Обезличенные данные приравняют к персональным
Минцифры предлагает ужесточить требования к обороту информации о гражданахО подписании документа главой ведомства перед внесением законопроекта в правительство заявил замминистра цифрового развития Олег Иванов на заседании рабочей группы по совершенствованию законодательства в сфере персональных данных и доступности цифровых технологий.
Законопроект регламентирует политику обработки обезличенных данных. Например, теперь оператор не сможет использовать какую-либо дополнительную информацию, которая помогает определить принадлежность персональных данных конкретному субъекту. Также будет запрещено в дополнение к обезличенным данным передавать третьим лицам информацию, которая позволит идентифицировать конкретного человека. Под запретом окажется деобезличивание данных, за исключением тех случаев, когда необходимо защитить жизнь или здоровье человека.
По словам Иванова, новые требования к обращению обезличенной информации вызваны тем, что уже сейчас доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека: «Обезличивание и анонимизация – разные понятия. Деобезличивание – обратимая вещь».
Использовать обезличенные персональные данные без согласия можно будет только в исследовательских и статистических целях, уточнили в Минцифре.
Участники рабочей группы считают, что законопроект в текущей редакции задачу не решает, а наоборот – приводит к ужесточению правового режима и не создает дополнительных возможностей для обработки обезличенных данных, которые широко используются бизнесом. В частности, для таргетирования рекламы.
«При передаче обезличенного массива данных третьему лицу обработка этих данных в иных целях, кроме тех, для которых данные собирались, невозможна, так как требует нового согласия гражданина, но обратиться за ним невозможно, так как данные обезличены», – объясняет представитель пресс-службы АНО «Цифровая экономика» Екатерина Батманова. По ее словам, законопроект содержит избыточные требования к идентификации субъекта персональных данных: прежняя его версия предусматривала возможность получить согласие на обработку персональных данных без указания ФИО (используя электронную почту или телефонный номер), а нынешняя предполагает, что пользователь должен указать ФИО для получения тех или иных услуг.
«При принятии этих требований граждане не станут пользоваться, к примеру, российскими сервисами знакомств, так как не захотят там вводить ФИО. В итоге поправки в закон не усилят защиту, а наоборот – приведут к перетоку данных наших граждан за рубеж», – говорит Батманова.
В мировой практике применяются различные методы обезличивания данных и их сочетания, позволяющие надежно обезопасить информацию, отмечает президент Ассоциации больших данных Анна Серебряникова: «Уровень обезличенности оценивают по специальной модели – исходя из риска повторного установления личности: если по данным можно установить их владельца, таким методам обезличивания присваивается низкий коэффициент – от 0 до 0,4. Если после обезличивания установить владельца данных невозможно без существенных усилий, то коэффициент будет выше – от 0,5 до 0,8». Если же установить личность субъекта персональных данных можно только с помощью крайне трудоемких и дорогих процедур, тогда данные признаются обезличенными, а методы, с помощью которых их «очистили» от персональных, получают коэффициент от 0,8 до 1 – максимальной оценки степени обезличивания, добавляет Серебряникова.
Законопроектом предлагается внести в федеральное законодательство изменения, которые в значительной степени устраняют разницу в правоотношениях, возникающих при сборе, обработке и использовании персональных и обезличенных данных, отмечает управляющий партнер юридической фирмы Enterprise Legal Solutions Юрий Федюкин. «Приравнивание обезличенных данных к персональным значит, что по отношению к обезличенным оператор обязан будет принимать все меры по их защите, что и для обычных персональных данных», – соглашается ведущий эксперт направления «Информационная безопасность» IT-компании КРОК Анастасия Федорова.
Для бизнеса приравнивание обезличенных данных к персональным означает возникновение новых оснований для привлечения его к ответственности в связи с нарушением законодательства, регулирующего правоотношения в области их сбора, хранения, обработки и распространения, предупреждает Федюкин: «Формально это значит, что любая попытка использования обезличенных данных, т. е. массива, содержащего в себе сведения о множестве субъектов, в случае если хотя бы один из них не дал разрешения на использования их для какой-то совершенно конкретной цели или отозвал свое разрешение, может привести к нарушению закона и штрафным санкциям». Все это максимально утяжелит работу большинства компаний, работа которых так или иначе связана с большими данными, а также государственных учреждений, заключает Федюкин.
Конструкция с получением согласия на обезличивание нерабочая и приведет к приостановке множества проектов, связанных с обработкой больших данных: непонятно, зачем создавать дополнительный искусственный барьер, если при получении самих персональных данных согласие на их обработку уже получалось, рассуждает представитель «Вымпелкома» Анна Айбашева: «Предлагаемое регулирование существенно ограничит развитие цифровой экономики в России, внедрение новых сервисов и технологий, а также значительно затормозит переход на новый технологический уклад».
Представители МТС и Mail.ru Group отказались от комментариев.