Доработанный текст проекта Постановления Правительства Российской Федерации "Об установлении требований к обезличиванию персональных данных, методов и правил обезличивания персональных данных" (подготовлен Минцифры России 20.04.2025)

Досье на проект

В соответствии с частью 3 статьи 13.1 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые:

требования к обезличиванию персональных данных;

методы обезличивания персональных данных;

Правила обезличивания персональных данных.

2. Настоящее постановление вступает в силу с 1 сентября 2025 г.,за исключением пункта 7 Правил обезличивания персональных данных, который вступает в силу 1 марта 2026 года.

УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 2025 г. N

ТРЕБОВАНИЯ
к обезличиванию персональных данных

1. Настоящий документ устанавливает требования к обезличиванию персональных данных при получении оператором персональных данных или в соответствии со статьей 62 Федерального закона "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" высшим исполнительным органом субъекта Российской Федерации - города федерального значения Москвы от Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации требования о предоставлении персональных данных, полученных в результате обезличивания персональных данных (далее - обезличенные данные), направляемого в соответствии с частью 2 статьи 13.1 Федерального закона "О персональных данных" (далее - требование).

2. При обезличивании персональных данных оператор персональных данных или в соответствии со статьей 62 Федерального закона "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" орган исполнительной власти субъекта Российской Федерации - города федерального значения Москвы, уполномоченный на координацию мероприятий экспериментального правового режима, а также на осуществление иных функций в соответствии с указанным Федеральным законом, должен обеспечить:

а) соблюдение Правил обезличивания персональных данных и методов обезличивания персональных данных, утвержденных постановлением Правительства Российской Федерации от ____ N ____ "Об установлении требований к обезличиванию персональных данных, методов и правил обезличивания персональных данных" (далее - методы обезличивания), с учетом требования;

б) раздельное хранение персональных данных и обезличенных данных;

в) принятие мер по обеспечению безопасности обезличенных данных в соответствии с Федеральным законом "О персональных данных";

г) исключение из обезличенных данных информации, доступ к которой ограничен федеральными законами;

д) использование алгоритмов, реализующих методы обезличивания,и программы для электронных вычислительных машин для обезличивания персональных данных, обеспечивающих возможность представлять обезличенные данные из информационной системы оператора персональных данных или государственной информационной системы, определяемой в соответствии со статьей 62 Федерального закона "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" высшим исполнительным органом субъекта Российской Федерации - города федерального значения Москвы, в государственную информационную систему Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, определенную Правительством Российской Федерации в соответствии с частью 2 статьи 13.1 Федерального закона "О персональных данных", без потери таких данных и (или) их изменения;

е) возможность внесения изменений и дополнений в обезличенные данные, поддержку актуальности таких данных и возможность повторного применения алгоритмов, реализующих методы обезличивания, без возможности их преобразования к исходному виду, позволяющему определить их принадлежность конкретному субъекту персональных данных, а также целостность массива обезличенных данных и соответствие их требованию.

УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 2025 г. N

МЕТОДЫ
обезличивания персональных данных

1. Настоящие методы применяются при обезличивании персональных данных в случае получения оператором персональных данных или в соответствии со статьей 62 Федерального закона "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" высшим исполнительным органом субъекта Российской Федерации - города федерального значения Москвы от Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации требования о предоставлении персональных данных, полученных в результате обезличивания персональных данных (далее - обезличенные данные), направляемого в соответствии с частью 2 статьи 13.1 Федерального закона "О персональных данных".

2. К методам обезличивания персональных данных относятся:

а) метод введения идентификаторов - замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным персональным данным;

б) метод изменения состава или семантики - изменение состава или семантики персональных данных в том числе путем замены результатами статистической обработки или удаления части сведений;

в) метод декомпозиции - разбиение массива персональных данных на несколько частей с последующим раздельным их хранением;

г) метод перемешивания - перестановка отдельных записей, а также групп записей в массиве персональных данных;

д) метод преобразования - агрегация массива обезличенных данных путем обобщения элементов структуры массива персональных данных, подлежащих обезличиванию, имеющих качественные или количественные значения применительно к каждому субъекту персональных данных (далее - атрибуты персональных данных), а также установления заданного количества различных значений атрибутов персональных данных, позволяющего отобразить исходное распределение каждого значения атрибутов персональных данных.

3. Для заданного массива персональных данных методы обезличивания реализуются в виде алгоритмов, конкретный вид которых и параметры определяются по результатам исследований.

УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 2025 г. N

ПРАВИЛА
обезличивания персональных данных

1. Настоящие Правила регламентируют порядок обезличивания персональных данных оператором персональных данных, получившим от Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации требование о предоставлении персональных данных, полученных в результате обезличивания персональных данных (далее - обезличенные данные), направленное в соответствии с частью 2 статьи 13.1 Федерального закона "О персональных данных" (далее - требование), или органом исполнительной власти субъекта Российской Федерации - города федерального значения Москвы, уполномоченным на координацию мероприятий экспериментального правового режима, а также на осуществление иных функций в соответствии с Федеральным законом "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" (далее - уполномоченный орган), которому высшим исполнительным органом субъекта Российской Федерации - города федерального значения Москвы в соответствии со статьей 62 указанного федерального закона поручено обеспечить выполнение требования.

2. Формирование требования осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации на основании материалов исследований, содержащих в том числе цель формирования состава обезличенных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных (далее - состав данных).

3. Материалы исследования должны содержать обоснование выработанных к составу данных алгоритмов, реализующих методы обезличивания персональных данных, и их параметров применительно к содержанию элементов массива персональных данных, подлежащих обезличиванию, имеющих качественные или количественные значения по субъектам персональных данных (далее - атрибуты персональных данных), и их формат, критерии выборки персональных данных с учетом типов угроз безопасности персональных данных, определенных в пункте 3 Правил формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, утвержденных постановлением Правительства Российской Федерации от ____ N ____ "О порядке формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, и порядке предоставления доступа к составам таких данных", а также количественных оценок, связанных с возможностью определения принадлежности обезличенных данных конкретному субъекту персональных данных, устанавливаемых по каждому составу данных в соответствии с методическими рекомендациями, утверждаемыми Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.

4. Материалы исследований, подготовленные при формировании требования в соответствии с пунктом 2 настоящих Правил, направляются на рассмотрение в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, а также в Банк России (при направлении требования банкам, иным кредитным организациям, иностранным банкам, осуществляющим деятельность на территории Российской Федерации через свои филиалы, некредитным финансовым организациям, которые осуществляют указанные в части первой статьи 76.1 Федерального закона "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектам национальной платежной системы, лицам, оказывающим профессиональные услуги на финансовом рынке) заблаговременно (не менее 30 календарных дней) до направления на согласование проекта требования, если иной срок подготовки состава данных не предусмотрен поручением Президента Российской Федерации, Председателя Правительства Российской Федерации или заместителей Председателя Правительства Российской Федерации или решением директора Федеральной службы безопасности Российской Федерации (председателя Национального антитеррористического комитета), заместителя директора Федеральной службы безопасности Российской Федерации - руководителя аппарата Национального антитеррористического комитета, Правительственной комиссии по предупреждению и ликвидации чрезвычайных ситуаций и обеспечению пожарной безопасности.

5. Требование подлежит согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, уполномоченным органом по защите прав субъектов персональных данных, а также Банком России (при направлении требования банкам, иным кредитным организациям, иностранным банкам, осуществляющим деятельность на территории Российской Федерации через свои филиалы, некредитным финансовым организациям, которые осуществляют указанные в части первой статьи 76.1 Федерального закона "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектам национальной платежной системы, лицам, оказывающим профессиональные услуги на финансовом рынке) в срок не более 15 календарных дней с даты его поступления на согласование, если иной срок подготовки состава данных не предусмотрен поручением Президента Российской Федерации, Председателя Правительства Российской Федерации или заместителей Председателя Правительства Российской Федерации или решением директора Федеральной службы безопасности Российской Федерации (председателя Национального антитеррористического комитета), заместителя директора Федеральной службы безопасности Российской Федерации - руководителя аппарата Национального антитеррористического комитета, Правительственной комиссии по предупреждению и ликвидации чрезвычайных ситуаций и обеспечению пожарной безопасности.

6. Оператор персональных данных или уполномоченный орган осуществляют обезличивание персональных данных в соответствии с алгоритмами, реализующими методы обезличивания персональных данных, параметрами и особенностями их применения, а также сроками их предоставления, указанными в требовании.

7. Оператор персональных данных или уполномоченный орган при выполнении требования, содержащего указание на применение методов обезличивания персональных данных, предусмотренных подпунктами "а" - "г" пункта 2 Методов обезличивания персональных данных, утвержденных постановлением Правительства Российской Федерации от ____ N ____ "Об установлении требований к обезличиванию персональных данных, методов и правил обезличивания персональных данных", осуществляют обезличивание персональных данных с использованием безвозмездно предоставляемой оператору персональных данных или уполномоченному органу Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации программы для электронных вычислительных машин, либо с использованием иной программы для электронных вычислительных машин, содержащей алгоритмы, реализующие такие методы обезличивания персональных данных. Указанные алгоритмы и программы для электронных вычислительных машин должны иметь подтверждение соответствия требованиям, установленным Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.

8. В целях повышения эффективности государственного муниципального управления оператор персональных данных, являющиеся операторами подвижной радиотелефонной связи, оказывающими услуги с использованием радиочастотного спектра, или уполномоченный орган при выполнении требования, содержащего указание на применение метода обезличивания персональных данных, предусмотренного подпунктом "д" пункта 2 Методов обезличивания персональных данных, утвержденных постановлением Правительства Российской Федерации от ____ N ____"Об установлении требований к обезличиванию персональных данных методов и правил обезличивания персональных данных", обеспечивают доступность обезличенных данных для автоматизированного предоставления в государственную информационную систему посредством единого технологического способа предоставления данных из информационных систем органов и организаций единой системы межведомственного электронного взаимодействия в соответствии с постановлением Правительства Российской Федерации от ____ N ____ "Об утверждении Правил взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с операторами и взаимодействия государственной информационной системы уполномоченного органа, определенной в соответствии с частью 2 статьи 13.1 Федерального закона "О персональных данных", и информационных систем операторов", либо осуществляют обезличивание персональных данных с использованием безвозмездно предоставляемой оператору персональных данных или уполномоченному органу программы для электронных вычислительных машин, реализующей такой метод обезличивания персональных данных.

9. Оператор персональных данных или уполномоченный орган после проведения обезличивания персональных данных предоставляют обезличенные данные в государственную информационную систему в соответствии с постановлением Правительства Российской Федерации от ____ N ____ "Об утверждении Правил взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с операторами и взаимодействия государственной информационной системы уполномоченного органа, определенной в соответствии с частью 2 статьи 13.1 Федерального закона "О персональных данных", и информационных систем операторов", а также направляют информацию о применяемых методах обезличивания и особенностях их применения, указанных в требовании.