Без лица
Как изменит жизнь принятие закона об обезличенных данных
В России до сих пор нет регулирования обезличенных данных, несмотря на то что еще в 2019 году президент поручил плотно заняться вопросом развития в стране технологий искусственного интеллекта (ИИ). Бизнесу приходится использовать обезличенные данные на свой страх и риск. В Минцифры предложили регулирование, которое не упрощает работу с обезличенными данными, а скорее даже несколько ужесточает их оборот. Впрочем, недавно министерство все-таки пошло навстречу бизнесу.
Цели, для которых предполагается дополнительный сбор данных государством, у бизнеса вызывают вопросы
Фото: Александр Коряков, Коммерсантъ / купить фото
Проектирование
В действующей редакции закона «О персональных данных» 152-ФЗ указано, что обезличивание — это действия, в результате которых становится невозможным определить принадлежность данных конкретному человеку без дополнительной информации. На данный момент в России нет отдельного правового режима для обезличенных данных, и фактически они регулируются как персональные. Сегодня методы и требования к обезличиванию персональной информации граждан распространяются только на госорганы, они есть в приказе Роскомнадзора №996 от 5 сентября 2013 года. На бизнес положения этого документа напрямую не распространяются, но компании используют его на свой страх и риск.
Законопроект об обезличенных данных был внесен в Госдуму и принят в первом чтении в начале 2020 года. Его целью было упростить порядок сбора бизнесом согласий с граждан на обработку их персональных данных. В частности, предлагалось наделить владельцев данных правом давать согласие на обработку информации сразу для нескольких целей и организаций. Вместо ФИО и адреса разрешить использование «уникального идентификатора», например ИНН гражданина. Право устанавливать требования к обезличиванию данных и методы этого поручалось Роскомнадзору. В случае принятия во втором и третьем чтениях законопроект должен был вступить в силу через полгода после публикации.
К середине марта законопроект доработали ко второму чтению в Минцифры. Свою первую версию документа министерство внесло в правительство РФ 10 марта, однако уже 16 марта Минцифры направило документ повторно. В новой версии появился пункт, предполагающий создание государственных центров хранения обезличенных персональных данных россиян. Все российские операторы персональных данных, указано в документе, должны будут передавать их в обезличенном виде в соответствующие государственные центры. Эту информацию, по версии Минцифры, будут использовать «для государственного и муниципального управления» и развития систем ИИ, следует из поправок. Порядок их передачи должно определить правительство. При этом круг операторов персональных данных весьма широк: ими могут быть как органы власти, так и различные компании и организации, в том числе физические лица.
Кроме того, из документа убрали возможность идентифицировать по другим идентификаторам, кроме паспортных данных. А также проект предусматривает запрет на повторную идентификацию данных клиента, даже если это необходимо оператору данных или для защиты публичных интересов.
В пресс-службе Минцифры сообщили, что министерство не отказалось от инициативы обязать бизнес передавать обезличенные данные государству. Однако в законопроекте есть ряд ограничений — например, обезличивать можно без согласия, но при условии, что при обработке не нарушаются права и законные интересы граждан, организаций, общества и государства, в случае невыполнения этих требований обработка должна быть прекращена.
Реакция
Версия документа, отправленного Минцифры в марте в аппарат правительства, не была согласована с экспертами и бизнесом. Требования законопроекта выглядят избыточными, считает президент Ассоциации больших данных Анна Серебряникова: «Государство и так располагает всеми документами граждан — от свидетельства о рождении до свидетельства о смерти. При этом цели, для которых предполагается дополнительный сбор данных государством, вызывают вопросы». По ее мнению, принятие поправок в этой версии может существенно затормозить развитие рынка больших данных и проектов в области ИИ в России.
Сейчас компании обезличивают данные выборочно, исходя из экономической целесообразности их обработки. Безвозмездное обезличивание и передача властям данных приведет к существенной трате мощностей, времени и ресурсов компаний, поясняет директор по стратегическим проектам Института исследований интернета Ирина Левова.
