E-mail и IP-адрес — персональные данные? — Юридическая консультация
Андрей Петров (Москва) 14.11.2021 Рубрика: Другое
Являются ли E-mail и IP-адрес персональными данными? Реалии таковы, что E-mail и IP-адрес человека может узнать любой.
Персональные данные
Кирилл Митягин
Консультаций: 45
1. IP-адрес
Статический IP-адрес, постоянно закрепленный за пользовательским оборудованием, возникает после заключения договора оказания услуг между оператором связи и абонентом. Следовательно, с его помощью можно определить субъекта данных, если он является физическим лицом, поэтому статический IP-адрес наиболее вероятно относится к персональным данным (см., например, решение Октябрьского районного суда г. Самары от 24.09.2015 № 2-5354/2015 или постановление Девятого арбитражного апелляционного суда от 23.05.2016 № 09АП-17574/2016).
Динамический IP-адрес назначается пользовательскому оборудованию автоматически при подключении к Интернету, поэтому вопрос об отнесении данного IP-адреса к персональным данным является спорным.
В судебной практике оценка отдельно динамическому IP-адресу не давалась, так как во всех решениях суды рассматривали статический и динамический адреса в совокупности, указывая лишь на технические различия.
В то же время судебная практика по данному вопросу не является однозначной. В частности, встречаются решения, где суд не признает ни статический, ни динамический IP-адреса в качестве персональных данных (см. например, постановление Тринадцатого арбитражного апелляционного суда от 01.06.2015 № 13АП-10709/2015).
2. E-mail
Адрес электронной почты может относиться к персональным данным.
Персональные данные клиентов фитнес-центра
Об этом говорится в письме Минкомсвязи России от 07.07.2017 № П11-15054-ОГ. Однако при толковании было сделано уточнение, что E-mail может рассматриваться в качестве персональных данных только «в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу». Поэтому адрес электронной почты, принадлежащий юридическому лицу, не может быть отнесен к персональным данным по определению.
Также существует постановление Правительства РФ от 13.09.2019 № 1197 «О внесении изменения в состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных», которым адрес электронной почты был включен в «состав сведений, размещаемых в единой информационной системе персональных данных». Следовательно, законодатель косвенным образом отнес E-mail к категории персональных данных.
Сказали спасибо:
Как суды и Роскомнадзор (РКН) определяют что является персональными данными, а что нет?
В ст.
3 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» закреплено понятие “Персональные данные” (ПД), это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В сущности, понятие не содержит в себе какой-либо помощи тому, кто пытается понять, что такое ПД.
С одной стороны, это дает определенную свободу Операторам ПД, но с другой стороны, это развязывает руки РКН и судьям при рассмотрении дел, связанных обработкой ПД. Ни один сотрудник РКН еще не дал однозначного ответа на вопрос, что является ПД, а что нет.
Постоянно возникают вопросы: являются ли адрес электронной почты, ID пользователя, IP адрес, файлы cookies, номер телефона, имя/фамилия, данные Яндекс метрики (ЯМ), Google аналитики (ГА) и др. персональными данными?
Все вышеуказанные данные уже были признаны ПД, но некоторые вопросы до сих пор остаются неразрешенными.
Файлы cookies — были признаны ПД в деле, многим известной, социальной сети Linkedin: Определение Московского городского суда от 10.
11.2016 по делу № 33-38783/2016. Однако, помимо файлов cookies, в социальной сети Linkedin осуществлялся сбор таких ПД, как фамилия, имя, адрес электронной почты и иное.
Возникает вопрос — являются ли файлы cookies ПД сами по себе, или в совокупности с другими данными, такими как ФИО, адрес электронной почты и иные ?
ID пользователя — было признано ПД Постановлением 13 ААС от 01.07.2016 по делу № А56-6698/2016. По обстоятельствам дела Оператор ПД ПАО «Ростелеком» поручил третьему лицу обработку следующих данных: Хэш-ID Пользователя; время просмотра web-страницы; URL; HTTP referer; User Agent; HTTP Cookie.
Как и в предыдущем кейсе — ID пользователя обрабатывалось в совокупности с другими данными. Будет ли ID пользователей ПД при их обработки автономно от иных имеющихся данных?
Данные ЯМ и ГА — были названы ПД при рассмотрении жалоб неизвестных лиц на сайт https://2019.
vote/, сайт А.А. Навального “Умное голосование”: Решение Таганского районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018. Вопрос политизированности решения и необходимости заблокировать сайт в данной статье не рассматривается.
ответчик и третьи лица используют сервисы Гугл Аналитикс и Яндекс Метрика, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей, их серверы также расположены на территории США, использование сервисов является действиями по сбору и обработке персональных данных
IP адрес. Стоит рассматривать отдельно статический и динамический IP адреса: Статический IP — является ПД; Динамический IP — не является ПД.
Хорошая аргументация и обоснование приведены в Решение Октябрьского районного суда г. Самары (Самарская область) от 24 сентября 2015 г.
по делу № 2-5354/2015.
Адрес электронной почты (email). Существует огромное количество дел, в которых фигурирует email адрес, однако он обрабатывался в совокупности с какими-либо другими данными, будь то паспортные, ФИО, номер телефона и иные. На данные момент нельзя с уверенностью утверждать, является ли email адрес ПД или нет.
Существует точка зрения, что если email содержит в себе ФИО (например: [email protected]), то он является ПД. Ну и тут возникает вопрос, чем тогда такой email адрес отличается от просто ФИО, которые не являются ПД (см. пункт ниже)?
ФИО (или отдельно Ф, И, О) и номер телефона — пожалуй, наиболее часто обрабатываемые данные.
В какой момент ФИО и номер телефона становятся персональными данными — не известно. По информации РКН (ответы на наиболее часто задаваемые вопросы https://77.
rkn.gov.ru/p3852/p13239/p13309/) — ни ФИО, ни номер телефона при рассмотрении обособленно от каких-либо других данные, не являются ПД. Но, как только Оператор обрабатывает данные в совокупности, например ФИО+телефон или ФИО+email — считается, что Оператор уже обрабатывает ПД.
К сожалению, законоприменительная практика по вопросам ПД разнится от случая к случаю и по многим вопросам существуют различные решения суда и РКН. Нет однозначного ответа, какая комбинация данных, по мнению законодательного и административного органов, является ПД, а какая нет.
Оператор может просто не успеть заметить, как его база не ПД превратилась в базу ПД, поэтому соблюдать ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных» лучше всего с самого начала обработки данных пользователей. Тем более, что штраф за обработку ПД граждан РФ не на территории РФ уже был существенно увеличен в прошлом году (ч. 8 — 9 ст. 13.11. КоАП), и не известны дальнейшие реформы законодательства в сфере данных в России.
Являются ли IP-адреса «личной информацией» CCPA?
Поскольку компании борются за соблюдение Калифорнийского закона о конфиденциальности потребителей, им необходимо будет решить, считаются ли адреса интернет-протокола, которые они собирают у потребителей, «личной информацией» и, следовательно, подпадают под действие этого нового закона. Это будет нелегко.
CCPA определяет «личную информацию» как включающую онлайн-идентификаторы, такие как IP-адрес, но только в том случае, если идентификатор «идентифицирует, относится, описывает, разумно может быть связан или может быть обоснованно связан, прямо или косвенно, с конкретным потребителем или домохозяйством». Для многих предприятий сбор IP-адресов дает множество преимуществ: от мониторинга трафика веб-сайта до рекламы, отслеживания и предотвращения злонамеренной активности. Но являются ли IP-адреса «разумно способными» ассоциироваться или «связываться» с отдельным лицом или домохозяйством? Если нет, то по-прежнему ли они «относятся [] к» или «описывают» потребителя или домохозяйство? Эти вопросы имеют решающее значение для решения, потому что, если IP-адреса считаются «личной информацией», то предприятия могут столкнуться с дополнительными обязательствами в соответствии с CCPA или вынуждены переосмыслить то, как они обращаются с IP-адресами в рамках своего онлайн-бизнеса.
