Но эксперты указывают на риск роста числа утечек и ужесточения правил.
13:38
Министерство цифрового развития, связи и массовых коммуникаций (Минцифры) предложило при соблюдении нескольких требований использовать обезличенные персональные данные россиян, «в том числе для предпринимательской деятельности». Это следует из проекта поправок к законопроекту, уточняющему порядок получения разрешения на использование персональных данных. Копия проекта содержится в письме замглавы министерства Олега Иванова в администрацию президента и комитет Госдумы по информполитике (есть в распоряжении РБК, его подлинность подтвердили два получателя рассылки).
Представитель Минцифры подтвердил РБК корректность поправок, отметив, что бизнес сможет свободно обрабатывать обезличенные данные. «Законопроект позволит повысить эффективность системы защиты прав субъектов персональных данных — наших граждан, а также даст возможность бизнесу использовать данные, полученные в результате обезличивания. При этом права россиян на безопасную обработку и сохранение их персональных данных будут соблюдены», — объяснил временно исполняющий обязанности директора департамента информационной безопасности Минцифры Дмитрий Реуцкий.
Управляющий партнер юридической компании Rafikov & Partners Рустам Рафиков объяснил, что коммерциализировать данные смогут, например, провайдеры интернета, ретейлеры, поставщики CRM (систем управления отношениями с клиентами) и т.д., собирая объемы обезличенных данных и продавая их рекламодателям.
Например, можно собирать данные о количестве клиентов, обратившихся за тем или иным товаром, об объемах продаж определенному сегменту по полу, возрасту, месту жительства и др. Можно обезличить данные о частоте покупки того или иного товара определенными потребителями.Рустам Рафиков
Что предписывает законопроект |
В июле прошлого года правительство внесло в Госдуму поправки в закон «О персональных данных», которые вводили возможность получать согласие на обработку персональных данных для нескольких целей, а также обязанность при уничтожении данных использовать средства защиты информации, прошедшие процедуру апробации в ФСБ или ФСТЭК. Полномочия устанавливать требования и методы обезличивания персональных данных предлагалось передать Роскомнадзору. В середине февраля документ был принят в первом чтении. |
Что предложило Минцифры
Согласно проекту поправок, обезличить данные о пользователе можно будет только с его согласия, кроме исключительных случаев. Поправки «не допускают» действия операторов данных (к ним относятся компании связи, банки
В письме Иванова указано, что 3 февраля должно было состояться совещание для обсуждения подготовленных министерством поправок. Источник РБК, знакомый с его результатами, сообщил, что проект отправили на доработку и ведомство должно представить на согласование в правительство отредактированную версию через два дня. Представитель Минцифры подтвердил, что вопрос обсуждался на совещании и проект в ближайшее время будет представлен в правительство.
В версии Минцифры нет понятия «иной уникальный идентификатор субъекта персональных данных», которое предлагалось в первой редакции. Оно позволяло владельцу персональных данных давать согласие на их обработку без указания Ф. И. О. и паспортных данных, используя лишь номер телефона или псевдоним. В письме Иванова приводится позиция
Во многих случаях у оператора нет никакой необходимости знать подлинные и полные данные субъекта, например когда речь идет об использовании сервисовонлайн-знакомств или дистанционной торговли.
По его мнению, законопроект в последней редакции «приводит к ужесточению правового режима обработки обезличенных данных без создания
Также из письма Иванова следует, что Сбербанк предлагал позволить операторам обезличенных данных поручать их обработку другим компаниям без согласия гражданина, лишь уведомив его об этом, что потребуется для работы операторов с облачными провайдерами. Мощности таких компаний необходимы для обработки больших объемов данных и построения моделей искусственного интеллекта. Однако Минцифры отклонило это предложение. РБК направил запрос в Сбербанк.
Представитель
При передаче обезличенного массива данных третьему лицу обработка этих данных в иных целях (кроме тех, для которых они собирались) невозможна, так как требует нового согласия гражданина, но спросить его не у кого, так как данные обезличены и непонятно, кому они принадлежат.
Зампредседателя комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Борис Едидин также считает, что действующее законодательство в сфере персональных данных уже содержит множество требований: обязательное согласие на обработку, регистрация в качестве оператора, применение юридических, организационных и технических мер защиты данных и др. «Если ранее можно было пользоваться отсутствием четкого регулирования обработки обезличенных данных, то теперь такая деятельность фактически подпадает под режим работы с персональными данными», — указал он. Едидин добавил, что законопроект в таком виде не сильно поможет государству повысить эффективность различных процессов и услуг, используя технологии больших данных, но позволит локализовать и максимально контролировать эту деятельность.
Сейчас все операторы данных проводят их обезличивание и деобезличивание как стандартную процедуру защиты от утечек через собственных сотрудников, напомнил представитель АНО «Цифровая экономика». «Усложнение процедур, предусмотренное текущей версией проекта, приведет к снижению защищенности, так как часть операторов должны будут от своих практик защиты клиентов отказаться. При этом любой оператор банка получит доступ к персональным сведениям всех клиентов», — предупредил он.
Директор по правовым инициативам Фонда развития