Представители ИТ-сферы вместе с Федеральной службой по техническому экспортному контролю (ФСТЭК) обсуждают стандартизацию безопасной работы с обезличенными персональными данными. В частности, речь идет об утверждении национального стандарта конфиденциальности обезличенной информации. По мнению операторов персданных, злоумышленники могут использовать даже обезличенную информацию.
Риски деобезличивания
Ассоциация больших данных (АБД; входят «Сбер», «Яндекс», VK и др.) направила в адрес ФСТЭК России предложения по созданию предварительных нацстандартов «повышения конфиденциальности» данных, следует из отчета о деятельности профильного комитета по защите информации ФСТЭК за август, с которым ознакомился «Коммерсант».
Эксперты предлагают закрепить технологии обработки и обмена информацией, а также описание классов технологий и применяемые подходы к оценке рисков. «Риски деобезличивания – это получение персональной информации из обезличенного набора данных», – пояснили в АБД. Предложенная ассоциацией модель оценки рисков учитывает все ключевые риски деобезличивания информации, в частности, риск сопоставления данных и риск определения лица за счет его уникальных характеристик.
В Минцифры отметили, что обезличивание данных в рамках закона исключает возможность установления личности человека. «Благодаря обезличенным данным государство сможет принимать более эффективные решения», – подчеркнули в министерстве.
Инициатива на фоне поправок в закон
В августе этого года в России были приняты поправки к федеральному закону «О персональных данных». Из них следует, что операторы данных будут обязаны по требованию Минцифры обезличивать обрабатываемую информацию и предоставлять их в государственную информсистему, а Минцифры – обеспечивать конфиденциальность данных. Поправки вступят в силу 1 августа 2025 года.
Инициатива АБД важна в связи с принятыми поправками. По словам члена комитета Госдумы по информационной политике, информационным технологиям и связи Антона Немкина, требования, методы и порядок обезличивания информации, как и порядок ее передачи в госинформсистему, пока не определены, это будет сделано в рамках подзаконных актов. «Конечно, стандарты порядка обезличивания и передачи данных необходимы. В том числе необходимы единые меры по хеджированию всех рисков, связанных с деаноминизацией. Думаю, что предложенные бизнесом инициативы будут еще не раз обсуждены», – отметил он.
Оценка рисков повторной идентификации
Модель оценки рисков повторной идентификации Ассоциация больших данных вместе с компанией HFLabs представила в июне 2024 г. Она позволяет рассчитать вероятность выявления персональной информации в обезличенном дата-сете, в условиях проведения массированных кибератак.
«В ходе эксперимента мы снизили комплексные риски маскированных данных на 97,5% при сохранении их высокого показателя полезности, который составил 71%. Эти результаты подчеркивают эффективность наших методов обезличивания и их способность защищать конфиденциальность данных без ущерба для их аналитической ценности», – отмечал исполнительный директор Ассоциации больших данных Алексей Нейман.
Основной стоп-фактор
Риски идентификации пользователя при обработке данных существуют. «Именно этот вопрос стал ключевым стоп-фактором на стадии рассмотрения поправок. Поэтому нужно обеспечить как эффективный порядок обезличивания информации, так и повышенную техническую защищенность озера данных, в котором будет храниться информация. На рынке, например, звучат идеи о полном уничтожении исходников обезличенной информации, что снизит риск сопоставления данных. В любом случае, поправки вступят в силу в следующем году – время на формирование итогового решения есть», – отметил Немкин.
Ранее сообщалось, что в новый национальный проект «Экономика данных» войдут положения о создании репозиториев хранилища больших данных, которые будут использованы в том числе для развития технологий искусственного интеллекта.