Определение личной информации CCPA прямо предусматривает включение IP-адресов. Сам по себе IP-адрес может не позволить компании идентифицировать конкретного потребителя или домохозяйство; однако во многих — если не в большинстве — случаях интернет-провайдер может связать IP-адрес с именем, домашним адресом, номером телефона, адресом электронной почты и даже платежной информацией. Для достижения успеха некоторые законодательные акты требуют, чтобы запросы к интернет-провайдеру на привязку IP-адреса к физическому лицу сопровождались постановлением суда, повесткой в суд или ордером правоохранительных органов. К сожалению, неясно, будут ли такие усилия считаться «достаточно способными» связать IP-адрес с отдельным лицом или домохозяйством, так что все IP-адреса являются личной информацией в соответствии с CCPA.
10 февраля генеральный прокурор Калифорнии опубликовал первый набор поправок к предложенным правилам CCPA.
Эти изменения включали следующее руководство:
«[Если] компания собирает IP-адреса посетителей своих веб-сайтов, но не связывает IP-адрес с каким-либо конкретным потребителем или домохозяйством и не может обоснованно связать IP-адрес с конкретным потребителем. или домохозяйства, то IP-адрес не будет «личной информацией».
Это руководство имело решающее значение для разъяснения того, что запрос CCPA на «разумность» был сосредоточен на самой принимающей организации, а не на способности третьих сторон, таких как интернет-провайдеры, связывать информацию с отдельными лицами или потребителями. Другими словами, если компания не связала IP-адрес с потребителем или домохозяйством, а компания не может разумно связать IP-адрес с конкретным потребителем или домохозяйством, IP-адрес не будет личной информацией. Эта интерпретация согласуется с реальностью, согласно которой даже если бы компании захотели связать IP-адреса с отдельными лицами или домохозяйствами, многим не хватило бы информации, необходимой для этого, и вряд ли им удалось бы заставить интернет-провайдера сделать это за них.
Однако, когда 11 марта генеральный прокурор во второй раз пересмотрел проект постановления, руководство было отменено без объяснения причин.
Итак, как обстоят дела с IP-адресами в Европе, где действует Общий регламент ЕС по защите данных, который, несомненно, вдохновил CCPA?
GDPR определяет «персональные данные» как «любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу». Пункт 26 GDPR предусматривает, что «[для] определения того, можно ли идентифицировать физическое лицо, следует принимать во внимание все разумно вероятные средства, такие как выделение контролером или другим лицом для идентификации физического лица». физическое лицо прямо или косвенно». И при определении того, «разумно ли вероятно, что средства будут использованы», необходимо учитывать «все объективные факторы, такие как стоимость и количество времени, необходимое для идентификации, принимая во внимание доступную технологию во время обработки и технологические разработки».
В деле Breyer v. Bundesrepublik Deutschland Европейский суд рассмотрел вопрос о том, являются ли динамические IP-адреса, т. е. IP-адреса, которые вновь выдаются устройству после его повторного подключения к Интернету, собранные общедоступными веб-сайтами, «персональными данными», если сторонний интернет-провайдер может связать динамические IP-адреса с субъектами данных. Суд признал два возможных подхода: объективный или относительный.
При объективном подходе вопрос о том, является ли информация персональными данными, требует рассмотрения того, может ли какая-либо организация связать эту информацию с физическим лицом. Другими словами, при таком подходе, если какой-либо интернет-провайдер может связать IP-адрес с физическим лицом, IP-адрес будет личными данными независимо от технологической смекалки или ресурсов владельца. Напротив, относительный подход сосредоточится на том, может ли владелец IP-адреса связать его с физическим лицом. Не отвергая прямо объективный подход, суд, как представляется, принял относительный подход.
Применяя формулировку, содержащуюся в пункте 26 декларационной части, суд признал необходимым сначала «определить[], является ли возможность объединения динамического IP-адреса с дополнительными данными, хранящимися у [провайдера], средством, которое, вероятно, разумно будет использоваться для идентификации данных. предмет.» В конечном итоге суд постановил, что у провайдера веб-сайта были разумные средства для привязки динамических IP-адресов к отдельным лицам, поскольку у него были законные средства для принуждения интернет-провайдеров к этому. Поэтому он постановил, что динамические IP-адреса, собранные общедоступным веб-сайтом, представляют собой персональные данные «в отношении этого провайдера».
Если бы суд или регулирующий орган, интерпретирующий CCPA, должен был принять аргументацию суда Брейера, он сосредоточился бы на том, может ли бизнес, который владеет данными об IP-адресе, а не несвязанная третья сторона, такая как поставщик Интернет-услуг, может связать IP-адрес конкретному человеку или домохозяйству.
Генеральный прокурор, похоже, принял такой подход в Разделе 999.302 Первых изменений, которые теперь отозваны. Однако даже если предположить, что генеральный прокурор или суды Калифорнии примут этот подход, останется один важный вопрос: является ли наличие законных средств, позволяющих заставить интернет-провайдеров связать IP-адрес с отдельным лицом или домохозяйством, «разумным» средством для этого? под УКРА? Суд Брейера, похоже, так думал, по крайней мере, в соответствии с Европейской директивой 9.5/46. Примечательно, однако, что при таком постановлении суд не проводил анализа объективных факторов, изложенных в пункте 26 декларационной части, таких как затраты, время и усилия, которые потребуются для принуждения интернет-провайдера к сотрудничеству. И можно было бы правдоподобно утверждать, что с учетом этих объективных факторов исчерпание таких средств правовой защиты в США было бы неразумным.
Удаление Генеральным прокурором своего руководства о том, как интерпретировать, включает ли «личная информация» IP-адреса, которые бизнес не может разумно связать с конкретным потребителем или домохозяйством, теперь оставляет бизнес-сообщество в огромной неопределенности.
Остается неясным, будут ли IP-адреса, собранные бизнесом, представлять собой личную информацию в соответствии с CCPA, и какие соображения имеют значение, если таковые имеются, при принятии такого решения. Действительно, удаление может быть ранним признаком того, что генеральный прокурор намерен расширить взгляд на личную информацию, который будет ближе к объективному подходу, изложенному в деле Брейера. Учитывая, что веб-сайт, который получает всего 137 уникальных посещений в день от жителей Калифорнии, подвергает хост веб-сайта требованиям CCPA, дополнительные указания генерального прокурора по этому вопросу были бы очень кстати. Но если такое руководство не появится в ближайшее время, предприятиям было бы разумно тщательно рассмотреть, как они обращаются с IP-адресами, обладают ли они внутренними инструментами для связывания таких адресов с отдельными потребителями или домохозяйствами, и как на них повлияет, если IP-адреса будут считается личной информацией в соответствии с CCPA.
Фото Энрике Ортеги Миранды на Unsplash
Является ли IP-адрес PII? Ответ нюансированный.
– Сети BlueCatПоследнее обновление 12 мая 2022 г. .
Является ли IP-адрес PII?
Для сетевых администраторов, которые ежедневно имеют дело с тысячами IP-адресов, этот вопрос имеет большое значение. Является ли адрес интернет-протокола (IP) персональными данными, которые можно использовать для идентификации конкретного человека? И как таковые должны ли организации защищать его?
Правовые границы и технические требования, связанные с защитой информации, позволяющей установить личность (PII), относительно ясны. В рамках общих мероприятий по защите данных многие по умолчанию относят информацию об IP-адресах к этой категории.
Вопрос в том, действительно ли оно там.
В этом посте сначала будет рассмотрено, что именно содержит IP-адрес. Затем он углубится в прошлые судебные решения как в США, так и в Европе, которые пытались ответить на этот вопрос.
Что такое IP-адрес?
Каждому устройству, подключенному к сети, требуется уникальный IP-адрес. Система доменных имен (DNS) преобразует удобочитаемые доменные имена (например, bluecatnetworks.com) в удобные для компьютера IP-адреса, например 192.0.2.146.
Сам по себе IP-адрес просто указывает, какое устройство отправило запрос DNS. Эта информация не очень полезна, если вы не знаете, где находится этот компьютер и кто его использует. Картина становится яснее только тогда, когда она сопоставляется с журналами пользователей, шаблонами запросов, данными о местоположении и другой контекстной информацией.
Даже в этом случае использование прокси-серверов и VPN может сбить трекеры со следа. DHCP также часто переназначает их, известные как динамические IP-адреса. Это затрудняет отслеживание одного компьютера или пользователя с течением времени.
Итак, IP-адрес выступает в качестве онлайн-идентификатора или содержит вашу личную информацию?
Судебные дела взвешиваются: IP-адрес является PII?
Решения суда США
Это была логика решения суда 2009 года по делу Джонсон против Microsoft Corp.
Судья отказался предоставить защиту на уровне PII для адресов самостоятельно. В постановлении говорится, что «для того, чтобы «личная информация» была идентифицирующей личность, она должна идентифицировать человека. Но IP-адрес идентифицирует компьютер».
Однако не все согласны с тем, что на этом история закончилась.
Руководство Федеральной торговой комиссии США содержит больше нюансов. В нем говорится: «Мы рассматриваем данные как «идентифицирующие личность» и, таким образом, гарантируем защиту конфиденциальности, когда они могут быть обоснованно связаны с конкретным человеком, компьютером или устройством. Во многих случаях этому тесту соответствуют постоянные идентификаторы, такие как идентификаторы устройств, MAC-адреса, статические IP-адреса или файлы cookie».
В 2008 году Верховный суд Нью-Джерси согласился с тем, что планка корреляции адресов с другими источниками данных была низкой. Суд заявил в деле State vs. Reid, что информация об IP-адресе является частью «разумного ожидания конфиденциальности».
И что пользователи имеют право на это при использовании коммерческого интернет-провайдера.
Закон штата Калифорния о конфиденциальности потребителей (CCPA) от 2018 года также определяет личную информацию как IP-адреса. Но только в том случае, если он «идентифицирует, относится, описывает, может быть связан или может быть связан, прямо или косвенно, с конкретным потребителем или домохозяйством».
По данным Международной ассоциации профессионалов в области конфиденциальности, что это означает на практике для бизнеса, довольно неясно.
Подход Европы
А еще есть Европа. Общий регламент ЕС по защите данных (GDPR), который в значительной степени считается образцом защиты личной конфиденциальности, вероятно, вдохновил CCPA.
Директива ЕС о персональных данных имеет более широкую сферу применения. Он определяет PII как данные, которые могут идентифицировать человека «прямо или косвенно». В связи с этим возникает вопрос о том, как следует применять термин «косвенно».
В 2016 году Суд Европейского Союза дал ответ. В деле Брейер против Германии суд постановил, что IP-адреса могут считаться PII — при определенных обстоятельствах. Суд постановил, что у интернет-провайдера было достаточно коррелирующих данных о клиентах, чтобы сделать IP-адрес де-факто PII.
Однако суд ограничил свое решение тем, что защита, связанная с Директивой, не распространяется только на IP-адрес. По сути, это разделяет разницу в том, является ли это уникальным идентификатором, как в судах США.
Если IP-адрес является PII, что делать компаниям?
Все эти нюансы не очень помогают комплаенс-офицерам и сетевым администраторам. Оба обычно имеют дело с более конкретными стандартами.
Многие из них по умолчанию используют более строгие стандарты конфиденциальности PII для информации об IP-адресах. Это проще и руководство понятнее.
BlueCat стремится защитить информацию, используя ее для обеспечения сетевой безопасности и управления DNS.
