• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

Месяц: Сентябрь 2025

Анонимизированные и обезличенные персональные данные: в чем отличие?

Термины «анонимность» и «обезличивание» близки по значению, из-за чего возникают сложности с определением прав и обязанностей относительно обрабатываемой информации.

Анонимизированные и обезличенные персональные данные отличаются степенью необратимости процесса. Выбор между этими понятиями зависит от целей обработки данных.

Идентификация и установление личности: В чем различие?

Для понимания различия между анонимизацией и обезличиванием персональных данных (понятиями, которые частно смешиваются), необходимо понимать различие между идентификацией и установлением личности.

Идентификация и установление личности отличаются тем, что идентификация — это процесс, в котором субъект (например, пользователь, устройство, сервис) сообщает системе, кем он является, что позволяет отличить его от других субъектов (не путать с аутентификацией – подтверждением подлинности), а установление личности — это задача, которая решается в разных правовых контекстах и включает в себя идентификацию, как необходимое условие.

Важно: результаты идентификации не являются самостоятельным решением задачи установления личности — они могут лишь использоваться при проведении оперативно-разыскных мероприятий, следственных и прочих действий для установления личности.

Такие сведения как паспортные данные, ИНН, СНИЛС или различные комбинации сведений: ФИО, телефон, email, домашний адрес и т.п. позволяют достаточно легко установить личность, поскольку регистрируются официальными государственными органами.

В то же время, имена и пользовательские идентификаторы в информационных системах, отдельно взятые email или связанные с пользователем наборы данных могут использоваться для его идентификации в конкретных информационных системах, но, при этом, не содержать сведений, позволяющих установить его личность, как субъекта права.

Анонимизированные данные

Анонимизированные данные — это данные, по которым невозможно установить личность ни напрямую, ни косвенно. Удалены все связи и идентификаторы, нарушена логика таблицы, исключены уникальные комбинации полей.

Особенности:

  • Данные выходят из-под действия закона о персональных данных.
  • Их можно использовать без ограничений — обучать на них ИИ, проводить аналитику, передавать на зарубежные серверы.
  • Однако достичь настоящей анонимизации сложно — даже порядок строк или сочетание полей может выступать в роли идентификатора.

Анонимизированные данные не являются персональными данными, так как они не могут быть связаны с конкретным человеком. 

Обезличенные данные

Обезличенные данные — это данные, в которых убраны прямые идентификаторы (ФИО, номер телефона и т. д.). По ним невозможно установить личность, но сохраняется возможность идентификации с помощью других связей — например, по ID, email-адресу или даже шаблону поведения в системе.

Согласно пункту 9 статьи 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», обезличивание персональных данных — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Особенности:

  • Обработка таких данных после обезличивания продолжает регулироваться требованиями по защите персональных данных, поскольку теоретически сохраняется возможность деобезличивания.
  • Обезличенные данные могут использоваться для аналитических целей, исследований или других целей, не связанных с идентификацией конкретных лиц.

Пример: если в выгрузке нет имён, но есть должность, ID и история заказов — восстановить личность можно. 

В отличие от анонимизированных данных, обезличенные данные считаются разновидностью персональных данных, которые получены в результате обезличивания.

Обезличивание — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

С 1 сентября 2025 года персональные данные, превращённые в обезличенную форму, можно обрабатывать без получения согласия гражданина.

Законодательное определение анонимизированных данных

К сожалению, в российском законодательстве пока не определено понятие анонимизированных данных. Наши законодатели не учли роль анонимизации при разработке поправок об обезличивании. Однако это понятие есть в европейском регламенте GDPR (General Data Protection Regulation). 

При этом понятие «анонимизированные данные» распространено среди специалистов в сфере информационной безопасности и, например, описано в Национальном стандарте РФ ГОСТ Р ИСО 17432-2009. 

Выводы

Идентификация – это чисто техническая процедура, а установление личности – это уже правовое действие. Продемонстрируем это различие на конкретных примерах.

Персональные данные

Персональные данные позволяют связать сведения о конкретной личности и этой личностью. Пример персональных данных: user ID + ФИО + персональный email + организация + должность + сведения о заработной плате.

(Установить личность субъекта может как оператор, организующий обработку этих данных, так и другие стороны, например клиенты, партнеры, контролирующие органы, похитивший эти данные хакер и т.п.)

Обезличенные персональные данные

Обезличенные персональные данные позволяют идентифицировать субъекта, к которому они относятся, но не позволяют установить его личность, как субъекта права.

