31 августа 2018 г.

Атака на обезличивание


Некоторое время назад я зарекся комментировать законопроекты и проекты иных нормативных правовых актов – слишком часто конечный результат достаточно радикально отличался от проекта, и анализ именно проекта особого смысла в конечном итоге не имел.
Но здесь особый случай. На Федеральном портале проектов нормативных правовых актов появились проекты трех документов, на которые необходимо обратить внимание именно сейчас, пока они не приняты в предлагаемой редакции.
Минкомсвязи выступила с инициативой жестко отрегулировать обезличивание персональных данных. Суть предложения проста и прямолинейна: обезличивать персональные данные можно будет только в случаях, прямо установленных законодательством Российской Федерации и в соответствии с требованиями и методами, установленными Роскомнадзором. Точка.
Если любой оператор, а не только орган власти или местного самоуправления, как сейчас, данные не обезличивает в установленных законом случаях или обезличивает их неправильно, это страшное деяние влечет административную ответственность, для чего Минкомсвязи предлагает уточнить редакцию части 7 статьи 13.11 КоАП РФ. При этом административная ответственность за обезличивание данных в непредусмотренных законом случаях не устанавливается, но может квалифицироваться по части 1 статьи 13.11 – обработка персональных данных, не предусмотренная законом.
Зачем это предлагается сделать? В Пояснительной записке к законопроекту указывается, что нововведение предлагается «во исполнение поручения Президента Российской Федерации от 23 ноября 2015 г. № Пр-2414 в целях защиты интересов субъектов персональных данных». С этим распоряжением отдельная детективная история. Вот что выдает результат поиска на сайте Президента:
Ни Консультант, ни Гарант про это распоряжение тоже ничего не знают. Найти его силами Гугла и Яндекса тоже не удалось. Буду благодарен читателям блога, которые располагают текстом документа и смогут поделиться им со мной.
Тем не менее, Приказом Роскомнадзора от 30.11.2015 № 154, «в соответствии с поручением Президента Российской Федерации от 23 ноября 2015 г. № Пр-2414» территориальным органам Роскомнадзора было поручено провести внеплановые проверки деятельности операторов связи, оказывающих телематические услуги связи и услуги подвижной радиотелефонной связи на предмет выявления незаконной деятельности по обработке данных сторонними компаниями в сетях российских операторов связи. Опять-таки, приказ совсем не про обезличивание.
Но вернемся к сути предлагаемых поправок. В упоминавшейся выше Пояснительной записке указывается, что «согласно Закону о персональных данных обезличивание персональных данных может также осуществляться операторами, не являющимися государственными и муниципальными органами в законодательно установленных случаях». А вот этого в законе нет, совсем нет.
Обезличивание упоминается в законе «О персональных данных» ровно четыре раза: в пункте 3 статьи 3, где дается определение обработки персональных данных, и в пункте 9 той же статьи, дающем определение термина «обезличивание»; в части 7 статьи 5, наделяющей оператора полномочиями обезличить, а не уничтожить персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей; и в пункте 9 части 1 статьи 6, разрешающей обрабатывать персональные данные без согласия субъекта в статистических или иных исследовательских целях, за исключением целей директ-маркетинга, при условии обязательного обезличивания персональных данных. Все. Никаких установленных законом случаев обезличивания. Более того, предлагаемая норма прямо противоречит части 7 статьи 5.
Теперь про цель принятия поправок в закон – защиту интересов субъектов персональных данных. Долго думал. И так не придумал, как же обезличивание может нарушить права субъекта, если данные у оператора больше с субъектом не соотносятся и установить его личность оператор более не может.
Предлагаемая поправка наотмашь бьет науку и бизнес. Исследования, неважно, медицинские, социологические или любые иные, построены на статистическом анализе данных об огромном количестве людей, которые именно для защиты их интересов обезличиваются соответствующими организациями. Но, например, в законе «Об основах охраны здоровья…» обезличивание предусматривается только в Единой государственной информационной системе в сфере здравоохранения, но ничего нет про право обезличивать данные медицинских и исследовательских учреждений. Перепись населения производится с использованием обезличенных переписных листов, но в законе «О всероссийской переписи населения» это тоже не установлено, лишь в Приказе Росстата от 17.04.2018 № 179 указано, что «хранение данных должно осуществляться при условии обязательного обезличивания персональных данных». Но приказ – не закон и не основание для обезличивания в предлагаемом варианте поправок.
Наконец, методики банковского и страхового андеррайтинга, расчета процентов, премий и выплат основаны, естественно, на статистике, требующей обезличивания и длительного хранения огромного количества персональных данных клиентов, касающихся исполнения договоров банковского обслуживания и страхования. Но в законах «О банках и банковской деятельности» и многочисленных законах, регламентирующих страховое дело (их очень много!) вопросы обезличивания никак не регламентируются.
Принятие законопроекта потребует внесения изменений в огромное количество законодательных актов для легализации обезличивания персональных данных в различных сферах деятельности, а до их принятия действия операторов по обезличиванию будут противоречить закону.\
Законопроект идет вразрез с мировой практикой регулирования обработки персональных данных. В европейском регламенте GDPR псевдонимизация является базовой мерой проектируемой защиты данных (Data protection by design) и должна применяться всегда, когда и где это возможно.
Тем временем, на том же портале http://regulation.gov.ru появился проект другого документа – Указания Банка России «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента». Документ требует отдельного анализа, но, пока он не принят, обратим внимание только на один момент.
В нем как раз предусматривается обезличивание данных о владельцах предполагаемых дроперских счетов, но вместо обезличивания используется совсем другой термин – хэширование, в частности, номера документа, удостоверяющего личность в целях идентификации лица, и СНИЛС. Передача фамилий, имен и отчеств плательщиков и получателей средств не предполагается.  В сегодняшнем комментарии «Ведомостям» я уже высказывал точку зрения, что такая обработка персональных данных не требует согласия субъекта и не противоречит закону, но там другая загвоздка.  
В соответствии с позицией Минкомсвязи и 8 Центра ФСБ России, «хеширование не входит в число методов обезличивания персональных данных». Кроме того, структурированность форматов текстовой информации сокращает множество входных значений хэш-функции, и, как следствие, область значений функции хеширования, что в совокупности приводит к возможности возникновения угрозы подбора нарушителем персональных данных для конкретного субъекта методом перебора.
Из всего этого делается категоричный вывод: «Таким образом применение хеширования для обезличивания персональных данных является нелегитимным».
Подводим итоги. Хочется надеяться, что инициативы Минкомсвязи в отношении обезличивания не найдут поддержки, и законопроект не будет принят. И очень надеюсь, что указание Банка России будет принято, и в отношении хэширования как способа обезличивания будет создан прецедент.

