С 1 сентября 2025 года российское законодательство в сфере информационной безопасности претерпит значительные изменения благодаря вступлению в силу поправок к Федеральному закону № 152-ФЗ «О персональных данных». Основанием для этих изменений служит Федеральный закон № 233-ФЗ от 8 августа 2024 года, который устанавливает принципиально новые регламенты сбора, обработки и обезличивания персональной информации (ПДн). Данная реформа направлена на создание масштабных, но при этом безопасных массивов данных для государственных и общественных нужд.
Новая архитектура хранения информации: что такое составы данных
Центральным элементом нововведений становится концепция «составов данных». Это специальным образом сформированные и обезличенные наборы информации, которые группируются по определенным общим параметрам и признакам, таким как демографические показатели, географическое расположение, потребительское поведение или социальные характеристики. Ключевая особенность составов данных заключается в полном отсутствии возможности идентификации конкретного физического лица из этих массивов. По своей сути, это агрегированные данные, предназначенные для аналитики и планирования.
Федеральная инфраструктура и роль Минцифры России
Все процессы, связанные с управлением обезличенными данными, будут централизованы на государственном уровне. Главным координирующим и управляющим органом назначено Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России). В его полномочия входит обязанность по формированию требований и организация сбора составов данных от различных операторов. Собранная информация будет аккумулироваться в единой федеральной государственной информационной системе – ФГИС «Единая информационная платформа национальной системы управления данными» (ЕИП НСУД), создание которой регламентировано Постановлением Правительства РФ № 740.
Обязанности операторов и методики обезличивания
Все организации и компании (операторы), осуществляющие обработку персональных данных, будут обязаны соблюдать новые строгие правила. Им вменяется в обязанность проводить процедуру обезличивания информации по методикам, утвержденным Правительством РФ и согласованным с Федеральной службой безопасности (ФСБ). Детальные технические и организационные требования к этим процессам изложены в Постановлении Правительства № 1154 от 1 августа 2025 года. Одним из базовых принципов становится физическое и технологическое разделение хранения исходных персональных данных и их обезличенных составов.
Утвержденные методы обеспечения анонимности информации
Для достижения высокого уровня анонимности Правительством РФ предложен и детально описан ряд надежных методов обезличивания:
- Идентификационное кодирование: Замена прямых идентифицирующих сведений (ФИО, номера документов) на уникальные коды, с возможностью обратного сопоставления через специальную защищенную таблицу соответствий.
- Содержательная модификация: Изменение или упрощение исходных данных, например, замена точного значения на интервальное (возрастной диапазон) или статистический агрегат (среднее значение по группе).
- Декомпозиция (разделение): Разбиение единого массива информации на отдельные, логически не связанные между собой части, которые хранятся изолированно друг от друга.
- Перемешивание записей: Намеренное изменение порядка следования записей внутри набора данных для устранения возможности косвенной идентификации.
- Статистическое обобщение: Создание новых структур данных, которые сохраняют общие закономерности и распределения исходной информации, но полностью исключают возможность выделения данных, относящихся к одному лицу.
Законодатель допускает и поощряет комбинирование этих методов для достижения максимального уровня защиты и анонимности.
Регулирование доступа к обезличенным данным: правила и ограничения
Доступ к обработанным и обезличенным сведениям будет строго контролироваться и ограничиваться специальными государственными информационными системами. Важной особенностью новой системы является полный запрет на скачивание, копирование или пересылку этих сведений за установленные пределы. Информация будет доступна только для анализа внутри защищенной среды без возможности её извлечения.
Кто может получить доступ к данным
Право работать с этими сведениями получат две основные категории пользователей:
- Государственные и муниципальные органы власти, их подведомственные учреждения и различные фонды;
- Частные компании и отдельные граждане России, соответствующие установленным критериям отбора.
Требования к коммерческим организациям
Для получения доступа к обезличенным сведениям коммерческие компании должны соответствовать нескольким обязательным требованиям. Руководитель организации должен быть гражданином России без судимости (включая погашенную). Сама компания должна быть включена в реестр операторов персональных данных, иметь российскую юрисдикцию и не находиться под контролем иностранных лиц или организаций. Дополнительным требованием является отсутствие компании в списках экстремистских организаций.
Специальные условия для предпринимателей
Для сведений, предоставленных бизнес-структурами, будет действовать особый "период ожидания". Если коммерческая организация передает свои обезличенные данные в систему, другие частные компании смогут получить к ним доступ только через год после передачи. Для государственных органов это ограничение не действует — они получат доступ к информации сразу после её размещения в системе.
Требования к гражданам
Отдельные граждане России, желающие получить доступ к обезличенным данным, должны соответствовать строгим критериям. Физическое лицо должно быть зарегистрировано в реестре операторов Роскомнадзора (как индивидуальный предприниматель или самозанятый), если оно обрабатывает персональные данные в рамках своей профессиональной деятельности. Обязательными требованиями являются наличие российского гражданства, отсутствие судимости и безупречная репутация (отсутствие в списках экстремистов и террористов).
Особенным требованием является отсутствие привлечения к уголовной ответственности за преступления в информационной сфере за последние 5 лет. В частности, не должно быть нарушений по статьям Уголовного кодекса, связанным с разглашением государственной тайны и неправомерным использованием информации.
Запрещенные действия со сведениями
Новое законодательство устанавливает четкие границы работы с информацией. Полностью запрещается обработка специальных категорий персональных данных, включая сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни. Исключения возможны только в особых случаях, прямо предусмотренных законом.
Под полным запретом находится работа с биометрическими персональными данными в рамках обезличенных массивов. Не допускается использование данных способом, который может причинить вред людям, их правам и свободам, или представлять угрозу безопасности государства.
Особое внимание уделяется запрету на передачу результатов обработки данных иностранным компаниям, гражданам других стран или лицам без гражданства. Исключения из этого правила возможны только по решению президента Российской Федерации или в рамках международных договоров, имеющих соответствующую правовую базу.
Формирование защищенной среды данных
Новый закон создает сбалансированную систему, которая сочетает технологическое развитие в области работы с большими данными и надежную защиту интересов как отдельного гражданина, так и государства в целом. Предполагается, что эти меры позволят развивать экономику, основанную на данных, обеспечивая при этом необходимый уровень конфиденциальности и безопасности.