Согласно проекту поправок, обезличить данные о пользователе можно будет только с его согласия, кроме исключительных случаев. Поправки «не допускают» действия операторов данных (к ним относятся компании связи, банки и т.д.) по их деобезличиванию, за исключением ситуаций, когда это необходимо для защиты жизни, здоровья или иных важных интересов субъекта персональных данных. Кроме того, операторам нельзя будет передавать третьим лицам, например при обмене между собой, дополнительную информацию, которая позволит установить владельца обезличенных данных. Для этих третьих лиц также вводится запрет на попытки вычислить субъекта персональных данных.
В письме Иванова указано, что 3 февраля должно было состояться совещание для обсуждения подготовленных министерством поправок. Источник РБК, знакомый с его результатами, сообщил, что проект отправили на доработку и ведомство должно представить на согласование в правительство отредактированную версию через два дня. Представитель Минцифры подтвердил, что вопрос обсуждался на совещании и проект в ближайшее время будет представлен в правительство.
В версии Минцифры нет понятия «иной уникальный идентификатор субъекта персональных данных», которое предлагалось в первой редакции. Оно позволяло владельцу персональных данных давать согласие на их обработку без указания Ф.И.О. и паспортных данных, используя лишь номер телефона или псевдоним. В письме Иванова приводится позиция вице-президента по развитию и планированию «Сколково» Сергея Израйлита, откуда следует, что он не поддерживает исключение указанного пункта. «Во многих случаях у оператора нет никакой необходимости знать подлинные и полные данные субъекта, например когда речь идет об использовании сервисов онлайн-знакомств или дистанционной торговли», — поясняет Израйлит. По его мнению, законопроект в последней редакции «приводит к ужесточению правового режима обработки обезличенных данных без создания каких-либо дополнительных возможностей для законной обработки таких данных». Режим обработки становится более жестким, чем обработка необезличенных персональных данных, что снизит мотивацию для обезличивания, считает он.
Также из письма Иванова следует, что Сбербанк предлагал позволить операторам обезличенных данных поручать их обработку другим компаниям без согласия гражданина, лишь уведомив его об этом, что потребуется для работы операторов с облачными провайдерами. Мощности таких компаний необходимы для обработки больших объемов данных и построения моделей искусственного интеллекта. Однако Минцифры отклонило это предложение. Уже после выхода публикации представитель Сбербанка сообщил, что видит серьезные риски в норме, обязывающей операторов персональных данных применять сертифицированные средства защиты информации при удалении данных. «Сбер» последовательно выступает за то, чтобы законодательство было дополнено нормами, направленными на упрощение оборота обезличенных данных, а также на создание специальных условий для обработки персональных данных для нужд развития технологий искусственного интеллекта», — сказал он.
Представитель пресс-службы АНО «Цифровая экономика» объяснил РБК, что цель законопроекта — «создать условия для свободного оборота обезличенных данных, обеспечив при этом защиту прав граждан как субъектов персональных данных», но документ требует доработки. В частности, законопроект в последней редакции фактически приводит к ужесточению правового режима обработки обезличенных данных. «При передаче обезличенного массива данных третьему лицу обработка этих данных в иных целях (кроме тех, для которых они собирались) невозможна, так как требует нового согласия гражданина, но спросить его не у кого, так как данные обезличены и непонятно, кому они принадлежат», — пояснил он.
Зампредседателя комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Борис Едидин также считает, что действующее законодательство в сфере персональных данных уже содержит множество требований: обязательное согласие на обработку, регистрация в качестве оператора, применение юридических, организационных и технических мер защиты данных и др. «Если ранее можно было пользоваться отсутствием четкого регулирования обработки обезличенных данных, то теперь такая деятельность фактически подпадает под режим работы с персональными данными», — указал он. Едидин добавил, что законопроект в таком виде не сильно поможет государству повысить эффективность различных процессов и услуг, используя технологии больших данных, но позволит локализовать и максимально контролировать эту деятельность.
Сейчас все операторы данных проводят их обезличивание и деобезличивание как стандартную процедуру защиты от утечек через собственных сотрудников, напомнил представитель АНО «Цифровая экономика». «Усложнение процедур, предусмотренное текущей версией проекта, приведет к снижению защищенности, так как часть операторов должны будут от своих практик защиты клиентов отказаться. При этом любой оператор банка получит доступ к персональным сведениям всех клиентов», — предупредил он.
Директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович объяснила, что по действующему законодательству обезличенные данные могут быть использованы без согласия гражданина только в исследовательских, научных и статистических целях. По ее мнению, свободное использование значительно упростит оборот данных для банков, сотовых операторов, страховых компаний и другого бизнеса, но несет риски нарушения конфиденциальности для самих граждан. «Например, мои данные без привязки к Ф.И.О. — о моих путешествиях, перелетах, перемещениях — могут стать объектом анализа и передачи. При этом меня как носителя этих данных никто не будет спрашивать и ставить в известность», — констатировала она.