В законодательство впишут «санитизацию» данных ограниченного доступа

Минэкономики предлагает ввести «санитизацию» данных ограниченного доступа. Об этом говорится в новой версии поправок к закону «Об информации», на которую ссылается «Ъ». Поправки регулируют работу Национальной системы управления данными (НСУД).

В соответствии с документом санитизированные данные — это или персональная информация, измененная настолько, что восстановить её принадлежность конкретному лицу невозможно, или относящаяся к банковской, налоговой тайне, тайне связи и так далее, из которой убраны все конфиденциальные детали, создающие необходимость в защите (детали о трансакциях, уплаченных налогах и другое).

Министерство предлагает для каждого вида информации разработать свои алгоритмы санитизации. Там также уточнили, что данные могут быть санитизированы как для государства, так и для бизнеса.

Обрабатывать данные будет сама НСУД, пояснил «Ъ» собеседник, близкий к разработке инициативы Минэкономики.

Если дата-сеты будут храниться в НСУД, то и санитизацией будет заниматься эта система, а если данные принадлежат бизнесу, процедуру проводят сами компании, считает бизнес-консультант по безопасности Positive Technologies Алексей Лукацкий.

Президент Ассоциации больших данных Анна Серебряникова считает, что санитизированные данные должны быть введены для бизнеса. В пример таких данных главный юрисконсульт практики интеллектуальной собственности ЭБР Кирилл Ляхманов приводит информацию о погоде, транспорте и пешеходном трафике, о загрязненности воздуха и пр.

Сейчас данные, которые содержат конфиденциальную информацию, бизнес использовать не может, отмечает гендиректор Института исследований интернета Карен Казарян. Он согласен с Серебряниковой и считает, что такие данные могут быть проанализированы искусственным интеллектом. Но эксперт предупреждает, что неправильная обработка такой информации может привести к их компрометации, особенно если ее обогатить другими данными.

В Минцифры при этом заверили издание, что механизм санитизации не противоречит политике в области защиты данных. Он может использоваться, например, в работе с базами данных юридических лиц.