Как обезличивание становится главным инструментом экономики данных

С 1 сентября 2025 года в России вступили в силу новые поправки к Федеральному закону № 152-ФЗ «О персональных данных». Изменения касаются правил обезличивания персональных данных и закреплены в статье 13.1 закона, а также в Постановлении Правительства РФ от 01.08.2025 № 1154 и Приказе Роскомнадзора от 19.06.2025 № 140.

Ключевым нововведением стало обязательство операторов персональных данных предоставлять обезличенные наборы данных (в законе используется термин «состав» данных) по официальным запросам от Минцифры с целью повышения эффективности государственного управления и аналитики. При этом обезличенные данные не должны позволять определять конкретного человека.

На фоне майских поправок 2025 года, установивших оборотные штрафы за нарушения в обработке персональных данных, первая реакция компаний оказалась ожидаемой: очередное ужесточение, итак достаточно строгого закона.

Примечание: 30 мая 2025 года значительно ужесточена ответственность за нарушение закона № 152-ФЗ «О персональных данных». Расширен перечень составов правонарушений по статье 13.11 КоАП РФ, включая введение оборотных штрафов.

Однако при более внимательном анализе становится ясно, что новые поправки подводят логическую черту под многолетней работой по созданию одного из самых прогрессивных режимов защиты персональных данных в мире.

Когда закон защищает не только данные, но и личность

Международное законодательство традиционно оперирует понятием PII — Personally Identifiable Information или персональная идентификационная информация. 

Согласно международному стандарту ISO/IEC 29100 (ГОСТ Р ИСО/МЭК 29100-2013) это любая информация, которая может быть использована для идентификации личности, либо уже связана с ней напрямую или косвенно (глава 2, п. 2.9).

Это означает, что, если набор данных не позволяет установить личность субъекта, он не считается PII и, соответственно, не подпадает под защиту закона.

В России, напротив, объектом защиты выступают персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3, п. 1, 152-ФЗ «О персональных данных»).

На первый взгляд, обе концепции защищают одно и то же — данные об индивидууме. Однако ключевое различие кроется в терминах: «идентифицируемый» (в международной практике) и «определяемый» (в российской). В российском праве защита распространяется на любую информацию, связанную с субъектом, даже если технически его невозможно установить.

Разница фундаментальная. В РФ под защитой оказывается весь цифровой след или все, что пользователь оставляет в приложениях, сервисах, сайтах.

Примечание: Термин «цифровой след» (англ. digital footprint) получил широкую известность благодаря Тони Фишу, автору книги My Digital Footprint (2007). Он рассматривал цифровой след как уникальный набор действий и данных, которые пользователь оставляет в цифровом пространстве сознательно и неосознанно. Фиш указывал на несправедливость, когда цифровой след накапливается и капитализируется крупными компаниями для извлечения прибыли, в то время как субъекту данных остаются только риски потери приватности.

Таким образом, данные, которые в других странах можно использовать свободно, в РФ требуют специального режима хранения и обработки. Это качественное отличие, которое делает российскую модель одной из самых всеобъемлющих в мире.

Когда данные нельзя удалить

С учетом комплексного характера закона «О персональных данных» становится понятным требование к оператору уничтожать ПДн по достижении цели обработки.

Согласно статье 21 оператор персональных данных обязан прекратить обработку персональных данных и уничтожить их в срок, не превышающий 30 дней с момента достижения цели обработки, если иное не предусмотрено договором, иными соглашениями или федеральными законами. Это требование направлено на минимизацию рисков использования данных помимо заявленных целей и обеспечение права граждан на контроль над своими персональными данными.

Примечание: субъект персональных данных вправе в любой момент отозвать согласие на их обработку (статья 9 закона). В этом случае оператор обязан незамедлительно прекратить обработку и уничтожить данные, если иное не предусмотрено законом. Такая процедура должна быть выполнена в срок, не превышающий 30 дней.

На практике эти требования сталкиваются с технической реальностью. Удалить данные из цифровых систем зачастую гораздо сложнее, чем их собрать. Данные могут сохраняться в отчетах, временных хранилищах, логах, резервных копиях, архивах и системах мониторинга. Гарантировать полное и необратимое удаление данных во всех этих средах практически невозможно.

