Минцифры предложило разрешить торговлю обезличенными персональными данными россиян
3 марта 2021 года Минцифры предложило разрешить торговлю обезличенными персональными данными (ПД) россиян. При этом операторы, обрабатывающие ПД, не будут иметь возможность «использовать иную информацию, действия и методы, которые помогут определить принадлежность персональных данных конкретному субъекту».
Ведомство уточнило, что операторам будет запрещено в дополнение к обезличенным данным передавать третьим лицам информацию, которая позволит идентифицировать конкретного человека. Под запретом также окажется деобезличивание данных, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.
Согласно ФЗ №152 «О персональны данных», обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
По информации «РБК», фактически операторы и агрегаторы данных, в том числе банки, операторы связи, страховые компании, ретейлеры, поставщики CRM, смогут продавать обезличенные базы рекламодателям.
Эксперты пояснили «РБК», что это позволит создать условия для свободного оборота обезличенных данных в различных вариациях. Сейчас при передаче обезличенного массива данных третьему лицу обработка этих данных в иных целях, кроме тех, для которых они собирались, невозможна, так как требует нового согласия от объекта ПД, но получить его невозможно, так как данные обезличены и нет возможности понять, кто их владелец. Причем по действующему законодательству обезличенные данные также могут быть использованы без согласия гражданина только в исследовательских, научных и статистических целях.
По мнению представителя Фонда развития интернет-инициатив, свободное использование обезличенных данных значительно несет риски нарушения конфиденциальности для самих граждан. Например, данные о путешествиях без привязки к ФИО могут стать объектом для анализа и передачи, а сам их владелец не будет знать, что их используют.
Представитель АНО «Цифровая экономика» уточнил «РБК», что сейчас все операторы данных проводят их обезличивание и деобезличивание как стандартную процедуру защиты от утечек, а предложение Минцифры усложнит часть их процедур и даже может привести к снижению защищенности. Например, операторы просто откажутся от существующих практик защиты данных клиентов, чтобы соответствовать новым требованиям и иметь возможность их продавать. Это чревато тем, что любой сотрудник оператора данных будет иметь доступ к персональным сведениям всех клиентов как в обезличенном виде, так и в полном составе, что может привести к их утечкам. Тем более, что регуляторам проследить за действиями с большими массивами данных будет сложно.
С 1 марта 2021 года вступили в силу новые правила обработки персональных данных, сделанных доступными неопределенному кругу третьих лиц «общедоступных персональных данных». Теперь нельзя собирать и использовать опубликованные в Интернете сведения об отдельном лице или массово извлекать и осуществлять последующее использование персональных данных с сайтов и прочих ИСПДн в автоматическом режиме (посредством «парсинга»), если не получено согласие каждого субъекта на такие действия.