Что вынудило депутатов внести поправки
В начале апреля стало известно, что из Facebook утекло почти полмиллиарда персональных данных (ПДн). Пятого апреля хакеры выставили на продажу данные людей, подававших заявку на кредит в банк «Дом.РФ». Мы видим, что утечки ПДн уже стали нормой. Киберпреступность растёт и создаёт проблемы всем, включая бизнес. Естественно, вопрос доступа к данным озаботил власти ещё в конце 2020 года, после всплеска преступлений в интернете.
В начале марта глава Комитета Совета Федерации по социальной политике Инна Святенко на заседании в Государственной Думе предложила сократить доступ ритейла к персональным данным покупателей. «Если торговая точка собирает ПДн с целью предоставить дисконт в день рождения, то им совсем не обязательно получать паспортные данные и год рождения. Достаточно знать день и месяц. Если есть риск утечки, то лучше ПДн вообще не собирать» — сказала сенатор.
Anonymous vs государство
Государство настолько озаботилось защитой данных, которые рекой текут в бизнес, что в феврале Государственная Дума приняла в первом чтении поправки к законопроекту о порядке обезличивания ПДн под номером № 992331-7.
В закон будут внесены следующие изменения: вместо ФИО и адреса разрешат использование «уникального идентификатора»; необходимо оформлять согласие на обработку данных с указанием иных целей, для каждой из них должны быть указаны сроки действия и лица, которым даётся разрешение. Сама процедура обезличивания данных (ОДн) будет утверждаться Роскомнадзором, который пропишет методику.
Здесь стоит сразу уточнить, что идея обезличивания для бизнеса — та самая золотая середина. Казалось бы, всё прекрасно — вот вам цифровая нефть, хоть и немного лайтовая (вместо ФИО и телефона – ID), пользуйся и богатей.
Но в марте на заседании рабочей группы в ГД по вопросам поправок к закону о персональных данных вдруг встаёт замглавы Минцифры России Олег Иванов и делает заявление: «Необходимо разделить понятия «обезличивание» и «анонимизация», поскольку ОДн обратимы». То есть, обезличенные данные не настолько уж безопасны и могут стать айсбергом в виде скрытых проблем. Бизнес почти не отреагировал на реплику замминистра, а журналисты уделили ей пару новостных строк. Хотя анонимизация является краеугольным камнем как для государства, так и для бизнеса. В чём же слабое звено обезличивания, раз вместо него лучше применять анонимизацию?
Обезличенные данные могут содержать пол, возраст, номер телефона, набор заболеваний. Но по ним нельзя опознать личность. Однако, сопоставив дополнительные базы данных, можно найти ФИО и адрес конкретного человека по обезличенным данным.
При анонимизации данных учётная система записывает массив информации пользователя, но исключает наличие персональных данных и не выполняет группировку по какому-либо идентификатору (телефону, почте). Например, один человек сделал шесть запросов в интернет-браузере. В рамках обезличивания в анализе видно, что все запросы поступили от одного конкретного пользователя. В случае анонимизации мы увидим запросы, но не будем знать, от кого именно (ФИО). То есть, анонимность не позволяет восстанавливать цифровой профиль пользователя. Но позволяет внести его в группу интересов для таргетированного продвижения товаров
СПРАВКА