Персональные данные поместят в «песочницу»
Механизм ЭПР предлагается расширить
Минэкономики предлагает распространить механизмы экспериментального правового режима (ЭПР) на сферу обработки данных, в том числе персональных. Предполагается, что помещение этой деятельности в так называемую цифровую песочницу решит проблему получения согласия субъекта персональных данных по каждому запросу на обезличивание данных и позволит провести пилотные проекты по объединению данных из разных отраслей. Последнее необходимо, например, для построения финансовых моделей на основе объединенных обезличенных данных банков, операторов связи, геоинформационных сервисов и интернет-компаний.
Минэкономики опубликовало на regulation.gov.ru проект поправок к постановлению правительства от 18 декабря 2020 года об инновациях, по которым может устанавливаться режим ЭПР («цифровые песочницы»).
Ведомство предлагает охватить им «обработку данных, в том числе персональных данных, и деятельность, связанную с такой обработкой».
Как пояснили “Ъ” в Минэкономики, это «позволит бизнесу тестировать решения, в том числе предполагающие коммерческое использование технологий работы с большими данными».
По словам гендиректора АНО «Цифровая экономика» Сергея Плуготаренко, запуск ЭПР позволит протестировать работу института коммерческих и государственных дата-посредников. Так, одна из инициатив в этой области предусматривает, что компания—доверенный посредник будет обеспечивать передачу, объединение и контроль обработки данных, предоставлять доступ к сертифицированной инфраструктуре для загрузки данных, а также для их анализа и разработки продуктов и сервисов на основе аналитики больших данных.
Как пояснила “Ъ” директор по стратегическим проектам Института исследований интернета Ирина Левова, появление частных доверенных посредников в дополнение к существующим государственным в том числе будет означать наличие альтернативных площадок, соответствующих требованиям информбезопасности и позволяющих удовлетворить спрос участников рынка на инфраструктуру для аналитики данных.
Вопрос о коммерческих дата-посредниках сейчас находится в процессе проработки на уровне ЭПР, а государственных — на уровне инициатив Минцифры по так называемому озеру данных, рассказал “Ъ” директор по аналитике АНО «Цифровая экономика» Карен Казарян.
Поясним, что готовящийся «ГосДата.хаб проект» должен объединить потоки обезличенных данных госорганов, в «озеро» они попадут в обезличенном виде — деперсонализация предполагается на стороне поставщика. Сначала наборы данных будут доступны для госорганов, в перспективе доступ к ним получит и бизнес.
Наличие дата-посредников станет мерой регулирования в области обработки обезличенных данных без письменного согласия и позволит решить проблему частоты предоставления согласия по каждому запросу, отмечает Сергей Плуготаренко. Сейчас в Госдуме на рассмотрении находятся поправки к закону «О персональных данных» (ПД), регулирующие оборот обезличенной информации. Принятая в первом чтении еще в феврале 2021 года редакция предполагала, что гражданин может дать одно согласие сразу на несколько целей обработки его данных, в том числе и обезличивание, после чего бизнес сможет свободно их использовать.
Принятие подготовленных Минэкономики поправок позволит провести пилотные проекты по объединению данных из разных отраслей, отмечают в Ассоциации больших данных (АБД). При этом тестирование методик обезличивания в рамках таких ЭПР даст понимание, какие из них обеспечат максимальную полезность данных при минимальных рисках для субъектов персональных данных, говорит президент АБД Анна Серебряникова. По словам Ирины Левовой, объединение данных позволит оценить локацию и спрогнозировать финансовую модель на основе объединенных обезличенных данных банков, операторов связи, геоинформационных сервисов и интернет-компаний, а также противодействовать мошенничеству на финансовом рынке.
Эксперты об обезличивании данных
Директор по аналитике АНО «Цифровая экономика» Карен Казарян отмечает, что письменное согласие не является единственным основанием для обработки персональных данных. Например, данные обрабатываются для борьбы с мошенничеством на основе «законного интереса». Вместе с тем эксперт отмечает, что проектируемые изменения в законодательство в части обезличивания, а также в закон об ЭПР не предполагают согласия граждан на обработку обезличенных данных. Дополнительную защиту прав граждан должен обеспечить механизм аккредитации дата-посредников с точки зрения технологической и операционной безопасности. «Обработка данных в закрытом контуре дата-посредника должна пресечь риски утечек»,— говорит он. Директор Института проблем правового регулирования НИУ ВШЭ Анна Дупан указывает, что особенности ЭПР позволят как раз выявить тонкие места при обработке обезличенных персональных данных. «Фактически жизненный цикл обезличенных данных будет прожит под "наблюдением", что позволит обеспечить права граждан на защиту их персональных данных»,— указывает эксперт.