4 метода обезличивания ПДн по Приказу №996: разбор с примерами
Приказ Роскомнадзора №996 закрепляет четыре метода обезличивания персональных данных. Разбираем каждый на примерах, объясняем требования к обезличиванию ПДн и помогаем выбрать средства обезличивания под вашу задачу — особенно когда данные нужно вернуть в исходный вид.
Обезличивание персональных данных — не абстрактное требование «привести данные в порядок», а конкретная процедура с закреплёнными методами. Регулятор описал их в Приказе Роскомнадзора от 5 сентября 2013 г. №996, который утверждает требования и методы по обезличиванию ПДн для государственных и муниципальных органов, но фактически стал отраслевым стандартом для любого оператора. Если вы собираетесь передавать данные подрядчику, обучать на них модель, выгружать в аналитику или просто отправлять документы во внешний сервис — выбор метода обезличивания определяет и юридический статус данных, и возможность вернуть их в исходный вид.
Ниже — разбор всех четырёх методов с примерами, сравнительной таблицей и практическими рекомендациями: какой метод выбрать под задачу и какие документы оформить, чтобы обезличивание выдержало проверку.
Что говорит Приказ №996: четыре метода и базовые требования
Приказ №996 определяет обезличивание как действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. Ключевое слово здесь — «без использования дополнительной информации»: именно наличие или отсутствие этой «дополнительной информации» (например, таблицы соответствия) отделяет обратимое обезличивание от необратимого.
Документ закрепляет четыре метода обезличивания персональных данных:
- Метод введения идентификаторов — замена части сведений идентификаторами с созданием таблицы (справочника) соответствия.
- Метод изменения состава или семантики — изменение, обобщение или удаление части сведений (на практике сюда относят перемешивание и преобразование значений).
- Метод декомпозиции — разбиение массива на отдельные части с раздельным хранением (основа агрегирования).
- Метод перемешивания — перестановка отдельных записей или значений атрибутов в массиве.
Приказ формулирует и общие требования к обезличиванию ПДн, которым должен удовлетворять результат независимо от метода:
- Обратимость или необратимость — свойство, осознанно выбираемое оператором: можно ли восстановить исходные данные и при каких условиях.
- Сохранение полезных свойств — обезличенные данные должны оставаться пригодными для заявленной цели (аналитики, тестирования, обучения).
- Параметрическая управляемость — степень обезличивания должна регулироваться под уровень риска.
- Минимизация дополнительной информации — сведения, позволяющие деобезличить данные, хранятся отдельно и под усиленной защитой.
Дальше — каждый метод по отдельности.
Метод 1. Замена идентификаторов (псевдонимизация)
Суть метода: прямые идентификаторы (ФИО, паспорт, телефон, e-mail, номер счёта) заменяются на условные значения — псевдонимы или коды, а соответствие «оригинал → псевдоним» сохраняется в отдельной защищённой таблице.
Пример. В договоре «Иванов Иван Иванович, паспорт 4509 №123456» превращается в «Субъект_017, ID-документа Д-017». В отдельном файле, доступном только ответственному, хранится строка: Субъект_017 = Иванов И.И., 4509 123456.
Главное свойство метода — обратимость. Это единственный из четырёх методов, который позволяет вернуть данные в исходный вид. Поэтому он же является основой псевдонимизации: данные защищены от прямого прочтения, но при легитимной необходимости восстанавливаются.
Когда использовать:
- нужно отдать документ во внешний сервис (например, в нейросеть для анализа), а потом вернуть результат с реальными именами;
- идёт тестирование или разработка на «боевых» данных;
- данные передаются подрядчику, но оператор должен сохранять связь с субъектом.
Важно помнить: пока существует таблица соответствия, данные юридически остаются персональными — это псевдонимизация, а не анонимизация. Защита таблицы соответствия (шифрование, разграничение доступа, отдельное хранение) — самая критичная часть всей процедуры.
Метод 2. Перемешивание и риски деанонимизации
Перемешивание (метод перестановки) меняет местами значения атрибутов между записями так, что в каждой строке данные перестают соответствовать реальному человеку, но статистическое распределение по столбцу сохраняется.
Пример. В таблице сотрудников столбец «оклад» перетасовывается: суммы остаются те же, средняя зарплата по отделу не меняется, но конкретная сумма больше не привязана к конкретному человеку.
Метод полезен, когда нужно сохранить распределения для аналитики, но скрыть индивидуальные связи. Однако у перемешивания есть существенный риск деанонимизации:
- если в наборе остаются редкие или уникальные сочетания признаков (единственный сотрудник на должности, уникальный город + возраст + должность), запись можно «привязать» обратно;
- перемешивание одного столбца не защищает, если другие столбцы остаются связанными между собой;
- при наличии внешних источников данных (соцсети, открытые реестры) злоумышленник способен сопоставить квазиидентификаторы и восстановить личность.
Поэтому перемешивание редко применяют в одиночку — его комбинируют с удалением квазиидентификаторов и обобщением. Сам по себе метод необратим: восстановить исходные пары «человек → значение» уже невозможно.
Метод 3. Агрегирование (для статистики)
Агрегирование (на базе метода декомпозиции) заменяет индивидуальные записи сводными показателями: суммами, средними, количествами по группам. Отдельные субъекты в результате исчезают — остаётся только статистика.
Пример. Вместо таблицы «1000 клиентов с возрастом и суммой покупки» формируется отчёт: «возраст 25–34: средний чек 4 200 ₽, 312 клиентов; возраст 35–44: средний чек 5 100 ₽, 288 клиентов».
Когда применять:
- публикация отчётности, дашбордов, исследований;
- передача данных аналитикам, которым не нужны конкретные люди;
- открытые данные и статистика для регуляторов или партнёров.
Метод необратим: из агрегата невозможно восстановить исходные записи. Но и здесь есть оговорка — слишком мелкие группы опасны. Если в группе один-два человека, агрегат фактически раскрывает их данные. Практическое правило — не публиковать ячейки с числом субъектов ниже порога (часто берут k ≥ 5), иначе обезличивание формально проведено, а фактически нет.
Метод 4. Удаление атрибутов (необратимо)
Самый прямолинейный метод: детализирующие атрибуты убираются полностью или обобщаются до уровня, не позволяющего идентифицировать человека.
Примеры:
- удаление столбца «ФИО» и «паспорт» целиком;
- обобщение: точная дата рождения → год рождения; полный адрес → только город; точный возраст → диапазон «30–40».
Метод необратим по определению: удалённую информацию восстановить нельзя, потому что её больше нет. Это его сильная сторона (надёжность) и слабость (потеря полезности — данные могут стать непригодными для части задач).
Удаление атрибутов хорошо работает в связке с другими методами: сначала убирают прямые идентификаторы, затем обобщают квазиидентификаторы, чтобы исключить сопоставление с внешними источниками.
Сравнение методов: что выбрать под задачу
Быстрый ориентир — по одному вопросу: нужна ли вам возможность вернуть исходные данные.
flowchart TD
S["Что обезличиваем?"] --> Q1{"Нужно вернуть
исходные данные?"}
Q1 -->|"Да"| M1["Замена идентификаторов
+ изолированная таблица соответствий"]
Q1 -->|"Нет"| Q2{"Что важнее?"}
Q2 -->|"Детализация по записям"| M3["Декомпозиция"]
Q2 -->|"Только сводные цифры"| M4["Агрегирование"]
Q2 -->|"Разрушить косвенные признаки"| M2["Перемешивание / обобщение"]
| Метод | Обратимость | Сохраняет полезность | Основное применение | Главный риск |
|---|---|---|---|---|
| Замена идентификаторов | Да (есть таблица соответствия) | Высокая | Передача в сервисы, тестирование, возврат результата | Компрометация таблицы соответствия |
| Перемешивание | Нет | Средняя (сохраняет распределения) | Аналитика по распределениям | Деанонимизация по редким сочетаниям |
| Агрегирование | Нет | Средняя (только сводно) | Статистика, отчётность | Мелкие группы раскрывают субъектов |
| Удаление атрибутов | Нет | Низкая–средняя | Жёсткое обезличивание, публикация | Потеря пригодности данных |
Короткий алгоритм выбора:
- Нужна обратимость (результат вернуть с реальными данными) → только замена идентификаторов.
- Нужна статистика без отдельных людей → агрегирование.
- Нужны распределения, но без привязки к лицам → перемешивание + удаление квазиидентификаторов.
- Нужна максимальная необратимая защита → удаление/обобщение атрибутов.
Если данные нужно вернуть: ставка на обратимое обезличивание
Самый частый практический сценарий в работе с документами — когда обезличить нужно временно. Юрист отправляет договор на анализ в нейросеть, финансист — управленческую отчётность, кадровик — приказ. Во всех случаях результат должен вернуться с настоящими именами и реквизитами, иначе работать с ним нельзя.
Для этого подходит только метод замены идентификаторов: персональные данные на время заменяются псевдонимами, а после получения результата восстанавливаются по защищённому соответствию. Перемешивание, агрегирование и удаление здесь не годятся — они необратимы.
