личная информация это что
Что такое личные данные и почему все боятся их потерять?
Данные могут использоваться для совершения покупок или получения доступа к информации, которую можно использовать против жертвы. Поэтому их следует тщательно оберегать от случайного попадания в чужие руки – и, тем более, от намеренной кражи. Но сначала стоит познакомиться с тем, что понимается под термином «персональные данные».
Что такое личная информация или личные данные
Личными или персональными данными человека называют информацию, которая относится к конкретному физическому лицу и позволяет его идентифицировать. К ней относятся:
паспортные данные: в первую очередь, ФИО, дата рождения, семейное положение;
социальное и имущественное положение;
информация о банковской карте, включая номер, PIN-код и CVV2/CVC2-коды.
Городской телефонный номер тоже относится к личным данным. Мобильный – только в том случае, если он зарегистрирован на определенного человека. Впрочем, в России большинство SIM-карт оформлены с использованием паспортных данных, поэтому мобильный номер – такая же конфиденциальная информация. А вот электронная почта к этому виду данных не относятся.
Паспортные данные
Не все данные из паспорта получится использовать в преступных целях. Например, зная адрес фактического проживания или прописку, можно разве что рассылать рекламу с помощью обычной почты.
Но есть такие паспортные данные, кража которых приводит к серьезным проблемам:
фамилия, имя и отчество владельца;
дата рождения (число, месяц, год);
серия и номер паспорта;
идентификационный номер налогоплательщика, который в российском паспорте указывается на 18-й странице (по желанию владельца).
Использовать паспортные данные без самого документа или хотя бы его ксерокопии достаточно трудно. Например, при оформлении кредита сотрудники банка обычно требуют копию, подпись клиента, а чаще всего – личное присутствие человека. Потому злоумышленники предпочитают красть не комбинацию символов, а отсканированные и хранящиеся на компьютере копии. При наличии такой информации ее можно распечатать и с помощью сообщника в банке все-таки оформить кредит. Конечно, для этого понадобится еще и подпись – но подделать ее обычно не так сложно, как украсть сканы паспорта.
С другой стороны, микрофинансовые организации могут выдавать кредиты без отсканированной копии. Достаточно только паспортных данных, которые получить намного проще. Например, при регистрации в онлайн-казино или на сайте пункта обмена валют, где просят указать настоящие ФИО, серию и номер паспорта. Или даже в той МФО, где владелец паспорта уже однажды брал кредит.
Паспортные данные без самого паспорта можно попробовать использовать в различных преступных схемах. В том числе для регистрации фирмы-однодневки, с помощью которой будут проводиться незаконные операции. И даже для того, чтобы зарегистрировать фальшивый профиль в платной онлайн-игре, букмекерской конторе или на финансовой бирже.
В большинстве случаев для этого достаточно не отсканированной копии, а просто информации из паспорта. Если же скана нет, но без него не обойтись, мошенники могут использовать «отрисовки» – цифровые копии, не слишком похожие на оригинал, но все равно подходящие для незаконных финансовых махинаций.
Телефонный номер
Самый простой способ использовать телефонный номер – отправлять на него рекламу (спам). Это не приносит особого дохода спамерам, но и не требует от них практически никаких серьезных действий. Свои телефоны люди указывают при регистрации на сайтах, при покупке товаров и даже отвечая на рассылку по электронной почте. Практически единственный ущерб от таких СМС – раздражение, появляющееся у человека, который ждет какое-то важное сообщение, а не рекламу. Недавно мы рассказывали, как избежать нежеланных звонков и писем от мошенников – обязательно загляните в этот материал.
Один из самых популярных способов украсть деньги с банковской карты – завладеть сначала телефонным номером, а затем использовать его для доступа к счету. Для этого придется сначала заблокировать SIM-карту пользователя, быстро перевыпустить новую и использовать ее для вывода средств. Или для их перевода на другую, временную карту – в любом случае, украденные деньги вернуть не получится. Чтобы заблокировать и «восстановить» симку, достаточно связаться с оператором, сообщить об утере смартфона или самой карты и ответить на 3 вопроса: последние номера, на которые звонили с этой SIM-карты или с которых совершались вызовы; последнее пополнение счета (приблизительное время и сумма); сумма на счету телефона.
Популярная схема: мошенники звонят абоненту с неизвестных номеров или отправляют СМС, вынуждая его перезвонить. Эти телефоны указываются при заказе услуги восстановления. А еще злоумышленник может отправить на телефонный номер небольшую сумму, сообщив ее при обращении к мобильному оператору. А с учетом того, что большинство людей пополняет счет не чаще 1 раза в месяц для внесения абонентской платы, узнать, сколько денег на нем лежит, совсем не сложно.
Получив доступ к телефонному номеру, можно использовать эти данные не только для снятия денег с карты. Иногда информацию применяют для доступа к другим важным сведениям и ресурсам – электронным почтовым ящикам, аккаунтам в соцсетях и даже целым сайтам. Это может стать поводом, например, для шантажа. Чтобы получить доступ к своим же профилям, почте или панели администратора пользователю предлагают заплатить – сумма зависит от ценности информации и наглости злоумышленников. В таком случае мы советуем обратиться в полицию, предоставив доказательства шантажа.
Номера и пароли банковских карт
Украсть номера, PIN-коды и даже CVV2/CVC2-коды банковской карты злоумышленники могут разными способами:
Позвонить владельцу карты, представившись сотрудником банка, и попросить сообщить все номера и пароли. И хотя представители самих финансовых организаций регулярно предупреждают клиентов, что их сотрудники не могут требовать конфиденциальную информацию, этот способ – самый популярный и действенный при краже персональных данных.
Установить на банкомате специальный прибор – скиммер. Он выглядит как накладка или картоприемник, иногда – как небольшая и незаметная видеокамера. Иногда скиммер позволяет даже полностью скопировать платежное средство – точнее, его магнитную полосу. Если это камера – с помощью скимминга считываетсяPIN-код и другая информация с карты.
Получить информацию при совершении электронного платежа. Иногда данные сохраняет браузер. А еще сам пользователь может указать их при попытке получения доступа к какой-либо информации. Например, к бесплатному просмотру фильма или акционному предложению (естественно, не настоящему, а созданному для сбора личных данных).
Просто украсть карту – для оплаты бесконтактными карточками на сумму до 1000 рублей даже не обязательно знать пин-код.
При наличии телефонного номера и всей информации о карте (номер, срок действия и коды) можно легко провести большинство интернет-платежей. При полном копировании платежного средства скиммером мошенник получает те же возможности, что и владелец. Некоторые операции могут проводиться при наличии только информации с лицевой стороны. Даже без пароля, зная лишь номер, имя владельца и срок действия карты, можно совершить покупку, например, на сайте Amazon.
Как избежать потери личных данных
Чтобы сохранить личную информацию и не стать жертвой мошенников, стоит придерживаться следующих рекомендаций:
Не хранить на компьютере или смартфоне отсканированные изображения страниц паспорта. Впрочем, точно так же не стоит держать в электронном виде сканы любых документов, которые могут попасть к злоумышленникам. Не пересылать конфиденциальные сведения по электронной почте, через мессенджеры или с помощью социальных сетей. Если все же необходимо отправить кому-либо свои документы, удаляйте все фото из переписки после того, как получатель их сохранит.
Не оставлять свой номер, привязанный к банковским картам, на сайтах объявлений. Не использовать его и при регистрации на ресурсах, которые не внушают доверия – хотя на этих сайтах лучше не регистрироваться вообще. Для таких ситуаций стоит завести отдельную симку.
Не перезванивать на незнакомые номера. Если без этого обойтись не получилось и появились подозрения по поводу того, что телефонный номер могут украсть (звонки, пополнение счета) – сразу предпринять все необходимые действия для предотвращения кражи. В первую очередь, перезвонить кому-то знакомому и пополнить номер на любую небольшую сумму.
