Содержание:
Понятие персональных данных: о чем говорит Закон?
В соответствии с Законом персональные данные охватывают две категории — это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
На стадии разработки проекта Закона обсуждалась возможность установления исчерпывающего перечня персональных данных. Однако такой подход представляется нецелесообразным, поскольку данный перечень всегда будет неполным, оставляя вне защиты значительный объем личной информации, а также идет вразрез с основными тенденциями в сфере защиты персональных данных на мировой арене.
При отсутствии процедуры предварительной идентификации квалификация номера мобильного телефона как персональных данных зависит от того, может ли такой номер быть сопоставлен с личностью пользователя.
В попытке обосновать неприменение Закона организация может заявлять о том, что номер мобильного телефона, при отсутствии у нее иных сведений о субъекте персональных данных (например, доступа к базам данных мобильных операторов), не позволяет идентифицировать пользователя, в связи с чем не является персональными данными.
Однако даже если нет возможности прямо идентифицировать пользователя, при рассмотрении вопроса об отнесении информации к персональным данным необходимо комплексно оценить возможность косвенной идентификации субъектов персональных данных, а также оценить риски, связанные с обработкой такой информации.
Косвенная идентификация: критерии оценки
Главной характеристикой при оценке информации в качестве персональных данных является возможность ее относимости к субъекту персональных данных. Характеристика относимости не обязательно предполагает прямое установление личности субъекта данных на уровне таких данных, как ФИО, дата рождения, место проживания.
Справочно.
Согласно исследованию, опубликованному сотрудниками компании Mozilla в 2020 г., повторная идентификация лиц на основе анализа историй посещения веб-сайтов возможна примерно в 50 % случаев для пользователей, которые посетили 50 и более сайтов, и в 80 % – для пользователей, посетивших 150 и более сайтов в течение двух недель эксперимента.
Информация обладает признаком относимости к субъекту персональных данных, если она используется для создания персонализированных отношений с конкретным пользователем.
В качестве примера возьмем ситуацию использования номера мобильного телефона для регистрации и пользования услугами интернет-магазина, участия в программе лояльности продавца. В рассматриваемом случае цель обработки — пользование услугами интернет-магазина, создание личного кабинета, участие в программе лояльности продавца — свидетельствует о намерении организации упорядочить взаимоотношения с пользователями через взаимодействие посредством уникального идентификатора. В дополнение к созданию профиля интернет-магазин получает возможность проводить оценку поведения пользователя с целью последующего влияния на него, например, с использованием персонализированной коммуникации (индивидуальные скидки / подбор товаров в маркетинговой рассылке и т.д.).
Подход о необходимости учитывать различные обстоятельства при решении вопроса о том, относится ли информация к конкретному лицу, поддерживается и Национальным центром защиты персональных данных Республики Беларусь (далее — НЦЗПД). В комментариях НЦЗПД на официальном сайте (cpd.by) среди прочего выделяются такие обстоятельства, как содержание информации, цель обработки, возможное влияние обработки на конкретного субъекта (например, использование информации для оценки лица или влияния на его поведение, реализации его прав и обязанностей).
В этой связи точная идентификация субъекта персональных данных не является обязательным критерием для признания информации в качестве персональных данных.
Прямая идентификация: действительно ли невозможна?
В рассматриваемой ситуации у организации может отсутствовать возможность прямой идентификации пользователя лишь с помощью номера мобильного телефона.
При этом в условиях активного развития отношений в интернет-пространстве в Сети существует большое количество информации, находящейся в общем доступе. Примером может служить информация, доступная любому интернет-пользователю через поисковые системы либо находящаяся в «условно» общем доступе (информация представлена на интернет-ресурсе, однако для доступа к ней необходимо пройти процесс регистрации и принять условия использования интернет-ресурса).
На практике организация имеет возможность осуществить идентификацию пользователя по номеру телефона с использованием такой дополнительной информации. Это создает риск злоупотребления использования информации об идентификаторе в сравнении с заявленной целью.
В качестве примера прямой идентификации, которая все же зависит от персональных настроек и заполненности профиля самим пользователем, можно упомянуть возможность поиска контактов по номеру телефона в некоторых популярных мессенджерах. А при наличии установленной в пунктах выдачи заказов системы видеонаблюдения организация может «связать» дополнительные данные о пользователе (фото/видеозапись, пол лица, получающего заказ) с личным профилем.
В опубликованных недавно комментариях НЦЗПД на своем сайте относительно «холодных» звонков по номеру телефона от третьих лиц с целью предложений товаров, приглашения на презентацию, мероприятие и т.д. регулятор косвенно подтвердил права субъектов персональных данных в отношении обработки информации о номере телефона, что подтверждает возможность квалификации исключительно номера телефона в качестве персональных данных.
По нашему мнению, при оценке рисков квалификации информации в качестве персональных данных стоит также принять во внимание возможность использования информации для идентификации третьими лицами, а также то, упоминается ли данная категория информации в качестве идентификатора в законодательстве.
В соответствии с Правилами оказания услуг электросвязи, утвержденными постановлением Совета Министров Республики Беларусь от 17.08.2006 № 1055, при заключении договора об оказании услуг сотовой подвижной электросвязи указываются в том числе сведения об абоненте. Данный порядок подразумевает идентификацию абонента при предоставлении услуг электросвязи и закрепление за ним уникального номера телефона.
Процедура предварительной идентификации пользователей интернет-ресурса, сетевого издания в рамках законодательства о средствах массовой информации также предусматривает использование номера мобильного телефона для целей идентификации в качестве «средства, позволяющего идентифицировать личность пользователя».
При практическом подходе к проблеме встает вопрос, возможна ли замена номера мобильного телефона на менее персонализированный идентификатор, который не будет квалифицирован в качестве персональных данных. Полагаем, что в рассматриваемом примере такая замена идентификатора может в значительной степени снизить коммерческую ценность и эффективность взаимодействия с пользователем, при этом до конца не исключая риск квалификации иных идентификаторов в качестве персональных данных.
Риски утечки персональных данных: пренебречь нельзя учесть
При оценке отнесения информации к категории персональных данных также рекомендуется обратить внимание на потенциальное негативное влияние на интересы пользователей в случае возможной утечки. Обнаружение потенциального негативного влияния на интересы пользователей в ходе моделируемой утечки данных чаще всего свидетельствует о наличии в обрабатываемой информации признаков ее относимости к конкретному пользователю, то есть такая информация является персональными данными и/или информацией о частной жизни лица.
Так, в случае с номером мобильного телефона при утечке информации и ее последующем неправомерном использовании пользователь может подвергаться:
— дополнительной рекламной рассылке по СМС или через мессенджеры;
— дозвону по номеру телефона с целью предложения товаров и услуг;
— сопоставлению его поведенческих метрик с дополнительной информацией, имеющейся у другой организации в отношении используемого идентификатора.
Такие неправомерные действия могут заставить субъекта персональных данных предпринять действия по защите своих прав, изменить контактные данные, поменять номер телефона и пр.
Выводы
Подводя итог, следует отметить, что вопрос об отнесении информации к персональным данным и о порядке применения Закона должен рассматриваться в каждой конкретной ситуации с учетом комплекса фактических обстоятельств.
При этом в случае, если какая-либо информация используется в качестве идентификаторов для взаимодействия с сервисом, велика вероятность, что такую информацию следует оценивать как персональные данные.
В случае, когда информация потенциально может быть отнесена к конкретному физическому лицу, наиболее безопасным подходом будет имплементация мер защиты в отношении такой информации в соответствии с Законом.
