Есть Национальные цели развития, Национальная стратегия развития ИИ и Стратегия развития рынка БД. Там про необходимость буста доступности данных разработчикам ИИ. А поможет ли в действительности проект РКН в достижении этих целей? Кажется, что проект РКН – это, конечно же, шаг, но вряд ли достаточный. И вот почему.
Методы vs результат По результатам рассмотрения предложений бизнес-сообщества к проекту, РКН подтвердил, что:
все предлагаемые бизнесом новые подходы уже отражены в проекте;
открытый перечень методов обезличивания «не будет отвечать принципу правовой определенности». Но при этом четких требований к результату обезличивания РКН тоже не определяет. Хмм… можно предположить, что такой подход даже более рискованный. А вы как думаете, при каком подходе риски деобезличивания выше?
Установление фиксированных методов обезличивания без четких требований к результату. VS
Открытый перечень методов с четко определенными критериями качества обезличивания. Нам кажется, что при первом подходе, выбранном для проекта, риски куда выше. То есть, условия и параметры определения эффективности обезличивания (например, уровень вероятности деобезличивания) гораздо важнее самих методов обезличивания в контексте рисков. Более того, все равно обезличенные данные остаются персональными со всеми обязанностями, ограничениями и рисками. Поэтому остается неясным, с какой целью устанавливаются ограничения на возможные методы обезличивания. Если есть сомнения в эффективности «открытого» подхода, то можно апробировать конкретные методики оценки эффективности обезличивания, например, в рамках контролируемой и защищенной инфраструктуры доверенных посредников. Но мы все же надеемся, что диспозиция проекта РКН отражает осторожное развитие регулирования с возможной перспективой введения открытого перечня допустимых методов обезличивания. В отдельном треке коллеги из АБД уже проделали колоссальную работу по оценке риска деобезличивания – был предложен математический подход к оценке вероятности повторной идентификации при обработке обезличенных данных исходя из конкретных бизнес-сценариев их использования. Применение риск-ориентированного подхода позволит выбирать наиболее эффективные методы обезличивания, обеспечивая при этом максимальную защиту данных.
Вопросы к правовому основанию А кроме этого, на практике возникают и вопросы по «бонусному» основанию обработки ПД «в статистических или иных исследовательских целях… при условии обязательного обезличивания». Например, следующие:
Какой периметр статистических и иных исследовательских целей? Входят ли коммерческие цели, такие как обучение ИИ-моделей или продуктовая аналитика в их определения? Казалось бы, что да.
Само по себе обезличивание в указанных целях может осуществляться на основании п. 9 ч. 1 ст. 6 152-ФЗ, т.е. для его проведения иное правовое основание не требуется? В Европе, например, считается, что обезличивание – совместимая цель, на которую не нужно отдельное основание. Это и логично, ведь правовые основания даются на всю обработку ПД в определенной цели, а не на конкретные операции. А вот у нас на практике не всегда так.
А можно в рамках этого основания «в статистических или иных исследовательских целях…» передавать / поручить обработку ПД третьему лицу? Было бы здорово получить по этим вопросам разъяснения контролирующего органа, чтобы исключить на практике любые «серые» зоны для толкования. Кстати, в рамках Петербургского международного юридического форума 21 мая обязательно будут обсуждаться эти вопросы. Так что скоро вернемся с апдейтом!
Методы vs результат По результатам рассмотрения предложений бизнес-сообщества к проекту, РКН подтвердил, что:
все предлагаемые бизнесом новые подходы уже отражены в проекте;
открытый перечень методов обезличивания «не будет отвечать принципу правовой определенности». Но при этом четких требований к результату обезличивания РКН тоже не определяет. Хмм… можно предположить, что такой подход даже более рискованный. А вы как думаете, при каком подходе риски деобезличивания выше?
Установление фиксированных методов обезличивания без четких требований к результату. VS
Открытый перечень методов с четко определенными критериями качества обезличивания. Нам кажется, что при первом подходе, выбранном для проекта, риски куда выше. То есть, условия и параметры определения эффективности обезличивания (например, уровень вероятности деобезличивания) гораздо важнее самих методов обезличивания в контексте рисков. Более того, все равно обезличенные данные остаются персональными со всеми обязанностями, ограничениями и рисками. Поэтому остается неясным, с какой целью устанавливаются ограничения на возможные методы обезличивания. Если есть сомнения в эффективности «открытого» подхода, то можно апробировать конкретные методики оценки эффективности обезличивания, например, в рамках контролируемой и защищенной инфраструктуры доверенных посредников. Но мы все же надеемся, что диспозиция проекта РКН отражает осторожное развитие регулирования с возможной перспективой введения открытого перечня допустимых методов обезличивания. В отдельном треке коллеги из АБД уже проделали колоссальную работу по оценке риска деобезличивания – был предложен математический подход к оценке вероятности повторной идентификации при обработке обезличенных данных исходя из конкретных бизнес-сценариев их использования. Применение риск-ориентированного подхода позволит выбирать наиболее эффективные методы обезличивания, обеспечивая при этом максимальную защиту данных.
Вопросы к правовому основанию А кроме этого, на практике возникают и вопросы по «бонусному» основанию обработки ПД «в статистических или иных исследовательских целях… при условии обязательного обезличивания». Например, следующие:
Какой периметр статистических и иных исследовательских целей? Входят ли коммерческие цели, такие как обучение ИИ-моделей или продуктовая аналитика в их определения? Казалось бы, что да.
Само по себе обезличивание в указанных целях может осуществляться на основании п. 9 ч. 1 ст. 6 152-ФЗ, т.е. для его проведения иное правовое основание не требуется? В Европе, например, считается, что обезличивание – совместимая цель, на которую не нужно отдельное основание. Это и логично, ведь правовые основания даются на всю обработку ПД в определенной цели, а не на конкретные операции. А вот у нас на практике не всегда так.
А можно в рамках этого основания «в статистических или иных исследовательских целях…» передавать / поручить обработку ПД третьему лицу? Было бы здорово получить по этим вопросам разъяснения контролирующего органа, чтобы исключить на практике любые «серые» зоны для толкования. Кстати, в рамках Петербургского международного юридического форума 21 мая обязательно будут обсуждаться эти вопросы. Так что скоро вернемся с апдейтом!