Для защиты от скимминга следует тщательно осматривать банкомат перед использованием. Ни на клавиатуре, ни рядом с аппаратом не должно быть никаких подозрительных предметов, камер или накладок. Лучший вариант – банкомат внутри отделения банка или торгового центра. А при появлении подозрений о том, что карту скопировали или данные попали в чужие руки, ее необходимо заблокировать и перевыпустить.
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Персональные данные (Краткий FAQ)
Что такое персональные данные?
Что такое оператор и субъект персональных данных?
Как классифицировать информационную систему персональных данных?
Судный день отсрочен до 1 января 2011 года
ДОПОЛНЕНИЕ :
Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.
Обязательные требования по защите информационных систем персональных данных
Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4:
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации
Порядок действий по защите информационной системы персональных данных
Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;
2) Предпроектное обследование информационной системы — сбор исходных данных;
3) Классификация системы обработки персональных данных;
4) Построение частной модели угроз с целью определения их актуальности для информационной системы;
5) Разработка частного технического задания на систему защиты персональных данных;
6) Проектирование системы защиты персональных данных;
7) Реализация и внедрение системы защиты персональных данных;
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;
9) Аттестация (сертификация) по требованиям безопасности информации;
10) Повышение квалификации сотрудников в области защиты персональных данных;
11) Сопровождение (аутсорсинг) системы защиты персональных данных.
Когда аттестация и сертификация обязательна?
Аттестация информационных систем по требованиям безопасности информации обязательна:
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;
— в остальных случаях — для ИСПДн 1, 2 и 3 классов.
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации. », п. 3.3).
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации. », пп. 4.2, 4.3).
Примечание:
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.
ДОПОЛНЕНИЕ :
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Ответственность за нарушения по обработке персональных данных
Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:
— гражданскую,
— уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),
— административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),
— дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)
и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).
Аббревиатуры используемые в статье:
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
ПЭМИН — Побочные Электромагнитные Излучения и Наводки
Что, собственно, такое персональные данные?
Новгородский мальчик Онфим из XIII века превратил кору в носитель персональных данных, собрав набор из изображения человека и его имени.
Представьте, что вы нашли трёх друзей, которые родились с вами в один и тот же день. У вас одинаковая дата рождения, одинаковый пол, и вы можете определёнными усилиями сменить имена в рамках закона. В итоге получится четверо одинаковых людей. Будет ли набор «Ф. И. О. + дата рождения + пол» персональными данными?
Ответ, как это ни странно, — да.
При этом под персональными данными понимается такой набор информации, который так или иначе позволяет идентифицировать физическое лицо — субъекта персональных данных. То есть однозначно указывает на конкретного человека.
Ранее в законодательном определении содержалось указание на конкретные примеры, которые каждый в отдельности или в совокупности с другой информацией составляли персональные данные. В текущей же редакции ст. 3 Федерального закона № 152-ФЗ примеров персональных данных не приводится, т. к. законодатель сделал упор на «духе закона», прямо оговорив, что к таким данным относится «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу», отдав решение этого вопроса на откуп судебной практике.
Поэтому давайте разбирать на примерах, что есть ПДн, а что — нет.
Простые случаи
Для начала — есть категория «сырых» данных, которые позволяют однозначно определить личность конкретного человека. Например, это номер паспорта или набор из Ф. И. О., пола и даты рождения.
Персональные данные, например:
Правило номер один: если смешать ту информацию, которая сама по себе образует персональные данные, и ту, что их не образует, в одну базу данных, то получится база персональных данных. Например:
Уточнение про «голые» ПДн
Некоторые персональные данные не позволяют случайному человеку установить вашу личность, но позволяют установить вашу личность, например, правоохранительным органам. Так, номер мобильного телефона физического лица привязывается к его Ф.И.О. и номеру паспорта, то есть он является «чистыми» персональными данными. Использовать его отдельно и смешивать номер телефона с какой-либо другой информацией о его владельце — значит получать наборы персональных данных. То же самое может относиться к номеру кредитки, номеру страхового удостоверения, номеру медполиса и так далее.
