Бизнес и ФСТЭК создают стандарт для защиты обезличенных данных
В рамках инициативы предлагаются технологии обработки данных и оценка рисков конфиденциальности.
Ассоциация больших данных (АБД), в состав которой входят «Сбер», «Яндекс», VK и другие компании, обсуждает с ФСТЭК России меры по снижению рисков «деобезличивания при обработке персональных данных». Об этом говорится в отчете профильного комитета ФСТЭК по защите информации за август. В документе указывается, что АБД направила в комитет предложения по созданию предварительных нацстандартов «повышения конфиденциальности» данных.
Как уточнили в АБД, организация предлагает зафиксировать технологии обработки и обмена данными, а также описание каждого класса технологий и подходы к оценке рисков. Под рисками деобезличивания понимается возможность получения персональной информации из обезличенного набора данных. В качестве примера приводятся риски сопоставления данных или определения личности на основе уникальных характеристик. Разработанная модель оценки рисков от АБД позволяет учитывать все эти угрозы.
Во ФСТЭК России воздержались от комментариев по инициативе АБД. В то же время в АНО «Цифровая экономика» (объединение представителей госорганов и бизнеса по вопросам цифрового регулирования, в которое входят Минцифры, «Сбер», «Почта России» и другие) подчеркивают важность обсуждаемых вопросов, поскольку нормативно-правовые акты, регулирующие методы обезличивания данных, должны быть разработаны в соответствии с федеральным законом о персональных данных, подписанным 8 августа.
Федеральный закон от 8 августа №233, который вносит изменения в закон «О персональных данных», устанавливает новые правила обезличивания, обработки и оборота персональных данных. Согласно этому закону, операторы данных будут обязаны по запросу Минцифры обезличивать обрабатываемые данные и передавать их в государственную информационную систему. В свою очередь, Минцифры будет отвечать за обеспечение конфиденциальности этих данных (требование вступит в силу с 1 августа 2025 года). Требования, методы и порядок обезличивания и передачи данных должны быть определены в отдельных подзаконных актах. Во время второго чтения законопроекта поднимались вопросы о конфиденциальности данных. Отмечалось, что он задумывался для передачи данных госорганами разработчикам ИИ-решений, а не бизнеса государству.
В Минцифры подчеркнули, что при обезличивании данных в рамках закона исключается возможность установить личность человека. Благодаря этим данным государственные органы смогут принимать более обоснованные и эффективные решения.