Минцифры предусмотрело два варианта для обезличивания персональных данных
Крупный бизнес сможет делать это сам, малому разрешат сдавать необезличенные данные
Компании – операторы персональных данных (ПД) смогут обезличивать данные своих клиентов самостоятельно или же передавать их Минцифры в оригинальном виде. Во втором случае обезличиванием ПД будет заниматься подведомственное Минцифры ФГАУ НИИ «Восход». Такой подход позволит объединить данные, очищенные от маркеров, указывающих на конкретного человека, из сотен госсистем, реестров и баз. Затем ими смогут обмениваться ведомства и бизнес, станет можно и обучать на их основе алгоритмы искусственного интеллекта.
Схема с двумя альтернативными способами передачи ПД – с самостоятельным обезличиванием и через «Восход» – предусмотрена в разработанных Минцифры поправках к закону «О персональных данных», подготовленных ко второму чтению в Госдуме. Об этом рассказали «Ведомостям» источник, близкий к Госдуме, и собеседник, близкий к Минцифры. Информацию подтвердил и председатель комитета по информационной политике Госдумы Александр Хинштейн («Единая Россия»). «Законопроект готов ко второму чтению, на этой неделе мы рассмотрим его на заседании комитета», – заявил Хинштейн «Ведомостям».
Речь идет о возможности передачи персональных данных в Национальную систему управления данными (НСУД), концепция которой была одобрена правительством еще в 2019 г. В августе 2022 г. Минцифры заключило два контракта с «Ростелекомом» на общую сумму 390 млн руб. на развитие и поддержку этой НСУД. Но окончательного решения о том, должен ли бизнес передавать в НСУД уже обезличенные данные или же в необезличенном виде, принято не было.
Порядок обезличивания был прописан в проекте поправок, подготовленных Минцифры и принятых в первом чтении в феврале 2021 г. В сентябре 2023 г. президент Владимир Путин дал поручение принять законопроект до 15 декабря.
«Ведомости» направили запросы в Минцифры. Представитель пресс-службы правительства переадресовал вопросы в Минцифры.
От предыдущей версии законопроекта нынешняя отличается тем, что не позволяет оператору ПД уйти от обязанности передачи их в обезличенном виде, продолжил собеседник, близкий к Госдуме. «Предыдущая версия не предусматривала ответственности, соответственно, их могли не передавать, ссылаясь, например, на отсутствие денег», – отмечает он.
Близкий к Минцифры собеседник напоминает, что изначально обсуждалась обязанность передачи ПД в исходном виде для всех операторов данных. Но агрегирование такого огромного массива должно потребовать бюджетов, «сопоставимых с бюджетами Сбербанка, «Яндекса» и других компаний на обработку данных, а таких средств у Минцифры, несмотря на все нацпрограммы, нет», добавил он.
С точки зрения компаний – операторов ПД вопрос обезличивания данных и их передачи государству тоже остается неоднозначным, утверждает собеседник, близкий к одной из компаний по информационной безопасности. И хотя какое-то специальное оборудование для обезличивания ПД не нужно, для этого требуются дополнительные серверные мощности, которые часто есть только у крупных компаний, пояснил он.
Для обезличивания данных действительно не требуется какого-либо специального оборудования, подтверждают опрошенные «Ведомостями» эксперты. Нужны специализированные решения, которые также есть на рынке: «Маскировщик» от HFLabs, «Сфера. Обезличивание данных» от Т1, «Гарда маскирование» от «Гарда технологий» и др. Из зарубежных и недоступных сейчас на российском рынке – Informatica и Ataccama, добавил технический директор IT-компании HFLabs Никита Назаров.
Для организации работы с большими данными Минцифры создает соответствующую госинформсистему. В нее будут загружаться обезличенные датасеты как госорганами, так и бизнесом, доступ к которым будет предоставляться авторизованным разработчикам. Такие обезличенные наборы данных нельзя будет из нее выгрузить и забрать. Можно будет на них тестировать и обучать свои нейросети. официальный Telegram-канал
«Сложность в том, что пока у бизнеса нет официальной методички, которая бы позволяла на 100% застраховаться и гарантировать, что к обезличенным персональным данным не возникнет вопросов у регуляторов», – отмечает Назаров. По его словам, сейчас основным является приказ Роскомнадзора от 2013 г., в котором перечислены четыре метода обезличивания: введение идентификаторов, изменение состава или семантики, декомпозиция и перемешивание данных. «Именно эти методы считаются каноничными и могут использоваться органами государственной власти. Про бизнес в этом документе ничего не говорится», – поясняет эксперт.
В то же время, по мнению Назарова, приказ устарел: например, хешированные (специальным образом преобразованные) данные сегодня не могут считаться обезличенными, хотя хеширование по сути является разновидностью метода изменения состава и семантики.
«Обезличивание ПД можно делать своими средствами, но для этого потребуются специалисты, которые умеют этим заниматься, и серверные мощности, чтобы система могла на постоянном потоке проводить это обезличивание», – добавляет исполнительный директор компании-разработчика ingry.tech Георгий Банчиков. В таком виде процесс обезличивания не требует масштабных бюджетов, так как есть open-source решения, позволяющие реализовать этот процесс фактически бесплатно, резюмировал он.