Надо ли защищать конфиденциальность обезличенных ПДн? Надо!

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(6)
()
Опубликовано в:
Что-то в последнее время стало модно подменять понятие "защищенные ПДн" термином "обезличенные ПДн". Типа если ПДн обезличены, то и защищать их не надо (ну, или не надо защищать их "конфиденциальность"). А точнее, что если ПДн обезличены, то можно не выполнять многие требования ФСТЭК России по безопасности ПДн, а значит существенно снизить нагрузку (в том числе и денежную) на операторов ПДн. Ох, как это не верно и даже опасно. Ведь такие мысли создают ошибочное чувство защищенности...
Поясню.
 
Мысль номер раз. Про возможность отказа от мер защиты

Сейчас про обезличивание ПДн написано не много. Начнем со 152-ФЗ. Главное, что в нем определен термин:
 
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
В ст.5 п.7 говорится:
"Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом."
Еще есть небольшое упоминание в ст.6 "Условия обработки ПДн"
"1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
...
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;"
Все, больше в 152-ФЗ нет ничего про обезличивание. Кстати, ничего не сказано про обезличивание и в Постановлении Правительства №1119. А в Приказе ФСТЭК России №21 обезличивание упоминается только один раз в мере ЗНИ.8 "Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания" (базовая мера для УЗ 1-3).
 
Это я к тому, что на данный момент наличие обезличивания ПДн не является обоснованием того, что можно не выполнять какие-либо меры защиты. Но это скоро поправят. Напомню, что в проекте изменений 152-ФЗ, про который я уже упоминал, есть интересное положение. А именно, хотят дополнить ст.7 152-ФЗ (которая про конфиденциальность ПДн) следующим положением:
2. Обеспечение конфиденциальности персональных данных не требуется в отношении персональных данных, сделанных общедоступными субъектом персональных данных, в отношении данных, полученных оператором в результате обезличивания персональных данных, а также в отношении персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Вот тогда-то мы и сможем "официально" отказываться от мер по защите "конфиденциальности" ПДн. Правда меры по защите "целостности" и "доступности" ни кто не отменял, но это другая история.
 
Мысль номер два. Про защиту конфиденциальности

Еще у нас есть замечательные документы РКН:
  • Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ") (Зарегистрировано в Минюсте России 10.09.2013 N 29935)
  • "Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013)
Посмотрим их поподробнее. Начнем с Приказа №996, он короткий (всего 5 страниц).
 
Сразу видим "Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки." (т.е. защита "конфиденциальности" уже вроде как подразумевается).
 
Ну, ок. Читаем дальше: "К характеристикам (свойствам) методов обезличивания персональных данных относится ... стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных). Можем ли мы считать этот параметр "ответственным" за обеспечение конфиденциальности обезличенных ПДн? Скорее да... При этом все представленные методы обезличивания обладают "стойкостью" (с некоторыми мелкими допущениями).
 
А "Рекомендации" уже интереснее... В них на 17 страницах описаны конкретные процедуры и рекомендации по использованию методов обезличивания, а также приведены примеры обезличенных данных. Кстати, в документе вместо параметра "стойкость" стали использовать термин "анонимность" (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации). Ну, это уже мелочи, хотя и про защиту "конфиденциальности".
 
В документе говорится, что "При хранении обезличенных данных Оператору следует: ...обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания.". Про то, что следует обеспечивать "конфиденциальность" обезличенных данных нет ни слова. Вроде как предполагается, что это делать не надо. И это главная методологическая ошибка!!!
 
Чтобы это понять, достаточно просто взять примеры из приложения к документу. Напомню, что там представлена первоначальная таблица с ПДн и итоговые таблицы с обезличенными ПДн после преобразования.
 




 
Обратите внимание, что при нарушении "конфиденциальности" итоговых таблиц с обезличенными ПДн, вреда для конечного субъекта ПДн не будет лишь в случае использования второго метода (изменения состава или семантики). Во всех остальных (особенно первого и третьего метода) ущерб для конечного пользователя может быть очень велик. Злоумышленникам не надо знать ФИО субъекта, ведь, имея адрес, диагноз и телефон, уже можно предлагать некачественные лекарства, нетрадиционные методы медицины, шантажировать обещаниями рассказать о диагнозе "ВИЧ" друзьям и коллегам, ну и многое другое... И это очень страшно, ведь обезличенные ПДн, как мы с вами уже обсудили, не особо и собираются защищать. И в этом вся проблема...
 
Да, я понимаю, что в некоторых случаях обезличенные ПДн не надо защищать, но много ли их? 
 
Итого
Обезличивание ПДн не панацея, защищать их скорее всего придется. При этом общие затраты на организацию обработки и защиту, вероятно, будут выше чем при классическом "необезличенном" подходе. Хотя это надо считать для каждого конкретного случая.
 
P.S. Еще можно почитать:
Оцените материал:
Total votes: 110
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Александр Германович

Остается непонятным для чего, в таком случае, нужно обезличивание ПДн. Ради чего городить весь этот огород?

up
7 users have voted.
Аватар пользователя prozorov

В некоторых (редких) случаях обезличивание пригодится. Например, при использовании данных в статистических целях и при обезличивании методом №2

up
5 users have voted.
Аватар пользователя Александр Германович

Что пригодится это верно. Но в статистических целях можно обрабатывать и необезличенные ПДн. Если "защищать конфиденциальность" все равно нужно, зачем обезличивать??? Что это дает?

up
6 users have voted.
Аватар пользователя Атаманов Геннадий

Г-н Прозоров, в приведенном Вами примере отсутствуют, например, такие: сифилис, туберкулёз, чума, гепатит и пр. из этой серии.
Очень важно обеспечить "конфиденциальность", в т.ч. и методом обезличивания, таких ПДн для заражения как можно большего количества жителей страны этими заболеваниями. Есть ещё экономическая задача: "слупить халявного бабла" на обеспечении "конфиденциальности" подобной информации, способствуя таким образом выполнению первой (и, видимо, основной) задачи. Других задач как в защите того, что называется сейчас ПДн, так и в их обезличивании, не было, нет и быть не может! 
Для хохмы (и анализа) пример обезличенных персональных данных:
"Ч1" - российский государственный деятель, разваливший РАО ЭС. 

up
7 users have voted.
Аватар пользователя prozorov

Пример не мой, а РКН. 

up
12 users have voted.
Аватар пользователя Атаманов Геннадий

Не вопрос. Я же и написал "в приведенном Вами примере", а не в "Вашем примере", имея в виду именно это. Если что не так, извините. Главное, по моему, не в том, чей пример, а том, что 152-ФЗ и всё, что выходит в его развитие, есть одна большая глупость или одно большое преступление.  
Кстати, а обилие изменений, внесённых в него (о чём Вы говорили на "круглом столе") о чём говорит? По моему, только о его крайне низком качестве. Качество его таково, что вносить в него изменения бесполезно: лучше он не станет ни при каких обстоятельствах.
PS: Требование обезличивания ПДн само по себе уже есть преступление, а требование защищать обезличенные ПДн - это уже за гранью понимания психически и морально здорового человека. 

up
10 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.