Минцифры предложило разрешить торговлю обезличенными данными россиян
Но эксперты указывают на риск роста числа утечек и ужесточения правилМинистерство цифрового развития, связи и массовых коммуникаций (Минцифры) предложило при соблюдении нескольких требований использовать обезличенные персональные данные россиян, «в том числе для предпринимательской деятельности». Это следует из проекта поправок к законопроекту, уточняющему порядок получения разрешения на использование персональных данных. Копия проекта содержится в письме замглавы министерства Олега Иванова в администрацию президента и комитет Госдумы по информполитике (есть в распоряжении РБК, его подлинность подтвердили два получателя рассылки).
Представитель Минцифры подтвердил РБК корректность поправок, отметив, что бизнес сможет свободно обрабатывать обезличенные данные. «Законопроект позволит повысить эффективность системы защиты прав субъектов персональных данных — наших граждан, а также даст возможность бизнесу использовать данные, полученные в результате обезличивания. При этом права россиян на безопасную обработку и сохранение их персональных данных будут соблюдены», — объяснил временно исполняющий обязанности директора департамента информационной безопасности Минцифры Дмитрий Реуцкий.
Управляющий партнер юридической компании Rafikov & Partners Рустам Рафиков объяснил, что коммерциализировать данные смогут, например, провайдеры интернета, ретейлеры, поставщики CRM (систем управления отношениями с клиентами) и т.д., собирая объемы обезличенных данных и продавая их рекламодателям. «Например, можно собирать данные о количестве клиентов, обратившихся за тем или иным товаром, об объемах продаж определенному сегменту по полу, возрасту, месту жительства и др. Можно обезличить данные о частоте покупки того или иного товара определенными потребителями», — рассуждает он.
Что предписывает законопроект
В июле прошлого года правительство внесло в Госдуму поправки в закон «О персональных данных», которые вводили возможность получать согласие на обработку персональных данных для нескольких целей, а также обязанность при уничтожении данных использовать средства защиты информации, прошедшие процедуру апробации в ФСБ или ФСТЭК. Полномочия устанавливать требования и методы обезличивания персональных данных предлагалось передать Роскомнадзору. В середине февраля документ был принят в первом чтении.
Что предложило Минцифры
Согласно проекту поправок, обезличить данные о пользователе можно будет только с его согласия, кроме исключительных случаев. Поправки «не допускают» действия операторов данных (к ним относятся компании связи, банки и т.д.) по их деобезличиванию, за исключением ситуаций, когда это необходимо для защиты жизни, здоровья или иных важных интересов субъекта персональных данных. Кроме того, операторам нельзя будет передавать третьим лицам, например при обмене между собой, дополнительную информацию, которая позволит установить владельца обезличенных данных. Для этих третьих лиц также вводится запрет на попытки вычислить субъекта персональных данных.
В письме Иванова указано, что 3 февраля должно было состояться совещание для обсуждения подготовленных министерством поправок. Источник РБК, знакомый с его результатами, сообщил, что проект отправили на доработку и ведомство должно представить на согласование в правительство отредактированную версию через два дня. Представитель Минцифры подтвердил, что вопрос обсуждался на совещании и проект в ближайшее время будет представлен в правительство.
В версии Минцифры нет понятия «иной уникальный идентификатор субъекта персональных данных», которое предлагалось в первой редакции. Оно позволяло владельцу персональных данных давать согласие на их обработку без указания Ф.И.О. и паспортных данных, используя лишь номер телефона или псевдоним. В письме Иванова приводится позиция вице-президента по развитию и планированию «Сколково» Сергея Израйлита, откуда следует, что он не поддерживает исключение указанного пункта. «Во многих случаях у оператора нет никакой необходимости знать подлинные и полные данные субъекта, например когда речь идет об использовании сервисов онлайн-знакомств или дистанционной торговли», — поясняет Израйлит. По его мнению, законопроект в последней редакции «приводит к ужесточению правового режима обработки обезличенных данных без создания каких-либо дополнительных возможностей для законной обработки таких данных». Режим обработки становится более жестким, чем обработка необезличенных персональных данных, что снизит мотивацию для обезличивания, считает он.
Также из письма Иванова следует, что Сбербанк предлагал позволить операторам обезличенных данных поручать их обработку другим компаниям без согласия гражданина, лишь уведомив его об этом, что потребуется для работы операторов с облачными провайдерами. Мощности таких компаний необходимы для обработки больших объемов данных и построения моделей искусственного интеллекта. Однако Минцифры отклонило это предложение. Уже после выхода публикации представитель Сбербанка сообщил, что видит серьезные риски в норме, обязывающей операторов персональных данных применять сертифицированные средства защиты информации при удалении данных. «Сбер» последовательно выступает за то, чтобы законодательство было дополнено нормами, направленными на упрощение оборота обезличенных данных, а также на создание специальных условий для обработки персональных данных для нужд развития технологий искусственного интеллекта», — сказал он.
Представитель пресс-службы АНО «Цифровая экономика» объяснил РБК, что цель законопроекта — «создать условия для свободного оборота обезличенных данных, обеспечив при этом защиту прав граждан как субъектов персональных данных», но документ требует доработки. В частности, законопроект в последней редакции фактически приводит к ужесточению правового режима обработки обезличенных данных. «При передаче обезличенного массива данных третьему лицу обработка этих данных в иных целях (кроме тех, для которых они собирались) невозможна, так как требует нового согласия гражданина, но спросить его не у кого, так как данные обезличены и непонятно, кому они принадлежат», — пояснил он.
Зампредседателя комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Борис Едидин также считает, что действующее законодательство в сфере персональных данных уже содержит множество требований: обязательное согласие на обработку, регистрация в качестве оператора, применение юридических, организационных и технических мер защиты данных и др. «Если ранее можно было пользоваться отсутствием четкого регулирования обработки обезличенных данных, то теперь такая деятельность фактически подпадает под режим работы с персональными данными», — указал он. Едидин добавил, что законопроект в таком виде не сильно поможет государству повысить эффективность различных процессов и услуг, используя технологии больших данных, но позволит локализовать и максимально контролировать эту деятельность.
Сейчас все операторы данных проводят их обезличивание и деобезличивание как стандартную процедуру защиты от утечек через собственных сотрудников, напомнил представитель АНО «Цифровая экономика». «Усложнение процедур, предусмотренное текущей версией проекта, приведет к снижению защищенности, так как часть операторов должны будут от своих практик защиты клиентов отказаться. При этом любой оператор банка получит доступ к персональным сведениям всех клиентов», — предупредил он.
Директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович объяснила, что по действующему законодательству обезличенные данные могут быть использованы без согласия гражданина только в исследовательских, научных и статистических целях. По ее мнению, свободное использование значительно упростит оборот данных для банков, сотовых операторов, страховых компаний и другого бизнеса, но несет риски нарушения конфиденциальности для самих граждан. «Например, мои данные без привязки к Ф.И.О. — о моих путешествиях, перелетах, перемещениях — могут стать объектом анализа и передачи. При этом меня как носителя этих данных никто не будет спрашивать и ставить в известность», — констатировала она.