Обезличивание ПДн: методы, протоколы и правовые требования

Table of contents

• Что такое обезличивание по 152‑ФЗ
• Правовые основания: ст. 6 ч. 10 152‑ФЗ и связанные нормы
• Когда и зачем применять обезличивание
• Методы обезличивания: обзор
• Сравнительная таблица методов
• Протокол обезличивания: пошаговый алгоритм
• Технические и организационные меры
• Особые случаи: биометрия, медицина, дети, веб-аналитика
• Трансграничная передача и публикация наборов данных
• Типичные ошибки и как их избежать
• Документы, политика и подготовка к проверкам
• Вывод и следующий шаг

---

Что такое обезличивание по 152‑ФЗ

Обезличивание персональных данных — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. Понятие закреплено в ст. 3 152‑ФЗ. В деловой практике также употребляются синонимы: деидентификация, анонимизация, псевдонимизация (последняя — частный, не всегда достаточный случай).

Ключевой практический тезис: после корректного обезличивания данные перестают считаться персональными для той стороны, у которой отсутствует «дополнительная информация» (ключи соответствия, таблицы маппинга, исходные идентификаторы). Если же оператор хранит связку «псевдоним ↔ идентификатор», для него такие данные остаются ПДн, а значит, на них распространяются требования 152‑ФЗ.

Правовые основания: ст. 6 ч. 10 152‑ФЗ и связанные нормы

• Ст. 6 ч. 10 152‑ФЗ (ст 6 ч 10 152 фз) позволяет обработку без согласия субъекта «в статистических или иных исследовательских целях» при условии обязательного обезличивания. Подробно об основаниях читайте в ст. 6 и на странице обработка без согласия.
• Требования к безопасности при обработке и обезличивании — ст. 19 152‑ФЗ и раздел меры безопасности ПДн, включая модель угроз ([model-ugroz-ispdn]) и уровни защищенности ИСПДн ([urovni-zashchishchennosti-ispdn]).
• Публикация и распространение: если в наборе остаются ПДн — нужна отдельная категория согласия по ст. 10.1 152‑ФЗ и документ согласие на распространение ПДн. После корректного обезличивания такое согласие не требуется.
• Термины и толкования см. в глоссарии 152‑ФЗ и в обзоре структуры и статей. За актуальными поправками следите на странице изменения 2025.

Фразы «фз 152 обезличивание персональных данных» и «152 фз обезличивание» в практическом смысле означают применение законных методов деидентификации, дающих проверяемый уровень невозможности реидентификации.

Когда и зачем применять обезличивание

• Законное основание для исследований и статистики без согласия (ст. 6 ч. 10).
• Минимизация рисков при обмене с подрядчиками и партнерами (см. поручение обработки ПДн).
• Публикация датасетов для открытых проектов и ИИ без раскрытия ПДн.
• Аналитика и A/B‑тесты на сайте: корректная деидентификация позволяет ограничить скоуп ПДн при использовании счетчиков и форм (см. cookie и баннеры, Яндекс.Метрика и 152‑ФЗ, формы и согласие).

Важно: обезличенные персональные данные 152 фз — распространенный оборот, однако корректнее говорить «обезличенные данные». Пока существует техническая возможность восстановить личность субъектов у конкретного оператора, для него это остаются ПДн.

Методы обезличивания: обзор

• Маскирование и удаление явных идентификаторов: ФИО, телефон, email, паспорт, СНИЛС.
• Псевдонимизация (tokenization): замена идентификаторов стабильными токенами; ключ соответствия хранится отдельно. Для оператора это всё ещё ПДн.
• Хеширование с солью: устойчивые к радужным таблицам хеши (например, SHA‑256 + уникальная соль). Внимание: хеш телефонного номера без соли часто обратим подбором.
• Агрегирование и обобщение: возраст → возрастные группы, округление координат, обрезка временных меток до дня/недели, укрупнение геоданных.
• k‑анонимность, l‑диверсити, t‑closeness: статистические критерии, снижающие вероятность реидентификации по квази-идентификаторам (пол, возраст, город, профессия).
• Дифференциальная приватность: добавление контролируемого шума к результатам запросов/отчетам.
• Синтетические данные: генерация датасета, сохраняющего распределения без реальных персональных записей.
• Удаление свободного текста и редких категорий: в свободных комментариях часто остаются PII; редкие комбинации категорий приводят к «знакомым единицам» и deanonymization.

Отдельно: шифрование — мера защиты при хранении/передаче, а не обезличивание. Зашифрованные данные остаются ПДн для того, кто контролирует ключ.

Сравнительная таблица методов

Метод	Где уместен	Плюсы	Ограничения/риски
Маскирование/удаление	Логи, выгрузки, тестовые базы	Быстро, понятно	Может разрушить полезность данных
Псевдонимизация	Аналитика, интеграции	Сохраняет связность	Для оператора остаются ПДн; риск утечки таблицы соответствий
Хеширование с солью	Идентификаторы (email, телефон)	Трудно восстановить	Слабые соли/без соли — обратимость перебором
Агрегирование/обобщение	Отчеты, публикация	Снижает риск реидентификации	Потеря точности, риск «слишком мелких бакетов»
k‑анонимность/l‑диверсити	Публичные датасеты	Формальные гарантии	Сложность настройки, нужен анализ квази-ID
Дифференциальная приватность	Запросы к хранилищам	Высокая приватность	Пороговые настройки, сложность внедрения
Синтетические данные	Разработка/тесты/обмен	Нет реальных ПД	Возможна утечка паттернов при плохой генерации

Протокол обезличивания: пошаговый алгоритм

1. Инвентаризация атрибутов.

• Классифицируйте поля: явные идентификаторы, квази‑идентификаторы, чувствительные категории (см. специальные категории, биометрические ПДн).
• Зафиксируйте цели (см. принципы и цели обработки).

1. Оценка рисков реидентификации.

• Оцените уникальность записей, внешние источники для склейки, размеры групп (см. модель угроз ИСПДн).

1. Выбор методики.

• Для внутренней аналитики — псевдонимизация + агрегирование.
• Для публикации — k‑анонимность/l‑диверсити, обобщение, удаление редкостей.

1. Реализация и контроль доступа.

• Разделите среды и роли, храните ключи соответствия в изолированном хранилище/HSM (см. криптография и шифрование).

1. Тест на реидентификацию.

• Попробуйте восстановить личность по датасету, смоделируйте атаки линковкой с публичными источниками.

1. Документирование.

• Оформите «Протокол обезличивания»: цель, используемые методы, параметры (k, l), версии алгоритмов, ответственные, дата. Добавьте в комплект внутренних документов и в политику обработки ПДн.

1. Публикация/передача.

• Оцените необходимость договора и условий передачи (см. передача третьим лицам, трансграничная передача).

1. Пересмотр.

• Периодически валидируйте модель: новые источники и изменения в данных могут увеличить риск deanonymization.

Технические и организационные меры

• Разделение доступа: кто-то работает с «сырыми» ПДн, кто-то — только с обезличенными выгрузками.
• Раздельное хранение ключей соответствия и датасетов.
• Журналирование: кто, когда, какой набор выгрузил и по какой методике.
• Сроки хранения и уничтожение «сырых» данных (см. сроки хранения ПДн, уничтожение и блокировка).
• Соответствие требованиям ФСТЭК/ФСБ при наличии ИСПДн (см. требования ФСТЭК и ФСБ, ИСПДн: определение и требования).
• Обучение персонала и внутренний контроль (см. внутренний контроль и обучение, ответственный за обработку ПДн).

Особые случаи: биометрия, медицина, дети, веб-аналитика

• Биометрия: шаблоны возобновляемы при компрометации, требуется особая осторожность и строгая агрегация (см. биометрические ПДн).
• Медицинские данные: высокая чувствительность, предпочтительны сильные критерии (k‑анонимность ≥ 5, подавление редкостей) — см. медицинские ПДн.
• Дети и несовершеннолетние: минимизация атрибутов, отсутствие точных геометок/времени — см. дети и ПДн.
• Веб‑аналитика и cookie: идентификаторы устройств и профилей зачастую являются ПДн. Используйте псевдонимы и агрегацию, корректные баннеры и тексты (см. cookie и баннеры, Яндекс.Метрика).
• Сопоставление с GDPR: псевдонимизация по GDPR — не анонимизация. Подробнее — GDPR и 152‑ФЗ.

Трансграничная передача и публикация наборов данных

Если набор данных действительно обезличен, он не считается ПДн — ограничения на трансграничную передачу по общему правилу не применяются. Однако:

• Если оператор хранит ключи реидентификации, для него набор остаётся ПДн, и при передаче за рубеж требуются основания и проверки (см. трансграничная передача ПДн).
• Публикация «как есть» опасна из‑за атак линковкой. Применяйте агрегацию, удаляйте редкие комбинации, используйте статистические гарантии.
• Для распространения неанонимизированных данных необходимо отдельное согласие по ст. 10.1 — см. шаблоны на странице согласие на распространение ПДн.

Типичные ошибки и как их избежать

• Псевдонимы хранятся в той же базе, где и персональные идентификаторы. Решение: физическое и логическое разделение, разные домены доступа.
• Хеширование без соли или с общей солью — легко перебирается. Решение: уникальные соли, замедляющие функции (bcrypt/Argon2 для паролей, солёный SHA‑256 для идентификаторов).
• Публикация точных временных меток/геометок — высокая идентифицируемость. Решение: обрезка и «бинирование».
• Свободный текст без фильтрации: персональные данные просачиваются в комментариях. Решение: NLP‑фильтры/удаление.
• Публикация узких сегментов (< k записей). Решение: порог k‑анонимности и подавление редких категорий.
• Отсутствие протокола и журналов — проблемы на проверках. Решение: заранее оформляйте методики и храните логи.

Документы, политика и подготовка к проверкам

• Обновите политику обработки ПДн — добавьте раздел о деидентификации, целях и методах.
• Примите внутреннее положение «О порядке обезличивания ПДн»: область применения, роли, алгоритмы, хранение ключей.
• Дополните реестр операций обработками «в статистических целях» (ст. 6 ч. 10) и ссылками на методики.
• Проверьте комплект на соответствие: пакет документов, чек‑лист, подготовка к проверке, проверки Роскомнадзора.
• Если вы оператор ИСПДн — убедитесь, что защитные меры соответствуют уровню (см. уровни защищенности).
• Для сайтов: пройдите онлайн‑проверку сайта и обновите тексты через генератор политики и согласий.

Санкции за нарушения — см. ответственность и штрафы и КоАП 13.11. Операторы обязаны исполнять требования и при инцидентах — действовать по процедуре (см. инциденты и утечки ПДн).

---

Вывод и следующий шаг

Обезличивание по 152‑ФЗ — это не только набор техник, но и управляемый процесс: юридическое основание (ст. 6 ч. 10), корректный выбор методов, проверка риска реидентификации, документирование и контроль. Грамотно выполненная деидентификация позволяет законно анализировать данные, делиться ими и публиковать наборы без раскрытия личности пользователей.

Нужна помощь с методикой и документами? Закажите аудит соответствия 152‑ФЗ или обратитесь за консалтингом и документами «под ключ» — поможем выбрать методы, оформить протокол и безопасно внедрить обезличивание.