Компании предложили Роскомнадзору внести коррективы в проект приказа о методах обезличивания персональных данных, опубликованный 16 апреля. В числе ключевых инициатив — отказ от закрытого перечня методов и введение чётких критериев оценки их эффективности и безопасности. Об этом говорится в отзывах участников рынка, с которыми ознакомился Forbes.
В текущей редакции приказа предусмотрены стандартные способы обработки данных: замена идентификаторов, перемешивание, изменение семантики и удаление персональных признаков. Однако представители бизнеса указывают на отсутствие в документе критериев, позволяющих оценить, насколько успешно обезличена информация и каков риск повторной идентификации личности.
Российский союз промышленников и предпринимателей (РСПП) подчёркивает: отсутствие чётких методик верификации может обернуться тем, что используемые компаниями технологии обезличивания будут признаны формально не соответствующими требованиям.
Эксперты АНО «Цифровая экономика» предлагают использовать открытый подход — включать в перечень не фиксированный набор, а категорию методов с возможностью пополнения в зависимости от развития технологий. Похожую позицию заняла Ассоциация больших данных (в её состав входят «Сбер», «Яндекс», VK и другие участники отрасли): по их мнению, выбор метода обезличивания должен сопровождаться обязательной оценкой риска деанонимизации, адаптированной под конкретного владельца данных и особенности применения.
Роскомнадзор, в свою очередь, заявляет, что открытый список методов может создать юридическую неопределённость. Тем не менее, регулятор готов расширять перечень, если методы докажут свою безопасность.
По словам Карена Казаряна, директора Института исследований интернета, принятие приказа, несмотря на спорные моменты, поможет вывести корпоративные практики обезличивания из «серой зоны». Сейчас компании фактически опираются на инструкции, разработанные для госструктур, что создает правовую неопределенность.
Артём Дмитриев, управляющий партнёр консалтинговой компании Comply, отмечает, что предложенная Роскомнадзором методика в значительной степени повторяет принятый ещё в 2013 году приказ для органов власти. Он подчёркивает, что в документе по-прежнему отсутствуют современные методы, включая дифференциальную приватность — математический подход, активно применяемый в аналитике больших данных за рубежом и уже зарекомендовавший себя как один из наиболее надёжных механизмов защиты персональной информации.
Таким образом, бизнес настаивает на том, чтобы регулятор признал технологическое многообразие и адаптировал требования к темпам развития цифровой среды. Без этого компании рискуют оставаться в правовом вакууме, ограниченном устаревшими нормами.