Обезличивание персональных данных
Обезличивание персональных данных — это процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Обезличивание является одним из способов обеспечения безопасности персональных данных при их обработке, позволяющим снизить риски для субъектов данных и одновременно сохранить возможность использования массивов данных для статистических, аналитических, исследовательских и иных целей, не требующих идентификации личности. Правовое регулирование обезличивания в Российской Федерации осуществляется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконными актами, в частности приказом Роскомнадзора от 05.09.2013 № 996.
Правовые основы и определение
Согласно статье 3 Федерального закона № 152-ФЗ, обезличивание персональных данных — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Закон не предписывает единого метода обезличивания, оставляя выбор способа на усмотрение оператора, однако устанавливает, что обезличенные данные перестают быть персональными и на них не распространяются требования закона, за исключением случаев, когда обезличивание было произведено с нарушением установленного порядка.
Обработка обезличенных данных допускается без согласия субъекта, если она осуществляется в целях статистики, маркетинга, научных исследований, а также для повышения качества услуг. При этом оператор обязан вести учёт обезличенных данных и обеспечивать их защиту от повторного обезличивания (деанонимизации). Роскомнадзор осуществляет контроль за соблюдением требований к обезличиванию, в том числе за соответствием методов обезличивания утверждённым методикам.
Методы и способы обезличивания
Существует несколько основных методов обезличивания, которые могут применяться как по отдельности, так и в комбинации. Выбор метода зависит от целей обработки, типа данных и требуемой степени защиты.
1. Замена идентификаторов (псевдонимизация)
Замена прямых идентификаторов (ФИО, паспортные данные, СНИЛС, ИНН, номера телефонов, адреса электронной почты) на условные идентификаторы (псевдонимы). Псевдонимы могут быть случайными числами, хеш-функциями или кодами, которые не позволяют восстановить исходные данные без ключа соответствия. Этот метод сохраняет возможность связывания записей об одном субъекте в разных наборах данных, что важно для аналитики, но требует надёжного хранения ключа соответствия отдельно от обезличенного массива.
2. Обобщение (агрегирование)
Замена точных значений на более общие категории. Например, вместо точного возраста (35 лет) указывается возрастной диапазон (30–40 лет), вместо точного адреса — город или регион, вместо точной даты — месяц или год. Этот метод снижает точность данных, но делает невозможным точную идентификацию субъекта.
3. Удаление (редукция)
Полное удаление из набора данных полей, которые являются прямыми идентификаторами (например, столбцов с ФИО, паспортными данными). Этот метод наиболее прост, но может привести к потере ценной информации, если идентификаторы были необходимы для анализа.
4. Перестановка (рандомизация)
Изменение порядка записей в наборе данных или перемешивание значений внутри столбцов. Например, можно переставить фамилии между разными записями, чтобы разорвать связь между идентификатором и остальными данными. Этот метод снижает точность, но позволяет сохранить статистические характеристики набора.
5. Шумоподавление (добавление шума)
Внесение случайных небольших искажений в числовые данные (например, добавление случайной погрешности к возрасту или доходу). Этот метод используется для защиты от точной идентификации, особенно в публичных наборах данных.
6. Микроагрегация
Группировка записей с похожими значениями и замена их на средние или медианные значения по группе. Этот метод применяется для защиты от атак восстановления, когда злоумышленник пытается выделить отдельную запись по уникальному сочетанию признаков.
Критерии эффективности обезличивания
Эффективность обезличивания оценивается по нескольким критериям, установленным методическими рекомендациями Роскомнадзора:
- Полнота обезличивания — степень удаления или замены идентифицирующей информации. Чем меньше остаётся прямых идентификаторов, тем выше полнота.
- Необратимость — невозможность восстановления исходных данных без использования дополнительной информации. Методы, основанные на хешировании без соли, могут быть обратимы при наличии радужных таблиц, поэтому требуют дополнительных мер.
- Сохранность свойств — степень, в которой обезличенные данные сохраняют статистические и аналитические характеристики исходного набора. Например, после обобщения может измениться распределение значений.
- Устойчивость к деанонимизации — способность набора данных противостоять атакам, направленным на повторную идентификацию субъектов (например, атакам на основе внешних данных или связывания с другими источниками).
Применение обезличивания
Обезличивание широко применяется в различных сферах, где требуется обработка больших массивов данных без нарушения конфиденциальности:
- Медицина — обезличенные медицинские данные используются для эпидемиологических исследований, анализа эффективности лекарств, обучения искусственного интеллекта. При этом удаляются ФИО, номера полисов, точные адреса, но сохраняются диагнозы, результаты анализов, возраст и пол.
- Научные исследования — социологические опросы, демографические исследования, анализ поведения пользователей проводятся на обезличенных данных, чтобы избежать утечки личной информации.
- Маркетинг и аналитика — компании анализируют обезличенные данные о покупках, предпочтениях, поведении на сайте для сегментации аудитории и персонализации предложений, не нарушая закон.
- Государственная статистика — Росстат и другие ведомства публикуют обезличенные статистические данные, например, о доходах населения, занятости, заболеваемости.
- Тестирование и разработка — в IT-компаниях обезличенные данные используются для тестирования программного обеспечения, обучения моделей машинного обучения, не подвергая риску реальных пользователей.
Риски и критика
Несмотря на широкое применение, обезличивание не является абсолютной гарантией защиты. Исследования показывают, что при наличии достаточного объёма внешних данных (например, из открытых источников, социальных сетей, утечек) возможно повторное обезличивание (деанонимизация) даже хорошо обезличенных наборов. Например, комбинация пола, возраста, почтового индекса и профессии может быть уникальной для конкретного человека, что позволяет идентифицировать его в обезличенной базе.
Кроме того, существуют риски, связанные с недобросовестным использованием метода. Некоторые операторы могут использовать слабые методы обезличивания (например, простое удаление ФИО без удаления других идентификаторов), что делает данные легко восстанавливаемыми. В связи с этим регуляторы (в том числе Роскомнадзор) рекомендуют применять многоуровневую защиту и регулярно проводить аудит методов обезличивания.
Интересные факты
- В 2006 году компания AOL опубликовала обезличенный набор данных о поисковых запросах пользователей, заменив имена на числовые идентификаторы. Однако журналистам удалось деанонимизировать нескольких пользователей по уникальным запросам, что привело к скандалу и отзыву данных.
- В 2014 году исследователи из Массачусетского технологического института показали, что по данным о кредитных транзакциях (обезличенным по стандартной методике) можно восстановить личность 90% пользователей, используя всего четыре точки данных (сумма, дата, категория, местоположение).
- В России требования к обезличиванию ужесточились после вступления в силу поправок к закону «О персональных данных» в 2015 году, которые обязали операторов вести реестр обезличенных данных и уведомлять Роскомнадзор о начале обработки.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
- Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- Методические рекомендации Роскомнадзора по обезличиванию персональных данных (2014).
- Narayanan A., Shmatikov V. Robust De-anonymization of Large Sparse Datasets (2008).
- Ohm P. Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization (2010).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →