Роскомнадзор предложил утвердить уточнённый список методов и требований для обезличивания персональных данных. В частности, ведомство подробно описало каждый применяемый метод, а проект приказа можно найти на портале проектов нормативных правовых актов.
В приказе обновляются требования и методы обезличивания персональных данных. Операторы теперь обязаны гарантировать, что после обезличивания данные не могут быть восстановлены без дополнительной информации, а также использовать системы, обеспечивающие безопасность таких данных. Также устанавливается запрет на совместное хранение исходных и обезличенных данных.
Все действия по обезличиванию должны быть зафиксированы и подтверждены. Среди основных методов ведомство выделяет введение идентификаторов с переменным значением, семантическое изменение состава данных, их искажение или перемешивание. В частности, теперь требуется более детально регламентировать, как изменяются и обрабатываются данные, чтобы исключить возможность восстановления исходных сведений.
11 сентября 2024 года «Коммерсантъ» сообщил, что Ассоциация больших данных (АБД, объединяющая «Сбер», «Яндекс», VK и другие компании) предложила Федеральной службе по техническому и экспортному контролю (ФСТЭК) России регулировать работу с обезличенными персональными данными, чтобы предотвратить риски их деобезличивания.
АБД считает необходимым закрепить технологии обработки и обмена данными, а также описать каждый класс технологий и подходы к оценке рисков. Ассоциация также перечислила риски деобезличивания, включая сопоставление данных, определение личности по уникальным характеристикам и другие.
ФСТЭК не прокомментировал предложение АБД. Однако АНО «Цифровая экономика» объяснила, что обсуждаемые вопросы важны, учитывая, что нормативные правовые акты по методам обезличивания данных должны быть приняты в рамках закона о таких данных, который был подписан 8 августа.
Этот закон вносит изменения в закон «О персональных данных». Изменения касаются порядка обезличивания персональных данных, их обработки и оборота. В частности, операторы данных должны будут по требованию Министерства цифрового развития обезличивать информацию. Министерство цифрового развития обязано обеспечить конфиденциальность этих данных. В министерстве цифрового развития газете заявили, что такое обезличивание данных полностью исключает возможность установления личности.