Что означает обезличивание персональных данных

Материал для подписчиков издания «ЭЖ-Юрист». Для оформления подписки на электронную версию издания перейдите по ссылке.

ЭЖ-Юрист

Российская правовая газета, издается с 1998 года. Освещает новости законодательства, практику применения законов и нормативных актов, судебную практику по различным отраслям права, предлагает аналитику наиболее актуальных вопросов правоприменения, отвечает на вопросы читателей.

Периодичность выхода: еженедельно, 50 номеров в год. Объем: 16 полос.

Государственные и муниципальные органы больше не обязаны обезличивать все данные, поступающие в информационные системы. 18 сентября вступило в силу Постановление Правительства РФ от 6 сентября 2014 г. № 911 "О внесении изменений в перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

Как отмечается на сайте Роскомнадзора, практика показала, что обезличивание данных требуется далеко не всегда. Производить подобные манипуляции необходимо лишь в исключительных случаях, установленных законодательством (например, когда в открытом доступе размещаются документы, содержащие персональные данные, такие как копии судебных актов). В большинстве случаев размещение данных не угрожает ничьей безопасности.

Согласно п. 9 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", обезличиванием данных считаются действия, по итогам которых становится невозможным без использования дополнительной информации установить личность человека, о котором идет речь. Это защищает право граждан на неприкосновенность частной жизни, личную и семейную тайну.

Документы по теме: Новости по теме:
  • Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных"
  • Постановление Правительства РФ от 6 сентября 2014 г. № 911 "О внесении изменений в перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"
  • Предпринимаются меры по совершенствованию процедуры обезличивания персональных данных – ГАРАНТ.РУ, 8 ноября 2013 г.

© ООО "НПП "ГАРАНТ-СЕРВИС", 2019. Система ГАРАНТ выпускается с 1990 года. Компания "Гарант" и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО "НПП "ГАРАНТ-СЕРВИС". Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО "НПП "ГАРАНТ-СЕРВИС", 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, info@garant.ru.

Читать дальше  Определение о принятии мер по обеспечению иска

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), editor@garant.ru

Отдел рекламы: +7 (495) 647-62-38 (доб. 3161), adv@garant.ru. Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Согласно определения, данного в ФЗ «О персональных данных» от 26.07.2006 г. №152, обезличивание – это способ обработки ПД, в результате которого в обработанных ПД нельзя идентифицировать физическое лицо, которому эти данные принадлежат. Но есть еще одно важное требование, не упомянутое в законе, — такая обработка ПД должна быть обратимой, иначе это будет просто потеря информации.

А зачем нужно обезличивать ПД? Чтобы сэкономить деньги на их защите – ведь согласно классификации (Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г., № 55/86/20) обезличенные ПД – это 4-й класс защищенности, не требующий защиты конфиденциальности.

Поэтому давайте разберемся, что значит идентифицировать. Идентификация любого объекта – это отождествление, т.е. доказательство однозначного соответствия имеющейся информации об объекте самому этому объекту. Это теоретически возможно если:
1. Все объекты уникальны в рамках имеющейся информации
(все люди разные — задача имеет не более одного решения);
2. Есть хотя бы один человек, обладающий каждым набором имеющихся реквизитов
(вся информация подлинная — задача имеет не менее одного решения).

А что значит можно и нельзя идентифицировать? К сожалению, здесь без количественной оценки вероятности никак не обойтись, а это вопрос строго нормативный, и к сожалению никак не решен. Поэтому для понимания мы примем, что если данному набору ПД соответствует малое количество лиц, которые легко локализуются для дальнейшего уточнения, то это значит — можно идентифицировать. И наоборот, если локализовать этих людей нельзя, то и идентифицировать человека по этим ПД нельзя. Понятно, что многое будет зависеть от того, кто занимается локализацией. Поэтому будем считать, что обезличивание — это способ защиты ПД от нарушителя, а не способ сокрытия информации от официальных органов. Т.е. для повышения вероятности идентификации будут использованы лишь общедоступные источники и средства.

Допустим, не удалось доказать, что данный набор ПД принадлежит (принадлежал ранее) только одному лицу. А какие еще возможны варианты? Их два – либо данный набор может принадлежать более, чем одному лицу, либо – менее, чем одному, т.е. никому.

К первому случаю относится любой недостаточный набор ПД (ПД могут принадлежать многим людям одновременно, например, имя или дата рождения) или избыточный набор ПД (например, специально указаны два имени), и здесь очень важно, сколько именно потенциальных субъектов, и чем ограничена эта группа людей (например, человека легче найти по имени, если известно, что это работник предприятия – не надо забывать, что свойства самого набора ПД – это тоже информация!).

Читать дальше  Служба безопасности при устройстве на работу

Ко второму случаю относятся искаженные ПД (кодировка, маскировка, криптография и т.п.), и здесь возможность идентификации зависит только от степени искажения.

Таким образом, если мы найдем и технически реализуем способ обработки, который приведет ПД к описанным случаям, то значит – мы обезличили ПД. Найти такие способы несложно – можно например их взять из стандарта США NIST SP 800-122 (название можно перевести как «Способы защиты конфиденциальности ПД»). Но официально он у нас не принят, поэтому перейдем сразу к рассмотрению технической реализации.

Начнем со второго случая, как наиболее очевидного. Использование любого вида искажения, основанного на секрете алгоритма (перестановка букв, их замена, добавление помех и т.п.) полезно лишь для кратковременной обработки (передача информации), но не для постоянного хранения. Алгоритм часто известен третьим лицам (реализуется сторонним производителем ПО), что повышает вероятность компрометации. Что касается криптографии – тут все зависит от секретности ключа, т.е. достаточно надежно, но применение этого способа порождает много организационных проблем (обязательность использования сертифицированных средств защиты, получения лицензии ФСБ и т.д.).

Первый случай гораздо интересней из-за своей неочевидности. Неочевидность состоит как раз в реализации обратимости. Очень легко можно сделать набор ПД и недостаточным и избыточным – убрать часть данных или добавить лишние, но убранное нельзя выбросить – придется его поместить в другое место, которое не будет доступно одновременно (ни на каком рабочем месте) с оставшимся набором ПД. Если же ПД добавлены, то в недоступное место должна быть спрятана информация об этой разнице.

В стандарте NIST SP 800-122 этот способ указан, как «разделение баз данных с использованием перекрестных ссылок». Такое разделение используется повсеместно при работе с любыми базами данных, но там не стоит задача обезличивания, поэтому базы хоть и разделены в разные хранилища, но имеют логическую связь и потому обрабатываются одновременно.

Посмотрим, что нам даст для обезличивания метод перекрестных ссылок. Для этого разделим ПД радикально – в одну базу выделим все идентифицирующие реквизиты (ФИО, дату и место рождения, адрес и телефон, паспорт и т.п.) – пусть это будет справочник физических лиц (по классификации – 3-й класс), в другой базе будет все остальное (обезличенные ПД — 4-й класс). При этом обезличенная база будет общедоступной (в т.ч. через Интернет), а база-справочник должна быть защищена от несанкционированного доступа. Утечка информации произойдет, только если злоумышленник получит базу-справочник и сможет состыковать ее с обезличенной базой. Мы должны эту возможность исключить. Но такая же стыковка нужна оператору ИСПДн для обработки ПД. Как он ее обеспечит?

Читать дальше  Что значит ключевые навыки в резюме продавца

Стыковка (сопоставление) этих баз для реализации обратимости должна производиться по некому коду (идентификатору) – уникальному, но абсолютно абстрактному (нельзя использовать номера документов человека – эти реквизиты будут в справочнике). Суть стыковки состоит в сравнении идентификатора из одной базы с идентификатором другой базы – когда они одинаковы, значит, информация двух баз состыкована. Если сравнение производится на рабочем месте справочной ИСПДн, то здесь обезличенная база может быть доступна (доступность будет односторонняя, и при этом класс ИСПДн будет выше 3-го), но если сравнение производится на рабочем месте обезличенной ИСПДн, то база-справочник на этом месте недоступна, и в этом случае идентификатор из справочника может попасть в обезличенную базу только через внешний носитель. При этом внешний носитель не должен иметь реальных реквизитов того человека, код которого в нем записан. Хотя может иметь абстрактные признаки (цвет, рисунок и т.п.).

Для того, чтобы человека можно было обслуживать в рамках обезличенной базы, он должен каждый раз предъявлять этот самый внешний носитель, т.е. постоянно носить его с собой. При этом внешний носитель может иметь любую природу (бумажный, пластиковый, металлический), а абстрактные признаки носителя будут понятны только хозяину и позволят легко отличить свой носитель от чужих.

Такой способ обезличивания кажется настолько простым, что возникают сомнения в его эффективности и надежности. Насколько уменьшатся затраты на создание системы защиты с использованием обезличивания? Что будет, если человек потеряет этот носитель, или его украдут с целью получения доступа к ПД хозяина? Подобные вопросы возникают, и наверняка будут возникать, но это не может служить причиной для отказа от новых технологий, а только поводом для дальнейшего их совершенствования.

Несмотря на остроту проблемы и простоту реализации, данный способ использования внешних носителей в процессе обезличивания ПД был запатентован только в апреле 2011 года нашей организацией (патент №103414).

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Adblock detector