Анастасия
Гаврилюк
Тимур
Батыров
20.05.2024

Бизнес предложил государству ввести экспериментальный правовой режим для тестирования технологий по обезличиванию персональных данных россиян. Он поможет компаниям из разных сфер разрабатывать более технологичные сервисы и услуги, в большей степени отвечающие потребностям потребителей. Инициатива является, по сути, альтернативой законопроекту Минцифры, согласно которому компании по требованию государства будут предоставлять имеющиеся у него персональные данные в государственную информационную систему для обезличивания и формирования дата-сетов. Документ неоднократно подвергался критике со стороны бизнеса

Ассоциация больших данных (АБД, объединяет "Яндекс", VK, Сбербанк, Газпромбанк, Тинькофф Банк, "Мегафон", "Ростелеком", МТС, ВТБ, Россельхозбанк и ряд других компаний) предложила Минэкономразвития создать экспериментальный правовой режим (ЭПР) под названием "Доверенный посредник в сфере данных". Письмо с описанием проекта было направлено в Минэкономразвития 22 апреля (есть в распоряжении Forbes). ЭПР, или "цифровая песочница", позволяет протестировать регуляторные изменения, необходимые для развития тех или иных технологий. После завершения эксперимента будет принято решение о том, нужно ли изменять правовое регулирование в масштабах всей страны.

АБД изначально предложила создать этот ЭПР еще летом прошлого года, после чего проект был доработан с учетом замечаний рабочей группы "Нормативное регулирование" АНО "Цифровая экономика", в том числе ФСБ (протокол заседания, прошедшего 12 апреля, есть в распоряжении Forbes). В АБД Forbes сообщили, что ранее заявка была согласована Минцифры, Минэкономразвития, Роскомнадзором и экспертами АНО "Цифровая экономика", но были замечания со стороны Федеральной службы безопасности (ФСБ). "Сейчас замечания устранены, надеемся, ФСБ согласует заявку и можно будет приступить к работе", — добавили в организации.

О том, что Минэкономразвития и заинтересованные органы власти изучают возможность использования механизма экспериментальных правовых режимов (ЭПР) для тестирования технологий по обезличиванию персональных данных россиян, РБК рассказал глава департамента цифрового развития и экономики данных Минэка Владимир Волошин.

По словам Волошина, министерство "концептуально поддерживает" тестирование таких технологий, сейчас прорабатываются несколько экспериментов в этом направлении, в том числе предложенный АБД. "Мы считаем, что этот эксперимент важен и своевременен, вместе с тем для его установки важно найти сбалансированное решение, которое позволит, с одной стороны, предоставить доступ к данным, а с другой — не нарушит интересы граждан и государственной безопасности", — подчеркнул он.

Эксперимент позволит оценить риски деанонимизации данных, используемых для различных типов вычислений, и разработать требования по безопасности к доверенным посредникам, которые могут проводить вычисления, пояснил представитель АБД. Проведение ЭПР важно, поскольку понять вероятность деанонимизации можно понять только на практике, указал он.

В рамках ЭПР АБД планирует создать собственную платформу, которая бы безопасно обрабатывала персональные данные россиян, предоставляя к ним доступ разработчикам для реализации проектов, следует из описания проекта. Созданием "песочницы" в случае ее одобрения займется сама ассоциация с участием компаний-членов АБД. Планируется, что ЭПР продлится три года, но, возможно, на проработку всех вопросов потребуется и меньше времени, рассказали в АБД.

"Песочница" полностью готова и аттестована Федеральной службой по техническому и экспортному контролю (ФСТЭК), предварительно проведено тестирование на синтетических (искусственных) данных. Задача проекта — протестировать риск-ориентированный подход при работе с персональными данными и разработать требования к доверенным посредникам (организационные, к контуру)", — отметили в АБД.

Успешный эксперимент даст возможность скорректировать регулирование в области персональных данных, так как в результате обезличенная информация может как оставаться персональной, так и терять этот правовой статус. Это зависит от уровня риска деобезличивания (то есть возможности определить, к какому человеку данные относятся), который просчитывается математически, — объясняют в АБД. — ЭПР будет очень полезен для более четкого понимания целей и задач проекта закона об обезличенных данных".

Два подхода

Согласно оценкам АБД, рынок больших данных в России по состоянию на 2021 год составлял 170 млрд рублей, к 2024 году он может почти удвоиться до 319 млрд рублей (рост на 90%). При этом эффект от внедрения продуктов на основе больших данных составит 1 трлн рублей. "Для этого необходима реализация ряда инициатив по регуляторной поддержке и экономическому стимулированию рынка больших данных. К таким инициативам среди прочего относится реализация ЭПР по обработке обезличенных данных", — говорится в описании.

Обезличенные данные — информация о гражданах, которую хранят и госорганы, и бизнес, при этом ее невозможно соотнести с каким-то конкретным человеком. Однако в некоторых случаях, если сравнить несколько баз персональной информации, определить конкретного владельца данных можно. Именно с этим риском и планирует разобраться АБД с помощью "песочницы".

Однако у Минцифры совсем другой взгляд на проблему. Сейчас на рассмотрении Госдумы находится законопроект, разработанный в Минцифры и изначально призванный ввести регулирование обезличенных персональных данных. Он предполагает, что бизнес по требованию государства будет предоставлять имеющиеся у него персональные данные в соответствующую государственную информационную систему (ГИС) для формирования дата-сетов, своеобразное "госозеро данных". Доступ к этим дата-сетам первые три года будут иметь только госорганы и подведомственные им организации, а после — уже все остальные, кого одобрит правительственная комиссия.

Бизнес неоднократно критиковал эту инициативу, отмечая, что законопроект предусматривает фактическое изъятие персональных данных, собранных коммерческими компаниями. Для некоторых участников рынка такие данные и результаты работы с ними являются основой бизнеса, обращали внимание они, добавляя, что это потребует значительных государственных затрат, а ГИС будет уязвима в случае диверсий.

Инициативы по совершенствованию режимов обработки персональных данных, в том числе обезличенных данных, являются частью национальной программы "Цифровая экономика", говорит директор по аналитике АНО "Цифровая экономика" Карен Казарян. "АНО ЦЭ как организация предпринимательского сообщества поддерживает проведение экспериментов в области обработки больших данных. На наш взгляд, именно ЭПР — идеальный путь для будущего регулирования, так как проведение эксперимента позволит понять риски деобезличивания, его эффективные и необходимые методы и технологии, а также организационные, административные и технологические методы митигирования рисков (то есть смягчения их последствий) для субъектов персональных данных", — пояснил он.

В Минцифры Forbes сообщили, что обновленный проект программы ЭПР еще не поступил в министерство: "При получении он будет рассмотрен в установленном порядке".

В Роскомнадзоре, ФСБ, Минэкономразвития на запрос Forbes не ответили.

Найти выход из серой зоны

Опрошенные Forbes эксперты считают: создание ЭПР в сфере обезличивания персональных данных пойдет на пользу бизнесу. "Песочница" позволит ему, по мнению директора юридического департамента DRC Ольги Захаровой, оптимизировать затраты на создание инфраструктуры, даст возможность передавать обезличенные данные, создавать социально значимые проекты на основе этих данных, а также совместно с контролирующими органами отслеживать целевое использование дата-сетов на платформе. "Предполагается, что на платформу будут загружаться обезличенные данные, которые будут оценены на предмет риска повторной идентификации субъекта, все действия с данными будут фиксироваться", — добавила она.

Сегодня работа с обезличенными персональными данными находится в серой зоне — на уровне федеральных норм не определены правила обезличивания и работы с дата-сетами, поясняет зампред комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Борис Едидин. По его словам, отсутствие четких правил ограничивает возможности вовлечения большего количества и объема данных в оборот. "Это, в свою очередь, оказывает влияние на конкурентоспособность компании, возможность использования больших массивов информации для разработки продуктов, анализа поведения пользователей, подготовки и формирование лучших предложений. "ЭПР позволит бизнесу из различных сфер, будь то ИT-компании или те, что занимаются офлайн-продажами, разрабатывать более технологичные продукты либо сервисы и услуги, которые в большей степени отвечают потребностям потребителей", — уверен Борис Едидин.

Предлагаемый АБД подход более полезен для бизнеса, согласен руководитель юридической группы Центра ИИ и науки о данных СПбГу Владислав Архипов. "При успешной реализации он поспособствует определенности, при каких условиях и как можно использовать обезличенные данные. Для граждан такой подход вряд ли сам по себе принесет пользу, разве что они тоже будут лучше осведомлены о том, что и как делается с их обезличенными данными", — полагает он.

Бизнес предлагает государству альтернативу созданию "гососзера", хотя, скорее всего, "песочница" АБД и "гососзеро" будут существовать параллельно, полагает эксперт по защите персональных данных и соучредитель Russian Privacy Professionals Association (RPPA) Алексей Мунтян. "Песочница" может показать валидность и прочность технических подходов к обработке персональной информации, а также продемонстрировать ту дополнительную ценность, которую могут привнести не просто методы обработки персональных данных, но и технологии, заточенные на усиление конфиденциальности. Таким образом, бизнес формирует альтернативную техническую реальность, которая может превратиться во что-то более значимое. Например, это прямая дорога к созданию "биржи данных", брокеров данных, которые уже есть в некоторых станах и могут прийти и в нашу страну", — считает Мунтян.

Новости из связанных рубрик