Роскомнадзор готовит новые правила по обезличиванию персональной информации

В Роскомнадзоре разработали проект документа, который описывает конкретные подходы к обезличиванию персональных данных. На портале нормативных актов появился текст с перечнем методов, детально раскрывающим особенности каждого из них.

Разрабатываемые положения касаются новых условий для операторов, которые обрабатывают личную информацию граждан. Теперь им придётся не просто удалять признаки, позволяющие установить личность, но и обеспечивать невозможность обратного восстановления сведений без привлечения внешних источников. Кроме того, будет запрещено хранить обезличенные данные совместно с оригинальными, сообщается в издании «Ведомости».

Все процедуры, связанные с обезличиванием, подлежат обязательной регистрации. Среди описанных методов — внедрение переменных идентификаторов, изменение смысла или структуры данных, их искажение либо перемешивание. Законопроект требует более строгой формализации всех этих процессов, чтобы не допустить возможности повторного установления личности владельца данных.

Осенью прошлого года газета «Коммерсантъ» сообщала, что Ассоциация больших данных, в которую входят «Сбер», «Яндекс», VK и другие крупные структуры, обратилась к ФСТЭК с предложением взять под контроль вопросы, связанные с обезличиванием информации. В своём обращении ассоциация акцентировала внимание на необходимости создания чётких регламентов для технологий работы с данными, описания каждого типа используемых решений и определения критериев для оценки угроз. Также в документе указывались основные опасности, связанные с возможным восстановлением исходных сведений. Среди них — сопоставление данных из разных источников и вычисление личности на основании уникальных характеристик.

В самой ФСТЭК инициативу АБД оставили без публичного отклика. В то же время в АНО «Цифровая экономика» пояснили, что рассматриваемые темы действительно важны. Это связано с принятым в августе законом, который вводит новые правила обращения с обезличенной информацией.

Документ изменяет содержание закона «О персональных данных» и касается порядка удаления идентифицирующих признаков, обработки сведений и их использования. В соответствии с новыми требованиями, по запросу Минцифры, операторы обязаны будут проводить процедуру обезличивания. Само министерство, в свою очередь, должно обеспечить полную конфиденциальность таких данных. Представители Минцифры в разговоре с журналистами подчеркнули, что реализуемые механизмы полностью исключают возможность определения личности.