Бизнес считает, что в законопроекте сейчас недостаточно информации о том, что подразумевается под обезличенными данными, как и в каком виде они будут передаваться и как будет обеспечиваться их безопасность. «В таком виде законопроект может привести к снижению приватности и безопасности данных пользователей»,— отметили в «Яндексе».
Предыдущая версия законопроекта предусматривала необходимость согласия субъекта на обезличивание данных, полученных на законных основаниях, но не уточняла, необходимо ли согласие для обработки информации, полученной без законного основания. Фактически проект пытался поставить знак регуляторного равенства между персональными данными и обезличенными персональными данным, рассуждает старший юрист фирмы Digital Rights Center Владимир Ожерельев. При этом операторам было запрещено осуществлять действия, направленные на обратную идентификацию субъектов обезличенных данных, если это не связано с необходимостью защиты жизни, здоровья и интересов субъектов, добавляет он.
По задумке авторов проекта обязанность операторов безвозмездно передавать обезличенные данные госорганам позволит расширить возможности работы государственных информационно-аналитических сервисов, объясняет господин Ожерельев. В то же время это создаст необоснованную нагрузку на операторов. По всей видимости, это требование в первую очередь коснется крупных операторов — банков и операторов связи, добавил он.
Компромисс достигнут?
Минцифры 19 мая направило уже третью версию законопроекта. Новая версия поправок предполагает, что обезличивать данные россиян можно будет без получения согласия. При этом в документе есть запрет на обработку информации, позволяющей отнести ее к некоторым категориям граждан: сотрудникам силовых ведомств, судьям, свидетелям. Эти данные регулируются соответствующими законами.
В новой версии документа сохранилось требование для бизнеса передавать обезличенные данные государству, которое будет их использовать для развития систем ИИ. Однако оговаривается, что их передача разработчикам (причем бесплатно) будет проводиться не ранее чем через три года.
Обезличивание без отдельного согласия с условием соблюдения законных оснований упрощает бизнесу работу с данными, говорит гендиректор Института исследований интернета Карен Казарян. То, что разработчики будут иметь доступ к данным бизнеса только через три года, когда они уже потеряют основную коммерческую ценность,— это компромиссный вариант. Самими разработчиками сервисов ИИ эти данные будут востребованы для построения моделей ИИ, добавляет господин Казарян.
Требование бесплатно передавать обезличенные данные государству не соответствует статье 35 Конституции РФ, где сказано, что принудительное отчуждение имущества для государственных нужд должно сопровождаться равноценным возмещением, считает эксперт Russian Privacy Professionals Association Екатерина Калугина. По ее словам, обезличенные данные могут составлять для оператора секрет производства, охраняться как коммерческая тайна и находиться на балансе оператора как нематериальный актив. «Обязанность предоставлять такие данные в госорганы фактически будет означать потерю коммерческой ценности данного актива»,— пояснила она.
Есть два вида обезличенных данных. В одном случае информацию можно вернуть к личности человека за счет применения технических средств. В другом — данные полностью утратили связь с личностью человека, поясняет председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев. По его мнению, и для бизнеса, и для самих субъектов данных использование таких данных выгодно, так как отсутствие необходимости собирать согласие на использование снизит административный барьер и затраты бизнеса в сфере цифровой экономики. «При этом защищенность граждан при возможных утечках будет выше, так как конкретную личность затруднительно установить. Кроме того, это важный шаг в сторону защиты приватности граждан, а также конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных»,— считает он.
Судя по всему, в правительстве посчитали, что внесение в законопроект требований по передаче бизнесом дата-сетов позволяет выполнить поручение президента. При этом в качестве компромисса убрали из документа требование получать согласие на обезличивание и использование персональных данных, размышляет Карен Казарян. По его словам, это нельзя назвать идеальным регулированием для бизнеса. Но этот законопроект не финальная точка, а начало пути к дальнейшему совершенствованию правового режима обработки обезличенных данных в России, надеется он.