11.2.2021

Как будут защищать данные в цифровых «песочницах»

Механизм ускоренного вывода технологий на рынок начнет работать в России после 1 мая

В феврале Совет Федерации (СФ) рассмотрит нормы регулирования относительно введения экспериментальных правовых режимов (ЭПР). Соответствующий закон начал действовать 28 января 2021 года. Однако для внедрения экспериментов – цифровых «песочниц» – требуется внести правовые коррективы. Эксперты рынка предлагают усилить защиту персональных данных (ПД) участников проектов. В Роскомнадзоре заверили, что в поправках к законодательству об ЭПР соблюден баланс между защитой личных данных и снятием барьеров для технологий.

СПУТНИК ДЛЯ ЭПР

Первые цифровые «песочницы» будут запущены после принятия закона-спутника ЭПР: он внесет последние уточнения. Нормативный акт дорабатывает Минэкономразвития. Документ должен быть внесен для обсуждения в СФ в скором времени.

Закон-спутник предусматривает проведение семи экспериментов. Заместитель директора департамента развития цифровой экономики Минэкономразвития Алексей Минаев на отраслевой конференции в СФ в феврале 2021 года перечислил основные из них:

грузоперевозки дронами;
оптимальный подбор локаций для малого бизнеса с применением технологий Big Data;
вывод на рынок отечественного оборудования с применением искусственного интеллекта (ИИ);
создание аналитических инструментов использования гражданами лекарственных средств;
применение ИИ в медицине;
удаленная идентификация при заключении договора с операторами связи.

Первый заместитель председателя комитета СФ по конституционному законодательству и государственному строительству Ирина Рукавишникова отметила, что этот перечень может быть расширен. Иные направления разработки, апробации и внедрения цифровых инноваций могут быть определены правительством РФ.

Со временем «песочницы» станут механизмом трансформации инновационных проектов в норму закона

Ирина Рукавишникова, Совет Федерации:

– Информация о действующих на территории России ЭПР, их субъектах и о поданных заявках будет общедоступной. Минэкономразвития предстоит вести соответствующий реестр и размещать его на официальном сайте.

Представитель СФ добавила, что определена организация предпринимательского сообщества, представляющая интересы бизнеса по вопросам экспериментальных «песочниц», – АНО «Цифровая экономика» (АНО ЦЭ).

Директор по направлению «Нормативное регулирование» АНО ЦЭ Дмитрий Тер-Степанов сообщил, что в организации принимают бизнес-кейсы ЭПР для предварительной проработки с участием экспертов.

Дмитрий Тер-Степанов, АНО «Цифровая экономика»:

– Уникальность закона состоит в том, что в процессе эксперимента мы видим все возможные риски и принимаем решение об их предотвращении при внедрении инновации на федеральном уровне.

Алексей Минаев, Минэкономразвития:

– С ЭПР можно работать уже сейчас, все 17 подзаконных актов с опережением приняты. Закон-спутник внесет точечные поправки. Документ уже одобрен правительством РФ и в ближайшее время поступит в Госдуму. В соответствии с поручением президента он должен быть принят не позднее 1 мая 2021 года.

«ТАЙГА» ДЛЯ ДОСТАВКИ

Уже выбраны пилотные зоны, где временное применение специального регулирования ЭПР рассчитано на три года. Помимо крупнейших российских IT-компаний, внедрять инновации будет правительство Томской области.

Регион с 2021 года станет экспериментальной площадкой по эксплуатации грузовых беспилотников. По словам заместителя губернатора по экономике Томской области Андрея Антонова, в основе ЭПР – проект «Тайга», который реализуется с 2018 года совместно с Фондом перспективных исследований.

Андрей Антонов, правительство Томской области:

– После согласования дорожной карты проекта с уточнением маршрутов, весом и перечнем грузов будет подана заявка на применение ЭПР. Предположительно это произойдет в июне 2021 года.

А.Антонов отметил, что пандемия показала, насколько востребован сервис доставки, например, медикаментов на труднодоступные и отдаленные территории. В услуге нуждаются и местные предприятия нефтегазовой отрасли, а также рядовые пользователи, которые хотят получать посылки от «Почты России» более оперативно.

Андрей Антонов, правительство Томской области:

– Сегодня стоимость полета вертолета составляет 160 тыс. рублей в час. В случае успешного прохождения эксперимента и масштабирования опыта, возможно, удастся снизить эту цену более чем в три раза.

Замгубернатора региона упомянул второе перспективное направление применение ЭПР – в межуниверситетском кампусе с привлечением студентов. Каждый пятый житель региона так или иначе связан с высшей школой, сказал он.

В АНО ЦЭ уточнили, что ко второму чтению в ГД закона-спутника планируется прописать ЭПР для других проектов

Например, в части оказания госуслуг в сфере строительства на территории Москвы.

