20 апр. 2021 г.

Принципы приватности

Сформулировал некоторые принципы об обеспечении приватности и изменении закона 152-ФЗ «О персональных данных», в развитие прошлых постов (ссылки в конце поста).

Архитектурные принципы:

  1. Не подлежат сокрытию «общегражданские данные»: уникальный идентификатор, фото, ФИО, дата рождения, город проживания (районный центр для небольших населенных пунктов). Эти данные нужны для обеспечения гражданской ответственности как идентификационный признак и традиционно известны многим по реальной жизни. Но подлежит особой защите надежность и достоверность этих данных как основа всех иных персональных данных.
  2. Существует открытый общедоступный государственный сервис подтверждения идентификации персоны. В этом качестве может быть использован, например, ЕБС.
  3. Государство в лице госпочты и МВД гарантирует доставку официальных обращений любому и каждому, находящемуся на территории России. При наличии соответствующих международных соглашений— также и за рубежом. Это исключает необходимость детализации в гражданско-правовых отношениях любых иных персональных данных, кроме общегражданских и представляющих предмет этих отношений.
  4. Каждый сервис, в том числе для реализации государственных услуг, включает только те данные, без которых он невозможен. Дополнительные возможности сервиса на основании обработки дополнительных данных рассматриваются как отдельный сервис, требующий интегральной выборки данных с базовым сервисом.
  5. Каждый сервис, в том числе для реализации государственных услуг, имеет собственную уникальную идентификацию в цифровом формате, который сохраняется на стороне клиента для автоматизации каждого нового доступа. Для интеграции данных из разных сервисов нужно иметь таблицы соответствия идентификаторов разных баз, которые есть у владельца данных и у уполномоченных государственных регуляторов в рамках их компетенций. Доступ к каждому сервису пользователь хранит в зашифрованной базе данных на личных устройствах (можно задачи доступа реализовать в логике работы «цифрового ангела» либо иметь на нем резервную копию данных авторизации, находящихся на личном мобильном устройстве).
  6. На основании идентификации для каждой сессии генерируется уникальный токен. Любые транзакции осуществляются обезличенно только по уникальному токену. Это позволяет в большинстве случаев открыто передавать обезличенные данные с уникальным для сессии токеном, и тем самым создать удобные условия для общедоступного статистического анализа.
  7. Права доступа к каждому полю баз данных регулируются отдельно. Это позволяет избежать несанкционированной выборки данных, кроме допустимых для каждой регулируемой роли.

Принципы обработки:

  1. Интеграция данных из разных баз, как правило, запрещена. Осуществляется при наличии явно выраженного запроса от дееспособного владельца данных либо его ответственного представителя на законных основаниях. Выборки с интегрированными данными должны надежно уничтожаться оператором, исключая возможность несанкционированной повторной выборки, сразу после передачи заказчику.
  2. Обработка интегральных данных без запроса владельца данных возможна для ситуаций предотвращения угроз жизни или здоровью людей, чьи данные собираются. Помимо владельца данных, возможны запросы на обработку интегральных данных при следственных действиях и для решения иных задач, непосредственно предусмотренных законом.
  3. Недопустимо требовать от пользователя согласия на избыточные выборки как условие использования сервиса. Недопустим отказ в реализации части доступных функций под предлогом отказа пользователя от запроса на иные виды обработки данных.
  4. Владение несколькими сервисами не дает права делать агрегированные выборки или синхронизацию данных между ними без явно выраженного желания пользователя.
  5. Работа любых сервисов, прежде всего социальных сетей, должна быть ограничена правом владельца сервиса обрабатывать хранимые там данные.
  6. Владелец сервиса может выступать посредником для адресной доставки рекламы или иной информации на основании совпадения ключевых признаков, в том числе на основании интеллектуальной машинной обработки. Но он не вправе передавать идентификационные данные и обеспечивать доступ сторонним сервисам для сборки данных на основании их отношения к идентифицированным пользователям, даже если сам идентификатор обезличивается.
  7. Все акты обращения к данным должны протоколироваться и предоставляться владельцу данных виде, удобном для хранения и анализа. Могут временно защищаться от владельца факты доступа к его данным для скрытных следственных действий на основании санкции уполномоченных органов.

В развитие ранее опубликованных постов о цифровом паспорте и о «цифровом ангеле». В конце этих постов есть ссылки в их развитие. В том числе, на этот пост.

Комментариев нет: