Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 1 августа 2025 г. № 1154
МОСКВА
Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных
В соответствии со статьей 131 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:
1. Утвердить согласованные с Федеральной службой безопасности Российской Федерации прилагаемые:
требования к обезличиванию персональных данных;
методы обезличивания персональных данных;
Правила обезличивания персональных данных.
2. Настоящее постановление вступает в силу с 1 сентября 2025 г.
Председатель Правительства Российской Федерации М.Мишустин
УТВЕРЖДЕНЫ постановлением Правительства Российской Федерацииот 1 августа 2025 г. № 1154
ТРЕБОВАНИЯ к обезличиванию персональных данных
1. Настоящий документ устанавливает требования к обезличиванию персональных данных при получении оператором или в соответствии со статьей 62 Федерального закона "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве, об особенностях обработки персональных данных при формировании региональных составов данных и предоставления доступа к региональным составам данных и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" высшим исполнительным органом субъекта Российской Федерации - города федерального значения Москвы от Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации требования о предоставлении персональных данных, полученных в результате обезличивания персональных данных (далее - обезличенные данные) , направляемого в соответствии с частью 2 статьи 131 Федерального закона "О персональных данных" (далее - требование о предоставлении обезличенных данных) .
2. При обезличивании персональных данных оператор или в соответствии со статьей 62 Федерального закона "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве, об особенностях обработки персональных данных при формировании региональных составов данных и предоставления доступа к региональным составам данных и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" исполнительный орган субъекта Российской Федерации - города федерального значения Москвы, уполномоченный на координацию мероприятий экспериментального правового режима, а также на осуществление иных функций в соответствии с указанным Федеральным законом, должен обеспечить:
а) соблюдение Правил обезличивания персональных данных и методов обезличивания персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 августа 2025 г. № 1154 "Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных", с учетом требования о предоставлении обезличенных данных;
б) раздельное хранение персональных данных и обезличенных данных;
в) принятие мер по обеспечению безопасности обезличенных данных в соответствии с Федеральным законом "О персональных данных";
г) исключение из обезличенных данных информации, доступ к которой ограничен федеральными законами;
д) использование алгоритмов и программы для электронных вычислительных машин для обезличивания персональных данных, обеспечивающих возможность предоставления обезличенных данных из информационной системы оператора или государственной информационной системы, указанной в части 2 статьи 61 Федерального закона "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве, об особенностях обработки персональных данных при формировании региональных составов данных и предоставления доступа к региональным составам данных и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных", в государственную информационную систему Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, указанную в статье 131 Федерального закона "О персональных данных", без потери таких данных и (или) их изменения;
е) возможность внесения изменений и дополнений в обезличенные данные, поддержку актуальности обезличенных данных и возможность повторного применения методов обезличивания персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 августа 2025 г. № 1154 "Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных", без возможности преобразования обезличенных данных к исходному виду, позволяющему определить их принадлежность конкретному субъекту персональных данных, а также целостность массива обезличенных данных и их соответствие требованию о предоставлении обезличенных данных.
___________
УТВЕРЖДЕНЫ постановлением Правительства Российской Федерацииот 1 августа 2025 г. № 1154
МЕТОДЫ обезличивания персональных данных
1. Настоящий документ устанавливает методы, которые применяются при обезличивании персональных данных в случае получения оператором или в соответствии со статьей 62 Федерального закона "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве, об особенностях обработки персональных данных при формировании региональных составов данных и предоставления доступа к региональным составам данных и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" высшим исполнительным органом субъекта Российской Федерации - города федерального значения Москвы от Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации требования о предоставлении персональных данных, полученных в результате обезличивания персональных данных, направляемого в соответствии с частью 2 статьи 131 Федерального закона "О персональных данных".
2. К методам обезличивания персональных данных, указанным в пункте 1 настоящего документа, относятся:
а) метод введения идентификаторов - замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным персональным данным;
б) метод изменения состава или семантики - изменение состава или семантики персональных данных, в том числе путем замены результатами статистической обработки или удаления части сведений (значений персональных данных) ;
в) метод декомпозиции - разбиение массива персональных данных на несколько частей с последующим раздельным их хранением;
г) метод перемешивания - перестановка отдельных записей, а также групп записей в массиве персональных данных;
д) метод преобразования - агрегация массива персональных данных, полученных в результате обезличивания персональных данных, путем обобщения элементов структуры массива персональных данных, подлежащих обезличиванию, имеющих качественные или количественные значения применительно к каждому субъекту персональных данных, а также установления заданного количества их различных значений, позволяющего отобразить исходное распределение каждого значения.
