Законопроект № 992331-7 правительство внесло в Госдуму в июле 2020 г., а в феврале 2021 г. проект закона был принят в первом чтении. Однако дальше, согласно данным "Системы обеспечения законодательной деятельности", прохождение данного документа застопорилось на три с лишним года. Поправки ко второму чтению появились на портале Госдумы лишь 30 мая 2024 г. Рассмотрение законопроекта должно было пройти 11 июня, но его отложили.
Член совета при президенте Российской Федерации по развитию гражданского общества и правам человека, президент ООО "Ашманов и партнеры" Игорь Ашманов связал длительное прохождение законов, которые ужесточают обработку персональных данных с лоббистской деятельностью крупнейших цифровых платформ. По его оценке, которую он высказал на конференции "Экономика данных. Вызовы и перспективы", крупнейшие банки, розничные компании и телекоммуникационные операторы активно используют персональные данные для таргетированных рекламных кампаний, которые приносят им значительные доходы.
Ассоциация больших данных (АДБ), куда входят крупнейшие банки, операторы связи, технологические компании, действительно публично критиковала многие нормативно-правовые акты, касающиеся ужесточения порядка обработки персональных данных и усиления ответственности для их нарушителей. Так, поправки в Уголовный кодекс АБД критиковала за "неопределенный характер" и риск привлечения к уголовной ответственности тех, в чьем распоряжении массивы данных оказались случайно.
Рассмотрение законопроекта № 992331-7 АБД предложила отложить и изъять оттуда ряд проблемных положений, например создание государственной информационной системы (ГИС), куда операторы обязаны передавать персональные данные.
"Поправки предполагают одностороннюю передачу коммерческими компаниями данных в ГИС без фактической возможности их использования бизнесом. Обучение моделей ИИ предполагает выгрузку результатов обучения модели, что прямо запрещено проектом. Одновременно проект не решает задачи, на которые изначально был направлен — он не регулирует оборот данных, не создает благоприятных правовых условий для сбора, хранения и обработки данных с использованием новых технологий, в части установления порядка обезличивания. Таким образом, с точки зрения развития аналитики данных и проектов в области ИИ проект лишает бизнеса любых стимулов развивать такие проекты", — так пресс-служба АБД прокомментировала ComNews претензии к законопроекту.
Кроме того, появление такой ГИС, по мнению участников АБД, прямо противоречит поручениям президента и целям нацпроекта "Цифровая экономика" и идущего ему на смену "Экономика данных". Так, в АБД считают, что законопроект № 992331-7 не изменяет определения обезличенных персональных данных (данные в результате обезличивания по законопроекту остаются персональными), но делается исключение для случаев передачи в ГИС, это означает фактический отказ от института согласия на обработку персональных данных и иных принципов обработки персональных данных, что является прямым противоречием требованиям п.2 б Поручения № Пр-113 от 28 января 2024 г. Также документ прямо запрещает извлечение составов данных из ФГИС, а создание инструментов обработки данных и построение моделей в интересах бизнеса), что противоречит Национальной стратегии развития искусственного интеллекта до 2030 г. Также, по мнению АБД, такие пробелы как отсутствие порядка обезличивания персональных данных и получения согласия на обработку и обезличивание персональных данных противоречит пункту 1.3 Федерального проекта "Нормативное регулирование цифровой среды" Национальной программы "Цифровая экономика Российской Федерации".
Директор по маркетингу и коммуникациям ООО "Ракета" Дарья Зубрицкая считает, что данный законопроект может значительно осложнить работу с данными для компаний: "В первую очередь, вступление в силу новых норм увеличит затраты компаний на обеспечение безопасности данных в узлах передачи. Кроме того, опасения компаний в части сильной централизации данных и их защищенности звучат убедительно, так как взломав централизованную ГИС, в которой хранятся данные, злоумышленники смогут получить доступ к слишком большому объему информации. А это противоречит лучшим практикам обеспечения безопасности данных. Потенциально источником проблем выглядит и то, что набор и глубина данных для передачи могут варьироваться, а, значит, компании не смогут настроить унифицированный процесс передачи. Придется либо каждый раз привлекать разработку, либо создавать отдельную сложную систему, тем самым неся дополнительные расходы на поддержание этого процесса".
