Обработка и защита персональных данных в России
2024
В России создают стандарт безопасной работы с обезличенными персональными данными
В России ведется активная работа по созданию стандарта, регулирующего безопасное использование обезличенных персональных данных. Об этом стало известно в сентябре 2024 года. Этот шаг направлен на снижение рисков, связанных с возможностью восстановления исходной информации и установления личности субъекта данных.
Ассоциация больших данных (АБД), в которую входят крупнейшие российские компании, такие как «Сбер», «Яндекс» и VK, представила свои предложения по разработке таких стандартов Федеральной службе по техническому и экспортному контролю (ФСТЭК) России. Как пишет «Коммерсантъ», обсуждаемые инициативы касаются не только разработки национального стандарта конфиденциальности данных, но и создания механизмов для предотвращения рисков деобезличивания — процесса, при котором персональная информация может быть восстановлена из обезличенного набора данных. В отчете профильного комитета по защите информации ФСТЭК за август 2024 года подчеркивается, что АБД предложила закрепить технологии обработки и обмена данными, а также уточнить подходы к оценке рисков повторной идентификации. В частности, риски могут возникать при сопоставлении данных, их связывании с уникальными характеристиками пользователя.
Закон, вступивший в силу 8 августа 2024 года, регулирует порядок обезличивания персональных данных, их обработку и передачу в государственные информационные системы. Согласно этому закону, операторы данных обязаны обезличивать их по требованию министерства цифрового развития, связи и массовых коммуникаций (Минцифры). Обезличенные данные должны использоваться для повышения эффективности государственного управления, что позволит принимать более точные решения без угрозы раскрытия личности гражданина.[1]
Фото москвичей и их голоса с камер видеонаблюдения будут собирать и обрабатывать в обезличенном виде для развития ГИС и искусственного интеллекта
30 июля 2024 года Госдума РФ приняла законопроект, в соответствии с которым фотографии москвичей и их голоса с камер видеонаблюдения начнут собирать и обрабатывать в обезличенном виде. Эти массивы данных, как ожидается, помогут в развитии технологий, в частности, интеллектуальных систем. Подробнее здесь.
В России принят закон о порядке обработки обезличенных персональных данных
30 июля 2024 года Госдума РФ приняла закон о совершенствовании механизма обработки персональных данных, полученных в результате обезличивания. Инициатива направлена на развитие технологий, включая системы искусственного интеллекта.
Документ предполагает обеспечение доступа разработчиков к данным россиян при реализации различных проектов. Подчеркивается, что этот процесс исключает возможность установления личности: «никто — ни государство, ни бизнес — не сможет узнать конкретные сведения о человеке». Доступ к обезличенным наборам данных будет осуществляться исключительно в рамках закрытого контура государственной информационной системы. Такой подход обеспечит возможность обучения моделей ИИ при одновременном выполнении требований по сохранности данных.
Формирование наборов информации будет осуществляться исключительно под конкретные задачи, которые определит правительство РФ. Иностранные граждане и российские юрлица с преимущественным иностранным участием, а также лица с неснятой судимостью, причастные к экстремистской или террористической деятельности получить доступ к сформированным массивам сведений не смогут.Обзор российского рынка банковской цифровизации: импортозамещение, искусственный интеллект и собственные экосистемы
Законом также определен запрет на обработку составов данных, если «результат такой обработки может повлечь причинение вреда жизни, здоровью людей, оскорбление нравственности, нарушение прав и законных интересов граждан и организаций, причинение вреда (ущерба) окружающей среде, обороне страны и безопасности государства, объектам культурного наследия, иным охраняемым законом ценностям». Кроме того, не допускается предоставление результатов обработки составов данных иностранным лицам и зарубежным организациям. Все дата-сеты будут соответствовать определенным требованиям, а уполномоченный орган вправе ограничить доступ к ним в случае нарушений.[2]
Законопроект об обезличенных данных одобрен в ИТ-комитете Госдумы, но продолжает сталкиваться с критикой
29 июля 2024 года по итогам расширенного заседания ИТ-комитет Госдумы рекомендовал депутатам принять во втором чтении законопроект, регламентирующий обезличивание персональных данных и их последующее использование. Документ был значительно доработан вместе с профильным комитетом и бизнесом. По задумке авторов, бизнес будет бесплатно передавать обрабатываемые им персданные в госинформсистему, которая должна быть специально создана. Ожидается, что обезличенные данные помогут в развитии технологий, включая технологии ИИ.
Глава ИТ-комитета Госдумы Александр Хинштейн на расширенном заседании сообщил, что в ходе доработки на законопроект поступило 10 поправок, и все они рекомендованы к принятию. В их числе следующее: должны быть установлены особенности обработки персданных, полученных в результате обезличивания, при формировании состава таких данных и предоставлении доступа к ним; установление порядка формирования составов персданных, полученных в результате их обезличивания, сгруппированных по определённому признаку, при условии, что последующая их обработка не позволит определить принадлежность конкретному человеку.
Также вводится прямой запрет на формирование составов персданных из специальных категорий и биометрических персданных.
Кроме того, определено, что правительство РФ по согласованию с ФСБ установит требования к обезличиванию персданных и порядок их передачи, который будет единый для всех. Вводится и положение, согласно которому оператор персданных обязан по требованию Минцифры обезличить обрабатываемые персданные по методике, согласованной с ФСБ, и предоставить их в специальную госинформсистему, куда будут стекаться обезличенные персданные.
Минцифры, в свою очередь, обязано обеспечить конфиденциальность персданных, поступивших от операторов персданных. За пределы этой госинформсистемы массив данных не должен попадать, работа с данными может вестись только внутри неё. По словам Александра Хинштейна, это принципиальная позиция, из-за которой было поломано много «копьев» – которую долго обсуждали и изучали. Предусматривается, что запись, извлечение, передача данных из госинформсистемы не допускается.
В связи с этим вводятся особые требования к пользователям этой госинформсистемы, которые получат доступ к обезличенным массивам данных. Среди требований – пользователи не могут быть иностранцами, лицами с неснятой судимостью и т.д. Отдельным законом прописывается региональная госинформсистема, которая будет действовать на территории Москвы, учитывая, что здесь действует особый экспериментальный закон о цифровых песочницах.
Министр цифрового развития, связи и массовых коммуникаций Максут Шадаев на заседании в Госдуме 29 июля отметил, что одним из беницифиаров создания такой системы является государство, так как госуправление должно осуществляться не на таблицах, а на первичных данных. Поэтому государство осуществляет полномочия – определяет случаи, когда бизнес такие данные будет предоставлять в эту большую госинформсистему.
В текущей конструкции можно начинать двигаться, а дальше её доуточнять по мере получения правоприменительной практики, – заключил Максут Шадаев. |
Вместе с тем, несмотря на многочисленные доработки, законопроект продолжает сталкиваться с критикой. Так, к примеру, Игорь Ашманов, член Совета при президенте РФ по развитию гражданского общества и правам человека, указывает на то, что обезличивание – «во многом это миф». Сейчас обогащение данных позволяет «размотать обратно» обезличенные данные, особенно если на стороне бизнеса уже есть огромные цифровые профили граждан, которые позволяют по уникальным признакам восстановить связь.
Законопроект полезный и хорошо структурированный, но он в некотором смысле уступка бизнесу, которому хочется иметь датасеты. Для развития ИИ в нашей стране персданные не нужны вообще, полагает Игорь Ашманов. Это нарратив большого бизнеса, который хочет монетизировать персданные граждан и улучшить свои рекомендательные системы.
Для ИИ, который для нас ключевой – оборона, медицина, правоприменение, промышленность – нам нужны большие данные, но это не персональные данные граждан, – отметил он. – В чувствительных областях – медицина и безопасность – персональные данные нужны, но ими должны управлять не бизнесы, а люди в погонах. |
На заседании в Госдуме, в частности, директор по стратегическим проектам Ассоциации больших данных Ирина Левова отметила, что у их организации, представляющей крупный бизнес, были концептуальные замечания к версии этого законопроекта, подготовленной ко 2-му чтению в Госдуме: в ассоциации полагают, что предложенная редакция бесполезна для развития проектов в области ИИ. Кроме того, есть неясность организационно-технической механики реализации предлагаемых изменений.
