ГОСТ Р 55036—2012/ISO/TS 25237:2008
5.1.3 Неразглашение информации о субъектах
В качестве отправной точки концептуальная модель использует обеспечение конфиденциальности
персональныхданных, но понятие «субъектданных» не исчерпывается физическими лицами и может озна
чать любую другую сущность, например, организацию, устройство или прикладную программу. Однако
полезно сфокусировать модель нафизических лицах, посколькуобеспечение конфиденциальности персо
нальных данных регулируется законодательно и неразглашение информации прежде всего относится к
персональным данным. В законодательстве о персональныхданных содержится описание некоторых по
нятий. используемых вданной модели. В контексте здравоохранения обеспечение конфиденциальности
персональных данных гораздо сложнее общих подходов к неразглашению информации, например об
устройствах, поскольку для идентификации лица потенциально могут использоваться сведения о его
фенотипе.
5.1.4 Сравнение персональных и до-идентифицированных данных
5.1.4.1 Определение персональных данных
В соответствии с Директивой о защите персональных данных Европейского парламента и Совета
Европейского союза от 24 октября 1995 года (директива 95/46УЕС) [7] под «персональными данными» дол
жна пониматься любая информация, относящаяся к идентифицированному или идентифицируемому физи
ческому лицу («субъектуданных»): при этом идентифицируемым считается лицо, которое может быть пря
мо или косвенно идентифицировано, в частности по номеру, идентифицирующему его. или по одному или
нескольких факторам, специфичнымдля егофизической, физиологической, психологической, экономичес
кой, культурной или социальной идентичности.
Это понятие используется и в законодательстве других стран, относящемся к тем же субъектам, что
указаны в приведенном выше определении (например, в Законе HIPAA).
5.1.4.2 Идеализированная концепция идентификации и де-идентификации
В настоящем подпункте описана идеализированная концепция идентификации и де-идентификации.
Она предполагает, что вне модели нет никаких данных, которые, к примеру, могли бы быть связаны с
данными в составе модели, чтобы обеспечить (косвенную) идентификацию субъектов данных. В 5.1.5
при няты во внимание потенциальные источники информации, внешние поотношению к модели. Это
необходи модля обсуждения угроз восстановления идентичности. При представлении функциональной
архитектуры в проектах, описывающих информационные и коммуникационные технологии, никогда не
изображаются данные. 14виспользуемые в модели. Но если моделируется идентификация субъектов, то
критики модели апеллируют к информации, которая может бытьдобыта злоумышленником для
идентификации субъектов данных или получения более точных сведений о них (например о
принадлежности к определенной группе).
Как показано на рисунке 1. субъекты данных имеют ряд характеристик (например, фамилию, дату
рождения, медицинскиеданные), которые хранятся в базеданных медицинской информационной системы
(МИС) и являются персональными данными этих субъектов. Субъектданных идентифицируется всовокуп
ности субъектов, если его можно однозначно выделить среди них. Это означает, что может быть найдена
совокупность характеристик субъекта данных, по которой он может быть однозначно идентифицирован. В
некоторых случаях для этого достаточно единственной характеристики (к примеру, уникального националь
ного идентификатора субъекта). В других случаяхдля идентификации субъекта необходимо использовать
несколько характеристик, например адрес, по которому он проживает с семьей, если такой адрес известен.
Некоторые характеристики субъекта данных (например, дата и место рождения) более постоянны, чем
другие (например адрес электронной почты).
Совецтмоеп»субъмпмдш«ыхСововугшостън р м трисшк
Рисунок 1— Идентификация субъектов данных
6