Совершенно несекретная информация
Анонимизация личных данных нуждается в эффективных алгоритмах
В середине февраля Госдума приняла в первом чтении законопроект о порядке обезличивания персональных данных (ПД). Изменения призваны повысить объемы доступной публичной пользовательской информации для бизнеса с целью обработки и анализа. Эксперты говорят о необходимости надежных алгоритмов обезличивания и внесении в правовое поле порядка компенсаций гражданам за раскрытие личной информации.
СПОРНЫЕ ФОРМУЛИРОВКИ
В федеральный закон от 27.07.2006 № 152-ФЗ предлагается ввести понятие «иной уникальный идентификатор» владельца персональных данных. Планируется внести уточнение, что ПД могут обрабатываться с несколькими целями, но при этом они должны обязательно перечисляться, а также указываться данные оператора. Если оператор решит обработать личную информацию в дополнительных целях, то должен сообщить о них и получить согласие владельца.
Также при уничтожении ПД законопроектом предусмотрено обязательное применение средств защиты информации, соответствующих требованиям ФСБ или ФСТЭК.
Контроль над порядком обезличивания ПД предлагается поручить Роскомнадзору с утверждением методов и требований на уровне нормативного акта
Это позволит оперативно вносить изменения в существующую методологию обезличивания ПД.
В пояснительной записке к документу говорится, что предложенные изменения в закон «О персональных данных» крайне актуальны для построения цифровой среды доверия. В том числе для запуска инновационных сервисов и услуг, удаленного взаимодействия с клиентами, работниками, получения государственных услуг.
«В законопроекте упор сделан на сокращение объемов охраняемых данных и оптимизацию процессов их обработки, в том числе в части обезличивания и уничтожения. Это давно назревшие шаги с учетом лавинообразного роста данных в цифровой среде и внедрения новых технологий хранения, передачи и обработки данных», – сообщил RSpectr тренер Лаборатории компьютерной криминалистики Group-IB Сергей Золотухин.
В своем заключении о законопроекте комитет ГД по информационной политике и информационным технологиям сообщает о ряде недоработок. В частности, необходимо прописать в документе методы защиты прав и свобод пользователя при обработке его ПД. Также у комитета вызывает вопрос термин «иной уникальный идентификатор» субъекта ПД, поскольку он не корреспондируется с содержанием термина «идентификатор», определенного в законе 2020 года №168-ФЗ «О едином федеральном информационном регистре…», где в качестве идентификаторов определены данные: акты о рождении и смерти, удостоверения личности и другое.
«Очевидно, что номера налогоплательщика либо номер записи акта о рождении к ПД субъекта не относятся. Термин “иной уникальный идентификатор” носит с правовой позиции абсолютно неопределенный характер», – говорится в заключении комитета.
Приравнивание этого термина к ФИО, реквизитам документа, удостоверяющего личность, приведет к использованию в качестве ПД любых сведений: логина, кодового сигнала, любого внешнего признака субъекта персональных данных. Такой подход нивелирует суть и содержание института ПД и механизмов их защиты. В связи с этим термин «иной уникальный идентификатор» комитет предложил исключить из проекта федерального закона.
КАК ЗАЩИТИТЬ ДАННЫЕ ОТ ДЕАНОНИМИЗАЦИИ
Законопроект формально учитывает интересы граждан – деперсонализация должна обезопасить их личные данные и сократить круг тех, кому они будут доступны в открытом виде. Нынешние поправки в №152-ФЗ вводят единовременное согласие гражданина на обработку ПД несколькими сторонами и в нескольких целях.
Ведущий аналитик «СёрчИнформ» Леонид Чуриков в разговоре с RSpectr сообщил, что дальнейшее обезличивание позволит распространять данные еще шире, и для этого согласия гражданина вообще не потребуется – ведь в законе пока об этом ни слова.
При этом
главный бенефициар – организации, которые смогут получать и передавать данные пользователей без дополнительных препятствий
Леонид Чуриков, «СёрчИнформ»:
– Было бы разумно предусмотреть страховку от рисков, связанных с утечками, деанонимизацией обезличенных данных (ОД), даже от чрезмерного использования их в маркетинговых целях. Сегодня для этого есть предпосылки. Так, Ассоциация юристов России подготовила проект документа, согласно которому частные лица, пострадавшие от утечки данных, могли бы получать компенсацию до миллиона рублей от виновных в этом компаний. Пока речь только о компенсациях за компрометацию ПД и конфиденциальной информации, но проект можно дополнить пунктом о деанонимизации ОД. Инициатива еще не оформлена в законопроект и не получила официальной поддержки, но в случае принятия дала бы владельцам данных реальное подспорье для защиты своих интересов.
Заместитель председателя комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александр Савельев рассказал RSpectr, что ранее комиссия предложила узаконить взыскание компенсации от 10 тыс. до миллиона рублей за утечку ПД. Этот механизм устроен по аналогии с защитой авторских прав в ГК РФ. Компенсации применяются только при наличии вины оператора, а бремя доказывания лежит на стороне оператора. «Но на данном этапе большим достижением была бы не столько компенсация, сколько эффективная защита данных от утечек и нецелевого использования», – считает А.Савельев.
Риск деанонимизации подтвердило недавнее расследование норвежского журналиста Мартина Гундерсена, который выяснил – если знаешь, что искать, найдешь и в большом массиве ОД. Пока нет стандартов деперсонализации, говорить о требуемой глубине обезличивания и необходимых для этого технологиях сложно.
