«ПЕРСОНАЛЬНЫЕ ДАННЫЕ» И «НЕПЕРСОНАЛЬНЫЕ ДАННЫЕ» - ВЗГЛЯД ЗАПАДНЫХ ЭКСПЕРТОВ
Джулия Брилл (Julie Brill), член Федеральной торговой комиссии США (FTC),
выступая с докладом о своем видении приватности — Privacy 3.0, обратила внимание
на то, что граница между понятиями «персональные данные» (personally
identifiable information, PII) и «неперсональные данные» (non-PII) постепенно
размывается.
Такое наблюдение подтолкнуло специалистов Международной ассоциации IAPP (далее IAPP) к изучению того, что же именно входит в понятие «персональные
данные», и как вместе с развитием технологий меняются официальные определения
этих терминов.
Специалисты IAPP надеются, что настоящее исследование подтолкнет
сообщество к развитию обсуждений о том, что же на самом деле должно охраняться
законами о приватности.
Персональные данные (ПД): официальные формулировки
В качестве отправной точки возьмем действующие официальные определения ПД.
Действительно ли «ПД» это «все данные о субъекте ПД»? Должны ли данные прямо
идентифицировать субъекта ПД? Должны ли ПД быть зафиксированы? Должны ли они
быть верны? Является ли субъект ПД всегда физическим лицом или же субъектом ПД
могут быть юридические лица (компании, организации и т.п.)? А если это
физические лица, то имеет ли значение, в живых они или нет?
Ответы на эти и многие другие вопросы можно получить, изучив определения ПД
в законодательстве разных стран.
До начала этого разговора специалисты IAPP
проверили соответствующие определения в 36 законах о защите данных 30 стран и
пришли к следующим выводам.
В упомянутых выше 36 законах используются разные формулировки.
В некоторых
странах, напр.
в США, понятие ПД сформулировано относительно узко и для его
определения зачастую просто перечисляют конкретные элементы ПД.
В то же время в
других странах, особенно в странах Евросоюза, идет тенденция к более широкому
толкованию термина ПД.
Несмотря на эти различия, в законодательстве этих стран используется
типичная формулировка типа «ПД — это данные или информация, относящаяся к
субъекту ПД, который можно идентифицировать».
Также во всех странах
используется одна и та же формулировка, иногда с небольшими изменениями, что «ПД
– это данные, которые позволяют прямо или косвенно идентифицировать субъекта ПД».
Например, Директива ЕС о защите персональных данных определяет ПД как данные,
«связанные с идентифицированным или идентифицируемым физическим лицом
(”субъектом данных”); идентифицируемым лицом является лицо, которое может быть
идентифицировано прямо или косвенно, в частности, посредством ссылки на
идентификационный номер или на один или несколько факторов, специфичных для его
физической, психологической, ментальной, экономической, культурной или
социальной идентичности»;
Несмотря на схожесть формулировок, законы по-разному трактуют то, что
действительно подпадает под их защиту.
В каких-то странах прямо перечисляют
состав ПД, в других ограничиваются более гибким (читай — нечетким) определением.
Несмотря на то, что конкретные формулировки дают больше уверенности, они чаще
подвергаются критике за свою инертность и невозможность следовать за современным
развитием технологий.
Гибкие формулировки, в свою очередь, позволяют
адаптироваться к будущим изменениям, но при этом создают неопределенность.
По этим законам данные, которые не входят в состав ПД, считаются «неперсональными
данными».
Такой статус лишает их если не полностью, то большей части защиты со
стороны закона.
Такая концепция часто применялась в отношении собранных данных,
и только недавно стала применяться к «обезличенным» данным, из которых намеренно
была удалена идентифицирующая информация.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Применение официальных определений
Развивая эту тему, Рабочая группа 29-й статьи при ЕС подготовила Мнение
4/2007 (European Union Article 29 Working Party’s Opinion 4/2007, далее Группа и
Мнение соответственно) о понятии ПД, расширяющее правила его трактования.
Рабочая группа проанализировала по очереди:
1.
типы данных или информации;
2.
отношения между данными и их субъектом;
3.
понятие идентифицируемости субъекта;
4.
субъекты ПД, попадающие под защиту законодательства.
Типы информации
Первым делом Группа проанализировала типы защищаемой информации, и первым
вопросом, которым задалась Группа на этом этапе, был вопрос о том, а должны ли
данные быть зафиксированы или же под защиту закона попадают и произнесенные
данные? Любопытно, что только в Законе о неприкосновенности частной жизни
Австралии от 1988 г.
(Australia’s Privacy Act 1988) и в Законе о преемственности
и подотчётности медицинского страхования США
(United States’ Health Insurance Portability and Accountability Act, далее —
HIPAA) напрямую указывается, что под защиту в том числе попадают и те ПД,
которые не зафиксированы ни на цифровых носителях, ни на бумажных (прим.
пер.:
вероятно, данные на пленках, напр.
фотографии, в эту категорию не попадают) .
Исследование IAPP показало, что большинство стран не уточняют необходимость
фиксации ПД.
Таким образом, законодательство этих стран допускает, что ПД могут
быть произнесены, и дает возможность сторонам интерпретировать, а может даже и
принимать решения по сложным делам самостоятельно.
Это, в свою очередь, дает
возможность ставить под защиту местного законодательства не только
зафиксированные данные, но и более скоротечную информацию.
Таким образом
открываются интересные возможности для юридических маневров, так как законы о
приватности в странах, которые обошли вниманием этот момент, потенциально могут
защищать субъекта ПД от громкого произнесения вслух его имени или иных
идентификаторов.
Какой замечательный способ положить конец вездесущим слухам и
сплетням!
С другой стороны, некоторые законы о
приватности, например, в Гонконге или
Великобритании, защищают только зафиксированные данные.
Кодекс о защите данных,
Сингапур (Model Data Protection Code) и Закон о защите личных сведений детей в
Интернете, США (Children’s Online Privacy Protection Act, COPPA) пошли еще
дальше и распространили свое действие только на цифровые данные или на данные,
собранные через Интернет.
А подлежат ли защите неверные данные о субъекте? Любопытно, что только в
двух государствах – Австралии и Сингапуре – напрямую указывается в определениях
ПД, что законом защищаются как правильные, так и неправильные данные.
Законодательство остальных стран, попавших в исследование, обходит вниманием
этот вопрос в своих определениях ПД.
Значит ли это, что в других странах закон
защищает только правильные данные? Скорее всего нет.
Такой вывод можно сделать
из других положений их законов о приватности, которые обязывают операторов ПД
давать возможность субъектам ПД исправлять любые неверные данные о себе,
особенно в финансовом и кредитном секторах.
Несмотря на то, что определение ПД в
Директиве ЕС о защите данных (European Union Data Protection Directive) также не
регламентирует вопрос о точности данных, в Мнении Группы сообщается о том, что
эта директива распространяется как на верные, так и на неверные данные, а также
на версии этих данных.
Таким образом, даже мелкое упущение в определении ПД
совсем необязательно приводит ее к лишению защиты со стороны закона.
Отношение к субъекту
Переходим к следующему вопросу, который анализировала Группа – вопросу об
отношениях между ПД и их субъектами.
В официальных формулировках ПД, изученных
специалистами IAPP, вырисовываются типовые модели таких отношений.
Законы о
приватности включают в себя такие формулировки как «ссылающийся на»,
«относящийся к», «о», «касающийся» субъекта ПД или человека.
Разница между этими
формулировками невелика, т.к.
они так или иначе устанавливают связь между
данными и их субъектом.
В конце концов, предполагается, что вряд ли есть
необходимость защищать данные, у которых нет субъекта.
Не возникает особых проблем, если между данными и их субъектом имеется
прямая связь, как, например, между именем человека и человеком.
Это утверждение
особенно справедливо, если имя хорошо известно.
Однако
это не означает, что человек обязательно имеет все права на свои ПД.
Обычно,
связь между ПД и их субъектом намного менее очевидна, что может создавать
трудности в применении законов о приватности.
В Мнении Группы сообщается, что вероятно основная работа по установлению
связей между ПД и субъектом ПД сводится к трем элементам – содержанию, задачам и
интерпретации результатов.
Содержание, пожалуй, самый очевидный из этих трех, т.к.
он содержит
информацию о субъекте.
Это может быть его медицинская карта, реквизиты из
договора или трудовая книжка.
Такая информация, по своей сути, относится к
конкретному лицу.
Рассматривая задачи, можно обнаружить, что данные, которые никак не попадают
в категорию ПД, например, детализация корпоративных звонков, могут все же
попадать в эту категорию, если используются для наблюдения за действиями
сотрудника.
В этом случае, Группа рассматривала такие данные как ПД, относящиеся
к сотруднику, делающему звонки, и лицу, которому звонил данный сотрудник.
И, наконец, рассматривая интерпретацию результатов, можно утверждать, что
даже данные, которые не относятся к определенному лицу, т.е.
без элемента
«содержание», и которые не используются для получения информации об определенном
лице, т.е.
даже без элемента «задачи», все равно могут являться ПД,
затрагивающими права и интересы человека.
Например, спутниковая система
навигации, которая используется исключительно в целях обеспечения эффективности
работы диспетчерской службы такси или службы доставки, может содержать ПД, т.к.
данные о местонахождении потенциально могут быть использованы для мониторинга за
поведением и передвижением водителей.
Группа, судя по всему, оставила пространство для маневров при рассмотрении
того, что может являться ПД, чтобы со временем, по мере развития, сузить или
расширить это понятие.
В остальной части данной статьи мы рассмотрим еще
несколько вопросов, которые могут возникнуть при рассмотрении того, что может
попадать под действие законов, защищающих ПД или персональную информацию.
Типы субъектов
Несмотря на то, что типы субъектов ПД, защищаемые законами, указаны в
анализе ЕС четвертыми по списку, мы считаем, что они должны быть на третьем
месте.
В подавляющем большинстве случаев, определение ПД действует только на
физических лиц (людей).
Однако, законы Аргентины, Австрии, Колумбии, Италии и
Швейцарии также распространяют свое действие и на юридические лица, например,
компании, товарищества и другие организационно-правовые формы.
В связи с этим
поднимается целый ряд вопросов.
Означает ли это, что нельзя допускать
идентификацию компаний, и что любая информация, которая позволяет
идентифицировать компанию, должна рассматриваться и обрабатываться как ПД? А
может быть, под такой защитой подразумевается защита коммерческой тайны или
защита конфиденциальности лиц, работающих в компании?
С другой стороны, Австралийская Комиссия по реформе законодательства (Australian
Law Reform Commission) рассматривала возможность распространения действия закона
о конфиденциальности на организации, однако в итоге отвергла эту идею, решив,
что имеющиеся законы, защищающие интеллектуальную собственность и коммерческую
тайну, более эффективно решают вопрос с такой защитой.
Более того, в Канаде, в
Федеральном законе о защите персональных данных и электронных документов (Personal
Information and Electronic Documents Act, PIPEDA) и в Законе о защите
персональных данных Британской Колумбии (British Columbia Personal Information
Protection Act, PIPA) напрямую сказано, что защита закона не распространяется на
рабочую контактную информацию физического лица.
Такое положение действует во все
мире, и, вероятно, это является главной причиной, по которой большинство стран
не стало расширять область применения законов о приватности на юридические лица
в том объеме, в котором они действуют для физических лиц.
1-го марта, 2011 года
Верховный суд США вынес постановление о том, что Закон о свободе информации (Freedom
of Information Act) не распространяется на корпорации.
Однако даже в тех странах, где определение «субъекта ПД» относится только к
людям, некоторые распространяют действие закона исключительно на живых людей
(прим.
пер.: авторы не уточняют, идет ли речь только о рожденных живых людях,
или о нерожденных, т.е.
в утробе, тоже).
И опять же, большинство формулировок
хранят молчание на этот счет.
Законодательство Гонконга, Ирландии, Новой
Зеландии, Швеции и Великобритании уточняют, что только живые люди имеют право на
защиту ПД по закону, а Новая Зеландия еще защищает и ПД, относящиеся к смерти
человека.
В Евросоюзе, Директива о защите данных не требует распространения
действия закона на умерших, хотя отдельным странам ничто не мешает сделать это,
если такое желание возникнет.
Группа выработала свою позицию в отношении ПД
умерших людей, согласно которой ПД умерших людей подлежат защите только в том
случае, если эту информацию можно использовать для идентификации живых людей,
как, например, в случае наследственных заболеваний типа гемофилии.
Опять же, все
это показывает нам насколько разнообразным может быть подход к определению ПД в
рассматриваемых законах, где мы видим, что одни страны предпочитают узкие
формулировки, а другие — широкие.
Идентификация
Последний вопрос, рассмотренный Группой в анализе, касается требования
«идентификации» субъекта данных.
С этой точки зрения наблюдается единодушие
между законодательствами рассматриваемых стран.
Ни один из этих законов не
требует, чтобы лицо действительно было идентифицировано.
Они либо оставляют
оставляют такую возможность, используя термин identifiable (поддающийся
идентификации), или конкретизируют, что данные являются ПД, если по ним можно
идентифицировать субъекта ПД, либо с их помощью субъект ПД поддается
идентификации.
Таким образом, даже малейшая возможность идентификации лица может
быть достаточной для того, чтобы отнести данные к ПД.
В то же время, ни один из этих законов не требует, чтобы субъекта ПД можно
было напрямую идентифицировать по этим данным.
И хотя почти половина официальных
определений ПД ничего не говорят на этот счет, многие все же констатируют, что
возможность даже косвенной идентификации субъекта является достаточной для того,
чтобы их защищать.
Это, по сути, означает, что данные, находящиеся в чьем-либо
распоряжении, даже если они никого не идентифицируют, подлежат обращению как с
ПД ровно до тех пор, пока они в сочетании с другой доступной информацией могут
использоваться для идентификации их субъекта.
Стоит понимать, что определение
того, насколько субъект ПД поддается идентификации может сильно зависеть от
текущих обстоятельств, и то, что не поддается идентификации сегодня, может ей
поддаваться уже через несколько лет, что может в свою очередь перевести такие
данные в категорию ПД.
В качестве примера, предложенного Группой, приводится газетная статья о
преступлении, которая раскрывает определенные подробности преступления, но не
называет ничьих имен.
Поскольку имеется общедоступная информация, будь то
информация из судебных протоколов, или статьи из других газет, имеется
возможность установить личности задействованных лиц.
Таким образом, по мнению
Группы, даже если статья не указывает данные участников, то все равно будет
считаться, что в ней содержатся ПД.
В то же время, американское законодательство
в целом пришло к другой практике, т.к.
лицу, которое в американских новостях
назвали возможным подозреваемым в преступлении, обычно не остается ничего иного,
кроме как инициировать судебное разбирательство за клевету.
Тем не менее, положение об ответственности за упоминание о причастности
может стать серьезной головной болью в правоприменении законов о приватности.
Эта область наиболее уязвима перед развитием технологий, т.к.
она сильно
привязана к текущим официальным формулировкам.
