для чего обезличивать персональные данные
Обезличивание данных: сохранение баланса между правами граждан и развитием инноваций
 |
| waider.list.ru / Depositphotos.com |
Повсеместное использование информационных технологий поднимает вопросы, возникающие в связи с обработкой персональных прав граждан. Особенно остро встает проблема защиты персональных данных при их обработке государством или частными компаниями, в том числе с помощью технологий искусственного интеллекта. Напомним, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ч. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ). Одним из методов решения проблемы защиты данных является процедура их обезличивания. В соответствии с законом обезличивание персональных данных представляют собой действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (ч. 9 ст. 3 Закона № 152-ФЗ). Как на практике выполняется процедура обезличивания, действительно ли она может обеспечить защиту персональных данных и как соблюдается баланс между интересами граждан, государства и компаний – в нашем материале.
В ходе пленарного заседания, организованного в рамках Петербургского Международного Юридического Форума 9 3/4, информационным партнером которого является компания «Гарант», президент Ассоциации участников рынка больших данных Анна Серебряникова обратила внимание на то, что сейчас тема обезличивания данных в первую очередь должна рассматриваться как механизм защиты прав граждан, а уже после этого – как стимулирование развития бизнес-сектора. Важность темы понимается и на федеральном уровне – государство демонстрирует разнообразие обсуждаемых и принимаемых инициатив по вопросу оборота данных при использовании информационных технологий, например, для развития технологии искусственного интеллекта. В настоящее время процедура обезличивания данных активно применяется, при этом эксперт считает, что ее нужно отрегулировать таким образом, чтобы, с одной стороны, не остановить технический прогресс, с другой – защитить граждан от деобезличивания.
В ходе обсуждения Татьяна Матвеева, начальник управления президента РФ по применению информационных технологий и развития электронной демократии, отметила, что на сегодняшний день метода, который мог бы полностью обезличить данные с сохранением ценности таких данных, не существует. Связано это с тем, что текущий уровень развития информационных технологий при сборе нескольких наборов данных (в том числе, обезличенных) и при последующей математической обработке могут быть опять персонализированы. Таким образом, обезличивание персональных данных выступает методом снижения рисков нарушения прав граждан при обработке персональных данных, например, при их утечке. Но гарантии полной защиты прав граждан не происходит, подчеркивает эксперт.
Напомним, что в РФ процедура по обезличиванию персональных данных регламентирована Приказом Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных». Так, в соответствии с Приказом, к наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:
Также запущен Федеральный проект «Искусственный интеллект», разработанный Минэкономразвития России в целях реализации Национальной стратегии развития искусственного интеллекта на период до 2030 года (утв.Указом Президента Российской Федерации от 10 октября 2019 г. № 490), который уточняет условия использования данных в рамках экспериментальных правовых режимов (ЭПР), так называемых регуляторных песочниц. Подробнее об ЭПР читайте в нашем материале: «Проблемы защиты персональных данных в рамках экспериментальных правовых режимов». Заместитель руководителя Роскомнадзора Милош Вагнер отметил, что введение таких режимов является результатом ответа на запрос бизнеса о желании воспользоваться данными – такие режимы позволяют с учетом послаблений апробировать методики обезличивания.
Важно обратить внимание, что есть различие между обезличенными и анонимизированными данными. Как объясняет Анна Серебряникова, полностью анонимизированные данные представляют собой статистику, которая доступна в свободном доступе и относится к открытым данным. Аналогичной позиции придерживается Татьяна Матвеева, приводя в пример таких данных статистику Росстата и соцопросы – такие данные являются «загрубленными» с точки зрения социально-демографического портрета опрашиваемой аудитории. По мнению Анны Серебряниковой, такие данные не несут той же ценности, как обезличенные, на основании которых можно определить некоторые особенности разных видов социальных групп. Эксперт приводит в пример анализ поведенческих особенностей малых социальных групп, прогнозирование возрастных трендов, измерение настроения людей и определение их отношения к тем или иным явлениям – все эти функции на основании анонимизированных данных невозможны. Другими словами, полностью анонимизированные данные не представляют ценности для бизнеса, а для некоторых областей искусственного интеллекта даже обезличенные данные не представляют ценности – для его обучения требуется опыт, а если такой опыт с пробелами, его обучение будет соответственным, объяснила Анна Серебряникова.
