Одним из важных элементов законодательства РФ в области персональных данных является вопрос идентификации личности. В тексте 152-ФЗ попадаются следующие словосочетания: " определенному или определяемому физическому лицу", "установить его личность", "удостоверяющего его личность", "установления личности". Кроме того, есть еще понятия идентификации, аутоинтефикации и т.д. В связи с утечкой sms с Мегафона засветилось мнение , что № телефона не идентифицирует личность.
Для определенности зададимся вопросом: Идентифицирует ли субъекта номер телефона?
Как у практика, у меня сложилось простое определение идентификации личности: если с этим набором персональных данных удастся, при случае, открыть уголовное дело с конкретным подозреваемым, то таки набор идентифицирует субъекта.
Попробуем, все таки, разобраться с установлением личности. В IT понятие идентификации определено как " присвоение субъектам и объектам идентификатора и / или сравнение идентификатора с перечнем присвоенных идентификаторов ".
Есть еще процесс аутентификации - " проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности ".
И здесь пока еще понятно. Однако мы, IT-шники, здесь вторгаемся в зону юристов, а по сравнению с законодательным полем федеральная мультисервисная ИС с тысячами хостов пример простого и предельно понятного объекта.
name='more'>
Начнем с того что слово Идентификация в философии трактуется как " установление тождественности неизвестного объекта известному на основании совпадения признаков; опознание ". И включает в себя идентификацию и аутентификацию в смысле IT. Я так подозреваю, что из-за неудачно выбранного термина надцать лет назад путаница и возникает…
Поисковый запрос выдал сразу ссылку на статью 265 УК ПФ. Установление личности подсудимого и своевременности вручения ему копии обвинительного заключения или обвинительного акта:
"1. Председательствующий устанавливает личность подсудимого, выясняя его фамилию, имя, отчество, год, месяц, день и место рождения, выясняет, владеет ли он языком, на котором ведется уголовное судопроизводство, место жительства подсудимого, место работы, род занятий, образование, семейное положение и другие данные, касающиеся его личности".
Т.е. в судебном разбирательстве достаточно ФИО, даты и места рождения и можно утверждать, что этот набор безусловно устанавливает личность. В повседневной практике эти данные при установлении личности считываются из паспорта оператором. Фотография в этом случае играет по сути роль аутентификатора. Таким образом, я возьму на себя смелость утверждать, что процесс установления личности совпадает с философской идентификацией и включает в себя идентификацию и аутентификацию в терминологии IT.
С терминологией все вроде понятно, осталось разобраться какие данные идентифицируют субъекта. И тут юридический портал порадовал статьей " Криминалистическая идентификация ":
Идентификация - процесс установления тождества объекта или личности по совокупности общих и частных признаков, осуществляемый с целью решения вопроса о том, является ли данный объект искомым.
Возможность отожествления обуславливается самой природой материальных объектов. С одной стороны, относительной устойчивости и неизменности, а с другой - на способности объектов отражать свои признаки на других объектах, а также индивидуальность объекта.
Под индивидуальностью объекта понимается его безусловное отличие от любых других объектов. В природе не существует двух совершенно тождественных друг другу объектов. Даже стандартные вещи отличаются друг от друга рядом особенностей, их выявление и составляет задачу исследования.
Таким образом можно утверждать, что любой набор данных в совокупности уникальных для конкретного субъекта могут его идентифицировать при условии, что у нас есть такой же набор данных, но с ФИО и датой рождения. Т.е. в идентификации должны участвовать как минимум два набора данных: первый идентифицируемый, второй с которым определяется тождество.
В качестве набора признаков может участвовать любой набор данных: телефон, счет в банке, лексические особенности написанного текста и т.д.
Т.е. мы можем говорить об идентифицирующем признаке определяемом как "свойство объекта, удовлетворяющее определенным требованиям:
1. Специфичность, Признак должен наиболее полно отражать свойства объекта, используемые для идентификации;
2. Выраженность признака - его способность к постоянному стабильному отображению. Признак должен быть воспроизведен в каждом случае образования следа;
3. Относительная устойчивость признака. Если то или иное свойство объекта не является устойчивым, то оно не может быть использовано в качестве идентификационного признака и участвовать в идентификационном процессе. Критерием относительной устойчивости свойства может быть его незначительная изменяемость во времени и пределах идентификационного периода, закономерная повторяемость его отображений на идентифицирующем объекте, устойчивые проявления свойства в различных условиях;
4. То или иное свойство объекта может быть использовано в качестве идентификационного признака при условии, если оно доступно для современных методов познания".
