Обезличивание данных: в поисках компромисса между приватностью и развитием технологий

В чем отличие персональных данных от обезличенных

Depositphotos
«Данные — это новая нефть», — утверждение, ставшее в последние несколько лет практически аксиомой. В настоящее время данные, особенно их массивы, несущие в себе информацию о человеке: его активностях, предпочтениях, интересах – не только необходимый фундамент развития цифровой экономики в целом, но и отдельных направлений бизнеса в частности. С одной стороны, информация, в том числе данные о пользователях — это двигатель развития экономики, обогащение массивов — осознанная необходимость, однако, с другой — информация о человеке становится объектом активной «торговли» и оборота, ставят под угрозу приватность и тайну частной жизни.

Речь идет в основном о так называемых обезличенных данных. Именно они становятся объектом передачи, основой создания систем, необходимых для цифровой трансформации.

При этом, согласно законодательству, процесс обезличивания — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Иными словами, этот процесс не дает гарантии того, что имеющиеся данные не позволят установить личность человека, к которому они относятся, более того – установлено, что использование дополнительной информации в совокупности с обезличенными данными позволит определить конкретного человека.

Кроме того, обезличивание ПД — это одно из действий, требующих наличия согласия субъекта на его осуществление.

Законодатель уточняет, что оборот обезличенных данных может производиться и без согласия субъекта в случае, если эта обработка происходит в статистических «или иных исследовательских целях».

При этом в нормативно-правовом регулировании отсутствуют четкие критерии «обезличенности».

Совместный приказ Минцифры и Роскомнадзора 2013 года определяет требования и методы обезличивания ПД в информационных системах, операторами которых являются государственные и муниципальные органы. Существует ряд отраслевых приказов (например, фискальных или медицинских данных), что в свою очередь не привносит ясности и систематичности в понимании основных требований, предъявляемых к обезличенным данным.

Таким образом, с правовой точки зрения создается ситуация, при которой с одной стороны законодательство, создавая ряд исключений, тем не менее не выводит обезличенные данные за пределы регулирования законодательства о ПД, а с другой стороны — в отсутствие четких требований обезличивания и правил по обработке такой информации приводит к непоследовательной практике этой обработки.

Так, в 2020 году Mail.ru Group и «Магнит» объявили о сотрудничестве, в рамках которого ритейлер передавал информацию об участниках своей программы лояльности для таргетинга рекламы через маркетплейс, принадлежащий Mail.ru Group. При этом передавалась информация об особенностях покупательского поведения и предпочтениях, покупках определённых товаров и брендов, форматов посещаемых магазинов, то есть, по сути, обезличенные данные покупателей.

На тот момент речь шла о передаче информации относительно 25 миллионов клиентов.

Тренд на то, что обезличенные данные являются объектом «торговли» с целью обогащения баз данных, — сохраняется и нарастает в настоящее время, что обусловлено, в том числе, необходимостью и ускорением темпов развития систем искусственного интеллекта, обезличенные данные для которых являются основой функционирования, без них невозможно дальнейшее развитие систем ИИ.

При этом двигателем данного тренда служит не только бизнес, но и в значительной степени – государство.

Так, например, в подзаконных актах, регулирующих сбор медицинских ПД (в частности, регулирующих ЕГИСЗ) указывается на необходимость консолидации медицинских данных, в том числе для создания систем искусственного интеллекта.

Автор - член комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России, директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ).