Безличное дело каждого
Персональным данным подбирают безопасное регулирование
Бизнес обсуждает с Федеральной службой по техническому экспортному контролю (ФСТЭК) стандартизацию безопасной работы с обезличенными персональными данными. В частности, предлагается создать национальный стандарт конфиденциальности такой информации. Операторы персональных данных признают, что пока даже обезличенная информация может быть использована злоумышленниками.
Фото: Ирина Бужор, Коммерсантъ
Ассоциация больших данных (АБД; объединяет «Сбер», «Яндекс», VK и др.) обсуждает со ФСТЭК России снижение рисков «деобезличивания при обработке персональных данных», следует из отчета о деятельности профильного комитета по защите информации ФСТЭК за август. АБД, говорится в отчете, направила в комитет предложения по созданию предварительных нацстандартов «повышения конфиденциальности» данных.
В АБД “Ъ” уточнили, что предлагают закрепить технологии обработки и обмена данными, а также описание каждого класса технологий и подходы к оценке рисков. «Риски деобезличивания — это получение персональной информации из обезличенного набора данных»,— говорят в АБД. Например, существуют риски сопоставления (связывания) данных, риски определения лица за счет его уникальных характеристик и т. д. Модель оценки рисков повторной идентификации АБД рассчитывает все приведенные риски, уточняют в организации.
Обезличивание персональных данных — механизм, делающий невозможной идентификацию личности субъекта данных без дополнительной информации о нем. Обезличивание может применяться, чтобы не допустить несанкционированного изменения данных, доступа к ним с риском для субъекта и т. д.
Во ФСТЭК России не прокомментировали инициативу АБД. Однако в АНО «Цифровая экономика» (объединение госорганов и бизнеса по вопросам цифрового регулирования; входят представители Минцифры, «Сбера», «Почты России» и т. д.) объясняют, что обсуждаемые вопросы важны с учетом того, что нормативные правовые акты по методам обезличивания данных должны быть приняты в рамках федерального закона о таких данных, подписанного 8 августа.
Федеральный закон от 8 августа №233 (вносит изменения в закон «О персональных данных») совершенствует порядок обезличивания персональных данных, их обработку и оборот. Согласно закону, в частности, операторы данных будут обязаны по требованию Минцифры обезличивать обрабатываемые данные и предоставлять их в государственную информсистему, а Минцифры — обеспечивать конфиденциальность этих данных (требование вступает в силу с 1 августа 2025 года). Требования, методы и порядок обезличивания и передачи данных должны быть определены в отдельных подзаконных актах. Еще при прохождении второго чтения проекта поднимались вопросы конфиденциальности таких данных и отмечалось, что он задумывался для передачи данных госорганами разработчикам ИИ-решений, а не бизнеса государству (см. “Ъ” от 10 июня).
В Минцифры “Ъ” сообщили, что обезличивание данных в рамках закона полностью исключает возможность установления личности человека. «Благодаря обезличенным данным государство сможет принимать более эффективные решения»,— добавили там.
Стандарты повышения конфиденциальности данных и их обработки, вынесенные на уровень технических документов, будут легче корректироваться в зависимости от развития разработок в этой области, считает директор по стратегическим проектам Института исследований интернета Ирина Левова. «В свою очередь, при подготовке подзаконных документов ФЗ №233 можно сделать ссылку на актуальный технический стандарт. Поэтому закрепление методов обезличивания данных и сохранения их безопасности в виде технических стандартов — наиболее оптимальный путь реализации требований закона»,— считает она.
Эксперты по кибербезопасности соглашаются, что сейчас есть значительные риски при обороте обезличенных данных граждан. «Раскрыв личность того или иного человека, злоумышленники смогут этим воспользоваться в своих схемах»,— напоминает коммерческий директор компании «Код безопасности» Федор Дбар. Например, отмечает он, при проведении фишинговых атак, которые будут персонализированы и позволят мошенникам найти «ключ» к тому или иному пользователю.