор в любом средстве связи - это потенциальный кандидат на частный случай персональных данных. Я и говорю вам о том, что в данном случае с точки зрения суда адрес электронной почты не выглядит более "персональным", чем ваша труба отопления.

Потому, что цвет обоев в вашей квартире - это тоже ваши персональные данные

Нет. Вы похоже просто не понимаете что в данном контексте означает ПД.

Суд оперирует не словарный смыслом слова "персональные".

Точно так же как он не оперирует словом "важные".

Я и говорю вам о том, что в данном случае с точки зрения суда адрес электронной почты не выглядит более "персональным", чем ваша труба отопления.

Ну а я говорю что это маразм.

Точно так же как он не оперирует словом "важные".

Этим словом оперирую я, чтобы акцентировать внимание на разнице между простым словосочетанием "персональные данные" и термином "персональные данные" из законодательства. Чтобы у вас не возникало такой мысли:

Нет. Вы похоже просто не понимаете что в данном контексте означает ПД.

В законе о персональных данных указано, что ими могут являться любые идентификаторы, в том числе и электронная почта, в случае если либо сам адрес, либо сопутствующая ему информация позволяет вас идентифицировать. Ведь по сути ничего вам не мешает завести адрес электронной почты, содержащий ваше ФИО и номер паспорта.

Так же и в случае каких-либо утечек помимо адреса электронной почты могут быть подобные данные, делающие утечку именно утечкой персональных данных.

А просто ваша почта вида ololo1234@ya.ru сама по себе персональными данными ну никак не может быть.

Этим словом оперирую я, чтобы акцентировать внимание на разнице между простым словосочетанием "персональные данные" и термином "персональные данные" из законодательства.

Ну так что означает термин "персональные данные" из законодательства?


в случае если либо сам адрес, либо сопутствующая ему информация позволяет вас идентифицировать.

Кому идентифицировать? Абсолютно всем? Или достаточно кого-то одного кто это сможет?

их утечка не влечет существенных последствий

Утечка моего номера телефона влечет более серьезные последствия, чем утечка адреса, где я даже не живу.

К каким последствиям ведёт утечка ТОЛЬКО номера вашего телефона, без привязки к тому что он ВАШ?

В контексте мы тут обсуждаем связку с ФИО или с другими данными. Например, утечка факта смерти богатого родственника в связке с моим номером телефона даже без ФИО влечет более серьезные последствия, чем утечка моих ФИО+адрес

То, что теперь они могут со мной связаться.

И уникальность их никто тоже гарантировать не может, даже если фио + дату рождения, коллизии могут быть

Но тут речь скорее всего о том что они имеют ввиду что вроде как фио поменять не поставив в известность нужные инстанции ты вроде как не можешь, а с почтой все просто.

Можно поставить в известность не все нужные. Вот только гемороя от такого решения будет выше крыши.

Пароль от почты можно передать другому человеку. А вот фото, ИНН или паспорт при передаче другому человеку перестают выполнять свою персонализированную функцию. В таком случае передача представительской функции возможна только через юридически значимую процедуру - доверенность.

Причём здесь передача другому человеку и доверенность? Речь идёт о ПД и о том можно ли например при помощи их вас идентифицировать.

Нажо понять, судья понимает, что такое емейл, телефон и понимает, что эти атрибуты меняются крайне редко, даже после смерти обладателя еще существует много лет. Такое решение работает на пиратов, жуликов, и западных разведок. Меня лично возмущает, что при регистрации требуют телефон, а после этого как правило заваливают рекламой.

И никакие законы о защите ПД нифига не работают, спамеры плевать на них хотели.

Секрет-то в чём, чтобы статистику утечек уменьшить: аккаунт то не ваш, любой может создать такой же, так что это не ПД, а наша коммерческая тайна, хотим распространяем, хотим нет, пшёл вон.

Это пока с этого аккаунта крамолы какой не появилось - тут уже однозначная идентификация чудесно материализуется (и даже если идентифицирует совсем не того, главное - непустое множество, а false positive или нет - не важно, палка заработана).

Ну а вообще надо было РКН давить на то, что в один момент времени это может принадлежать только одному субъекты, поэтому и идентификация однозначная.

А как же корпоративные почтовые адреса?

Да и в семье (или любом другом коллективе) на всех может быть одна почта.

Владелец то один, кто зарегистрировал, а то что он даёт ещё кому-то доступ, ну это его личные риски.