___________
УТВЕРЖДЕНЫ постановлением Правительства Российской Федерацииот 1 августа 2025 г. № 1154
ПРАВИЛА обезличивания персональных данных
1. Настоящие Правила определяют порядок обезличивания персональных данных оператором, получившим от Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации требование о предоставлении персональных данных, полученных в результате обезличивания персональных данных (далее - обезличенные данные) , направленное в соответствии с частью 2 статьи 131 Федерального закона "О персональных данных" (далее - требование о предоставлении обезличенных данных) , или исполнительным органом субъекта Российской Федерации - города федерального значения Москвы, уполномоченным на координацию мероприятий экспериментального правового режима, а также на осуществление иных функций в соответствии с Федеральным законом "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве, об особенностях обработки персональных данных при формировании региональных составов данных и предоставления доступа к региональным составам данных и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" (далее - уполномоченный орган) , которому высшим исполнительным органом субъекта Российской Федерации - города федерального значения Москвы в соответствии со статьей 62 указанного Федерального закона поручено обеспечить выполнение требования о предоставлении обезличенных данных.
2. Формирование проекта требования о предоставлении обезличенных данных, содержащего в том числе цель формирования состава обезличенных данных, сгруппированного по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных (далее - состав данных) , осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации на основании материалов исследований.
3. Материалы исследований должны содержать обоснование выработанных к составу данных методов обезличивания персональных данных и их параметров применительно к содержанию элементов структуры массива персональных данных, подлежащих обезличиванию, имеющих качественные или количественные значения по субъектам персональных данных, и их формат, критерии выборки персональных данных с учетом типов угроз безопасности персональных данных, определенных в пункте 3 Правил формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, утвержденных постановлением Правительства Российской Федерации от 26 июня 2025 г. № 961 "О формировании составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, и предоставлении доступа к составам таких данных", а также количественных оценок, связанных с возможностью определения принадлежности обезличенных данных конкретному субъекту персональных данных, устанавливаемых по каждому составу данных в соответствии с методическими рекомендациями, утверждаемыми Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации.
4. Материалы исследований, подготовленные при формировании проекта требования о предоставлении обезличенных данных в соответствии с пунктами 2 и 3 настоящих Правил, направляются на рассмотрение в Федеральную службу безопасности Российской Федерации, а также в Центральный банк Российской Федерации (при направлении требования о предоставлении обезличенных данных банкам, иным кредитным организациям, иностранным банкам, осуществляющим деятельность на территории Российской Федерации через свои филиалы, некредитным финансовым организациям, которые осуществляют указанные в части первой статьи 761 Федерального закона "О Центральном банке Российской Федерации (Банке России) " виды деятельности, субъектам национальной платежной системы, лицам, оказывающим профессиональные услуги на финансовом рынке) заблаговременно (не позднее 30 календарных дней) до направления на согласование проекта требования о предоставлении обезличенных данных, если иной срок не предусмотрен поручением Президента Российской Федерации, Председателя Правительства Российской Федерации или заместителей Председателя Правительства Российской Федерации или решением директора Федеральной службы безопасности Российской Федерации (председателя Национального антитеррористического комитета) , заместителя директора Федеральной службы безопасности Российской Федерации - руководителя аппарата Национального антитеррористического комитета, Правительственной комиссии по предупреждению и ликвидации чрезвычайных ситуаций и обеспечению пожарной безопасности.