Основной вопрос у отрасли – что именно будет в требованиях, которых по законопроекту насчитывается более двадцати: какие требования к обезличиванию будут установлены, какие требования будут к каналам передачи данных в госинформсистему, чья это система, какие у неё технические характеристики, какие планируются требования к датасетам и т.д.
Всё это необходимо уточнить, чтобы понять, во сколько это обойдётся государству и отрасли, потому что бывают ситуации, когда требуется дозакупать какое-то оборудование, возможно, какое-то ПО для обезличивания данных, отметила Ирина Левова.
Принятие этого законопроекта повлечёт необходимость в множестве других подзаконных актов, и есть процедуры, позволяющие бизнесу участвовать в их обсуждении, отметил Максут Шадаев. При этом стандарт для госинформсистем уже жёстко задан, к ним предъявляется масса требований, включая требования по безопасности. А в части законопроекта об обезличенных данных «половина актов» должна выпускаться по согласованию с ФСБ, включая методику обезличивания, порядок взаимодействия, требования к пользователям, которые получат доступ к данным, добавил министр.
Замначальника Управления президента РФ по развитию ИКТ и инфраструктуры связи Эльдар Гайфутдинов подчеркнул, что законопроект – это правовая основа для разработчиков, и он должен стать отправной точкой для формирования экономики данных.
Минцифры РФ вводит механизм госрегулирования сбора и предоставления доступа к обезличенной информации
В конце июня 2024 года стало известно о том, что Минцифры РФ разработало новую версию законопроекта об обезличенных данных — сведениях, принадлежность которых конкретному субъекту невозможно определить без дополнительной информации. Предполагается, что регулирование процесса сбора данных и предоставления доступа к ним будет осуществлять государство.
Инициатива предполагает создание государственной информационной системы (ГИС), куда бизнес будет бесплатно передавать персональные данные своих клиентов и сотрудников. Законопроект, как утверждается, направлен на «обеспечение благоприятных правовых условий для сбора, хранения и обработки данных с использованием новых технологий», в части установления порядка обезличивания персональной информации и получения согласия на ее обработку. Предполагается, что вводимые требования будут способствовать уменьшению объема оборота обрабатываемых персональных данных и повышению их защищенности.
Новая версия законопроекта, как сообщает Forbes, предусматривает, что устанавливать требования к пакетам данных и срокам их предоставления в ГИС будет правительство РФ. Кроме того, власти будут определять, кто и на каких условиях — бесплатно или на платной основе — будет получать доступ к этим наборам данных.
Фактически документ предполагает, что коммерческие компании смогут обмениваться обезличенными данными только через «госозеро». Как отмечает преподаватель образовательной платформы Moscow Digital School Александра Орехович, суть нового законопроекта сводится к тому, что все компании без исключения обязаны по запросу Минцифры передать массивы персональных данных. При этом у самого человека нет никакой возможности повлиять на передачу своих персональных сведений, а также отозвать их из системы.
Это могут быть любые данные. По идее, компания обязана их обезличить, но если не может, то будет передавать Минцифры необезличенные персональные данные. При этом самого обладателя такой информации, собственно субъекта, никто не спрашивает, никто не обязан информировать его о факте передачи, — говорит Орехович.[3] |
Роскомнадзор обезличит данные о блокировке сайтов
2 февраля 2024 года Роскомнадзор обнародовал приказ об изменениях в правилах работы информационной системы, через которую операторы получают данные о заблокированных сайтах. Ведомство предлагает обезличить информацию, связанную с процедурой ограничения доступа к сетевым ресурсам. Подробнее здесь.
2023
Минцифры разработало два способа обезличивания персональных данных россиян
В начале декабря 2023 года стало известно о том, что Минцифры РФ подготовило поправки к закону «О персональных данных», определяющие два механизма обезличивания персональной информации. Такой процесс необходим в том числе для формирования датасетов большого объема, предназначенных для обучения моделей искусственного интеллекта.
Как сообщает газета «Ведомости», один из предлагаемых Минцифры вариантов предполагает, что операторы персональных данных будут обезличивать поступающие к ним сведения самостоятельно. Вторая схема предусматривает передачу информации в Минцифры в оригинальном виде: в этом случае обезличиванием будет заниматься подведомственное министерству ФГАУ НИИ «Восход». Такой подход, как утверждается, позволит объединить данные, очищенные от маркеров, указывающих на конкретного человека, из сотен госсистем, реестров и баз.
Обезличивание персональных данных необходимо для обеспечения безопасности. После выполнения такой процедуры информацией в случае ее утечки не смогут воспользоваться злоумышленники в мошеннических целях. Минцифры отмечает, что обезличенные данные большого объема станут доступны разработчикам, прежде всего — для развития приложений и сервисов ИИ. Речь идет о массивах информации, которые не допускают обратное восстановление маркеров и идентификацию личности. Такими датасетами смогут обмениваться ведомства и бизнес.
Однако с точки зрения операторов персональных данных процесс обезличивания является неоднозначным. Несмотря на то, что для этого не требуется какое-то специальное оборудование, необходимы дополнительные серверные мощности, которыми зачастую располагают только крупные компании. Кроме того, по состоянию на конец 2023 года отсутствуют официальные рекомендации по поводу того, какие методы обезличивания информации должны использовать операторы персональных данных.[4]
Глава Минцифры Шадаев доложил Путину о новых подходах к обезличиванию больших данных
19 июля 2023 года министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев доложил президенту России Владимиру Путину о совместной работе с комитетом Госдумы по информполитике над законопроектом о регулировании больших данных. Как уточнили в пресс-службе Минцифры, были подготовлены изменения в закон об обезличивании данных:
- в приоритете — вопросы обеспечения защиты прав граждан при обработке больших данных и применении технологий ИИ;
- согласованы процедуры обезличивания больших данных и четко регламентирован порядок формирования необходимых датасетов для машинного обучения, а также условия доступа к ним разработчиков нейросетей;
- предусмотрен прямой и однозначный запрет на обработку больших данных в случае, если это может привести к риску причинения вреда жизни, здоровью, безопасности и имуществу граждан;
- возможен доступ внешних разработчиков к большим данным только в случае исключения любых сведений, которые позволят идентифицировать конкретного гражданина;
- запрещён внешний доступ к сформированным датасетам иностранным лицам и российским юрлицам с преимущественным иностранным участием.
По сообщению Минцифры, для организации работы с большими данными ведомство создает соответствующую госинформсистему. В нее будут загружаться обезличенные датасеты как госорганами, так и бизнесом, доступ к которым будет предоставляться авторизованным разработчикам. Такие обезличенные наборы данных нельзя будет из неё выгрузить и забрать. Можно будет на них тестировать и обучать свои нейросети, добавили в министерстве.
О том, что в составе Минцифры в 2024 году может появиться центр обезличивания, в начале июля 2023-го рассказывал заместитель главы ведомства Александр Шойтов. По его словам, для создания центра вначале потребуется его макет — специальный программно-аппаратный комплекс. При этом в ходе создания модели будут проведены исследования в области обезличивания персональных данных.[5]
В Роскомнадзоре рассказали о будущей модели работы с обезличенными персональными данными
В середине июня 2023 года в Роскомнадзоре рассказали о будущей модели работы с обезличенными персональными данными. Как заявил замглавы ведомства Милош Вагнер, служба поддерживает предложенную Минцифры РФ модель работы с данными, где личная информация граждан находится в защищенном контуре, без выноса наружу, с исследованием моделей и технологий, получаемых в результате использования подобных сведений.
Так будет минимизирован риск того, что вместо технологий искусственного интеллекта развитие получат сервисы «интернет-пробива и других разведок по открытым источникам», – пояснил он. |
По словам Вагнера, обезличенные данные все еще остаются персональными данными, поскольку характеризуют человека, может быть и без прямых идентификаторов. К июню 2023 года обмен обезличенными данными граждан уже идет, причем их владельцы ничего не могут сделать с этим, отметил представитель Роскомнадзора.
Тема развития бизнеса через доступ к персональным данным сейчас очень актуальна. Но мы должны сделать это так, чтобы граждане, чьими данными будут оперировать, не превратились в безмолвных и бесправных наблюдателей за тем, как их личная информация передается и распространяется, – сказал Милош Вагнер. |
Ранее в июне 2023 года в Минцифры сообщили, что в ведомстве рассчитывают, что закон, который обязывает бизнес и государство формировать обезличенные датасеты для обучения ИИ, будет принят в весеннюю сессию Госдумы в 2023 году. Закон призван регулировать методику обезличивания.
К июню 2023 года в РФ реализуется проект по созданию национального «озера данных», которое должно систематизировать хранение и обработку данных для государственных аналитических сервисов, упростить госорганам и бюджетным организациям подготовку отчётов – благодаря автоматизированному формированию документов по заданным алгоритмам. Все собранные данные будут попадать в озеро в обезличенном виде.[6]
2022
Минцифры разрешит компаниям самостоятельно обезличивать данные
7 октября 2022 года стало известно о том, что Министерство цифрового развития, связи и массовых коммуникаций РФ разрешит бизнесу самостоятельно обезличивать персональные данные российских пользователей перед передачей в Национальную систему управления данными (НСУД). Ведомство разработало соответствующие поправки в закон «О персональных данных».
Как пишут «Ведомости», утвержденная Правительством РФ концепция создания единой системы данных предполагала новый подход к работе с госданными с 2022 года: унификацию процессов их сбора, обработки, хранения и использования. В мае 2021-го Минэкономразвития и Минцифры подготовили законопроект о создании НСУД, которая как раз должна была бы выполнять эти функции. На платформе планировалось объединить данные из сотен госсистем, реестров и баз, чтобы ими могли обмениваться ведомства и бизнес. В мае 2022 года ведомства представили доработанную версию документа, в которой предлагалось предоставить бизнесу возможность на платной основе получать национальные данные и пользоваться инфраструктурой НСУД.
Закон об экспериментальных правовых режимах (ЭПР) предусматривал возможность использования обезличенных данных для обучения искусственного интеллекта (ИИ). Компании-разработчики и участники рынка больших данных, как предполагалось, смогут отрабатывать технологии и обучать модели на различных типах данных.
Директор по консалтингу ГК InfoWatch Ирина Зиновкина считает, что компаниям будет намного легче обезличивать обрабатываемые ими данные, чем единому будущему агрегатору обрабатывать поток данных ото всех.
Технический директор ИТ-компании HFLabs Никита Назаров добавил, что обезличивать данные самостоятельно и только потом передавать их в информационную систему надежней с точки зрения защиты от утечек. [7]
Бизнес могут обязать передавать властям данные клиентов без обезличивания
12 июля 2022 года стало известно о том, что бизнес могут заставить по запросу передавать правительству личную информацию граждан, обезличивать которую будет уполномоченный орган без согласия самого человека. Соответствующий законопроект подготовлен Минцифрой РФ.
Как отмечается, в первой версии законопроекта, прошедшей первое чтение в марте 2021 года, предусматривалось, что обезличивание данных могло происходить только с согласия человека, а бизнес мог затем их свободно использовать.
После этого Минцифры трижды вносило доработанный ко второму чтению законопроект в правительство. Третья версия включала требование для бизнеса передавать уже обезличенные данные государству.
Согласно последней версии документа, бизнес обязан передавать сведения государству по запросу. Для этого не требуется согласие субъекта персональных данных, то есть клиента.
Состав информации и цели ее использования будет определять правительство. Бесплатный доступ к ней получат госорганы, а также отечественные разработчики искусственного интеллекта.
Как отметил источник, законопроект в его текущем виде направлен на передачу персональных данных правительственным службам, а не на регулирование рынка обезличенных данных. Фактически, он направлен на монополизацию этого рынка государством[8].
Чернышенко поручил разработать план по открытию баз обезличенных данных Россельхознадзора, ФНС и Росстата компаниям для создания ИИ-систем
В конце января 2022 года стало известно о данном Минцифры поручении вице-премьера Дмитрия Чернышенко разработать план по предоставлению бизнесу доступа к государственным обезличенным данным для обучения искусственного интеллекта. Предполагается, что первыми доступ к своим дата-сетам откроют Россельхознадзор, ФНС, Росстат, Минвостокразвития и Росреестр.
О том, что Дмитрий Чернышенко поручил главе Минцифры Максуту Шадаеву до 1 февраля 2022 года представить согласованный план-график обеспечения доступа бизнеса к дата-сетам министерств и ведомств, пишет «Коммерсантъ» со ссылкой на документ, подготовленный по итогам совещания с руководителями цифровой трансформации министерств и ведомств. В пресс-службе Чернышенко подтвердили изданию эту информацию и сказали следующее:
Прорабатываются изменения в законодательство для предоставления разработчикам ИИ-решений доступа к государственным наборам данных, урегулирования вопросов обезличивания. |
В Минцифры уточнили газете, что ведомство включило в план-график:
- проведение стратегических сессий;
- разработку стандартов для отраслевых решений с применением ИИ;
- публикацию результатов внедрения ИИ в федеральных органах исполнительной власти;
- создание единого хранилища (репозитория) наборов данных и регламентов работы с ними.
По мнению директора центра стратегического развития «Ланит-Интеграции» Павла Сварника, дата-сеты, аккумулированные государством в течение многолетнего цифрового взаимодействия с гражданами и юрлицами, — это источник бесконечной информации для бизнеса. Они позволят скорректировать тарифы по услугам, запустить востребованные сервисы, точнее спрогнозировать параметры инвестиционных проектов, а бизнес, в свою очередь, может взять на себя часть нагрузки по оказанию госуслуг, считает эксперт.[9]
2021
Минцифры разработало порядок удаления обезличенных персональных данных
Как стало известно в начале сентября 2021 года, Министерство цифрового развития, связи и массовых коммуникаций РФ разработало порядок удаления обезличенных персональных данных. Документ определяет правила уничтожения информации участником экспериментального правового режима (ЭПР), когда действие такого статуса прекращается.
Как сообщает «РИА Новости» со ссылкой на соответствующий приказ Минцифры, он предусматривает сроки блокирования и уничтожения обезличенных данных, порядок фиксации их уничтожения и направления соответствующих документов в контролирующие и уполномоченные органы.
Согласно документу, в случаях прекращения статуса субъект ЭПР осуществляет блокирование обезличенных данных не позднее окончания рабочего дня, следующего за днем прекращения статуса, и уничтожает обезличенные данные в срок до семи рабочих дней с даты наступления такого случая. Для уничтожения обезличенных данных применяются прошедшие процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.
Факт уничтожения таких данных должен быть зафиксирован в акте, в котором указывается информация о дате, времени и месте его составления, о носителях обезличенных данных, о перечне и объеме уничтоженной информации, а также о средствах защиты информации, посредством которых осуществлено уничтожение. Этот акт должен быть направлен в Роскомнадзор и ФСБ в течение трех рабочих дней со дня уничтожения обезличенных данных.
К акту прилагаются копии документов, материалы и прочая информация, которая подтверждает факт уничтожения обезличенных данных. В случае непредоставления необходимых документов, контролирующий орган может принять решение о проведении в отношении субъекта экспериментального правового режима контрольных мероприятий.[10]
Минцифры разрешит бизнесу обезличивать персональные данные россиян без их согласия
В конце мая 2021 года стало известно о новой версии законопроекта, регулирующего оборот обезличенных данных в России. Согласно документу, разработанному Министерством цифрового развития, связи и массовых коммуникаций РФ, компании получат возможность обезличивать данных россиян без их согласия. Это нововведение не коснется нескольких категорий граждан, в том числе сотрудников силовых ведомств, судей, потерпевших, свидетелей и иных участников уголовного судопроизводства.
Как пишет «Коммерсантъ» со ссылкой на обновленный законопроект Минцифры, в нем сохранилось требование для бизнеса передавать обезличенные данные государству «для государственного и муниципального управления». При этом оговаривается, что их передача разработчикам сервисов на базе искусственного интеллекта будет проводиться не ранее чем через три года. Данные разработчики будут получать бесплатно.
В Минцифры утверждают, что в новой версии учли некоторые предложения Ассоциации больших данных, в которую входят «Яндекс», VK (ранее Mail.ru Group), Сбербанк, Газпромбанк, Тинькофф-банк, Qiwi, МТС, «МегаФон», «ВымпелКом», «Ростелеком», oneFactor.
В законопроекте недостаточно информации о том, что считать обезличенными данными, как и в каком виде их надо передавать, и если принять документ, это «может привести к снижению приватности и безопасности данных пользователей», сообщили изданию в «Яндексе».