5 комментариев:

  1. Михаил, спасибо за статью! Все же возник вопрос: обезличивание персональных данных - это будет обязанностью операторов в каких-то определенных законом случаях, а в остальных случаях остается только правом? Или же устанавливается запрет на обезличивание кроме случаев, установленных законом?

    ОтветитьУдалить
  2. Анастасия, судя по практике проверок и тексту документа, обезличивание будет обязанностью для тех, кому это предписано законом, и запрещено для всех остальных :-(

    ОтветитьУдалить
  3. Михаил, глупости, что нелоьзя будет обезличивать:
    вендоры для нас разрабатывают продукты, мы предоставляем им для разработки обезличенные данные

    нам теперь запретят обезличенные данные отдавать на сторону? ))))

    ОтветитьУдалить
  4. Амир, Вы внимательно прочитали пост? Перечитайте еще раз. Глупости - это Ваше мнение (мое - это вредительство). Но от того, что Вы назовете это глупостью, законопроект не отзовут, и принятие его весьма вероятно.

    ОтветитьУдалить
  5. А у меня так и остается вопрос... что делать с данными, которые изначально являются обезличенными, например на сайте для регистрации пользователя запрашивается только email? Пользователь дает на это согласие, как он потом может его отозвать? я же не могу его идентифицировать? А в результате этих поправок, получается нужно будет помимо email в обязательном порядке запрашивать ФИО и паспортные данные, если даже они мне совершенно не нужны?

    ОтветитьУдалить