Минцифры хочет разрешить бизнесу самостоятельно обезличивать данные

Минцифры планирует дать возможность компаниям самостоятельно обезличивать персональные данные российских пользователей перед передачей в Национальную систему управления данными (НСУД). Это предусмотрено поправками в закон «О персональных данных», разработанными Минцифры. «Ведомости» ознакомились с документом, его подлинность подтвердил федеральный чиновник.

Концепция создания единой системы данных была одобрена правительством в 2019 г. и предполагала новый подход к работе с госданными уже с 2022 г.: унификацию процессов их сбора, обработки, хранения и использования. В мае 2021 г. Минэкономики и Минцифры подготовили законопроект о создании НСУД, которая как раз должна была бы выполнять эти функции. На платформе планировалось объединить данные из сотен госсистем, реестров и баз, чтобы ими могли обмениваться ведомства и бизнес. В мае 2022 г. ведомства представили доработанную версию документа, в которой предлагалось предоставить бизнесу возможность на платной основе получать национальные данные и пользоваться инфраструктурой НСУД.

Возможность использования обезличенных данных для обучения искусственного интеллекта предусматривалась законом «Об экспериментальных правовых режимах», который был принят летом 2020 г. Предполагалось, что установка таких режимов позволит участникам рынка больших данных и компаниям-разработчикам отрабатывать технологии и обучать модели на различных типах данных. Согласно закону каждая компания, которая хочет обучать свою технологию на базах обезличенных данных, должна подать заявку, которую должны одобрить Минэкономразвития, профильные ведомства и правительство. Система, где будут аккумулироваться такие данные, ее оператор, а также порядок обезличивания так и не были определены.

Проблема с НСУД или любой другой системой, в которой можно было бы аккумулировать обезличенные данные, до сегодняшнего дня заключалась в том, что компании хотели сохранить за собой право обезличивать данные своих клиентов и пользователей, а ведомства настаивали на том, чтобы обезличивать их централизованно, объясняет собеседник «Ведомостей» в одной из профильных ассоциаций. Из последних поправок Минцифры следует, что это право компаниям предоставят.

«Размещение обезличенных данных в системе осуществляется коммерческими и государственными поставщиками в соответствии с едиными форматами по запросу оператора системы в случаях, определенных правительством», – говорится в законопроекте.

Представитель Минцифры на запросы «Ведомостей» не ответил. Представитель Минэкономразвития сообщил, что по законопроекту продолжается активная работа как на межведомственном уровне, так и с участием представителей отрасли.

Законопроект об обезличивании персональных данных многострадальный, рассуждает технический директор IT-компании HFLabs Никита Назаров: «Сначала предполагалось, что бизнес будет сам обезличивать данные, а затем передавать их оператору государственной системы. Но к июлю этого года законопроект кардинально изменился, и обезличивание данных было отдано на откуп оператору НСУД».

Сейчас приказом Роскомнадзора (РКН) № 996 определены четыре допустимых метода обезличивания данных, объясняет бизнес-консультант по безопасности Positive Technologies Алексей Лукацкий. Речь идет о методе введения идентификаторов (данные заменяются определенными идентификаторами, с помощью которых их в дальнейшем могут расшифровать), методе изменения состава или семантики (реализуется путем обобщения, изменения значений атрибутов персональных данных или удаления части сведений, позволяющих идентифицировать субъекта), методе декомпозиции (разбиение данных на блоки, которые в отдельности не будут идентифицировать субъекта) и методе перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных), следует из документа.

Все остальные методы, в том числе хеширование и шифрование, РКН к методам обезличивания не только не относил, но и считал их использование для обезличивания незаконным, объясняет Лукацкий. Как показывает практика проверок, позиция РКН заключается в том, что обезличивать персональные данные коммерческие компании не имеют права и это прерогатива только государственных и муниципальных структур, добавляет эксперт.

Директор по консалтингу ГК InfoWatch Ирина Зиновкина считает, что обезличивание данных каждым отдельным оператором «несет смысл и будет эффективнее других вариантов». «Если будет утвержден единый способ обезличивания данных для передачи в конкретную систему, то останется эти данные лишь агрегировать, – объясняет она. – Компаниям будет намного легче обезличивать обрабатываемые ими данные, чем потом будущему агрегатору обрабатывать поток данных ото всех».

Передача информации в открытом виде повышала бы шансы на то, что она может утечь, добавляет Назаров: «Для бизнеса надежней обезличивать данные самостоятельно и только потом передавать их в информационную систему». Есть и другие волнующие вопросы, продолжает он: «Например, пока не известен состав данных, которые нужно будет передавать. Есть опасения и по поводу монополизации рынка данных, бороться с которой будет, по сути, невозможно. Также не понятно, на каких условиях доступ к этой базе будет предоставляться».

Будут ли владельцы загружать данные в систему, определенную законодательно, вопрос в воспринимаемой ценности данных их владельцами и, вероятнее всего, требованиями законодательства, отмечает операционный директор компании oneFactor Леонид Черный. «Качество моделей, построенных на датасетах из разных источников разных индустрий, скорее всего, будет достаточно высоким для того, чтобы заинтересовать бизнес. Высока вероятность, что интерес к подобной истории проявят компании финансового сектора, телекомы, представители электронной коммерции, рекламной индустрии и интернет-компании», – заключает эксперт.