информбезопасность операторы данных персональные данные

31.7.2024

Без лица

Как новый закон об обезличивании персданных повлияет на бизнес

Госдума приняла законопроект об обезличивании персональных данных, который находился на рассмотрении в течение трех лет. Новый закон обязывает операторов обезличивать и передавать персданные в озеро данных – ГИС, которую будет вести Минцифры. Эксперты подчеркивают, что новое регулирование не только не прозрачно, но и потребует существенных расходов, а, главное, не упростит доступ к данным для обучения нейросетей. О том, получится ли у регулятора соблюсти баланс интересов граждан и бизнеса, – в материале RSpectr.

ЗАЩИТА ИНТЕРЕСОВ

Глава ИТ-комитета Госдумы Александр Хинштейн на расширенном заседании комитета 29 июля сообщил, что

поправки в законопроект о персональных данных призваны усовершенствовать механизм обработки данных

полученных в результате их обезличивания, а также решить проблему распределения полномочий в работе с данными между компаниями и государством, ограничивающую оборот данных и аналитику big data в РФ.

Александр Хинштейн, Госдума:

– Правительство по согласованию с ФСБ установит требования к обезличиванию персональных данных, порядок передачи будет один для всех. Вводится положение, согласно которому оператор персданных обязан по требованию Минцифры обезличить обрабатываемые им данные и предоставить их государственной информационной системе (ГИС).

Минцифры в свою очередь будет обязано обеспечить конфиденциальность поступивших от операторов данных, подчеркнул депутат.

«Предлагаемые инициативы позволят обеспечить доступность данных для разработчиков с огромным объемом ограничений и обременений и защитить интересы граждан», – отметил парламентарий.

Законопроект был принят сразу во втором и третьем чтении Госдумой 30 июля.

В рассматриваемом законопроекте защита от недобросовестной конкуренции реализована за счет ограничения доступа к новым данным, рассказал RSpectr партнер технологической практики «ТеДо» Артем Семенихин. Доступ будет предоставляться

только к историческим данным, что не даст возможности различным игрокам воспользоваться сиюминутной конъюнктурой рынка

Это оптимальное компромиссное решение между сохранением конкурентной среды для участников рынка и формирования базы для инновационной деятельности не только за счет своих данных, уверен эксперт.

Артем Семенихин, «ТеДо»:

– Консолидация такого количества данных в одном месте должна сопровождаться соответствующей оценкой киберугроз. Только обеспечив надежную защиту данных, мы сможем использовать их для достижения целей развития и инноваций.

Пока сложно сделать выводы, как сработает инициатива, полагает руководитель направления «большие данные» группы «Рексофт» Сергей Назаренко.

Сергей Назаренко, «Рексофт»:

– Нужно понять, какие это будут данные, какого качества и объема, кто и на каких условиях будет иметь к ним доступ. Пока точно понятно, что выгоду получит обладатель закрытого контура: работа с данными в нем автоматически подразумевает плату за вычислительные мощности контура, а мощности могут потребоваться большие.

Эта инициатива представляется попыткой

найти баланс между потребностями развития технологий искусственного интеллекта и защитой персональных данных граждан

считает руководитель проекта DiPal «Комфортел» Леонид Васенин. Среди положительных аспектов он отметил:

– Стремление обеспечить доступ разработчиков к данным для развития технологий ИИ, что важно для конкурентоспособности российской ИТ-индустрии.

– Ограничение формирования наборов данных конкретными случаями, определенными правительством, что может помочь предотвратить их бесконтрольное использование.

– Создание закрытого контура для работы с данными, что теоретически должно повысить уровень безопасности.

– Запрет на внешний доступ иностранным лицам, что может защитить национальные интересы в сфере данных.

Однако, по словам эксперта, есть и потенциальные проблемы:

– Ограничение доступа к данным может замедлить развитие некоторых компаний и стартапов, особенно тех, что не попадут в число одобренных правительством случаев.

– Закрытый контур может ограничить возможности для международного сотрудничества в области ИИ

– Запрет на доступ российским юридическим лицам с преимущественным иностранным участием может негативно повлиять на инвестиционную привлекательность сектора.

– Появляется риск создания излишне закрытой системы.

Леонид Васенин, «Комфортел»:

– Регулятор пытается найти компромисс между интересами государства и бизнеса, но полное соблюдение интересов обеих сторон вряд ли возможно в такой чувствительной сфере.

ДОПОЛНИТЕЛЬНЫЕ РАСХОДЫ

Если будут понятные регламентированные механизмы доступа к таким данным и требования, то особых сложностей в новом регулировании нет, уверен директор по работе с органами государственной власти компании «Биорг» Илья Веригин. Однозначно, по его мнению, выиграют крупные игроки (банки), которым проще выполнить требования и получить доступ по многим факторам.

Илья Вергин, «Биорг»:

– Однако станет ли проще доступ к данным для малого бизнеса – вопрос открытый. А ведь именно для стартапов – разработчиков ИИ-решений отсутствие качественных массивов размеченных данных – это основной стоп-фактор в развитии технологий и продуктов.

Малые игроки больше крупных заинтересованы в формировании прозрачного, понятного доступа к данным, считает эксперт.

«Для нас деперсонализация – естественный рабочий инструмент для выполнения проектов оцифровки и распознавания данных. Ожидаем, что законодательные изменения не повлияют на нашу сферу деятельности и мы продолжим наполнять корпоративные ИС и государственные реестры важнейшими сведениями», – выразил надежду Илья Вергин.