Каким образом ты владелец ящика на том же mail.ru? В лучшем случае безвозмездная аренда, почитай соглашения. Если даже западные компании отказывают в предоставлении ОПЛАЧЕНЫХ услуг, то что уж говорить о бесплатных? Ну и как Дуров, а сейчас и Маск отжимают юзерныймы разве не показатель? Даже если почта на своем домене он как правило "арендован" на год и в продлении тебе могут и отказать, в том числе из-за изменившегося законодательства страны.

Ну хорошо, пользователь - какой термин подойдёт.
Это касается и номера телефона, владелец или пользователь - но не собственник. Телефон тоже убрать из перечня ПД?

Ну телефон хотя бы регистрируют по ПД, а мыло и без них. Как вариант предложу (многие свободолюбивые граждане возмутятся, да и я не совсем за) - выдавать каждому гражданину по паспорту один ящик допустим @gosuslugi.ru и для всех операций с государством использовать именно его, возможно даже вида ИНН@. Вот это скорее и будет попадать под ПД. Ну а для котиков в интернете никто не мешает других почт зарегистрировать.

Сейчас для регистрации обычного мыла всё чаще прям требуют вводить номер телефона. Тот же Яндекс и мейлрушка давно вымогают телефон для привязки пользователя к ФИО.

И какие ваши предложения? Считать почту на Яндекс и Мэйл за ПД а условный tempmail нет? Как закрепить это законодательно? У меня например требовали ПД для участия в некоторых соревнованиях (в том числе для заключения договора об ответственности) - является после этого выданный мне номер участника 23 ПД? Просто со всем этим мы можем зайти очень далеко не в ту сторону, скажу тебе как человек увлекавшийся фотографией.

У меня например требовали ПД для участия в некоторых соревнованиях (в том числе для заключения договора об ответственности) — является после этого выданный мне номер участника 23 ПД?

Ну если совсем грубо, то вопрос в том может ли кто-то ещё кроме вас самих и организаторов соревнований идентифицировать вас по "номеру 23"? Если да, то это по хорошему уже ПД.

А чем организаторы мероприятия особо отличаются от того же ОПСОСа или почтового сервиса? И там и там могут идентифицировать только по запросу органов.

Ну вот смотрите. Берём ваш номер телефона. Когда вы его получаете, то это регистрируется где-то там у государства. То есть государство без всяких "запросов органов"(которые по идее должны фильтроваться судами) имеет доступ к этой информации. Дальше вам надо указывать номер телефона при регистрации в различных банках, сервисах и так далее и тому подобное.


То есть если кто-то выложит в открытый доступ информацию "человек с номером телефона 1234567890 сделал то-то и то-то", то куча людей и организаций будет знать что это сделал Вася Пупкин.


С мылом это работает примерно так же. А вот с "номер 23" это так уже не работает.

Ну потом вот человек который организовывает нам любительский футбол по выходным и хранит наши телефоны+имена для оповещения должен получать лицензию на обработку и хранение ПД, тратиться на хранение ПД по некоторым стандартам (на территории РФ, с защитой сервера не менее ХХХ). После этого каждый игрок должен будет дополнительно отдавать в месяц несколько килорублей для покрытия орг. расходов чисто чтобы погонять мяч. Вроде США так зарегулировали некоторую деятельность что заменить в доме розетку стоит 500 баксов из которых электрику идет только 50, а остальное, условно, регуляторам.

Ну потом вот человек который организовывает нам любительский футбол по выходным и хранит наши телефоны+имена для оповещения должен получать лицензию на обработку и хранение ПД, тратиться на хранение ПД по некоторым стандартам

Если он хочет их где-то у себя хранить, то да.


Ну или альтернативно он может получить от вас разрешение хранить ваши ПД как он хочет и/или раздавать их кому угодно так как ему захочется. Ну то есть не знаю как это работает в РФ, а в других странах такая опция вполне себе существует.

У условных ОПСОСов, Яндексов, Мэйлов в договорах мелким и стоит примерно что они могут крутить твоими данными как хотят. Шах и мат!

Вопрос в том как это точно отрегулировано в законах. то есть в законах РФ я не особо силён. В том же GDPR это согласие должно быть абсолютно опциональным. То есть если оно не может быть "намертво" вписано в договор и вам не могут отказать в договоре если вы этого не хотите.

А тут мы уже идем в дебри, в том числе Закона о защите прав потребителя. Допустим я владелец легального обменника крипты работающего только с белыми деньгами, законодательно вероятно крипта еще недостаточно урегулирована, но я буду требовать ПД чтобы потом не присесть из-за мошенников. Но с другой стороны любой гражданин РФ может подать в суд на меня за отказ в предоставлении услуги без ПД и в теории должен выиграть (что не запрещено, то разрешено?).

А для этого есть исключения для соответствия другим законам и/или хранения/использования ПД без которых выполнение договора в принципе невозможно.

И если ты знаток законодательства "других стран", посмотри заголовок материала и расскажи в каких странах email является законодательно ПД, а в каких нет. Будет информация к размышлению.

Во известных мне законах разных стран нигде имплицитно не прописано что является ПД, а что нет. Прописаны правила по которым это определяется.


И если совсем грубо, то это то самое "может ли кто-то ещё кроме вас самих и того кому вы даёте данные идентифицировать вас по этим данным."

А в каких странах телефон/мэйл попадают под эти правила? Кого категорически не устраивает решение Верховного суда РФ по этим вопросам могут в том числе создать табличку где и как в других странах, дать вводные данные, создать петицию и призвать народ подписать. Или как всё это сделать юридически правильно, не просто повозмущавшись в интернетиках? Я так то за лично свою анонимность, но не за полную анонимность других (такая анонимность плохо влияет на безопасность моих родственников).

А в каких странах телефон/мэйл попадают под эти правила?

Ну например во всём ЕС. Но опять же они не всегда попадают и бывают и исключения.

Или как всё это сделать юридически правильно, не просто повозмущавшись в интернетиках?

На мой взгляд тот же GDPR вполне себе хорошая база для развития.

Не беря технические возможности, пароль от ящика знаю я, значит и владею им я. Когда отожмут, тогда им я владеть не буду. Но это не меняет того, что это были мои персональные данные как бы. Потому что точно так же можно сменить номер, квартиру и фамилию с паспортом, но от этого вчерашние твои данные не перестали быть ПД.

Даже если принять такую условность - вы не можете идентифицировать этого субъекта. Есть адрес ivan.ivanov@mail.ru - вы даже в том, что его владельца Иваном Ивановым зовут, не можете быть уверены.

Мне не нужно знать Иванов он или Петров, я знаю, что это тот же самый с кем я переписывался вчера.
Так-то и номер паспорта мне не даёт никого идентифицировать, потому что на лбу этот номер ни у кого не светится. Т.е. по факту я должен к каждому подойти и проверить его паспорт. Так вот, с таким же успехом я могу проверять знает он пароль от этой почты или нет.

Все эти законы о ПД применяются по принципу
"тут играем, тут - не играем, а тут рыбу заворачивали..."

Хм... как быть на счет переписки по мылу, когда она фигурирует в суде/деле?

Т.е. плохиш/хороший может сказать теперь... "Это не я".

Т.е. плохиш/хороший может сказать теперь... "Это не я"

плохиш всегда может так сказать, чисто из-за особенностей протокола, что в поле "от" можно вписать хоть президента, и это никак отличить нельзя, и именно поэтому используют и цифроподписи и шифрование и другие дополнительные меры

Так задача следствия как раз и состоит в том, чтобы доказать, что "он это он".

Буду игнорировать письма и звонки из суда с какими-либо требованиями, т.к. "невозможно определить конкретное лицо", а значит мошенники какие-то...

Да и домену gosuslugi.ru не верь, ведь после разделегирования может создать с таким же именем любой.

С другой стороны, я почитал решения суда, и там всё же уклон в другую сторону, а именно, что страховая не собирала ПД для идентификации лиц, а только для отправки сообщений. Т.е. пользователь не авторизовывался на сайте, что подверждало бы что, он это он.

Лишний раз убеждаюсь, что формулировки в законе о ПД слишком расплывчатые, что даже среди государственных органов нет согласия в базовых понятиях. Моё имхо на стороне на стороне профильных юристов, но список с указанием, что является ПД, а что нет, в каких ситуациях и комбинациях не помешал бы.

Таких списков на все случая жизни не напасёшься. Потому что для сайта IP-адрес не персональные данные (он не знает кто это), а для провайдера уже персональные данные, потому что его совокупных данных достаточно для определения субъекта. И таких нюансов там вагон.

А я вот не уверен, что даже для провайдера один лишь ip без сочетания с ФИО относится к ПД, так что без списков пусть и длинных (их хватает в законодательстве) сложновато с однозначной трактовкой.

