Можно ли считать замену ФИО и других прямых идентификаторов на уникальный код (ID) полноценным обезличиванием? Или при наличии у оператора «ключа соответствия» такие данные по-прежнему остаются персональными с точки зрения закона?

Для начала давайте разберемся, что такое обезличивание данных. Федеральный закон «О персональных данных» (152-ФЗ от 27.07.2006) трактует обезличивание как действия, в результате которых нельзя без дополнительной информации определить принадлежность персональных данных к субъекту. Если невозможно с помощью дополнительных элементов понять, кем является гражданин и какие у него данные, то обезличивание действительное. В том случае, если обезличенные данные относятся к какому-то ID и у оператора остается ключ, позволяющий провести обратную деперсонализацию, это уже нельзя назвать действительным обезличиванием, поскольку процесс обратимый. Ситуацию регулируют два подзаконных акта. Первый — приказ Роскомнадзора от 19.06.2025 №140 — определяет методы и требования к обезличиванию персональных данных, а также указывает, что некоторые операторы могут использовать ключи для персональных и своих нужд. Второй — постановление Правительства РФ №1154 — применяется, когда оператор обязан передавать обезличенные данные в единую информационную платформу национальной системы управления данных по требованию Минцифры РФ. Согласно постановлению, требующие жесткого обезличивания данные должны быть преобразованы так, чтобы при последующей обработке было невозможно определить субъекта персональных данных. Достаточно этих двух подзаконных актов, чтобы четко сказать: нет, замену ФИО и других прямых идентификаторов на уникальный ID нельзя считать полноценным обезличиванием, если у оператора остается ключ, который позволяет запустить обратный процесс и восстановить персональные данные.

Если субъект запретил использование своих данных, но они уже были использованы при обучении модели, какие правовые и технические механизмы возможны в этой ситуации? Существует ли реальная практика «machine unlearning» и можно ли удалить вклад конкретного человека из обученной модели?

Конечно же, на данный момент все достаточно сложно. Во многих странах субъект имеет юридически законное право на удаление своих данных и на их забвение. Но по факту проверить выполнение таких требований сложно. И я считаю, практически невозможно. Технически механизм machine unlearning существует: есть популярные примеры, когда при обучении моделей ИИ система забывала данные, ссылки на источники, из которых она эту информацию черпала. Но это была исключительно демонстрация. На самом деле проверить, правят ли персональные данные и данные, которые были использованы при обучении машин, невозможно или как минимум довольно проблематично. 

Если данные были обезличены в России и затем переданы в иностранную компанию группы, подпадает ли такая передача под режим трансграничной передачи персональных данных? Кто и на основании каких критериев определяет момент, когда данные официально перестают считаться персональными?

Если данные были обезличены в России и затем переданы в иностранную компанию или группу, такая передача не является трансграничной, потому что в этом случае не считается, что обезличенные данные пересекают границу назначения. Все эти действия также регулируются федеральным законом «О персональных данных» (152-ФЗ от 27.07.2006 года). Обезличивание персональных данных — это действие, из-за которого невозможно восстановить информацию о субъекте. После обезличивания данные теряют свою конфиденциальность и могут передаваться в любом направлении, в том числе через границу. И естественно к таким данным не применяется законодательное регулирование в принципе. Хотел бы заметить, что та ограниченная передача, согласно статье 12 152-ФЗ, касается только персональных данных, то есть информации, которая прямо или косвенно относится к определенному физическому лицу. За обезличивание данных отвечает организация, которая этим занимается. Существуют нормативы и правила, которые нужно выполнять, чтобы информация считалась обезличенной. Первое — это, конечно, невозможность идентификации без дополнительной информации, то есть не должно существовать такого критерия или ключа, с помощью которого можно выполнить обратное преобразование и восстановить персональные данные. Оператор обязан использовать методы обезличивания, предусмотренные приказом Роскомнадзора от 19.06.2025 №140. Организация, которая занимается обезличиванием данных, должна зафиксировать в своих локальных нормативных актах применение методов обезличивания и убедиться, что они соответствуют основным требованиям законодательства. И оператору персональных данных, и организации, которая занимается обезличиванием, важно понимать, чем они должны руководствоваться и как убедиться, что данные действительно обезличены.

https://securitymedia.org/info/obezlichivanie-personalnykh-dannykh-gde-prokhodit-granitsa-mezhdu-zakonom-i-analitikoy.html?sphrase_id=3068