С видом на озеро: в Минцифры снова переписали законопроект об обезличенных данных

Анастасия Гаврилюк Редакция Forbes

Администрация президента согласовала новую версию законопроекта об обезличенных данных за один день, выяснил Forbes. Документ, в частности, предполагает, что в государственную информационную систему (ГИС, «госозеро» данных) правительство Москвы передавать имеющиеся у него данные не будет, а бизнес перед передачей обяжут обезличить персональную информацию, тогда как, согласно предыдущей версии, в ГИС можно было бы отгрузить и «сырые» данные. По словам экспертов, законопроект в таком виде работать не будет и требует создания такого широкого корпуса подзаконных актов, что «и за год не справиться». Между тем законопроект должен вступить в силу уже в сентябре 2025 года

В обход Москвы

АП согласовала обновленный проект закона об обезличенных данных, говорится в письме помощника президента, начальника Государственно-правового управления президента Ларисы Брычевой от 11 июля в Минцифры. Письмо с текстом новой версии законопроекта за подписью заместителя министра цифрового развития, связи и массовых коммуникаций Алены Руденко направлено в АП 10 июля (копии писем есть в распоряжении Forbes).

Сейчас в Госдуме ко второму чтению готовится так называемый законопроект об обезличенных данных, целью которого было упростить бизнесу работу с данными и доступ к информации о гражданах. В процессе работы над текстом инициатива превратилась в законопроект, предполагающий создание «госозера данных», в которое бизнес бесплатно по требованию государства будет предоставлять имеющиеся у него персональные данные. В этой ГИС предполагается формировать дата-сеты, доступ к которым будут иметь прежде всего госорганы и подведомственные им организации, а после определенного периода — все остальные, кого одобрит правительственная комиссия.

Однако в новой версии законопроекта, приложенной к письму Алены Руденко Ларисе Брычевой, сроки хранения данных сокращены с трех лет до года, прежде чем к ним могут получить доступ негосударственные пользователи. Сделано исключение для Москвы, поскольку это регион, в котором с 2020 года действует пятилетний экспериментальный правовой режим (ЭПР) для разработки и тестирования ИИ.

Материал по теме

Напомним, весной 2020 года во время пандемии коронавируса и карантина в довольно сжатые сроки был принят закон о столичном спецрегулировании для внедрения технологий ИИ в городе. Он ввел в Москве ЭПР для разработки и тестирования ИИ, чтобы стимулировать инновации в этой области. Компании — участники эксперимента получили широкие возможности по использованию ИИ, и среди прочего — доступ к данным граждан (включая изображения с камер распознавания лиц и обезличенные персональные данные, в том числе информацию о здоровье). При этом кто именно участвовал в этом эксперименте, государственные органы или частные компании, — не ясно.

Таким образом, правительство Москвы, в отличие от других субъектов федерации, где государственные и муниципальные органы, согласно закону «О персональных данных», создают и оперируют своими информационными системами персональных данных, сможет не передавать обезличенную персональную информацию граждан в «госозеро». «Иными словами, для участников московского эксперимента, в рамках которого московские власти сотрудничают с бизнесом в области данных и ИИ, сохраняется особый порядок, устанавливаемый правительством города», — поясняет источник, знакомый с документом. По словам эксперта по защите персональных данных и соучредителя Russian Privacy Professionals Association (RPPA) Алексея Мунтяна, у Москвы одна из самых продвинутых IT-инфраструктур с огромным объемом данных: «Заставить Москву обезличивать данные — это достаточно большие расходы, поэтому для нее сделали исключение».

При этом, похоже, главное нововведение заключается в том, что бизнес будет обязан передавать в «госозеро» только предварительно обезличенные персональные данные, тогда как в предыдущей версии законопроекта прописана возможность отгружать «сырую» информацию. Таким образом, затраты на приведение данных в нужный для работы ГИС вид возложат именно на бизнес. Предполагается, что законопроект вступит в силу в сентябре 2025 года.

«Сейчас все инициативы находятся в стадии обсуждения и могут не войти в итоговый документ», — сообщили Forbes в Минцифры. В АП на запрос Forbes не ответили. По информации Forbes, в понедельник, 29 июля, состоится расширенное заседание комитета Госдумы по информполитике, где законопроект об обезличенных данных в том числе будет обсуждаться.

