Найти в Дзене
Пригодится
500 подписчиков

PII vs GDPR. Защищаемся. Разница есть, и она важна

34
7 мин
Если вы думаете, что пара вертикальные палочек — это римские цифры "1" и "1", то ошибаетесь. Это полностью буквенные аббревиатуры.
И связаны они с безопасностью персональных данных.
Эта статья не про меры коллективной инфобезопасности. И это не статья про то, где и как надо хранить паспорт или водительские права и т. д., чтобы их не украли или не сделали физический слип. Это статья про цифровую информацию, про пространство цифровое. Обе аббревиатуры, которые исследуются в этой статье, имеют практическое применение. И они фундаментальны.
Поэтому неважно, ненавистник вы всего западного, или пострадавший от ограничений пользования зарубежными информационными системами и сервисами, или адепт западных информационных технологий и подхода к ним, понимание пары PII/GDPR пригодится.
Мир всё равно един, потому что он один. Даже не все континенты отделены друг от друга, а границы между государствами — условное разделение в первую очередь для тех, кто хочет собирать плату за её пересечение. П
Оглавление

Если вы думаете, что пара вертикальные палочек — это римские цифры "1" и "1", то ошибаетесь. Это полностью буквенные аббревиатуры.
И связаны они с безопасностью персональных данных.

  • Если для вас это важно, значит, моя статья будет полезна.
Эта статья не про меры коллективной инфобезопасности. И это не статья про то, где и как надо хранить паспорт или водительские права и т. д., чтобы их не украли или не сделали физический слип. Это статья про цифровую информацию, про пространство цифровое.

Титульная иллюстрация к статье Олега Лубского про PII, GDPR и цифровую безопасность | © автор коллажа Олег Лубски 2024
Титульная иллюстрация к статье Олега Лубского про PII, GDPR и цифровую безопасность | © автор коллажа Олег Лубски 2024

Обе аббревиатуры, которые исследуются в этой статье, имеют практическое применение. И они фундаментальны.
Поэтому неважно, ненавистник вы всего западного, или пострадавший от ограничений пользования зарубежными информационными системами и сервисами, или адепт западных информационных технологий и подхода к ним, понимание пары PII/GDPR пригодится.

Мир всё равно един, потому что он один. Даже не все континенты отделены друг от друга, а границы между государствами — условное разделение в первую очередь для тех, кто хочет собирать плату за её пересечение.

Про что я?
Границ для цифры нет.

PII

PII — это официальная американская аббревиатура, введённая в употребление Управлением США по вопросам конфиденциальности и открытого правительства (the US Office of Privacy and Open Government). Образована аббревиатура PII заглавными буквами словосочетания "Personally, Identifiable Information", что в переводе означает "персональная, идентифицируемая информация".

Как фундаментальное понятие расшифровывается так (переводная цитата):

«Информация, которая может быть использована для идентификации или отслеживания личности человека, например, его имя, номер социального страхования, биометрические данные и т. д., как отдельно, так и в сочетании с другой личной или идентифицирующей информацией, которая связана или может быть связана с конкретным человеком, например, дата и место рождения, девичья фамилия матери и т. д.»
(“Information which can be used to distinguish or trace an individual’s identity, such as their name, social security number, biometric records, etc. alone, or when combined with other personal or identifying information which is linked or linkable to a specific individual, such as date and place of birth, mother’s maiden name, etc.”).

GDPR

В Европе существуют свои правила, и для них есть своя аббревиатура — GDPR:

  • GDPR (General Data Protection Regulation) или Генеральный регламент о защите персональных данных (ещё переводится как Общий регламент по защите данных).

Генеральный регламент защиты персональных данных — постановление Европейского союза от апреля/мая 2016-го года, с помощью которого Европейский парламент, Совет Европейского союза и Европейская комиссия унифицировали защиту персональных данных всех лиц в Европейском союзе (ЕС), а также определили правила экспорта данных из ЕС.

GDPR в статье 4 вышеуказанного Постановления определяет персональные данные следующим образом (далее — переводная цитата):

«Персональные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («Субъект данных»); идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, путём ссылки на идентификационный номер или на один или несколько факторов, характерных для его физической, физиологической, психической, экономической, культурной или социальной идентичности».
“Personal data” shall mean any information relating to an identified or identifiable natural person (‘Data Subject’); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity».

Разбираемся в разнице подходов

Знать про американкие и европейские нормы важно для нижеследующего пониания:

  • Когда организации стремятся защитить данные своих пользователей, и сами пользователи хотят защитить свои данные, им всем необходимо понимать, какие данные необходимо защищать. Так вот, учтите маленькую большую разницу: персональные данные GDPR, используемые в ЕС, охватывают гораздо более широкий спектр информации, чем параметры PII, обычно используемые в Северной Америке.

Другими словами, не все персональные данные из ЕС являются персональными данными класса PII, и если вы предложите в ЕС в качестве своих персональных данных информацию класса PII, у вас попросят дополнительные персональные данные согласно регламенту GDPR.

Это требует некоторого объяснения.

Различить (выделить из всех других) человека — значит идентифицировать человека, отличая одного человека от другого, а отслеживать человека — значит обрабатывать достаточно информации, чтобы сделать вывод о конкретном аспекте деятельности человека или его статуса.

Согласно этому определению, имя, адрес электронной почты, почтовый адрес, номер телефона, личные идентификационные номера (personal ID numbers), такие как, например, документ социального страхования, паспорт, водительские права, банковский счет, они считаются PII данными.

Информация обрабатывается как связанная, если любая часть личной информации может быть использована для идентификации человека (например, имя при рождении).
Информация классифицируется как связываемая, если сама по себе она может быть недостаточной для идентификации человека, но в сочетании с другой частью информации она может идентифицировать, отслеживать или определять местонахождение человека (например, дата рождения).

Возьмем, к примеру, два набора данных, содержащих разные PII. Когда оба набора данных доступны одному и тому же человеку ("оценщику"), становится возможным идентифицировать людей путем объединения/сравнения наборов данных или через доступ к дополнительной информации о субъекте.

Вот где в игру вступает информационная безопасность
(о чём вам надо озаботиться):

Если контроль, предназначенный для разделения источников данных, недостаточен, то данные считаются связанными.

  • Что здесь важно.
    Когда дополнительный источник информации о субъекте остаётся внешним (на расстоянии), как, например, в случае с изолированными базами данных внутри организаций или через поисковую систему в Интернете среди общедоступной информации, то данные из этого источника считаются связанными с ранее имеющимися.
    Берегите свои данные, устанавливайте шлюзы.

Что такое конфиденциальные данные PII?

PII данные считаются конфиденциальной информацией о субъекте (человеке), если потеря, компрометация или раскрытие без разрешения этих данных может привести к вреду, смущению, неудобствам или несправедливости по отношению к этому субъекту (человеку).

Например, следующая информация считается конфиденциальной PII:

  • медицинская,
  • образовательная,
  • финансовая,
  • информация о занятости.


В определении понятия "персональные данные" в GDPR мы с вами видим (см. выше) четыре основных элемента:

  • «любая информация»,
  • «относящийся к»,
  • «идентифицированному или идентифицируемому»,
  • «физическое лицо».

Это есть элементы базовой формулы для определения что есть персональные данные и как обеспечить их достаточную/разумную информационную безопасность.

nonPII

Aббревиатура "nonPII" относится к разновидности акроним и имеет аббревиатуру-синоним:

  • NPD (Non-Personal Data).
Про термины аббревиатура и акроним читайте мою другую статью.

И то, и другое (nonPII и NPD) — по методу исключения из определения предыдущих аббревиатур — электронные данные, не содержащие никакой информации, которая может быть использована для идентификации физического лица.

Пара практических советов

Практический совет, для понимания, как на Западе:

  • В соответствии с GDPR идентификаторы устройств (Device IDs), IP-адреса (IP addresses) и файлы cookie (Cookies) считаются персональными данными.
  • А согласно определению PII, они не являются PII, поскольку являются анонимными и не могут использоваться сами по себе для идентификации, отслеживания или установления личности.

Просто понимайте и используйте эту разницу при обращении к порталам (сайтам), дистанционному программному обеспечению (ПО) в ЕС и в США.

Второй совет больше похож на отмазку.
Но она справедлива. Я не юрист.
Поэтому если вам надо разобраться, как и какие действуют правила и нормы в отношении безопасности/сохранности персональных данных в РФ — лучше обратиться к практикующему юристу. А ещё лучше — к действующему адвокату с данной специализацией. Сами знаете — законы в РФ ныне имеют персональное применение, поэтому лучше сразу справляться о судебной практике и реальных кейсах, а не опираться на теорию.

---***---

#PII #NPD #GDPR #nonPII #цифроваябезопасность #персональныеданные #термин #эксперт #экспертиза #статья #книга #сценарий #консультация #консалтинг #олеглубски #oleglubske #нуженавтор #фильм #кино #сериал #анимация #подкаст #гейминг #книгоиздание #медиаиндустрия

1