Тезис о том, что данные в цифровой среде лишь накапливаются, а не исчезают, в целом недалек от истины. Именно поэтому на протяжении многих лет основная установка регулятора звучала так: «чем меньше вы храните, тем меньше рисков и ответственности».

Но возможен ли вообще компромисс между стремительной цифровизацией и правом человека на тайну?

Именно на этот вопрос дают ответ указанные ранее законодательные поправки, которые актуализировали понятие обезличивания данных. И это не просто техническая операция, а правовой инструмент, позволяющий перевести данные в новый статус, при котором определение личности становится невозможным, но при этом сохраняется ценность данных для аналитики и управления, не нарушая права человека на приватность.

В условиях, когда удаление данных невозможно, их обезличивание становится реальной альтернативой «цифровому забвению».

Как обезличить данные

В профессиональном сообществе долгое время оставался открытым вопрос: «Что именно следует понимать под обезличиванием в контексте закона о персональных данных»?

Согласно статье 3, пункту 9 Федерального закона № 152-ФЗ «О персональных данных» обезличивание — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Однако эта формулировка оставляла больше вопросов, чем ответов. Она носит юридический характер и не дает четкого понимания, какие технические действия соответствуют ей на практике. Это затрудняло как исполнение закона операторами, так и контроль за его соблюдением со стороны регуляторов.
Мировая практика и международные стандарты (в частности ISO/IEC 29100) различают два ключевых подхода к обезличиванию данных: псевдонимизация и анонимизация.

Псевдонимизация — это процесс замены идентифицирующих признаков (имени, номера телефона, адреса) псевдонимами. Такой подход сохраняет возможность последующей идентификации личности при наличии ключа сопоставления. Согласно ISO/IEC 29100 псевдонимизация не устраняет связи с субъектом ПДн, и потому псевдонимизированные данные по-прежнему считаются персональными. Применение методов псевдонимизации снижает вероятность несанкционированного доступа и утечки данных в задачах аналитики, исследований или тестирования, сохраняя при этом конфиденциальность субъектов данных.

Анонимизация — это более строгий процесс, при котором данные утрачивают статус ПДн и становятся анонимными. Согласно тому же ISO/IEC 29100 при анонимизации признаки ПДн изменяются так, что ее обладатель не может быть определен даже оператором данных.

Из сопоставления юридического и технического подходов можно сделать важный вывод: обезличивание в российском законе — это процесс, а не итоговое состояние данных. Он может привести как к потере идентифицируемости (псевдонимизация), так и к потере определяемости (анонимизация). 

Вступившие поправки внесли ясность в этом вопросе. В постановлении правительства РФ  №1154 от 01.08.2025 четко указано, что обезличивание должно осуществляться «без возможности преобразования обезличенных данных к исходному виду, позволяющему определить их принадлежность конкретному субъекту персональных данных, а также целостность массива обезличенных данных и их соответствие требованию о предоставлении обезличенных данных». 

Другими словами, под обезличиванием в контексте законодательства РФ теперь понимается анонимизация данных.

Существующие методы анонимизации

Методы анонимизации условно делятся на две группы: некриптографические (односторонние) и криптографические (основанные на математической стойкости преобразований).

Маскирование данных (Data Masking) относится к некриптографическим методам и представляет собой замену реальных данных фиктивными значениями или шаблонами, исключающими связь с исходной информацией. Существуют два типа маскирования: статическое и динамическое.

Статическое маскирование предполагает необратимое изменение копии базы данных, создавая «санированную» версию, пригодную для использования в непроизводственной среде, например, для тестирования. Пример: все адреса электронной почты в базе клиентов заменяются на значения вроде «user@masked.com». Такие данные уже не позволяют идентифицировать субъект и не содержат персональной информации в исходном виде.

Динамическое маскирование выполняется в реальном времени, в момент обработки запроса, без изменения оригинальной базы. Маскирование зависит от роли пользователя или уровня доступа. Например, оператор контактного центра может видеть только последние четыре цифры номера карты клиента, в то время как полные данные остаются доступными только авторизованным пользователям.

Криптографические методы используют математические алгоритмы и широко применяются при хранении, передаче и защите данных.

Хэширование — это процесс одностороннего преобразования данных в фиксированную строку символов (хэш). Хэширование необратимо: исходное значение невозможно восстановить из хэша. Такой подход широко используется для безопасного хранения паролей. Например, система хранит не сам пароль, а его хэш. При попытке входа пользователь вводит пароль, хэшируется введенное значение, и оно сравнивается с сохраненным хэшем. Дополнительную стойкость обеспечивает использование «соли» — случайного значения, добавляемого к паролю перед хэшированием.

Шифрование, в отличие от хэширования, представляет собой обратимое преобразование: данные можно зашифровать и впоследствии расшифровать при наличии соответствующего ключа. Этот метод широко используется при передаче персональных данных, например, от базы данных к приложению через защищенные каналы. Анонимизация на основе шифрования возможна, если реализована соответствующая система управления ключами, исключающая их компрометацию. Важно использовать сертифицированные алгоритмы и защищенную инфраструктуру хранения и распределения ключей.

Ограничения существующих методов анонимизации

Проблема всех классических методов анонимизации заключается в том, что они в той или иной степени снижают ценность данных и ограничивают возможности их повторного использования. Это особенно критично в задачах аналитики, машинного обучения и принятия управленческих решений, где требуется сохранять как можно больше контекстной информации.

Одним из серьезнейших вызовов остается вопрос достаточности анонимизации, то есть, насколько анонимизированные данные действительно исключают возможность повторного определения субъекта.

Рассмотрим условный пример. Допустим, в клиентском профиле были удалены имя, дата рождения, номер телефона и другие явные идентификаторы. Однако в одном из сообщений указано, что клиент «живет в зеленом доме возле вокзала». Даже такие фрагментарные сведения могут быть достаточны, чтобы существенно сузить круг возможных лиц, особенно при наличии внешних источников информации.

Методы OSINT (Open Source Intelligence), получившие новое развитие в эпоху ИИ, позволяют эффективно извлекать и сопоставлять подобные косвенные признаки. Сочетание обезличенных данных с внешними открытыми источниками может приводить к повторному определению даже при соблюдении формальных требований анонимизации.

Таким образом, возникает парадокс: для реальной невозможности определения субъекта нужно максимально скрыть все, вплоть до деталей контекста, но тогда данные теряют прикладную ценность. С другой стороны, если сохранить хоть долю полезной информации, возрастает риск обратной деанонимизации.

Россия устанавливает новые правила

Выход из дилеммы между приватностью и полезностью данных лежит в области вычислений на зашифрованных данных, когда информация остается зашифрованной, но при этом доступна для аналитики.

В 2025 году, одновременно с появлением новых требований к обезличиванию данных в законодательстве, в России был разработан принципиально новый криптографический метод. Он задал современное понимание и технологическую реализацию анонимизации персональных данных.

Метод основан на разделении формы и содержания данных. В информационных системах хранятся исключительно анонимизированные значения, а соответствие между исходными данными и их заменителями находится в отдельном защищенном контуре, недоступном для прикладных систем.

Каждое исходное значение заменяется уникальным случайным токеном. Этот токен генерируется таким образом, чтобы не содержать и не наследовать никакой информации об оригинальных данных. Ни математической, ни логической, ни статистической. Это исключает возможность восстановления исходного значения даже с помощью перебора или анализа частот встречаемости и обеспечивает криптографическую стойкость анонимизации.

Соответствие «значение-токен» хранится исключительно в отдельном защищенном хранилище. При выполнении математических, логических или строковых операций исходные данные возникают на время и только в оперативной памяти. Затем операция выполняется, и результат повторно анонимизируется. Процесс полностью автоматизирован, происходит в реальном времени, не требует вмешательства пользователя и не нарушает бизнес-логику приложений.

Таким образом, данные больше не хранятся в классическом смысле. Они существуют только в анонимизированном виде, а их «форма и содержание» разделены на уровне инфраструктуры.

Новейший метод получил название «Динамическая подмена данных» (ДПД). Его появление стало результатом многолетнего совместного труда ученых, инженеров, разработчиков, регуляторов и экспертного сообщества. 

Ценность данных в их защищенности

Методы наподобие ДПД формируют новую технологическую основу для безопасной работы с данными в цифровую эпоху, где ценность информации становится ключевым ресурсом, а защита приватности граждан безусловным приоритетом.

В такой модели выигрывают все:

• гражданин — сохраняет контроль над личной информацией,
• бизнес — получает свободу работы с данными,
• государство — получает качественную аналитику.

Впервые данные становятся активом не потому, что их много, а потому что они безопасны!