Бизнесу могут разрешить самостоятельно обезличивать данные

Минцифры планирует дать возможность компаниям самостоятельно обезличивать персональные данные российских пользователей перед передачей в НСУД. Это предусмотрено поправками в закон «О персональных данных», разработанными Минцифры. «Ведомости» ознакомились с документом, его подлинность подтвердил федеральный чиновник.

В 2019 году Правительство одобрило Концепцию создания единой системы данных. Она предполагала с 2022 года унификацию процессов их сбора, обработки, хранения и использования. В мае 2021 года Минэкономразвития и Минцифры разработали законопроект о создании НСУД в качестве единой платформы. На ней планировалось объединить данные из сотен госсистем, реестров и баз, чтобы ими могли обмениваться ведомства и бизнес. В мае 2022 года министерства представили доработанный законопроект, им предлагалось предоставить бизнесу возможность на платной основе получать национальные данные и пользоваться инфраструктурой НСУД.

Закон об экспериментальных правовых режимах (ЭПР) предусматривал возможность использования обезличенных данных для обучения искусственного интеллекта (ИИ). Компании-разработчики и участники рынка больших данных, как предполагалось, смогут отрабатывать технологии и обучать модели на различных типах данных. Документом предписывался такой порядок действий: компания, которая собирается обучать свою технологию на базах обезличенных данных, должна подать заявку, которую должны одобрить Минэкономразвития, профильные министерства и правительство. Закон не определил систему, где будут собираться обезличенные данные, ее оператора и сам процесс обезличивания.

Собеседник издания в одной из профильных ассоциаций отметил, что компании рассчитывали сохранить за собой право обезличивать данные своих клиентов и пользователей, а министерства настаивали на том, чтобы обезличивать их централизованно. «Размещение обезличенных данных в системе осуществляется коммерческими и государственными поставщиками в соответствии с едиными форматами по запросу оператора системы в случаях, определенных правительством», — говорится в тексте разработанного законопроекта. Из него следует, что данные поступают в единую систему уже обезличенными, в том числе коммерческими компаниями.

Технический директор IT-компании HFLabs Никита Назаров напомнил: сначала предполагалось, что бизнес будет сам обезличивать данные, а затем передавать их оператору государственной системы, потом обезличивание данных было отдано на откуп оператору НСУД. Бизнес-консультант по безопасности Positive Technologies Алексей Лукацкий сказал, что, судя по практике проверок Роскомнадзора, обезличивать данные имеют право только государственные и муниципальные структуры, но не коммерческие компании. По мнению директора по консалтингу ГК InfoWatch Ирины Зиновкиной, обезличивание данных каждым отдельным оператором «несет смысл и будет эффективнее других вариантов».

По словам Зиновкиной, компаниям будет намного легче обезличивать обрабатываемые ими данные, чем единому будущему агрегатору обрабатывать поток данных ото всех. Назаров добавил, что обезличивать данные самостоятельно и только потом передавать их в информационную систему надежней с точки зрения защиты от утечек.

Директор по управлению данными «Мегафона» Леонид Черный отметил, будут ли владельцы данных загружать их в систему, определенную законодательно, будет зависеть от восприятия их ценности и, вероятно, от требований законодательства. По его прогнозу, качество моделей, построенных на датасетах из разных источников разных индустрий, скорее всего, будет высоким для того, чтобы заинтересовать компании финансового сектора, телекома, электронной коммерции, рекламной индустрии и интернет-компании.

В сентябре текущего года Минэкономики предложило ввести «санитизацию» данных ограниченного доступа. В соответствии с подготовленными поправками, санитизированные данные — это или персональная информация, измененная настолько, что восстановить её принадлежность конкретному лицу невозможно, или относящаяся к банковской, налоговой тайне, тайне связи и так далее, из которой убраны все конфиденциальные детали, создающие необходимость в защите (детали о трансакциях, уплаченных налогах и другое).

Министерство предлагает для каждого вида информации разработать свои алгоритмы санитизации. Там также уточнили, что данные могут быть санитизированы как для государства, так и для бизнеса.