Повторная идентификация (установление личности субъекта по обезличенным ПД)
Отвечая на требования законодательства, накладывающего больший объем
обязательств на операторов ПД, в последние годы возникла практика удаления части
информации при выводе ПД.
Это делается для того, чтобы анонимизировать или
обезличить данные так, чтобы их можно было бы обрабатывать как «неперсональные
данные».
Такая практика существенно упрощает соблюдение действующего
законодательства, которое обычно требует значительно более низкий уровень защиты
для «неперсональных данных».
Например, Закон США о конфиденциальности личной
информации (Privacy Rule), который вводит в действие HIPAA, определяет 18
различных категорий идентификаторов, которые должны быть удалены в целях
обезличивания медицинских данных.
Тем не менее, особо настойчивые исследователи
в последние несколько лет многократно публично продемонстрировали возможность
повторной идентификации казалось бы обезличенных данных.
В одной из таких демонстраций, проведенной г-жой Латанья Суини (LaTanya
Sweeney) из США, шт.
Массачусетс, ею были идентифицированы медицинские данные
губернатора Вильяма Вэлда (William Weld), причем она использовала только
официально опубликованный обезличенный набор данных и список зарегистрированных
участников голосования.
Совсем недавно, компания Netflix посчитала необходимым
отменить второй конкурс Netflix Contest после того, как исследователи смогли
идентифицировать по обезличенным данным некоторых зрителей первого конкурса
Netflix Contest, во время которого компания предложила 1 миллион долларов любому
исследователю, который предложит лучшее решение по оптимизации работы их модуля
генерации рекомендуемых фильмов, исходя из комментариев зрителей на сайте The
Internet Movie Database.
Среди характеристик, по которым были идентифицированы
пользователи, были их политические взгляды и, в некоторых случаях, сексуальная
ориентация.
Эти эпизоды наглядно показывают, что процесс обезличивания может быть не так
прост, как может показаться на первый взгляд.
Операторы ПД, которые занимаются
обезличиванием ПД, знают, что нужно сильно постараться, чтобы по-настоящему их
обезличить.
На сегодняшний день никто не знает, где находится грань между
обезличенными и
персональными данными, т.к.
исследователи, в распоряжении
которых имеется достаточно ресурсов, при наличии хорошей мотивации неизбежно
будут иметь множество инструментов для повторной идентификации нужных данных.
Более того, здесь речь идет скорее о предсказуемости не того, что данные будут
повторно идентифицированы, а того, что найдется достаточно изобретательный или
талантливый исследователь, который сможет их повторно идентифицировать.
Заметьте, что инструменты, которые были в руках у исследователей – список
участников голосования и онлайновые
базы данных — отнюдь не секретные, более
того — это публичная информация, которую, вероятно, никто и никогда не
рассматривал как инструмент для повторной идентификации, являющийся источником
рисков.
Более того, профессор Пол Ом (Paul Ohm) рискнул заявить, что «данные могут
быть либо полезными, либо идеально обезличенными, третьего не дано».
Время
покажет, было ли провокационное высказывание профессора справедливым или нет,
однако оно уже сейчас отлично отражает сложности обезличивания ПД.
IP-адреса
В последнее время жаркие дебаты разгораются по поводу того, можно ли отнести
IP-адрес компьютера пользователя к ПД.
На данный момент законодательная база для
этого еще не сформировалась, и ситуация усугубляется тем, что при рассмотрении
дел регуляторы и суды приходят к отличным друг от друга решениям.
Согласно законодательству Евросоюза, динамические IP-адреса считаются ПД.
Несмотря на то, что динамический IP-адрес часто меняется и его нельзя
использовать напрямую для идентификации человека, Группа пришла к мнению, что
при преследовании нарушителей прав интеллектуальной собственности владелец
авторского права может, зная этот адрес и применив «благоразумные меры»,
идентифицировать личность пользователя.
