Сегодня комиссия по законопроектной деятельности правительства рассмотрит поправки Белого дома ко второму чтению законопроекта об обезличивании персональных данных. Для создания государственного пула наборов данных, необходимого для развития в РФ аналитики big data, Белый дом обяжет компании анонимизировать их и сдавать в ГИС по запросам Минцифры. В обмен бизнес получит возможность анализировать дата-сеты, не покидая периметра ГИС, но выгрузка их будет запрещена, а свежие коммерческие данные компаний станут доступны бизнесу для изучения только через год после сдачи во избежание недобросовестной конкуренции. Решение о принадлежности данных нужно для выстраивания объединяющего все остальные нацпроекта «Экономика данных», их консолидация государством объясняется требованиями безопасности, а возможность «заказа» Минцифры дата-сетов у компаний вызвана потребностями властей во взгляде на экономику с их стороны.
Как стало известно “Ъ”, комиссия правительства по законопроектной деятельности рассмотрит сегодня поправки к совместной разработке Минцифры и депутатов об обезличивании персональных данных перед вторым чтением в Госдуме на этой неделе. Документ призван решить давно ограничивающую оборот данных и аналитику big data в РФ проблему распределения полномочий в работе с данными между компаниями и государством. Законопроект был внесен в Госдуму еще летом 2020 года, прошел первое чтение в феврале 2021 года, но ко второму чтению многократно менялся: в исходной версии обезличивание данных могло происходить только с согласия человека, а бизнес мог затем их свободно использовать (см. “Ъ” от 12 июля 2022 года и от 10 июня).
Последняя версия (с ней ознакомился “Ъ”) предполагает, что бизнес и госорганизации по запросу Минцифры будут передавать данные в обезличенном виде в единую государственную информационную систему (ГИС) ведомства для формирования дата-сетов, с которыми затем смогут работать (не «вынося» их за периметр ГИС) заинтересованные компании. Отметим, что ранее предусматривалось, что если у оператора нет возможности самостоятельно обезличить данные (это дополнительная нагрузка на бизнес), то он может передать данные в оригинальном виде в Минцифры. По словам источника “Ъ”, знакомого с подготовкой документа, требование об обязательном обезличивании на стороне компаний введено «по запросу самого бизнеса, в частности банковского сектора. Банки не готовы передавать "сырые" данные». Метод и порядок обезличивания определит правительство по согласованию с ФСБ.
Де-факто дискуссии о том, кому в России принадлежат данные, велись властями и бизнесом последние десять лет, после 2022 года подход «все данные должны быть под контролем государства» стал магистральным — по соображениям информационной безопасности и противодействия санкциям.
Правки в законопроект об обезличивании вносились под руководством главы аппарата правительства и ответственного за «большую цифровизацию» исполнительной власти вице-премьера Дмитрия Григоренко, а контекстом этой работы очевидно выступает параллельная сборка чиновником нацпроекта «Экономика данных» — он должен быть готов к началу сентября, и решение вопроса о правилах оборота и обработки big data является для него одним из ключевых. Ранее, напомним, принцип «все данные хранятся на стороне государства, выполняющего для бизнеса сервисные функции» был реализован при формировании Единой биометрической системы: она также по соображениям информационной безопасности не «отдает» информацию вовне, а лишь подтверждает банкам соответствие биометрии клиента образцу в базе. Еще одна потребность, которую «закрывает» предложенная редакция законопроекта,— интерес государства к тому, как конкретно отражается госрегулирование и госстимулирование на работе компаний: «госуправление, основанное на данных» — один из главных принципов работы правительства Михаила Мишустина, но до сих пор возможности оперативно получать доступ к частным данным в необходимом Белому дому разрезе были ограниченны.
Теперь правительству предстоит определить структуру ГИС Минцифры, в которой будет происходить формирование дата-сетов. Сейчас предполагается, что это будет отдельная подсистема Национальной системы управления данными. Кроме того, правительство определит случаи, когда необходим сбор данных, порядки взаимодействия Минцифры и операторов, ГИС и информационных систем операторов, формирования дата-сетов и доступа к ним различных организаций. «Дата-сеты формируются под определенные задачи, которые утверждает правительство. В первую очередь это социально-экономическое развитие страны, точечное оказание мер поддержки гражданам и бизнесу»,— отметили в аппарате вице-премьера.
Бизнес (при условии подтверждения его контроля россиянами) получит доступ к государственным и — с ограничениями — коммерческим данным в ГИС через «единое окно».
Компании «легально и бесплатно смогут получать информацию, которая позволит им запускать новые продукты и совершенствовать свои услуги на базе ранее недоступной им аналитики», говорят в аппарате Белого дома. Предполагается, что бизнес получит доступ к дата-сетам, сформированным на основе госданных, с 1 сентября 2025 года — предприниматели смогут бесплатно подключить свою информационную систему к ГИС Минцифры. При этом доступ к «свежим» (собранным в последние три года) коммерческим дата-сетам физические и юридические лица смогут получить ориентировочно с 2028 года.
«Временный мораторий является консолидированной позицией органов госвласти и бизнес-сообщества. В процессе разработки текста законопроекта бизнес (например, банковский сектор) неоднократно заявлял о том, что не готов делиться актуальными данными с другими коммерческими организациями, поскольку этой информацией могут воспользоваться их конкуренты, что может привести к формированию недобросовестной конкуренции»,— рассказал “Ъ” источник, знакомый с подготовкой документа. Кроме того, не допускается обработка данных и использование ее результатов, если это может привести к «причинению вреда жизни, здоровью, оскорблению нравственности» и т. п.,— впрочем, как будет выглядеть попытка властей регламентировать «нравственность» обработки данных, пока предположить сложно.
Отметим, поправки предусматривают особый порядок обезличивания персональных данных в Москве, в связи с чем предлагается внести изменения и в закон 123-ФЗ об экспериментальном правовом режиме для разработки и внедрения в столице технологий искусственного интеллекта.
Так, региональный оператор должен разместить обрабатываемые данные в региональную информационную систему, а обезличиванием займется столичный департамент информационных технологий. Порядок формирования этих наборов данных определит правительство Москвы по согласованию с ФСБ. «Решение о создании региональной информационной системы принимается в тех случаях, когда в регионе уже существует развитая цифровая инфраструктура»,— пояснили в аппарате Дмитрия Григоренко. К ГИС Москвы при этом предъявляются те же жесткие требования к безопасности, законом предусмотрен единый механизм ее функционирования и обеспечения сохранности данных. По запросу сформированные дата-сеты в ней будут дублироваться в ГИС Минцифры, добавили там.
Напомним, что ранее бизнес раскритиковал поправки к законопроекту, предложенные ко второму чтению главой комитета Госдумы по связи и IT Александром Хинштейном (эта редакция размещена на сайте Госдумы). Так, в Ассоциации больших данных (АБД; входят «Яндекс», «Сбер», VK, операторы связи и др.) полагали, что поправки, предусматривающие, что доступ к данным получат только государственные и муниципальные органы, а также компании из спецперечня, «концептуально противоречат поручениям президента» и вместо создания условий для передачи данных госорганами разработчикам ИИ-решений предполагают «передавать коммерческие данные государству». Кроме того, в нем отсутствовала ясность в части организационно-технической механики реализации предлагаемых изменений, добавили в пресс-службе ассоциации. Нынешняя редакция предусматривает минимальные изменения, отмечают там. «В тексте по-прежнему даются ссылки как минимум на 20 подзаконных актов. К сожалению, несмотря на многочисленные запросы отрасли, проектов подзаконных документов нам представлено не было»,— говорят в АБД. Для того чтобы понять, во сколько инициатива обойдется государству и отрасли, какой возможен экономический эффект, необходимо в том числе знать, каковы требования к обезличиванию данных и передаче данных, к дата-сетам, цели запросов и ограничения по ним (то есть что такое «нужды государственного управления»), как будет осуществляться контроль качества данных и совместимости.
В аппарате правительства “Ъ” подтвердили, что конкретные регламенты запросов Минцифры к компаниям и работы бизнеса в ГИС министерства будут установлены подзаконными актами, которые, впрочем, там обещают «гармонизировать» с предпринимательским сообществом. Отметим, что опасения компаний понятны, однако следует учитывать и тот факт, что аппарат Белого дома и Минцифры в последние годы демонстрировали заметную ориентацию на упрощение работы бизнеса — в активе первого есть реализованные в тесном взаимодействии с компаниями реформы контроля и надзора и лицензионно-разрешительной деятельности, на счету министерства же — весьма эффективная защита компаний и кадров IT-отрасли от шоков, возникших вследствие начала военной операции России на Украине в 2022 году, что позволило Минцифры в значительной степени сохранить необходимые для «большой цифровизации» страны ресурсы.