Минцифры подготовило три документа в сфере регулирования персональных данных. Ведомство намерено закрепить требования к обезличиванию персданных, установить рекомендуемые методы и правила — сейчас такого регулирования нет. В соответствии с ч. 3 ст. 13.1 закона «О персональных данных» эти правила обязано подготовить правительство. Если их одобрят, новые требования вступят в силу с 1 сентября.
Предполагается, что при сборе обезличенных персональных данных оператор должен обеспечить раздельное хранение, исключить информацию, оборот которой ограничен федеральными законами, и внедрить алгоритмы, чтобы передавать сведения без потерь.
В другом документе представлены методы, которые Минцифры будет применять для обезличивания данных. К ним относятся методы:
- введение идентификаторов, например замена Ф. И. О. на коды и номера;
- изменение состава или семантики — изменение состава персданных;
- декомпозиция — разбивка массива на несколько частей;
- перемешивание — перестановка частей;
- преобразование — обобщение, например указание возраста не в формате «26 лет», а «от 25 до 30 лет».
Последний предложенный акт регламентирует правила обезличивания персональных данных. В частности, документ устанавливает норму, что при последующей обработке такие данные нельзя связывать с конкретным субъектом. Наборы персданных будут доступны исключительно в рамках закрытого контура государственной информационной системы. Вынести информацию за пределы системы не получится.
Обезличенные персональные данные и государственная база, построенная как озеро данных, появились в законе «О персональных данных» в прошлом году. Изменениями ввели механизм сбора и хранения информации в специально созданной государственной системе. Подключиться к системе будут обязаны компании и ведомства, получившие соответствующий запрос от Минцифры. По информации ведомства, первыми участниками новой системы станут представители телекоммуникационной отрасли.
