Сообщений в теме: 98

[Sergio Pupkin]

Господа!
Кто может разъяснить Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных.
В части:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Насколько я знаю, закон отложен до 1 января 11 года.
Тем не менее, интересует мнение, что именно относится к персональным данным.
Допустим, я посетив чей-то сайт остаюсь в базе посетителей под своим IP и какие страницы посетил. Или же, компания Яндекс фиксирует (как IP куки или имя компа) мои запросы и переходы с ее страница другие сайты.
Соответ. IP или имя моего компа относится к таким данным?

[BABLAW]

Господа!
Кто может разъяснить Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных.
В части:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

Допустим, я посетив чей-то сайт остаюсь в базе посетителей под своим IP и какие страницы посетил. Или же, компания Яндекс фиксирует  (как IP  куки или имя компа) мои запросы и переходы с ее страница другие сайты.
Соответ. IP или имя моего компа относится к таким данным?

У вас сколько может быть IP или имен компа?

И сколько у вас может быть таких признаков, как "фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы"?

[Sergio Pupkin]

BABLAW
ФИО- в единственном числе
А инет регистрационные- Как один, так и множество.
При этом, IP привязывается к конкретному адресу жительства или ФИО.
Соотв. зная эти данные можно установить конкретного человека (ФИО)- пользователя.

или определяемому на основании такой информации физическому лицу

Могут меня идентифицировать по IP- могут, по номеру машины- могут? Тоже.
Да хоть 20 IP или авто. Они все принадлежат конкретным людям (фирмам)
Соответ, от сюда и сомнения.

Сообщение отредактировал Sergio Pupkin: 11 January 2010 - 00:20

[Sergio Pupkin]

Господа, не поленитесь пожалуйста!
Найдите 5 минут для разъяснения чайнику.

[malotavr]

Господа, не поленитесь пожалуйста!
Найдите 5 минут для разъяснения чайнику.

Это в 5 минут не объяснить

Согласно определению из ФЗ 152, персональные данные - это любая информация относящаяся к определенному или определяемому на основании такой информации физическому лицу.

В общем случае IP-адрес вас не идентифицирует: если вы сидите за NATом провайдера, в один и тот же внешний IP-адрес транслируются внутренние IP-адреса еще и других пользователей. Тем не менее:
1. Сочетание этого IP-адреса и определенного времени посещения определеной странички (т.е. нформация, содержащаяся в строке лога) относится к вполне опрежделенному физическому лицу - лично к вам. И эта строчка содержит немало информации об этом дице - например говорит о том, клиентом какого провайдера это лицо является и даже с некоторой точностью определяет район вашего местонахождения.
2. У некоторых провайдеров даже при динамическом выделении IP-адресов пользователю на время сессии выделяется уникальный внешний IP-адрес.

Точно так же и куки, устанавливаемые в рамках сессии, предназначены для отслеживания вполне определеной сессии, а значит - вполне определенного субъекта.

При этом ни IP-адрес, ни куки не позволяют установить вашу личность, так что речь идет об обезличенных персональных данных субъекта.

Сообщение отредактировал malotavr: 11 January 2010 - 22:44

[BABLAW]

Sergio Pupkin

Могут меня идентифицировать по IP- могут, по номеру машины- могут? Тоже.
Да хоть 20 IP или авто. Они все принадлежат конкретным людям (фирмам)

Вот, что по этому поводу говорит ЖЖ:

Все посетители — этот показатель отображает всех уникальных посетителей страниц вашего журнала. Определение пользователей происходит на основе пользовательских сооkies; например, если кто-то прочтет вашу запись и в своей ленте друзей, и непосредственно в вашем журнале, он или она будут считаться одним посетителем.

Примечание: Поскольку уникальность определяется по сооkies, в случае, если один и тот же пользователь просмотрит ваши записи с двух разных компьютеров или из двух разных браузеров, он или она будут посчитан дважды.

[FreeCat]

BABLAW
Вообще-то досттаочно умелый юзер и с куками может управится ... можно так и с одного компа много раз считать ...

[Sergio Pupkin]

Таким образом, инфа отдаваемая компом не идентифицирует меня как физическое лицо и не является персональными данными.

Я правильно понял?

[BABLAW]

Sergio Pupkin

инфа отдаваемая компом не идентифицирует меня как физическое лицо и не является персональными данными

Нет конечно

Ведь мы можем с вами вдвоем сидеть за одним компом, правда?

Сообщение отредактировал BABLAW: 12 January 2010 - 05:07

[FreeCat]

Sergio Pupkin

Таким образом, инфа отдаваемая компом не идентифицирует меня как физическое лицо и не является персональными данными.

В обычных случаях - да .

[BABLAW]

FreeCat

В обычных случаях - да 

Ну правда - стоит ли смешивать косвенные доказательства по уголовному делу с персональными данными?

Эдак и окровавленный нож с отпечатками пальцев ими станет

[malotavr]

FreeCat

В обычных случаях - да 

Ну правда - стоит ли смешивать косвенные доказательства по уголовному делу с персональными данными?

Эдак и окровавленный нож с отпечатками пальцев ими станет

BABLAW,
а как тогда быть с понятием "обезличивание персональных данных"?

"обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных"

Из этого определения следует, что в результате некоторых действий могут существовать персональные данные ("...определить принадлежность персональных данных..."), по которым невозможно не только установить личность субъекта, которому они принадлежат, но даже определить, принадлежат ли эти данные вот этому отдельно взятому субъекту.

[Деметриус]

malotavr
пункт1 ст.3 закона является исчерпывающи кроме случаев указанных в ст.1, а также специализированных НПА регулирующих узкое направление деятельности.
Теперь что касаемо самих данных.
Предположим что у нас есть человек:
Иванов Иван Иванович 01.01.2000 г.р. проживающий г.N-ск, ул.Забытая дом34 к5 кв25 – в данном случае указанный вид информации будет носить характер персональных данных способных идентифицировать конкретное лицо.
а Иванов И.И. – в данном случае будет носить обезличенный характер персональных данных, так как по имеющий информации установить лицо не предоставляется возможным. Так же данные будут обезличенны без указания конкретного субъекта (как вариант статистические данные имущественного, социального и иного характера без указания лица.)

[malotavr]

malotavr
пункт1 ст.3 закона является исчерпывающи кроме случаев указанных в ст.1, а также специализированных НПА регулирующих узкое направление деятельности.

Теперь что касаемо самих данных.
Предположим что у нас есть человек:
Иванов Иван Иванович 01.01.2000 г.р. проживающий г.N-ск, ул.Забытая дом34 к5 кв25 – в данном случае указанный вид информации будет носить характер персональных данных способных идентифицировать конкретное лицо.
а Иванов И.И. – в данном случае будет носить обезличенный характер персональных данных, так как по имеющий информации установить лицо не предоставляется возможным. Так же данные будут обезличенны без указания конкретного субъекта (как вариант статистические данные имущественного, социального и иного характера без указания лица.)

Однако, если я правильно понял BABLAW, он считает, что "Иванов И.И." вообще не будет персональными данными, поскольку эти сведения относятся к неопределенеому кругу субъектов. Поэтому вопрос и был адресован ему.

Сообщение отредактировал malotavr: 19 January 2010 - 21:57

[Деметриус]

К сожалению тоже не совсем понял касаемо сравнения косвенных доказательств, но все-таки решил влезть извините если что не так.
Подождем автора реплики для разъяснений.

[BABLAW]

malotavr

а как тогда быть с понятием "обезличивание персональных данных"?

У меня на этот счет грустные новости:

Американский сетевой гигант, компания AOL, в августе выложила во всеобщий доступ гигантский массив данных о поисковых запросах более чем 650 000 своих абонентов за период около 3 месяцев. Сделано это было исключительно «во имя науки», чтобы оказать помощь разработчикам баз данных и новых систем поиска информации. Все реальные имена подписчиков, известные фирме-провайдеру, при публикации были, конечно, заменены на безличные номера-идентификаторы случайного вида. Однако быстро стало ясно, что блок запросов, жестко привязанный к конкретному «анонимному» идентификатору, зачастую позволяет с высокой точностью определить не только крайне чувствительную информацию, непосредственно относящуюся к той или иной личности, но также и саму эту личность.

  Например, в предполагаемо «обезличенных» данных обнаружены полные имена, адреса, номера карточек социального страхования и реквизиты других важных документов. Наиболее серьезная проблема заключается в том, что многие люди нередко ищут в Сети упоминания своего собственного имени, своих близких родственников или друзей – чтобы посмотреть, какого рода информация о них доступна в Интернете. Так, скажем, люди могли быть озабочены контролем за важными для них данными, а в результате, по иронии судьбы, своими конкретными запросами невольно выставили именно эту информацию на всеобщее обозрение.

Добавлено немного позже:
Деметриус

не совсем понял касаемо сравнения косвенных доказательств

окровавленный нож с отпечатками пальцев - это только косвенное доказательство того, что с вероятностью 1 к 10 в 9-й степени некое лицо прикасалось к нему неким пальцем (с поправкой на наличие в этот момент этого пальца в составе тела этого лица, на возможность изготовления копии отпечатка и т.п. сомнений)...

Иванов Иван Иванович - это не персональные данные. Как и John Doe...

Степень "персональности" можно установить статистически по популярности сочетания ФИО и исходя из контекста.

Однако опять же только вероятностно.

