Два пути обязательного обезличивания: подготовлены поправки в законопроект о персональных данных

В случае принятия поправок компании-операторы смогут либо обезличивать их самостоятельно перед передачей в Минцифры, либо передавать в оригинальном виде, а их обезличиванием будет заниматься подведомственный Минцифры НИИ «Восход». Снизит ли это риск утечек персональных данных?

Минцифры подготовили поправки к законопроекту о персональных данных. Если их примут, то прежде чем передать данные в Минцифры, компании-операторы смогут как самостоятельно проводить их обезличивание, так и отправлять данные в оригинальном виде, пишут «Ведомости» со ссылкой на источники. Во втором случае обезличивать данные будет подведомственный Минцифры НИИ «Восход».

Такой подход позволит объединить обезличенные данные из разных источников, в том числе госсистем, реестров и баз. После чего информацию смогут использовать как госструктуры, так и бизнес. Такие данные могут быть использованы, к примеру, для анализа поведения потребителей или обучения искусственного интеллекта.

Государство идет к тому, чтобы регулировать обработку персональных данных, говорит эксперт в области информационной безопасности и права в IT, управляющий RTM Group Евгений Царев:

Евгений Царев эксперт в области информационной безопасности и права в IT, управляющий RTM Group «Вопрос об обезличивании данных так и не был решен. В первую очередь на уровне вообще понимания того, что это такое, что является обезличиванием, что не является обезличиванием. Споры идут, наверное, с появления закона о персональных данных, еще много-много лет назад, и вот до сегодняшнего дня. Идея в следующем: что данные далеко не всегда нужны в полном виде, то есть когда у нас есть, например, Ф.И.О., номер телефона, адрес. Они не всегда нужны в таком виде, иногда для решения каких-то узких задач достаточно очищенных данных, скажем так. Просто, например, адреса и, допустим, роста человека. Этих данных достаточно для того, чтобы аналитические справки готовить о среднем росте, не знаю, жителей России. Сейчас, в принципе, у нас есть тренд на появление государственной монополии на обработку данных, вот таких значимых, критичных, и, по всей видимости, это в том самом ключе и находится. До этого речь шла о биометрии, которая в настоящий момент должна централизованно быть, но сейчас речь идет о больших объемах данных, и пытаются централизовать работу с этими данными. Я это вижу так».

В первую очередь на решение государства регулировать сферу обработки и хранения данных повлияло большое количество утечек в последнее время, говорит IT-обозреватель «Российской газеты», автор телеграм-канала «Токсичная цифра» Олег Капранов:

Олег Капранов IT-обозреватель «Российской газеты», автор телеграм-канала «Токсичная цифра»«Довольно много в последнее время было случаев, связанных с утечкой персональных данных из различных коммерческих компаний. Долгое время шла дискуссия о том, как можно урегулировать этот вопрос, чтобы, с одной стороны, данные как таковые были доступны для бизнеса, потому что они являются драйвером экономики, драйвером развития компаний, то есть компании готовят свои коммерческие продукты на основе этих данных. А с другой стороны, чтобы обеспечить их сохранность, потому что это чревато попаданием данных в руки мошенников, различных аферистов, использование этих данных против простых пользователей в случае их утечек. И проблема была в том, что никто в случае утечек не нес серьезной ответственности. Именно для решения этой задачи вчера в Госдуму был внесен пакет законов, касающихся штрафов за утечки персональных данных. Там наконец-таки появляются оборотные штрафы, потому что до этого компании, у которых утекали миллионы записей, штрафовали на 50 тысяч рублей, что довольно смешно. Как предполагается, это должно стимулировать компании более активно вкладываться в защиту этих данных, потому что раньше им было проще заплатить штраф, чем инвестировать в информационную безопасность, — это первый момент. А второй момент касается, собственно, оборота персональных данных, потому что по задумке компании должны работать с данными, но компаниям по большому счету не нужны фамилии, имена, паспортные данные, номера телефонов. Им нужно поведение пользователей и предпочтения пользователей, то, как они меняются, эти факторы. Нужны так называемые обезличенные данные. Здесь проблем две: первая — что обезличивать данные так, чтобы их нельзя было обратно восстановить и понять, кому эти данные принадлежали, довольно трудно, это очень тяжелая задача. Поэтому рассчитывать на то, что бизнес это сделает, было практически невозможно. И второе — никто не смог бы дать гарантии, что данные действительно обезличены. Поэтому есть идея, чтобы это делало государство, чтобы это делали государственные структуры».

По данным «Ведомостей», нынешняя версия законопроекта не позволяет оператору персональных данных уклониться от обязанности передачи их в обезличенном виде. Предыдущая версия за отказ передавать данные ответственности не предусматривала.