“Personal data” и “personal information” — где граница?

Термин «персональные данные» приобрел достаточно широкую популярность в последнее время. И в России, и в Европе существуют отдельные законодательные акты, связанные с этим понятием. Именно из-за тяжеловесности этих законов зачастую даже у юристов возникают значительные затруднения при работе с этим предметом. Мы столкнулись с путаницей понятий «персональные данные» и «персональная информация» и решили разграничить их в данной статье.

Итак, начнем с термина «персональные данные».

Обратимся к  Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных», чтобы посмотреть, какие определения данного термина приводятся в нем.

В статье 3 данного закона понятие ПДн трактуется следующим образом: 

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).»

Как мы видим, понятие дается весьма общо и размыто. Чтобы разобраться дальше, приходится углубиться в детали и обратиться к видам персональных данных. Российский федеральный закон выделяет   следующие виды персональных данных:

• общие;
• биометрические;
• специальные.

Итак, по порядку.

Общие персональные данные включают следующую информацию о субъекте:

• Ф.И.О.,
• дата рождения,
• адрес (регион, город, улица, дом, квартира),
• паспортные сведения,
• образование,
• место работы,
• уровень дохода и т.д.

Каждый из этих элементов по отдельности не позволяет нам идентифицировать какое-то конкретное лицо, но любая комбинация, как минимум, двух таких элементов, уже позволит определить личность и попадает под категорию ПДн.

Если использовать их по отдельности, то нельзя говорить о том, что это сведения, относящиеся к персональным данным, поскольку идентифицировать личность, например, по одной только фамилии невозможно. В категорию ПДн они попадают в комбинированном варианте, в частности Ф.И.О. в сочетании с местом регистрации.

Источник изображения: https://mlexmarketinsight.com/insights-center/editors-picks/area-of-expertise/data-privacy-and-security/personal-data-legislation-tops-the-agenda-as-chinas-political-assemblies-kick-off-meetings

(А вот госномер транспортного средства и лицевой счет ЖКХ, например, не являются персональными данными, поскольку они относится не к человеку, а к автомобилю и квартире соответственно. Специалисты Роскомнадзора (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, которая контролирует в том числе работу с персональными данными) отмечают, что регистрационный номер, VIN, марка, модель автомобиля могут быть отнесены к персональным данным только в сочетании с другими характеристиками, которые могут позволить идентифицировать конкретное физическое лицо.
Но это правила нашей страны. В Евросоюзе по этому поводу продолжают дискутировать, и в этом отношении существуют два подхода — так называемые «относительный» и «абсолютный» (“relative” and “absolute”). Суть первого подхода в том, что по номеру ТС (license plate), хоть и принадлежащему ТС, все же можно идентифицировать человека, а второй говорит о  том, что регистрационный номер относится только к ТС. Есть судебные прецеденты, так, например, в деле  C-582/14 Европейский суд вынес решение как раз в пользу относительного подхода, ссылаясь на то, что некая организация, обладая доступом к определенной базе данных, сможет с легкостью определить физическое лицо, которому это ТС принадлежит.)

Обратим внимание, что перечисленные выше ПД могут обрабатываться только с вашего согласия, и лишь в редких исключениях ваше согласие не потребуется.

 

Следующий вид – это специальные персональные данные, а точнее специальные категории персональных данных. Сюда относятся данные, касающиеся:

• расовой, национальной принадлежности,
• политических взглядов,
• религиозных или философских убеждений,
• состояния здоровья,
• интимной жизни.

 

К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Как правило, идентификация личности производится по:

• отпечаткам пальцев;
• характеристикам речи;
• радужной оболочке глаза;
• изображению лица
• анализам ДНК
• росту
• весу и др.

Источник изображения: https://fstec21.blogspot.com/2017/09/biometric-personal-data.html

Более-менее понятно. Теперь обратимся к General Data Protection Regulation (GDPR), в переводе на русский язык «Общий регламент защиты персональных данных» — это документ, который регламентирует работу с персональными данными в Европейском союзе. Вступив силу в мае 2018 года, GDPR детализировал права субъектов персональных данных и ужесточил обязанности операторов при обработке и защите данных с учетом современных технологий.

Источник изображения: https://awesome-design.com/poleznye-stati/gdpr-novye-pravila-obrabotki-personalnyh-dannyh/

 

Данный регламент раскрывает понятие персональных данных более детально: “personal data” means any information relating to an identified or identifiable natural person (“data subject”); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.” (пер. «Персональные данные» — это любая информация, относящаяся к «субъекту данных», то есть идентифицированному или поддающемуся идентификации физическому лицу; поддающееся идентификации физическое лицо —  это лицо, которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица).

 

Источник изображения: https://whitelabelconsultancy.com/2020/10/what-a-seatbelt-can-teach-us-about-data-protection-enforcement/

У ГДПР также имеются разграничения в видах ПДн, а именно:

• генетические данные;
• биометрические данные;
• данные, касающиеся здоровья.

Все эти виды также попадают под категорию специальных персональных данных:

• “genetic data” means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question («Генетические данные» — это персональные данные, относящиеся к наследственным или приобретенным генетическим характеристикам физического лица, которые раскрывают уникальную информацию о физиологии или здоровье человека, и которые являются результатом, в частности, анализа биологического образца данного физического лица);

 

• “biometric data” means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data («Биометрические данные» — это персональные данные, полученные в результате специальной технической обработки, которые касаются физических, физиологических или поведенческих черт физического лица, а также позволяют произвести или подтверждают однозначную идентификацию этого физического лица, например, изображение лица или дактилоскопические данные);

 

• “data concerning health” means personal datarelated to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status («Данные, касающиеся здоровья» — это персональные данные о физическом или психическом здоровье физического лица — в том числе о пользовании медицинскими услугами, — раскрывающие информацию о состоянии его здоровья).

 

Еще раз подчеркнем, что перечисленные выше виды данных относятся к специальной категории («sensitive») и, значит, подлежат особой защите при обработке.

 

С термином «персональные данные» вроде бы разобрались. Теперь перейдем к «персональной информации». И вот этого термина как такового в законодательстве РФ не существует. В ответ на запрос на русском языке интернет-поисковик выдает крайне мало статей, где встречается такое сочетание. Как раз в одной из таких статей понятия «общие персональные данные» и «персональная информация» носят смежный характер. То есть, в данном случае,  имеется в виду информация, связанная с конкретной персоной, личностью. Смотрите ниже:

«К общим относят персональную информацию, составляющую базовые данные о ее носителе:

• фамилию, имя, отчество;
• место регистрации и жительства;
• информацию из паспорта;
• сведения об имеющемся образовании;
• информацию о месте работы;
• сведения о получаемых доходах и др.

Взятые по отдельности данные общего характера не все могут быть отнесены к информации о человеке, которая может считаться персональной. К примеру, в законе не содержится определенных трактовок относительно того, можно ли считать одной из составляющих ПД номер телефона физлица. Как разъясняют в Роскомнадзоре, эти данные не являются информацией, позволяющей произвести точную идентификацию человека, номер не персонален. Но при совместном использовании с фамилией, именем, данными о прописке он составляет ПД.»

 

Если мы введем “personal information” в качестве запроса, то получаем похожие результаты:

“Personal information includes a broad range of information, or an opinion, that could identify an individual. What is personal information will vary, depending on whether a person can be identified or is reasonably identifiable in the circumstances.

For example, personal information may include:

• an individual’s name, signature, address, phone number or date of birth
• sensitive information
• credit information
• employee record information
• photographs
• internet protocol (IP) addresses
• voice print and facial recognition biometrics (because they collect characteristics that make an individual’s voice or face unique)
• location information from a mobile device (because it can reveal user activity patterns and habits). ”

 

Источник изображения: https://web.cytrack.com/personal-information-and-data-security/

 

Если мы выйдем за пределы Евросоюза и РФ и обратимся, например, к законодательству Южной Африки, то обнаружим, что там существует ряд законов, где используется именно этот термин:

1. Promotion of Access to Information Act (PAIA);
2. Electronic Communications and Transactions Act (ECT Act)
3. Protection of Personal Information Act (PPI Act, POPI)
4. Protection of State Information Bill (POSI)
5. Cybercrimes Bill

Вот одна из трактовок данного термина: “information relating to an identifiable, living, natural person, and where it is applicable, an identifiable, existing juristic person, including, but not limited to:

a) information relating to the race, gender, sex, pregnancy, marital status, national, ethnic or social origin, colour, sexual orientation, age, physical or mental health, well-being, disability, religion, conscience, belief, culture, language and birth of the person;

b) information relating to the education or the medical, financial, criminal or employment history of the person;

c) any identifying number, symbol, e-mail address, physical address, telephone number, location information, online identifier or other particular assignment to the person

d) the biometric information of the person;

e) the personal opinions, views or preferences of the person;

f) correspondence sent by the person that is implicitly or explicitly of a private or confidential nature or further correspondence that would reveal the contents of the original correspondence;

g) the views or opinions of another individual about the person; and

h) the name of the person if it appears with other personal information relating to the person or if the disclosure of the name itself would reveal information about the person.”

 

Если мы взглянем на законы США, то увидим, что там тоже популярна именно “personal information” в значении «персональных данных». Но и там надо смотреть глубже, так как в разных штатах существуют свои законы, которые трактуют эти термины по разному (например, в Калифорнии есть California Consumer Privacy Act или CCPA («Калифорнийский закон о защите конфиденциальности потребителей»)), а от этого уже будет зависеть степень защиты пресловутых данных.

Обратимся к продвинутой Японии. Там, оказывается, тоже фигурирует термин “personal information”, существует даже Personal Information Protection Commission, основанная в 2016 году. При этом понятие “personal data” тоже изредка встречается в законодательных актах.

Таким образом, анализ показал, что понятие «персональные данные» (“personal data”) является юридическим термином, закрепленным как в законодательстве РФ, так и Евросоюза. Понятие же «персональная информация» (“personal information”) для РФ и ЕС термином по сути не является, но при этом, если говорить терминами российского законодательства, может быть отнесено к общим персональным данным, а если посмотреть на определение из ГДПР, то и вовсе являться синонимичным понятию “personal data”. Если и вовсе отойти от стран, где применимы 152-ФЗ и ГДПР, то мы увидим, что там как раз в ходу понятие “personal information” и собственные релевантные законы. В связи с этим при переводах призываем обращать внимание на то, каким первоисточником руководствуется тот или иной автор, упоминающий слово “personal” в сочетании со словами “information/data”.

 

Информацию для вас собирала:  Ирина Мирошникова 

Используемые источники:

https://gdpr-info.eu/

https://gdpr-text.com/ru/

https://bazanpa.ru/fz-o-persdannyh/

https://data-sec.ru/personal-data/what-is-it/

https://www.banki.ru/wikibank/biometricheskie_personalnyie_dannyie/

https://fstec21.blogspot.com/2017/09/biometric-personal-data.html

https://iclg.com/practice-areas/data-protection-laws-and-regulations/usa

https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/vidy-personalnyh-dannyh/

https://vc.ru/legal/94782-kaliforniyskiy-zakon-o-konfidencialnosti-potrebiteley-vstupaet-v-silu-s-1-yanvarya-2020-goda

https://www.facebook.com/roskomnadzor.official/photos/a.1485309358414507/1730732390538868

https://meduza.io/news/2016/05/23/roskomnadzor-isklyuchil-napolnenie-sayta-s-dannymi-avtovladeltsev-s-pomoschyu-bazy-gibdd

https://www.osborneclarke.com/wp-content/uploads/2017/08/OSB100213_FIA-Car-Data-Report_v1.pdf

https://www.ppc.go.jp/en/legal/