С чистого лица: персональные данные хотят обезличивать по закону
В закон о персональных данных предлагают внести порядок обезличивания информации — после такой «очистки» нельзя будет определить ее принадлежность конкретному человеку. Разработку поправок одобрила рабочая группа «Нормативное регулирование» АНО «Цифровая экономика», рассказали «Известиям» в организации. Их планируется предложить ко второму чтению правительственного законопроекта об обезличивании данных — сейчас он предполагает, что методы «очистки» и требования к ним разработает Роскомнадзор. Бизнес настаивает на том, чтобы они были указаны в законе — это гарантирует их неизменность. Также планируется запретить обратный процесс, то есть полностью исключить возможность связывания информации с гражданином. До сих пор в РФ не было легального механизма обезличивания персональных данных для компаний. Это стало определенным барьером для инвестиций в проекты big data и искусственного интеллекта.
Нужна стабильность
Решение о внесении поправок в правительственный законопроект рабочая группа «Нормативное регулирование» АНО «Цифровая экономика» приняла большинством голосов на заседании 21 июля, рассказали «Известиям» в некоммерческой организации. В группу входят представители бизнеса, а также Минкомсвязи, ФАС, Госдумы и др.
Ранее правительство РФ внесло в ГД законопроект об обезличивании персональных данных. Согласно документу, обработка информации о человеке может вестись «в дополнительных целях», если на это получено его согласие. Либо, например, «в статистических или иных исследовательских целях», но для этого данные должны быть «очищены». Требования и методы обезличивания, согласно поправкам, установит Роскомнадзор. Законопроект пока не рассматривался в первом чтении.
В своем отзыве на правительственные поправки центр компетенции федерального проекта «Нормативное регулирование цифровой среды» (документ есть в распоряжении «Известий») указывает, что в нынешней версии они сводятся к делегированию полномочий на уровень Роскомнадзора. Законопроект не устанавливает должным образом ни порядок обезличивания персональных данных, ни основные условия использования информации, полученной в результате такой «очистки». Это связано с очевидными рисками для соблюдения баланса интересов участников правоотношений, делают вывод эксперты.
Центр компетенции прогнозирует, что подобный режим регулирования и легкость его радикального пересмотра могут негативно повлиять на готовность российских технологических компаний инвестировать в развитие рынка больших данных, прямо или косвенно связанных с персональной информацией. Это приведет к отставанию от конкурентов, работающих в более благоприятных правовых режимах.
В нынешней редакции законопроект не обеспечивает решение задачи по повышению доступности данных, необходимых для развития цифровых технологий, в том числе искусственного интеллекта, согласен директор департамента развития и планирования фонда «Сколково» Сергей Израйлит.
На рабочей группе принято решение дополнительно проработать законопроект ко второму чтению в Госдуме, пояснил заместитель генерального директора, директор по направлению «Нормативное регулирование» АНО «Цифровая экономика» Дмитрий Тер-Степанов. В том числе нужно решить вопросы оборота обезличенных данных, запрета на обратный процесс, то есть исключить возможность заново связать информацию с гражданином (деобезличивание) и ввести ответственность за нарушение этого правила. Будут созданы такие механизмы, которые в безусловном порядке обеспечат соблюдение прав граждан на защиту их персональных данных на всех этапах обработки, добавил он.
Какие конкретно формулировки будут предложены в законопроект ко второму чтению, определят центр компетенций, Минкомсвязь, департамент информационных технологий Москвы и администрация президента, отметил Дмитрий Тер-Степанов.
По приказу
В Минкомсвязи, однако, с позицией бизнеса о том, чтобы все методы обезличивания были указаны именно в законе, не согласны. Замглавы ведомства Людмила Бокова сказала «Известиям», что приказ гораздо проще корректировать. В нем можно прописать новые нормы обезличивания — более безопасные и прогрессивные, идущие в ногу с развитием технологий обработки персональных данных.
Сегодня методы и требования к «очистке» распространяются только на госорганы, они есть в приказе Роскомнадзора N 996 от 5 сентября 2013 года. Документ на бизнес напрямую не распространяется, компании используют его положения на свой страх и риск, пояснила Людмила Бокова.
По ее словам, Минкомсвязь предлагает распространить действие этого приказа и на бизнес. Такой подход — установить требования к обезличиванию на уровне подзаконных актов — она считает более гибким.
— В законе прописано, что такое обезличивание персональных данных, и никто не мешает развивать технологии, используя методы деперсонификации, прописанные в приказе Роскомнадзора, — прокомментировала она.
По мнению президента Ассоциации больших данных Анны Серебряниковой, в законодательстве требуется четче прописать: обезличенные данные могут обрабатываться более свободно при условии, что обратный процесс невозможен.
— Без включения изменений в закон о персональных данных не удастся решить вопросы использования больших объемов информации для развития российских технологий, продуктов и сервисов на основе их обработки, а также достигнуть целей, поставленных президентом РФ в национальной стратегии развития искусственного интеллекта и послании Федеральному Собранию, — пояснила она.
Директор по управлению и анализу данных QIWI Юлия Богачева согласна, что отсутствие конкретики грозит сокращением создаваемых решений на базе аналитики данных и снижением инвестиционного интереса к таким технологиям.
В департаменте информационных технологий Москвы и Роскомнадзоре на момент публикации не ответили на запросы «Известий».