5. Направляемое оператору или уполномоченному органу требование о предоставлении обезличенных данных подлежит согласованию с Федеральной службой безопасности Российской Федерации, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, а также Центральным банком Российской Федерации (при направлении требования о предоставлении обезличенных данных банкам, иным кредитным организациям, иностранным банкам, осуществляющим деятельность на территории Российской Федерации через свои филиалы, некредитным финансовым организациям, которые осуществляют указанные в части первой статьи 761 Федерального закона "О Центральном банке Российской Федерации (Банке России) " виды деятельности, субъектам национальной платежной системы, лицам, оказывающим профессиональные услуги на финансовом рынке) в срок не более 15 календарных дней со дня поступления проекта требования о предоставлении обезличенных данных на согласование, если иной срок не предусмотрен поручением Президента Российской Федерации, Председателя Правительства Российской Федерации или заместителей Председателя Правительства Российской Федерации или решением директора Федеральной службы безопасности Российской Федерации (председателя Национального антитеррористического комитета) , заместителя директора Федеральной службы безопасности Российской Федерации - руководителя аппарата Национального антитеррористического комитета, Правительственной комиссии по предупреждению и ликвидации чрезвычайных ситуаций и обеспечению пожарной безопасности.
6. Оператор или уполномоченный орган осуществляет обезличивание персональных данных в соответствии с методом (методами) обезличивания персональных данных и особенностями их применения, а также сроками предоставления обезличенных данных, указанными в требовании о предоставлении обезличенных данных, подготавливаемом в соответствии с методическими рекомендациями, разработанными Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации, с учетом типов угроз безопасности персональных данных, определенных в пункте 3 Правил формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, утвержденных постановлением Правительства Российской Федерации от 26 июня 2025 г. № 961 "О формировании составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, и предоставлении доступа к составам таких данных".
7. Оператор или уполномоченный орган при выполнении требования о предоставлении обезличенных данных, содержащего указание на применение методов обезличивания персональных данных, предусмотренных подпунктами "а" - "г" пункта 2 методов обезличивания персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 августа 2025 г. № 1154 "Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных", осуществляет обезличивание персональных данных с использованием безвозмездно предоставляемой оператору или уполномоченному органу Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации программы для электронных вычислительных машин либо с использованием иной программы для электронных вычислительных машин, реализующей такие методы обезличивания персональных данных. Указанные программы для электронных вычислительных машин используются оператором или уполномоченным органом после подтверждения в установленном порядке их соответствия требованиям, устанавливаемым Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации по согласованию с Федеральной службой безопасности Российской Федерации.
8. Оператор или уполномоченный орган после проведения обезличивания персональных данных с применением методов обезличивания персональных данных, предусмотренных подпунктами "а" - "г" пункта 2 методов обезличивания персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 августа 2025 г. № 1154 "Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных", предоставляет обезличенные данные в государственную информационную систему Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, указанную в статье 131 Федерального закона "О персональных данных".
9. Оператор или уполномоченный орган при выполнении требования о предоставлении обезличенных данных, содержащего указание на применение метода обезличивания персональных данных, предусмотренного подпунктом "д" пункта 2 методов обезличивания персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 августа 2025 г. № 1154 "Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персональных данных", осуществляет обезличивание персональных данных с использованием собственных программно-аппаратных средств и обеспечивает доступность обезличенных данных для автоматизированного предоставления в государственную информационную систему Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, указанную в статье 131 Федерального закона "О персональных данных", посредством единого сервиса доступа к данным единой системы межведомственного электронного взаимодействия в соответствии с Правилами взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с операторами и взаимодействия государственной информационной системы, определенной в соответствии с частью 2 статьи 131 Федерального закона "О персональных данных", и информационных систем операторов, утвержденными постановлением Правительства Российской Федерации от 26 июня 2025 г. № 966 "Об утверждении Правил взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с операторами и взаимодействия государственной информационной системы, определенной в соответствии с частью 2 статьи 131 Федерального закона "О персональных данных", и информационных систем операторов", а также направляет в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации информацию о применяемых параметрах такого метода обезличивания персональных данных, включая соответствие атрибутов персональных данных и их формата, критериев выборки персональных данных положениям, указанным в требовании о предоставлении обезличенных данных, либо осуществляет обезличивание персональных данных с использованием безвозмездно предоставляемой оператору или уполномоченному органу программы для электронных вычислительных машин, указанной в пункте 7 настоящих Правил, и предоставляет обезличенные данные в государственную информационную систему Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, указанную в статье 131 Федерального закона "О персональных данных".
___________