11.07.2009

Живой труп или обыкновенное чудо?

Несложно догадаться, что если ИБшник произносит оксимороны, то речь будет об обезличенных персданных - ребята туда подбираются незамысловатые, особой фантазии или способности к нелинейным умопостроениям лишенные, потому и честные. О них и будет, обломайтесь ожидавшие неожиданного.

Прежде всего, обезличенные персданные в отечественной нормативной базе есть. Определения термина нет, а употребление - будьте-нате. Что никого особо не удивляет. А определение есть, как известно, у обезличивания персданных.

Так вот, обезличенные персданные - это персданные, подвергшиеся обезличиванию. То же, что не было персданными, не является обезличенными персданными.
Москва - не ОПДн. Москва, получившаяся при обезличивании ПДн ("за столом были уроженцы Москвы, Липецка и еще каких-то городов") - ОПДн.

Иногда эту разницу лучше скрывать, выдавая ОПДн за вообще ни разу не ПДн (ВНРНПДн), если это более выгодно. Но она все-таки есть, как и всякий заправский суслик.

12 комментариев:

swan комментирует...

Приветствую, коллега !!!
Всегда поражался Вашей манерой излагать мысли !!! Слава Богу он делает нас немного разными ;-)

Если по делу - соглашусь с формулировкой "обезличенные персданные - это персданные, подвергшиеся обезличиванию".

Пытаюсь сформулировать то состояние при котором данные считаются обезличенными.

На мой взгляд необходимо понимать что процесс обезличивания проходит по некоему алгоритму.
В таком случае данные обезличены, если нет алгоритма, позволяющего превратить их обратно в ПДн.

И тут всплывают дополнения...
1. - алгоритм обезличивания должен выполняться в рамках одной ИСПДн ?
2. - если в рамках той же ИСПДн нет алгоритма обратного превращения ОПДн в ПДн то кажется что ПДн становятся ОПДн необратимо. Но может есть алгоритм в другой системе на основе который может восстановить ПДн с использованием дополнительных данных?

пара примеров...

1. Есть некая ИСПДн в которой есть 2 базы данных. В одной БД ФИО во второй связанные с ними ПДн(счета банковские например)

Проводится обезличивание путем удаления первой БД - вторая БД считается обезличенной...

При этом два вопроса...
1 - можно ли восстановить ПДн если есть еще где то(за рамками первой ИСПДн) копия БД с ФИО? - МОЖНО!!!

2 - что значит УДАЛИТЬ первую БД - если гарантированного уничтожения НЕТ !!! (См. блог Царева и vazone.ru)

Главный вопрос:
- возможно ли собрав кучки ОБЕЗЛИЧЕННЫХ ПДн получить ПДн ?

toparenko комментирует...

swan пишет... можно ли восстановить ПДн если есть еще где то(за рамками первой ИСПДн) копия БД с ФИО?

Для примера см. первый кейс на http://forum.razved.info/index.php?t=17

swan пишет... Главный вопрос:
- возможно ли собрав кучки ОБЕЗЛИЧЕННЫХ ПДн получить ПДн ?

В отдельных ситуациях возможно. Весь вопрос в том объеме ОПДн, который Вам доступен и который Вы можете обработать

swan комментирует...

Таким образом можно утверждать ??? что ОПДн считаются обезличенными только в рамках конкретной ИСПДн.

При этом чтобы передать ОПДн в другую ИСПДн нужно убедиться что в этой другой ИСПДн данные не перестанут быть обезличенными...

:-))

Ригель комментирует...

Навскидку я бы сказал, что обезличивание можно считать состоявшимся, если ОПДн + знание алгоритма и ключа (если был) не дают восстановить ПДн, а возможность решения этой задачи с привлечением других ПДн и ОПДн - не критерий.
Но не уверен. Надо подумать, чтобы ответственно утверждать.

И еще кажется, что лучше осмысливать пример без ИС - она мешает только (в криптуху заносит).

swan комментирует...

Давайте придумаем 3 примера обезличивания... хотя 3 не получается почему то все сводится к одному:
итак в БД есть ПДн:
_Иванов Иван Иванович_ - _пасорт № ААА_, _адрес БББ_.

Давайте "обезличим"... в результате в БД остается:
_***_ - _пасорт № ***_, _адрес ***_.

Ура я обезличил нормально !!! Ваши варианты ???

swan комментирует...

Не смешно - зато про войну...

Это я все к тому, что ПДн либо есть либо НЕТ.

Процесс обезличивания - это процесс удаления ПДн.

Можно еще поиграться со сложными ПДн состоящими из "длинных предложений" но и тут неполучается...

Ригель комментирует...

> ПДн либо есть либо НЕТ

Натюрлих!
либо живой / либо труп
либо обыкновенное / либо чудо

swan комментирует...

Ессссно ;-)

toparenko комментирует...

swan пишет...
итак в БД есть ПДн:
_Иванов Иван Иванович_ - _паспорт № ААА_, _адрес БББ_.

swan пишет... Давайте "обезличим"... в результате в БД остается:
_***_ - _паспорт № ***_, _адрес ***_.

Здесь уже не обезличивание, а уничтожение

swan пишет... Ваши варианты ???

1. _***_ - _паспорт № ААА_, _***_.
Обезличенные ПДн
2. _***_ - _***_, _адрес БББ_.
Общедоступные данные, не ПДн.
3. Мужщина (доп. информация), проживающий по адресу _адрес БББ_ по стостоянию на дд.мм.гггг.
М.б. обезличенные, а может и необезличенные ПДн (в зависимости сколько мужщин проживает по данному адресу).

swan комментирует...

Александр, тут же вспомнил "мужчина похожий на генерального прокурора..."...

обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Вот я беру номер паспорта из 2 примера, и узнаю ФИО в другой БД...

swan комментирует...

Забыл добавить...
Если мы обезличивали - то типа там ПДн уже нет... Это по аналогии:
Было молоко - стало масло...
Масло называем маслом - логично ?

Почему мы с ПДн пишем:
Масло - это не масло... это долго взбиваемое молоко до степени когда это уже не молоко а некая субстанция жирная и вкусная...

swan комментирует...

Забыл добавить...
Если мы обезличивали - то типа там ПДн уже нет... Это по аналогии:
Было молоко - стало масло...
Масло называем маслом - логично ?

Почему мы с ПДн пишем:
Масло - это не масло... это долго взбиваемое молоко до степени когда это уже не молоко а некая субстанция жирная и вкусная...

Отправить комментарий