По требованию Минцифры компании будут обязаны представить в ГИС обезличенные персональные данные: закон подписан

Изменения предусматривают, что по требованию Минцифры любые операторы ПД будут обязаны представить в ГИС обезличенные ПД. Перечень запрашиваемых ПД, а также сроки их представления будут указаны в соответствующем требовании.

После получения требования Минцифры оператор должен будет обезличить запрашиваемые ПД и направить их в ГИС. Требования к обезличиванию ПД, методы и порядок обезличивания будут установлены правительством по согласованию с ФСБ. Данные, полученные в результате обезличивания ПД, не должны будут включать информацию, доступ к которой ограничен федеральными законами (например, государственную тайну, банковскую тайну, тайну страхования).

По общему правилу датасеты не могут формироваться из специальных категорий ПД, таких как состояние здоровья, расовая и национальная принадлежность, а также из биометрических ПД. Законом установлен запрет на обработку составов данных, если использование датасетов и результатов их обработки может повлечь причинение вреда жизни, здоровью людей, оскорбление нравственности, нарушение прав и законных интересов граждан и организаций, причинение вреда (ущерба) окружающей среде, обороне страны и безопасности государства, объектам культурного наследия, иным охраняемым законом ценностям.

Обработку составов данных можно будет осуществлять только в самой ГИС, запись, извлечение или передача датасетов из ГИС не допускается.

Доступ к ГИС для обработки датасетов смогут получить государственные и муниципальные органы и подведомственные им организации, органы государственных внебюджетных фондов (доступ к датасетам предоставляется сразу после их внесения в ГИС); граждане РФ и российские юридические лица, которые соответствуют определенным требованиям.

Иностранным лицам запрещен не только непосредственно доступ к ГИС, но и передача им результатов обработки составов данных.

Текущая редакция закона предусматривает более короткие сроки, по прошествии которых датасеты станут доступны негосударственным структурам, — один год.

Таким образом, датасеты, к которым сможет получить доступ бизнес, будут несколько «устаревшими». Скорее всего, это существенно не повлияет на их ценность для развития искусственного интеллекта и обучения нейросетей, однако усложнит использование обез­личенных ПД в маркетинговых и иных целях. С учетом того, что закон предусматривает обработку обезличенных ПД именно в ГИС, свободный оборот обез­личенных данных, который фактически существовал ввиду отсутствия специального регулирования, будет невозможен.

Согласно новому закону создаются два параллельных режима использования обезличенных данных: в рамках общего Закона № 152-ФЗ о персональных данных и в рамках Закона от 24.04.2020 № 123-ФЗ об эксперименте с ИИ-технологиями в Москве. Общая цель этих режимов — повышение эффективности государственного управления. В их рамках будут формироваться так называемые составы данных, которые будут созданы в результате обезличивания персональных данных.

Сразу возникает вопрос, являются ли составы данных персональными данными. От ответа на него зависит, будут ли распространяться общие правила Закона № 152-ФЗ на нововведения, включая гарантии и права субъектов данных, или нет. Закон прямо не отвечает на этот вопрос, но указывает, что «последующая обработка таких данных не позволит определить принадлежность этих данных конкретному субъекту персональных данных». Следовательно, предполагается, что составы данных персональными данными не являются.

Однако обезличивание данных по действующему российскому законодательству не лишает их статуса персональных данных. Российскому праву не знаком процесс анонимизации (как в ЕС по GDPR), согласно которому данные окончательно перестают считаться персональными, поскольку их нельзя соотнести с конкретным человеком даже при наличии дополнительных сведений. Вместо этого в результате обезличивания по Закону № 152-ФЗ (аналог — псевдонимизация в ЕС по GDPR) у данных просто снижается их идентификационный потенциал: с их помощью нельзя установить человека без дополнительной информации.

Кроме того, по новому закону субъектам данных не будет предоставлена возможность отказаться от такого использования их персональных сведений.

Также предусматривается, что по решению Правительства РФ «с учетом значимости и содержания обрабатываемых персональных данных» ФСБ и ФСТЭК смогут осуществлять контроль за соблюдением технических мер защиты персональных данных у негосударственных операторов.

Таким образом, фактические контуры регулирования обез­личивания будут во многом зависеть от того, как процедура будет закреплена в подзаконных актах Правительства РФ и Минцифры. Поэтому всем операторам персональных данных потребуется внимательно следить за развитием событий.

Несмотря на то, что уже можно примерно представить механику взаимодействия операторов ПД и Минцифры в предусмотренном законом порядке, ряд вопросов к настоящему моменту остается открытым.

Прежде всего, не ясен объем сведений, которые могут запрашиваться для ГИС. Положения Закона сформулированы так широко, что в теории может озна­чать обязанность предоставлять практически любые данные по запросу ведомства.

Есть вопросы по порядку обез­личивания данных, взаимодействию операторов ПД с Минцифры и ГИС пока не решен — для этого предусмотрен отложенный срок вступления Закона в силу, и на данный момент преждевременно давать оценку нагрузке операторов. Учитывая это, в ближайшие месяцы рекомендуем операторам ПД пристально следить за разъяснениями профильных ведомств и уже начать готовиться к запуску ГИС.

Законом вносятся изменения в российское законодательство в части создания государственной системы, содержащей датасеты с обезличенными персональными данными. Согласно Закону, в Закон № 152-ФЗ добавляется новая ст. 13.1.

Операторы персональных данных будут обязаны по требованию Минцифры обезличить персональные данные по специальным правилам, которые утвердит Правительство совместно с ФСБ, и внести их в специальную ГИС, управляемую Минцифры.

Минцифры будет уполномочено формировать и обрабатывать в ГИС составы персональных данных, полученных в результате обезличивания (за исключением биометрии и специальных категорий персональных данных, из которых не допускается формирование дата-сетов).

Запрещается запись, извлечение, передача (распространение, предоставление, доступ) датасетов за пределы защищенного контура ГИС. Предоставлять результаты обработки дата-сетов иностранным лицам также запрещено.

Запрещена обработка датасетов и получение результатов их обработки, если это может повлечь за собой нарушение частных или публичных интересов.

Субъекты персональных данных, согласно Закону, не обладают правом на отказ от обезличивания и включения их данных в датасеты. Такое решение с точки зрения принципов, заложенных в Закон № 152-ФЗ, выглядит достаточно спорным, поскольку субъекты персональных данных могут быть лишены права на отказ от обработки их персональных данных.

В силу п. 9 ст. 3 Закона № 152-ФЗ обезличиванием персональных данных являются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обезличивание персональных данных по своему содержанию соответствует термину «псевдонимизация», используемому в Регламенте (ЕС) № 2016/679 Европейского парламента и Совета ЕС о защите физических лиц при обработке персональных данных и о свободном обращении таких данных (далее – GDPR).

При этом в GDPR псевдонимизация является одной из основных мер по обеспечению безопасности персональных данных, между тем как в действующей редакции Закона № 152-ФЗ обезличивание воспринимается исключительно как один из способов обработки персональных данных.

Более того, в GDPR помимо псевдонимизации персональных данных среди мер по обеспечению безопасности персональных данных указаны минимизация обработки персональных данных, а также прозрачность в отношении функций и обработки персональных данных, которые позволят субъекту данных контролировать процесс обработки.

С одной стороны, изменения, которые вступят в силу с 01.09.2025, способствуют тому, что обезличивание персональных данных становится одной из мер по обеспечению безопасности персональных данных и недопущению их трансграничной передачи. С другой же стороны, как представляется, могут повлечь за собой и ослабление защиты персональных данных в силу того, объем обрабатываемых персональных данных кардинально увеличится, а сам процесс обработки персональных данных будет сложным.

Необходимо отметить, что случаи формирования составов персональных данных, методы и порядок обезличивания персональных данных, а также порядок доступа к составам персональных данных будут установлены Правительством РФ, в связи с чем понять, как новое регулирование будет реализовано на практике, в настоящее время сложно.

В статье ст. 13.1 Закона № 152-ФЗ активно используется термин «составы данных» – это составы персональных данных, полученных в результате обезличивания персональных данных, сгруппированные по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных.

Указанное определение «составов данных» подтверждает устоявшийся подход: обезличенные персональные данные не перестают быть персональными данными.

В силу прямого указания в п. 1 ст. 13.1 Закона № 152-ФЗ в ГИС намеренно не попадут составы данных специальных категорий (за исключением обезличенных сведений о здоровье – их все же придется передать в ГИС) и биометрические данные как наиболее охраняемые категории персональных данных. Полномочия по формированию обезличенных персональных данных в ГИС возложены на Минцифры.

Пользователями ГИС Минцифры смогут стать все государственные и муниципальные органы, подведомственные им организации, а также операторы персональных данных (как физические, так и юридические лица). Но ввиду повышенной защищенности ГИС для некоторых операторов вход будет закрыт: например, иностранным гражданам, юридическим лицам с иностранным контролем, лицам, причастным к экстремизму или терроризму (п. 7 ст. 13.1 Закона № 152-ФЗ).

Но даже если оператор соответствует всем требованиям, и ему предоставили доступ к ГИС, он все равно получит лишь ограниченный набор информации. Так, эти обезличенные персональные данные, которые были собраны операторами в течение последних трех лет до их предоставления в ГИС Минцифры, будут первостепенно предоставлены только пользователям – государственным и муниципальным органам. Остальным пользователям ГИС – гражданам и ординарным юридическим лицам – придется ждать целый год с момента попадания «свежих» персональных данных в ГИС, прежде чем получить к ним доступ.

