Открыть сервис

Обезличивание персональных данных

Обезличивание персональных данных — это процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Обезличивание является одним из способов обеспечения безопасности персональных данных при их обработке, позволяющим снизить риски для субъектов данных и одновременно сохранить возможность использования массивов данных для статистических, аналитических, исследовательских и иных целей, не требующих идентификации личности. Правовое регулирование обезличивания в Российской Федерации осуществляется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконными актами, в частности приказом Роскомнадзора от 05.09.2013 № 996.

Правовые основы и определение

Согласно статье 3 Федерального закона № 152-ФЗ, обезличивание персональных данных — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Закон не предписывает единого метода обезличивания, оставляя выбор способа на усмотрение оператора, однако устанавливает, что обезличенные данные перестают быть персональными и на них не распространяются требования закона, за исключением случаев, когда обезличивание было произведено с нарушением установленного порядка.

Обработка обезличенных данных допускается без согласия субъекта, если она осуществляется в целях статистики, маркетинга, научных исследований, а также для повышения качества услуг. При этом оператор обязан вести учёт обезличенных данных и обеспечивать их защиту от повторного обезличивания (деанонимизации). Роскомнадзор осуществляет контроль за соблюдением требований к обезличиванию, в том числе за соответствием методов обезличивания утверждённым методикам.

Методы и способы обезличивания

Существует несколько основных методов обезличивания, которые могут применяться как по отдельности, так и в комбинации. Выбор метода зависит от целей обработки, типа данных и требуемой степени защиты.

1. Замена идентификаторов (псевдонимизация)

Замена прямых идентификаторов (ФИО, паспортные данные, СНИЛС, ИНН, номера телефонов, адреса электронной почты) на условные идентификаторы (псевдонимы). Псевдонимы могут быть случайными числами, хеш-функциями или кодами, которые не позволяют восстановить исходные данные без ключа соответствия. Этот метод сохраняет возможность связывания записей об одном субъекте в разных наборах данных, что важно для аналитики, но требует надёжного хранения ключа соответствия отдельно от обезличенного массива.

2. Обобщение (агрегирование)

Замена точных значений на более общие категории. Например, вместо точного возраста (35 лет) указывается возрастной диапазон (30–40 лет), вместо точного адреса — город или регион, вместо точной даты — месяц или год. Этот метод снижает точность данных, но делает невозможным точную идентификацию субъекта.

3. Удаление (редукция)

Полное удаление из набора данных полей, которые являются прямыми идентификаторами (например, столбцов с ФИО, паспортными данными). Этот метод наиболее прост, но может привести к потере ценной информации, если идентификаторы были необходимы для анализа.

4. Перестановка (рандомизация)

Изменение порядка записей в наборе данных или перемешивание значений внутри столбцов. Например, можно переставить фамилии между разными записями, чтобы разорвать связь между идентификатором и остальными данными. Этот метод снижает точность, но позволяет сохранить статистические характеристики набора.

5. Шумоподавление (добавление шума)

Внесение случайных небольших искажений в числовые данные (например, добавление случайной погрешности к возрасту или доходу). Этот метод используется для защиты от точной идентификации, особенно в публичных наборах данных.

6. Микроагрегация

Группировка записей с похожими значениями и замена их на средние или медианные значения по группе. Этот метод применяется для защиты от атак восстановления, когда злоумышленник пытается выделить отдельную запись по уникальному сочетанию признаков.

Критерии эффективности обезличивания

Эффективность обезличивания оценивается по нескольким критериям, установленным методическими рекомендациями Роскомнадзора:

Применение обезличивания

Обезличивание широко применяется в различных сферах, где требуется обработка больших массивов данных без нарушения конфиденциальности:

Риски и критика

Несмотря на широкое применение, обезличивание не является абсолютной гарантией защиты. Исследования показывают, что при наличии достаточного объёма внешних данных (например, из открытых источников, социальных сетей, утечек) возможно повторное обезличивание (деанонимизация) даже хорошо обезличенных наборов. Например, комбинация пола, возраста, почтового индекса и профессии может быть уникальной для конкретного человека, что позволяет идентифицировать его в обезличенной базе.

Кроме того, существуют риски, связанные с недобросовестным использованием метода. Некоторые операторы могут использовать слабые методы обезличивания (например, простое удаление ФИО без удаления других идентификаторов), что делает данные легко восстанавливаемыми. В связи с этим регуляторы (в том числе Роскомнадзор) рекомендуют применять многоуровневую защиту и регулярно проводить аудит методов обезличивания.

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →