Бизнес просит депутатов не усложнять работу с обезличенными данными
Концептуальные разночтения
АНО «Цифровая экономика» предложила комитету по информполитике Госдумы отказаться от текущей версии законопроекта об обезличенных данных и вернуться к той версии, что была подготовлена к первому чтению. Об этом говорится в протоколе заседания рабочей группы «Нормативное регулирование» АНО «Цифровая экономика», в состав которой входят «Сбер», VK, «Почта России», билайн, Rambler&Co, «Ростелеком» и др., от 18 января (есть в распоряжении Forbes).
Сейчас законопроект об обезличенных данных готовится ко второму чтению. Его внес на рассмотрение Госдумы депутат Антон Горелкин еще в июле 2020 года, документ был принят в первом чтении в феврале 2021 года. Эта инициатива лаконично описывала, как бизнес должен заручаться согласием граждан на обезличивание их данных.
Однако ко второму чтению законопроект существенно изменился: в своей новой версии, которая была внесена в декабре 2023 года, он подразумевал создание государственного хранилища персональных данных, куда бизнес будет отгружать данные о своих пользователях. Предполагается, что внутри этого хранилища данные будут обезличиваться, а доступ к этим данным смогут получить госорганы и разработчики сервисов искусственного интеллекта.
Как указано в протоколе заседания рабочей группы, текущая версия законопроекта концептуально не соответствует нацпрограмме «Цифровая экономика Российской Федерации», согласно которой необходимо обеспечить благоприятные условия для сбора и обработки данных бизнесом. Обезличенные персональные данные нужны в том числе разработчикам ИИ для создания новых и совершенствования уже существующих сервисов.
Кроме того, в АНО «Цифровая экономика» опасаются, что текущий законопроект определяет обезличенные данные как разновидность персональных. А это значит, что регуляторные требования к обезличенной информации будут, по мнению экспертов, применяться такие же, как и к персональной, что необоснованно. Также до принятия поправок в закон о персональных данных необходимо разработать подзаконные акты, считают в рабочей группе. Без этого, как утверждают в АНО, невозможно понять, как будет работать новое регулирование, подразумевающее в том числе, что бизнес будет передавать персональные данные о своих клиентах в еще не созданную Государственную информационную систему (ГИС).
Экономика без данных
Законопроект об обезличенных данных планируется принять во втором чтении в феврале, сообщил Forbes глава комитета Госдумы по информполитике Александр Хинштейн. По его словам, итоговая версия законопроекта была согласована с правительством и «другими заинтересованными структурами». Депутат отметил, что не поддерживает предложения АНО «Цифровая экономика»: «Они противоречат концепции базового закона «О персональных данных»: даже после обезличивания данные все равно остаются персональными. С этим и связана долгая работа над инициативой: вопросы обеспечения безопасности персональных данных стоят для нас на первом месте».
Сейчас есть методы обезличивания персональной информации, гарантирующие в ряде случаев невозможность идентификации физического лица, говорят в Ассоциации больших данных (АБД, в состав которой входят «Яндекс», VK, Сбербанк, Газпромбанк, Тинькофф Банк, Россельхозбанк, «Мегафон», «Ростелеком», Qiwi, билайн, МТС, фонд «Сколково», ВТБ, Avito и др.). «Однако обезличенные данные в соответствии с российским законодательством остаются персональными даже при минимальном уровне риска, что затрудняет их использование для совершенствования процессов и разработки технологий ИИ, а также их объединения с иной информацией для получения новых знаний», — подчеркивают в АБД. Это значительно тормозит развитие экономики данных в России, делают вывод в ассоциации.
В аппарате заместителя председателя правительства Дмитрия Чернышенко сообщили, что результаты дискуссий и экспертных обсуждений на площадке АНО «Цифровая экономика» учитываются при принятии решений. «Минцифры и профильные ведомства вовлечены в этот процесс», — добавили в аппарате. Позиция рабочей группы «Нормативное регулирование» направлена в Госдуму для учета при доработке законопроекта ко второму чтению, отметили в пресс-службе АНО «Цифровая экономика».
В Минэкономразвития отказались от комментариев. В Минцифры не ответили на запрос Forbes.
В поисках баланса
Дискуссия между бизнесом и государством длится довольно давно: бизнес хочет обмениваться обезличенными персональными данными между собой, это расширяет возможности для создания новых сервисов, однако власти опасаются бесконтрольного оборота таких данных между различными компаниями, рассуждает эксперт по защите персональных данных и генеральный директор Privacy Advocates Алексей Мунтян. Обмен обезличенной информацией между компаниями кратно увеличивает риск сопоставления данных между собой и восстановления их до персональных, то есть возможность отнесения к определенному человеку, указывает Мунтян. «Сейчас распространены так называемые Wi-Fi-ловушки, позволяющие считывать MAC-адреса (Media access control, номер, позволяющий идентифицировать устройство в сети. — Forbes) пользовательских устройств (смартфонов, планшетов, лэптопов), подключаемых к общедоступным Wi-Fi-сетям. MAC-адреса можно сопоставлять с другими данными о владельце устройства и таким образом идентифицировать самого владельца устройства для маркетинговых или иных целей», — приводит пример он.
В действующем законодательстве не прописано понятие «обезличенные данные», обращает внимание преподаватель образовательной платформы Moscow Digital School Александра Орехович. «Есть только «обезличивание персональных данных», под ним понимаются действия, в результате которых невозможно без использования дополнительной информации определить принадлежность личной информации конкретному человеку. Это создает коллизию — являются ли в итоге обезличенные данные персональными или нет», — поясняет она.
По ее словам, законопроект также не дает никаких определений, предусматривая только термин «составы персональных данных, полученных в результате обезличивания персональных данных». «Таким образом, обезличенные персональные данные должны обрабатываться ровно по тем же правилам, что и персональные. Например, исключительно с согласия гражданина, что бывает невозможно, поскольку они теряют связь с субъектом, — говорит она. — Все это существенно отразится особенно на тех технологиях, главным средством создания и развития которых являются дата-сеты – то есть на ИИ-технологиях, которым необходимо постоянно получать огромные потоки информации из различных источников и на базе различных правовых оснований».
По мнению Алексея Мунтяна, опасения властей не беспочвенны, но вместе с тем они не предлагают компромиссного варианта. Он добавил, что текущая версия законопроекта об обезличенных данных, по сути, предусматривает создание за счет бизнеса государственного data lake («озеро данных», хранилище неупорядоченных данных. — Forbes). Основными бенефициарами создания этого «озера данных» будут госорганы, при этом выгоды бизнеса от этого, по его словам, неочевидны: «Власти не готовы отказаться от централизованной модели сбора и хранения обезличенных данных, так как это ограничит их возможность контролировать сценарии использования накопленных данных, в том числе их возможной трансграничной передачи за пределы страны».