Как Анонимизатор tirCoWork выполняет обратимую замену
Анонимизатор — встроенная функция tirCoWork, входящая в подписку. Он реализует метод замены идентификаторов с возможностью восстановления и при этом снимает главную проблему любого обезличивания — где безопасно хранить связь «оригинал → псевдоним».
Как это устроено на практике:
- Точное распознавание персональных данных в документе — ФИО, паспорта, ИНН, телефоны, адреса, номера счетов и договоров находятся автоматически.
- Замена на псевдонимы с сохранением структуры — текст остаётся читаемым и пригодным для анализа: «Субъект_1», «Организация_2», маскированные реквизиты.
- Восстановление в один шаг — после возврата результата из внешнего сервиса реальные данные подставляются обратно по защищённому соответствию.
- Всё происходит локально — обезличивание выполняется на вашем компьютере, исходные файлы не покидают устройство, а таблица соответствия не передаётся наружу. Это напрямую отвечает требованию №996 о минимизации и защите дополнительной информации.
Так оператор получает и пользу от внешних ИИ-сервисов, и контроль над персональными данными: наружу уходит только обезличенный текст, а связь с субъектами остаётся под защитой.
Обязательные документы: акт обезличивания и журнал учёта
Метод выбран и применён — но процедура не считается завершённой без документального оформления. Оператор обязан зафиксировать факт обезличивания.
Акт обезличивания персональных данных фиксирует конкретную операцию. В нём указывают:
- основание и цель обезличивания;
- применённый метод (один из четырёх или их комбинацию);
- состав обезличенных данных и их источник;
- дату и ответственное лицо;
- свойство обратимости и порядок хранения дополнительной информации (если метод обратимый).
Журнал учёта обезличенных персональных данных ведётся системно и отражает все операции: какие наборы обезличены, когда, каким методом, кто проводил, передавались ли данные и кому. Журнал — основной артефакт, который запрашивают при проверке.
Чтобы не составлять документы с нуля, используйте готовые шаблоны акта обезличивания и журнала учёта — их можно адаптировать под свои процессы и приложить к политике обработки ПДн.
Практический вывод
Приказ №996 даёт четыре инструмента, и выбор между ними сводится к одному вопросу: нужно ли возвращать данные в исходный вид. Если да — работает только замена идентификаторов (псевдонимизация); если нет — выбирайте между агрегированием (статистика), перемешиванием (распределения) и удалением атрибутов (максимальная защита), помня про риски мелких групп и редких сочетаний.
Для повседневной работы с документами, которые нужно безопасно отправить во внешний сервис и получить обратно, удобнее всего обратимая замена локально — её и реализует Анонимизатор tirCoWork. А корректно оформленные акт обезличивания и журнал учёта превращают разовую операцию в процедуру, готовую к проверке.
Частые вопросы
Какие методы обезличивания персональных данных предусмотрены Приказом №996?
Приказ Роскомнадзора №996 закрепляет четыре метода: замена идентификаторов (введение псевдонимов), изменение состава или семантики (перемешивание), декомпозиция (агрегирование) и обобщение (удаление детализирующих атрибутов). Их можно комбинировать.
Какой метод выбрать, если данные нужно потом восстановить?
Только метод замены идентификаторов (псевдонимизация) обеспечивает обратимость: оригиналы хранятся в защищённой таблице соответствия. Перемешивание, агрегирование и удаление атрибутов необратимы и для восстановления не подходят.
Чем псевдонимизация отличается от анонимизации?
Псевдонимизация обратима — при наличии таблицы соответствия данные восстанавливаются, поэтому юридически они остаются персональными. Анонимизация необратима и при корректном применении выводит данные из-под действия 152-ФЗ.
Какие документы нужно оформить при обезличивании?
Оператор фиксирует процесс актом обезличивания и ведёт журнал учёта обезличенных данных. В акте указывают метод, дату, основание и ответственного; журнал отражает операции с обезличенными наборами.
Можно ли обезличивать персональные данные локально, без передачи в облако?
Да. Анонимизатор tirCoWork выполняет замену идентификаторов прямо на вашем компьютере: исходные файлы не покидают устройство, а восстановление возможно по защищённому соответствию.
Попробовать Анонимизатор tirCoWork
Обезличивание работает локально, на вашем компьютере: файлы остаются у вас. 30 дней бесплатно, карта не нужна. Тарифы от 500 ₽/мес.
Попробовать Анонимизатор tirCoWork