На прошедшей недавно конференции GDPR Day Online 2020 главный юрист компании Double Data Екатерина Калугина рассказала про использование псевдонимизации как инструмента безопасности и способа легитимной обработки персональных данных.
Она также сравнила европейское и российское законодательства по данному вопросу и дала рекомендации бизнесу по использованию псевдонимизации. В первой части мы остановимся на терминологии и кратко рассмотрим имеющиеся в России и ЕС законы, а в последующих частях уже более подробно остановимся на методах псевдонимизации и обезличивания и других темах.
В конце апреля 2020 года в России был принят 123-ФЗ, в соотвествии с которым устанавливается экспериментальный режим для компаний, разрабатывающих и применяющих технологии ИИ. Также в нём говорится о внесении изменений в закон «О персональных данных», например, вводятся новые основания для обработки персональных данных, в том числе обработка персональных данных о здоровье с обязательным обезличиванием в рамках настоящего закона.
«В то же время существующие в России методологии обезличивания устарели и до сих пор не обновлены, несмотря на то, что в течение двух лет рассматривается вопрос о внесении изменений в закон о персональных данных, связанных с разделением обезличивания, анонимизации, обезличенных анонимных данных. Поэтому крайне интересно узнать опыт Европейского союза и понять, какие возможности предоставляет псевдонимизация бизнесу, обществу и государству», — начала Екатерина Калугина.
Трудности терминологии
Термин «псевдонимизация» используется в законодательстве Европейского союза, в частности в GDPR. Под псевдонимизацией понимается обработка персональных данных таким образом, что их более невозможно отнести к конкретному субъекту без использования дополнительной информации, при условии, что такая информация хранится отдельно и приняты технические и организационные меры, предотвращающие её отнесение к идентифицируемому лицу. «Очень важно, что невозможность отнесения данной информации к субъекту связана с понятием разумности — это транслируется и в GDPR, и в Конвенции 108 (Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера). И под разумностью понимаются уровень развития технологий, их стоимость, время, которое понадобится оператору, контроллеру или третьим лицам для того, чтобы доидентицифировать субъекта», — пояснила Екатерина Калугина.
Понятие «псевдонимизация» очень схоже с понятием «обезличивание персональных данных», которое существует в российском ФЗ-152. В нашем законе обезличивание определяется как действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. И невозможность отнесения данной информации к субъекту также может определяться с учётом разумных мер: уровня развития технологий и реальной возможности отнесения информации к идентифицируемому субъекту.
Как видно, псевдонимизация и обезличивание практически тождественные понятия. Однако помимо них существует ещё и третий термин — «анонимизация». Под анонимизацией персональных данных понимаются действия, в результате которых происходит безвозвратная утрата способности данных быть связанными с конкретным субъектом даже если будет использована какая-то дополнительная информация. То есть субъекта в принципе становится невозможно идентифицировать с помощью всех вероятных и разумных средств. «Понятие анонимизации приводится как в Конвенции 108, так и в Мнении рабочей группы, которое было выпущено ещё в 2014 году о технологиях анонимизации (Opinion 05/2014 on Anonymisation Techniques). И в данном случае можно сказать, что упущением российского законодательства ещё является и то, что в законе ФЗ-152 это понятие отсутствует», — добавила Екатерина Калугина.
Российское законодательство
В России регулирование обезличивания персональных данных осуществляется на уровне ФЗ-152. Кроме того существует специальный Приказ Роскомнадзора от 5.09.2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных». Но нюанс заключается в том, что данный Приказ был выпущен для органов государственной власти, и большой вопрос — могут ли его использовать коммерческие организации. «Так же с момента выхода этот документы не дорабатывался и описанные в нём методики устарели», — рассказала главный юрист компании Double Data Екатерины Калугиной в ходе своего выступления на конференции GDPR Day Online 2020.
Ещё обезличивание упоминается в различных других нормативных актах, в частности в Приказе Минздрава России от 14.06.2018 №341н «Об утверждении Порядка обезличивания сведений о лицах, которым оказывается медицинская помощь...». Кроме того обезличивание персональных данных упоминается в ФЗ-123 «О проведении эксперимента по установлению специального регулирования... для обработки и внедрения технологий искусственного интеллекта в городе Москве».
Законодательство Европейского союза
В ЕС основной документ, в котором упоминается псевдонимизация — это GDPR. Но помимо этого псевдонимизация упоминается и в различных мнениях, пояснениях, гайдлайнах, в частности в Мнении рабочей группы от 2014 года (Opinion 05/2014 on Anonymisation Techniques) довольно подробно проработаны методологии псевдонимизации и анонимизации. Кроме того псевдонимизация и отдельные её методики описываются в различных стандартах, например, в Стандартах ISO, ENISA. «Также в октябре 2019 года была выпущена очень подробная инструкция совместно с испанским надзорным органом (Spanish Data Protection Authority), AEPD и с Еuropean Data Protection Supervisor (EDPS). Данная инструкция очень подробно описывает методологии хэширования и на неё тоже есть смысл обратить внимание, если вы используете методы псевдонимизации», — добавила Екатерина Калугина.
Big Data и инновации
По словам эксперта, актуальность псевдонимизации связана с уровнем развития технологий. И в настоящее время активно развиваются технологии, относящиеся к ИИ, исследованиям в области здравоохранения, блокчейну, Data Science. Все они используют так или иначе огромные объёмы информации и различные технологии их анализа. Проблема заключается в том, что не всегда для обработки больших объёмов данных операторы имеют возможность соблюдать все требования, которые предъявляет GDPR или ФЗ-152. Это связано с характеристиками больших объёмов данных и теми задачами, которые ставит перед собой исследователь.
Вообще исследования, особенно в области науки и здравоохранения, являются крайне важными для общества. Поэтому необходимы инструменты, которые позволили бы обрабатывать большие объёмы информации и при этом установить легитимный режим обработки больших объёмов информации, а также сделать льготный режим, позволяющий без каких-либо препятствий обрабатывать большой объём данных для действительно полезных целей: для целей исследования, статистики, разработки различных Big Data-решений, разработки различных технологий для мониторинга и диагностики заболеваний, определения маркеров различных заболеваний. «И GDPR на самом деле предоставляет инструменты, которые позволяют обрабатывать большие объёмы данных для этих целей. Поэтому, на мой взгляд, в целом можно сказать, что GDPR отвечает интересам развития инноваций», — заключила Екатерина Калугина.
Продолжение следует...
.jpg)