Российские власти смогут требовать от бизнеса передавать обезличенные персональные данные клиентов и сотрудников фактически по любому поводу. Это следует из подготовленного Минцифры распоряжения правительства, с которым ознакомился Forbes.
В документе говорится, что власти могут требовать предоставить данные, если они понадобятся для «защиты населения и территорий», в случае угрозы возникновения чрезвычайной ситуации на всей территории страны или ее части. Кроме того, данные могут быть запрошены для предупреждения терроризма в случае введения режима контртеррористической операции, а также для предупреждения распространения инфекционных заболеваний и отправлений, если будет введен карантин.
Передавать данные бизнес должен будет в «госозеро» — государственную информационную систему (ГИС). При этом согласие на передачу данных от пользователей в ГИС не требуется. Доступ к этим данным в первый год после размещения получат только государственные пользователи, а затем все остальные, кого одобрит правительство.
Текущий текст распоряжения правительства не определяет четкого перечня случаев, когда и какие обезличенные данные можно запросить у бизнеса, отметил источник Forbes в IT-отрасли. По его словам, чтобы регламентировать отношения компаний и государства в части передаваемых данных, нужен полноценный нормативный акт и прозрачный механизм публичного обсуждения таких случаев.
В Ассоциации больших данных (АБД; объединяет Сбербанк, «Мегафон», «Яндекс», ВТБ, «Ростелеком» и др.) заявили, что проект распоряжения правительства создает ситуацию «правовой неопределенности и необоснованной регуляторной нагрузки для операторов, обрабатывающих персональные данные». В организации подчеркнули, что сегодня практически любая компания обрабатывает персональные данные, поэтому необходимо установить прозрачный механизм публичного обсуждения случаев их запроса со стороны властей.
Очень важно не скомпрометировать данные при их объединении в «госозере», подчеркнули в МТС. «Персональная информация даже в обезличенном виде чрезвычайно чувствительна. Необходимо проработать четкие, прозрачные, выполнимые и гарантирующие безопасность алгоритмы передачи и использования данных», — отметили в компании.
Чтобы обезличить данные, бизнес понесет значительные расходы, говорит заместитель гендиректора ГК «Гарда» Рустэм Хайретдинов. По его словам, это или время сотрудников, необходимое для настройки и администрирования встроенных в систему управления базами данных (СУБД) решений по маскированию, или прямые финансовые затраты для приобретения специализированных инструментов маскирования.
Хотя бизнес должен передавать в «госозеро» уже обезличенную информацию, остаются те же риски, что и при передаче персональных данных, считает эксперт по защите персональных данных и соучредитель Regional Privacy Professionals Association Алексей Мунтян.
«Согласно текущей концепции регулирования, обезличенные данные остаются персональными, так как это обратимая процедура. По сути, бизнес теряет контроль над своими данными. При этом государство сможет обрабатывать эти данные в широком спектре сценариев, который не всегда может быть явно ограничен заявленными в проекте целями», — заключил Мунтян.