Руслан Ибрагимов, вице-президент по взаимодействию с органами государственной власти и связям с общественностью ПАО «МТС» считает, что основная проблема, связанная с обезличиванием персональных данных, – расхождение в определении того, что представляют собой такие данные. Государственные органы не видят разницы между персональными и обезличенными данными, что создает ряд юридических проблем. На практике такой подход может ужесточать оборот обезличенных персональных данных. При подходе, согласно которому такие данные являются отдельной частью персональных данных, такие данные могут быть свободно пущены в оборот. Эксперт считает, что следует достичь консенсуса при решении вопроса о том, какой из этих подходов должен быть использован в отношении обезличивания персональных данных.
Анна Серебряникова считает, что для обучения искусственного интеллекта нужны более широкие дата-сеты, включающие такие данные, которые будут соблюдать баланс – с одной стороны, не нарушать права субъектов персональных данных, с другой – предоставлять для бизнеса максимально полные данные для развития технологий. Обработка персональных данных в любом случае сопряжена с потенциальными рисками для субъектов, при этом такие риски могут возникать не только рамках исполнения бизнес-задач, но и при других неправомерных действиях, резюмировала Татьяна Матвеева. В связи с этим решения по условиям обработки и обезличиванию данных следует принимать и оценивать через призму защиты прав граждан. Помимо нормативного государственного регулирования разработка отраслевых стандартов и кодексов по работе с обезличенными данными позволит повысить внутреннюю цифровую культуру компаний, работающих с данными, а также увеличить уровень доверия граждан, заключила эксперт. С коллегой согласился Милош Вагнер – регулирование должно осуществляться как со стороны надзорного органа (в соответствии со ст. 23 Закона № 152-ФЗ), так и со стороны операторов (в соответствии со ст. 18.1 Закона № 152-ФЗ), то есть должен присутствовать также внутренний контроль за соблюдением положений законодательства, считает эксперт.
1 С текстом законопроекта № 992331-7 О внесении изменений в Федеральный закон «О персональных данных» (в части уточнения порядка обработки персональных данных) и материалами к нему можно ознакомиться на официальном сайте Госдумы.
Для чего обезличивать персональные данные
Обезличивание персональных данных
6 сентября 2014 года издано постановление Правительства Российской Федерации № 911, которым внесены изменения в постановление Правительства Российской Федерации от 21.03.2012 № 211. Документом отменяется обязанность операторов персональных данных – государственных и муниципальных органов осуществлять обезличивание персональных данных, обрабатываемых в информационных системах.
Постановление Правительства Российской Федерации было опубликовано на официальном интернет-портале правовой информации pravo.gov.ru 10 сентября 2014 года и вступает в силу с 18 сентября 2014 года.
Напомним, что в соответствии с постановлением Правительства № 211 оператор персональных данных, являющийся государственным или муниципальным органом, был обязан обезличить персональные данные во всех случаях их обработки в информационных системах.
Практика правоприменения продемонстрировала, что обработка персональных данных в государственных и муниципальных информационных системах не всегда требует обезличивания информации. Необходимость применения указанной меры защиты возникает в исключительных случаях, которые установлены российским законодательством. К таким случаям относится необходимость органов государственной власти и местного самоуправления размещать в открытом доступе документы, содержащие персональные данные, например, обезличенные копии судебных актов.
Таким образом, большая часть информационных систем, содержащих персональные данные, не подвержены тем рискам безопасности персональных данных, на нейтрализацию которых направлен институт обезличивания. Однако существовавшая нормативно-правовая база обязывала осуществлять обезличивание персональных данных во всех информационных системах вне зависимости от уровня угроз.
В мае 2014 года Роскомнадзор инициировал совершенствование института обезличивания, результатом которого стало издание постановления Правительства № 911.
Время публикации: 14.01.2014 08:49
Последнее изменение: 27.03.2015 14:50
Обезличенные данные: как защитить граждан и стимулировать бизнес
Методов, которые полностью обезличивают данные и при этом сохраняют их ценность, на сегодняшний день не существует, отметила Татьяна Матвеева, начальник управления президента по применению информационных технологий и развитию электронной демократии. Все обезличенные данные, по словам спикера, могут быть вновь персонализированы.
Обезличивание – это метод снижения риска, но не полная гарантия защиты прав граждан.
