Обезличивание персональных данных: приказ 996

Содержание

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 “Об утверждении требований и методов по обезличиванию персональных данных”

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996
“Об утверждении требований и методов по обезличиванию персональных данных”

ГАРАНТ:

См. Методические рекомендации по применению настоящего приказа, утвержденные Роскомнадзором 13 декабря 2013 г.

В соответствии с подпунктом “з” пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626), приказываю:

1. Утвердить прилагаемые требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.

2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.

Зарегистрировано в Минюсте РФ 10 сентября 2013 г.

Регистрационный N 29935

Требования и методы
по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ
(утв. приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996)

1. Настоящие Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее – Требования и методы) разработаны в соответствии с подпунктом “з” пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626).

2. В соответствии со статьей 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” (Собрание законодательства Российской Федерации 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. I), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651) под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

4. К свойствам обезличенных данных относятся:

полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);

структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);

релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);

семантическая целостность (сохранение семантики персональных данных при их обезличивании);

применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее – оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);

анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

5. К характеристикам (свойствам) методов обезличивания персональных данных (далее – методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:

обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);

вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);

изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);

стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);

возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);

совместимость (возможность интеграции персональных данных, обезличенных различными методами);

параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);

возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).

6. Требования к методам обезличивания подразделяются на:

требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;

требования к свойствам, которыми должен обладать метод обезличивания.

7. К требованиям к свойствам получаемых обезличенных данных относятся:

сохранение полноты (состав обезличенных данных должен полностью

соответствовать составу обезличиваемых персональных данных);

сохранение структурированности обезличиваемых персональных данных;

сохранение семантической целостности обезличиваемых персональных данных;

анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k- anonymity).

8. К требованиям к свойствам метода обезличивания относятся:

обратимость (возможность проведения деобезличивания);

возможность обеспечения заданного уровня анонимности;

увеличение стойкости при увеличении объема обезличиваемых персональных данных.

9. Выполнение приведенных в пунктах 7 и 8 Требований и методов требований обязательно для обезличенных данных и применяемых методов обезличивания.

10. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.

11. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:

метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);

метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).

12. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.

Метод обеспечивает следующие свойства обезличенных данных:

Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);

изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);

стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);

параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.

13. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.

Метод обеспечивает следующие свойства обезличенных данных:

Оценка свойств метода:

обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);

вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);

параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);

возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).

Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.

При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).

14. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.

Метод обеспечивает следующие свойства обезличенных данных:

Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);

возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);

параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.

15. Метод перемешивания реализуется путем перемешивания отдельных записей, а так же групп записей между собой.

Метод обеспечивает следующие свойства обезличенных данных:

Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);

возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);

параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.

Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.

Установлены требования и методы по обезличиванию персональных данных, обрабатываемых в соответствующих информационных системах, в т. ч. созданных и функционирующих в рамках реализации ФЦП.

Под обезличиванием понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.

Выделяют 4 наиболее перспективных и удобных для практического применения метода обезличивания.

Первый – метод введения идентификаторов. Он заключается в замене части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия последних исходным данным.

Второй – метод изменения состава или семантики (путем замены результатами статистической обработки, обобщения или удаления части сведений).

Третий – метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств).

Четвертый – метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 “Об утверждении требований и методов по обезличиванию персональных данных”

Зарегистрировано в Минюсте РФ 10 сентября 2013 г.

Регистрационный N 29935

Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

Текст приказа опубликован в “Российской газете” от 18 сентября 2013 г. N 208

Обезличивание персональных данных: приказ 996

УТВЕРЖДАЮ
Руководитель Федеральной службы
по надзору в сфере связи,
информационных технологий
и массовых коммуникаций
А.А.Жаров
13.12.2013

Общие положения

Постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 утвержден перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами (далее – Перечень).

В соответствии с п.п.з) п.1 Перечня одной из мер, направленных, в первую очередь, на минимизацию рисков причинения вреда конкретным гражданам в случае утечки их персональных данных из информационных систем персональных данных, является обезличивание персональных данных согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных.

Роскомнадзором, как уполномоченным органом по защите прав субъектов персональных данных в Российской Федерации, установлены требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, которые утверждены приказом Роскомнадзора от 5 сентября 2013 года N 996 (далее – Приказ).

Данные методические рекомендации разработаны с целью оказания помощи операторам, осуществляющим обработку персональных данных и являющимся государственными или муниципальными органами (далее – Методические рекомендации, Операторы), в выборе предпочтительных вариантов реализации утвержденных требований и методов на практике.

Методические рекомендации содержат методологию обезличивания персональных данных в информационных системах, а также построение процессов дальнейшей обработки данных, полученных в результате обезличивания (далее – обезличенные данные).

Методические рекомендации содержат анализ процессов автоматизированной обработки обезличенных данных, требований к обезличенным данным и методам обезличивания, позволяющий выделить основные свойства обезличенных данных и методов обезличивания и оценить возможности их применения при решении задач обработки персональных данных с учетом вида деятельности Оператора и необходимых действий с персональными данными.

В Методических рекомендациях используются следующие термины и определения:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Деобезличивание – действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обезличенные данные – это данные, хранимые в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Обработка обезличенных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации, с обезличенными данными, без применения их предварительного деобезличивания.

Оператор – государственный орган или муниципальный орган, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) и хранимая в информационных системах в электронном виде.

Персональные данные субъекта представляются в виде записи, которая является самостоятельной единицей данных, имеет определенную структуру и содержит множество значений атрибутов персональных данных субъекта.

Обезличенные данные субъекта представляются в виде записи, которая является самостоятельной единицей данных, имеет определенную структуру и содержит множество значений атрибутов обезличенных данных.

Атрибут персональных данных субъекта – элемент структуры персональных данных (параметр персональных данных). Атрибут имеет название и может иметь множество возможных количественных и качественных значений применительно к конкретным субъектам персональных данных.

Атрибут обезличенных данных субъекта – элемент структуры обезличенных данных (параметр обезличенных данных). Атрибут имеет название и может иметь множество возможных количественных и качественных значений.

Семантика атрибута персональных данных – смысловое значение названия атрибута, обозначения персональных данных.

Семантика атрибута, обезличенных данных – смысловое значение названия атрибута, обозначения обезличенных данных.

Персональные данные множества субъектов представлены в виде множества (массива) записей персональных данных.

Ниже приводятся свойства обезличенных персональных данных, определяющие возможность их применения для конкретных видов обработки персональных данных с целью решения прикладных задач, стоящих перед Оператором в зависимости от вида его деятельности и связанных с обработкой персональных данных.

Свойства обезличенных данных:

Полнота – сохранение всей информации о персональных данных конкретных субъектов или группах субъектов, которая имелась до обезличивания.

Структурированность – сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания.

Релевантность – возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме.

Семантическая целостность – соответствие семантики атрибутов обезличенных данных семантике соответствующих атрибутов персональных данных при их обезличивании.

Применимость – возможность обработки персональных данных с целью решения задач, стоящих перед Оператором, без предварительного деобезличивания всего объема записей о субъектах.

Анонимность – невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации.

Наличие перечисленных свойств обеспечивается применяемыми методами обезличивания.

1. Методы обезличивания

Методы обезличивания, кроме обеспечения требуемых свойств обезличенных данных, должны быть практически реализуемыми в различных программных средах и позволять решать поставленные перед Оператором задачи обработки персональных данных либо с предварительным деобезличиванием, либо без деобезличивания.

К методам обезличивания, установленным Приказом, относятся:

метод введения идентификаторов – замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным;

метод изменения состава или семантики – изменение состава или семантики персональных данных путем замены результатами статистической обработки, преобразования, обобщения или удаления части сведений;

метод декомпозиции – разделение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств;

метод перемешивания – перестановка отдельных значений или групп значений атрибутов персональных данных в массиве персональных данных.

Применение того или иного метода обезличивания позволит получить обезличенные данные, обладающие различными свойствами, что даст возможность осуществлять все виды обработки персональных данных. В связи с этим, в описании методов обезличивания указаны условия, обеспечивающие выполнение определенных свойств и требований.

Следует также отметить, что существуют виды (задачи) обработки персональных данных, когда наличие всех требуемых свойств не обязательно, например, при решении статистических задач. Таким образом, в каждом конкретном случае необходимо применять метод, который гарантирует свойства, необходимые для решения конкретных задач обработки стоящих перед Оператором.

Далее, в описании методов обезличивания, приводятся рекомендации по применению утвержденных методов обезличивания.

1.1. Метод введения идентификаторов.

Метод реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия (справочника идентификаторов).

Применение данного метода позволяет получить обезличенные данные обладающие следующими свойствами:

полнота – информация, позволяющая идентифицировать субъектов персональных данных, не удаляется, а переносится в таблицу соответствия;

структурированность – каждому идентификатору после процедуры обезличивания однозначно соответствует свой набор данных;

семантическая целостность – вид представления данных не меняется, они лишь переносятся в таблицу соответствия.

Анонимность возможно обеспечить только при определенных правилах выбора идентификаторов и заменяемых ими персональных данных, поскольку метод не устойчив к атакам, направленным на справочники идентификаторов при косвенном деобезличивании и атакам, направленным на деобезличивание с использованием информации из справочников идентификаторов, кроме того, стойкость метода не повышается с увеличением объема обезличиваемых данных.

Также обеспечивается применимость – Оператор может осуществлять обработку отдельных записей и всех обезличенных данных без деобезличивания.

Обезличенные данные, полученные в результате применения названного метода, не будут обладать свойством релевантности, поскольку в запросе и в ответе на запрос изменяется вид представления персональных данных, которые были заменены идентификаторами.

Применение данного метода позволит сохранить в записях связи между атрибутами обезличенных данных, соответствующие связям между атрибутами персональных данных.

Метод введения идентификаторов целесообразно применять при небольшом количестве атрибутов персональных данных и небольшом объеме массива персональных данных, в связи с тем, что объем справочников будет напрямую зависеть от этих параметров. Вычислительная эффективность метода значительно снижается при частом внесении изменений в состав данных и значения атрибутов.

1.2. Метод изменения состава или семантики.

Метод реализуется путем обобщения, изменения значений атрибутов персональных данных или удаления части сведений, позволяющих идентифицировать субъекта.

Применение данного метода позволяет получить обезличенные данные, обладающие следующими свойствами:

структурированность – связь между отдельными значениями атрибутов персональных данных субъекта не нарушается;

анонимность – удаление или обобщение части данных приводит к неоднозначности при идентификации с использованием обезличенных данных.

Полученные обезличенные данные могут обладать свойством полноты только при проведении изменений в составе персональных данных, гарантирующих сохранность данных. При удалении части сведений полученные обезличенные данные утрачивают свойство полноты.

Семантическая целостность полученных данных обеспечивается только при условии проведения изменений в составе персональных данных, сохраняющих семантику данных. Изменения должны учитывать специфику задач обработки, стоящих перед Оператором.

Также обеспечиваются следующие свойства обезличенных данных:

частичная релевантность, поскольку в определенных случаях возможно получить семантическое соответствие поискового запроса и полученного ответа на запрос;

применимость, поскольку Оператор может осуществлять обработку, не требующую деобезличивания всего объема данных о субъектах.

При выделении атрибутов персональных данных необходимо учитывать возможность проведения обезличивания с использованием данных атрибутов. При простом изменении значений отдельных атрибутов обезличивание может не произойти, поскольку произойдет только изменение состава персональных данных.

Применение данного метода позволяет частично сохранить в записях связи между атрибутами обезличенных данных, соответствующие связям между атрибутами персональных данных.

Метод изменения состава и семантики целесообразно применять в случае, когда возможно изменение состава и семантики, так, что задачи обработки персональных данных не требуют деобезличивания, поскольку метод не обладает свойством обратимости при любых изменениях состава и семантики данных. В противном случае необходимо использовать дополнительную информацию для проведения деобезличивания.

