Перечень для запросов
Forbes ознакомился с проектом распоряжения правительства, определяющего случаи формирования составов данных, которые бизнес должен передавать в «гососзеро». С документом и его положениями также знаком источник Forbes в Минэкономразвития.
Так, власти смогут запрашивать у бизнеса обезличенные персональные данные клиентов и сотрудников, если они понадобятся для «защиты населения и территорий» — в случае угрозы возникновения чрезвычайной ситуации на всей территории страны или ее части.
В документе указано также, что власти смогут требовать данные у бизнеса для предупреждения терроризма в случае введения режима контртеррористической операции, а также для предупреждения распространения инфекционных заболеваний и отравлений, если будет введен карантин.
Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться
Болезненную реакцию представителей бизнеса, которых опросил Forbes, вызвали последние два пункта. Согласно тексту документа, власти смогут собирать у бизнеса данные для проведения исследований в экономической и социальной сферах, а также для «реализации мероприятий, определенных в госпрограммах, национальных и федеральных проектах, приоритетных программах и проектах в России». Предполагается, что проект распоряжения правительства вступит в силу в сентябре 2025 года.
Документ разработан на базе принятых 8 августа поправок в закон «О персональных данных». В Минцифры переписывали его несколько лет. Изначальной целью инициативы было упростить бизнесу получение согласий на обработку персональных данных своих клиентов. Это облегчило бы использование информации о клиентах для составления статистики и обучения технологий на базе ИИ — например, сервисов рекомендаций или рекламных предложений.
В итоге был принят закон, предполагающий создание ГИС, куда бизнес и государственные муниципальные организации по запросу должны передавать персональные данные своих клиентов и сотрудников, предварительно их обезличив. Согласие на передачу данных от пользователя в «госозеро» в законопроекте не предусмотрено. Доступ к этим данным в первый год после размещения получат только государственные пользователи, а потом и все остальные, кого одобрит правительство.
Свою региональную информационную систему (РИС) данных будет иметь и правительство.
В Минцифры и Минэкономразвития на запрос Forbes не ответили.
«Необоснованная нагрузка»
Проект распоряжения позволяет запрашивать у бизнеса обезличенные персональные данные «фактически в любых случаях», считают в Ассоциации больших данных (АБД, объединяет в том числе Сбербанк, «Мегафон», «Яндекс», ВТБ, «Ростелеком»). «Это создает ситуацию правовой неопределенности и необоснованной регуляторной нагрузки для операторов, обрабатывающих персональные данные, а это практически любая компания или организация», — продолжают в ассоциации, считая, что нужно установить прозрачный механизм публичного обсуждения случаев запроса данных для проведения исследования и «реализации мероприятий» различных госпрограмм и проектов.
Такими площадками могут выступить экспертные советы при правительстве и АНО «Цифровая экономика» или механизмы общественного обсуждения на Regulation.gov.ru, допускают в АБД. «Важно также разработать методику оценки целесообразности и экономической обоснованности проведения статистических или иных исследований, включая методику обоснования отсутствия иных источников аналогичных данных», — заключили в АБД.
Очень важно не скомпрометировать данные при их объединении в «госозере», подчеркивают в МТС. «Персональная информация даже в обезличенном виде чрезвычайно чувствительна. Необходимо проработать четкие, прозрачные, выполнимые и гарантирующие безопасность алгоритмы передачи и использования данных», — убеждены в компании. Там также настаивают и на необходимости предусмотреть механизмы, которые позволят избежать злоупотреблений запросами на информацию. «Ситуации и сроки, для которых «госозеро» может запросить данные, должны быть четко регламентированы и закреплены на уровне нормативных документов», — отметили в компании.
Текущий текст распоряжения правительства не определяет четкого перечня случаев, когда и какие обезличенные данные можно запросить у компаний, указывает источник в IT-отрасли: «Это принципиальный для бизнеса вопрос, на который много раз обращали внимание при обсуждении закона». По словам собеседника Forbes, чтобы регламентировать отношения компаний и государства в части передаваемых данных, нужен полноценный нормативный акт и прозрачный механизм публичного обсуждения таких случаев. «Поручения, например, вице-премьеров не могут выполнять эту роль, к тому же львиная доля этих поручений вообще не публикуется, и компании будут обязаны его удовлетворить. Это ставит бизнес в уязвимое положение», — заключает он.
Потеря контроля
Непрозрачность запросов, которые власти могут делать в адрес компаний — не единственная претензия бизнеса. Чтобы обезличить данные, бизнес понесет значительные расходы, констатирует заместитель генерального директора ГК «Гарда» Рустэм Хайретдинов. Это или время сотрудников, необходимое для настройки и администрирования встроенных в систему управления базами данных (СУБД) решений по маскированию, или прямые финансовые затраты для приобретения специализированных инструментов маскирования, размышляет он.
Внедрение этих требований неизбежно повлечет существенные затраты для компаний, согласна советник практики интеллектуальной собственности юридической компании ЭБР Кристина Мкртчян. «Помимо очевидных расходов на разработку или закупку ПО для обезличивания данных, потребуются перестройка бизнес-процессов, обучение персонала и создание новых систем контроля. Особенно чувствительным это может оказаться для малого и среднего бизнеса, который не располагает значительными IT-бюджетами», — считает она.
Нельзя, по ее мнению, сбрасывать со счетов и риски информационной безопасности. «Даже при качественном обезличивании существует вероятность деанонимизации данных при их сопоставлении из различных источников. А учитывая, что речь идет о централизованном хранилище данных, это создает потенциальные риски для всего массива собранной информации», — резюмирует Мкртчян.
Несмотря на то, что передавать в «госозеро» бизнес обязан уже обезличенную информацию, остаются все те же риски, если бы он передавал персональные данные, подтверждает эксперт по защите персональных данных и соучредитель Regional Privacy Professionals Association (RPPA.pro) Алексей Мунтян. «Согласно текущей концепции регулирования, обезличенные данные остаются персональными, так как это обратимая процедура. По сути, бизнес теряет контроль над своими данными. При этом государство сможет обрабатывать эти данные в широком спектре сценариев, который не всегда может быть явно ограничен заявленными в проекте целями», — заключает он.
