Главное Свежее Вакансии   Проекты
257 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Законодатели и рынок пытаются понять – нужна ли данным анонимность

В Минцифры считают, что обезличивание данных (ОД) пользователей не защищает полностью граждан. Чиновники предлагают узаконить понятие анонимизация данных (АД) и запретить бизнесу деобезличивание.

В то же время эксперты отмечают, что методики деперсонализации обладают свойствами анонимизации. Во всей этой понятийной неразберихе бизнес больше всего волнует уровень доступа к данным потребителей. Без них маркетинговое продвижение сводится к нулю.

ВНЕСЛИ ЯСНОСТЬ ПО ПОНЯТИЯМ


На заседании межфракционной рабочей группы (РГ) по защите персональных данных (ПД) 10 марта в Госдуме заместитель министра по цифровому развитию Олег Иванов неожиданно сообщил, что в закон о персональных данных № 152-ФЗ нужно ввести понятие «анонимизация». Поскольку ОД — обратимое явление в отличие от анонимизации, при которой восстановить ПД невозможно, отметил он. Напомним, что сейчас профильными ведомствами и депутатами готовятся поправки в законопроект по обезличиванию ПД, который должен пройти второе чтение в Госдуме. «В ходе доработки документа мы пришли к согласию с коллегами из федеральных органов исполнительной власти и бизнесом, что ОД и анонимизация — это разные понятия», — сообщил О.Иванов.

На заседании РГ от экспертов также прозвучали опасения, что законопроект по ОД в текущей редакции задачу не решает. Документ, наоборот, создает ограничения для работы с обезличенной информацией, которую широко применяет бизнес. Например, для таргетирования рекламы по целевым группам потребителей.

Минцифры рассчитывает, что

ПОПРАВКИ ПОМОГУТ НАЙТИ БАЛАНС МЕЖДУ ИНТЕРЕСАМИ БИЗНЕСА И ПРАВАМИ ГРАЖДАН


Заместитель главы Роскомнадзора Милош Вагнер на заседании также отметил, что задача госорганов защищать более слабую сторону — граждан, в вопросе обработки данных.

Предлагается ввести запреты на деобезличивание данных и передачу информации третьим лицам, использование которой позволит определить субъект ПД. Для операторов планируют ввести ряд ограничений. Например, нельзя использовать иную информацию, действия и методы, которые помогут определить принадлежность ПД к конкретному субъекту. Запрещено передавать третьим лицам информацию, которая позволит идентифицировать конкретного человека.

Олег Иванов, Минцифры

«ДВЕ БОЛЬШИЕ РАЗНИЦЫ»


ОД и АД — это действительно две разные категории, подтверждает в разговоре с RSpectr руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. Эксперт отмечает, что чаще всего анонимизация воспринимается как синоним обезличивания — и это самая большая проблема.

Анонимизация — действия, в результате которых ПД необратимо изменяются таким образом, что человек больше не может быть идентифицирован прямо или косвенно, в том числе с использованием дополнительной информации. Эта процедура в российском законодательстве четко не закреплена и потому трактуется по-разному. Например, мы можем найти описание «Анонимизации объекта» в Национальном стандарте РФ ГОСТ Р ИСО 17432-2009.

Алексей Парфентьев, «СёрчИнформ»

«ОД могут содержать пол, возраст, номер телефона, набор заболеваний. Однако, сопоставив разные дополнительные базы данных, можно найти ФИО и адрес конкретного человека», — рассказывает RSpectr о слабых местах обезличивания руководитель центра бизнес-аналитики RAMAX Group Сергей Левашов.

ПРИ АНОНИМИЗАЦИИ ДАННЫХ УЧЕТНАЯ СИСТЕМА ЗАПИСЫВАЕТ МАССИВ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЯ, НО ИСКЛЮЧАЕТ НАЛИЧИЕ ПД И НЕ ВЫПОЛНЯЕТ ГРУППИРОВКУ ПО КАКОМУ-ЛИБО ИДЕНТИФИКАТОРУ


«Например, один человек сделал пять запросов в интернет-браузер. При наличии ОД в анализе мы видим, что все запросы поступили от одного пользователя. В случае анонимизации мы увидим эти запросы, но не будем знать от кого именно», — пояснил RSpectr генеральный директор IT-компании Omega Алексей Рыбаков.

Эксперт предположил, что поправки в законопроект могут включать в себя разделение понятий, механизмов регулирования процесса ОД и АД. Также разделение между операторами зон ответственности, кто из них получит доступ только к ОД, а кто — к АД. Тогда это станет первым шагом к новой эпохе защиты персональных данных.

Технически остается возможность деанонимизировать любого человека и суть поправок в том, чтобы законодательно запретить это делать. В результате бизнесу будет запрещена деанонимизация людей, что может повлечь за собой крупные штрафы или остановку деятельности в соответствии с законом № 152-ФЗ.

Сергей Левашов, RAMAX Group

В Евросоюзе в регламент по защите персональных данных (GDPR) введены понятия «анонимизация» и «псевдоанонимизация». Второй вариант у нас в России называется «обезличивание данных», рассказывает RSpectr сооснователь консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников. Но в ЕС псевдоанонимизированные данные GDPR требует обрабатывать как ПД. На АД порядок GDPR не распространяется, уточняет эксперт.