Использовать обезличенные составы данных можно будет только ограниченными способами – исключительно в периметре ГИС Минцифры, без переноса данных в другие информационные системы. Так, в законе прямо запрещается запись, извлечение, передача (распространение, предоставление, доступ) составов данных из ГИС (п. 10 ст. 13.1 Закона № 152-ФЗ).

И, конечно, установлен запрет на обработку составов данных, если в результате нее может быть причинен вред жизни и здоровью людей, обороне страны и безопасности государства, нарушены права и законные интересы, и прочие охраняемые законом ценности (п. 11 ст. 13.1).

Специальные меры ответственности за нарушение правил обращения с ГИС Минцифры пока что не установлены, но их в целом можно ожидать в ближайшее время, учитывая повышенные требования к безопасности обработки таких составов данных.

Таким образом, изменения в Закона № 152-ФЗ еще на шаг приблизили создание ГИС с обезличенными персональными данными. Полагаем, что подзаконные акты внесут еще большую ясность в регулирование.

Согласно закону операторы персональных данных по требованию Минцифры будут предоставлять имеющиеся у них обезличенные данные в специально созданную государственную информационную систему для формирования составов данных (структурированных и сгруппированных по определенному признаку наборов информации).

Такие составы, по общему правилу, запрещено формировать из «чувствительных» и биометрических персональных данных.

Для формирования составов данных Минцифры направляет операторам требование предоставить обезличенные данные в государственную информационную систему Минцифры.

После получения требования оператор обязан обезличить обрабатываемые им персональные данные и предоставить такие обезличенные данные в ГИС Минцифры.

Далее Минцифры формирует составы данных и предоставляет доступ к ГИС государственным органам и российскому бизнесу (с учетом определенных ограничений). Обработка составов данных пользователями допускается только в рамках ГИС.

Закон в текущей редакции в определенной степени является компромиссом между желанием бизнеса обрабатывать обезличенные персональные данные (т.н. большие данные) и требованиями государства к безопасности данных. Остается ждать и наблюдать за тем, насколько новое регулирование окажется эффективным и даст возможность разрабатывать и развивать передовые технологии (включая технологии обработки больших данных) в России.

Операторы персональных данных давно ожидали изменений в регулировании обезличивания данных, в частности, уточнения и расширения перечня случаев, когда бизнес может обезличивать данные. Между тем Закон не упрощает оборот обезличенных данных: в тексте Закона добавлено только одно дополнительное условие для обезличивания – с целью передачи таких данных в ГИС.

Так, Закон наделяет Минцифры полномочиями по формированию «составов данных», которые представляют собой массив персональных данных, (1) полученных в результате обезличивания, (2) сгруппированных по определенному признаку, (3) последующая обработка которых данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных. При этом запрещено формировать составы из персональных данных специальных категории (кроме данных о состоянии здоровья в определенных случаях) и биометрических персональных данных.

Для формирования составов данных Минцифры сможет направлять операторам персональных данных требования обезличить определенный набор данных и загрузить его в ГИС.

Важно отметить, что в настоящий момент отсутствует какая-либо специальная административная ответственность за несоблюдение указанного требования Минцифры. Представляется, что операторы могут быть привлечены к административной ответственности по ст. 19.7 КоАП РФ (непредставление сведений (информации).

Закон предполагает, что в дальнейшем Правительство определит методы и порядок обезличивания персональных данных. Однако такое регулирование будет применимо только при обезличивании для последующей загрузки в ГИС. При этом закон также наделяет Роскомнадзор полномочиями по установлению методов обезличивания, а также требований к обезличиванию. Ранее методы обезличивания персональных данных были установлены только в отношении обезличивания, производимого государственными и муниципальными органами (Приказ Роскомнадзора от 05.09.2013 № 996). Учитывая это, появление у Роскомнадзора возможности установить отдельные правила обезличивания для бизнеса может помочь снизить правовую неопределенность, а следовательно, и риски операторов персональных данных.

Информация, загружаемая в ГИС, будет доступна ограниченному кругу лиц. Доступ к ней, помимо госорганов, смогут получить российские граждане и юридические лица, соответствующие требованиям, установленным ч. 7 ст. 13.1 Закона о персональных данных. Данные лица смогут обрабатывать составы данных только внутри ГИС. То есть, будут запрещены запись, извлечение и передача таких данных. При этом операторы не будут лишены возможности использовать по своему усмотрению результаты обработки составов данных, кроме предоставления результатов обработки иностранным юридическим лицам, иностранным организациям, иностранным гражданам и лицам без гражданства.