3 May 2017

Email — это персональные данные?

IT TerminologyLegislation in IT
На Хабре довольно много написано про Персональные Данные (их попросили именовать ПДн — да будет так). Обсуждался вопрос и на других ресурсах: toster'е (ещё тут), форумах, блогах и много где ещё, что лишь подчёркивает важность вопроса.

Чтобы стало ещё интересней — цитата Главы Роскомнадзора Александра Жарова (на этой должности он, между прочим, уже 5 лет): "… фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных".

И, как показывает мой опыт, а также анализ материалов, вопрос о том, относится ли email к ПДн или нет? К тому же — закон Яровой делает из ПДн просто артефакт неведомой важности.



Собственно, есть две основные позиции:

  1. Да, безусловно;
  2. Нет, потому что...

Для кого-то этот вопрос не актуален, но для многих — ещё как: скажем, для таких проектов как Golos, а также для сервисов, которые в принципе не хотят собирать ПДн, например, продавая VPN/proxy; одноразовые пароли доступа; виртуальные sim и т.д. О правовом статусе самих проектов — в одной из следующих публикаций, а пока — несколько поясняющих примеров.

  1. admin[@]....ru — это очень старый email, который был создан одним, не известным ныне, администратором. Email не принадлежит компании, но сразу несколько лиц используют его (админ — для получения технических писем; юрист — для ответа по старым проектам; менеджер — при регистрации на сторонних ресурсах). Кого из них идентифицирует email? Ведь в ст. 3 ФЗ №152 сказано: «персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)», — речь идёт о лице, но не о лицах, не так ли?

  2. А вот следующий пример: supp@money.yandex.ru — поддержка Яндекс.Денег, support@ridero.ru — поддержка одноимённого сервиса и подобные же email есть у многих: от обычных обменников и до банков, от интернет-магазинов и до социальных сетей. Отвечает там, как правило, человек (не всегда). И переписка может вестись годами: например, у меня в почте есть цепь, возраст которой — более 3 лет и там свыше 500 сотен писем, но я до сих пор не знаю, как именно зовут тех, кто мне отвечает. Да и не нужно мне это. Вопрос в другом support@, help@ и другие email технической и клиентской поддержки это тоже не ПДн? Вроде бы, ответ очевидный — да. А могут ли быть такие адреса на общедоступных, публичных сервисах? Безусловно: простой перебор по истории своих ящиков показал, что как раз региональные интернет-магазины этим не брезгуют, но есть ответы и от куда более крупных компаний.

  3. Отдельно я бы ещё выделил email «обратных ответов»: это те, где написано что-то вроде: «это автоматическое письмо, отвечать на него не нужно». Они явно никого не идентифицируют и ПДн не являются?

  4. А ещё можно вспомнить многочисленные сервисы временных email и понять, что за каких-то 30 минут у одного адреса может смениться несколько владельцев. И кого из них он будет идентифицировать, скажем, через день?

Итак, когда я как it-юрист слышу, что: «email — это персональные данные», — то у меня сразу же возникает резонный вопрос: «это общее утверждение, но при этом есть явные исключения из него, значит подобное заключение не верно?». Сразу скажу, что, например, в суде, доказать подобное будет несколько сложнее, но это вопрос уже иного плана.

Идём далее: а что же такое email/электронная почта вообще? Для начала — "технология и служба по пересылке и получению электронных сообщений", то есть изначально электронная почта не призвана кого-то и как-то определять (вообще-то я сторонник куда более верного, с позиции юридической техники, термина — идентифицировать, но и это — отдельный и большой вопрос).

И всё же в ряде случаев email может идентифицировать человека: самый распространённый случай — когда он используется в качестве АСП. Чуть подробней: ст. 160 ГК говорит о том, что «использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных „законом“, иными правовыми актами или соглашением сторон». При этом сам email АСП сделать довольно сложно (мешает относительно открытый характер), но вот обычная пара «логин (email) — пароль» — вполне. Да и можно пойти (и многие — идут) и прийти к понятию ЭЦП, которое ныне весьма точно определено в ст. 2 ФЗ «Об электронно-цифровой подписи». Кроме того, почта на одном домене всегда создаётся как уникальная (вопрос к хабросообществу — есть ли исключения?): скажем, admin@gmail.com дважды забить не получится, собственно, поэтому мы имеем mail.ru, inbox.ru, bk.ru, list.ru или ещё более интересную ситуацию (одновременной регистрации логина на разных доменах) в Яндекс.Почте. К слову, именно Яндекс идёт по пути (см. его сервис «паспорт»), когда почта идентифицирует субъекта однозначно: например, к ней привязывается счёт в Яндекс.Деньгах (которые, к слову, являются вообще отдельным юридическим лицом). Да и сами гос. органы всё чаще используют электронную почту как однозначный идентификатор граждан: скажем, можно посмотреть Приказ Роскомнадздора от 14 июня 2007 г. N ГК-389фс. Кстати, как раз позиция гос. органов доказывает, что ПДн для них — всегда совокупность данных: например, тот же email принимается, если запрос является не анонимным. Анонимные запросы (без ФИО и других идентифицирующих данных) не принимаются к рассмотрению.

Это с одной стороны.

А с другой, в тех случаях, когда email берётся, а идентификация по нему не проводится, — вопрос о ПДн можно решить иначе: изначально даже не пытаться идентифицировать лицо. К слову, в том же Golos'е есть так называемая верификация, когда происходит подтверждение личного/корпоративного блога на Хабре, собственном сайте или где-то ещё. И это — шаг к ПДн, а не от них.

Таким образом, я бы не стал утверждать, что email — это однозначно и всегда ПДн и тем более говорить, что адрес электронной почты никогда не является ПДн. Скорее на сегодняшний день, существующая формулировка ФЗ №152 и иные нормативно-правовые акты, а также позиции судебных инстанций позволяют подойти к этому вопросу с разных сторон.

Для примера: «по общему правилу юридически значимое сообщение может быть направлено с помощью электронной почты, факсимильной и другой связи, осуществлено в иной форме, соответствующей характеру сообщения и отношений и позволяющей достоверно установить, от кого оно исходило и кому адресовано», — Пункт 65 Постановления Пленума Верховного Суда РФ от 23.06.2015 № 25.

Почему же так, спросите вы? Да всё просто — сам закон даёт ответ на это: «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей» (ст. 5). Цель — то, что помогает разобраться: ПДн ли это и главное — если да, зачем используются.

И, наконец, я бы рекомендовал смотреть в сторону разрешённого лайфхака: «В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его… иные персональные данные, сообщаемые субъектом персональных данных» (ст. 8 всё того же ФЗ №152).

P.S. Если тема продолжит быть интересной, то хотелось бы ещё обсудить: IP, ники и главное собирательное понятие «поведенческие данные» (сюда можно отнести мета-данные, запись поведения пользователей и многое другое).
Tags: персональные данные фз 152 email it-юрист
Hubs: IT Terminology Legislation in IT
+18
27.8k 60
Comments 58
Ads