Совсем недавно, другие органы Евросоюза,
регулирующие вопросы приватности, пришли к такому же выводу и в отношении
статических IP-адресов, учитывая, что они могут быть использованы для
отслеживания и последующей идентификации человека.
Это резко контрастирует с правоприменительной практикой в США при соблюдении
законов типа COPPA.
Еще десять лет назад, Федеральная торговая комиссия
рассматривала возможность отнести статические IP-адреса к ПД, но в конечном
итоге отклонила эту идею из тех соображений, что положительное решение привело
бы к необоснованному расширению сферы применения закона.
В последние годы,
однако, специалисты Федеральной торговой комиссии начали выдвигать предложения о
том, чтобы отнести IP-адреса к категории ПД, по большей части по тем же
причинам, что и их европейские коллеги.
Более того, в последнем своем
постановлении, Федеральная торговая комиссия включила «IP-адрес (или иной
статичный идентификатор)» в определение «защищаемых ПД».
HIPAA, согласно Закону
о конфиденциальности личной информации, рассматривает IP-адрес как элемент
«защищаемых данных о состоянии здоровья», и указывает его в списке типов данных,
которые необходимо удалять в целях их обезличивания.
Однако суды на это идут неохотно.
Например, в апреле 2010 года Верховный суд
Ирландии постановил, что IP-адрес не относится к «персональным данным», если
сбор адресов выполняется звукозаписывающими компаниями с целью выявления
нарушителей авторских прав.
Далее, федеральный окружной суд штата Вашингтон,
США, также установил, что IP-адрес не относится к ПД, т.к.
он идентифицирует
компьютер, а не субъекта ПД.
Таким образом,
законы пока еще далеки от
статуса-кво, а это значит, что юристам следует внимательнее наблюдать за
развитием ситуации.
Сбор цифровых отпечатков устройства
В последнее время появилась новая методика идентификации
интернет-пользователей – идентификация по цифровым отпечаткам пользовательских
устройств или, в контексте Интернета, по отпечаткам браузеров.
В основу этой
методики положено знание специфических особенностей конфигурации браузера,
например, типа браузера, используемых шрифтов и т.п.
Часто бывает, что
определенная комбинация таких особенностей на отдельном компьютере уникальна для
какого-то конкретного пользователя.
(В этом плане хорошая работа была проведена
обществом защиты авторских прав Electronic Freedom Foundation).
В таком способе
«слежения» за пользователем для организации интересно то, что на
пользовательский компьютер не передаются ни куки, ни какой-либо иной код.
Слежка
ведется удаленно с использованием только той служебной информации, которая
передается браузером на сайт.
К слову сказать, имя пользователя не раскрывается,
однако сочетание его устройств довольно уникально и поддается отслеживанию.
Технологии сбора цифровых отпечатков несколько лет назад даже не существовало.
Вопрос состоит в том, что могут ли с юридической точки зрения и в целях
регулирования защиты ПД такие цифровые отпечатки пользовательских браузеров
рассматриваться как ПД уже сейчас или в обозримом будущем?
Интеллектуальные сети (Smart Grid)
В последние годы подобные вопросы возникают и в рамках концепции
«интеллектуальных сетей».
Как только коммунальные службы научились наблюдать за
использованием определенных приборов и устройств в отдельно взятых домах, вопрос
идентификации моделей поведения в использовании этих приборов и устройств стал
лишь вопросом времени.
Энергетические компании могут предоставлять некоторые
льготы на использование определенных устройств в часы невысокой нагрузки на
электросеть, а у маркетологов может возникнуть живой интерес к тому, какие
потребители чаще всего пользуются, например,
микроволновкой.
Коммунальные службы
несомненно будут иметь возможность сопоставлять определенные модели потребления
с отдельными потребителями, но остается вопрос о том, насколько использование
интеллектуальных сетей может быть учтено в определениях ПД.