Данный метод также целесообразно применять в случаях автономного использования Оператором обезличенных данных, когда не требуется совместимость с данными других Операторов.

1.3. Метод декомпозиции.

Метод реализуется путем разделения множества атрибутов персональных данных на несколько подмножеств и создания таблиц, устанавливающих связи между подмножествами (таблицы связей), с последующим раздельным хранением записей, соответствующих подмножествам этих атрибутов.

Применение данного метода позволит получить обезличенные данные, обладающие следующими свойствами:

полнота – информация о субъектах персональных данных не удаляется, а переносится в другое хранилище;

структурированность – сохраняется связь между записями в разных хранилищах, что позволяет однозначно сопоставлять их;

семантическая целостность – семантика и вид представления данных о субъекте не изменяется.

Анонимность обеспечивается только при достаточно сложных связях между хранилищами и защите хранилищ от несанкционированного доступа, поскольку метод не устойчив к атакам, направленным на деобезличивание путем анализа данных из различных хранилищ и косвенному деобезличиванию.

Также обеспечиваются следующие свойства обезличенных данных:

релевантность, поскольку возможно получить семантическое соответствие поискового запроса и полученного ответа на запрос;

применимость, поскольку Оператор может осуществлять обработку данных, расположенных в одном хранилище, как независимо от другого, так и при совместном их использовании, без деобезличивания всего объема обезличенных данных.

Применение данного метода позволяет сохранить в записях каждого хранилища связи между атрибутами обезличенных данных, соответствующие связям между атрибутами персональных данных.

Метод декомпозиции целесообразно применять при большом количестве атрибутов персональных данных, но при достаточно редком внесении изменений в состав данных и значения атрибутов.

1.4. Метод перемешивания.

Метод реализуется путем перемешивания (перестановки) отдельных значений или групп значений атрибутов персональных данных между собой.

Применение данного метода позволит получить обезличенные данные, обладающие следующими свойствами:

полнота – вся информация о субъектах персональных данных сохраняется;

структурированность – связи между данными полностью восстанавливаются при деобезличивании;

семантическая целостность – семантика и вид представления данных о субъекте не изменяется;

анонимность – данные перемешиваются по каждому отдельному атрибуту записи о субъекте, что не позволяет без доступа к дополнительной (служебной) информации определить принадлежность тех или иных данных конкретному субъекту.

Также обеспечиваются следующие свойства обезличенных данных:

релевантность, поскольку возможно получить семантическое соответствие поискового запроса и полученного ответа на запрос;

применимость, поскольку при наличии доступа к дополнительной (служебной) информации Оператор может осуществлять обработку как отдельных записей о субъектах, так и всех данных, без деобезличивания всего объема обезличенных данных.

Применение данного метода не позволяет сохранить в записях связи между атрибутами обезличенных данных, соответствующие связям между атрибутами персональных данных.

Метод перемешивания целесообразно применять при большом количестве атрибутов персональных данных и большом объеме массива персональных данных, поскольку стойкость метода к атакам направленным на деобезличивание увеличивается с увеличением указанных параметров, а количество дополнительной информации слабо зависит от объема массива персональных данных.

Метод перемешивания эффективен при необходимости сложной обработки персональных данных, частом внесении изменений в значения атрибутов.

Результаты сопоставления свойства обезличенных данных с методами обезличивания приведены в Таблице 1.

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 г. Москва “Об утверждении требований и методов по обезличиванию персональных данных”

Комментарии Российской Газеты

Зарегистрирован в Минюсте РФ 10 сентября 2013 г.

Регистрационный N 29935

В соответствии с подпунктом “з” пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626), приказываю:

1. Утвердить прилагаемые требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.

2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.

Руководитель А. Жаров

Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ

1. Настоящие Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее – Требования и методы) разработаны в соответствии с подпунктом “з” пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626).

2. В соответствии со статьей 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” (Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. I), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651) под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

4. К свойствам обезличенных данных относятся:

полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);

структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);

релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);

семантическая целостность (сохранение семантики персональных данных при их обезличивании);

применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее – оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);

анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

5. К характеристикам (свойствам) методов обезличивания персональных данных (далее – методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:

обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);

вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);

изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);

стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);

возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);

совместимость (возможность интеграции персональных данных, обезличенных различными методами);

параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);

возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).

6. Требования к методам обезличивания подразделяются на:

требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;

требования к свойствам, которыми должен обладать метод обезличивания.

7. К требованиям к свойствам получаемых обезличенных данных относятся:

сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);

сохранение структурированности обезличиваемых персональных данных;

сохранение семантической целостности обезличиваемых персональных данных;

анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-anonymity).

8. К требованиям к свойствам метода обезличивания относятся:

обратимость (возможность проведения деобезличивания);

возможность обеспечения заданного уровня анонимности;

увеличение стойкости при увеличении объема обезличиваемых персональных данных.

9. Выполнение приведенных в пунктах 7 и 8 Требований и методов требований обязательно для обезличенных данных и применяемых методов обезличивания.

10. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.

11. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:

метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);

метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).

12. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.

Метод обеспечивает следующие свойства обезличенных данных:

Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);

изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);

стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);

параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.

13. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.

Метод обеспечивает следующие свойства обезличенных данных:

Оценка свойств метода:

обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);

вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);

параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);

возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).

Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.

При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).

14. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.

Метод обеспечивает следующие свойства обезличенных данных:

Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);

возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);

параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.

15. Метод перемешивания реализуется путем перемешивания отдельных записей, а так же групп записей между собой.

Метод обеспечивает следующие свойства обезличенных данных:

Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);

возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);

параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.

Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.

Приказ Роскомнадзора от 05.09.2013 N 996 “Об утверждении требований и методов по обезличиванию персональных данных” (вместе с “Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ”) (Зарегистрировано в Минюсте России 10.09.2013 N 29935)

МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ,

ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

от 5 сентября 2013 г. N 996

ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ И МЕТОДОВ

ПО ОБЕЗЛИЧИВАНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с подпунктом “з” пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626), приказываю:

1. Утвердить прилагаемые требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.

2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.

приказом Федеральной службы

по надзору в сфере связи,

и массовых коммуникаций

от 05.09.2013 N 996

ТРЕБОВАНИЯ И МЕТОДЫ

ПО ОБЕЗЛИЧИВАНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ

В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ

СОЗДАННЫХ И ФУНКЦИОНИРУЮЩИХ В РАМКАХ РЕАЛИЗАЦИИ ФЕДЕРАЛЬНЫХ

1. Настоящие Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее – Требования и методы) разработаны в соответствии с подпунктом “з” пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626).

2. В соответствии со статьей 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ “О персональных данных” (Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. I), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651) под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

4. К свойствам обезличенных данных относятся:

полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);

структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);

релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);

семантическая целостность (сохранение семантики персональных данных при их обезличивании);

применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее – оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);

анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

5. К характеристикам (свойствам) методов обезличивания персональных данных (далее – методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:

обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);

вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);

изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);

стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);

возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);

совместимость (возможность интеграции персональных данных, обезличенных различными методами);

параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);

возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).

6. Требования к методам обезличивания подразделяются на:

требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;

требования к свойствам, которыми должен обладать метод обезличивания.

7. К требованиям к свойствам получаемых обезличенных данных относятся:

сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);

сохранение структурированности обезличиваемых персональных данных;

сохранение семантической целостности обезличиваемых персональных данных;

анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-anonymity).

8. К требованиям к свойствам метода обезличивания относятся:

обратимость (возможность проведения деобезличивания);

возможность обеспечения заданного уровня анонимности;

увеличение стойкости при увеличении объема обезличиваемых персональных данных.

9. Выполнение приведенных в пунктах 7 и 8 Требований и методов требований обязательно для обезличенных данных и применяемых методов обезличивания.

10. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.

11. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:

метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);

метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).

12. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.

Метод обеспечивает следующие свойства обезличенных данных:

Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);

изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);

стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);

параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.

13. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.

Метод обеспечивает следующие свойства обезличенных данных:

Оценка свойств метода:

обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);

вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);

параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);

возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).

Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.

При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).

14. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.

Метод обеспечивает следующие свойства обезличенных данных:

Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);

возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);

параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.

15. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.

Метод обеспечивает следующие свойства обезличенных данных:

Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);

возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);

параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.

Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.

Судебная практика и законодательство — Приказ Роскомнадзора от 05.09.2013 N 996 “Об утверждении требований и методов по обезличиванию персональных данных” (вместе с “Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ”) (Зарегистрировано в Минюсте России 10.09.2013 N 29935)

28. Обезличивание персональных данных осуществляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 “Об утверждении требований и методов по обезличиванию персональных данных” (зарегистрирован Минюстом России 10 сентября 2013 г., регистрационный N 29935).

4.3. Обезличивание персональных данных осуществляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 “Об утверждении требований и методов по обезличиванию персональных данных” (зарегистрирован Минюстом России 10 сентября 2013 г., регистрационный N 29935).

К методам обезличивания, установленным Приказом, относятся:

метод введения идентификаторов – замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным;

метод изменения состава или семантики – изменение состава или семантики персональных данных путем замены результатами статистической обработки, преобразования, обобщения или удаления части сведений;

31. Обезличивание персональных данных осуществляется в соответствии с приказом Роскомнадзора от 5 сентября 2013 г. N 996 “Об утверждении требований и методов по обезличиванию персональных данных” (зарегистрирован Минюстом России 10 сентября 2013 г., регистрационный N 29935).

41. Обезличивание персональных данных осуществляется в соответствии с приказом Роскомнадзора от 5 сентября 2013 г. N 996 “Об утверждении требований и методов по обезличиванию персональных данных” .

24. Обезличивание персональных данных осуществляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 “Об утверждении требований и методов по обезличиванию персональных данных” (зарегистрирован Минюстом России 10 сентября 2013 г., регистрационный N 29935).

42. Обезличивание персональных данных осуществляется в соответствии с приказом Роскомнадзора от 5 сентября 2013 г. N 996 “Об утверждении требований и методов по обезличиванию персональных данных”.

43. Обезличенные персональные данные не подлежат разглашению.

Что такое обезличивание персональных данных, для чего нужно, каковы правила работы с ними?

Обращение с персональными данными как физического, так и юридического лица в Российской Федерации регламентируется законодательством. Такая информация принадлежит владельцу и может обрабатываться только при наличии согласия.

Обезличивание позволяет компании снизить приоритетность информации, обезопасить хозяев за счет сокращения и изменениях ведомостей. В этом материале мы разберемся с тем, что собой представляет обезличивание данных, в каких случаях оно используется и с какой конечной целью.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему – обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Что это такое?

Обезличивание персональной информации является составляющей частью обработки материалов. В статье 7 Федерального закона РФ от 27 июля 2006 года «О персональных данных» сообщается, что под обезличиванием ведомостей понимается действие, которое делает невозможным определение принадлежности информации к конкретному лицу. При этом, речь идет только об идентификации физического или юридического лица на основе сообщений, которые подвергаются обезличиванию.

Статья 7 ФЗ №152 от 27 июля 2006 года «О персональных данных». Конфиденциальность персональных данных

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Эта же информация может помочь определить, к какому россиянину относятся ведомости, если будут использованы дополнительные источники. Обезличивание проводится как при помощи автоматизированных систем (компьютеров, программ), так и без использования таких средств.

Алгоритм доступен только операторам, имеющим в своем распоряжении информацию личного характера. После обезличивания материалов с оператора снимаются требования по обеспечению максимальной конфиденциальности.

Теперь вы в общих чертах знаете, что это такое — обезличенные данные о клиентах.

Для чего необходимо?

Роскомнадзор определяет обезличивание в качестве способа защиты информации от несанкционированного использования, однако сохранить возможность пользоваться ею дальше. В некоторых случаях операторам необходимо сохранить доступ к ведомостям на длительный срок. Если ликвидировать материалы невозможно, обезличивание станет достойной альтернативой.

Хранение персональных сообщений регулируется законом, требует выполнения мероприятий по обеспечению конфиденциальности. Например, в электронном виде сведения должны храниться в информационных системах, прошедших государственную экспертизу. Переведя данные в разряд обезличенных, оператор может сократить собственные расходы на хранение информации, ведь с этого момента они больше не позволяют определить их владельца.

Пример

Многие из жителей Российской Федерации пользуются интернет-магазинами для совершения быстрых и выгодных покупок. И каждый торговый портал является оператором ПД (персональных данных). Предположим, ресурс хранит сообщения о клиентах в электронном виде.

По каждому покупателю у оператора имеются следующие сведения: ФИО, город проживания, перечень заказанных товаров. Все эти материалы являются личными, дают возможность идентифицировать лицо с большой долей вероятности или способны, в случае неконтролируемого распространения, нанести гражданину — обладателю информации — вред.

Возьмем для примера метод декомпозиции. Он предусматривает разбивку массива информации (ФИО, город проживания и перечень товаров) на несколько частей, которые будут храниться отдельно друг от друга. Все три группы по отдельности не могут стать инструментом для идентификации человека.

Однако при любом способе деперсонализации данных интернет-магазин сохранит возможность оперировать необходимыми материалами, например, использовать информацию для собственных статистических исследований по популярности ресурса в отдельном населенном пункте или востребованности определенного товара.

Правила работы

Такие правила устанавливаются региональными муниципалитетами Российской Федерации на основе уже упомянутого Федерального закона «О персональных данных».

  • На обезличенные ПД распространяется требования о сохранении информации и обеспечении защиты ведомостей личного свойства от третьих лиц.
  • Обрабатывать их при помощи средств автоматизации или без из участия средств автоматизации
  • Придерживаться антивирусной, парольной политики.
  • Хранить физические носители в отдельном помещении с ограниченным правом доступа.

Теперь вы знаете, каковы правила работы с обезличенными данными о клиенте.

При помощи чего возможно?

Так как же обезличить ПД? Основные методы обезличивания информации утверждены в Приказе Роскомнадзора, органа осуществляющего надзор за реализацией государственной политики в сфере массовой коммуникации. В наши дни используются четыре основных метода обезличивания.

  1. Введение идентификаторов (часть информации заменяется соответствующими идентификаторами. Для реализации метода создается таблица или справочник, только через таблицу/справочник информацию можно расшифровать).
  2. Замена состава или семантики информации (оператор удаляет часть сведений, обобщает их, например, вместо конкретных адресов вписывает только города. Кроме этого, разновидностью метода назовем замену ПД статистической информацией – вместо ФИО каждого гражданина, оператор оставляет необходимую ему возрастную/гендерную статистику или другие ведомости.
  3. Декомпозиция (разбиение одного массива информации на меньшие блоки, которые сами по себе не дают возможности идентифицировать человека).
  4. Метод перемешивания (группы сведений в одном документе перемешиваются таким образом, что установить принадлежность лицу не представляется возможным).

Пошаговая инструкция: как осуществить?

Основным нормативным документом при проведении обезличивания информации остается акт «О персональных данных» правительства Российской Федерации. Обезличивание считается вариантом обработки ПД, поэтому при проведении соответствующего действия необходимо выполнять основные требования, которые предъявляются к обработке:

  • обеспечить защиту обезличенной информации от третьих лиц;
  • все действия с такой информацией выполнять только с разрешения ее хозяина.

Обработка данных включает в себя следующие составные мероприятия:

    Назначение ответственного сотрудника.

Лицо, ответственное за обработку ПД (в нашем случае их обезличивание), должно назначаться официальном приказом. После инструктажа работник подписывает документы о неразглашении конфиденциальной информации.
Составление документа о политике в отношении личных данных.

Для чего оператор собирает ПД, где их хранит, в какой срок они должны быть уничтожены и для каких целей применяется обезличивание – ответы на эти и другие вопросы необходимо прописать в документе. Его можно назвать просто «О персональных данных».
Получение письменных разрешений владельцев ПД.

Если вернуться к примеру с интернет-магазином, то от письменных разрешений придется отказаться. В момент регистрации на ресурсе россиянину предложат ознакомиться с политикой ПД конкретного ресурса и дать свое согласие на обработку ведомостей.
Следующим организационным документом станет «Распоряжение об обезличивании данных», в нем необходимо прописать выбранный способ обезличивания.

Обезличивание данных проводится исключительно для нужд самого оператора, поскольку в процессе этого мероприятия информация теряет важность. Хранить такие ведомости удобно для самого оператора, ведь обезличенные данные даже в случае несанкционированного распространения не смогут нанести вред субъектам. Тем не менее, они остаются персональной информацией, и доступ к ним должен быть ограничен по всем законам России.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему – позвоните прямо сейчас:

+7 (800) 350-22-67 Это быстро и бесплатно !

Обезличивание персональных данных: приказ 996

Что подразумевается под обезличиванием персональных данных? Приказ № 996 Роскомнадзора содержит исчерпывающий ответ на этот вопрос. Помимо этого в документе подробно расписаны требования к обезличиванию и методы, которыми оно проводится. Подробнее – в материале.

Зачем требуется

В соответствии с российским законодательством персональные сведения физических лиц находятся под охраной государства. Базисные понятия раскрыты в отдельном Федеральном законе от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ).

Главной задачей данного нормативно акта является защита права человека на неприкосновенность частной жизни и личную (семейную) тайну, которое может быть нарушено при обработке его персональной информации (ст. 2 Закона № 152-ФЗ).

Персданные – любые сведения, которые прямо или косвенно относятся к человеку. Под персональными данными понимается, в том числе, Ф.И.О., адрес проживания, телефон, дата рождения и т.п.

Оператор персданных – лицо, которое осуществляет обработку персданных и другие законные действия, например, постановку цели, состава и необходимых для обработки действий. Операторами выступают органы государственной власти РФ, организации, индивидуальные предприниматели.

Обработка – всевозможные операции (их совокупность) с персональными данными. К ним, в частности, относятся: сбор, запись, накопление, систематизация, распространение, обезличивание и т.д. На практике обработка персональных сведений может производиться, как с использованием средств автоматизации, так и без них.

– ст. 3 Закона № 152-ФЗ

Для соблюдения положений законодательства об охране персональной информации физических лиц в части неразглашения персданных применяются различные методы их защиты.

Можно обезличить

Один из способов неразглашения частной информации является обезличивание персональных данных. Приказ 996 содержит исчерпывающую информацию по данной методике.

Сразу скажем, что метод обезличивания – не для всех. В соответствии с законодательством он должен применяться органами государственной и муниципальной власти для защиты перссведений физических лиц, чьи данные содержатся в документах, размещаемых в публичном доступе.

Организации коммерческого сектора экономики могут использовать эту методику по своему усмотрению. Никаких обязательств по его применению закон на коммерческих операторов не накладывает. Если руководством компании принято решение о его использовании, соответствующие правила работы с выбранным методом обезличивания и списком ответственных работников закрепляется внутренними нормативными актами. Например, Положением о работе с персональными данными (ст. 8, 87 ТК РФ, п. 3 ст. 3, п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ).

Одним из хрестоматийных примеров обезличивания персональных данных по приказу № 996 Роскомнадзора от 05.09.2013 является публикация официальных документов в открытом доступе. Чтобы соблюсти требования закона о неразглашении персданных, и применяется этот метод. Сразу на память приходят судебные решения, в которых реальные имена участников разбирательств скрыты, и присутствуют исключительно названия юридических лиц.

Основные требования при использовании обезличивания (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ, п. 3, 4 требований и методов, утв. приказом Роскомнадзора от 05.09.2013 № 996):

  • невозможность определить без доп информации, кому принадлежат конкретные персональные сведения
  • полнота, структурированность и применимость данных после процедуры обезличивания.

Подробности о методиках и правилах обезличивания персональных данных в приказе № 996 (п. 10-15 требований и методов, утв. приказом Роскомнадзора от 05.09.2013 № 996).

Понравилась статья? Поделитесь ссылкой с друзьями:

Ссылка на основную публикацию