Анонимность по запросу
Государственному «озеру данных» готовят наполнение
Минцифры подготовило правила работы по обезличиванию персональных данных, которые должны начать действовать с сентября этого года для наполнения госсистемы «озера данных». Операторам данных предложены пять методов обезличивания, они будут проводиться только через софт Минцифры. В правительстве ожидают, что сбор информации «наполнит рынок данных», но бизнес опасается ответственности за безопасность информации.
Фото: Дмитрий Духанин, Коммерсантъ
Фото: Дмитрий Духанин, Коммерсантъ
“Ъ” ознакомился с разработанными Минцифры правилами работы с обезличенными персональными данными (проект постановления правительства), которые будут распространяться как на бизнес, так и на госструктуры. Правила подготовлены к принятым прошлым летом поправкам к ФЗ «О персональных данных», которые установили механизм формирования баз данных с обезличенной информацией и их хранения в госсистеме. Механизм должен заработать в сентябре 2025 года. Загружать в систему дата-сеты по запросу Минцифры будут госорганы и компании—операторы данных, однако детали информационного обмена и методы обезличивания ранее установлены не были. В правительстве формирование рынка данных курирует аппарат вице-премьера Дмитрия Григоренко.
По словам собеседника “Ъ”, знакомого с ходом работы над созданием системы обезличенных персональных данных, в 2025 году первыми компаниями, которые начнут сдавать информацию в систему, будут операторы связи.
Согласно одному из нормативных актов (есть у “Ъ”), регулятор утвердил следующие методы обезличивания персональных данных: метод введения идентификаторов — замена части сведений идентификаторами с созданием «таблицы соответствия исходным данным», изменение состава или семантики данных, в том числе путем удаления части сведений; метод декомпозиции — разбиение массива персональных данных на несколько частей и раздельное их хранение; также метод перестановки отдельных записей, групп записей в массиве персональных данных и метод преобразования — агрегация данных через их обобщение, например по качественным значениям.
Также, согласно документам, бизнес будет уведомлен о необходимости представить информацию в систему, но обезличить данные сможет только с использованием специального программного обеспечения (ПО), его бесплатно предоставит Минцифры. Компании-операторы должны будут обеспечить «раздельное хранение» персональных и обезличенных данных и будут отвечать за их безопасность и исключение из данных, доступ к которым ограничен по закону. Оператором системы станет Минцифры, а доступ к данным могут получить представители организаций, компаний и госорганов по запросу. При этом еще в тексте поправок, принятых летом, закреплялось, что передача данных со стороны бизнеса в госсистему добровольна.
В аппарате вице-премьера Дмитрия Григоренко “Ъ” сообщили, что обмен обезличенными наборами данных между бизнесом и государством — «один из вариантов насыщения рынка данных». Обезличенная информация необходима для обучения ИИ, изучения ситуации в разных областях — от социальной сферы до экологической и безопасности граждан. «Составы данных могут формироваться при ЧС природного и техногенного характера, при введении чрезвычайного положения или карантина из-за инфекционных заболеваний»,— рассказали в ведомстве.
В Минцифры также отметили, что «благодаря обезличенным данным государство сможет принимать более эффективные решения». «ПО для обезличивания будет предоставляться операторам данных бесплатно и гарантирует правильное применение методов обезличивания с учетом заданных в требованиях Минцифры параметров». «Позитивно отмечаем фокус на безопасности данных граждан и ограничения по использованию таких данных только в определенных случаях, таких как предотвращение и ликвидация последствий ЧС»,— поделился директор по аналитике АНО «Цифровая экономика» Карен Казарян. В операторах «большой четверки» отказались от комментария.
Крупный бизнес, со своей стороны, заинтересован в работе с массивом обезличенных данных, однако сомневается в безопасной работе через единственное утвержденное ПО. В Ассоциации больших данных (АБД; «Яндекс», VK, «Ростелеком» и т. д.) говорят, что «безальтернативное использование ПО организациями, которые работают с охраняемыми тайнами, лишает их возможности управлять рисками и угрозами безопасности; необходимо однозначно решить вопрос об ответственности за нарушение охраны передаваемых в систему дата-сетов». Сейчас по закону ответственность за отсутствие тайн в обезличенных персональных данных несет оператор, напоминают в АБД. В случае с внешним ПО ответственность должны нести сертифицирующий данное ПО орган, разработчик и уполномоченный орган, уверены там.