— Видишь суслика?
— Нет.
— И я не вижу. А он есть.
К/ф «ДМБ»
Сейчас скажут: «Ну, опять жвачку будут жевать!» И да, и нет. Тема, конечно, не новая, но с принятием в августе этого года закона [1], вносящего изменения в закон «О персональных данных», она получила новый импульс развития, направленный на создание механизма формирования обезличенных составов персональных данных (дата-сетов).
Я позволю себе вступить в дискуссию с заместителем руководителя Роскомнадзора господином Милошем Эдуардовичем Вагнером, который при подготовке этого закона неоднократно публично заявлял [2], что персональные данные, которые получены в результате обезличивания, всё равно «остаются персональными» и формально, и юридически, потому что всё ещё характеризуют человека, а с дополнительной информацией и прямо на него указывают. И далее: «В обезличенных персональных данных убраны прямые идентификаторы, которые не позволяют человеку сопоставить их с собой. Но это нетрудно машине, тем, у кого есть вычислительные мощности или доступ к нейронным сетям» [3]. Что-то здесь не так, в одном предложении уже заложены противоречия. Давайте разберёмся.
ПО БУКВЕ ЗАКОНА…
Будем опираться на основное определение [4] персональных данных из ФЗ-152. По заявлению господина Вагнера, в обезличенных персональных данных убраны прямые идентификаторы, которые не позволяют человеку сопоставить их с собой. То есть, говоря обычным языком, обезличенные данные нельзя однозначно соотнести с конкретным субъектом и уж тем более определить этого человека, так как нет «прямых идентификаторов». Но это значит, что такие данные не соответствуют ключевому определению, так как их нельзя привязать к определённому субъекту или определить по ним конкретного субъекта. Они есть и принадлежат некоему Имяреку, которого никто не знает. Поэтому заявление господина Вагнера о том, что данные, которые получены в результате обезличивания, всё равно «остаются персональными», мягко говоря, противоречат букве закона.
Я, конечно, уважаю такую организацию, как Роскомнадзор в целом, и лично господина Милоша Вагнера как одного из руководителей этой организации, но в российской юриспруденции право трактовать положения законов является прерогативой Верховных судов, а Положением о Роскомнадзоре [5] ему такого права не предоставлено. Так что при всём уважении, пока нет нормативно-правового акта, изменяющего ключевое понятие «персональные данные», мнение господина Вагнера может быть расценено исключительно как частное мнение (впрочем, как и моё). Кстати, новый ФЗ-233 также не даёт оснований считать, что понятие персональных данных изменено, он регулирует совсем другую сферу. Ну и как вы думаете, на чьей стороне будет суд, если он объективный?
ПО ДУХУ ЗАКОНА…
Конечно, закон «О персональных данных» прежде всего направлен на защиту интересов субъектов персональных данных — это императив! Теперь о том, что «обезличенные данные всё равно и формально, и юридически всё ещё характеризуют человека, а с дополнительной информацией и прямо на него указывают». Господа, у вас всё в порядке с формальной логикой? Да, действительно, даже обезличенные данные могут характеризовать человека, но КОГО? Homo sapiens, Имярек — точно. Но сказать более конкретно — нельзя. Правда, есть продолжение фразы «но это нетрудно машине, тем, у кого есть вычислительные мощности или доступ к нейронным сетям». Видимо, речь идёт о том, что с помощью нейросети можно легко обработать именно ДОПОЛНИТЕЛЬНУЮ информацию и принести вред субъекту. Что ж, это возможно, но тогда мы опять выходим за рамки буквы закона, это нарушает определение процедуры обезличивания, установленное законом [6]. Ключевое слово здесь ДОПОЛНИТЕЛЬНАЯ информация.