Пока непонятно, насколько для операторов будет обременительно соблюдение таких требований, в какие сроки они должны будут это делать. Такая

неопределенность создает значительные риски для бизнеса

рассказал RSpectr руководитель практики интеллектуальной собственности, IT и защиты информации Savina Legal Артем Евсеев.

По его словам, после получения от операторов такой информации на ее основе готовятся «составы данных», которые смогут использовать госорганы и российские физические и юридические лица. Причем законопроект устанавливает, что госорганы смогут использовать составы данных сразу после их загрузки в ГИС, а остальные пользователи – лишь спустя год после загрузки.

Артем Евсеев, Savina Legal:

– Сразу возникает вопрос о том, являются ли составы данных персональными данными. От решения этого вопроса зависит, будут ли распространяться общие правила 152-ФЗ на них, в том числе касающиеся гарантий и прав субъектов данных.

На это законопроект прямо не может ответить, поскольку «последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных», продолжил юрист. По его мнению, предполагается, что составы данных персональными данными уже не являются.

Однако

обезличивание данных по действующему российскому законодательству не лишает их статуса персональных данных

подчеркивает Артем Евсеев.

«Также по законопроекту субъектам данных не будет предоставлена возможность отказаться от такого использования их персональных сведений, что выглядит спорно с точки зрения конституционных ценностей. Такое право получат лишь субъекты в экспериментальном режиме в Москве, и то, их согласие презюмируется», – сообщил эксперт.

ТРЕБУЮТСЯ УТОЧНЕНИЯ

Данная инициатива не сильно интересна коммерческим компаниям, которые станут источником обезличенных данных, отметил в беседе с RSpectr основатель Privacy Advocates Алексей Мунтян. По его мнению, им

придется брать на себя не только дополнительные издержки, но и организационные усилия по выполнению комплаенс-требований

по обезличиванию данных, их передачу по каналам связи.

Алексей Мунтян, Privacy Advocates:

– Неясен в законопроекте момент, связанный с выгрузкой из госозера ранее загруженных и обезличенных данных: можно ли выгружать аналитику, после того как компания поработала с данными? Второй вопрос относится к частоте загрузки первичных данных: как часто государство может требовать выполнение такой загрузки?

Из самого текста законопроекта непонятна организационно-техническая концепция, сообщили RSpectr в пресс-службе Ассоциации больших данных (АБД). По информации Асоциации, в документе даны ссылки как минимум на 20 подзаконных актов.

Пресс-служба, Ассоциация больших данных:

– Основной вопрос, что именно будет в требованиях: к обезличиванию, информационной безопасности, каналам передачи, где и чья эта ГИС, какие у нее технические характеристики, каковы требования к датасетам, как будет осуществляться контроль качества данных и совместимости.

Инициатива грозит бизнесу дополнительными расходами, продолжил генеральный директор «Стахановец‎» Александр Канатов. Он уточнил, что перед передачей данных в ГИС компания должна их обезличить. Первый вопрос: как это реализовать? Не исключено, что

по заказу правительства разрабатывается специализированный софт, но пока информации об этом нет

Соответственно, бизнес должен решать эту проблему самостоятельно. Второй вопрос – о каких объемах данных идет речь? То есть чем больше данных, тем выше стоимость обезличивания.

Александр Канатов, «Стахановец»:

– Вероятнее всего, будет разработан стандарт того, в каком виде компании должны будут передавать данные. Их необходимо не только обезличить, но и привести к единому стилю. Это все потребует значительных финансовых и временных ресурсов, которые возложат на бизнес.

«Я отрицательно отношусь к этому законопроекту в его текущей редакции», – рассказал RSpectr адвокат, партнер Privacy Advocates Александр Партин. Когда в декабре 2023 года его обновили и внесли на рассмотрение в первом чтении, его суть заключалась в установлении правил обезличивания персональных данных, что является крайне актуальным запросом со стороны бизнеса.

Александр Партин, Privacy Advocates:

– Теперь же цель законопроекта изменилась на 180 градусов и заключается в установлении случаев принудительной передачи персональных данных от бизнеса государству. Если бизнес может их обезличить, то в обезличенном виде, если не может – просто так.

При этом на госорганы, включая региональные московские, это не распространяется, указал юрист. Он

не видит в этом законопроекте баланса интересов бизнеса и государства, не говоря об интересах людей – субъектов персональных данных

Сейчас, по его мнению, стоит вопрос, насколько далеко государство вторгнется в сферу интересов бизнеса и насколько сильно будут затронуты права и законные интересы людей, чьи персональные данные будут сливаться в государственные федеральные и региональные озера данных.

Инициатива не в полной мере соблюдает баланс интересов бизнеса и государства, соглашается управляющий партнер Comply Артем Дмитриев.

Артем Дмитриев, Comply:

– Бизнес давно просил о либерализации подхода к обезличиванию, чтобы самостоятельно обезличивать данные с учетом новых техник и методик. Однако закон, по сути, позволяет бизнесу такое обезличивание лишь с одной целью – дальнейшей передачи данных государству на безвозмездной основе.

Это ляжет на бизнес дополнительным «налогом», считает юрист.

По его мнению, так и не была введена платная тарификация для «покупки» данных бизнеса, которые бы стимулировали его обезличивать и делиться.

«Стоит подумать и о “дата-альтруизме”, как это сделал европейский законодатель в Data Governance Act, чтобы граждане могли самостоятельно решать, какие данные, предоставленные государству и бизнесу, они хотели бы делать доступными для исследовательских целей», – резюмировал Артем Дмитриев.

Екатерина Лаштун

Изображение: RSpectr, Adobe Stock