Бизнес выступил против сбора персональных данных в одной госсистеме
Трудный законопроект
Бизнес раскритиковал идею собирать персональные данные своих клиентов без их согласия в единую государственную информационную систему (ГИС) для последующей работы с ними разработчиков сервисов на базе искусственного интеллекта (ИИ). Об этом говорится в письме Сбербанка, МТС, «Вымпелкома», «Мегафона», «Яндекса» и Avito в правительство на имя зампредседателя правительства Дмитрия Чернышенко с копией председателю Госдумы Вячеславу Володину (есть в распоряжении Forbes, подлинность документа в компаниях подтвердили). В письме от 2 августа изложена критика бизнеса на законопроект, регламентирующий правила обезличивания персональных данных и последующее их использование.
Поправки в закон о персональных данных, регулирующие оборот обезличенной информации, были внесены на рассмотрение Госдумы правительством еще 21 июля 2020 года. Президент России Владимир Путин 6 сентября уже во второй раз за этот год поручил правительству и Госдуме принять законопроект до конца этого года. Предыдущее поручение было опубликовано в январе этого года и предполагалось, что будет исполнено до 15 июля.
Лаконичная версия внесенного в Госдуму законопроекта оговаривала возможность бизнеса заручиться согласием клиента на обработку его персональных данных для последующего использования их в уже обезличенном виде. Она была принята в первом чтении 16 февраля 2021 года, но до второго так пока и не дошла. Однако межведомственное обсуждение инициативы не закончилось: Минцифры трижды вносило изменения в законопроект, третья версия была одобрена правительством. Согласно этой версии законопроекта, бизнес по требованию Минцифры будет предоставлять имеющиеся у него персональные данные в соответствующую ГИС для обезличивания и формирования дата-сетов. Все остальные подробности предлагается прописать в подзаконных правовых актах.
Без аналогов
Именно эту версию законопроекта раскритиковал бизнес в своем письме, указав, что он не решит проблему доступности данных для разработчиков ИИ, но создаст риски для сохранности персональных данных граждан. «Создание единой государственной системы персональных данных потребует существенных государственных затрат. Для этой ГИС нужна инфраструктура такой сложности и масштаба, аналогов которой сейчас нет даже среди государственных информационных систем», — отметили авторы письма. Создание единой ГИС приведет к стагнации рынка решений с использованием ИИ и отставанию России от других стран в части разработки и применения передовых технологий, уверены они.
Бизнес просит закрепить в законопроекте порядок обезличивания данных и формирования на их основе дата-сетов, а также возможность свободного оборота обезличенных данных без получения у клиентов отдельного согласия на обработку их информации. Если все-таки правительство настоит на создании единой информационной системы, то бизнес предлагает использовать в ней данные, собранные государством. А от самого бизнеса они предлагают брать только ту персональную информацию, которая нужна для обеспечения безопасности, в том числе для защиты от чрезвычайных ситуаций или санитарно-эпидемиологического благополучия населения.
Минцифры ответным письмом бизнесу (есть в распоряжении Forbes) сообщило, что создание ГИС необходимо для сохранности «больших массивов чувствительных данных» от возможного «деобезличивания». Для этого Минцифры совместно с другими органами власти сейчас обсуждает создание ГИС, в рамках которого пользователям будет предоставляться «доступ к наборам данных в закрытом контуре», указано в письме. В Минцифры считают, что именно такой формат работы с дата-сетами должен ускорить развитие искусственного интеллекта в России.
Глава комитета по информационной политике Александр Хинштейн сообщил Forbes, что в рамках доработки законопроекта ко второму чтению комитет планирует привлекать представителей бизнес-сообщества. «Думаю, компромиссное решение будет найдено», — добавил депутат.
В аппарате заместителя председателя правительства Дмитрия Чернышенко отметили, что с точки зрения развития ИИ доступ к данным имеет критическое значение. «Чем больше примеров реальных данных нейронные сети увидят при тренировке, тем более точными и соответствующими реальности будут прогнозы во время эксплуатации», — отметили в правительстве. При этом в аппарате Дмитрия Чернышенко считают, что из тренировочных дата-сетов необходимо удалять «чувствительные» данные — ФИО, точную дату рождения, идентификационные номера документов и др. «Обезличивание персональных данных и предоставление доступа к ним в рамках закрытого контура способны обеспечить решение такой задачи», — заключили в правительстве.
Монополия на данные
Однако бизнес с этим не согласен. «Для каждого отдельного проекта необходимо принимать во внимание множество факторов: исследовательскую задачу, структуру дата-сета, степень полезности этих данных и полученного в результате действий с ними результата», — рассказали в МТС. В компании подчеркнули, что предлагаемое сейчас проектом закона накопление заранее обезличенных массивов данных (как государственных, так и коммерческих) лишено практического смысла и никак не способствует развитию рынка ИИ и аналитики данных. «При этом создание единой информационной системы по хранению обезличенных данных потребует существенных ресурсов, в том числе для поддержания безопасности такой объединенной системы, которая будет гораздо более уязвима в случае возможных диверсий, чем распределенные системы разных операторов данных», — заключили в МТС.
Законопроект предусматривает фактическое изъятие персональных данных, собранных операторами в соответствии с требованиями закона, считают в «Мегафоне». Для некоторых участников рынка такие данные и результаты работы с ними являются основой бизнеса, добавили в компании.
Отсутствие регулирования оборота обезличенных данных и консервативная административная практика ограничивает развитие услуг на основе ИИ, говорит источник Forbes в крупной компании, развивающей бизнес на основе больших данных. Этот законопроект вместо снятия текущих барьеров создает запутанное и дискриминационное регулирование оборота обезличенных данных, добавляет он.
Это один из немногих законопроектов, который может дать большой толчок для развития бизнеса только фактом своего принятия, без каких-либо инвестиций, отметил директор Института исследований интернета Карен Казарян. Он пояснил, что сейчас российские компании работают с данными на свой страх и риск и только внутри своих информационных систем. Обезличивание де-факто находится в серой зоне, добавил эксперт. Но для достижения новых экономических эффектов им нужно обмениваться обезличенными данными с другими компаниями, однако без соответствующего регулирования компании не могут это делать, сказал Карен Казарян.
«Персональные данные всегда обезличиваются для конкретного проекта. Например, если мы хотим понять степень загруженности дорог города, то используем для этого данные по автомобильному трафику с указанием маршрутов каждой машины. Информация о марках машин для решения этой задачи нам не нужна. Эти данные понадобятся, если мы будем исследовать, на каких автомобилях москвичи чаще всего ездят и какова их топливная эффективность. Но имея одновременно информацию о маршрутах и марках машин, в том числе об очень дорогих марках, поставки которых в Россию были штучными, мы вполне можем определить владельцев этих автомобилей и куда они ездят. При этом изначальный дата-сет один и тот же», — рассказал Карен Казарян. Поэтому собранные и обезличенные заранее данные будут или бесполезны, или будет сохраняться риск их восстановления, заключил он.
В Ассоциации больших данных (АБД, объединяет Сбербанк, МТС, ВТБ, «Мегафон», «Яндекс», VK и др.) утверждают, что идея реализации очередного монопольного государственного проекта вместо ранее принятых приоритетов была фактически обоснована чиновниками сложностью задачи.
«Научные исследования в области аналитики данных активно развиваются. Уже сейчас можно утверждать, что определены условия применения ряда методов обезличивания, которые позволяют гарантировать невозможность повторной идентификации. Тестирование даст нам возможность создать методологию оценки риска повторной идентификации и методы защищенной обработки информации», — считают в АБД.