В случае же если абонентский номер привязан к юридическому лицу, то он сам по себе не является персональными данными, т. к. не позволяет идентифицировать конкретного сотрудника юрлица, пользующегося данным номером.
Более сложные случаи
Не всегда в основе персональных данных лежит что-то, что делает весь набор сразу ПДн. Например, если в наборе есть номер паспорта — это точно ПДн, что бы ещё там ни лежало. Но иногда ни одна часть набора не является ПДн в изолированном виде, но всё вместе позволяет вам точно определить человека.
Например, медицинский диагноз, как правило, не является персональными данным в отрыве от Ф. И. О. (а вот результат анализа кода ДНК является персональными геномными данными, кстати). Расовая принадлежность сама по себе — не персональные данные. Место работы само по себе — не персональные данные.
Однако может так оказаться, что набор «место работы + раса + диагноз» — это персональные данные. Например, когда на автозаправке работает только один однорукий китаец.
Что самое интересное, если изначально на автозаправке работало два одноруких китайца, а потом один уволился, набор данных, по логике, не был персональным, а потом стал. Равно как когда вы были одним таким в наборе «Ф. И. О. + пол + дата рождения», а потом уговорили друзей поменять имена, по идее, набор перестал быть ПДн. На практике же это не так.
Чтобы понять, является ли ваш набор данных персональными, надо учесть следующее:
Интересные моменты
Копия паспорта — это ПДн. Потому что из изображения можно однозначно извлечь числа, которые точно являются ПДн сами по себе.
Что ещё забавнее, гражданин может прекратить обработку своих ПДн, то есть в теории можно вылавливать все свои фотографии в толпе и настаивать, что это хранение и обработка без вашего согласия. Исключениями из данной ситуации являются случаи, когда:
Изображение человека является ПДн. Обычно речь про фото, но не про портрет. Тем не менее по этому портрету можно установить человека, поэтому непонятно, как его хранить и обрабатывать.
Ещё один спорный случай — это почта. Однозначно понятно, что info@domain.ru в изолированном виде (без Ф. И. О., например) — это не ПДн, потому что там может оказаться кто угодно, включая робота. А вот если это ivanpetrov1990@mail.ru? Или billgates@microsoft.com? Скорее всего — не ПДн, нужны ещё наборы. Кроме того, по аналогии с телефонным номером всё зависит от того, на кого зарегистрирована почта: на юрлицо или гражданина.
Биометрические данные — индивидуальная форма черепа и ушей — однозначно являются персональными данными, как и отпечаток пальца. Это накладывает серьёзные ограничения на системы распознавания лиц — надо заручаться согласием даже на хранение хэша от биометрических замеров.
Чем регулируется
«Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой».
«Обработке подлежат только персональные данные, которые отвечают целям их обработки».
«Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».
Что это значит?
Когда вы строите ИТ-инфраструктуру, надо понимать, являются ли ваши данные персональными или нет. Классов персональных данных уже нет, есть таблица вот отсюда (в посте больше про сертификацию). Если ваши данные всё же персональные, то надо понять, что у вас за типы данных, какие угрозы для них возможны и сколько у вас будет записей. Дальше из таблицы вычисляется нужный уровень защищённости — и для этого уровня реализуются меры защиты в соответствии с требованиями законодательства.
Следуя духу закона и правоприменительной практике, почти во всех ситуациях можно определить, речь идёт про ПДн или нет. Крайне редкие случаи обычно рассматриваются отдельно юристами, которые выполняют оценку и делают запросы в контролирующие органы.
Это материал начальника отдела правового консалтинга Ильи Григорьева, а это — блог Техносерв Cloud.