Законодатели не учли роль анонимизации при разработке поправок об обезличивании. У нас в статье 6 (закона № 152-ФЗ) сказано, что обработку ПД можно вести в исследовательских, научных и статистических целях при условии обязательного обезличивания. Но для статистических целей нужны анонимизированные данные, а не ОД, поэтому нужно внести в закон это понятие. Ведь большинству операторов нужны именно АД.

Михаил Емельянников, «Емельянников, Попова и партнеры»

Однако, А.Рыбаков считает, что

УТВЕРЖДЕННЫЕ РОСКОМНАДЗОРОМ МЕТОДИКИ ОБЕЗЛИЧИВАНИЯ ПОЗВОЛЯЮТ ЗАЩИЩАТЬ ДАННЫЕ НА УРОВНЕ АНОНИМИЗАЦИИ


Существует четыре метода ОД, описанных в рекомендациях Роскомнадзора от 5 сентября 2013 года:

  1. введение идентификаторов;
  2. изменение состава или семантики;
  3. декомпозиция;
  4. перемешивание.

При введении идентификатора пользователю присваивается ID, который скрывает данные. Но если под ID спрятали объем данных о поле, дате рождения и вступлении в брак, то этот набор позволяет идентифицировать человека. Связка этих данных нерелевантная. Метод декомпозиции развивает метод идентификатора. Чтобы данные не соприкасались между собой, необходимо их глубже сегментировать: отдельные базы данных по полу, семейному положению и так далее. Когда у каждого пользователя для отдельного элемента данных будет свой ID, то связать ОД будет сложнее.

Алексей Рыбаков, Omega

Метод изменения состава или семантики позволяет получить ОД с помощью преобразования, обобщения или удаления части сведений, а значит, может обладать свойством анонимности при достаточной степени обезличивания, поясняет эксперт.

С ТЕХНИЧЕСКОЙ ТОЧКИ ЗРЕНИЯ ДЛЯ АНОНИМИЗАЦИИ БОЛЬШЕ ВСЕГО ПОДХОДИТ МЕТОД ИЗМЕНЕНИЯ СОСТАВА ИЛИ СЕМАНТИКИ


В таком случае информация будет обладать полезными для бизнеса свойствами, а ПД при этом будут оставаться в максимальной безопасности даже в случае попыток сопоставления с другими базами данных, считает А.Рыбаков.

Среди законодательных ограничений нужен запрет на распространение ОД с идентификатором клиента, чтобы исключить возможность агрегирования информации о лице, сообщил RSpectr IТ-директор компании Oberon Дмитрий Пятунин.

НЕВЫГОДНЫЕ ДАННЫЕ


Если не ввести запрет на деобезличивание, то бизнес не выиграет, а окажется не у дел. Большинству ритейлеров могут серьезно ограничить сбор и обработку данных. С подобной инициативой уже выступила на заседании РГ глава комитета по социальной политике сенатор СФ РФ Инна Святенко.

Я предлагаю не давать аккумулировать избыточные данные ритейлу. Если торговая точка собирает ПД с целью предоставить дисконт в день рождения, то им совсем необязательно получать паспортные данные, год рождения. Достаточно знать день и месяц. Если есть риск утечки, то лучше ПД вообще не собирать.

Инна Святенко, Совет Федерации

Утечки происходят как из коммерческих, так и государственных систем, поэтому ПД нужно разделять максимально эффективно, отмечает в разговоре в RSpectr директор по направлению «Нормативное регулирование» АНО «Цифровая экономика» Дмитрий Тер-Степанов. Он считает, что

ЧЕМ БОЛЬШЕ ОБЕЗЛИЧЕННЫХ ИЛИ АНОНИМИЗИРОВАННЫХ ДАННЫХ ДОСТУПНО БИЗНЕСУ ИЛИ ГОСУДАРСТВУ, ТЕМ КАЧЕСТВЕННЕЕ УСЛУГА, ПРОДУКТ


В этом направлении уже движется Евросоюз, известный своей принципиальной позицией по защите privacy. В конце 2020 года ЕС заявил о планах расширить доступ бизнеса к данным, в том числе государственным, опубликовав Законодательную инициативу о данных (Data Governance Act).

Дмитрий Тер-Степанов, «Цифровая экономика»

В России бизнес собирает данные иногда по очень спорным схемам, с точки зрения закона.

«Руководитель подразделения по работе с Big Data сотового оператора на одной из конференций сообщил, что для тарификации услуг связи им нужно шесть параметров сведений об абоненте. Сейчас они обрабатывают 1,5 тыс., а хотят 2 тыс. параметров. Явно собирают для продажи», — рассказывает М.Емельянников.

«Представителям бизнеса следует тщательно обдумать возможность отказа от использования ПД и ОД, если будет возможность применять анонимизированные данные, отметила в разговоре с RSpectr представитель «Информзащита» Василиса Скидан.

Источник

Подробнее об IT-компании Omega

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем