Минцифры хочет собирать обезличенные данные в своей информационной системе
Собрать воедино
На встрече президента с членами правительства глава Минцифры Максут Шадаев доложил, что совместно с комитетом Госдумы по информполитике подготовлены изменения в закон об обезличивании данных. Для организации работы с большими данными Минцифры предлагает создать государственную информационную систему (ГИС). Обезличенные дата-сеты нельзя будет выгрузить и забрать из ГИС, можно будет на них тестировать и обучать свои нейросети, подчеркивают в Минцифры.
Поправки в закон «О персональных данных» (есть в распоряжении Forbes) предполагают, что по требованию Минцифры коммерческие компании и госорганы будут передавать имеющуюся у них информацию о клиентах в определенную правительством ГИС, после чего эти персональные данные будут обезличены, из них будут сформированы дата-сеты, которые будут размещены в ГИС. Отдельно поправки оговаривают, что исходные персональные данные должны быть уничтожены в течение 30 дней.
Законопроект определяет требования к пользователям, которые могут получить доступ к этим дата-сетам: это могут быть как госорганы и бизнес, так и частные лица, причем только «авторизованные разработчики» и «только в случае исключения любых сведений, которые позволят идентифицировать конкретного гражданина», подчеркивают в Минцифры. Однако пользователи ГИС не должны находиться в реестрах иноагентов, перечнях причастных к экстремистской деятельности или терроризму. Не допускаются также иностранцы и компании, доля иностранного участия в которых превышает 49%.
Порядок взаимодействия с ГИС, перечень персональных данных, которые госорганы и бизнес будут предоставлять для формирования дата-сетов, определит правительство. Контроль за выполнением необходимых мер по защите персональных данных будет обеспечивать ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю). Планируется, что поправки вступят в силу с 1 сентября 2024 года.
Предложенные Минцифры поправки планируется внести ко второму чтению законопроекта, внесенного правительством на рассмотрение Госдумы еще 21 июля 2020 года и принятого в первом чтении 16 февраля 2021 года. Они предусматривали возможность для граждан давать согласие на обработку персональной информации сразу для нескольких целей и организаций, что значительно бы упростило порядок сбора бизнесом согласий с граждан на обработку их данных.
В ЦБ сообщили, что актуальная редакция проекта поправок ко второму чтению на официальное рассмотрение Банка России не поступала. При этом там отметили, что Банк России концептуально поддержал редакцию законопроекта, принятого в первом чтении 16 февраля 2021 года. «Возможность использования обезличенных данных для обучения моделей ИИ, по нашему мнению, будет повышать качество их работы. Это в дальнейшем позитивно скажется на развитии финансового рынка», — добавили в ЦБ.
В Минцифры отказались от комментариев. В комитете Госдумы по информполитике и Минэкономразвития не ответили на запрос Forbes.
Дополнительные риски
«В рамках заседания профильной рабочей группы АНО «Цифровая экономика» мы рассматривали предложение по поэтапному введению института обезличивания как эффективного инструмента, который в первую очередь обеспечивает безопасность данных», — говорит директор по аналитике АНО «Цифровая экономика» Карен Казарян. Он поддерживает идею по обезличиванию государственных данных одновременно с проведением эксперимента по созданию доверенных посредников, на платформе которых происходило бы тестирование методик обезличивания и оценки рисков для коммерческих компаний.
Предложение по созданию единой ГИС «не только не решит проблему доступности данных», но и создаст дополнительные риски для безопасности персональной информации граждан, считают в Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Ростелеком», МТС, Газпромбанк и др.). «Подготовка наборов данных — сложный и трудоемкий процесс, требующий привлечения профильных специалистов в зависимости от области применения ИИ и конкретного кейса. Единственная ГИС не способна в должной степени обеспечить потребность разработчиков ИИ с учетом требований к наборам данных, а также необходимых вычислительных мощностей», — подчеркивают в АБД. Альтернативой созданию ГИС, по мнению АБД, может стать риск-ориентированный подход, при котором участники рынка смогут самостоятельно управлять риском «деобезличивания» данных при их обработке, а государство будет устанавливать требования к оценке такого риска.
Чтобы концепция Минцифры могла работать, компаниям необходимо разрешить обезличивать данные самостоятельно, иначе на передачу данных в госсистему необходимо будет брать согласие, отмечает директор по стратегическим проектам Института исследований интернета Ирина Левова. Также проект не решает противоречия с обработкой данных, защищенных тайнами в Конституции, считает она. «Общая концепция законопроекта фактически обозначает монополизацию данных госкомпаниями, а также отказ от традиционного для российского права института согласия, так как персональные данные граждан планируется передавать госкомпаниям без согласия самих граждан», — поясняет Левова.
Объемы информации и сложность необходимой инфраструктуры такой ГИС будут превышать по уровню все существующие информационные системы, считает преподаватель образовательной платформы Moscow Digital School, директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович. По мнению эксперта, сбор и накопление фактически всех имеющихся данных в одной системе — «крайне небезопасная идея» с точки зрения последствий кибератак и утечек. Она подчеркивает, что обезличенные данные — разновидность персональных данных, которые по действующему законодательству являются обратимыми и при обогащении их дополнительной информацией могут привести к конкретному человеку. Законопроект не содержит ответа и на вопрос, как именно будет обеспечена безопасность хранения такого массива данных, отмечает Орехович.
Передача персональных данных третьей стороне без обезличивания может повлечь риск несанкционированного доступа, утечки информации или злоупотребления данными, согласна директор юридического департамента DRC Юлия Привалова. Принудительный характер передачи данных операторами в единую систему противоречит законодательству, что может быть решено только положениями, регулирующими право субъекта отказаться от передачи своих данных в систему и правовые последствия такого отказа, добавляет эксперт.