Подготовка к запуску «госозера» данных: утверждены требования к обезличиванию персональных данных

Совсем скоро должно заработать «госозеро» данных — ГИС, которой операторы персональных данных по требованию Минцифры будут обязаны бесплатно предоставлять обрабатываемые ими персональные данные, предварительно их обезличив. Первоочередной целью «госозера» данных является безопасное использование обезличенных данных государством и бизнесом для развития технологий ИИ.

При обезличивании персональных данных оператор будет обязан обеспечивать, в том числе, безопасность обезличенных данных, раздельное хранение персональных данных и обезличенных данных и исключение из обезличенных данных информации, доступ к которой ограничен федеральными законами.

Оператор должен обезличить персональные данные в соответствии с методами обезличивания персональных данных и особенностями их применения, сроками предоставления обезличенных данных, указанными в требовании о предоставлении обезличенных данных, с использованием либо безвозмездно предоставленной Минцифры программы, либо иной программы, реализующей такие методы обезличивания.

Правила устанавливают четкий формализованный процесс обезличивания, в котором каждый участник такого процесса несет определенный объем обязательств в рамках своей зоны ответственности. Основная и первостепенная цель правил — сделать процесс обезличивания безопасным и надежным, исключающим возможность потери данных и возвращения данных к их исходному, идентифицирующему субъекта виду.

C учетом этого для соблюдения правил возможно:

• разработать или обновить политику обезличивания персональных данных в соответствии с правилами;

• в случае если компания обрабатывает большие массивы данных — назначить лиц, ответственных за работу с «госозером» данных;

• провести тренинги для лиц, работающих с персональными данными;

• если компания привлекает подрядчиков для обезличивания персональных данных — проверить договоры с ними на соблюдение правил;

• внедрить раздельное хранение персональных данных и обезличенных данных.

Под действие документа попадают все операторы персональных данных, обязанные выполнять требования при поступлении формализованного запроса:

• от Департамента информационных технологий города Москвы в рамках эксперимента по разработке и внедрению ИИ в Москве для государственных органов и организаций города Москвы и внутригородских муниципальных образований (включая подведомственные и подконтрольные структуры);

• от Минцифры в соответствии со ст. 13.1 Закона о персональных данных для всех иных операторов.

Одновременно с этим для всех операторов будут установлены обязательные требования к обезличиванию персональных данных, утвержденные приказом Роскомнадзора от 19.06.2025 № 140.

Ключевые правила работы с данными включают также применение только утвержденных методов обезличивания:

• введение идентификаторов — замена прямых идентификаторов на уникальные коды. При использовании этого метода важно хранить ключи дешифровки изолированно от обезличенных данных;

• изменение состава/семантики может включать удаление (исключение избыточных атрибутов), искажение (добавление шума к данным) или изменение значения;

• перемешивание — рандомизация атрибутов между записями. При использовании данного метода важно контролировать уникальные комбинации признаков;

• декомпозиция — разделение массива данных на изолированные;

• преобразование массива ПД — агрегация персональных данных группы лиц в групповые метрики (статистика, распределения), полностью разрывая связь «данные — субъект».

Постановление создает правовую основу для централизованного сбора данных через систему ЕИП НСУД. Таким образом, это не просто бюрократическая новелла, а фундаментальный шаг к становлению национальной экономики данных.

За несоблюдение новых правил может последовать существенная ответственность (от ст. 13.11 КоАП РФ до ст. 272.1 УК РФ).

Постановление регулирует три блока вопросов:

1) обязанности операторов при исполнении требования Минцифры о предоставлении обезличенных ПД;

2) методы обезличивания, применяемые для исполнения;

3) процедуру формирования требования Минцифры и его исполнения оператором.

Механизмы работы методов обезличивания в документе подробно не раскрываются. Представляется, что Минцифры разработает методические рекомендации касательно них. Возможно, они будут содержать положения из Методических рекомендаций, утвержденных Роскомнадзором 13.12.2013.

На основе анализа постановления отметим следующее:

• требование Минцифры о предоставлении обезличенных ПД может быть направлено любому оператору. При этом оператор обязан на него отреагировать вне зависимости от того, занимался он ранее обезличиванием ПД для собственных целей или нет;

• для выполнения требования Минцифры оператору не нужно получать согласие от субъекта ПД, поскольку обработка обезличенных данных в подобных целях является самостоятельным правовым основанием обработки (см. п. 9.1 ч. 1 ст. 6 Закона о ПД);

• нельзя исключить, что за неисполнение требования Минцифры оператор может быть привлечен к административной ответственности.

Цель нововведения – формирование государственных информационных ресурсов для аналитики и планирования на основе обезличенных данных, то есть при условии, что последующая обработка таких данных не позволит определить их принадлежность конкретному гражданину.