Татьяна Матвеева, начальник управления президента по применению информационных технологий и развитию электронной демократии
С другой стороны, данные – это топливо для искусственного интеллекта и катализатор для развития экономики. Государство все это понимает и делает шаги навстречу бизнесу, заверила Матвеева. Сейчас активно обсуждается законопроект по регулированию обезличенных данных, запущен федеральный проект по искусственному интеллекту, который предусматривает введение экспериментальных правовых режимов.
«Но так или иначе все решения нужно принимать и оценивать через призму прав граждан», – подчеркнула спикер. С ней согласился замглавы Роскомнадзора Милош Вагнер: «При введении любого регулирования должны не ухудшаться, а улучшаться права граждан».
«Обезличенные» равно «персональные»?
Персональные данные, полученные в результате обезличивания, – это все равно персональные данные. К ним должно применяться соответствующее законодательство, пояснил Вагнер позицию Роскомнадзора.
С такой интерпретацией поспорил бизнес. «По закону персональные данные – это данные, которые позволяют определить конкретную личность. Обезличивание – это отрыв данных от личности», – заявил Руслан Ибрагимов, вице-президент по взаимодействию с органами госвласти и связям с общественностью ПАО «МТС».
По его словам, обезличенные данные – отдельный вид информации, которую можно пустить в оборот. Если кто-то решил «де-обезличить» такие сведения, они становятся персональными и на них распространяется соответствующее регулирование.
Нам нужно определиться с понятиями. Как только мы достигнем консенсуса в этом, все остальные вопросы будут решаться автоматически.
Руслан Ибрагимов, вице-президент ПАО «МТС»
Обезличенность и свободный оборот
Степень обезличивания данных может быть разная. Ирина Левова из АНО «Институт исследований интернета» представила схему, на которой показала, как в зарубежных странах свобода обращения зависит от уровня обезличивания.
Существуют специальные коэффициенты: 0 – это персональные данные, 1 – полностью анонимизированные. Компания сама оценивает степень обезличивания в каждом конкретном случае, исходя из используемых методов. Чем больше мер она использует, тем меньше вероятность повторной идентификации и тем выше коэффициент обезличивания, пояснила Левова.
Если он равен 0,7 – 0,8, зарубежные регуляторы не признают данные персональными и разрешают более свободное обращение. По словам спикера, они уже несколько месяцев работают над математическим обоснованием рисков применения тех или иных методов. «Надеюсь, мы сможем апробировать полученные результаты в рамках экспериментальных режимов, а потом уже вернуться к разработке законодательных поправок», – поделилась Левова.
Хорошо, конечно, апробировать методики в различных «песочницах», ждать реализации пилотов. Но не займет ли это годы? А ведь все это время бизнес по-прежнему будет трать свои ресурсы на преодоление непрозрачных и непонятных правил работы с обезличенными данными.
Анна Попова, вице-президент ПАО «Сбербанк»
В завершении своего выступления Попова перечислила основные запросы, которые сейчас есть у бизнеса:
Как ужесточились требования к работе с персональными данными в 2021 году
С 1 марта 2021 года действуют новые правила, которые обеспечивают дополнительную защиту персональных данных граждан. Теперь не допускается получение согласия на распространение таких данных «по умолчанию». А с 27 марта в два раза увеличиваются штрафы.
Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.
Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.
В этой статье рассмотрим следующие вопросы:
Что изменилось в обработке персональных данных с 1 марта
Как прекратить передачу данных, разрешенных для распространения
Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.
Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:
Указанные ПД могут обрабатываться только оператором, которому оно направлено.
Требования к обработке персональных данных
На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.
В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.
Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.
За что и на какие суммы штрафуют в 2021 году
27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.
Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.
Обратите внимание на следующие нововведения:
1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.
2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.
Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.
3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.
При повторном нарушении
При повторном нарушении
При повторном нарушении
Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.
В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?
Что делать владельцу сайта, чтобы избежать штрафов
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.
Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.
Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.
Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.
За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Случаи, когда уведомление Роскомнадзора не требуется
Уведомлять Роскомнадзор не нужно, если ПД:
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
Конфиденциальность персональных данных: когда ее не нужно обеспечивать
В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:
Когда не нужно получать согласие на обработку персональных данных
Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:
Что такое портал персональных данных
Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор.
Как еще планируют ужесточить обработку персональных данных
Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.