ОБЕЗЛИЧИВАНИЕ ДЛЯ ДАННЫХ

Старший специалист департамента консалтинга и аудита АО НИП «Информзащита» Василиса Скидан в разговоре с RSpectr отметила, что курирующим ЭПР законом допускается минимальное отступление от действующих правовых норм в части обеспечения информационной безопасности (ИБ), а значит, вопросы защиты ПД регулируются профильным законодательством (ФЗ №152).

Василиса Скидан, НИП «Информзащита»:

– Введение новшеств под эгидой ЭПР не отменяет основных принципов и гарантий защиты прав физлиц в области тайны частной жизни, личной переписки. Это обязывает участников ЭПР соблюдать все меры безопасности при обращении с такой информацией во избежание появления дополнительных рисков утечки.

Партнер CMS Russia Антон Банковский считает, что риски при ЭПР могут увеличиться на какое-то время, ведь речь идет о внедрении инноваций в цифровой сфере. Для их минимизации, по мнению эксперта, необходимы дополнительные затраты времени и ресурсов.

Каждый раз, когда внедряется технологическая новинка, появляется опасность злоумышленного ее использования и возникает вероятность имущественных и репутационных потерь из-за инцидентов, связанных с недостаточным пониманием практических аспектов новых технологий, в том числе и в области ИБ. Об этом RSpectr рассказал директор по безопасности «Ростелеком Контакт-центр» (АО «МЦ НТТ») Николай Уманец.

По его мнению, в случае закона об ЭПР все зависит от эффективности правил, разрабатываемых регулятором (эту роль отдали Банку России). И того, насколько хорошо будет налажен механизм аудита. Важно, чтобы меры по контролю и санкции за нарушения были основаны на лучших отраслевых практиках и стандартах.

Николай Уманец, МЦ НТТ:

– Закон также планируют применять в сфере связи и телекоммуникаций, что теоретически может привести к халатности в отношении выполнения действующих НПА по защите ПД и других законодательных стандартов в области ИБ. Что будет на практике, сильно зависит от подхода, который будет применен регулятором де-факто.

Заместитель руководителя Роскомнадзора Милош Вагнер отметил, что в обсуждаемом экспертами при введении ЭПР законе-спутнике соблюден баланс между правом человека на неприкосновенность частной жизни и снятием барьеров для технологий, законодательного регулирования при их применении и продвижении.

«Документ не отменяет права, которые предоставляет законодательство о ПД нашим гражданам, он дает возможность установить особенности в отдельных ЭПР. Детали надлежащей защиты прав субъектов ПД, мы надеемся, найдут там отражение», – сказал М.Вагнер.

И.Рукавишникова подчеркнула, что

участие россиян в цифровых экспериментах является добровольным

В.Скидан считает, что, выбрав надежный метод обезличивания, оператор сможет существенно повысить уровень защиты обрабатываемой информации, а в случае утечки ПД не позволит третьим лицам воспользоваться ей для нанесения вреда участникам ЭПР.

В Минэкономразвития подтвердили, что все данные будут обрабатываться в обезличенном виде.

Алексей Минаев, Минэкономразвития:

– В случае прекращения эксперимента собранные ПД граждан подлежат уничтожению, что прописано как в самом законе, так и в программе соответствующего ЭПР.

И.Рукавишникова отметила, что, если в ходе реализации цифровой «песочницы» будут выявлены случаи нарушения прав и свобод человека, особенно при обращении с ПД, ее действие может быть прекращено досрочно.

По мнению руководителя группы управления данными SAS Россия/СНГ Алексея Пятова, нужно рассматривать каждую программу ЭПР и ее послабления отдельно – только тогда можно обсуждать детали, включая возможные риски. В то же время ПД утекают даже при самом строгом регулировании и при наличии всех мер технической защиты.

Алексей Пятов, SAS Россия/СНГ:

– Чтобы снизить риск утечки, необходимо правильно организовывать хранение ПД и их обработку, а также нанимать компетентных и честных специалистов.

Н.Уманец предложил разделить модель для обеспечения безопасности ПД в условиях частичной отмены законодательных ограничений на два этапа:

1. Создать все системы и механизмы, протестировать их, используя обезличенные данные.

2. Провести ИБ-аудит с привлечением независимых организаций-аудиторов, исправить несоответствия и наладить механизм управления ИБ. После чего происходит запуск проекта в эксплуатацию и возможен доступ к ПД пользователей.

Эксперт подчеркнул, что

важно не разрешать участие в проектах ЭПР тем организациям, у которых вообще нет подразделений ИБ в структуре организации

А также тем, кто не уделяет достаточного внимания обеспечению ИБ – например, имеющим штрафы за злостное нарушение требований в этой области.

Представитель «Информзащиты» считает, что при необходимости автоматизированной обработки больших объемов ПД возможно применение генерации тестовых данных. Подобные меры позволят существенно снизить риски утечек информации не только при ЭПР, но и в рамках общего правового регулирования.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ: