Finversia-TV
×

Персональные данные как чемодан без ручки A A= A+

Глобализация коммуникаций, улучшение качества сетей интернет, а также наличие мобильных коммуникационных устройств стимулирует процессы сбора информации, идентифицирующих граждан.

Драйверами сбора персональных данных стали многочисленные проекты «умных городов» и новый проект «Цифровой профиль гражданина», инициированный Минкомсвязи. Какова правильная стратегия защиты ПД граждан? Нужна ли сегментация собираемых ПД по типам и степени их защиты, какова разумная степень открытости данных, находящихся в ГИС? Каковы приемы деидентификации данных, затрудняющие их компрометацию злоумышленниками?

Закрыть нельзя открыть

В разных юрисдикциях существуют различные способы классификации и обработки того, что в целом принято называть «персональными данными». В большинстве случаев персональными данными (или personally identifying information, PII) считаются имена и фамилии людей, даты их рождения, места регистрации, адреса электронной почты, налоговые идентификаторы (ИНН), иная подобная информация. Sensitive personal information (SPI) или конфиденциальные персональные данные представляют классы информации, примерами которых являются медицинские записи и истории болезней, биометрические данные человека, личная финансовая информация.

Единого взгляда на классификацию и уровни защиты ПД в мире нет. Так, в США федеральные законы и законы штатов относят к персонально идентифицирующей информации целиком всю личную информацию (PII+SPI), в странах ЕС «Общее положение о защите данных» (GPDR) также защищает все ПД (EU 2016), при этом число идентифицирующей информации значительно расширено. Например, к ПД отнесены и онлайн-идентификаторы типа IP-адресов, в тех случаях, когда «легко можно установить владельца». Разделения ПД по типам нет и в отечественном законе 152-ФЗ «О персональных данных».

Тем не менее, разделение собираемых ПД по степени их «секретности» представляется разумным, поскольку, с одной стороны, позволит снизить стоимость их защиты, с другой, дает возможность оптимизировать функционирование государственных сервисов и структур за счет целенаправленного использования важной информации о перемещениях, предпочтениях и иной общей информации о жителях – в их же общих интересах. Кроме того, сегментацией ПД снимается известная коллизия, состоящая в том, что, с одной стороны ПД надо защищать, с другой, необходима идентификация субъекта, которая невозможна без использования идентифицирующих ПД.

Человек без имени

Инструментом расширения доступа к идентифицирующей граждан информации служит деидентификация ПД. Деидентификация позволяет сделать наборы данных, содержащие личные или конфиденциальные данные, открытыми. По своей сути, деидентификация состоит в удалении информации, которую можно использовать для идентификации конкретных личностей, наборы ПД при этом анонимизируются. Отметим, что анонимизации порой недостаточно, чтобы превратить набор данных действительно в анонимный. Так, практика показывает, что многомерные наборы данных (данные , имеющие множество столбцов, атрибутов и функций) после анонимизации могут быть объединены с другими аналогичными наборами данных уже для повторной идентификации владельцев ПД.

Различают следующие методы анонимизации данных:

1. Метод исключения – когда данные анонимизируются путем полного удаления (стирания) полей, содержащих идентифицирующую информацию

2. Метод абстрагирования – в этом случае числовые ПД представляются как часть диапазона, вместо указания точного значения параметра ( например, возраст человека, указывается как принадлежащий диапазону «20-35» лет)

3. Метод агрегации: при этом подходе происходит кластеризация данных в общие величины и параметры (например, величина заработной платы представляется для определенной категорий лиц, а не для конкретных людей)

4. Псевдонимизация: вариант анонимизации, при котором ПД, которые могут использоваться для идентификации личности , заменяются сгенерированными идентификаторами (произвольными уникальными идентификаторами, связанными с исходными идентификаторами). В некоторых случаях в этих целях могут использоваться параметры носимых мобильных устройств – компьютеров, телефонов

Отметим, что действующая нормативно-правовая база в части закона 152-ФЗ «О персональных данных» не предусматривает никаких возможностей и четких вариантов использования деидентификации ПД граждан, что является сегодня упущением. Сбор идентифицирующей информации о гражданах в рамках проектов умного города по существу не имеет четкого законодательного обоснования, а сам закон 152-ФЗ нуждается в коррекции.