Опрошенные газетой эксперты называют новый вариант компромиссным: через три года коммерческая ценность данных уже будет исчерпана, но они все еще будет востребованы для разработки моделей ИИ.
По мнению члена комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Вадима Перевалова, отказ от требования получать согласие россиян на обезличивание персональных данных приближает Россию к европейскому регулированию.[11]
Минцифры планирует разрешить продажу обезличенных данных россиян
В начале марта 2021 года стало известно о предложении Минцифры использовать обезличенные персональные данные россиян «в том числе для предпринимательской деятельности». Ведомство разработало поправки к проекту федерального закона «О внесении изменений в ФЗ «О персональных данных», который был принят Госдумой в первом чтении 16 февраля 2021 года.
Согласно предложенным Минцифры поправкам, обезличивание персональных данных может осуществляться только с согласия субъекта или в иных случаях, предусмотренных законодательством России в области персональных данных.
По задумке министерства, бизнес сможет свободно обрабатывать обезличенные данные. При этом для обеспечения защиты персональных данных россиян предлагается ввести ряд ограничений для операторов, которые обрабатывают данные. Например, оператор не сможет использовать иную информацию, действия и методы, которые помогут определить принадлежность персональных данных конкретному субъекту.
Кроме того, будет запрещено в дополнение к обезличенным данным передавать третьим лицам информацию, которая позволит идентифицировать конкретного человека. Под запретом окажется деобезличивание данных, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.
Законопроект позволит повысить эффективность системы защиты прав субъектов персональных данных – наших граждан, а также даст возможность бизнесу использовать данные, полученные в результате обезличивания. При этом права россиян на безопасную обработку и сохранение их персональных данных будут соблюдены, — заявил временно исполняющий обязанности директора департамента информационной безопасности Минцифры Дмитрий Реуцкий. |
Как отмечает РБК, Минцифры предлагает компаниям использовать обезличенные персональные данные россиян при условии, что не будет попыток установить личность их владельца. Но опрошенные изданием эксперты считают, что проследить за этим будет сложно.[12]
2013: Требования законодательства по обезличиванию данных
Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных[13].
Свойства обезличенных данных
- полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
- семантическая целостность (сохранение семантики персональных данных при их обезличивании);
- применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
Типичные подходы к обезличиванию данных
- Данные не обезличиваются (использование NDA с подрядчиками)
- После обезличивания теряются особенности данных (чрезмерное маскирование данных)
- После обезличивания теряется связанность данных
- Нет единого инструмента для обезличивания данных
- Обезличиваются только данные согласно документации приложения
- Одинаковые политики по деперсонализации данных для различных задач
- На деперсонализацию данных требуется значительное время
- После изменения источников (например, после установки патчей) требуется значительное время на изменение процессов деперсонализации
Обезличивание наиболее критичных данных в режиме реального времени
Какие данные нужно маскировать в реальном времени?
- Данные VIP клиентов
- Контактная информация
- Финансовая информация
- Коммерческая тайна
- Любая другая чувствительная информация
- Информация, к которой имеют доступы разные группы пользователей
Примечания
- ↑ Безличное дело каждого
- ↑ О внесении изменений в Федеральный закон «О персональных данных»
- ↑ Бездонные данные: Минцифры переписало законопроект об обезличенной информации
- ↑ Минцифры предусмотрело два варианта для обезличивания персональных данных
- ↑ Обозначены новые подходы к обезличиванию больших данных
- ↑ Роскомнадзор обозначил позицию по использованию обезличенных данных
- ↑ Минцифры хочет разрешить бизнесу самостоятельно обезличивать данные
- ↑ Бизнес обяжут передавать властям данные клиентов без обезличивания
- ↑ Ведомственные базы обезличенных данных откроют бизнесу
- ↑ Минцифры разработало порядок удаления обезличенных персональных данных
- ↑ Граждане в общих чертах. Государство соберет обезличенные данные
- ↑ Минцифры предложило разрешить торговлю обезличенными данными россиян Но эксперты указывают на риск роста числа утечек и ужесточения правил
- ↑ *Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 г. Москва "Об утверждении требований и методов по обезличиванию персональных данных"