Ставить на место: бизнес выступил против передачи геоданных своих клиентов

«В любых случаях»

Forbes ознакомился с отзывом АБД (объединяет «Яндекс», VK, «Сбер», Газпромбанк, Т-банк, Россельхозбанк, «Мегафон», «Ростелеком», билайн, МТС, ВТБ, Avito, HeadHunter, Центр стратегических разработок, Аналитический центр при правительстве) на проект постановления правительства, в котором указаны случаи, позволяющие властям запрашивать у операторов геотреки абонентов и дополнительную к ним информацию.

В этом списке перечислены угрозы возникновения ЧС, прогнозирование эпидемий, противодействие терроризму, введение чрезвычайного положения или карантина, а также получение информации о туристических и миграционных потоках. При этом обезличенные персональные данные абонента мобильной связи должны включать идентификатор (уникальный код, используемый для распознавания конкретного абонента или пользователя в системе), год рождения с возможностью выбора определенного временного интервала, пол, гражданство, местоположение, включая информацию об изменении местоположения абонента с определенной периодичностью, с возможностью определения местоположения абонента в метрополитене.

Напомним, бизнес обязан передавать предварительно обезличенные персональные данные своих клиентов согласно поправкам к закону «О персональных данных», принятым в августе 2024 года. Местом сбора этой информации будет государственная информационная система (ГИС). Доступ к этим данным в первый год после размещения получат только государственные пользователи, а потом все остальные, кого одобрит правительство. Первым таким проектом должен стать как раз сервис сбора и обработки обезличенных геотреков абонентов от операторов мобильной связи.

В АБД считают, что проект постановления дает властям полномочия запрашивать у операторов данные практически в любых случаях. Для всех пунктов в перечне, в том числе «для проведения статистических, научных и иных исследований», необходимо предоставлять информацию о местоположении абонента, включая информацию «об изменении местоположения абонента с определенной периодичностью, с возможностью определения местоположения абонента в метрополитене» и в связке с его идентификатором. В Ассоциации подчеркивают, что при дополнительной обработке данных эта информация позволяет идентифицировать человека. Предоставление данных о поле, гражданстве, возрасте и т. д., только облегчает эту задачу, добавляют в АБД, настаивая, что информация о перемещении человека вместе с его идентификатором не может быть полноценно обезличена в силу обеспечения защиты прав граждан на тайну связи.

Ключевое «практически»

В Минцифры, однако, продолжают заверять, что речи об отслеживании местоположения граждан не идет. «Благодаря обезличенным данным государство сможет принимать более эффективные решения. Например, понять, какие станции метро наиболее загружены и в какое время, где нужно уменьшить интервал между поездами, где есть потребность в строительстве школ, детсадов и т. д.», — добавляют там. В перечисленных случаях данные будут обезличиваться по специальным методам, применение которых не позволит идентифицировать конкретного человека. Эти методы, а также требования к обезличиванию определит правительство, добавили в министерстве.

В МТС, «Ростелекоме» (владеет Т2), «Мегафоне» и «Вымпелкоме» (бренд «билайн») отказались от комментариев.

Обезличивание персональных данных приводит к невозможности определения принадлежности данных к конкретному человеку без дополнительной информации, это практически исключает возможность выделения информации о конкретном человеке из общей базы данных, указывает директор юридического департамента DRC Ольга Захарова. «Однако ключевым словом является «практически», — говорит она. — На сегодня нет технического решения, преобразовывающего персональные данные человека так, чтобы их невозможно было восстановить. Введение идентификаторов, изменение семантики, декомпозиция или перемешивание персональных данных так или иначе связаны с базами [данных], в которых имеется «ключ» для восстановления сведений. Обеспечение безопасности этих баз в равной степени сложная задача, как и обеспечение безопасности персональных данных в целом».

По словам Захаровой, обезличенность идентификатора, который определяет местоположение абонента с определенной периодичностью, то есть в динамике, «представляется весьма сомнительной».

Уникальный профиль

На текущий момент единственные признанные в России методы обезличивания закреплены в приказе Роскомнадзора десятилетней давности, обращает внимание управляющий партнер Comply Артем Дмитриев. Не исключено, что новое постановление правительства будет учитывать достижения последних лет в области криптографии и обезличивания, допускает он. В то же время параллельно идет разработка новых стандартов обезличивания для всех организаций на основе риск-ориентированного подхода, основанного на том, что достичь полной анонимизации данных раз и навсегда невозможно, уточняет эксперт.

Перечисленный в проекте постановления набор информации формально относится к обезличенным персональным данным, поскольку документ прямо указывает, что последующая обработка не должна позволять идентифицировать конкретного человека, отмечает советник практики интеллектуальной собственности юридической компании ЭБР Артем Евсеев. «Однако на практике именно наличие идентификатора в сочетании с динамической геолокацией может создать риски повторной идентификации абонентов», — добавил он.

Даже если идентификатор абонента формально обезличен (например, заменен случайным кодом), геолокация с указанием периодически посещаемых мест способна сформировать уникальные «цифровые следы», поясняет Евсеев. Исследования показывают, что всего нескольких точек местоположения с указанием времени посещения может быть достаточно для того, чтобы с высокой точностью выявить конкретного человека, особенно если использовать дополнительные сведения о его повседневной активности, маршрутах и перемещениях, добавляет он.

При этом российский закон о персональных данных определяет обезличивание как процесс, исключающий возможность идентифицировать субъекта без дополнительной информации. Поэтому если какая-то дополнительная информация окажется доступной (например, публичные реестры, данные из соцсетей или утечки баз данных), то формально обезличенные данные могут перестать быть таковыми, подчеркивают юристы.

«Чтобы деобезличить такие данные, достаточно совместить состав данных с другой информацией, прямо либо косвенно идентифицирующей человека. Например, сопоставить данные о месте работы, жительства, посещении магазинов, больниц или иных организаций, которые абонент регулярно посещает. В результате можно получить уникальный профиль, позволяющий без труда восстановить принадлежность данных конкретному лицу», — рассуждает Артем Евсеев. Несмотря на формальное соблюдение процедуры обезличивания, предложенный в постановлении набор данных все же несет значительные риски повторной идентификации человека, заключает он.