Очевидно что в процессе установления личности или идентификации (для меня это пока синонимы) участвуют как минимум три сущности: данные на основе которых проводится идентификация, данные которые хранятся вы эталонной БД и сущность (субъект, программа, устройство) которая производит сравнение первых со вторыми. Идентификация считается успешной, когда сущность может сделать обоснованный вывод о тождественности или не тождественности данных из первого и второго наборов.
Теперь вернемся к вопросу в заголовке. Утверждение, что номер сотового телефона не является идентифицирующим признаком не верно, однако в существенном количестве случаев не верно и обратное утверждение. Для получения ответа на поставленный вопрос необходимо понять вторую половину процесса идентификации. Есть ли общедоступный набор данных позволяющий определить по номеру телефона человека, который им пользуется? В принципе источников у нас несколько:
1. Базы номеров сотовых телефонов продающиеся на дисках или в Internet. Теоретически любой человек может ими воспользоваться, но мусора в таких базах существенно больше чем реальных данных.
2. Поисковые запросы в Internet. Как ни странно не плохой источник персональной информации и не из-за утечек. Пользователи сами публикуют необходимую информацию в объявлениях, резюме и т.д.
3.Личное знакомство, трудовые отношения и т.п. – наиболее вероятный вариант идентификации.
В целом мы можем говорить о том, что в принципе существует существенное количество законных источников, с использованием которых можно произвести идентификацию (в философском смысле) человека по номеру сотового телефона, как в прочем и по номеру автомобиля или ip адресу.
Совершенно естественно мы, как оператор или интегратор, задаемся вопросом, а в каких случаях нам как оператору, становится интересно, а возможно ли на нашем объеме данных идентифицировать человека? Я могу предположить, что в этом случае уместно говорить о вреде субъекту причинённому в следствии его идентификации третьими лицами. Фактически можно утверждать, что ущерб субъекту возможен только после успешной и положительной идентификации. Можно так же предположить, что величина ущерба пропорциональна степени осведомленности субъекта производящего несанкционированную идентификацию. Только в этом случае данные предоставляющие дополнительную информацию о субъекте персональных данных имеют хоть какую-то смысловую нагрузку. Т.е. пока мы не услышал крик "Блин да это же Васька, мой сосед!" об ущербе можно говорить только как о теоретической возможности возникшей в следствии утечки данных.
Для определенности зададимся вопросом: Идентифицирует ли субъекта номер телефона?
Как у практика, у меня сложилось простое определение идентификации личности: если с этим набором персональных данных удастся, при случае, открыть уголовное дело с конкретным подозреваемым, то таки набор идентифицирует субъекта.
Попробуем, все таки, разобраться с установлением личности. В IT понятие идентификации определено как " присвоение субъектам и объектам идентификатора и / или сравнение идентификатора с перечнем присвоенных идентификаторов ".
Есть еще процесс аутентификации - " проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности ".
И здесь пока еще понятно. Однако мы, IT-шники, здесь вторгаемся в зону юристов, а по сравнению с законодательным полем федеральная мультисервисная ИС с тысячами хостов пример простого и предельно понятного объекта.
name='more'>
Начнем с того что слово Идентификация в философии трактуется как " установление тождественности неизвестного объекта известному на основании совпадения признаков; опознание ". И включает в себя идентификацию и аутентификацию в смысле IT. Я так подозреваю, что из-за неудачно выбранного термина надцать лет назад путаница и возникает…
Поисковый запрос выдал сразу ссылку на статью 265 УК ПФ. Установление личности подсудимого и своевременности вручения ему копии обвинительного заключения или обвинительного акта:
"1. Председательствующий устанавливает личность подсудимого, выясняя его фамилию, имя, отчество, год, месяц, день и место рождения, выясняет, владеет ли он языком, на котором ведется уголовное судопроизводство, место жительства подсудимого, место работы, род занятий, образование, семейное положение и другие данные, касающиеся его личности".
Т.е. в судебном разбирательстве достаточно ФИО, даты и места рождения и можно утверждать, что этот набор безусловно устанавливает личность. В повседневной практике эти данные при установлении личности считываются из паспорта оператором. Фотография в этом случае играет по сути роль аутентификатора. Таким образом, я возьму на себя смелость утверждать, что процесс установления личности совпадает с философской идентификацией и включает в себя идентификацию и аутентификацию в терминологии IT.
С терминологией все вроде понятно, осталось разобраться какие данные идентифицируют субъекта. И тут юридический портал порадовал статьей " Криминалистическая идентификация ":
Идентификация - процесс установления тождества объекта или личности по совокупности общих и частных признаков, осуществляемый с целью решения вопроса о том, является ли данный объект искомым.
Возможность отожествления обуславливается самой природой материальных объектов. С одной стороны, относительной устойчивости и неизменности, а с другой - на способности объектов отражать свои признаки на других объектах, а также индивидуальность объекта.
Под индивидуальностью объекта понимается его безусловное отличие от любых других объектов. В природе не существует двух совершенно тождественных друг другу объектов. Даже стандартные вещи отличаются друг от друга рядом особенностей, их выявление и составляет задачу исследования.
Таким образом можно утверждать, что любой набор данных в совокупности уникальных для конкретного субъекта могут его идентифицировать при условии, что у нас есть такой же набор данных, но с ФИО и датой рождения. Т.е. в идентификации должны участвовать как минимум два набора данных: первый идентифицируемый, второй с которым определяется тождество.
В качестве набора признаков может участвовать любой набор данных: телефон, счет в банке, лексические особенности написанного текста и т.д.
Т.е. мы можем говорить об идентифицирующем признаке определяемом как "свойство объекта, удовлетворяющее определенным требованиям:
1. Специфичность, Признак должен наиболее полно отражать свойства объекта, используемые для идентификации;
2. Выраженность признака - его способность к постоянному стабильному отображению. Признак должен быть воспроизведен в каждом случае образования следа;
3. Относительная устойчивость признака. Если то или иное свойство объекта не является устойчивым, то оно не может быть использовано в качестве идентификационного признака и участвовать в идентификационном процессе. Критерием относительной устойчивости свойства может быть его незначительная изменяемость во времени и пределах идентификационного периода, закономерная повторяемость его отображений на идентифицирующем объекте, устойчивые проявления свойства в различных условиях;
4. То или иное свойство объекта может быть использовано в качестве идентификационного признака при условии, если оно доступно для современных методов познания".
Очевидно что в процессе установления личности или идентификации (для меня это пока синонимы) участвуют как минимум три сущности: данные на основе которых проводится идентификация, данные которые хранятся вы эталонной БД и сущность (субъект, программа, устройство) которая производит сравнение первых со вторыми. Идентификация считается успешной, когда сущность может сделать обоснованный вывод о тождественности или не тождественности данных из первого и второго наборов.
Теперь вернемся к вопросу в заголовке. Утверждение, что номер сотового телефона не является идентифицирующим признаком не верно, однако в существенном количестве случаев не верно и обратное утверждение. Для получения ответа на поставленный вопрос необходимо понять вторую половину процесса идентификации. Есть ли общедоступный набор данных позволяющий определить по номеру телефона человека, который им пользуется? В принципе источников у нас несколько:
1. Базы номеров сотовых телефонов продающиеся на дисках или в Internet. Теоретически любой человек может ими воспользоваться, но мусора в таких базах существенно больше чем реальных данных.
2. Поисковые запросы в Internet. Как ни странно не плохой источник персональной информации и не из-за утечек. Пользователи сами публикуют необходимую информацию в объявлениях, резюме и т.д.
3.Личное знакомство, трудовые отношения и т.п. – наиболее вероятный вариант идентификации.
В целом мы можем говорить о том, что в принципе существует существенное количество законных источников, с использованием которых можно произвести идентификацию (в философском смысле) человека по номеру сотового телефона, как в прочем и по номеру автомобиля или ip адресу.
Совершенно естественно мы, как оператор или интегратор, задаемся вопросом, а в каких случаях нам как оператору, становится интересно, а возможно ли на нашем объеме данных идентифицировать человека? Я могу предположить, что в этом случае уместно говорить о вреде субъекту причинённому в следствии его идентификации третьими лицами. Фактически можно утверждать, что ущерб субъекту возможен только после успешной и положительной идентификации. Можно так же предположить, что величина ущерба пропорциональна степени осведомленности субъекта производящего несанкционированную идентификацию. Только в этом случае данные предоставляющие дополнительную информацию о субъекте персональных данных имеют хоть какую-то смысловую нагрузку. Т.е. пока мы не услышал крик "Блин да это же Васька, мой сосед!" об ущербе можно говорить только как о теоретической возможности возникшей в следствии утечки данных.