Минцифры подготовило новую версию поправок в закон «О персональных данных», касающихся оборота обезличенных данных, следует из письма заместителя главы Минцифры Алены Руденко вице-премьеру и руководителю аппарата правительства Дмитрию Григоренко от 24 июня. О письме Forbes рассказал источник в Минцифры, информацию подтвердил еще один собеседник, знакомый с его содержанием.
Речь идёт о законопроекте №992331-7 «О внесении изменений в Федеральный закон "О персональных данных" (в части уточнения порядка обработки персональных данных)», уже принятом в I чтении Госдумой в феврале 2021 года.
Документ, который готовится ко второму чтению в Госдуме, изначально предусматривал упрощение работы бизнеса с данными. Предлагалось разрешить бизнесу получать согласие на обработку персональных данных сразу для нескольких целей, что упростило бы использование данных для развития сервисов искусственного интеллекта. Однако новая версия предусматривает передачу персональных данных в государственную информационную систему (ГИС) бесплатно по требованию государства.
Представители бизнеса неоднократно критиковали эту инициативу, называя ее фактическим изъятием персональных данных, собранных коммерческими компаниями. Директор по стратегическим проектам Ассоциации больших данных Ирина Левова и гендиректор Института исследований интернета Карен Казарян оценили создание ГИС в 20 млрд рублей, подчеркивая высокие риски для безопасности данных.
Согласно новой версии законопроекта, правительство будет устанавливать требования к пакетам данных и срокам их предоставления в ГИС, а также определять, кто и на каких условиях будет получать доступ к этим данным. Все коммерческие компании смогут обмениваться обезличенными данными только через «госозеро».
Рынок больших данных в России в 2021 году оценивался в 170 млрд рублей. Ожидается, что к 2024 году он может вырасти до 319 млрд рублей. Однако, по мнению экспертов, для оценки влияния законопроекта необходимо учитывать подзаконные акты, которые будут определять ответственность и порядок оборота данных.
Коммерческие компании сейчас не могут обезличивать персональные данные и обмениваться ими. Механизм обмена обезличенной информацией между компаниями не предусмотрен законом, что ставит под сомнение легитимность обмена данными между различными операторами.
Суть последних поправок заключается в том, что все компании без исключения обязаны по запросу Минцифры передавать массивы персональных данных. При этом субъекты данных не будут информироваться о факте передачи, и у них не будет возможности повлиять на этот процесс. Это, по мнению юриста Александры Орехович, является прямым нарушением принципа законности и справедливости, на котором базируется законодательство о защите персональных данных.
Неясно, где и как будет происходить обезличивание персональных данных: на стороне коммерческих компаний или на стороне «госозера». Если компании будут сдавать сырые персональные данные в ГИС, риск утечек значительно увеличивается. Для компаний это несет множество проблем, включая затраты на соблюдение требований подключения к ГИС и использование сертифицированных средств защиты данных.
Соучредитель Russian Privacy Professionals Association Алексей Мунтян считает, что основные правила будут определяться постановлениями правительства, что делает правила игры изменчивыми. Государство фактически вводит своего рода «цифровой налог», который нужно выплачивать наборами персональных данных.
Директор АНО «Информационная культура» Иван Бегтин также высказался против законопроекта:
«Я по прежнему не перестаю говорить, что единственными бенефициарами проекта являются спецслужбы, госкомпании и правительство. Говоря откровенно, этот закон людоедский. Правительство оказалось неспособным собрать данные для ИИ из государственных информационных систем, хотя там их не просто много, а бесконечно много. У российского государства есть такие данные как медицинские, спутниковые, данные фото- и видеофиксации, языковые и научные. Но вместо того, чтобы привести в порядок эти данные и сделать дата-сеты для ИИ, правительство просто отнимает у бизнеса данные о клиентах».
«Это один из самых худших законопроектов в РФ за последние годы, затрагивающий всех, чьи данные находятся в информационных системах и компаниях в российской юрисдикции», - подытоживает Бегтин.
