Бездонные данные: Минцифры переписало законопроект об обезличенной информации

Минцифры подготовило очередную версию законопроекта о так называемых обезличенных данных, предполагавшего создание государственной информационной системы (ГИС), куда бизнес будет бесплатно передавать персональные данные своих клиентов и сотрудников.

Как выяснил Forbes, согласно новому варианту, все, что касается определения правил сбора дата-сетов в ГИС и получения доступа к ним, будет отдано на откуп правительства, при этом будет введен механизм платы за данные. По мнению экспертов, последняя версия может говорить о риске монополизации государством работы с данными и даже прямо нарушать принцип законности и справедливости, на котором базируется законодательство о защите персональной информации

На откуп правительству

Минцифры подготовило новую версию поправок в закон "О персональных данных", касающихся оборота обезличенных данных, следует из письма заместителя главы Минцифры Алены Руденко вице-премьеру и руководителю аппарата правительства Дмитрию Григоренко от 24 июня. О письме Forbes рассказал источник в Минцифры, информацию подтвердил еще один собеседник, знакомый с его содержанием.

Напомним, что сейчас в Госдуме ко второму чтению готовится так называемый законопроект об обезличенных данных, целью которого было упростить бизнесу работу с данными и доступ к информации о гражданах. Для этого планировалось предоставить возможность бизнесу брать согласие на обработку персональных данных сразу для нескольких целей. Сейчас российским компаниям надо брать для каждой цели отдельное согласие у человека, что затрудняет использование имеющейся информации о клиентах и сотрудниках в обезличенном виде для развития и обучения сервисов искусственного интеллекта. Именно эта поправка в закон "О персональных данных" была изначально в законопроекте, в такой версии он был принят в первом чтении в 2021 году.

Однако в июле 2023 года Минцифры подготовило новую версию документа. Согласно этом варианту, бизнес бесплатно по требованию государства будет предоставлять имеющиеся у него персональные данные в государственную информационную систему (ГИС, "госозеро данных") для формирования дата-сетов. Доступ к этим дата-сетам первые три года будут иметь только госорганы и подведомственные им организации, а после — все остальные, кого одобрит правительственная комиссия. При этом поправка о возможности заручаться согласием гражданина сразу на несколько целей обработки его персональных данных из текста законопроекта исчезла.

Бизнес неоднократно критиковал эту инициативу, отмечая, что законопроект предусматривает фактическое изъятие персональных данных, собранных коммерческими компаниями. При этом для некоторых участников рынка такие данные и результаты работы с ними являются основой бизнеса, обращали внимание они, добавляя, что это потребует значительных государственных затрат, а ГИС будет уязвима в случае диверсий. По оценке директора по стратегическим проектам Ассоциации больших данных (АБД) Ирины Левовой и гендиректора Института исследований интернета Карена Казаряна, создание ГИС в этой сфере обойдется не менее чем в 20 млрд рублей.

По новой версии законопроекта, описанной в письме Алены Руденко Дмитрию Григоренко, именно правительство будет устанавливать требования к пакетам данных и срокам их предоставления в ГИС, а также то, кто и на каких условиях (бесплатно или на платной основе) будет получать доступ к этим дата-сетам. Кроме того, предполагается, что правительство будет определять, кто, кроме госструктур, будет получать доступ к этим данным. "Из новой версии законопроекта следует, что коммерческие компании смогут обмениваться обезличенными данными только через "госозеро", — отмечает в разговоре с Forbes еще один источник, знакомый с текстом документа.

В аппарате вице-премьера Дмитрия Григоренко подтвердили получение письма Минцифры о доработке законопроекта. "Оно носит информационный характер. Представленная министерством информация принята к сведению", — добавили в аппарате.

Процесс формирования и предоставления доступа к наборам данных коммерческого сектора еще обсуждается с заинтересованными ведомствами и бизнесом, подчеркнули в Минцифры. "Говорить о результатах преждевременно, но речь точно не идет о заработке ГИС на предоставляемых бизнесом дата-сетах", — отметили в министерстве.

Без права передачи

Согласно оценкам, которые делали ранее в АБД, рынок больших данных в России по состоянию на 2021 год составлял 170 млрд рублей, к 2024 году он может почти удвоиться до 319 млрд рублей (рост на 90%). При этом эффект от внедрения продуктов на основе больших данных составит 1 трлн рублей.

По словам участников рынка, для определения того, как законопроект повлияет на оборот данных, его необходимо рассматривать в комплекте с подзаконными актами. "В известной нам версии, выложенной в системе обеспечения законодательной деятельности, практически все отнесено на уровень подзаконных актов. Это не позволяет оценить последствия принятия законопроекта", — сообщили в АБД. "Надеемся на диалог с регулятором на этапе разработки подзаконных актов, которые будут определять ответственность, условия и порядок оборота данных", — также заявили в МТС.

Сейчас коммерческие организации не вправе обезличивать персональные данные и обмениваться ими, поясняет главный юрисконсульт практики интеллектуальной собственности юридической компании "ЭБР" Кирилл Ляхманов. "Дата-сеты коммерческих организаций после процедуры обезличивания в любом случае будут являться персональными данными", — добавляет он.

Более того, механизмов как такового обмена обезличенной информацией между компаниями не предусмотрено, рассуждает юрист, преподаватель образовательной платформы Moscow Digital School Александра Орехович. Согласно закону, обезличенные данные — те же персональные по своему статусу, а значит, для их передачи и обмена необходимо отдельное согласие субъекта, говорит она. "Многие операторы "зашивают" в согласие, которое берут изначально у субъекта, возможность его передачи третьим лицам, что дает им легальные возможности для обмена. Одним из основных принципов обработки данных является соответствие их обработки заранее определенным целям. Это ставит под сомнение легитимность обмена персональными данными между различными операторами, которые будут использовать их для различных целей", — продолжает Орехович.

Суть последних поправок, по словам Александры Орехович, сводится к тому, что все компании без исключения обязаны по запросу Минцифры передать массивы персональных данных. "Это могут быть любые данные. По идее, компания обязана их обезличить, но если не может, то будет передавать Минцифры необезличенные персональные данные. При этом самого обладателя такой информации — собственно субъекта — никто не спрашивает, никто не обязан информировать его о факте передачи, — рассуждает она. — У человека нет никакой возможности повлиять на передачу своих персональных данных, отозвать их из системы". По ее мнению, в этом случае их обработка (передача, хранение и систематизация в "госозере" без ведома и согласия гражданина и без видимых причин, связанных с реализацией его основополагающих прав и свобод) — не что иное, как "прямое нарушение принципа законности и справедливости, на котором базируется законодательство о защите персональных данных".

Цифровой налог

Эксперты указывают на то, что до сих пор остается неясным, где и как будет происходить обезличивание персональных данных: на стороне коммерческих компаний, которым будет предоставлен (или их обяжут купить) специальный сертифицированный софт, или на стороне "госозера". "Если компании будут сдавать сырые персональные данные в одну большую ГИС, то риск утечек значительно увеличивается, — размышляет руководитель юридического отдела IDX Михаил Тевс. — Это не только вопрос защиты граждан — возрастает вероятность утечки коммерчески важной информации для компаний. А значит, у них будет еще меньше мотивов работать с "госозером".

Когда речь идет об обмене персональными данными через ГИС, компаниям это несет огромное количество "головной боли", полагает соучредитель Russian Privacy Professionals Association (RPPA) Алексей Мунтян. "Нужно выполнять жесткие требования подключения к ГИС, использовать сертифицированные средства защиты персональных данных, тратить на это деньги, поддерживать всю эту инфраструктуру. В то же время для компании коммерческие выгоды этого неочевидны", — считает он. Самое главное, по его мнению, заключается в том, что основные правила будут определяться на уровне не федерального закона, а постановления правительства: "Для бизнеса это значит, что правила игры могут поменяться в любой момент, потому что так решит правительство". При этом государство фактически вводит своего рода "цифровой налог", который нужно выплачивать "натурой" — наборами персональных данных", заключает эксперт.