Пример: user ID + организация + должность + сведения о заработной плате.

(Установить личность субъекта может только оператор, обезличивший эти данные, ну либо еще правоохранительные органы в ходе удачно проведенных следственных мероприятий, но не наверняка).

Анонимизированные данные

Анонимизированные данные не являются персональными, поскольку не позволяют идентифицировать конкретного субъекта, к которому они относятся, т.е. они могут относится сразу к неопределенному кругу лиц.

Пример анонимизированных данных: организация + должность + сведения о заработной плате

(Даже оператор, анонимизировший эти данные не сможет идентифицировать кому они принадлежат и, тем более, установить личность этого человека).

Изменения в законодательстве о персональных данных, вступающие в силу с 1 сентября 2025 года

С 1 сентября 2025 года жизнь операторов персональных данных еще усложнится, поскольку вступают в силу очередные изменения в законодательстве о персональных данных. Рассмотрим основные из них. В отличие от многочисленных публикаций на эту тему, мы сразу даем ссылки на соответствующие нормативно-правовые акты, устанавливающие новые требования к обработке персональных данных, и цитируем данные требования.

Обработка обезличенных данных

Обезличенные персональные данные можно использовать для исследований или технологий (например, для обучения ИИ) без предварительного согласия гражданина. Обезличивание должно быть выполнено так, чтобы исключить возможность прямой идентификации гражданина по этим данным.

Операторов персональных данных могут обязать предоставлять обезличенные сведения в государственную информационную систему (ГИС). Минцифры получило право направлять компаниям и ведомствам требования предоставить нужные данные в обезличенном виде для загрузки в федеральную ГИС.

С 1 сентября 2025 года обработка обезличенных данных без согласия гражданина регулируется следующими нормативно-правовыми актами (НПА):

  • Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных». В этот закон внесена статья 13.1, которая регулирует обращение с обезличенными данными. Закон определяет принципы обработки персональных данных, включая требование уничтожать или обезличивать данные по достижении целей обработки.
  • Федеральный закон от 08.08.2024 №233-ФЗ. Этот закон вводит новые правила обезличивания, уточняет механизм обезличивания, вводит понятие «состав обезличенных данных» и предусматривает создание государственной системы для обезличенных персональных данных.
  • Приказ Роскомнадзора от 19.06.2025 №140. Документ содержит требования к обезличиванию и методы обезличивания для всех случаев обработки персональных данных, кроме использования в Единой информационной платформе нацсистемы управления данными (ЕИП НСУД).
  • Постановление Правительства от 01.08.2025 №1154. Документ содержит требования и методы для ситуации, когда оператор обезличивает персональные данные по запросу Минцифры, то есть для ЕИП НСУД.

Оформление согласия на обработку персональных данных

Согласие должно оформляться в виде самостоятельного документа. Запрещено включать его в текст договоров, пользовательских соглашений или иных документов, подписываемых субъектом.

Федеральным законом от 24.06.2025 №156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации» с 1 сентября 2025 года определено требование, что согласие на обработку персональных данных должно оформляться отдельным документом.

Согласно закону, часть 1 ст. 9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» дополняется нормой: «Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных». 

Запрет передачи результатов работы с персональными данными иностранцам

Предоставление результатов обработки ПДн иностранным юрлицам, организациям, гражданам запрещено, кроме случаев, прямо предусмотренных российским законодательством.

Федеральный закон от 27.07.2006 №152-ФЗ (ред. от 28.02.2025) «О персональных данных» устанавливает правила трансграничной передачи персональных данных, в том числе возможность запрета такой передачи.

С 23 октября 2024 года Постановление Правительства РФ от 14.10.2024 №1371 дополнило правила: теперь под запрет может попасть любая международная организация, а не только НКО. Это связано с изменениями, которые позволяют признавать нежелательными иностранные структуры, если их деятельность признана угрожающей интересам России.

С 1 марта 2023 года действует порядок принятия решений о запрете, установленный постановлениями правительства от 10.01.2023 №6 и от 16.01.2023 №24

Расширение контрольных полномочий ФСБ России

Закон от 24.06.2025 №156-ФЗ, который с 1 сентября 2025 года вносит изменения в ч. 1 ст. 9 закона от 27.07.2006 №152-ФЗ.

Согласно этому закону, ФСБ получит право контролировать соблюдение мер безопасности в области обработки персональных данных, в том числе в негосударственных и коммерческих информационных системах. Ранее ФСБ контролировала безопасность персональных данных в основном в госсекторе.