E-mail и IP-адрес — персональные данные? — Юридическая консультация
Андрей Петров (Москва) 14.11.2021 Рубрика: Другое
Являются ли E-mail и IP-адрес персональными данными? Реалии таковы, что E-mail и IP-адрес человека может узнать любой.
Персональные данные
Кирилл Митягин
Консультаций: 46
1. IP-адрес
Статический IP-адрес, постоянно закрепленный за пользовательским оборудованием, возникает после заключения договора оказания услуг между оператором связи и абонентом. Следовательно, с его помощью можно определить субъекта данных, если он является физическим лицом, поэтому статический IP-адрес наиболее вероятно относится к персональным данным (см., например, решение Октябрьского районного суда г. Самары от 24.09.2015 № 2-5354/2015 или постановление Девятого арбитражного апелляционного суда от 23.05.2016 № 09АП-17574/2016).
Динамический IP-адрес назначается пользовательскому оборудованию автоматически при подключении к Интернету, поэтому вопрос об отнесении данного IP-адреса к персональным данным является спорным.
В судебной практике оценка отдельно динамическому IP-адресу не давалась, так как во всех решениях суды рассматривали статический и динамический адреса в совокупности, указывая лишь на технические различия.
В то же время судебная практика по данному вопросу не является однозначной. В частности, встречаются решения, где суд не признает ни статический, ни динамический IP-адреса в качестве персональных данных (см. например, постановление Тринадцатого арбитражного апелляционного суда от 01.06.2015 № 13АП-10709/2015).
2. E-mail
Адрес электронной почты может относиться к персональным данным.
Персональные данные клиентов фитнес-центра
Об этом говорится в письме Минкомсвязи России от 07.07.2017 № П11-15054-ОГ. Однако при толковании было сделано уточнение, что E-mail может рассматриваться в качестве персональных данных только «в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу». Поэтому адрес электронной почты, принадлежащий юридическому лицу, не может быть отнесен к персональным данным по определению.
Также существует постановление Правительства РФ от 13.09.2019 № 1197 «О внесении изменения в состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных», которым адрес электронной почты был включен в «состав сведений, размещаемых в единой информационной системе персональных данных». Следовательно, законодатель косвенным образом отнес E-mail к категории персональных данных.
Сказали спасибо:
Является ли IP-адрес персональными данными?
Вы здесь
Главная
Личное неприкосновенность обычно относится к секретам граждан, которые не желают раскрывать или знать о других (людей вне определенного диапазона) в своей личной жизни.
Например: имя, портрет, адрес, номер телефона, свойство, сексуальная ориентация, состояние здоровья и т. Д. IP-адрес не раскрывает эту личную конфиденциальность пользователя, а IP-адрес относится только к Интернету, к которому подключаются люди.
У каждого другого интернет-сервиса есть другой IP-адрес, и Интернет-провайдер знает имя и адрес IP-адреса, который связан с его пользователем, но никто другой не может узнать подробности.
Но если IP-адрес не скрыт, любой, кто знает, как найти IP-адрес, может найти IP-адрес пользователя Интернета, но он может найти только номер IP-адреса.
Однако это часто используют хакеры, которые могут использовать IP-адреса для мониторинга местоположения пользователей и пользователей, а также множество информации о компьютерах, подключенных к Интернету, таких как страна происхождения, информация о штате или провинции, регионе и городе , IP для определения.
Более того, если пользователь отправляет электронное письмо тому, кто может обнаружить личную информацию, такую как домашний адрес, получатель может использовать адрес электронной почты и IP-адрес для отслеживания вашего домашнего адреса.
Интегрировано в следующие два:
1. До тех пор, пока в Интернете есть IP-адрес, обычно только ваш интернет-провайдер знает ваш IP-адрес, а IP-адрес не будет раскрывать вашу личную конфиденциальность. В лучшем случае он покажет приблизительное местоположение вашего местоположения, не беспокоясь слишком много;
2. Через ваш IP-адрес можно найти приблизительное местоположение, как правило, на уровне города, некоторые IP-адреса также могут быть расположены на уровне блоков, если вы не хотите, чтобы другие знали ваше приблизительное местоположение, вы можете использовать скрытый IP-адрес, изменить IP-адрес и другие меры защиты.
Лучшие рекомендации VPN:
| Провайдер | Функции | Устройства | Цена | Счет | Покупка |
|---|---|---|---|---|---|
| Лучший надежный и безопасный VPN | 6 | $3,49/мес. | 4,5 из 5 | ПЫТАТЬСЯ | |
| Быстрый, надежный и экономичный | Неограниченный | $2. 30/мес. | 4,5 из 5 | ПЫТАТЬСЯ | |
| Сверхбыстрый, стабильный и безопасный | 5 | $6,67/мес. | 4,7 из 5 | ПЫТАТЬСЯ | |
| Безопасно и без ограничения скорости | 12 | $3,75/мес. | 4.0 из 5 | ПЫТАТЬСЯ | |
| 10 | $2.03/мес. | 4,6 из 5 | ПЫТАТЬСЯ | ||
| Быстрый и надежный, отличная производительность потоковой передачи | 7 | $2.03/мес. | 4,6 из 5 | ПЫТАТЬСЯ | |
| Безопасный, надежный, удобный, бесплатный план | 10 | $1,99/мес. | 4.1 из 5 | ПЫТАТЬСЯ | |
| Фантастический, всесторонний VPN | 12 | $3,66/мес. | 4,5 из 5 | ПЫТАТЬСЯ |
📚 Комментарий
- VPN
- router
- password
- маршрутизатор
- Пароль
- Wifi
- IP
- Netgear
- Huawei
- 5G
- Мобильный
- Компьютер
- /ipv4/192.
168.199.1 - /ipv4/192.168.0.100
- /ipv4/192.168.1.128
- /ipv4/192.168.8.1
- /ipv4/192.168.0.101
168.199.1Являются ли IP-адреса «личной информацией» CCPA?
Поскольку компании борются за соблюдение Калифорнийского закона о конфиденциальности потребителей, им необходимо будет решить, считаются ли адреса интернет-протокола, которые они собирают у потребителей, «личной информацией» и, следовательно, подпадают под действие этого нового закона. Это будет нелегко.
CCPA определяет «личную информацию» как включающую онлайн-идентификаторы, такие как IP-адрес, но только в том случае, если идентификатор «идентифицирует, относится, описывает, разумно может быть связан или может быть обоснованно связан, прямо или косвенно, с конкретным потребителем или домохозяйством». Для многих предприятий сбор IP-адресов дает множество преимуществ: от мониторинга трафика веб-сайта до рекламы, отслеживания и предотвращения злонамеренной активности. Но являются ли IP-адреса «разумно способными» ассоциироваться или «связываться» с отдельным лицом или домохозяйством? Если нет, то по-прежнему ли они «относятся [] к» или «описывают» потребителя или домохозяйство? Эти вопросы имеют решающее значение для решения, потому что, если IP-адреса считаются «личной информацией», то предприятия могут столкнуться с дополнительными обязательствами в соответствии с CCPA или вынуждены переосмыслить то, как они обращаются с IP-адресами в рамках своего онлайн-бизнеса.
Определение личной информации CCPA прямо предусматривает включение IP-адресов. Сам по себе IP-адрес может не позволить компании идентифицировать конкретного потребителя или домохозяйство; однако во многих — если не в большинстве — случаях интернет-провайдер может связать IP-адрес с именем, домашним адресом, номером телефона, адресом электронной почты и даже платежной информацией. Для достижения успеха некоторые законодательные акты требуют, чтобы запросы к интернет-провайдеру на привязку IP-адреса к физическому лицу сопровождались постановлением суда, повесткой в суд или ордером правоохранительных органов. К сожалению, неясно, будут ли такие усилия считаться «достаточно способными» связать IP-адрес с отдельным лицом или домохозяйством, так что все IP-адреса являются личной информацией в соответствии с CCPA.
10 февраля генеральный прокурор Калифорнии опубликовал первый набор поправок к предложенным правилам CCPA.
Эти изменения включали следующее руководство:
«[Если] компания собирает IP-адреса посетителей своих веб-сайтов, но не связывает IP-адрес с каким-либо конкретным потребителем или домохозяйством и не может обоснованно связать IP-адрес с конкретным потребителем. или домохозяйства, то IP-адрес не будет «личной информацией».
Это руководство имело решающее значение для разъяснения того, что запрос CCPA на «разумность» был сосредоточен на самой принимающей организации, а не на способности третьих сторон, таких как интернет-провайдеры, связывать информацию с отдельными лицами или потребителями. Другими словами, если компания не связала IP-адрес с потребителем или домохозяйством, а компания не может разумно связать IP-адрес с конкретным потребителем или домохозяйством, IP-адрес не будет личной информацией. Эта интерпретация согласуется с реальностью, согласно которой даже если бы компании захотели связать IP-адреса с отдельными лицами или домохозяйствами, многим не хватило бы информации, необходимой для этого, и вряд ли им удалось бы заставить интернет-провайдера сделать это за них.
Однако, когда 11 марта генеральный прокурор во второй раз пересмотрел проект постановления, руководство было отменено без объяснения причин.
Итак, как обстоят дела с IP-адресами в Европе, где действует Общий регламент ЕС по защите данных, который, несомненно, вдохновил CCPA?
GDPR определяет «персональные данные» как «любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу». Пункт 26 GDPR предусматривает, что «[для] определения того, можно ли идентифицировать физическое лицо, следует принимать во внимание все разумно вероятные средства, такие как выделение контролером или другим лицом для идентификации физического лица». физическое лицо прямо или косвенно». И при определении того, «разумно ли вероятно, что средства будут использованы», необходимо учитывать «все объективные факторы, такие как стоимость и количество времени, необходимое для идентификации, принимая во внимание доступную технологию во время обработки и технологические разработки».
В деле Breyer v. Bundesrepublik Deutschland Европейский суд рассмотрел вопрос о том, являются ли динамические IP-адреса, т. е. IP-адреса, которые вновь выдаются устройству после его повторного подключения к Интернету, собранные общедоступными веб-сайтами, «персональными данными», если сторонний интернет-провайдер может связать динамические IP-адреса с субъектами данных. Суд признал два возможных подхода: объективный или относительный.
При объективном подходе вопрос о том, является ли информация персональными данными, требует рассмотрения того, может ли какая-либо организация связать эту информацию с физическим лицом. Другими словами, при таком подходе, если какой-либо интернет-провайдер может связать IP-адрес с физическим лицом, IP-адрес будет личными данными независимо от технологической смекалки или ресурсов владельца. Напротив, относительный подход сосредоточится на том, может ли владелец IP-адреса связать его с физическим лицом. Не отвергая прямо объективный подход, суд, как представляется, принял относительный подход.
Применяя формулировку, содержащуюся в пункте 26 декларационной части, суд признал необходимым сначала «определить[], является ли возможность объединения динамического IP-адреса с дополнительными данными, хранящимися у [провайдера], средством, которое, вероятно, разумно будет использоваться для идентификации данных. предмет.» В конечном итоге суд постановил, что у провайдера веб-сайта были разумные средства для привязки динамических IP-адресов к отдельным лицам, поскольку у него были законные средства для принуждения интернет-провайдеров к этому. Поэтому он постановил, что динамические IP-адреса, собранные общедоступным веб-сайтом, представляют собой персональные данные «в отношении этого провайдера».
Если бы суд или регулирующий орган, интерпретирующий CCPA, должен был принять аргументацию суда Брейера, он сосредоточился бы на том, может ли бизнес, который владеет данными об IP-адресе, а не несвязанная третья сторона, такая как поставщик Интернет-услуг, может связать IP-адрес конкретному человеку или домохозяйству.
Генеральный прокурор, похоже, принял такой подход в Разделе 999.302 Первых изменений, которые теперь отозваны. Однако даже если предположить, что генеральный прокурор или суды Калифорнии примут этот подход, останется один важный вопрос: является ли наличие законных средств, позволяющих заставить интернет-провайдеров связать IP-адрес с отдельным лицом или домохозяйством, «разумным» средством для этого? под УКРА? Суд Брейера, похоже, так думал, по крайней мере, в соответствии с Европейской директивой 9.5/46. Примечательно, однако, что при таком постановлении суд не проводил анализа объективных факторов, изложенных в пункте 26 декларационной части, таких как затраты, время и усилия, которые потребуются для принуждения интернет-провайдера к сотрудничеству. И можно было бы правдоподобно утверждать, что с учетом этих объективных факторов исчерпание таких средств правовой защиты в США было бы неразумным.
Удаление Генеральным прокурором своего руководства о том, как интерпретировать, включает ли «личная информация» IP-адреса, которые бизнес не может разумно связать с конкретным потребителем или домохозяйством, теперь оставляет бизнес-сообщество в огромной неопределенности.
Остается неясным, будут ли IP-адреса, собранные бизнесом, представлять собой личную информацию в соответствии с CCPA, и какие соображения имеют значение, если таковые имеются, при принятии такого решения. Действительно, удаление может быть ранним признаком того, что генеральный прокурор намерен расширить взгляд на личную информацию, который будет ближе к объективному подходу, изложенному в деле Брейера. Учитывая, что веб-сайт, который получает всего 137 уникальных посещений в день от жителей Калифорнии, подвергает хост веб-сайта требованиям CCPA, дополнительные указания генерального прокурора по этому вопросу были бы очень кстати. Но если такое руководство не появится в ближайшее время, предприятиям было бы разумно тщательно рассмотреть, как они обращаются с IP-адресами, обладают ли они внутренними инструментами для связывания таких адресов с отдельными потребителями или домохозяйствами, и как на них повлияет, если IP-адреса будут считается личной информацией в соответствии с CCPA.
Фото Энрике Ортеги Миранды на Unsplash
Является ли IP-адрес PII? Ответ неоднозначен — BlueCat Networks
Последнее обновление 31 марта 2023 г.
.
Является ли IP-адрес PII?
Для сетевых администраторов, которые ежедневно имеют дело с тысячами адресов интернет-протокола, этот вопрос имеет большое значение. Является ли адрес интернет-протокола (IP) персональными данными, которые можно использовать для идентификации конкретного лица? И как таковые должны ли организации защищать его?
Правовые границы и технические требования, связанные с защитой информации, позволяющей установить личность (PII), относительно ясны. В рамках общих мероприятий по защите данных многие по умолчанию относят информацию об IP-адресах к этой категории.
Вопрос в том, действительно ли оно там.
В этом посте сначала будет рассмотрено, что именно содержит IP-адрес. Затем он углубится в то, как США, Европа и Канада пытались ответить на этот вопрос. Наконец, он предложит некоторые рекомендации для компаний и объяснит, как BlueCat защищает данные IP-адресов.
Что такое IP-адрес?
Каждому устройству, подключенному к сети, требуется уникальный IP-адрес.
Система доменных имен (DNS) преобразует удобочитаемые доменные имена (например, bluecatnetworks.com) в удобные для компьютера IP-адреса, например 192.0.2.146.
Сам по себе IP-адрес просто указывает, какое устройство отправило запрос DNS. Эта информация не очень полезна, если вы не знаете, где находится этот компьютер и кто его использует. Картина становится яснее только при сопоставлении ее с журналами пользователей, шаблонами запросов, данными о местоположении и другой контекстной информацией.
Даже в этом случае использование прокси-серверов и VPN может сбить трекеры со следа. DHCP также часто переназначает их, что называется динамической IP-адресацией. Это затрудняет отслеживание одного компьютера или пользователя с течением времени.
Итак, IP-адрес выступает в качестве онлайн-идентификатора или содержит вашу личную информацию?
Судебные дела США и законы штатов учитывают: является ли IP-адрес PII?
В США нет всеобъемлющего закона о конфиденциальности данных.
Суды и федеральные агентства США весят
В постановлении федерального окружного суда от 2009 г. по делу Джонсон против Microsoft Corp судья отказался самостоятельно обеспечивать защиту IP-адресов на уровне PII. В постановлении говорится, что «для того, чтобы «личная информация» была идентифицирующей личность, она должна идентифицировать человека. Но IP-адрес идентифицирует компьютер».
Но в 2013 году Федеральная торговая комиссия США пересмотрела свое правило Закона о защите конфиденциальности детей в Интернете, чтобы дать родителям больше контроля над сбором личной информации их детей. Эта редакция определяет личную информацию как включающую в себя постоянные идентификаторы, такие как IP-адрес, «которые можно использовать для распознавания пользователя с течением времени и на разных веб-сайтах или в онлайн-сервисах».
В 2016 году Бюро по защите прав потребителей Федеральной торговой комиссии США предложило дополнительные рекомендации в широко цитируемом сообщении в блоге.
В нем говорилось: «Мы рассматриваем данные как «идентифицирующие личность» и, таким образом, гарантируем защиту конфиденциальности, когда они могут быть обоснованно связаны с конкретным человеком, компьютером или устройством. Во многих случаях этому тесту соответствуют постоянные идентификаторы, такие как идентификаторы устройств, MAC-адреса, статические IP-адреса или файлы cookie».
Однако FTC удалила сообщение со своего веб-сайта. И вместе с этим исчезли какие-либо существенные указания FTC по этому поводу.
Неоднозначность и в законе Калифорнии
На уровне штата Калифорнийский закон о конфиденциальности потребителей (CCPA) от 2018 г. определяет личную информацию как IP-адреса. Но только в том случае, если он «идентифицирует, относится, описывает, может быть связан или может быть связан, прямо или косвенно, с конкретным потребителем или домохозяйством».
>По данным Международной ассоциации профессионалов в области конфиденциальности (IAPP), что определение личной информации в CCPA означает на практике для бизнеса, довольно неясно.
В феврале 2020 года генеральный прокурор Калифорнии опубликовал проект постановления закона, который мог бы устранить некоторую двусмысленность. Раздел 999.302 гласил: «[I]если компания собирает IP-адреса посетителей своих веб-сайтов, но не связывает IP-адрес с каким-либо конкретным потребителем или домохозяйством и не может обоснованно связать IP-адрес с конкретным потребителем или домохозяйством, то IP-адрес не будет «личной информацией».
Однако, по данным IAPP, в следующем проекте правил, опубликованном через месяц, раздел 9 был исключен.99.302 целиком.
Европа и Канада выступают против «является IP-адресом PII»
А еще есть Общий регламент ЕС по защите данных (GDPR). Действующий с 2018 года, многие считают GDPR глобальным образцом защиты личной конфиденциальности.
Здесь есть небольшая неясность: GDPR указывает IP-адрес как персональные данные.
В соответствии с GDPR персональные данные — это любая информация, которая относится к идентифицированному или идентифицируемому живому лицу.
Кроме того, «различные фрагменты информации, собранные вместе, могут привести к идентификации конкретного лица, также представляют собой персональные данные».
Рабочая группа ЕС по статье 29, ныне несуществующий консультативный орган по конфиденциальности данных для GDPR, изучила этот вопрос. В архивах его рекомендаций отмечены некоторые ограниченные исключения. Например, IP-адреса, присвоенные компьютеру в интернет-кафе, который не запрашивает идентификацию клиента.
Однако партия отметила, что «если интернет-провайдер не в состоянии с абсолютной уверенностью отличить, что данные относятся к пользователям, которые не могут быть идентифицированы, он должен будет рассматривать всю информацию об IP как персональные данные, чтобы быть в безопасности сторона.»
А Канада?
Закон Канады о защите личной информации и электронных документах, действующий с 2000 года, также обеспечивает некоторую защиту. По данным Управления комиссара по вопросам конфиденциальности Канады, IP-адрес «может считаться личной информацией, если он может быть связан с идентифицируемым лицом».
В своем собственном заявлении о политике конфиденциальности правительство Канады считает собираемые им IP-адреса личной информацией. Это особенно актуально «в сочетании с другими данными, автоматически собираемыми, когда посетитель запрашивает веб-страницу, например, посещенная страница или страницы, дата и время посещения».
Если IP-адрес является PII, что делать компаниям?
Все эти нюансы не очень помогают комплаенс-офицерам и сетевым администраторам.
Многие из них по умолчанию используют более строгие стандарты конфиденциальности PII для информации об IP-адресах. Это проще и руководство понятнее.
BlueCat стремится защитить информацию, используя ее для обеспечения сетевой безопасности и управления DNS. Подробности читайте в заявлении о конфиденциальности BlueCat.
Кроме того, платформа DNS корпоративного уровня BlueCat защищает информацию об IP-адресах посредством анонимизации, шифрования и ограниченного доступа. Клиенты BlueCat могут назначать широкий спектр элементов управления и ограничений для информации об IP-адресе.