Вопросы на будущее
Все эти технологии повторной идентификации и слежения по IP-адресам,
цифровым отпечаткам и через интеллектуальные сети – яркие примеры того,
насколько новые технологии могут заставить изменить свои взгляды на данные,
которые ранее считались не персональными.
Есть и другие вопросы, например,
распространении действия законов о приватности на фотографирование, особенно в
отношении к службе Google’s Street View, а также к информации о географическом
местонахождении, полученной с мобильных устройств нового поколения.
Ни для
одного из этих случаев в законодательстве не менялась формулировка; и в каждом
из этих случаев на новую технологию пытались «натянуть» установленную
официальную формулировку.
Таким образом, можно сказать, что процесс повторной
идентификации может заставить переопределить ПД.
Есть ли пределы того, насколько новейшие технологии могут переопределить ПД?
Насколько далеко должен заходить исследователь при повторной идентификации, или,
если посмотреть с другой стороны, есть ли какие-нибудь разумные пределы, до
которых должна доходить организация при обезличивании данных? А может проблема
заключается в том, что люди не могут ни представить, ни предсказать, насколько
далеко может зайти исследователь при повторной идентификации данных?
Действующие законы не игнорируют эту проблему, но и не решают ее.
В законах
часто прописываются ограничения возможностей косвенной идентификации, но разные
законы на эти возможности смотрят по разному.
Например, Постановление о защите
персональных данных, Гонконг (Personal Data Protection Ordinance) и Закон о
защите персональных данных, Польша (Act on the Protection of Personal Data)
устанавливают, что данные не подлежат защите, если косвенная идентификация
невозможна или ее проведение связано с необоснованно высокими финансовыми,
временными или трудовыми затратами, соответственно.
Очевидно, что возможность и
обоснованность – понятия неопределенные.
Опять же, Группа рекомендует в рамках
Евросоюза для этих целей опираться на анализ соотношения затрат и выгод.
Соответственно, для обоснования недостаточно малой, но гипотетически возможной
идентификации — необходимо учитывать стоимость проведения исследования,
ожидаемые выгоды от идентификации субъекта и заинтересованности в определении
возможности идентификации субъекта.
Однако даже при этом, многие вопросы остаются еще без ответа.
Подсчет затрат
и выгод будет меняться по мере возникновения новых технологических решений по
комбинированию данных или по мере повышения уровня изобретательности
исследователей.
Помните, что г-же Суини понадобился только список
зарегистрированных участников голосования, чтобы идентифицировать медицинские
данные г-на губернатора Вэлда, что явно было не предусмотрено властями штата
Массачусетс, хотя, оглядываясь назад, особого чуда в этом не было.
Так насколько
же возможна идентификация по цифровым отпечаткам сейчас или насколько она будет
возможна через пару лет?
Заключение
В связи с тем, что официальные формулировки похожи, но применяются во всем
мире по разному, вызывает на практике много проблем.
Любая компания, которая
осуществляет свою деятельность более чем в одной стране, постоянно сталкивается
с проблемами понимания и соответствия юридическим понятиям, которые в разных
странах применяются по разному.
После того, как компания поняла разницу в
понятиях, ей нужно соответствовать правилам, которыми руководствуются в этой
стране.
А затем, регулярно, по мере развития технологий эти понятия ПД и входящие в
них типы данных будут меняться, оттачиваться, уточняться и пересматриваться.
Существует весьма большая вероятность, что двигателем всех этих
«переопределений» будет развитие
технологий.
Это значит, что даже там, где официальные формулировки, по мнению законодателей,
четко определены, развитие технологий может, по факту, «дополнять» их без
всякого вмешательства со стороны законодателей.
Мы считаем, что есть смысл
продолжать наблюдение за развитием такого «размытия границ».
Специалисты IAPP выражают надежду на то, что краткое изложение законов в
настоящей статье, окажется полезным для будущих обсуждений.
Источник: Tran.SU -
https://tran.su/PII/
Опубликовано:
27.06.2013
|
|