С 2025 года в России заработает система обезличивания ПДн

Правительство РФ утвердило новые правила обезличивания персональных данных (ПДн), которые вступают в силу с 1 сентября 2025 года. 

Это нововведение создаст правовую основу для использования больших данных в целях технологического развития и государственного управления, одновременно стремясь защитить конфиденциальность граждан.

В связи с этим, Минцифры России уже в начале сентября запустит платформу для обмена обезличенными персональными данными с их операторами через новую государственную информационную систему (ГИС). 

Новый баланс между государственными нуждами и правами граждан

Поскольку новые правила являются частью более широкой стратегии по регулированию оборота данных в Российской Федерации, можно утверждать о том, что они важны по нескольким причинам:

• Правовая определенность. Создается четкая правовая база для использования обезличенных данных, что раньше находилось в «серой зоне»;
• Развитие технологий. Это открывает возможности для развития технологий искусственного интеллекта и анализа больших данных (Big Data) на основе реальной, хотя и анонимизированной информации;
• Баланс интересов. Законодательство пытается найти баланс между потребностями государства в данных и правом граждан на частную жизнь. Граждане получат уведомления о планах по передаче их обезличенных данных и смогут возразить против этого.

Таким образом, государство и бизнес смогут обмениваться большими массивами данных, но исключительно в обезличенном виде. 

Вся эта инфраструктура будет строиться на базе предусмотренной властями ГИС — «Единой информационной платформы национальной системы управления данными» с компонентом «Единой доверенной платформы для обмена и анализа данных». Эта система была запущена в 2021 году для систематизации государственных данных, повышения их актуальности и качества. И с тех пор Правительство РФ постепенно расширяло функционал платформы, чтобы к настоящему моменту были определены правила взаимодействия с операторами и регламенты обмена информацией. 

Как это будет работать

Процесс взаимодействия будет выглядеть следующим образом:

• Запрос от Минцифры России. Министерство направляет оператору персональных данных требование о предоставлении обезличенных данных для формирования определенного набора сведений (например, для анализа в рамках развития искусственного интеллекта);
• Согласование. Требование о предоставлении данных в обязательном порядке согласовывается с ФСБ, Роскомнадзором и Центральным банком (если речь идет о финансовых организациях);
• Обезличивание данных оператором. Оператор, получив требование, должен обезличить данные, используя утвержденные методы. Для этого он может применять как собственное программное обеспечение, так и бесплатное ПО, предоставляемое Минцифры России;
• Передача в ГИС. Обезличенные данные передаются в государственную информационную систему Минцифры России через систему межведомственного электронного взаимодействия (СМЭВ).

При этом оператор будет обязан обеспечить раздельное хранение исходных персональных данных и уже обезличенных сведений.

Перспективы и вызовы

Нововведения безусловно несут в себе как новые возможности, так и определенные риски для всех участников процесса.

Возможности:

• Легальное использование данных. Компании смогут законно использовать обезличенные данные для аналитики, маркетинговых исследований и обучения моделей искусственного интеллекта, не опасаясь нарушения законодательства о ПДн;
• Улучшение государственных услуг. Государство сможет эффективнее анализировать социальные и экономические процессы, что потенциально приведет к улучшению качества государственных сервисов;
• Новые бизнес-модели. Появится возможность для создания новых сервисов и продуктов на основе анализа больших данных.

Риски:

• Дополнительная нагрузка на бизнес. Организациям потребуется внедрять новые процедуры, обучать персонал и, возможно, закупать специализированное ПО для обезличивания данных. Для малого и среднего бизнеса это может стать серьезной финансовой и организационной нагрузкой.
• Увеличение штрафов. Законодательство не перестает ужесточать ответственность за нарушения в сфере обработки ПДн, включая утечки;
• Риск деанонимизации. Несмотря на утвержденные методы, всегда существует теоретический риск, что обезличенные данные могут быть сопоставлены с другой информацией, что приведет к повторной идентификации человека;
• Риски злоупотреблений. Передача данных через СМЭВ, хотя и считается безопасной, может увеличить риски злоупотреблений при отсутствии должного контроля за обоснованностью запросов со стороны госорганов. 

В заключение 

В свете этого возникают определенные вопросы. Насколько гарантировано обезличивание? Насколько вероятны утечки огромных массивов персональных данных? Насколько прозрачны коммуникации? И будет ли фактически учитываться отказ субъекта персональных данных от передачи его данных даже в обезличенном виде? 

К сожалению, однозначных ответов на эти вопросы пока нет, так как практика применения нового законодательства только формируется. Но мы будем надеяться, что технологические и организационные меры окажутся эффективными, защита государственных информационных систем будет на высоте, а баланс между общественными интересами и правами граждан будет безоговорочно соблюдаться. В конечном итоге, успех этой масштабной инициативы будет зависеть от того, насколько ответственно все участники процесса подойдут к исполнению новых правил.