Лица не увидать: как регулятор запутался в законе об обезличенных персональных данных

Погрузить в «госозеро»

Для начала немного теории. Обезличенные данные (ОД) — это математически обработанные персональные данные (ПД), которые в результате этой обработки могут оставаться персональными, если все-таки позволят идентифицировать человека, а могут перестать быть таковыми, если не позволят. При этом можно ли идентифицировать человека в датасете или нет — это вероятность, которую можно посчитать. Если вероятность чрезвычайно низкая, такие данные не считаются персональными.

ОД применяются для обучения моделей искусственного интеллекта, прогнозирования, исследований, борьбы с мошенничеством и повышения безопасности сервисов. Для указанных целей использование обезличенных, а не персональных данных обусловлено прежде всего снижением рисков утечек и защитой прав граждан.

Вообще разработка законопроекта преследовала цель обеспечения «свободного оборота обезличенных данных» (п. 1.3 федерального проекта «Нормативное регулирование цифровой среды»), но в процессе работы что-то пошло не так. В итоге этим летом был принят многострадальный закон не про ОД, как изначально планировалось, а про передачу данных от любых операторов в некое пока не существующее «озеро» данных (государственную информационную систему) для «нужд улучшения госуправления», какие бы смыслы ни вкладывались в эту фразу.

В «госозеро» компании должны передавать «обезличенные персональные данные». При этом депутаты включили в закон весьма забавную правовую конструкцию. Если ее проанализировать, становится вообще непонятно, что именно можно или нельзя передавать в «госозеро».

Разберемся с терминами

Существующее определение ПД крайне широкое — это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (пункт 1 статьи 3 №152-ФЗ). То есть, строго говоря, ПД — это что угодно, что хоть как-то относится к какому-то лицу и что Роскомнадзор может назвать персональными данными. Например, к таким данным можно отнести любой почтовый адрес или написанный на заборе номер мобильного телефона.

Ниже несколько выдержек из текста закона (просим прощения у читателей за юридическую терминологию, но это необходимо, чтобы понять, в чем коллизия):

1)       «Статья 13.1. Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним» (название статьи 13.1 №152-ФЗ).

2)      «обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных» (пункт 9 статьи 3 №152-ФЗ).

Примечание: без использования дополнительной информации — это когда, например, мы знаем фамилию и имя (Иванов Иван) и таких, допустим, около миллиона в России. Сами по себе эти данные не позволяют нам идентифицировать никого (хотя все равно являются персональными), однако если мы добавим к этому отчество и адрес, то практически точно сможем понять, о каком именно Иванове Иване идет речь.

3)      Минцифры «…формирует составы ПД, полученных в результате обезличивания персональных данных, сгруппированные по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту ПД (далее — составы данных)» (пункт 1 статьи 13.1 №152-ФЗ).

Пример: мы в датасете заменили всех Ивановых И. И. на Петровых В. В., сгруппировали, допустим, по признаку «заказывает еду в «Пятерочке», затем сгрузили в «госозеро» («последующая обработка») и там обогатили какими-то еще данными (например, теми же адресами проживания) с тем, чтобы получить «состав данных». Судя по определению состава данных, все это должно нам гарантировать, что определить принадлежность данных конкретному Иванову И. И. в «госозере» будет невозможно.

Суммируя эти определения, мы видим следующее: есть родовое (общее) понятие «персональные данные», есть его подвиды — это «обезличенные персональные данные», «составы персональных данных, полученных в результате обезличивания ПД», и есть некая процедура обезличивания, которая переводит родовое понятие «персональные данные» в его определенный подвид. Но при этом ни «обезличенные ПД», ни «составы данных» не перестают быть персональными данными.

Далее регулятор говорит следующее: «Предполагается, что документ не приведет к значительным расходам для бизнеса». Кроме того, в документе речь идет только об обезличенных данных — персональная информация передаваться не будет, что строго зафиксировано законодательством.

Если изобразить на кругах Эйлера, получается так:

Возникает резонный вопрос: а как не будут передаваться ПД, если никаких других данных в заданных законом определениях не существует? То есть нам говорят, что ПД передаваться не будут (а мы помним, что все, что может передаваться, по закону это персональные данные), и, чтобы не возмущать граждан, в публичной аргументации появляется новое понятие обезличенных данных, которое также довольно подробно описал глава думского комитета по информационной политике Александр Хинштейн.

«Есть позиция нашего комитета, — подчеркнул Хинштейн. — Мы считаем, что до тех пор, пока не будет полной достоверности и убежденности у всех нас в том, что обработанные, анонимизированные, превращенные в большие данные невозможно потом вернуть назад, то есть обратно деанонимизировать, до этого момента ни о какой передаче больших данных разговора идти не может».

Но, к сожалению, факты говорят нам обратное: по закону, поправки к которому предложил сам же комитет, передаваться в «госозеро» будут исключительно персональные данные.

Снять противоречие

Таким образом, возникает прямое логическое противоречие как внутри закона, так и в понятийном плане, — получается, что юридически передаются и объединяются «данные Шредингера», персональные и неперсональные одновременно. То есть сколько ни обезличивай, данные останутся персональными. Кажется, что в законе все же хотели выделить категорию неперсональных данных, но их правовой статус не поменяли и они почему-то остаются персональными.

Единственно возможный выход из этого логического тупика — это законодательное определение момента перехода персональных данных в данные необратимо обезличенные или анонимизированные и в этом плане уже неперсональные с введением соответствующего непротиворечивого понятия в закон. А при операциях с такими данными нужно полностью исключить риски идентификации субъекта данных из их обезличенного массива. Соответствующая методика должна быть разработана с учетом существующих технических и информационных возможностей и закреплена в нормативных документах. Только тогда закон сможет решать стоящие перед ним задачи (обеспечить гарантию безопасности ПД и регламентировать оборот ОД) и будет соответствовать как позиции законотворцев, так и здравому смыслу.

Мнение редакции может не совпадать с точкой зрения авторов