[Деметриус]

окровавленный нож с отпечатками пальцев - это только косвенное доказательство того, что с вероятностью 1 к 10 в 9-й степени некое лицо прикасалось к нему неким пальцем (с поправкой на наличие в этот момент этого пальца в составе тела этого лица, на возможность изготовления копии отпечатка и т.п. сомнений)...

Иванов Иван Иванович - это не персональные данные. Как и John Doe...

Степень "персональности" можно установить статистически по популярности сочетания ФИО и исходя из контекста.

Однако опять же только вероятностно.

Окровавленный нож с отпечатками пальцев это конечно хорошо но какое отношение имеет в данном случае даже виде сравнения . ну суть не в этом

А кто(что) же тогда по вашему Иван Иванович как и собственно John Doe...

Что же касаемо вашей "грустной" новости ничего "грустного" я лично не вижу, так как они(ПД) перестали принадлежать к определенному лицу и приобрели статус общедоступных ПД, а номера соц.карты и прочие документы не имеют не какого значения в данном случае так как при присвоении идентификационного номера они(документы) и так стали обезличены а соответственно определить их принадлежность может ограниченный круг лиц.

А теперь собственно вопрос: Как вы собрались статистически пусть даже вероятностно, из всего массива информации устанавливать конкретных лиц.

[Деметриус]

Извините опечатался и Почему-то не смог отредактировать

Слово общедоступных читать как Обезличенных

[malotavr]

Иванов Иван Иванович - это не персональные данные. Как и John Doe...

И все-таки, уж простите мое упрямство - хочу понять.

Опросные листы, заполняемые при переписи населения, содержат - персональные данные (вопрос достоверности оставим за бортом). Хотим определить национальный состав населения РФ, и на предварительном этапе статистической обработки мы эти опросные листы обезличиваем, вымарывая из них все, кроме графы "национальность". Каждый из отпрепарированых опросных листов продолжает относиться к определенному физическому лицу, со слов которого составлен, но идентифицировать это лицо мы не можем. Будет такой опросный лист содержать персональные данные?

Если вы считаете слово "определенный" эквиввалентным по смыслу слову "идентифицированный", то не могли бы вы привести доводы в пользу этого мнения?

[malotavr]

Что же касаемо вашей "грустной" новости ничего "грустного" я лично не вижу, так как они(ПД) перестали принадлежать к определенному лицу и приобрели статус общедоступных ПД, а номера соц.карты и прочие документы не имеют не какого значения в данном случае так как при присвоении идентификационного номера они(документы) и так стали обезличены а соответственно определить их принадлежность может ограниченный круг лиц.

Закон дает исчерпывающую формулировку "невозможно определить принадлежность персональных данных конкретному субъекту персональных данных". На каком основании вы добавили в эту формулировку "ограниченный круег лиц"?

[BABLAW]

Деметриус

Окровавленный нож с отпечатками пальцев это конечно хорошо но какое отношение имеет в данном случае даже виде сравнения

Совсем прямое - перечень персональных данных открытый.

Такими данными является и группа крови, и татуировка, и отпечатки, и генетический код, и много чего еще - см. "улики по уголовным делам".

Более того - есть еще форензика, там тоже есть улики.

определить их принадлежность может ограниченный круг лиц

Как говорили классики, что знают трое, знают все...

Как вы собрались статистически пусть даже вероятностно, из всего массива информации устанавливать конкретных лиц

Вам методики с алгоритмами предоставить?

Вы сходите на сайт http://imhonet.ru/ и задумайтесь - сможет ли хозяин ресурса по предпочтениям понять, кто есть кто Я потом свой ответ скажу...

вы считаете слово "определенный" эквиввалентным по смыслу слову "идентифицированный"

Нет конечно. Однако все зависит от конкретных обстоятельств.

[malotavr]

вы считаете слово "определенный" эквиввалентным по смыслу слову "идентифицированный"

Нет конечно. Однако все зависит от конкретных обстоятельств.

Ага, значит, я неправильно вас понял.

[Деметриус]

И все-таки, уж простите мое упрямство - хочу понять.

Опросные листы, заполняемые при переписи населения, содержат - персональные данные (вопрос достоверности оставим за бортом). Хотим определить национальный состав населения РФ, и на предварительном этапе статистической обработки мы эти опросные листы обезличиваем, вымарывая из них все, кроме графы "национальность". Каждый из отпрепарированых опросных листов продолжает относиться к определенному физическому лицу, со слов которого составлен, но идентифицировать это лицо мы не можем. Будет такой опросный лист содержать персональные данные?

Закон дает исчерпывающую формулировку "невозможно определить принадлежность персональных данных конкретному субъекту персональных данных". На каком основании вы добавили в эту формулировку "ограниченный круег лиц"? 

Представим 3х уровневою цепь операторов каждый из них будет производить определенные операции над полученными данными.
1й оператор собирает данные обрабатывает путем присвоения определенной ссылки к ключу классификатору и передает на следующий уровень с ссылкой но без самого ключа.
2й обрабатывает данные таким образом что исключает ссылку на ключ, и передает далее.
3й осуществляет иные операции.
Тем самым:
У 1го оператора будут персональные данные так как он может установить конкретного субъекта, у 2го оператора ПД будут уже обезличенны так как он не имеет ключа, у 3го оператора уже будет статистические данные так как произведенные манипуляции не позволяют определить субъекта не одним из операторов (опять же при условии что собранные 1м оператором данные не являются идентифицирующими документами).
А теперь об ограниченном круге, а кто собственно должен определять принадлежность персональных данных вот скажите номер паспорта относится к таким данным или это все-таки обезличенные ПД а по номеру можно установить регион, год, ТП, и собственно ФИО владельца, но установить это может не каждый. Вот по этому я отношу это к ограниченному кругу лиц уполномоченных вести контроль в строго определенной области.
Хотя вопрос действительно спорный если возражения замечания, пишите

[Деметриус]

Совсем прямое - перечень персональных данных открытый.

Такими данными является и группа крови, и татуировка, и отпечатки, и генетический код, и много чего еще - см. "улики по уголовным делам".

Более того - есть еще форензика, там тоже есть улики.

Частично согласен но не во всем
Форензика – компьютерная криминалистика действительно стоящая книга рекомендую Всем.

Как говорили классики, что знают трое, знают все...

Ну о коррупции и преступных связей давайте в другой раз, думаю законодатель это не предполагал. Именно по этому в идеале доступ ограничен определенным кругом лиц.

Вам методики с алгоритмами предоставить?

Вы сходите на сайт http://imhonet.ru/ и задумайтесь - сможет ли хозяин ресурса по предпочтениям понять, кто есть кто  Я потом свой ответ скажу...

Честно говоря не могу связать данный ресурс к персональным данным и определения определенной персоны, я бы услышал ваше мнение по этому поводу.

[BABLAW]

Деметриус

У 1го оператора будут персональные данные так как он может установить конкретного субъекта, у 2го оператора ПД будут уже обезличенны так как он не имеет ключа

Тут опять же вопрос - является ли само по себе отсутствие ключа (при его наличии например у широкого круга лиц хакерской наружности) критерием неотнесения таких данных к персональным?

номер паспорта относится к таким данным или это все-таки обезличенные ПД

Я хочу подчеркнуть, что смотрю на вопрос охраны персональных данных крайне скептически и не поддерживаю конспирологии и паранойи, которой из них устроили в угоду определенным ведомствам в лучшем стиле "проблемы 2000-го года)...

Как человек, в далеком детстве получавший компьютерное образование на снятии защит с различного рода систем и программ (за отсутствием хороших преподавателей ) я достаточно хорошо понимаю, что критерий отсутствия ключа не позволяет говорить об отсутствии информации, в том числе персональной. Он лишь позволяет говорить о некотором количестве машинного времени, достаточного для вычисления такого ключа.

Люди, писавшие этот закон, просто не программисты ни разу, и уж тем более не взломщики.

По этой причине серьезно обсуждать их представления о реальности - вежливо говоря странно...

Добавлено немного позже:

не могу связать данный ресурс к персональным данным и определения определенной персоны,

Да, забыл сказать...

Этот сайт интересен тем, что предлагает очень продвинутый способ потребительских рекомендаций - вы выставляете оценки некоторому набору фильмов/книг/музыки и т.п., составляя УНИКАЛЬНЫЙ профиль предпочтений, который формирует некий многомерный вектор вашей индивидуальности в сфере культуры (и не только), эдакое средство формализовать оценку плохоизмеряемого (со своими алгоритмами сглаживания ошибок и искажений).

Далее - на достаточно большой выборке таких данных выясняется, что предпочтения у ряда НЕЗНАКОМЫХ лиц совпадают, при этом у метода появляется занятное свойство - он может РЕКОМЕНДОВАТЬ вам то, что вы не читали/смотрели/слушали, которое понравилось людям с такими же, как у вас, предпочтениями.

Закончилась эта история просто - система стала службой знакомств, причем не по критериям "цвет волос, бюст, размер", а по схожести (или различию) предпочтений.

Так вот - аналогичный опыт AOL, про который я уже говорил, показал, что предпочтения позволяют с достоверностью в 90% вычислять личность пользователя.

По этой причине наличие хоть в одной открытой системе привязки личности к любому "обезличенному" идентификатору с набором предпочтений рано или поздно даст вам полный набор персональных данных.

Поскольку закон не препятствует их обрабатывать с согласия обладателя ФИО и пр., то это лишь вопрос времени...