Мимо отрасли

Меры, ограничивающие работу с большими данными, могут привести к снижению уровня развития новых технологий и негативно сказаться на появлении ноу-хау, считают в «Вымпелкоме» (бренд билайн). «Работа с большими данными сопряжена с появлением новой интеллектуальной собственности, а принудительная передача результатов этой работы государству не будет способствовать внедрению передовых технологий и росту инвестиций в данную область», — добавили в компании.

Коммерческая привлекательность данных для бизнеса после того, как они в течение года будут доступны только госструктурам, зависит от их типа, говорит источник в IT-отрасли. «Например, количество покупок, кликов на рекламу или спрос на разные категории товаров нельзя оценивать одинаково», — отметил собеседник Forbes. Важно, чтобы принятая методика обезличивания данных соответствовала текущим стандартам технологических компаний, подчеркнул он, обратив внимание на то, что с отраслью новая редакция законопроекта не обсуждалась.

Материал по теме

Надо понимать, что и стоимость обезличивания данных будет зависеть от объема информации, указывает главный юрисконсульт практики интеллектуальной собственности юридической компании «ЭБР» Кирилл Ляхманов. «Обезличивание должно включать не только изменение данных, но и их предварительную подготовку, «причесывание». Чем больше объем, тем больше ресурсов придется для этого задействовать. Кроме этого, стоимость будет зависеть от выбранной процедуры обезличивания», — рассуждает он.

По словам Ляхманова, «устаревшие» на год базы данных, скорее всего, не повлияют на их ценность для обучения нейросетей, но усложнят использование обезличенных данных в маркетинговых целях.

«Работать не будет»

Обязанность передавать обезличенные данные порождает больше вопросов, чем ответов, особенно технических, считает руководитель юридического отдела IDX Михаил Тевс. «Было бы логично предположить, что операторам придется покупать какой-то сертифицированный софт. Но о его наличии на рынке нам ничего не известно. Есть только старый приказ Роскомнадзора, в котором описаны методы, но нет информации о технических средствах. Есть такой же старый спор между бизнесом и регулятором о возможностях хеширования (метод обеспечения безопасности, преобразующий данные в зашифрованную строку). Возможно, где-то готовится подзаконный подробный акт, где все будет четко прописано», — надеется он.

«Бизнес уже устал указывать на очевидные юридико-технические ошибки и вред для развития рынка данных предлагаемого авторами проекта регулирования», — сетует источник Forbes в IT-отрасли. Действительно, бизнес уже неоднократно предпринимал попытки отбиться от нового регулирования, подвергая его критике за то, что законопроект предусматривает фактическое изъятие персональных данных, собранных коммерческими компаниями. Для некоторых участников рынка такие данные и результаты работы с ними являются основой бизнеса, обращали внимание они, добавляя, что это потребует значительных государственных затрат, а так называемое «госозеро данных», то есть ГИС, будет уязвимо в случае диверсий.

Материал по теме

Если законопроект примут в таком виде, он просто не заработает, считает другой источник Forbes, знакомый с текстом законопроекта. «Документ содержит огромное количество отсылочных норм на еще не созданные подзаконные нормативно-правовые акты. Необходимо написать более двух десятков подзаконных актов, в том числе порядок и методы обезличивания. Кроме того, разработать и сертифицировать софт и железо для обезличивания, а также создать ГИС. К сентябрю 2025 года это точно не успеть сделать», — убежден он. К слову, стоимость создания ГИС в Ассоциации больших данных (АБД) ранее оценивали, отталкиваясь от аналогии с ГИС Росреестра, в сумму не менее 20 млрд рублей. «Кроме того, проект предполагает передачу коммерческих данных, и неизвестно, каким образом можно будет доказать, что данные утекли из ГИС, а не у оператора. С учетом оборотной ответственности за утечки это очень серьезный вопрос», — указывали в организации.

По словам собеседника Forbes, знакомого с текстом законопроекта, московские власти не хотели «давать добро» на этот законопроект, пока для столицы не сделали исключение (Forbes направил запрос в департамент информационных технологий Москвы). Он добавил, что пока нет методов и порядка обезличивания, бизнес не должен передавать данные в ГИС, даже если она будет создана. «Конечно, обезличивание персональных данных перед передачей в «госозеро» грозит бизнесу дополнительными расходами. С другой стороны, если надо будет передавать только обезличенные данные, бизнес может убирать из них всю значимую информацию, апеллируя к тому, что они составляют банковскую или какую-либо еще тайну», — допускает источник Forbes, знакомый с текстом законопроекта.

В АБД, «Сбере», МТС отказались от комментариев. В администрации президента, ЦБ, «Мегафоне» не ответили на запрос Forbes.

Материал по теме