Обезличивание данных
Обезличивание данных — это процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Обезличенные данные не относятся к категории персональных данных, однако могут использоваться для статистических, исследовательских, аналитических и иных целей, не требующих идентификации личности. Процедура и методы обезличивания регулируются законодательством о персональных данных, в частности, в Российской Федерации — Федеральным законом «О персональных данных» № 152-ФЗ.
Правовые основы и регулирование
Законодательство Российской Федерации
В России обезличивание данных регламентируется 152-ФЗ. Согласно закону, оператор персональных данных обязан обезличивать данные перед их передачей третьим лицам или обработкой в статистических целях, если иное не предусмотрено согласием субъекта. Приказ Роскомнадзора № 996 от 5 сентября 2013 года утверждает требования и методы обезличивания. Обезличенные данные могут обрабатываться без согласия субъекта, но при условии, что их невозможно обратно привязать к конкретному человеку.
Международные стандарты
В Европейском союзе обезличивание регулируется Общим регламентом о защите данных (GDPR). Регламент различает «псевдонимизацию» (замена идентификаторов на псевдонимы) и «анонимизацию» (полное удаление возможности идентификации). Анонимизированные данные не подпадают под действие GDPR. В США единого федерального закона нет, но действуют отраслевые нормы, например, HIPAA для медицинских данных.
Методы обезличивания
Основные методы
Существует несколько стандартных методов, применяемых как по отдельности, так и в комбинации:
- Замена идентификаторов — замена прямых идентификаторов (ФИО, ИНН, номер паспорта) на уникальные, но не привязанные к личности коды (псевдонимы). Этот метод обратим при наличии ключа соответствия.
- Обобщение (агрегация) — замена точных значений на диапазоны или категории. Например, вместо возраста «27 лет» указывается возрастная группа «25–30 лет».
- Удаление (редукция) — полное удаление идентифицирующих полей из набора данных.
- Рандомизация — внесение случайных искажений в данные (шум), чтобы предотвратить точную идентификацию.
- Миксагрегация — замена значений на средние по группам или кластерам.
- Перестановка (перемешивание) — нарушение связей между записями, например, случайное перемешивание столбцов в таблице.
Классификация по степени защиты
Методы делятся на обратимые (псевдонимизация) и необратимые (анонимизация). Обратимые методы позволяют восстановить исходные данные при наличии ключа, необратимые — нет. Для целей статистики и аналитики часто применяется необратимое обезличивание.
Применение обезличивания
Научные исследования и статистика
Обезличенные данные широко используются в медицине, социологии, экономике. Например, медицинские записи пациентов обезличиваются перед передачей исследовательским центрам для изучения эпидемиологии или эффективности лекарств. Росстат и другие государственные органы обрабатывают обезличенные данные для формирования официальной статистики.
Бизнес и аналитика
Компании обезличивают данные клиентов для анализа покупательского поведения, разработки маркетинговых стратегий и улучшения продуктов без нарушения конфиденциальности. Это особенно актуально для e-commerce, банковского сектора и страховых компаний.
Тестирование и разработка
При разработке программного обеспечения используются обезличенные копии реальных баз данных для тестирования, чтобы избежать утечек персональных данных.
Искусственный интеллект и машинное обучение
Обезличенные данные служат основой для обучения моделей ИИ, особенно в медицине (диагностика по изображениям), финансах (кредитный скоринг) и рекомендательных системах.
Риски и критика
Проблема повторной идентификации
Главная критика обезличивания связана с возможностью восстановления личности по обезличенным данным. Исследования показывают, что комбинация нескольких непрямых атрибутов (пол, возраст, почтовый индекс, профессия) может однозначно идентифицировать человека. Например, в 2006 году компания Netflix опубликовала обезличенный набор данных о рейтингах фильмов, но исследователи смогли идентифицировать некоторых пользователей, сопоставив данные с внешними базами.
Недостатки существующих методов
Многие методы обезличивания не гарантируют абсолютную анонимность. Агрегация может быть недостаточно грубой, а рандомизация — слишком слабой. В 2019 году исследователи показали, что даже после удаления прямых идентификаторов из медицинских записей можно восстановить личность по уникальным комбинациям диагнозов и процедур.
Регуляторные риски
Если обезличенные данные оказываются обратимыми, оператор может быть привлечён к ответственности за нарушение законодательства о персональных данных. В России штрафы за утечку персональных данных составляют до 18 миллионов рублей (по состоянию на 2024 год).
Технологии и инструменты
Программное обеспечение
Для обезличивания используются специализированные инструменты:
- ARX — с открытым исходным кодом, поддерживает множество методов и оценку рисков.
- Privacy Analytics — коммерческое решение для медицинских данных.
- Microsoft Azure Data Masking — облачное решение для динамического маскирования.
- PostgreSQL Anonymizer — расширение для СУБД PostgreSQL.
Автоматизация и интеграция
Современные системы управления базами данных (СУБД) и платформы для обработки данных (Apache Spark, Hadoop) включают модули для автоматического обезличивания при загрузке или экспорте данных.
Примеры
Медицина
Больница передаёт исследовательскому институту данные о 10 000 пациентов. Прямые идентификаторы (ФИО, адрес, СНИЛС) удаляются, возраст округляется до ближайшего пятилетия, а диагнозы кодируются по международной классификации болезней (МКБ-10) без дополнительных уточнений.
Банковская сфера
Банк обезличивает данные о транзакциях для анализа мошеннических схем. Номера карт заменяются на хеши, суммы округляются до сотен рублей, а геолокация — до города.
Интересные факты
- В 2013 году исследователи из Массачусетского технологического института (MIT) показали, что 87 % населения США можно однозначно идентифицировать по комбинации почтового индекса, пола и даты рождения.
- В Китае обезличивание данных регулируется Законом о защите персональной информации (PIPL), принятым в 2021 году, который во многом схож с GDPR.
- Некоторые компании, например, Apple, используют обезличивание на устройстве (on-device anonymization), чтобы данные не покидали смартфон пользователя.
Источники
- Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006 (с изменениями).
- Приказ Роскомнадзора № 996 от 05.09.2013 «Об утверждении требований и методов по обезличиванию персональных данных».
- Regulation (EU) 2016/679 (General Data Protection Regulation).
- Sweeney, L. (2000). «Simple Demographics Often Identify People Uniquely». Carnegie Mellon University.
- Narayanan, A., & Shmatikov, V. (2008). «Robust De-anonymization of Large Sparse Datasets». IEEE Symposium on Security and Privacy.
- Официальные разъяснения Роскомнадзора по вопросам обезличивания персональных данных (2022).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →