Что значит обезличивание персональных данных пример
Обезличивание данных: сохранение баланса между правами граждан и развитием инноваций
waider.list.ru / Depositphotos.com |
Повсеместное использование информационных технологий поднимает вопросы, возникающие в связи с обработкой персональных прав граждан. Особенно остро встает проблема защиты персональных данных при их обработке государством или частными компаниями, в том числе с помощью технологий искусственного интеллекта. Напомним, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ч. 1 ст. 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ). Одним из методов решения проблемы защиты данных является процедура их обезличивания. В соответствии с законом обезличивание персональных данных представляют собой действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (ч. 9 ст. 3 Закона № 152-ФЗ). Как на практике выполняется процедура обезличивания, действительно ли она может обеспечить защиту персональных данных и как соблюдается баланс между интересами граждан, государства и компаний – в нашем материале.
В ходе пленарного заседания, организованного в рамках Петербургского Международного Юридического Форума 9 3/4, информационным партнером которого является компания «Гарант», президент Ассоциации участников рынка больших данных Анна Серебряникова обратила внимание на то, что сейчас тема обезличивания данных в первую очередь должна рассматриваться как механизм защиты прав граждан, а уже после этого – как стимулирование развития бизнес-сектора. Важность темы понимается и на федеральном уровне – государство демонстрирует разнообразие обсуждаемых и принимаемых инициатив по вопросу оборота данных при использовании информационных технологий, например, для развития технологии искусственного интеллекта. В настоящее время процедура обезличивания данных активно применяется, при этом эксперт считает, что ее нужно отрегулировать таким образом, чтобы, с одной стороны, не остановить технический прогресс, с другой – защитить граждан от деобезличивания.
В ходе обсуждения Татьяна Матвеева, начальник управления президента РФ по применению информационных технологий и развития электронной демократии, отметила, что на сегодняшний день метода, который мог бы полностью обезличить данные с сохранением ценности таких данных, не существует. Связано это с тем, что текущий уровень развития информационных технологий при сборе нескольких наборов данных (в том числе, обезличенных) и при последующей математической обработке могут быть опять персонализированы. Таким образом, обезличивание персональных данных выступает методом снижения рисков нарушения прав граждан при обработке персональных данных, например, при их утечке. Но гарантии полной защиты прав граждан не происходит, подчеркивает эксперт.
Напомним, что в РФ процедура по обезличиванию персональных данных регламентирована Приказом Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных». Так, в соответствии с Приказом, к наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:
Также запущен Федеральный проект «Искусственный интеллект», разработанный Минэкономразвития России в целях реализации Национальной стратегии развития искусственного интеллекта на период до 2030 года (утв.Указом Президента Российской Федерации от 10 октября 2019 г. № 490), который уточняет условия использования данных в рамках экспериментальных правовых режимов (ЭПР), так называемых регуляторных песочниц. Подробнее об ЭПР читайте в нашем материале: «Проблемы защиты персональных данных в рамках экспериментальных правовых режимов». Заместитель руководителя Роскомнадзора Милош Вагнер отметил, что введение таких режимов является результатом ответа на запрос бизнеса о желании воспользоваться данными – такие режимы позволяют с учетом послаблений апробировать методики обезличивания.
Важно обратить внимание, что есть различие между обезличенными и анонимизированными данными. Как объясняет Анна Серебряникова, полностью анонимизированные данные представляют собой статистику, которая доступна в свободном доступе и относится к открытым данным. Аналогичной позиции придерживается Татьяна Матвеева, приводя в пример таких данных статистику Росстата и соцопросы – такие данные являются «загрубленными» с точки зрения социально-демографического портрета опрашиваемой аудитории. По мнению Анны Серебряниковой, такие данные не несут той же ценности, как обезличенные, на основании которых можно определить некоторые особенности разных видов социальных групп. Эксперт приводит в пример анализ поведенческих особенностей малых социальных групп, прогнозирование возрастных трендов, измерение настроения людей и определение их отношения к тем или иным явлениям – все эти функции на основании анонимизированных данных невозможны. Другими словами, полностью анонимизированные данные не представляют ценности для бизнеса, а для некоторых областей искусственного интеллекта даже обезличенные данные не представляют ценности – для его обучения требуется опыт, а если такой опыт с пробелами, его обучение будет соответственным, объяснила Анна Серебряникова.