Говоря простым языком, использование вычислительных мощностей или нейронных сетей для получения дополнительной информации — это нарушение закона, так как используются не только обезличенные данные, но и дополнительная информация. И идентификация субъекта происходит именно по дополнительной информации, и только потом к нему привязываются обезличенные данные. Да, это может причинить вред субъекту. Но регулировать в этом случае надо не оборот персональных данных, прошедших процедуру обезличивания, а оборот дополнительной информации или использование нейросетей, которые позволяют «деобезличить» эти персональные данные. А то получается действие по принципу «у меня нет бритвы, но есть топор, поэтому брить не будем, отрубим голову».
ЧТО ДЕЛАТЬ?
Ну, это извечный российский вопрос, но и на него есть ответ.
Во-первых, надо отделить мух от котлет и не путать понятия «персональные данные» и «обезличенные данные». Кстати, бытует мнение (я с этим сталкивался), что так как процедура обезличивания по закону относится к обработке персональных данных [7], то и обезличенные данные будут персональными (опять нарушение формальной логики). Результат процедуры обезличивания не должен содержать исходную информацию. По аналогии: есть секретный текст, который проходит криптопреобразование. Что будет на выходе? Тоже секретный текст? Конечно нет! И его можно передавать по открытым каналам связи. Так и здесь: результат процедуры обезличивания — это не персональные данные, а набор неких отвлечённых данных.
Во-вторых, надо чётко определить те самые «прямые идентификаторы» (я бы назвал их «идентификационные персональные данные»), которые позволяют однозначно идентифицировать субъекта. К сожалению, в законе «О персональных данных» такого определения нет, а жалко, это сняло бы много вопросов и казусов. Но, с другой стороны, статья 6 ГК РФ позволяет, когда какой-то вопрос не определён, использовать аналогию права и аналогию закона. У нас есть несколько нормативно-правовых актов, которые регулируют процедуру идентификации (установление личности) субъекта [8]. Это позволяет сказать, что набор данных из фамилии, имени, отчества, пола, даты рождения и места рождения субъекта позволяет однозначно его идентифицировать. Вот и надо законодательно закрепить этот набор как идентификационные персональные данные.
В-третьих, необходимо законодательно закрепить необходимость применения самых жёстких требований по защите (например, первый усиленный уровень защищённости) баз данных, содержащих идентификационные персональные данные (полные или неполные — это вопрос к обсуждению экспертами), в том числе при размещении таких баз данных в сети Интернет или массивах big data, а также определить порядок оборота таких баз данных.
В-четвёртых, надо ввести очень жёсткий репрессивный механизм за нарушения требований по защите информации или правил обработки баз данных, содержащих идентификационные персональные данные, вплоть до «десяти лет расстрела».
Ну а что делать с теми данными, что уже «утекли»? Здесь вопрос сложнее, и, думаю, на сегодня мало кто может предложить радикальное решение этой проблемы. Хотя, как всегда, есть «два путя»: «оптимистический» и «пессимистический». Оптимистический предполагает, что если будут реализованы выше озвученные пункты и они будут неукоснительно выполняться, то лет через пять, скорее всего, эти «утёкшие» данные устареют и потеряют свою актуальность. Пессимистический же предполагает разработку специального программного продукта (поисковая машина?), который сможет отслеживать несанкционированное появление баз данных с идентификационными персональными данными в публичной сети и их блокирование. И этим как раз и может заняться Роскомнадзор.
Таково сугубо моё мнение.
[1] Федеральный закон от 08.08.2024 № 233-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных"».
[2] https://tass.ru/obschestvo/19484395.
[4] Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), Федеральный закон № 152-ФЗ, ст. 3 п. 1.
[5] Постановление Правительство РФ от 16.03.2006 № 228 «О федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».
[6] Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных, Федеральный закон № 152-ФЗ, ст. 3 п. 9.
[7] Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, Федеральный закон № 152-ФЗ, ст. 3 п. 3.
[8] Постановление Правительства РФ № 828 «Положение о паспорте гражданина РФ»; Уголовно-процессуальный Кодекс РФ, ст. 265.
