Минэкономразвития рассматривает возможность проведения эксперимента по обезличиванию персональных данных россиян. Бизнес несколько лет лоббирует возможность обмениваться подобными данными, но власти до сих пор видели риски в такой идее.
Минэкономразвития и заинтересованные органы власти прорабатывают возможность применения механизма экспериментальных правовых режимов (ЭПР) для тестирования технологий по обезличиванию персональных данных россиян, рассказал РБК директор департамента цифрового развития и экономики данных министерства Владимир Волошин.
С инициативой провести такой эксперимент в течение трех лет выступила Ассоциация больших данных (АБД), среди членов которой «Яндекс», VK, Сбербанк, Газпромбанк, МТС, «МегаФон» и др. В недавнем письме Минэку (копия есть у РБК, ее подлинность подтвердил представитель ассоциации), она предложила создать технологическую инфраструктуру, к которой получат доступ участники эксперимента для безопасной обработки и объединения данных с использованием криптографических алгоритмов и других средств защиты информации. Данные предоставят поставщики, которые будут определены при подготовке к проведению пилотного проекта.
По словам Волошина, в Минэке считают, что выработка подходов для работы с данными, включая персональные, является наиболее актуальной задачей, стоящей перед государством. Для создания цивилизованного рынка данных необходимо выработать безопасные подходы для работы с ними, и ЭПР – лучший инструмент для решения таких задач, считает он.
Волошин отметил, что министерство «концептуально поддерживает запуск ЭПР, направленных на тестирование технологии и процессов обезличивания персональных данных». Сейчас прорабатываются несколько экспериментов в этом направлении, в том числе предложенный АБД, дополнил он. «Мы считаем, что этот эксперимент важен и своевременен, вместе с тем для его установки важно найти сбалансированное решение, которое позволит, с одной стороны, предоставить доступ к данным, а с другой – не нарушит интересы граждан и государственной безопасности. Рассчитываем, что ЭПР позволит протестировать технологии и методики обезличивания и процесс сопровождения этой деятельности правовыми механизмами», – говорит Волошин.
Как пытаются разрешить обмен обезличенными данными
В 2021 году правительство внесло в Госдуму поправки в закон «О персональных данных», касающиеся оборота обезличенной информации. В документе обсуждалась возможность для бизнеса получать согласие клиента на обработку его персональных данных с последующим использованием в обезличенном виде. В первом чтении проект был принят в том же году, но второе чтение пока не прошел.
Бизнес несколько лет просит разрешить ему обмен данными для их использования хотя бы в обезличенном виде. Например, интернет-провайдеры, ретейлеры, поставщики CRM (систем управления отношениями с клиентами) и т.д. могли бы коммерциализировать данные, продавая рекламодателям и другим заинтересованным сторонам объемы обезличенных данных о клиентах, объемах продаж по различным критериям и частоте покупок , поясняли ранее эксперты.
В июле 2023 года Минцифры представило новую версию законопроекта, по которой бизнес будет обязан предоставлять персональные данные своих клиентов в государственную информационную систему, где они будут централизованно обезличиваться. Первые три года доступ к этим данным будут иметь только госорганы и подведомственные им организации. Но бизнес раскритиковал такой подход. В апреле этого года АБД предложила свою версию законопроекта, по которой разработчики технологии искусственного интеллекта смогут бесплатно получать доступ к данным из госинформсистем. Государство сможет запрашивать у бизнеса обезличенные данные бесплатно только для выполнения задач по обеспечению безопасности и предотвращению чрезвычайных ситуаций, а в других случаях должно будет платить за подготовленные датасеты.
Нужен ли эксперимент
По словам Владимира Волошина, вопрос обезличивания персональных данных сейчас очень актуален, так как есть колоссальный запрос. Они могут использоваться в различных системах, например, кадровых или банковских, а также для обучения искусственного интеллекта на больших данных. «Чем скорее мы наладим эффективный обмен данными, тем больший эффект получим для экономики страны», – пояснил он.
Эксперимент позволит оценить риски деобезличивания (персонификации) данных, используемых для различных типов вычислений, и разработать требования по безопасности к доверенным посредникам, которые могут проводить такие вычисления, говорит представитель АБД. Он отметил, что для развития потенциала использования данных для значимых социальных и экономических проектов нужно найти баланс между возможностями использования больших данных и обеспечением их полной безопасности.
Проведение ЭПР важно, так как вероятность деанонимизации данных можно понять только на практике, отметил представитель АБД. По его словам, в зависимости от выбранных методов обезличивания данные могут как оставаться персональными, так и терять этот правовой статус, и эти методы можно просчитать математически.
Обезличивание нужно, чтобы избежать утечки персональных и чувствительных данных, напоминает управляющий партнер юридической компании ЭБР Александр Журавлев. «Есть несколько видов обезличивания. Один, например, позволяет восстановить данные и привязать их обратно к владельцу при помощи дешифрования. Если использовать другой способ, данные будет невозможно вернуть», – пояснил юрист. Он отметил, что обезличивание позволит во многих случаях защитить россиян от раскрытия чувствительной информации, в том числе персональных данных. При этом он отметил, что сейчас в Сеть, как правило, утекают не обезличенные, а персональные данные, что гораздо опаснее.
В то же время источник РБК на IT-рынке говорит, что сама по себе идея собрать большое количество данных в сторонней системе увеличивает риск утечек. «Такое хранилище моментально становится целью злоумышленников. Вместо этого кажется правильным развивать практику обмена агрегированными данными, которые могут быть полезны разным участникам рынка», – считает он.
Основная проблема предложения АБД состоит в доверии к инструментам обезличивания, отметил в беседе с РБК зампред комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Борис Едидин. «Поскольку алгоритм обезличивания в конечном итоге создает человек, нет 100% гарантии безопасности данных. Эксперимент поможет на практике определить эффективность и безопасность технологии, и, возможно, зафиксировать допустимый объем риска», – считает Едидин.
Директор по аналитике АНО «Цифровая экономика» Карен Казарьян, настаивает, что ЭПР – идеальный путь для будущего регулирования рынка данных, так как проведение эксперимента позволит понять риски деобезличивания, эффективные и необходимые методы и технологии обезличивания, а также организационные, административные и технологические методы смягчения рисков для владельцев персональных данных.
РБК направил запрос в Минцифры.
По материалам сайта РБК.