17.06.2009

IP-адрес - это персданные

Продолжая размышлять о персональных данных пришел к интересному, но опасному выводу о том, что доменное имя - это ведь тоже персональные данные, т.к. по нему можно идентифицировать владельца домена (если он физическое лицо). А чтобы сделать эти персданные общедоступными, необходимо получать письменное согласие субъекта ПДн. Развивая эту тему, статус персданных замечательно ложится и на статические IP-адреса, которые нередко закрепляются за отдельными гражданами, желающими иметь таковые адреса при доступе в Интернет или оказания каких-либо услуг. И вновь требуется получать письменное согласие на помещение этой информации в реестры регистраторов. Также под вопросом находится работа сервиса WHOIS...

ЗЫ. Вспомнил, что еще в 2003-м году Октябрьский суд г. Екатеринбурга вынес решение, в котором был такой пассаж "Сведения об IP- и MAC-адресах официально зарегистрированных пользователей сети Интернет относятся к коммерческой и служебной тайне компании-провайдера. Кроме того, в соответствии со ст. 6 Федерального закона от 20.02.95 № 24-ФЗ «Об информации, информатизации и защите информации» учетно-регистрационные данные относятся к персональным данным".

8 коммент.:

swan комментирует...

По поводу ПДн мое мнение….(http://vazone.ru/wordpress/?p=287)

Иногда Сталкиваюсь с убеждением коллег в том, что ПДн это только те данные которые позволяют идентифицировать конкретного человека. Но ведь это совсем не так!

Давайте вспомним две строчки из 152 ФЗ:

* персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
* Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Исходя из этого к ПДн можно отнести все что угодно… Попробую довести до абсурда вопрос связанный с определимостью субъекта ПДн.

152 ФЗ говорит “персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу”.

Никаким образом не рассмотрен вопрос определяемости… Дело в том что различные условия относят одни и те же данные либо к ПДн либо нет ! Вот пример…

Некий житель Гамбурга в 17 веке прибыл на небольшой африканский остров… При этом данные о его цвете кожи в Гамбурге трудно отнести к ПДн (хотя составной частью может быть) но на упомянутом острове, где со времен потопа “белых” невидали – совершенно четко относятся к ПДн.

Извините за “плохой” пример… Но существует много условий при которых одни и те же данные либо ПДн либо нет!

Quiet Zone комментирует...

Да, если покопаться, массу неприятных открытий можно сделать (например, что любой сервер - DHCP, DC, не говоря уж о DNS - это ИСПДн со всеми вытекающими). А если вспомнить определение ФЗ о другой информации, имеющей отношение к идентифицируемому лицу, то ПДн может быть признано вообще почти все - от цвета здания Миусского телефонного узла до номера троллейбуса, на котором я на работу езжу.

infowatch комментирует...

Есть мнение, что персданными является не сам IP-адрес или доменное имя, а соответствующая запись в реестре регистратора.

Поясню мысль примером. На 37-й странице моего загранпаспорта записана фамилия и имя. Сссылка "стр.37" - это персональные данные?

swan комментирует...

2 infowatch
Схема старая и простая... пример абстрактный ...

АРЗАМАС17 - секретное слово, но буква "А" - несекретная... но в контексте АРЗАМАС17 - она секретная...

То же относится к странице паспорта. В каком то контексте это может быть ПДн.

swan комментирует...

2 infowatch
и потом то, что у Вас есть загран паспорт - тоже можно в определенных условиях считать ПДн.

Mikhail комментирует...

если очень постараться, любой закон у нас можно довести до абсурда. Но может, не стоит?...

Dmitry Evteev комментирует...

Алексей, а как по вашему мнению, закон о ПДн соотносятся с данными в социальных сетях? И такой нюанс, что если человек попал туда, раз, у него нет возможности удалить аккаунт. Что Вы об этом думаете?

Алексей Лукацкий комментирует...

swan: Если следовать ЕвроКонвенции, то там именно так и говорится. ЛЮБАЯ информация, идентифицирующая субъекта, включая суждения о нем коллег, слухи и т.д.

QuietZone: DHCP не может - это же динамическая адресация в большинстве случаев. Сама DNS - тоже. В отличие от реестров доменных имен.

infowatch: Мнение такое есть, но записи регистратора по определению относятс к ПДн, ибо там куча контактной информации хранится о владельце домена. А вот домен или IP-адрес - другая тема. Это как с телефоном. Может идентифицировать субъекта, но может и нет. Если на физика зарегистрировано, то Пдн.

Mikhail: Не стоит конечно. Но данная тема не абсурдна, ибо напрямую относится к персданным. В Европе и США об этом говорят уже давно и, кстати, последнее договор ICANN для регистраторов соответствует европейской Конвенции по защите персданных.

Dmitry: Так об этом уже не раз говорилось. Это ПДн. Причем, общедоступные. И при регистрации у пользователя надо получать согласие на включение в список общедоступных. Что же касается удаления, то они удаляют по запросу.