Корпоратизация данных

Риски компрометации всех видов ПД возрастают, если ПД агрегируются в базах данных частных компаний, выполняющих работы по контрактам с административными и государственными органами. Во всем мире, не только у нас, идет процесс так называемой «корпоратизации больших данных». Уже сегодня значительный объем данных производится коммерческими компаниями, для которых эти данные стали товаром. Даже ОФД, аккредитованные в ФНС России, готовы предоставлять сведения о фискальных чеках и интенсивности продаж брендов и товаров в привязке к их GIS-таргетингу. С другой стороны, частные компании, конечно, не обязаны бесплатно распространять данные, собираемые и обрабатываемыми во взаимодействии с госструктурами или иными частными компаниями. В идеале обмен данными с частными организациями, очевидно, должен основываться на взаимном доверии: доверии со стороны административных органов к тому, что частные корпорации не будут злоупотреблять и подвергать риску отдельных лиц или национальные интересы. С другой стороны, и частные компании должны иметь гарантии того, что их коммерческие интересы не будут подорваны раскрытием и разглашением коммерческих материалов. Каковы при этом процедуры взаимодействия и должны ли быть все собираемые по заказу госсорганов данные открытыми? Должны ли они допускать обязательное и, возможно, многократное повторное использование? Эти и иные подобные вопросы требуют осмысления и законодательного закрепления.

На платформе доверия

Возможным и универсальным путем решения проблем защиты ПД может стать создание доверенных пользовательских платформ. Платформа доверенных пользователей может быть определена как система доступа к данным, которая предоставляет доступ к ПД граждан при выполнении определенных условий. Платформы могут использоваться административными органами как контролируемый способ передачи ПД частным лицам. Например, если медицинское обслуживание гражданина разделено между государственными и частными организациями, использование платформенного подхода может обеспечить процессы защищенной передачи медицинских записей через государственные информационные системы здравоохранения.

Подобные платформы доверенных пользователей уже используются в крупных международных научных проектах для предоставления исследователям контролируемого доступа к закрытым материалам при условии того, что они не будут разглашать конфиденциальный материал.

Структуры доверенных пользователей важны, чтобы обеспечить конфиденциальность данных, а также соблюдение при этом правовых и этических норм. Эти структуры очевидно имеют первостепенное значение в отношении работы компаний мобильной связи, хранилища которых содержат информацию о местоположении, коммуникациях перемещениях и иных метаданных клиентов. После анонимизации, метаданные телекомов возможно безопасно использовать другими компаниями для анализа перемещений граждан, структуры их расходов, решения других актуальных задач. Платформы доверенных пользователей – один из способов совместного использования данных такого типа, Возможен, конечно, более радикальный путь обеспечения конфиденциальности данных. Суть его в том, что компании и люди, которым предоставлен доступ к ПД, вообще могут «не видеть» ПД, которые хранятся в инфраструктуре ГИС. Однако при всем при этом выполнять анализ данных, разрабатывать приложения для их обработки и проч.

Указанные подходы и методы также нуждаются в формировании адекватной нормативно-правовой базы, включающей, в том числе, серьезные наказания за компрометацию ПД. Ничего этого на сегодня нет.

Заключение

Открытие данных априори возможно станет предпочтительной концепцией для государственных и административных органов цифровой экономики будущего. Однако, ограничения подхода должны быть четкими и хорошо документированными, включая разработку прямых норм законодательства. Существующие методы деидентификации следует использовать для необходимой защиты или сокрытия конфиденциальных данных.

Все исключения и ограничения в отношении доступа к ПД должны подвергаться тестам на вред общественным интересам. В частности, любая защита данных класса SPI или сохранение банковской тайны представляют актуальные случаи таких исключений.

Для реальной защиты ПД существующие законодательные формы получения согласия на обработку ПД требуют корректировки. Для организации реальной защиты необходим полноценный контракт на обработку SPI клиента, который содержал бы всю необходимую информацию о том, что именно будет происходить с ценной конфиденциальной информацией. Такой полноценный контракт следовало бы предусмотреть законопроектом о ЦПГ.

Необходимо прописать в законе конкретные механизмы и формы обезличивания персональных данных.

Новые нормы должны также предусматривать (возможно, по решению суда) компенсацию субъектам ПД нанесенный ущерб в результате их компрометации.

  • Тимур Аитов
  • Finversia.ru

Finversia-TV

Горячая цифра

Новости «100 в 1»

Все новости »