В нашей серии статей мы уже рассмотрели псевдонимизацию и обезличивание персональных данных с разных сторон — терминология и существующие документы, инструменты обработки, псевдонимизация и обезличивание как мера безопасности персональных данных. Теперь мы вплотную подошли к теме методов обезличивания и псевдонимизации персональных данных.
Россия
В России действует Приказ Роскомнадзора №996, который определяет методики и методологии обезличивания персональных данных. В нём описываются четыре метода: метод введения идентификаторов, метод изменения состава или семантики, метод декомпозиции, метод перемешивания. Кроме того приказ устанавливает определённые требования к обезличенным персональным данным, которые получаются в результате применения этих методов.
Самый очевидный и используемый метод обезличивания персональных данных — введение идентификаторов. Согласно приказу, обезличенные по данному методу персональные данные обладают полнотой, структурированностью, но при этом они могут не обладать релевантностью и могут быть недостаточно анонимными. То есть нельзя сказать, что этот метод на 100% обезличивает персональные данные.
Метод изменения состава или семантики, согласно Роскомнадзору, один из самых надёжных методов обезличивания персональных данных с точки зрения безопасности для субъектов, но здесь возникает проблема полноты персональных данных и их семантической целостности.
«Кроме того в Приказе Роскомнадзора даются рекомендации относительно применения различных методов обезличивания персональных данных, говорится, что операторы самостоятельно определяют, какие методы использовать с учётом задач, целей. Для разных задач могут использоваться разные методы. Например, для статистических исследований могут использоваться все четыре метода, а для актуализации персональных данных, ведения учёта субъектов метод состава или семантики уже использоваться вряд ли может, поскольку это повлияет на точность», — пояснила главный юрист компании Double Data Екатерина Калугина в ходе своего выступления на GDPR Day Online 2020.
Европейский союз
В ЕС ещё в 2014 году было выпущено Мнение рабочей группы по техникам псевдонимизации (Opinion 05/2014 on Anonymisation Techniques). В целом все техники, которые предлагаются данным документом, можно поделить на техники рандомизации, обобщения и псевдонимизации. Кроме того там устанавливаются критерии, которые должен учитывать оператор, чтобы оценивать каждый из методов с точки зрения того, насколько псевдонимизированны персональные данные в результате применения данных методик.
Среди этих принципов можно назвать «выделение персональных данных». То есть если после применения того или иного метода псевдонимизации мы можем выделить из этих данных те данные, которые идентифицируют субъекта, то нельзя говорить о полной анонимизации, только о псевдонимизации.
Второе — это «сохранение возможной связи». То есть если сохраняется связь как минимум между двумя атрибутами, принадлежащими субъекту, то по-прежнему нельзя говорить о полной анонимизации, можно говорить только о псевдонимизации персональных данных.
Третье — «риск логического выведения» какой-то информации из обезличенных персональных данных. То есть если мы на основании каких-то двух атрибутов, например, даты рождения и адреса, можем определить конкретное лицо, несмотря на то, что остальные данные у нас, например, заменены на айдишники, то до сих пор это не полная анонимизация, а псевдонимизация.
«И при выборе способа мы должны учитывать опять же масштаб обрабатываемых персональных данных, их категории, основание для обработки, отношения между оператором и субъектом и контекст обработки персональных данных, кроме того доступный уровень технологий», — добавила Екатерина Калугина.
Среди методов, которые перечислены в разъяснении рабочей группы, можно выделить такие как дополнительный шум, дифференциальная приватность, агрегация данных, хэширование и шифрование с помощью специальных ключей. Например, при использовании метода добавления шума наши данные становятся неточными. А при использовании метода агрегации, или обобщения, мы можем указывать, например, не конкретный возраст, а какую-то возрастную группу.
«Во всех методах обезличивания или псевдонимизации персональных данных мы ищем баланс между максимальной анонимностью полученных обезличенных персональных данных и полезностью тех данных, которые мы получаем», — отметила Екатерина Калугина.
Продолжение следует...
.jpg)
.jpg)