В новой версии законопроекта, регулирующего работу Национальной системы управления данными (НСУД), Минэкономики вводит понятие санитизации данных — отделение информации ограниченного доступа, например составляющей тайну связи, банковскую или налоговую. Это призвано упростить процедуру обмена данными между госструктурами, а компаниям позволит использовать информацию из госсистем для обучения искусственного интеллекта и построения бизнес-моделей. Но эксперты предупреждают, что при обогащении такой информации другими данными она может оказаться скомпрометирована.
Фото: Евгений Павленко, Коммерсантъ
“Ъ” ознакомился с новой версией подготовленных Минэкономики поправок к закону «Об информации», регулирующих работу Национальной системы управления данными. Речь идет в первую очередь о закреплении в законе процедуры санитизации данных ограниченного доступа.
В соответствии с документом санитизированные данные — это или персональная информация, измененная настолько, что восстановить ее принадлежность конкретному лицу невозможно, или относящаяся к банковской, налоговой тайне, тайне связи и так далее, из которой убраны все конфиденциальные детали, создающие необходимость в защите (детали о трансакциях, уплаченных налогах и другое). Предполагается, что по каждому виду информации ограниченного доступа будут разработаны специальные технологии и алгоритмы санитизации.
Создание НСУД предусмотрено нацпроектом «Цифровая экономика». На платформе планируется объединить данные из сотен госсистем, реестров и баз, чтобы ими могли обмениваться ведомства и бизнес. Одним из главных нововведений прежней версии стало закрепление возможности для бизнеса на возмездной основе получать доступ к данным (см. “Ъ” от 26 мая).
У закона «Об информации» сквозное регулирование, в рамках его изменений разрабатывается возможность санитизировать данные и для государства, и для бизнеса, уточнили в Минэкономики, «при этом в каждом отраслевом подзаконном акте требуется разработка технологий и алгоритмов, а также особых подходов к регулированию санитизации».
Санитизация не противоречит политике в области защиты данных, заверяют в Минцифры.
Механизм можно использовать в работе с базами данных юрлиц в рамках НСУД, добавили в министерстве, «в информации о налогах и сборах за год нет персональных, но есть конфиденциальные данные». Как пояснил “Ъ” собеседник, близкий к разработке инициативы, обработкой будет заниматься НСУД. Если дата-сеты будут храниться в НСУД, то и санитизацией будет заниматься эта система, а если данные принадлежат бизнесу, процедуру проводят сами компании, считает бизнес-консультант по безопасности Positive Technologies Алексей Лукацкий.
Механизмы, которые путем удаления конфиденциальной информации выводят использование данных из-под регуляторных ограничений, расширят возможности по повторному использованию и должны быть введены для бизнеса, считает президент Ассоциации больших данных (объединяет МТС, «МегаФон», Сбербанк, «Яндекс», VK, Газпромбанк и др.) Анна Серебряникова.
Санитизация, отмечает главный юрисконсульт практики интеллектуальной собственности ЭБР Кирилл Ляхманов, может помочь обеспечить доступ к данным, собираемым ГИС для бизнеса, например, это могут быть данные о погоде, ЖКХ, транспорте и пешеходном трафике, о загрязненности воздуха.
Сейчас российское законодательство не оговаривает какой-либо процедуры избавления данных от режима конфиденциальности, бизнес не может использовать информацию, ограниченную, например, тайной связи или банковской тайной, поясняет гендиректор Института исследований интернета Карен Казарян.
По его мнению, процедура санитизации позволяет бизнесу использовать информацию ограниченного доступа в обработанном виде для анализа искусственным интеллектом. Более знакомое обезличивание — частный случай санитизации, когда речь идет только о персональных данных, уточнил эксперт. Однако, предупреждает он, при некорректной обработке конфиденциальной информации есть риски компрометации, особенно если ее обогатить другими данными.