Руслан Ибрагимов, вице-президент по взаимодействию с органами государственной власти и связям с общественностью ПАО «МТС» считает, что основная проблема, связанная с обезличиванием персональных данных, – расхождение в определении того, что представляют собой такие данные. Государственные органы не видят разницы между персональными и обезличенными данными, что создает ряд юридических проблем. На практике такой подход может ужесточать оборот обезличенных персональных данных. При подходе, согласно которому такие данные являются отдельной частью персональных данных, такие данные могут быть свободно пущены в оборот. Эксперт считает, что следует достичь консенсуса при решении вопроса о том, какой из этих подходов должен быть использован в отношении обезличивания персональных данных.
Анна Серебряникова считает, что для обучения искусственного интеллекта нужны более широкие дата-сеты, включающие такие данные, которые будут соблюдать баланс – с одной стороны, не нарушать права субъектов персональных данных, с другой – предоставлять для бизнеса максимально полные данные для развития технологий. Обработка персональных данных в любом случае сопряжена с потенциальными рисками для субъектов, при этом такие риски могут возникать не только рамках исполнения бизнес-задач, но и при других неправомерных действиях, резюмировала Татьяна Матвеева. В связи с этим решения по условиям обработки и обезличиванию данных следует принимать и оценивать через призму защиты прав граждан. Помимо нормативного государственного регулирования разработка отраслевых стандартов и кодексов по работе с обезличенными данными позволит повысить внутреннюю цифровую культуру компаний, работающих с данными, а также увеличить уровень доверия граждан, заключила эксперт. С коллегой согласился Милош Вагнер – регулирование должно осуществляться как со стороны надзорного органа (в соответствии со ст. 23 Закона № 152-ФЗ), так и со стороны операторов (в соответствии со ст. 18.1 Закона № 152-ФЗ), то есть должен присутствовать также внутренний контроль за соблюдением положений законодательства, считает эксперт.
1 С текстом законопроекта № 992331-7 О внесении изменений в Федеральный закон «О персональных данных» (в части уточнения порядка обработки персональных данных) и материалами к нему можно ознакомиться на официальном сайте Госдумы.
Обезличивание персональных данных
Одним из действий, которые входят в понятие обработки, является обезличивание персональных данных. На это прямо указывает статья 3 Закона о персональных данных от 27.07.2006 г. № 152-ФЗ. Поэтому все принципы и правила обработки персональных данных напрямую действуют и при их обезличивании. Что это такое и как применять процедуру? Об этом мы расскажем ниже, а дополнительные вопросы можно задать дежурному юристу сайта.
Что такое обезличивание персональных данных
Категории персональных данных свидетельствуют, что такими данными являются не только сведения, которые непосредственно связаны с человеком. Но и относящиеся к нему косвенно. Закон во многих случаях требует получать согласие на обработку персональных данных. Процедура обезличивания — одна из мер защиты персональных данных.
Согласно ст. 3 Закона, обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Проще говоря, сокрытие конкретных сведений принадлежности к субъекту. Ключ к обезличенным данным может получить ограниченное количество людей, имеющих доступ к персональным данным. Например, на своих официальных сайтах суд размещает вынесенные решения. В идеале Вы не найдете в открытых источниках фамилии, имена, отчества истцов, свидетелей, ответчика. Это и есть обезличивание. Без дополнительной информации получить информацию, к кому относится данный документ, невозможно.
По общему правилу по достижении целей обработки персональных данных, они подлежат удалению или обезличиванию. Таким образом, это действие является одним из этапов завершения процедуры работы с персональными данными.
Кстати, обработка информации в исследовательских, статистических целях допускается без получения согласия субъекта только при условии обезличивания.
Законодательное регулирование процедуры
Помимо Закон о персональных данных, есть ряд подзаконных нормативных правовых актов. Во-первых, это постановление Правительства РФ от 21.03.2012 г. № 211. Его применяют органы государственной власти и муниципальные органы. Постановление предусматривает разработку локальных актов (правила работы с обезличенными данными, перечень должностей, ответственных за обезличивание.
Основным, конечно, является приказ Роскомнадзора от 05.09.2013 г. № 966, который регламентирует требования и методы по обезличиванию персональных данных. Они касаются данных, которые обрабатываются в информационных системах, в т.ч. в рамках реализации федеральных программ.
Если какой-то орган пользуется Единой информационной базой, то есть и установленный порядок обезличивания сведений. Например, в сфере здравоохранения действует приказ Минздрава от 14.06.2018 г. № 341н.
Не всякое сокрытие составляющих персональных данных Роскомнадзор (а он надзирает в этой сфере) станет обезличиванием. Основным свойством обезличенной информации является анонимность: без дополнительной информации нельзя соотнести обезличенную к субъекту персональных данных.
Роскомнадзор рекомендует такие методы обезличивания информации, как ввод идентификатора (часть сведений заменяется какой-то меткой), изменение состава или семантики слов и т.п.
Для чего нужно обезличивание данных частным компаниям
Компании обезличить данные может помочь, когда хранение данных невозможно организовать правильно. Например, не хочется хранить информацию в информационных системах иных операторов, прошедших государственную экспертизу. А обезличивание позволит хранить данные. А значит, и сократить собственные расходы.
Руководителю организации при обезличивании персональных данных рекомендуем придерживаться политики правильного кадрового обеспечения — прописать соответствующие методы и способы в положении о персональных данных, ограничить допуск и т.п.
Что это – обезличивание персональных данных?
Обезличивание персональных данных – это один из методов их защиты. В соответствии с действующим законодательством персональную информацию людей, в общем случае, нельзя распространять без их согласия. В связи с этим в некоторых случаях государственные и муниципальные органы обязаны производить обезличивание персональных данных. Если сказать простым языком, это сокрытие перссведений, содержащихся в документах, размещаемых властями в открытом доступе. Подробнее об этом читайте в материале.
Пример обезличивания персональных данных
Определение всегда остается теоретической выкладкой, каким бы понятным оно не казалось. Наиболее наглядно сущность обезличивания его может проиллюстрировать пример. Обезличивание персональных данных – это действия, в результате которых из судебного решения, к примеру, изымаются непременно содержащиеся в нем персональные данные. Только после этого обезличенная копия судебного акта может быть размещена в свободном доступе (п. 3 ст. 15 Федерального закона от 22.12.2008 № 262-ФЗ).
Таким образом, обезличивание персональных данных – это действия, в результате которых становится невозможным определить принадлежность опубликованных данных конкретному человеку. По крайнем мере, нельзя этого сделать без дополнительной информации (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).
Как это делается
Чтобы поставить работу по обезличиванию данных, нужно выполнить ряд соответствующих действий. В частности, нужно утвердить (подп. «б» п. 1 перечня, утв. постановлением Правительства от 21.03.2012 № 211):
Важно понимать, что существуют специальные требования и способы обезличивания данных, которые обрабатываются в информационных системах. Они перечислены в приказе Роскомнадзора от 05.09.2013 № 996.
Однако кроме защитных функций обезличивание персональных данных – это действия направленные на последующую возможность работы с полученными сведениями. То есть обезличивание не должно повлиять на возможность обработки. Иными словами изменяемая информация должна сохранить (п. 3, 4 требований и методов, утв. приказом Роскомнадзора от 05.09.2013 № 996):
Признак | Описание |
Полнота | Сохранение всей первоначальной информации до обезличивания. |
Структурированность | Сохранение структурных связей между данными человека. |
Применимость | Возможность обработки. |
Анонимность | Невозможность идентификации первоначальных данных. |
В завершение перечислим применяющиеся на практике из-за своего удобства и функциональности методы обезличивания (п. 10-15 требований и методов, утв. приказом Роскомнадзора от 05.09.2013 № 996):
Обезличивание персональных данных в России и в Европе: когда данные перестают быть персональными?
Обезличивание персональных данных в России и в Европе: когда данные перестают быть персональными?
Федеральным законом «О персональных данных» № 152-ФЗ (далее – ФЗ-152) предусмотрена категория «обезличивание персональных данных».
В соответствии со ст. 3 ФЗ-152 «обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных».
Ввиду методической общности европейского и отечественного правового регулирования персональных данных представляется целесообразным изучить понимание обезличивания в европейском законодательстве и практике.
В европейских юрисдикциях (в настоящем исследовании рассмотрены Европейский Союз и Соединенное Королевство Великобритании и Северной Ирландии) понятие «обезличивание» не используется. Вместе с тем, для обозначения данных, отделяемых от идентификаторов субъекта, существуют категории «анонимизация» и «псевдонимизация».
I. Анонимизация и псевдонимизация в европейском законодательстве.
Понятию «обезличивание» в значении, принятом в Российской Федерации, соответствует псевдонимизация в значении GDPR.
Согласно параграфу 5 ст. 4 GDPR «псевдонимизация» — это обработка персональных данных таким образом, что их больше невозможно отнести к конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно, и в отношении нее приняты технические и организационные меры, предотвращающие ее отнесение идентифицированному или идентифицируемому физическому лицу.
В соответствии с преамбулой 26 GDPR, принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица.
Персональные данные, подвергнутые псевдонимизации, которые могут быть соотнесены с физическим лицом при наличии дополнительной информации должны рассматриваться в качестве информации об идентифицируемом лице, т.е. продолжают оставаться персональными данными и подчиняться всем соответствующим нормам.
На это указывает и преамбула 28, согласно которой, использование «псевдонимизации» не подразумевает отказ от каких-либо иных мер защиты персональных данных. Применение псевдонимизации к персональным данным может снизить риски для соответствующих субъектов данных и помочь контролёрам и процессорам данных выполнить свои обязанности по защите персональных данных.
В соответствии с преамбулой 29, для того, чтобы стимулировать применение псевдонимизации при обработке персональных данных, допускается псевдонимизация, обработка и общий анализ псевдонимизированных данных одним и тем же контролёром, если этот контролёр принял технические и организационные меры, необходимые для того, чтобы обеспечить исполнение настоящего Регламента в отношении соответствующей обработки, а также чтобы дополнительная информация, позволяющая отнести персональные данные к определённым субъектом данных хранилась отдельно.
Таким образом, псевдонимизация повышает уровень защиты персональных данных, однако псевдонимизированные данные продолжают считаться персональными, подчиняются правовому режиму защиты персональных данных и требуют соответствующей защиты. Для того, чтобы данные считались псевдонимизированными, дополнительная информация, позволяющая отнести их к конкретному субъекту, должна, как минимум, храниться отдельно, как максимум, может быть доступна при использовании сторонних ресурсов.
В отличие от псевдонимизации, которая повышает защиту данных, но по-прежнему оставляет их персональными, анонимизация делает данные анонимными, т.е. не персональными.
В соответствии с преамбулой 26 GDPR, принципы защиты персональных данных не применяются в отношении анонимной информации, а именно информации, которая не относится к идентифицированному или идентифицируемому физическому лицу, а также в отношении персональных данных, предоставленных достаточно анонимно, чтобы субъект данных не мог быть идентифицированным.
GDPR не применяется в отношении обработки анонимной информации, в том числе в статистических или исследовательских целях.
II. Официальные разъяснения, позиции и методические руководства.
Общеевропейские и национальные надзорные органы являются ключевым элементом европейской системы защиты прав субъектов персональных данных. Разъяснения, позиции и методические руководства надзорных органов обеспечивают единообразное понимание норм права формирование доступной, понятной, предсказуемой, последовательной и устойчивой правоприменительной практики.
Соответствующая практика сформирована и в отношении анонимизации и псевдонимизации данных.
Грань между псевдонимизацией и анонимизацией пролегает там, где субъект данных перестает быть идентифицируемым.
Позиция о концепции персональных данных (Opinion 4/2007 on the concept of personal data) WP29 от 20.06.2007 (Далее по тексту – Opinion 4/2007) [7] определяет лицо как идентифицируемое, если оно еще не идентифицировано, но его возможно идентифицировать прямо, например, по имени (если оно позволяет выделить субъекта из группы) или косвенно — по номеру паспорта, автомобиля, телефона или комбинации существенных критериев, позволяющих выделить субъекта из группы (это может быть возраст, место проживания, внешний вид и т.д.).
