Юридические лица в рамках своей деятельности собирают и хранят сведения о клиентах. Однако каждый гражданин имеет право на неприкосновенность частной жизни, в связи с этим, чтобы соблюсти баланс между законом и развитием инноваций, компаниям приходится обезличивать персональные данные. В материале расскажем о целях и особенностях этого процесса.
К персональным данным относятся паспортные данные, абонентский номер, информация о профессии, семейном положении и другие личные сведения, сообщаемые человеком. Закон предполагает, что организации смогут собирать и хранить такие сведения, строго соблюдая цели обработки. При этом данные не должны быть избыточными для определенной цели обработки.
Для обработки данных необходимо законное обоснование с целью защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Термин «обезличивание» представлен в п. 9 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ.
Цитируем документ
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обезличенные данные должны быть конфиденциальны. К ним применимы те же рекомендации, что и относительно других личных сведений.
Более того, если кто-либо решил «деобезличить» или восстановить такие сведения, они снова получают статус персональных данных. Соответственно, за их противоправное использование предусмотрена ответственность.
Для чего в компании нужно обезличивать персональные данные?
Процедура обезличивания персональных данных (далее — ПДн) проводится с целью защиты персональных данных. Поскольку в результате несанкционированного доступа злоумышленники получают обезличенные ПДн, их нельзя отнести к какому-то лицу без дополнительных сведений. Например, даже если произойдет утечка данных, злоумышленники не смогут применить полученные сведения. При этом они должны оставаться полными и структурированными, чтобы сами организации имели возможность продолжать их обрабатывать.
В приказе Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (далее — Приказ № 996) регламентируются свойства обезличенных данных и характеристики методов обезличивания ПДн:
-
сохранение полноты и структурированности;
-
обеспечение семантической целостности;
-
анонимность некоторых категорий сведений не ниже заданного уровня, что не позволяет четко определить владельца ПДн;
-
обратимость, то есть возможность приведения данных к тому виду, в котором они были представлены до процедуры обезличивания;
-
применимость трансформируемых данных и пр.
Совокупность этих действий должна сохранить возможность связать сведения с конкретным лицом без обращения к уточнениям. Такой подход позволяет формировать статистику, необходимую для развития бизнеса.
Еще одним преимуществом обезличивания является то, что оно полезно всем участникам рынка. Например, согласно ч. 7 ст. 5 Закона № 152-ФЗ данные можно уничтожить или обезличить после завершения процедуры их обработки.
Если у оператора по каким-то причинам нет возможности удалить данные, он мог бы их обезличивать, если бы была соответствующая методика. В результате будут довольны все. Компании продолжат работу, не опасаясь штрафов, людям не придется волноваться из-за неправомерного использования информации о них.
Кроме того, обезличенные сведения можно использовать для проведения исследований и формирования статистики согласно п. 9 ч. 1 ст. 6 Закона № 152-ФЗ. При этом нет необходимости в получении согласия на их обработку. Сейчас операторы не могут пользоваться этой нормой.
Организации могли бы использовать обезличенные данные для широкого круга задач — анализа тенденций и спроса на товары, услуги и прочее. Ориентируясь на его результаты, бизнес принимает управленческие решения.
Например, сейчас компании видят, какой именно пользователь сделал запрос в поисковике или сколько запросов он ввел. По факту такая детализация компаниям не нужна, но требует дополнительных мер с точки зрения Закона № 152-ФЗ. В случае обезличивания юридические лица по-прежнему смогут ориентироваться в спросе на товары или услуги, но при этом будет скрыта информация о клиенте.
Такой подход может быть актуален для обучения искусственного интеллекта на базе уже собранных оператором данных. Ведь системе тоже не нужно знать имена или иные идентификаторы пользователей.
Для чего и как персональные данные передаются государству
Сейчас юридические лица не обязаны передавать обрабатываемые сведения государству. Но с 2018 г. начали говорить о Национальной системе управления данными (НСУД)1.
Предполагалось создать единую базу данных из всех имеющихся госреестров, для которых планируется создавать витрины данных.
В мае 2021 г. Минцифры упомянуло о включении персональных данных в НСУД. Говорилось о подготовке поправок в Закон № 152-ФЗ в части создания возможности обезличивания ПДн без согласия лица, которому они принадлежат. Также стоит предусмотреть ситуации, когда операторы будут обязаны передавать государству деперсонализированные данные. Законопроект с поправками претерпел множество изменений и все еще находится на рассмотрении2.
На официальном сайте НСУД опубликованы инструкции по работе Единой информационной платформы Национальной системы управления данными в части описания информационных ресурсов и систем, наборов данных, модели витрины данных, а также формирования регламентированных запросов3.
На нем говорится, что пользователь государственных данных, потребитель данных — государственные структуры, которые применяют государственные данные из НСУД. То есть пока не понятно, сможет ли бизнес все-таки загружать и использовать эти сведения. Возможно, документ будет скорректирован с течением времени.
Как можно применять обезличенные данные на практике?
Привычной моделью хранения сведений о клиентах считается база данных. Оператор видит информацию в формате электронной таблицы — в одной строке указаны все необходимые сведения о физическом лице. Это могут быть биометрические данные, история заказов и многое другое.
Представим, что имеем дело с медицинской информацией. Напротив имени пациента перечислены его адрес, номер телефона, диагноз, результаты анализов. После обезличивания данные сохранятся, но оператор не сможет определить, какому именно человеку они принадлежат. Имена могут быть заменены кодовыми значениями, или эта информация будет храниться в другой базе. Чтобы сообщить физическому лицу результаты его анализов, придется обращаться к справочнику идентификаторов или таблице связей, воссоздав связь между сведениями.
Другой пример — деятельность интернет-магазина. Компания получает от покупателей информацию об адресе доставки, номере телефона, сумме покупки, перечне товаров и т.д. Несанкционированный доступ к таким сведениям может нанести гражданину вред. Но если общий массив информации разделить на несколько частей, они будут храниться отдельно. Каждый пункт сам по себе не сможет служить идентификатором личности. При этом магазин продолжит оперировать необходимыми материалами с целью развития бизнеса и принятия грамотных управленческих решений.
Чем отличаются анонимизированные данные от обезличенных
Хотя в законодательстве РФ нет официального понятия «анонимизированные данные», это понятие распространено среди специалистов в сфере информационной безопасности. Термины «анонимность» и «обезличивание» близки по значению, в связи с чем возникают сложности с определением прав и обязанностей относительно обрабатываемой информации.
На базе полностью анонимизированных данных невозможно узнать личность гражданина, но получается выделить социально-демографические отличия субъектов. Опираясь на них, удобно формировать статистику, так как возможно определить специфику отдельных групп, выявить тренды среди покупателей, оценить отношение к событиям или мероприятиям. В процессе анонимизации сведения меняются таким образом, что человека невозможно идентифицировать по прямым или косвенным признакам.
Обезличенные данные считаются более ценными, поскольку связаны с отдельными лицами. Сопоставив дополнительные базы данных, можно определить конкретного человека.
При использовании только анонимизированных данных бизнес уже не сможет использовать полученные сведения о клиентах в своих целях. При этом от объема и полноты сведений напрямую зависит качество услуг или продуктов.
Подготовка к обезличиванию сведений
Условия обезличивания нужно включить в политику конфиденциальности. В документах нужно указать цель сбора ПДн, место и сроки их хранения, цели обезличивания, другие правила проведения процедуры. Параллельно руководство подписывает регламент обезличивания данных. Применяемые средства и алгоритмы не должны противоречить общим законодательными требованиям и внутренним документам организации.
Процесс обезличивания важно организовать так, чтобы он и деобезличивание стали логичным элементом выполнения операций с персональными данными.
Также необходимо учесть наличие следующей документации:
-
эксплуатационной документации на программное обеспечение, которое будет использоваться для обезличивания, включая его описание;
-
инструкций по проведению операций с обезличенными сведениями;
-
порядка обмена данными с другими операторами, в том числе государственными структурами;
-
порядка оценки эффективности проведенных обезличивания и деобезличивания;
-
инструкции по обеспечению безопасности служебной информации. В ней необходимо указать средства, методы и правила обезличивания.
После проведения обезличивания составляется соответствующий акт. Оператор проходит проверку, а класс системы для хранения данных понижается.
Основные правила обезличивания
Важно не только лишить ПДн идентификационных свойств, но и грамотно с ними работать, чтобы избежать претензий со стороны физических лиц и контролирующих органов.
Хранить в общей базе персонализированные и обезличенные данные недопустимо, необходимо создать отдельные ресурсы.
Операторы могут использовать обезличенные данные, если получили их от третьих лиц. Но если было проведено деобезличивание, их придется удалить.
Компании могут своими силами проводить обезличивание. Но если недостаточно технических, кадровых или организационных ресурсов, целесообразно поручить процесс сторонним организациям, заключив соответствующий договор.
В случае делегирования задач по обезличиванию стоит определить зону ответственности с субъектами, считающимися основными хранителями ПДн. Причем проводить процедуру нужно до того, как ПДн попадают в Информационную систему персональных данных.
Необходимо обеспечить безопасность обезличенных сведений по аналогии с традиционными персональными данными. Правила указаны в Законе № 152-ФЗ и регламентируются нормативным актами в соответствующей сфере.
Оператор должен предоставить по запросу физического лица подробную информацию об объеме обезличенных данных, которые находятся у него в распоряжении. Заявки на обработку нужно фиксировать.
Хотя компании самостоятельно выбирают программное обеспечение и другие технические средства для обработки данных, они должны точно соответствовать согласованным техническим параметрам.
В соответствии с Приказом № 996 комплекс вышеперечисленных рекомендаций разрабатывался для государственных органов, но пока неизвестно, будет ли он актуален для коммерческих организаций.
Какие существуют методики обезличивания
На данный момент государственные структуры применяют несколько методик обезличивания, среди которых Роскомнадзор выделяет четыре.
Использование идентификаторов
Данные используются не в привычном формате, а в виде идентификаторов. Условные обозначения согласовываются заранее и используются для расшифровки.
Такой подход применяется в случае обработки небольшого объема ПДн и атрибутов. Дело в том, что размер справочников, которые применяются в процессе использования информации, напрямую зависит от этих параметров. При частых корректировках вычислительная эффективность метода существенно снижается.
Оператор имеет возможность осуществлять обработку отдельных записей и всех обезличенных данных без деобезличивания. Однако существует несколько серьезных недостатков. Например, добиться анонимности возможно только при выборе правильных идентификаторов данных, которые они заменяют. Этот метод не выдерживает атаки, которые направлены на справочники идентификаторов. Причем его стойкость не возрастает при внесении большого числа обезличиваемых данных.
Также недостатком считается отсутствие релевантности. В запросе и в ответе на него меняется вид ПДн. Например, вместо имени используется идентификатор, поэтому сведения можно сопоставить.
Замена состава информации
Если данные не несут практической пользы для компании, их заменяют статистическими сведениями или удаляют.
Метод актуален, если есть возможность изменить состав и семантику без необходимости деобезличивания. То есть когда не нужно объединять базы двух и более операторов.
Информация остается структурированной, то есть не нарушается связь между атрибутами. После обобщения данных наблюдается неоднозначность при идентификации. Однако при удалении части информации нарушается полнота сведений.
Декомпозиция
Общий массив данных делится на несколько блоков, использование которых по отдельности невозможно. Например, в одном хранятся адреса, в другом —оформленные заказы, в третьем — имена клиентов.
Метод актуален, если используется внушительное число атрибутов и при редких корректировках. Он обеспечивает главные свойства обезличенности, такие как полнота, структурированность, семантическая целостность, релевантность.
Анонимность сохраняется только при формировании сложных связей между хранилищами и их защите. Метод не устойчив к атакам, осуществляемым путем анализа информации из различных хранилищ, а также косвенному деобезличиванию.
Перемешивание
Данные перемещаются относительно друг друга до момента, когда станет невозможно определить их принадлежность конкретному человеку.
Максимальная эффективность наблюдается в рамках сложной обработки ПДн даже при систематическом внесении изменений. Недостатком его является невозможность сохранения связей между атрибутами. При этом удается добиться полноты, структурированности, семантической целостности, релевантности, применимости данных.
Определить принадлежность сведений конкретному субъекту возможно исключительно с использованием служебной информации, что свидетельствует о высоком уровне анонимности.
Организации самостоятельно принимают решение о том, какой из предложенных Роскомнадзором вариантов методов выбрать, какое программное обеспечение использовать, кому поручить процесс — своим сотрудникам или аутсорсинговой компании с опытными специалистами, у которой уже разработаны эффективные решения. Однако для коммерческих компаний в настоящий момент таких вариантов не предусмотрено.
После обработки объем сведений о физическом лице нужно сократить, чтобы операторам не предъявили обвинение в избыточности.
Заключение
Проблема обезличивания данных заключается в том, что Приказ № 996 разработан специально для государственных и муниципальных органов.
Роскомнадзор в июле 2021 г. указал, что обезличивать персональные данные можно только теми методами, которые определены на законодательном уровне. Причем они не предусмотрены для применения коммерческими организациями, Приказ № 996 на них не распространяется.
С июля 2021 г. ничего не поменялось, методы так и не разработаны. То есть нормы по обезличиванию есть, однако операторы — коммерческие организации не могут их применять.
На данный момент компании не обязаны проводить обезличивание персональных данных и передавать их государству. Кроме того, нельзя с уверенностью сказать, что действующие методики обезличивания будут доступны для коммерческих компаний.
Но в ближайшее время ситуация может измениться, поэтому стоит начать готовиться к новым условиям использования сведений о клиентах. Как минимум нужно расширить штат отдела информационной безопасности и разработать документацию, регламентирующую правила работы с ПДн.
1 https://digital.gov.ru/ru/ events/39338/.
2 См., например проект https://regulation.gov.ru/ projects#npa=115660.
3 https://piao-portal.info.gov.ru/ ifp/portals/documents.