Персональный рейд: регулирование обезличенных данных затягивается
Принятие поправок к закону об обезличивании персональных данных граждан перенесут минимум на год. Меру сначала протестируют в «регуляторной песочнице». Это решение приняли во время обсуждения поправок на площадке АНО «Цифровая экономика» 1 декабря, рассказали «Известиям» участники совещания, информацию подтвердили Минцифры. Поправки нужны бизнесу, сейчас такие данные регулируются как персональные, а это накладывает ряд ограничений на их обработку и тормозит внедрение новых сервисов. Например, прогнозирования маршрутов общественного транспорта и дорог на основе перемещения жителей города, определения наиболее рентабельных мест для открытия кафе или магазинов. «Песочница» позволит обкатать методику обезличивания на практике, но принятие закона затянется на срок эксперимента.
Запустить в оборот
Закон «О персональных данных» приняли в 2006 году. Он регулирует деятельность по обработке и использованию личной информации россиян. Минцифры в рамках федерального проекта «Нормативное регулирование цифровой среды» нацпроекта «Цифровая экономика» разработали поправки в этот закон, предусматривающие обезличивание данных граждан.
1 декабря на площадке АНО «Цифровая экономика» прошло их обсуждение. В результате принято решение организовать «регуляторную песочницу», в которой протестируют эффективность методики обезличивания данных. Только после этого поправки в закон «О персональных данных» внесут в Госдуму, рассказал «Известиям» один из участников совещания.
По его словам, «песочница» — это компромисс. Регуляторный эксперимент может показать эффективность и безопасность методики. Но он же может привести к затягиванию внедрения регулирования обезличенных данных в России. Этот законопроект и так разрабатывается уже два года. В органах исполнительной власти нет заинтересованных в принятии этой инициативы, отметил собеседник издания.
«Регуляторная песочница» нужна, чтобы обкатать на практике объединение обезличенных данных нескольких компаний, что делает аналитику на их основе более точной. Сейчас обмен данными между организациями, например, банками и операторами связи, находится в «серой» зоне, пояснил «Известиям» еще один участник заседания. По словам собеседника газеты, на совещании договорились использовать риск-ориентированный подход к обезличиванию данных, предполагающий введение коэффициента обезличивания информации. Так более щепетильные данные, например, медицинские, потребуют большей степени обезличивания, добавил он.
Минэкономразвития уже подготовило законопроект для запуска «регуляторной песочницы». Его принятие и последующее утверждение программы эксперимента возможны в I полугодии 2021 года, сообщили в пресс-службе ведомства. Эксперимент планируется на срок от года до трех, уточнили в пресс-служба ведомства.
Определить степень
В Минцифры «Известиям» подтвердили, что вопрос апробирования методологии обезличивания персональных данных был утвержден в рамках совещания представителей органов исполнительной власти и бизнес-сообщества. При положительных результатах эксперимента предложения проработают и включат в нормативные правовые акты, отметил врио директора департамента информационной безопасности Минцифры Дмитрий Реуцкий.
В Роскомнадзоре на запрос «Известий» не ответили.
Методы обезличивания персональной информации и установленный для каждого метода коэффициент позволят ввести в оборот уже накопленные бизнесом массивы данных, необходимые для развития цифровых сервисов и систем искусственного интеллекта. Это важно независимо от того, будут ли эти методики включены в обсуждаемый законопроект или в одну из «регуляторных песочниц», отметил заместитель гендиректора — директор по направлению «Нормативное регулирование» организации «Цифровая экономика» Дмитрий Тер-Степанов.
Для каждой категории персональной информации предполагается установить свой коэффициент обезличивания, что позволит осторожнее работать с чувствительными данными. Например, при обработке медицинской информации нужно устанавливать максимальный коэффициент обезличивания. А если это, например, информация о том, в какое время человек посещал парк, степень обезличивания может быть ниже. Коэффициент позволяет быть гибким с данными и при этом максимально их защитить, пояснил Дмитрий Тер-Степанов.
Не личное дело
На данный момент в России нет отдельного правового режима для обезличенных данных, то есть фактически они регулируются как персональные данные. Это накладывает на их обработку существенные ограничения, отметили в ассоциации больших данных (АБД).
В мировой практике методы обезличивания оценивают по специальной модели, позволяющей понять риск определения принадлежности данных тому или иному человеку после их «очищения», пояснили в ассоциации. Так, если после обезличивания можно установить владельца данных только после дополнительных манипуляций, то коэффициент будет до 0,8. В случае, когда практически невозможно установить личность или возможно только после трудоемких и дорогих процедур, данные признаются обезличенными, а коэффициент составляет от 0,8 до 1, пояснили в АБД.
В ассоциации считают, что нужно ввести в законодательство понятие обезличенных данных и установить принципы их обработки, а также методики обезличивания с коэффициентом анонимности от 0,8. Таким образом у компаний появится возможность обрабатывать и объединять такую информацию из нескольких организаций. Это приведет к развитию современных сервисов, а также повысит безопасность личной информации пользователей.
Эксперименты с данными позволят разработчикам совершенствовать свои сервисы или создавать принципиально новые. Это могут быть рекомендательные, прогностические программы или приложения, которые помогут выбрать оптимальную локацию для туристической поездки или подскажут, где построить развязку, которая существенно разгрузит дороги в часы пик, заключили в ассоциации.
9 декабря Госдума приняла в первом чтении законопроект депутата Антона Горелкина, запрещающий использовать общедоступные персональные данные без согласия владельца, а также предоставляющий право требовать от оператора их удаления. Если документ примут, каждый сайт будет обязан спрашивать пользователей, какие данные о них можно опубликовывать и передавать третьим лицам. Невыполнение требования повлечет за собой штраф.