Одна лишь гипотетическая вероятность идентификации субъекта не делает информацию персональными данными. Если возможность идентифицировать субъекта отсутствует или ничтожно мала, данные не считаются персональными.
В то же время, вполне очевидно, что идентификация по номерам телефонов, автомобилей, банковских карт возможна при сопоставлении с другой базой данных, например, в рамках межведомственного обмена данными, получения данных от сотовых контролеров, с дорожных камер видеонаблюдения, либо в рамках интеграции систем. Такая идентификация является не просто гипотетической, а вполне реальной.
В целях установления того, является ли физическое лицо идентифицируемым, следует принять во внимание все средства, с разумной вероятностью используемые контролёром или иным лицом, для того чтобы прямо или косвенно идентифицировать физическое лицо. При определении того, используются ли средства с разумной вероятностью для идентификации физического лица, следует обратить внимание на все объективные факторы, такие как затраты и время, необходимые для идентификации, с учетом имеющихся на момент обработки технологий и технологических разработок.
Реальность идентификации субъекта зависит от конкретного контекста. Для оценки субъекта как идентифицируемого необходимо определить какие разумные усилия контролер или любое третье лицо должны будут приложить: затраты денежных средств на такие усилия; временные и человеческие ресурсы; наличие технологии, позволяющей выполнить идентификацию без особых усилий и затрат; подразумеваемая (а не декларируемая цель) и построение обработки; какие выгоды может извлечь контролер или любое другое третье лицо; продолжительность хранения данных и потенциальное развитие технологий для идентификации в этот период.
WP29 в Opinion 05/2014 подчеркивает: «В свете Директивы 95/46/EC и других соответствующих правовых документов ЕС, анонимизация является результатом обработки персональных данных с целью необратимого предотвращения идентификации. При этом контролеры данных должны учитывать ряд элементов, принимая во внимание все средства, которые «с большой долей вероятности» могут быть использованы для идентификации (как контролером, так и любой третьей стороной).
WP29 предлагает описание основных методов анонимизации в Opinion 05/2014. К числу основных групп методов анонимизации WP29 относит рандомизацию и обобщение (генерализацию). В Opinion 05/2014 объясняются их принципы, их сильные и слабые стороны, а также общие ошибки и риски, связанные с использованием каждого метода, приводятся примеры успешных практик (Приложение № 1).
Opinion 05/2014 оценивает надежность каждого метода, на основе трех критериев:
(i) сохраняется ли возможность выделения индивида из множества других лиц (‘singling out’);
(ii) сохраняется ли возможность установить связь между данными, касающихся отдельного лица (‘linkability’);
(iii) может ли информация быть объектом успешной «логической атаки» (‘inference’).
Периодическая оценка рисков должна включать обе категории таких рисков:
— риск повторной идентификации;
— риски, связанные с использованием анонимизированных данных как таковых, без повторной идентификации.
Поскольку технологии анонимизации и обратной идентификации составляют область интенсивных исследований и быстрого развития технологий, невозможно дать точных сценариев или набора мер, которые гарантированно обеспечили бы проведение анонимизации. Каждый случай должен рассматриваться индивидуально с учетом контекста.
Во многих случаях даже анонимизированные наборы данных представляют остаточные риски для субъектов.
Британский документ принят до вступления в силу GDPR на основе Data Protection Act 1998, замененного ныне действующим Data Protection Act 2018.
ICO отмечает, что несомненно, что 100% анонимизация наиболее желательна, но Data Protection Act 1998 устанавливает более мягкий тест.
Представляется, что в данном решении Палаты Лордов, которое является чрезвычайно сложным и демонстрирует расхождение мнений судей по ряду вопросов (фактически, из пяти судей, четверо дали concurring judgments с различной аргументацией и объяснением концепта «персональные данные»), можно уловить отражение различий в понимании концепта «персональные данные» в Великобритании по отношению к континентальной Европе.
Data Protection Act 2018 прямо имплементирует положения GDPR в национальную правовую систему Соединенного Королевства и содержит множество прямых отсылок к GDPR, следовательно, общие критерии применимого в UK подхода аналогичны вышеизложенным. Упомянутые судебные решения в части их ratio de с idendi также остается действующим источником права.
Вместе с тем в кодексе отмечается, что не все категории и наборы персональных данных, в принципе, могут быть анонимизированы.
Британский кодекс содержит множество примеров, пояснений, инструкций и разбирает различные ситуации.
Ирландский Guidance Note: Guidance on Anonymisation and Pseudonymisation подчеркивает, что, если первоначальные данные не удалены и могут быть использованы для идентификации лиц, чьи данные анонимизированы, такие данные не являются анонимными и рассматриваются как псевдонимизированные, и, следовательно, продолжают считаться персональными.
Развивая подход WP29 (и неоднократно цитируя упомянутый Opinion), Ирландский регулятор поясняет значение термина «идентификатор»: «информация, тесно связанная с отдельным индивидом, которая может быть использована для его выделения. Такие идентификаторы могут быть прямыми (“direct”), как имя или изображение, или косвенными (“indirect”), как номер телефона, адрес электронной почты или другие уникальные идентификаторы, служащие для определения контролером субъекта персональных данных». Удаление прямых идентификаторов не делает набор данных анонимными. Данные, которые не являются идентификаторами, могут быть использованы для установления контекста, который может привести к идентификации или выделению человека из множества других лиц, например серия данных о местоположении или покупках или история поисковых запросов в интернете. Ирландский надзорный орган, как и их коллеги в Брюсселе и Уилмслоу, во всех случаях подчеркивает важность контекста и относительность определений персональных данных и анонимизации.
Как и WP29, ирландский регулятор называет три ключевых группы рисков, которые подлежат оценке:
Ирландский DPA также рассматривает тест, по содержанию близкий английскому ‘motivated intruder’ test’.
Как и WP29, ирландский орган называет две основные группы методов анонимизации: рандомизация и генерализация. В числе методов, повышающих защищенность данных, но не делающих их анонимными, Комиссия называет псевдонимизацию, а также «маскировку» данных.
В отличие от труднопонимаемого Opinion 05/2014, ирландский гайданс не перегружен математической и технической информацией, деталями и примерами, является простым и удобным для восприятия.
Как поясняется в документе, «технологические разработки последних лет неуклонно повышают спрос на качественные данные. В связи с этим государственные и частные организации рассматривают анонимизацию как средство обмена данными без ущерба для основных прав человека. Однако наряду с ростом популярности анонимизации получили широкое распространение некоторые заблуждения, связанные с ней.
Согласно документу, топ-10 заблуждений в отношении анонимизации составляют:
В действительности, это различные понятия. И это было показано в настоящем исследовании. Псевдонимизация помогает защитить персональные данные, но они остаются персональными, анонимизация делает данные анонимными, т.е. не персональными.
В действительности, шифрование это не анонимизация, но оно может быть мощным инструментом для псевдонимизации. Любая зашифрованная информация может быть расшифрована. Ключи для расшифровки будут являться дополнительной информацией, которая позволяет идентифицировать субъекта персональных данных. Даже если ключи шифрования уничтожаются или «неизвестны», никто не может дать гарантии, что информация никогда не будет расшифрована.
В действительности, далеко не во всех случаях практически возможно снизить риск обратной идентификации субъекта до приемлемого уровня и при этом сохранить полезные свойства набора данных. Анонимизация – это процесс, который пытается найти баланс между сокращением риска обратной идентификации и сохранением полезных свойств набора данных. Контекст и природа данных могут быть таковы, что снижение вероятности обратной идентификации до приемлемого уровня вообще будет недостижимо (например, если данные касаются малого, ограниченного и известного числа субъектов, например, депутатов Европарламента).
В действительности, существует риск, что некоторые процессы анонимизации могут стать обратимыми в будущем. Обстоятельства могут измениться со временем, развитие новых технологий и повышение доступности дополнительных источников информации могут поставить под угрозу предшествующие процессы анонимизации.
В действительности, процесс анонимизации и метод, которым он реализован, оказывает прямое воздействие на вероятность риска обратной идентификации. Цель надежной анонимизации состоит в том, чтобы сократить риск обратной идентификации ниже определенного порога, который зависит от многих обстоятельств, таких как возможные последствия от обратной идентификации для субъекта, степень заинтересованности, мотив и средства, доступные потенциальному злоумышленнику. Хотя 100% анонимизация является наиболее желаемой, во многих случаях она недостижима, и остаточные риски обратной идентификации также должны приниматься во внимание и оцениваться.
В действительности, степень анонимизации можно оценить и измерить. Данная оценка в отношении одного и того же набора данных может меняться со временем, т.к. меняется контекст и технологии.
В действительности, инструменты автоматизации могут быть использованы в процессе анонимизации, однако, учитывая важность контекста, весь процесс и его результаты должны оцениваться человеком.
В действительности, надлежаще проведенная анонимизация сохраняет полезность набора данных для определенной цели. Процесс анонимизации должен учитывать цель, для которой планируется использовать анонимизированные данные. Принцип «минимизации данных» требует определения цели обработки и использования данных, в т.ч. после их анонимизации. Если выяснится, что анонимизированные данные не обеспечивают достижения определенной цели, контролер данных может выбрать, достичь цели путем обработки псевдонимизированных персональных данных, соблюдая GDPR, или отказаться от обработки и достижения соответствующей цели.
В действительности, процесс анонимизации должен быть построен в зависимости от характера, объема, контекста и целей обработки, а также вероятных рисков серьезности возможных последствий обратной идентификации для прав и свобод физических лиц. Не существует двух полностью совпадающих контекстов. В каждом случае, для каждой организации и для каждого набора данных контекст будет различным.
В действительности, персональные данные сами по себе представляют ценность для самих субъектов и для третьих сторон. Обратная идентификация может иметь серьезные последствия для прав и свобод субъектов.
Выводы:
1. В европейском законодательстве и практике понятия «обезличивание» и «обезличенные данные» отсутствует.
2. Российскому концепту «обезличенные данные» соответствует понятие «псевдонимизированные данные», соответственно, «обезличивание» — это «псевдонимизация».
3. Псевдонимизированные данные считаются персональными данными, составляют объект регулирования законодательства о защите персональных данных и требуют соответствующей защиты. Псевдонимизация не делает данные анонимными, но может рассматриваться в качестве одной из мер защиты данных, которая должна применяться в совокупности с другими.
4. Понятие «анонимизированные данные» не соответствует российскому понятию «обезличенные данные» и не имеет прямого аналога в отечественном законодательстве.
5. Анонимизация делает данные анонимными, т.е. такими, которые невозможно отнести к определенному или определяемому физическому лицу, даже используя дополнительные базы данных. Следовательно, анонимизированные данные перестают считаться персональными и выходят из сферы регулирования законодательства о защите персональных данных.
6. Анонимность данных является динамичной категорией и определяется каждый раз в конкретном случае с учетом контекста, характера данных, целей обработки, доступных технологий и ресурсов, потенциальных рисков и т.д. Данные могут перестать быть анонимными со временем, перейдя в категорию псевдонимизированных. Утвержденного перечня методов анонимизации также не существует. Конкретные используемые методы также подлежат оценке. Для проведения соответствующей оценки существуют различные критерии и тесты, описания методов и примеров.
7. Оценка должна проводиться периодически с учетом изменения контекста, круга доступной информации, развития технологий и их доступности.
8. Основой оценки анонимности является невозможность обратной идентификации с учетом разумного использования доступной информации и технических средств. Тесты и критерии оценки включают моделирование действий потенциального злоумышленника три основных критерия:
— устойчивость к логическим атакам.
10. Обязанность оценки лежит на контролёре данных. В случае утечки, иного нарушения, жалобы субъекта персональных данных, возникновения спорной ситуации, контролер должен быть способен доказать факт проведения оценки и ее качество. Национальные надзорные органы имеют возможность проверить такую оценку и ее качество.
11. Проблематика, связанная с анонимизацией и псевдонимизацией данных решается на основе гибких критериев и балансировочных тестов. Это является общей чертой правового регулирования защиты данных в европейских юрисдикциях. Ключевым элементом данной системы, обеспечивающим ее функционирование, являются сильные и независимые надзорные органы.
[20] Agencia Española Protección de Dados – Испанский надзорный орган по защите персональных данных.