Министерство предлагает запретить операторам:
Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.
Более детальная информация об обработке персональных данных — в материалах наших экспертов:
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Обезличивание персональных данных в России и в Европе: когда данные перестают быть персональными?
Обезличивание персональных данных в России и в Европе: когда данные перестают быть персональными?
Федеральным законом «О персональных данных» № 152-ФЗ (далее – ФЗ-152) предусмотрена категория «обезличивание персональных данных».
В соответствии со ст. 3 ФЗ-152 «обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных».
Ввиду методической общности европейского и отечественного правового регулирования персональных данных представляется целесообразным изучить понимание обезличивания в европейском законодательстве и практике.
В европейских юрисдикциях (в настоящем исследовании рассмотрены Европейский Союз и Соединенное Королевство Великобритании и Северной Ирландии) понятие «обезличивание» не используется. Вместе с тем, для обозначения данных, отделяемых от идентификаторов субъекта, существуют категории «анонимизация» и «псевдонимизация».
I. Анонимизация и псевдонимизация в европейском законодательстве.
Понятию «обезличивание» в значении, принятом в Российской Федерации, соответствует псевдонимизация в значении GDPR.
Согласно параграфу 5 ст. 4 GDPR «псевдонимизация» — это обработка персональных данных таким образом, что их больше невозможно отнести к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно, и в отношении нее приняты технические и организационные меры, предотвращающие ее отнесение идентифицированному или идентифицируемому физическому лицу.
В соответствии с преамбулой 26 GDPR, принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица.
Персональные данные, подвергнутые псевдонимизации, которые могут быть соотнесены с физическим лицом при наличии дополнительной информации должны рассматриваться в качестве информации об идентифицируемом лице, т.е. продолжают оставаться персональными данными и подчиняться всем соответствующим нормам.
На это указывает и преамбула 28, согласно которой, использование «псевдонимизации» не подразумевает отказ от каких-либо иных мер защиты персональных данных. Применение псевдонимизации к персональным данным может снизить риски для соответствующих субъектов данных и помочь контролёрам и процессорам данных выполнить свои обязанности по защите персональных данных.
В соответствии с преамбулой 29, для того, чтобы стимулировать применение псевдонимизации при обработке персональных данных, допускается псевдонимизация, обработка и общий анализ псевдонимизированных данных одним и тем же контролёром, если этот контролёр принял технические и организационные меры, необходимые для того, чтобы обеспечить исполнение настоящего Регламента в отношении соответствующей обработки, а также чтобы дополнительная информация, позволяющая отнести персональные данные к определённым субъектом данных хранилась отдельно.
Таким образом, псевдонимизация повышает уровень защиты персональных данных, однако псевдонимизированные данные продолжают считаться персональными, подчиняются правовому режиму защиты персональных данных и требуют соответствующей защиты. Для того, чтобы данные считались псевдонимизированными, дополнительная информация, позволяющая отнести их к конкретному субъекту, должна, как минимум, храниться отдельно, как максимум, может быть доступна при использовании сторонних ресурсов.
В отличие от псевдонимизации, которая повышает защиту данных, но по-прежнему оставляет их персональными, анонимизация делает данные анонимными, т.е. не персональными.
В соответствии с преамбулой 26 GDPR, принципы защиты персональных данных не применяются в отношении анонимной информации, а именно информации, которая не относится к идентифицированному или идентифицируемому физическому лицу, а также в отношении персональных данных, предоставленных достаточно анонимно, чтобы субъект данных не мог быть идентифицированным.
GDPR не применяется в отношении обработки анонимной информации, в том числе в статистических или исследовательских целях.
II. Официальные разъяснения, позиции и методические руководства.
Общеевропейские и национальные надзорные органы являются ключевым элементом европейской системы защиты прав субъектов персональных данных. Разъяснения, позиции и методические руководства надзорных органов обеспечивают единообразное понимание норм права формирование доступной, понятной, предсказуемой, последовательной и устойчивой правоприменительной практики.
Соответствующая практика сформирована и в отношении анонимизации и псевдонимизации данных.
Грань между псевдонимизацией и анонимизацией пролегает там, где субъект данных перестает быть идентифицируемым.
Позиция о концепции персональных данных (Opinion 4/2007 on the concept of personal data) WP29 от 20.06.2007 (Далее по тексту – Opinion 4/2007) [7] определяет лицо как идентифицируемое, если оно еще не идентифицировано, но его возможно идентифицировать прямо, например, по имени (если оно позволяет выделить субъекта из группы) или косвенно — по номеру паспорта, автомобиля, телефона или комбинации существенных критериев, позволяющих выделить субъекта из группы (это может быть возраст, место проживания, внешний вид и т.д.).
Одна лишь гипотетическая вероятность идентификации субъекта не делает информацию персональными данными. Если возможность идентифицировать субъекта отсутствует или ничтожно мала, данные не считаются персональными.
В то же время, вполне очевидно, что идентификация по номерам телефонов, автомобилей, банковских карт возможна при сопоставлении с другой базой данных, например, в рамках межведомственного обмена данными, получения данных от сотовых контролеров, с дорожных камер видеонаблюдения, либо в рамках интеграции систем. Такая идентификация является не просто гипотетической, а вполне реальной.
В целях установления того, является ли физическое лицо идентифицируемым, следует принять во внимание все средства, с разумной вероятностью используемые контролёром или иным лицом, для того чтобы прямо или косвенно идентифицировать физическое лицо. При определении того, используются ли средства с разумной вероятностью для идентификации физического лица, следует обратить внимание на все объективные факторы, такие как затраты и время, необходимые для идентификации, с учетом имеющихся на момент обработки технологий и технологических разработок.
Реальность идентификации субъекта зависит от конкретного контекста. Для оценки субъекта как идентифицируемого необходимо определить какие разумные усилия контролер или любое третье лицо должны будут приложить: затраты денежных средств на такие усилия; временные и человеческие ресурсы; наличие технологии, позволяющей выполнить идентификацию без особых усилий и затрат; подразумеваемая (а не декларируемая цель) и построение обработки; какие выгоды может извлечь контролер или любое другое третье лицо; продолжительность хранения данных и потенциальное развитие технологий для идентификации в этот период.
WP29 в Opinion 05/2014 подчеркивает: «В свете Директивы 95/46/EC и других соответствующих правовых документов ЕС, анонимизация является результатом обработки персональных данных с целью необратимого предотвращения идентификации. При этом контролеры данных должны учитывать ряд элементов, принимая во внимание все средства, которые «с большой долей вероятности» могут быть использованы для идентификации (как контролером, так и любой третьей стороной).
WP29 предлагает описание основных методов анонимизации в Opinion 05/2014. К числу основных групп методов анонимизации WP29 относит рандомизацию и обобщение (генерализацию). В Opinion 05/2014 объясняются их принципы, их сильные и слабые стороны, а также общие ошибки и риски, связанные с использованием каждого метода, приводятся примеры успешных практик (Приложение № 1).
Opinion 05/2014 оценивает надежность каждого метода, на основе трех критериев:
(i) сохраняется ли возможность выделения индивида из множества других лиц (‘singling out’);
(ii) сохраняется ли возможность установить связь между данными, касающихся отдельного лица (‘linkability’);
(iii) может ли информация быть объектом успешной «логической атаки» (‘inference’).
Периодическая оценка рисков должна включать обе категории таких рисков:
— риск повторной идентификации;
— риски, связанные с использованием анонимизированных данных как таковых, без повторной идентификации.
Поскольку технологии анонимизации и обратной идентификации составляют область интенсивных исследований и быстрого развития технологий, невозможно дать точных сценариев или набора мер, которые гарантированно обеспечили бы проведение анонимизации. Каждый случай должен рассматриваться индивидуально с учетом контекста.
Во многих случаях даже анонимизированные наборы данных представляют остаточные риски для субъектов.
Британский документ принят до вступления в силу GDPR на основе Data Protection Act 1998, замененного ныне действующим Data Protection Act 2018.
ICO отмечает, что несомненно, что 100% анонимизация наиболее желательна, но Data Protection Act 1998 устанавливает более мягкий тест.
Представляется, что в данном решении Палаты Лордов, которое является чрезвычайно сложным и демонстрирует расхождение мнений судей по ряду вопросов (фактически, из пяти судей, четверо дали concurring judgments с различной аргументацией и объяснением концепта «персональные данные»), можно уловить отражение различий в понимании концепта «персональные данные» в Великобритании по отношению к континентальной Европе.
Data Protection Act 2018 прямо имплементирует положения GDPR в национальную правовую систему Соединенного Королевства и содержит множество прямых отсылок к GDPR, следовательно, общие критерии применимого в UK подхода аналогичны вышеизложенным. Упомянутые судебные решения в части их ratio de с idendi также остается действующим источником права.
Вместе с тем в кодексе отмечается, что не все категории и наборы персональных данных, в принципе, могут быть анонимизированы.
Британский кодекс содержит множество примеров, пояснений, инструкций и разбирает различные ситуации.
Ирландский Guidance Note: Guidance on Anonymisation and Pseudonymisation подчеркивает, что, если первоначальные данные не удалены и могут быть использованы для идентификации лиц, чьи данные анонимизированы, такие данные не являются анонимными и рассматриваются как псевдонимизированные, и, следовательно, продолжают считаться персональными.
Развивая подход WP29 (и неоднократно цитируя упомянутый Opinion), Ирландский регулятор поясняет значение термина «идентификатор»: «информация, тесно связанная с отдельным индивидом, которая может быть использована для его выделения. Такие идентификаторы могут быть прямыми (“direct”), как имя или изображение, или косвенными (“indirect”), как номер телефона, адрес электронной почты или другие уникальные идентификаторы, служащие для определения контролером субъекта персональных данных». Удаление прямых идентификаторов не делает набор данных анонимными. Данные, которые не являются идентификаторами, могут быть использованы для установления контекста, который может привести к идентификации или выделению человека из множества других лиц, например серия данных о местоположении или покупках или история поисковых запросов в интернете. Ирландский надзорный орган, как и их коллеги в Брюсселе и Уилмслоу, во всех случаях подчеркивает важность контекста и относительность определений персональных данных и анонимизации.
Как и WP29, ирландский регулятор называет три ключевых группы рисков, которые подлежат оценке:
Ирландский DPA также рассматривает тест, по содержанию близкий английскому ‘motivated intruder’ test’.
Как и WP29, ирландский орган называет две основные группы методов анонимизации: рандомизация и генерализация. В числе методов, повышающих защищенность данных, но не делающих их анонимными, Комиссия называет псевдонимизацию, а также «маскировку» данных.
В отличие от труднопонимаемого Opinion 05/2014, ирландский гайданс не перегружен математической и технической информацией, деталями и примерами, является простым и удобным для восприятия.
Как поясняется в документе, «технологические разработки последних лет неуклонно повышают спрос на качественные данные. В связи с этим государственные и частные организации рассматривают анонимизацию как средство обмена данными без ущерба для основных прав человека. Однако наряду с ростом популярности анонимизации получили широкое распространение некоторые заблуждения, связанные с ней.
Согласно документу, топ-10 заблуждений в отношении анонимизации составляют:
В действительности, это различные понятия. И это было показано в настоящем исследовании. Псевдонимизация помогает защитить персональные данные, но они остаются персональными, анонимизация делает данные анонимными, т.е. не персональными.
В действительности, шифрование это не анонимизация, но оно может быть мощным инструментом для псевдонимизации. Любая зашифрованная информация может быть расшифрована. Ключи для расшифровки будут являться дополнительной информацией, которая позволяет идентифицировать субъекта персональных данных. Даже если ключи шифрования уничтожаются или «неизвестны», никто не может дать гарантии, что информация никогда не будет расшифрована.
В действительности, далеко не во всех случаях практически возможно снизить риск обратной идентификации субъекта до приемлемого уровня и при этом сохранить полезные свойства набора данных. Анонимизация – это процесс, который пытается найти баланс между сокращением риска обратной идентификации и сохранением полезных свойств набора данных. Контекст и природа данных могут быть таковы, что снижение вероятности обратной идентификации до приемлемого уровня вообще будет недостижимо (например, если данные касаются малого, ограниченного и известного числа субъектов, например, депутатов Европарламента).
В действительности, существует риск, что некоторые процессы анонимизации могут стать обратимыми в будущем. Обстоятельства могут измениться со временем, развитие новых технологий и повышение доступности дополнительных источников информации могут поставить под угрозу предшествующие процессы анонимизации.