Так у провайдера то возникает связка IP <-> ФИО, да, не в одной строчке в базе, но это и не важно.

Строго говоря, связкой там может выступать IP+sourceport+timestamp, но не один только IP.

В общем случае - недостаточно. Провайдер не может определить, кто именно пользуется интернет-соединением, потому что им может пользоваться одновременно несколько людей (проживающих в одной квартире). Для этого нужны компетентные органы, которые проведут экспертизу техники или допросят субъекта, заключившего договор.

Как провайдер по одному IP (без времени и MAC) установит пользователя? Да, вы написали "по совокупным данным". Тогда, по вашей логике фамилия (без имени, отчества, возраста и адреса) тоже является персональными данными.

IP+ что-то ещё - возможно, сам по себе- нет.

Как провайдер по одному IP (без времени и MAC)

MAC никто, кроме провайдера и не знает, поэтому он тут не в кассу.

MAC-адрес смартфона не уходит дальше домашнего роутера, MAC-адрес роутера не уходит дальше железки провайдера, в которую воткнут кабель, входящий в квартиру, и так далее.

А вот зная IP-адрес и время провайдер уже может прикинуть, с каким номером договора этот адрес был ассоциирован в этот момент времени, если IP белый.

Ха! Список ПДн захотели! ))) А вот более забавный вопрос - с какого возраста можно самостоятельно подписывать "Согласие на обработку Пдн"?

Вики говорит что до 14 лет (а дальше у тебя паспорт) ты находишься на попечительстве родителей или законных опекунов.

Вот только Роскомнадзор так не считает. А в законах нигде чётко не сказано. И начинаются "толкования"...

А что он считает? До 14 твои законные интересы представляют и защищают родители, а дальше ты сам.

Как это всё относится к закону о запрете гуглопочты?

Ну вообще логично, каждый может создавать себе хоть по 10 аккуантов

Логично для чего? Ты же вот не отвечаешь за мой аккаунт на хабре, хотя можешь себе создать хоть 10.

Так вас и нельзя идентифицировать по аккаунту на хабре.

Окей, почту с натягом можно понять. По ней одной юзера не задеанонить (если только там не vasia_pupkin@mail.ru), есть сервисы временной почты и вообще юзер может иметь хоть 1000 ящиков на разных клиентах, вычислить их принадлежность невозможно. Но номера телефона то регают по паспорту! Что это, блин, если не ПД???

И плевать что номер может быть переоформлен на другого человека, он совершенно однозначно принадлежит хоть кому-то, если обслуживается. И этот кто-то регал его по паспорту. И его ещё как можно "прямо или косвенно" задеанонить, зная номер телефона. В открытом доступе есть сервисы, которые пробивают владельца номера за 100 рублей.

Короче РКН видимо не сильно и пытались. Когда творить всякую хрень под мнимыми предлогами вышестоящего руководства о защите ПД они горазды, а как до реальной защиты доходит, то только скулить и могут.

Легальным способом нельзя узнать кому принадлежит номер телефона. И к тому же могут быть и корпоративные номера, которые зарегистрированы на предприятие.

Легальным способом нельзя узнать кому принадлежит номер телефона.

Это не совсем так. Куча фирм и организаций могут узнать кому принадлежит ваш номер телефона если вы у них уже зарегистрированы с этим номером телефона.


То есть если совсем грубо, то у государства есть привязка вашего номера телефона к вашим ФИО и адресу. И у доставщика пиццы она есть. И у кучи других сервисов.


Теперь допустим вы "анонимно" регистрируетесь в секс-шопе с вашим номером телефона(ну раз это не ПД, то анонимно ведь). И поскольку это не ПД, то секс-шоп может спокойно всем сообщить что "чувак с телефонным номером XY купил у нас такие-то товары". Смогут после этого государство и доставщик пиццы понять что это именно вы всё это купили?

Поэтому все корпорации попросили предоставить ПД того, кто телефоном у них пользуется, а иначе отключат газ.

Легальным способом нельзя узнать, кто проживает по определенному адресу. Значит адрес - не ПД?

Адрес регистрации/фактического проживания, без привязки к ФИО, не является персональными данными.

Вы не держите контекст разговора. Речь про привязку адреса к ФИО.

Номер телефона это число. Как он может быть ПД, если только не хранить рядом ФИО? Так мы договоримся до того, что не сможем хранить и проводить арифметические операции с числами сходными с номером телефона, паспорта, снилса, инн, и т.п., ведь они могут быть чьими-то ПД. ))

ИНН это тоже число. Как он может быть ПД?

отдельно не может, только в связке с фио, например

По закону ПД это это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу.

На мой взгляд ИНН позволяет определить конкретного человека. На ваш взгляд нет?

Как позволяет? ИНН с ФИО связывает налоговая, а телефон — оператор. Никакой больше разницы я тут не вижу.

ИНН с ФИО связывает налоговая

Ну то есть даже если только налоговая может связать ваш ИНН с вами, то всё равно кто-то уже может. То есть если станет известно что "кто-то с таким-то ИНН" что-то сделал, то как минимум налоговая будет знать кто именно.

А ФИО просто буквы, ага. По вашей логике ничто не является ПД, ибо всё представляет собой случайную комбинацию значений, которые могут принадлежать, а могут не принадлежать конкретному лицу.

Видимо такой логикой и оперируют суды когда отклоняют такие иски. Но только если это выгодно. А если не выгодно, то вспоминают что всё что может идентифицировать человека - это ПД.

Так и ФИО не является персональными данными без привязки к другим данным, т.к. не позволяет идентифицировать человека.

Так привяжите к телефону. Теперь ПД или всё ещё нет?

Вместе с ФИО является, если вы их предоставляете одновременно. А сами по себе - нет.

Фразу "привяжите к телефону" в данном контексте следует читать как "привяжите ФИО к телефону".

нет. по моей логике есть данные, например диагноз, или номер телефон, но они становится ПД, когда их хранят в связке с фио. Т.е. ИНН это просто число, а ИНН Иванова Ивана Ивановича уже ПД этого самого Иванова.

Точно, если есть диагноз "рак" или "вич" с номером телефона ХХХ - это, по-вашему, не медицинская тайна? Ведь узнать, кому принадлежит номер, невозможно, а значит никто никогда не узнает, что это диагноз ваш?

/s

Ведь узнать, кому принадлежит номер, невозможно,

А тут надо разделить "по закону" или "по жизни".

Там, где есть судебная система, "по жизни" квалифицируется как "кража персональных данных" и за нее идёт реальный срок. Плюс могут компенсацию ущерба присудить.

Да не квалифицирует никто использование слитой базы в интернете "кражей". И уж тем более, если вы добавите номер телефона в вотсап и просто поболтаете с человеком (если он согласится) - ну какая тут кража? Или вам такой вариант в голову не приходил?

Я просто описал мою логику, и уже упоминал, что считаю закон недостаточно четко прописывающим базовые понятия и желательность добавить конкретный список, что считать ПД, а что нет. Я вполне допускаю, что такая комбинация будет признана ПД попадающей под закон о защите, но именно комбинация, а не список диагнозов и список телефонов отдельно.

У меня есть число и я знаю что это чей-то ИНН. Есть возможность выяснить чей или это в принципе невозможно? Причём не только для меня, но и в принципе для всех?

Для СНИЛС можно, есть соответствующей API

адрес электронной почты не обладает свойством «абсолютной неизменности», потому что в случае удаления аккаунта электронной почты другой пользователь может создать почту с точно таким же адресом

Может ли? На днях от Gmail пришло письмо про удаление неактивных акаунтов, так там всё равно прописано, что после удаления создать такой адрес уже нельзя будет. Что логично, получить доступ к чужим учёткам на сторонних сайтах через авторизацию при помощи гуглоучётки (или восстановить пароль чужой учётки на стороннем сайте сбросом по электропочте) — вполне себе вкусная ягодка.

Но законадательного закрепления мыл за человеком нету, всё остальное частности.

Один из моих старых служебных адресов (на mail.ru) после самостоятельного удаления кто-то перезарегал. О чём я узнал спустя много лет - точный интервал между удалением и открытием уже не восстановить.

Телефонный номер принадлежит государству, вы его можно сказать берете в субаренду у оператора на 3-6 месяцев (если такое время не пользоваться платными услугами его могут у вас забрать. Почта, даже на своем домене по сути аренда и максимум на год, так как домен потом надо продлевать, а ещё его могут разделегировать или прочее подобное как с Яндексом в Казахстане. Взяв в аренду автомобиль я могу считать его госномер на время аренды своими перс данными? Сомневаюсь.

Only those users with full accounts are able to leave comments. Log in, please.

Other news