«В спорах об утечках это сыграет в обе стороны»: Минцифры предлагает централизованную модель обезличивания данных

Министерство цифрового развития России подготовил проект поправок в акты правительства по вопросам обработки персональных данных. Поправки, по мнению экспертов, фактически закрепят централизованную модель работы с обезличенными данными через государственную инфраструктуру. Информация будет обезличиваться, а затем передаваться в государственную информационную систему Минцифры. Юристы обращают внимание: в спорах об утечках это рискует сыграть в обе стороны. Проект был опубликован 5 мая. 

Среди существенных изменений — теперь позволяется обогащать обезличенные персональные данные дополнительной информацией. Как обращает внимание эксперт в области кибербезопасности, аналитик компании «Газинформсервис» Ирина Дмитриева, это откроет возможности формирования и обработки составов данных, которые могут использоваться в аналитике, в частности, в государственных системах.

«В случае дополнения обезличенных данных, предоставленных операторами, дополнительными данными уполномоченный орган уведомляет федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (ФСБ, — Прим. SecPost), о факте использования, составе и источнике дополнительных данных», — следует из текста законопроекта.

Минцифры могут покинуть два заместителя министра, структуру департаментов планируют изменить

Дмитриева также обращает внимание, что законопроектом закладываются ограничения на дополнение обезличенных данных. Оно предполагает, что формируемый состав данных не должен приводить к реализации угроз персональных данных. С учетом заданных ограничений это снижает риски деанонимизации данных в тех случаях, когда доступ к персональным данным ограничен. «Явно прописанные ограничения к формируемому датасету определяют открытую возможность расширить массивы обогащенной статистикой, но при стабильно сохраняющейся недопустимости деанонимизации», — отмечает эксперт.

Технический директор MD Audit (SL Soft FabricaONE.AI, акционер — ГК Softline) Юрий Тюрин считает, что поправки «фактически закрепят централизованную модель работы с обезличенными данными через государственную инфраструктуру». Операторам предстоит описывать параметры обезличивания данных перед отправкой в Минцифры, и Тюрин считает, что «это серьезный сдвиг».

«Появляется прозрачность и контролируемость самого процесса, а не только результата», — отмечает эксперт.

Также, по словам Тюрина, расширяется сама модель «составов данных». Теперь они включают не только обезличенные ПДн, но и иную информацию, которая может быть легально включена в эти наборы.

«Это фактически шаг к формированию государственных дата-сетов для повторного использования. В сумме проект важнен тем, что переводит обезличивание из формальной процедуры в управляемую инфраструктуру данных с возможностью их дальнейшего использования в аналитике и цифровых сервисах», — считает Тюрин.

По мнению Дмитриевой из «Газинформсервиса», государство активно способствует расширению инициативы по повсеместному обезличиванию данных в системах операторов персональных данных. При этом требования дополняются щадящими мерами, которые позволят управляемо работать с составами данных в пределах аналитики и прогнозирования, в том числе с использованием ИИ.

«Это можно условно интерпретировать так, что при несанкционированном доступе к обезличенным данным ущерб для операторов будет существенно ниже. В среднесрочной перспективе устойчивость компаний к последствиям утечек должна вырасти, но процесс повсеместного обезличивания массивов данных требует значительных мощностей, что происходит постепенно, а в случае с малым и средним бизнесом может затянуться на длительное время», — отмечает эксперт.

Как новые правила повлияют на ответственность за утечки

Юристы обращают внимание, что новые поправки облегчат жизнь дата-проектам. Как указывает управляющий партнер адвокатского бюро ЮКАМ Ани Манташян, «для бизнеса это снижает порог входа в любые дата-проекты и легализует практику, которая у крупных игроков и так давно существует». Управляющий партнер ЮК «ЭНСО» Алексей Головченко поддерживает мнение коллеги.

«Эти новшества значимы, поскольку снижают бюрократию и затраты для бизнеса, особенно в статистике и исследованиях, сохраняя при этом базовую защиту», — считает Головченко. — «Новый проект упрощает передачу статистических данных без этих инструментов, вводит уведомительный порядок и гибкую группировку, в отличие от прежних унифицированных процедур. Это эволюция от жёсткого контроля к доверительному подходу с ответственностью операторов».

По мнению Манташяна, проект указывает не просто на упрощение, а на смену политики государства. Обезличивание будет означать не просто «убрать ФИО и всё» — оно становится технической процедурой с методами, параметрами и точками входа для проверок и экспертиз.

«В спорах об утечках это сыграет в обе стороны: с одной — у компаний появится аргумент, что речь идёт об утечке именно обезличенных наборов, а не ПДн; с другой — любая неправильно настроенная методика обезличивания станет отдельным риском. Побеждать будут не те, у кого обрезанные паспортные данные в Excel, а те, у кого реально есть прописанная методика, оценка риска реидентификации», — подчеркивает Манташян.

Головченко также отмечает, что новые правила могут смягчить ответственность компаний за утечки, если данные уже обезличены по упрощенной схеме. Группировка и статистическая обработка затруднят доказывание идентификации субъектов в деле.

«В арбитражных судах (куда с мая 2025 г. введены такие дела) операторы смогут активнее оспаривать факт утечки, объём и тип данных, используя экспертизы, что усложнит взыскание штрафов (до 500 млн руб.). Однако усиление фокуса на обезличенных ПДн повысит требования к раздельному хранению, рискуя новыми претензиями при нарушениях», — отмечает эксперт.