В действительности, процесс анонимизации и метод, которым он реализован, оказывает прямое воздействие на вероятность риска обратной идентификации. Цель надежной анонимизации состоит в том, чтобы сократить риск обратной идентификации ниже определенного порога, который зависит от многих обстоятельств, таких как возможные последствия от обратной идентификации для субъекта, степень заинтересованности, мотив и средства, доступные потенциальному злоумышленнику. Хотя 100% анонимизация является наиболее желаемой, во многих случаях она недостижима, и остаточные риски обратной идентификации также должны приниматься во внимание и оцениваться.
В действительности, степень анонимизации можно оценить и измерить. Данная оценка в отношении одного и того же набора данных может меняться со временем, т.к. меняется контекст и технологии.
В действительности, инструменты автоматизации могут быть использованы в процессе анонимизации, однако, учитывая важность контекста, весь процесс и его результаты должны оцениваться человеком.
В действительности, надлежаще проведенная анонимизация сохраняет полезность набора данных для определенной цели. Процесс анонимизации должен учитывать цель, для которой планируется использовать анонимизированные данные. Принцип «минимизации данных» требует определения цели обработки и использования данных, в т.ч. после их анонимизации. Если выяснится, что анонимизированные данные не обеспечивают достижения определенной цели, контролер данных может выбрать, достичь цели путем обработки псевдонимизированных персональных данных, соблюдая GDPR, или отказаться от обработки и достижения соответствующей цели.
В действительности, процесс анонимизации должен быть построен в зависимости от характера, объема, контекста и целей обработки, а также вероятных рисков серьезности возможных последствий обратной идентификации для прав и свобод физических лиц. Не существует двух полностью совпадающих контекстов. В каждом случае, для каждой организации и для каждого набора данных контекст будет различным.
В действительности, персональные данные сами по себе представляют ценность для самих субъектов и для третьих сторон. Обратная идентификация может иметь серьезные последствия для прав и свобод субъектов.
Выводы:
1. В европейском законодательстве и практике понятия «обезличивание» и «обезличенные данные» отсутствует.
2. Российскому концепту «обезличенные данные» соответствует понятие «псевдонимизированные данные», соответственно, «обезличивание» — это «псевдонимизация».
3. Псевдонимизированные данные считаются персональными данными, составляют объект регулирования законодательства о защите персональных данных и требуют соответствующей защиты. Псевдонимизация не делает данные анонимными, но может рассматриваться в качестве одной из мер защиты данных, которая должна применяться в совокупности с другими.
4. Понятие «анонимизированные данные» не соответствует российскому понятию «обезличенные данные» и не имеет прямого аналога в отечественном законодательстве.
5. Анонимизация делает данные анонимными, т.е. такими, которые невозможно отнести к определенному или определяемому физическому лицу, даже используя дополнительные базы данных. Следовательно, анонимизированные данные перестают считаться персональными и выходят из сферы регулирования законодательства о защите персональных данных.
6. Анонимность данных является динамичной категорией и определяется каждый раз в конкретном случае с учетом контекста, характера данных, целей обработки, доступных технологий и ресурсов, потенциальных рисков и т.д. Данные могут перестать быть анонимными со временем, перейдя в категорию псевдонимизированных. Утвержденного перечня методов анонимизации также не существует. Конкретные используемые методы также подлежат оценке. Для проведения соответствующей оценки существуют различные критерии и тесты, описания методов и примеров.
7. Оценка должна проводиться периодически с учетом изменения контекста, круга доступной информации, развития технологий и их доступности.
8. Основой оценки анонимности является невозможность обратной идентификации с учетом разумного использования доступной информации и технических средств. Тесты и критерии оценки включают моделирование действий потенциального злоумышленника три основных критерия:
— устойчивость к логическим атакам.
10. Обязанность оценки лежит на контролёре данных. В случае утечки, иного нарушения, жалобы субъекта персональных данных, возникновения спорной ситуации, контролер должен быть способен доказать факт проведения оценки и ее качество. Национальные надзорные органы имеют возможность проверить такую оценку и ее качество.
11. Проблематика, связанная с анонимизацией и псевдонимизацией данных решается на основе гибких критериев и балансировочных тестов. Это является общей чертой правового регулирования защиты данных в европейских юрисдикциях. Ключевым элементом данной системы, обеспечивающим ее функционирование, являются сильные и независимые надзорные органы.
[20] Agencia Española Protección de Dados – Испанский надзорный орган по защите персональных данных.