Для формирования составов персональных данных (государственных информационных ресурсов) Минцифры будет направлять операторам специальное требование. Получив его, оператор обязан обезличить обрабатываемые им персональные данные и передать их в ГИС «Единая информационная платформа национальной системы управления данными».

Таким образом, с 1 сентября начнет функционировать централизованный механизм сбора обезличенных данных для государственных нужд (аналитика, разработка программ и т.д.), при котором гарантируется защита прав граждан. Риск идентификации конкретного человека из предоставленного массива должен быть сведен к нулю (минимизируется) за счет строгих требований к порядку обезличивания и многоуровневого контроля за самими запросами Минцифры.

В случае получения запроса Минцифры бизнесу может потребоваться внедрение соответствующих программных решений и разработка регламентов для выполнения поступающих требований в установленные сроки. Разумным шагом будет уже начать постепенную подготовку. Это позволит операторам легко и в срок привести свои внутренние процессы в соответствие с новыми требованиями.

Опубликованное Постановление закрепляет механизм формирования баз данных с обезличенной информацией и их хранения в госсистеме, так называемом «госозере», запуск которой запланирован на сентябрь 2025 г. Таким образом принятое Постановление не будет автоматически применяться к деятельности всех операторов, осуществляющих обработку персональных данных, а нацелено только на тех лиц, которые будут привлекаться к формированию дата-сетов для выгрузки в «госозеро».

Напомним, что в соответствии с принятыми в августе 2024 г. поправками Закон о персональных данных был дополнен ст. 13.1 согласно которой Минцифры было наделено полномочиями по «формированию составов персональных данных, полученных в результате обезличивания персональных данных» в частности для целей «повышения эффективности государственного и муниципального управления». На основании внесенных поправок Минцифры был уполномочен запрашивать отдельных операторов данных — госорганы и компании о загрузке в систему «госозеро» дата-сетов, однако, конкретные детали информационного обмена и методы обезличивания не были конкретизированы и установлены до принятия Постановления.

Все перечисленные методики (за исключением преобразования) уже были перечислены ранее в Приказе Роскомнадзора № 996, который был принято еще в 2013 г. и до последних поправок оставался единственным актом, проливающим хоть какой-то свет на допустимые к использованию методики обезличивания данных. Таким образом, несмотря на существенный временной промежуток с даты опубликования Приказа № 996 — включение каких-либо инновационных подходов к обезличиванию в список допустимых к использованию или в целом допущение большей дискреции операторов к применяемым методикам обезличивания так и не нашло закрепления на уровне законодательного регулирования. По крайней мере для целей формирования дата-сетов для «госозера».

Помимо Постановления, которое устанавливает специальные требования к порядку обезличивания данных для целей формирования дата-сетов, в начале августа 2025 г. также был опубликован Приказ Роскомнадзора от 19.06.2025 № 140, который по сути устанавливает достаточно схожие (с точки зрения допустимых методик обезличивания) требования и ко всем остальным операторам, осуществляющим обезличивание данных для целей отличных от формирования дата-сетов.

В Постановлении закреплены разделы:

• требования к обезличиванию персональных данных. В частности, согласно подп. «е» п. 2 требований не должно быть возможности преобразовать обезличенные данные обратно (к исходному виду, позволяющему определить их принадлежность конкретному субъекту персональных данных) при внесении изменений в обезличенные данные, повторном применении методов обезличивания персональных данных. Это требование подтверждает вывод, что обезличенные данные не являются персональными данными, но могут снова ими стать при преобразовании (путем добавления дополнительной информации).

• пять методов обезличивания персональных данных, четыре из которых — из Приказа Роскомнадзора от 05.09.2013 № 996 (утратит силу с 01.09.2025), который закреплял требования и методы для обезличивания персональных данных государственными органами. Сейчас добавляется вспомогательный метод преобразования массивов персональных данных, то есть обобщения.

• правила обезличивания персональных данных.

Минцифры может направить требование только после согласования его с ФСБ, Роскомнадзором, а также в определенных случаях ЦБ. Усложнение могло быть установлено, чтобы не запрашивать избыточное количество персональных данных у избыточного количества операторов персональных данных. Тем не менее, в Постановлении и других актах отсутствуют четкие критерии, определяющие, у кого и какие данные государство может запросить.

Помимо нового направления обработки «персональных данных, полученных в результате обезличивания персональных данных» в государственной информационной системе Минцифры, обезличивание закреплено в Законе о персональных данных для следующих случаев. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом (ч. 7 ст. 5 Закона о персональных данных). Обезличенные данные можно использовать без получения согласия субъекта персональных данных в статистических или иных исследовательских целях, за некоторым исключением (п. 9 ч. 1 ст. 6 Закона о персональных данных). Отсутствовал нормативно закрепленный порядок обезличивания в указанных случаях для операторов персональных данных, не являющихся государственными органами.

К сожалению, Постановление и иные акты в рамках нового регулирования по-прежнему оставили без ответа вопрос, как обезличивать персональные данные компаниям не по требованию Минцифры, не говоря уже об ожидаемом обороте обезличенных данных.

Требование Минцифры должно содержать четкое обоснование, основанное на материалах исследований, включающих параметры и методы обезличивания, критерии выборки и оценку рисков реидентификации (п. 3). Важной гарантией является необходимость обязательного предварительного согласования этих материалов с ФСБ РФ, а в случаях, касающихся финансового сектора, – и с ЦБ РФ (п. 4). Само итоговое требование, направляемое оператору, также подлежит согласованию с указанными ведомствами в установленный срок (п. 5).

Оператор выполняет обезличивание строго в соответствии с методами и параметрами, указанными в полученном требовании (п. 6). При использовании методов он обязан применять специальное программное обеспечение, безвозмездно предоставляемое Минцифры России или иное, но подтвердившее соответствие установленным требованиям (п. 7). Результат передается в государственную информационную систему Минцифры (п. 8).

Если применяется метод преобразования («д»), оператор может использовать собственные средства, но должен обеспечить автоматизированный доступ к данным через единую систему межведомственного взаимодействия и предоставить в Минцифры информацию о всех примененных параметрах (п. 9).

Данное постановление имеет узконаправленную сферу применения и будет применяться только в рамках функционирования «озера данных», для обезличивания персональных данных при их обработке в регулярной деятельности бизнеса разработаны другие правила обезличивания.

«Озеро данных» представляет собой национальную информационную систему, в которой в формате дата—сетов будут храниться собранные составы обезличенных персональных данных. Обезличенный формат данных означает, что последующая работа с такими данными не позволит определить отношение этих сведений к конкретным субъектам персональных данных.

«Озеро данных» будет служить государственным хабом для сбора, хранения и обработки данных с целью проведения аналитических исследований как государственными органами, так и частными исследователями, если они отвечают установленным требованиям.

Составы данных на платформе будут формироваться по поручению Президента РФ, Председателя Правительства РФ и некоторых иных лиц только в определенных случаях. Ввиду ограниченности перечня случаев, в которых Минцифры может организовывать формирование наборов данных, на текущий момент «озеро данных» не предполагает использование дата—сетов для исследовательской деятельности широкого профиля.

Наполнение системы наборами обезличенных данных будет производиться по требованиям, направляемым Минцифры в адрес российских компаний, государственных органов, подведомственных им организаций – круг лиц, которые могут получить требование, очерчен в законе понятием «операторы персональных данных», поэтому запрос потенциально может быть направлен любой организации, которая обрабатывает в своей деятельности персональные данные. В требовании на предоставление данных указываются перечень необходимых данных, цель их сбора, метод, которым их необходимо обезличить и сроки предоставления данных.

После получения требования организация должна обезличить запрошенные данные по определенному ведомством методу обезличивания, после чего передать их в информационную систему «озера данных». При этом несмотря на обезличенный характер, организации—операторы данных обязаны обеспечивать принятие надлежащих мер безопасности по отношению к обезличенным данным, а также хранить уже обезличенные данные и персональные данные раздельно. В составе наборов обезличенных данных не должно быть информации, доступ к которой ограничен на основании федерального закона, например, государственной тайны.

Отныне операторы персональных данных обязаны по запросам Минцифры предоставлять обезличенные данные для формирования государственных дата—сетов, предназначенных для развития технологий искусственного интеллекта. Это, собственно, ключевое изменение. Однако каждый такой запрос Минцифры РФ должен быть согласован с ФСБ, Роскомнадзором и при необходимости — с Банком России, если персональные данные запрашиваются из банка.

Программное обеспечение для обезличивания будет предоставляться со стороны Минцифры РФ (п. 7), что по замыслу разработчиков должно унифицировать методы и принципы единообразия систематизации данных. Однако вопросы безопасности пока остаются за кадром указанного нормативного акта, а именно вопрос ответственности за нарушение охраны передаваемых данных в систему дата—сетов. По общему правилу, оператор отвечает за отсутствие тайн в обезличенных данных, очевидно, что в случае с предоставляемым программным обеспечением – ответственность должны будут нести разработчики данного ПО.

В любом случае обезличенная информация будет интересна для крупного бизнеса и предлагаемых им решений, однако в первую очередь таковая необходима для обучения искусственного интеллекта, применяемого в разных областях, начиная от здравоохранения и социальной сферы до сферы безопасности.