Руководитель направления большие данные группы "Рексофт" Сергей Назаренко считает, что законопроект может осложнить работу компаний по обработке персональных данных, особенно использующих персональные данные для множественных целей, которые теперь должны явно указываться в согласии на обработку данных. При этом, по его оценке, проблемные требования появятся позже, когда Роскомнадзор установит дополнительные требования к обезличиванию персональных данных.
Лидер кластера продуктов для тестирования ПО "Платформы Сфера" Вячеслав Борисов также видит серьезные пробелы, которые потенциально могут стать сложными и затратными для операторов персональных данных: "В законопроекте пока нет детальных требований к технической базе и перечню решений для передачи данных в единую систему. Это достаточно критичный аспект, который нуждается в проработке, поскольку он накладывает на бизнес дополнительные расходы по внедрению ИТ-инструментов".
Руководитель центра компетенций по консалтингу ИБ ГК Softline Юлия Смолина считает, что законопроект прежде всего конкретизирует существующие требования, которые ранее отдавали на откуп операторам: "Например, это касается обезличивания и уничтожения персональных данных. Теперь операторам будет необходимо следовать четко определенным процедурам и стандартам. Также вводится понятие "дополнительная цель обработки персональных данных". Это нововведение создает возможности для использования личных сведений, но одновременно требует от компаний обновления политики обработки персональных данных. Им придётся пересмотреть формы согласий и уведомлений, а также подать соответствующие изменения в Роскомнадзор. Все это потребует дополнительных ресурсов и времени на адаптацию к новым требованиям".
Эксперт по информационной безопасности ООО "Новые облачные технологии" (МойОфис) Дмитрий Костин полагает, что поправки, внесенные в законопроект, предусматривают значительные изменения в части контроля и надзора за выполнением организационных и технических мер по защите персональных данных в государственных информационных системах и других подобных системах, используемых государственными органами РФ, причем отдельно учитывается важность и содержание обрабатываемых данных в информационных системах, применяемых в том числе в не относящихся к государственным информационным системам персональных данных: "Такими полномочиями наделяется, например, федеральный орган исполнительной власти, ответственный за обеспечение безопасности и защиты информации, а также противодействие техническим разведкам. Однако он действует без права доступа к персональным данным, которые обрабатываются в информационных системах персональных данных.
Иными словами, операторы, которые окажутся под контролем и надзором, особенно если они не являются государственными органами и используют информационные системы для обработки персональных данных, должны будут строго соблюдать требования законодательства, руководящих и методических документов по защите персональных данных, а также приобретать и применять сертифицированные средства защиты информации, когда это необходимо. Это потребует значительного увеличения расходов организаций на найм и оплату нужных специалистов, а также на приобретение и эксплуатацию всех необходимых средств защиты информации".
Сергей Назаренко обращает внимание на два обстоятельства: "Во-первых, дополнение (статья 9 часть 9) явно разрешает обработку информации в интересах государственных органов для широкого круга задач (статья 6, часть 1). Во-вторых, появление дополнительных требований к обезличиванию персональных данных может приостановить или сделать невозможным работу большого количества сервисов повышения пользовательского опыта, работа которых базируется на анализе поведения и предпочтений пользователя".
Глава профильного комитета Госдумы Александр Хинштейн в интервью Национальному банковскому журналу так мотивировал появление данной нормы: "Это (ГИС, аккумулирующая персональные данные) должен быть исключительно читальный зал без абонемента выдачи на руки. Принципиально важно: большие данные — это обезличенный данные, но с точки зрения действующего законодательства, даже после обезличивания они всё равно остаются персональными, и при определённых подходах и технологиях эти данные могут быть дообогащены и, как следствие, "фарш окажется возможным провернуть назад". Чего нам совершенно не хочется".
Руководитель аналитического центра Zecurion Владимир Ульянов тоже не считает обезличивание данных панацеей: "Существует и обратный процесс, обогащение данных. Если отдельный набор данных не позволяет однозначно определить субъекта этих самых данных, при объединении информации из разных источников уже может получиться идентифицировать человека, и этот риск сложно игнорировать".
Юлия Смолина считает опасения АБД понятными и небезосновательными, но полагает, что они не должны существенно повлиять на уже сложившуюся практику: "Компании, входящие в АБД обеспокоены новыми ограничениями и требованиями, которые могут усложнить работу с персональными данными. Однако важно учитывать, что речь идет об обезличенных данных. Их использование для коммерческих целей и так затруднено, поскольку такие данные должны быть обработаны так, чтобы невозможно было идентифицировать конкретного человека. Следовательно, новые правила хоть и создают дополнительные сложности, но не должны значительно повлиять на уже сложившуюся практику работы с обезличенными данными".
Дмитрий Костин обращает внимание на то, что нужно создавать конкурентную среду, а не стремиться к доминированию государства: "Да, действительно, рынок больших данных развивается и становится самостоятельным бизнесом, который приносит большие доходы. И поэтому опасения АБД относительно возможного доминирования государства в этой сфере вполне оправданы. Чтобы создать здоровую конкурентную среду в области обработки больших данных и связанной с ней сферой искусственного интеллекта, необходимо использовать все возможности бизнеса, включая ИТ-компании. Кроме того, должны быть предусмотрены механизмы возмещения расходов коммерческим организациям, связанных со сбором и обезличиванием персональных данных, которые они будут обязаны предоставлять в определяемую правительством Российской Федерации государственную информационную систему уполномоченного органа в сфере регулирования информационных технологий".
Генеральный директор Setere Group Олег Ивченков не разделяет опасений в адрес законопроекта № 992331-7: "Ситуация с персональными данными такая, что утечки и новости о них обгоняют друг друга. Ситуация в чем-то схожа с тем, как было на дорогах в 90-е годы. Тогда тоже ужесточение ПДД критиковали, но упорядочение произошло и мы видим порядок, соблюдение правил и автоматические штрафы, собираемость которых очень велика. Надеемся, что здесь в итоге будет то же самое. Я абсолютно уверен в профессионализме Комитета Думы, который является автором законопроекта — депутаты Хинштейн, Боярский и другие — ответственные и грамотные люди, уверенно преследующие государственные интересы. В чем мнение по отрасли со мной схоже".
"В пояснительной записке к законопроекту было указано, что одна из целей — это запуск новых инновационных сервисов и услуг, удаленного взаимодействия с клиентами, работниками, получения государственных услуг и прочих. Кроме того, изменения должны уменьшить количество согласий, предоставляемых субъектом персональных данных в письменной форме. Если отталкиваться от этих задач, предложенные изменения представляются логичными и обоснованными, — считает Владимир Ульянов. — При этом не стоит забывать, что рациональное обеспечение информационной безопасности — это поиск баланса между удобством доступа к информации и её защищённостью. Когда увеличивается количество организаций и сотрудников, имеющих доступ к персональным данным и сам этот процесс упрощается, опосредованно, это может повысить риски компрометации в отношении этих данных".
Вячеслав Борисов считает опасения АБД по поводу уровня защищенности единой системы хранения данных несколько преувеличенными, однако риски возможных сбоев и их последствий более значимы: "Платформа обработки персданных не предполагает хранение необезличенных персональных данных. С этой точки зрения даже возможные утечки не навредят со стороны неправомерного распространения персональных данных. Однако, если в систему будет передаваться что-то дополнительно, связанное с поведением субъектов персональных данных в отдельных системах, риски могут стать значительными. Представител представители Ассоциации понимают, что любая система хранения подвержена сбоям, из-за чего операторы могут нарушать сроки предоставления персональных данных. Их опасения оправданы: подобные нарушения находятся вне зоны ответственности этих компаний, а значит, они не могут повлиять на ситуацию, чтобы сократить риски".
Юлия Смолина также обращает внимание на новый порядок уничтожения персональных данных: "Теперь для этого необходимо будет использовать сертифицированные средства, что может значительно увеличить затраты компаний как финансово, так и по времени. Это требование потребует от компаний приобретения новых технологий или услуг, соответствующих сертификационным стандартам, что создаст дополнительную нагрузку на их бюджеты и операционные процессы".
"Надеемся на конструктивный диалог с регуляторами, направленный на доработку законопроекта с целью соблюдения баланса интересов государства, граждан и бизнеса", — ответила пресс-служба АБД на вопрос ComNews о дальнейших действиях Ассоциации.
Яков Шпунт