Роскомнадзор разработал порядок обезличивания данных

Роскомнадзор (РКН) разработал перечень методов и требований к обезличиванию персональных данных (ПД), проект приказа службы был опубликован 27 марта на портале проектов нормативных правовых актов.

Согласно проекту, оператор персональных данных при обезличивании теперь должен гарантировать, что после этого данные не могут быть восстановлены без дополнительной информации. Также он обязан использовать системы, обеспечивающие безопасность таких данных. Кроме того операторам запрещается совместное хранение исходных и обезличенных данных, а все действия по обезличиванию должны фиксироваться и быть подтверждаемы.

Среди основных методов ведомство выделяет введение идентификаторов с переменным значением, семантическое изменение состава данных, их искажение, перемешивание или удаление. В частности, теперь требуется более детально регламентировать, как изменяются и обрабатываются данные, чтобы исключить возможность восстановления исходных сведений.

В августе 2024 г. Владимир Путин подписал закон, который вносит изменения в закон «О персональных данных», и устанавливает особенности обработки и оборота обезличенных ПД. Закон вступает в силу 1 сентября 2025 г. Операторы данных должны будут по требованию Минцифры обезличивать информацию, а правила этого устанавливаются правительством по согласованию с ФСБ. В свою очередь Минцифры будет формировать наборы обезличенных данных по определенному признаку для работы с ними, а также будет обязано обеспечить конфиденциальность этих данных. В Минцифры отметили, что такое обезличивание данных полностью исключает возможность установления личности.

Эти наборы ведомство будет предоставлять разработчикам алгоритмов ИИ для обучения моделей в государственных или коммерческих целях.

Принятый закон также подразумевает создание государственной защищенной платформы для обработки обезличенных ПД. В середине февраля 2025 г. Минцифры уточнило, что доступ к платформе получат госорганы, а также российские компании, прошедшие «крайне строгую» проверку.

Сами по себе методы обезличивания, описанные в проекте приказа, ничем не отличаются от методов, ранее уже введенных 996-м приказом Роскомнадзора в 2013 г., говорит бизнес-консультант по безопасности Positive Technologies Алексей Лукацкий. «Разве что исключен метод декомпозиции, а шифрование или хэширование данных, которые во всем мире относятся к методам обезличивания, у нас так и не включены в перечень», – уточнил эксперт.

К новациям можно отнести требование использования специальных информационных систем или программного обеспечения, которое будет осуществлять процедуру обезличивания, отмечает Лукацкий. «Учитывая появившуюся недавно новость о предоставлении Минцифры специального ПО для обезличивания, не исключаю, что к такому ПО будут предъявлены в будущем требования вплоть до сертификации, которые выполнить будет непросто, как и интегрировать в существующие технологические и бизнес-процессы», – отметил эксперт.

Согласно позиции РКН, разницы между обезличенными и персональными данными с точки зрения предъявляемых к ним требований нет, что в целом ставит вопрос о смысле обезличивания ПД, которые все равно продолжают оставаться ими, подчеркивает Лукацкий.

В проекте приказа отсутствуют критерии требований к результатам обезличивания, также не указано, какими способами проверять эффективность и безопасность выбранных методов обезличивания, говорит представитель Ассоциации больших данных (АБД; объединяет «Сбер», «Яндекс», VK и др.). По словам представителя ассоциации, необходимы утвержденные РКН способы определения риска повторной идентификации и показатели устойчивости обезличенных данных, а также рекомендации РКН о приемлемых уровнях этих параметров. Без таких критериев и рекомендаций любое обезличивание можно будет признать некачественным и не соответствующим требованиям, пояснил собеседник.

Перечисленные методы не содержат современных методов обезличивания и анонимизации данных, а скорее относятся к псевдонимизации и не гарантируют низкого риска раскрытия данных, считают в ассоциации. Кроме того, перечень обезличивания должен быть открытым, в противном случае это будет сдерживать развитие технологий повышения конфиденциальности и развитие рынка данных в России, отмечает собеседник.

Предлагаемые Роскомнадзором требования являются стандартными и формализованными, их нарушение слишком легко выявить, чтобы предполагать их несоблюдение, говорит директор департамента расследований T.Hunter Игорь Бедеров. Но среди сложно выполнимых требований РКН Бедеров отметил гарантию невозможности восстановления данных без дополнительной информации: такое требование является важным, но, как показал опыт GDPR (общий регламент по защите данных в ЕС), проблемным. «Зачастую ИТ-компания не может просчитать, как обезличенные данные могут быть использованы третьими лицами. Как показывает практика, по мере сбора больших данных возникают новые возможности для сопоставления обезличенных данных и идентификации субъектов ПД», — уточняет он.

Второе сложно выполнимое требование – это исключение косвенного восстановления, продолжает Бедеров: даже при обезличивании данные могут сохранять структурные связи или статистические закономерности, позволяющие идентифицировать субъекта через анализ контекста или комбинацию с внешними источниками.

В 996-м приказе Роскомнадзора было явно прописано требование обратимости обезличенных данных (деобезличивание), которое отсутствует в новой редакции нормативного акта регулятора, отмечает Лукацкий. «Однако между строк читается, что с использованием дополнительной информации обратное восстановление персональных данных из обезличенных возможно, – говорит он. – Сделать их невосстанавливаемыми возможно, если процесс обработки таких данных не подразумевает деобезличивание, например, в процессе статистической обработки».

Восстановить обезличенные сведения нельзя, если нет оригинального массива данных, говорит технический директор IT-компании HFLabs Никита Назаров. Данные, которые вообще нельзя восстановить, – это синтетика, сгенерированная компьютером информация, но такие массивы данных не подходят для того, чтобы обучать на них ML-модели или тестировать некоторые IT-системы, поясняет Назаров.

Гарантировать, что обезличенные данные невозможно восстановить без дополнительной информации, в целом реально, но все зависит от метода, говорит руководитель ИБ-направления «Телеком биржи» Александр Блезнеков. Если применять криптографические способы, то без ключа данные действительно не вернуть. Полностью исключить возможность восстановления данных нельзя, разве что они полностью уничтожены, подчеркивает он.

В рамках текущих методов РКН полная невосстановимость данных недостижима, говорит Бедеров. По его словам, даже при удалении части данных или их искажении сохраняется риск косвенной идентификации через анализ оставшихся параметров или сопоставление с другими наборами данных. Например, обезличенные биометрические данные (рост, вес) в сочетании с демографической информацией могут быть привязаны к конкретному лицу.