Л.Чуриков уверен, что если все ограничится формальным присвоением идентификационных номеров вместо ФИО и адреса, то задача деперсонализации не будет решена. «Чтобы установить владельца данных, достаточно будет получить доступ в базу корреляции идентификаторов с ПД. Здесь появятся стандартные вопросы взломостойкости базы и контроля персонала. Хотя IT-решения по информбезопасности для защиты от таких рисков известны и хорошо представлены на отечественном рынке», – отмечает эксперт.
Генеральный директор IT-компании Omega Алексей Рыбаков сообщил RSpectr, что ОД не приведут к конкретному человеку или объекту, если будет использован надежный алгоритм анонимизации. С того момента, как пользователю присваивается ID, встает вопрос о том, какой объем данных можно обезличить.
Если под идентификатором спрятать информацию о поле, дате рождения и вступлении в брак, то по этому набору можно вычислить любого пользователя
Поэтому связка этих данных нерелевантна, поясняет эксперт.
Алексей Рыбаков, Omega:
– Чтобы данные не соприкасались между собой, необходимо их глубже сегментировать. Например, с помощью разделения по каждому элементу: отдельная база данных (БД) тех, кто замужем и не замужем, отдельные БД мужчин и женщин. Когда информация будет разделена и у каждого пользователя для отдельного элемента данных будет свой ID, то связать ОД будет сложнее, и это обеспечит безопасность. Пока сложно сказать, будут ли ОД в России именно такими. Сейчас существует довольно много платформ, занимающихся сбором и хранением огромных объемов ПД: крупные банки, портал госуслуг, «Яндекс». У них есть все мощности, условия и инфраструктура для обезличивания и рассегментирования информации. Открытым остается лишь вопрос, как они будут предоставлять эти данные в обезличенном формате.
Как рассказала RSpectr глава Ассоциации больших данных (АБД) Анна Серебрянникова, в мировой практике методы обезличивания оценивают по специальной модели, исходя из риска повторного установления личности.
Анна Серебрянникова, АБД:
– Если после обезличивания данных все равно можно установить их владельца, то таким методам присваивается самый низкий коэффициент – 0. Если же после обезличивания выявить владельца можно только после проведения дополнительных манипуляций, то коэффициент будет выше – до 0,8. Если же данные невозможно деанонимизировать или крайне сложно это сделать, тогда они признаются обезличенными, а методы, с помощью которых данные «очистили» от персональной информации, получают коэффициент от 0,8 до 1 (максимальное обезличивание). Считаем необходимым ввести в законодательство понятие обезличенных данных и установить принципы их обработки, а также методики обезличивания с коэффициентом анонимности от 0,8.
КТО СОЗДАСТ ЕДИНУЮ ПЛАТФОРМУ
Функцию по обезличиванию данных могут выполнять сотовые операторы, которые будут формировать единый реестр ПД, полагает А.Рыбаков.
«Построение инфраструктуры сбора и обезличивания данных силами независимых организаций возможно – зрелая облачная система позволяет это реализовать при обеспечении необходимых мощностей хранения», – отмечает представитель Group-IB.
А.Рыбаков уверен, что
сегодня существует вся необходимая технологическая инфраструктура, но нет единой площадки для обезличивания данных
Л.Чуриков напомнил, что условия для единой базы хранения есть: «В стране создается национальная система управления данными (НСУД). Это подразумевает проработку архитектуры и выстраивание процессов. Идет работа по созданию цифровых профилей граждан и единой базы граждан РФ. С одной стороны, идея в том, чтобы упростить процессы обмена данными, с другой – чтобы их обезопасить. В том числе за счет обезличивания».
То есть для централизованного хранения информации задел есть. Точек сбора ПД граждан тоже хватает. Вопрос в том, на каком этапе будет происходить их обезличивание – до или после попадания в единую базу.
Леонид Чуриков, «СёрчИнформ»:
– Чтобы сбалансировать интересы бизнеса, который в основном собирает данные, и государства, которое ими управляет, а также защитить права граждан, логично выделить задачу в самостоятельный этап и закрепить ее выполнение за отдельной структурой. Но прямо сейчас создавать ее с нуля не имеет смысла – потребуются слишком большие аппаратные и кадровые ресурсы. Поэтому на текущем этапе регулятора наделяют правом контролировать и общий сбор, и деперсонализацию данных, а к работе привлекать сторонние организации.
Например, можно сразу задействовать компетенции технологических гигантов – «Ростелекома», «Яндекса», Сбера, поскольку у них есть наработки, опыт и инфраструктура. Л.Чуриков считает, что можно отдать им условный подряд на создание новой централизованной системы стандартизированной деперсонализации данных.
«Это распространенная практика и довольно эффективная. Показательный пример – создание Национальной платежной системы, когда государство опиралось на ресурсы и технологии крупных финансовых и IТ-компаний. Эти же платформы могли бы помочь Роскомнадзору в выработке стандартов деперсонализации, как предусматривает законопроект», – предлагает представитель «СёрчИнформ».
В то же время эксперт соглашается, что неизбежно возникнет дисбаланс – подрядчик при реализации проекта будет лоббировать свои интересы, есть риск возникновения монополии на данные.
Изображение: RSpectr, Pixabay.com
ЕЩЕ ПО ТЕМЕ:
