4 метода обезличивания ПДн по Приказу №996: разбор с примерами

Приказ Роскомнадзора №996 закрепляет четыре метода обезличивания персональных данных. Разбираем каждый на примерах, объясняем требования к обезличиванию ПДн и помогаем выбрать средства обезличивания под вашу задачу — особенно когда данные нужно вернуть в исходный вид.

4 метода обезличивания ПДн по Приказу №996: разбор с примерами

Обезличивание персональных данных — не абстрактное требование «привести данные в порядок», а конкретная процедура с закреплёнными методами. Регулятор описал их в Приказе Роскомнадзора от 5 сентября 2013 г. №996, который утверждает требования и методы по обезличиванию ПДн для государственных и муниципальных органов, но фактически стал отраслевым стандартом для любого оператора. Если вы собираетесь передавать данные подрядчику, обучать на них модель, выгружать в аналитику или просто отправлять документы во внешний сервис — выбор метода обезличивания определяет и юридический статус данных, и возможность вернуть их в исходный вид.

Ниже — разбор всех четырёх методов с примерами, сравнительной таблицей и практическими рекомендациями: какой метод выбрать под задачу и какие документы оформить, чтобы обезличивание выдержало проверку.

Что говорит Приказ №996: четыре метода и базовые требования

Приказ №996 определяет обезличивание как действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. Ключевое слово здесь — «без использования дополнительной информации»: именно наличие или отсутствие этой «дополнительной информации» (например, таблицы соответствия) отделяет обратимое обезличивание от необратимого.

Документ закрепляет четыре метода обезличивания персональных данных:

  1. Метод введения идентификаторов — замена части сведений идентификаторами с созданием таблицы (справочника) соответствия.
  2. Метод изменения состава или семантики — изменение, обобщение или удаление части сведений (на практике сюда относят перемешивание и преобразование значений).
  3. Метод декомпозиции — разбиение массива на отдельные части с раздельным хранением (основа агрегирования).
  4. Метод перемешивания — перестановка отдельных записей или значений атрибутов в массиве.

Приказ формулирует и общие требования к обезличиванию ПДн, которым должен удовлетворять результат независимо от метода:

  • Обратимость или необратимость — свойство, осознанно выбираемое оператором: можно ли восстановить исходные данные и при каких условиях.
  • Сохранение полезных свойств — обезличенные данные должны оставаться пригодными для заявленной цели (аналитики, тестирования, обучения).
  • Параметрическая управляемость — степень обезличивания должна регулироваться под уровень риска.
  • Минимизация дополнительной информации — сведения, позволяющие деобезличить данные, хранятся отдельно и под усиленной защитой.

Дальше — каждый метод по отдельности.

Метод 1. Замена идентификаторов (псевдонимизация)

Суть метода: прямые идентификаторы (ФИО, паспорт, телефон, e-mail, номер счёта) заменяются на условные значения — псевдонимы или коды, а соответствие «оригинал → псевдоним» сохраняется в отдельной защищённой таблице.

Пример. В договоре «Иванов Иван Иванович, паспорт 4509 №123456» превращается в «Субъект_017, ID-документа Д-017». В отдельном файле, доступном только ответственному, хранится строка: Субъект_017 = Иванов И.И., 4509 123456.

Главное свойство метода — обратимость. Это единственный из четырёх методов, который позволяет вернуть данные в исходный вид. Поэтому он же является основой псевдонимизации: данные защищены от прямого прочтения, но при легитимной необходимости восстанавливаются.

Когда использовать:

  • нужно отдать документ во внешний сервис (например, в нейросеть для анализа), а потом вернуть результат с реальными именами;
  • идёт тестирование или разработка на «боевых» данных;
  • данные передаются подрядчику, но оператор должен сохранять связь с субъектом.

Важно помнить: пока существует таблица соответствия, данные юридически остаются персональными — это псевдонимизация, а не анонимизация. Защита таблицы соответствия (шифрование, разграничение доступа, отдельное хранение) — самая критичная часть всей процедуры.

Метод 2. Перемешивание и риски деанонимизации

Перемешивание (метод перестановки) меняет местами значения атрибутов между записями так, что в каждой строке данные перестают соответствовать реальному человеку, но статистическое распределение по столбцу сохраняется.

Пример. В таблице сотрудников столбец «оклад» перетасовывается: суммы остаются те же, средняя зарплата по отделу не меняется, но конкретная сумма больше не привязана к конкретному человеку.

Метод полезен, когда нужно сохранить распределения для аналитики, но скрыть индивидуальные связи. Однако у перемешивания есть существенный риск деанонимизации:

  • если в наборе остаются редкие или уникальные сочетания признаков (единственный сотрудник на должности, уникальный город + возраст + должность), запись можно «привязать» обратно;
  • перемешивание одного столбца не защищает, если другие столбцы остаются связанными между собой;
  • при наличии внешних источников данных (соцсети, открытые реестры) злоумышленник способен сопоставить квазиидентификаторы и восстановить личность.

Поэтому перемешивание редко применяют в одиночку — его комбинируют с удалением квазиидентификаторов и обобщением. Сам по себе метод необратим: восстановить исходные пары «человек → значение» уже невозможно.

Метод 3. Агрегирование (для статистики)

Агрегирование (на базе метода декомпозиции) заменяет индивидуальные записи сводными показателями: суммами, средними, количествами по группам. Отдельные субъекты в результате исчезают — остаётся только статистика.

Пример. Вместо таблицы «1000 клиентов с возрастом и суммой покупки» формируется отчёт: «возраст 25–34: средний чек 4 200 ₽, 312 клиентов; возраст 35–44: средний чек 5 100 ₽, 288 клиентов».

Когда применять:

  • публикация отчётности, дашбордов, исследований;
  • передача данных аналитикам, которым не нужны конкретные люди;
  • открытые данные и статистика для регуляторов или партнёров.

Метод необратим: из агрегата невозможно восстановить исходные записи. Но и здесь есть оговорка — слишком мелкие группы опасны. Если в группе один-два человека, агрегат фактически раскрывает их данные. Практическое правило — не публиковать ячейки с числом субъектов ниже порога (часто берут k ≥ 5), иначе обезличивание формально проведено, а фактически нет.

Метод 4. Удаление атрибутов (необратимо)

Самый прямолинейный метод: детализирующие атрибуты убираются полностью или обобщаются до уровня, не позволяющего идентифицировать человека.

Примеры:

  • удаление столбца «ФИО» и «паспорт» целиком;
  • обобщение: точная дата рождения → год рождения; полный адрес → только город; точный возраст → диапазон «30–40».

Метод необратим по определению: удалённую информацию восстановить нельзя, потому что её больше нет. Это его сильная сторона (надёжность) и слабость (потеря полезности — данные могут стать непригодными для части задач).

Удаление атрибутов хорошо работает в связке с другими методами: сначала убирают прямые идентификаторы, затем обобщают квазиидентификаторы, чтобы исключить сопоставление с внешними источниками.

Сравнение методов: что выбрать под задачу

Быстрый ориентир — по одному вопросу: нужна ли вам возможность вернуть исходные данные.

flowchart TD
  S["Что обезличиваем?"] --> Q1{"Нужно вернуть
исходные данные?"} Q1 -->|"Да"| M1["Замена идентификаторов
+ изолированная таблица соответствий"] Q1 -->|"Нет"| Q2{"Что важнее?"} Q2 -->|"Детализация по записям"| M3["Декомпозиция"] Q2 -->|"Только сводные цифры"| M4["Агрегирование"] Q2 -->|"Разрушить косвенные признаки"| M2["Перемешивание / обобщение"]
Метод Обратимость Сохраняет полезность Основное применение Главный риск
Замена идентификаторов Да (есть таблица соответствия) Высокая Передача в сервисы, тестирование, возврат результата Компрометация таблицы соответствия
Перемешивание Нет Средняя (сохраняет распределения) Аналитика по распределениям Деанонимизация по редким сочетаниям
Агрегирование Нет Средняя (только сводно) Статистика, отчётность Мелкие группы раскрывают субъектов
Удаление атрибутов Нет Низкая–средняя Жёсткое обезличивание, публикация Потеря пригодности данных

Короткий алгоритм выбора:

  • Нужна обратимость (результат вернуть с реальными данными) → только замена идентификаторов.
  • Нужна статистика без отдельных людей → агрегирование.
  • Нужны распределения, но без привязки к лицам → перемешивание + удаление квазиидентификаторов.
  • Нужна максимальная необратимая защита → удаление/обобщение атрибутов.

Если данные нужно вернуть: ставка на обратимое обезличивание

Самый частый практический сценарий в работе с документами — когда обезличить нужно временно. Юрист отправляет договор на анализ в нейросеть, финансист — управленческую отчётность, кадровик — приказ. Во всех случаях результат должен вернуться с настоящими именами и реквизитами, иначе работать с ним нельзя.

Для этого подходит только метод замены идентификаторов: персональные данные на время заменяются псевдонимами, а после получения результата восстанавливаются по защищённому соответствию. Перемешивание, агрегирование и удаление здесь не годятся — они необратимы.

Как Анонимизатор tirCoWork выполняет обратимую замену

Анонимизатор — встроенная функция tirCoWork, входящая в подписку. Он реализует метод замены идентификаторов с возможностью восстановления и при этом снимает главную проблему любого обезличивания — где безопасно хранить связь «оригинал → псевдоним».

Как это устроено на практике:

  • Точное распознавание персональных данных в документе — ФИО, паспорта, ИНН, телефоны, адреса, номера счетов и договоров находятся автоматически.
  • Замена на псевдонимы с сохранением структуры — текст остаётся читаемым и пригодным для анализа: «Субъект_1», «Организация_2», маскированные реквизиты.
  • Восстановление в один шаг — после возврата результата из внешнего сервиса реальные данные подставляются обратно по защищённому соответствию.
  • Всё происходит локально — обезличивание выполняется на вашем компьютере, исходные файлы не покидают устройство, а таблица соответствия не передаётся наружу. Это напрямую отвечает требованию №996 о минимизации и защите дополнительной информации.

Так оператор получает и пользу от внешних ИИ-сервисов, и контроль над персональными данными: наружу уходит только обезличенный текст, а связь с субъектами остаётся под защитой.

Обязательные документы: акт обезличивания и журнал учёта

Метод выбран и применён — но процедура не считается завершённой без документального оформления. Оператор обязан зафиксировать факт обезличивания.

Акт обезличивания персональных данных фиксирует конкретную операцию. В нём указывают:

  • основание и цель обезличивания;
  • применённый метод (один из четырёх или их комбинацию);
  • состав обезличенных данных и их источник;
  • дату и ответственное лицо;
  • свойство обратимости и порядок хранения дополнительной информации (если метод обратимый).

Журнал учёта обезличенных персональных данных ведётся системно и отражает все операции: какие наборы обезличены, когда, каким методом, кто проводил, передавались ли данные и кому. Журнал — основной артефакт, который запрашивают при проверке.

Чтобы не составлять документы с нуля, используйте готовые шаблоны акта обезличивания и журнала учёта — их можно адаптировать под свои процессы и приложить к политике обработки ПДн.

Практический вывод

Приказ №996 даёт четыре инструмента, и выбор между ними сводится к одному вопросу: нужно ли возвращать данные в исходный вид. Если да — работает только замена идентификаторов (псевдонимизация); если нет — выбирайте между агрегированием (статистика), перемешиванием (распределения) и удалением атрибутов (максимальная защита), помня про риски мелких групп и редких сочетаний.

Для повседневной работы с документами, которые нужно безопасно отправить во внешний сервис и получить обратно, удобнее всего обратимая замена локально — её и реализует Анонимизатор tirCoWork. А корректно оформленные акт обезличивания и журнал учёта превращают разовую операцию в процедуру, готовую к проверке.

Частые вопросы

Какие методы обезличивания персональных данных предусмотрены Приказом №996?

Приказ Роскомнадзора №996 закрепляет четыре метода: замена идентификаторов (введение псевдонимов), изменение состава или семантики (перемешивание), декомпозиция (агрегирование) и обобщение (удаление детализирующих атрибутов). Их можно комбинировать.

Какой метод выбрать, если данные нужно потом восстановить?

Только метод замены идентификаторов (псевдонимизация) обеспечивает обратимость: оригиналы хранятся в защищённой таблице соответствия. Перемешивание, агрегирование и удаление атрибутов необратимы и для восстановления не подходят.

Чем псевдонимизация отличается от анонимизации?

Псевдонимизация обратима — при наличии таблицы соответствия данные восстанавливаются, поэтому юридически они остаются персональными. Анонимизация необратима и при корректном применении выводит данные из-под действия 152-ФЗ.

Какие документы нужно оформить при обезличивании?

Оператор фиксирует процесс актом обезличивания и ведёт журнал учёта обезличенных данных. В акте указывают метод, дату, основание и ответственного; журнал отражает операции с обезличенными наборами.

Можно ли обезличивать персональные данные локально, без передачи в облако?

Да. Анонимизатор tirCoWork выполняет замену идентификаторов прямо на вашем компьютере: исходные файлы не покидают устройство, а восстановление возможно по защищённому соответствию.

Попробовать Анонимизатор tirCoWork

Обезличивание работает локально, на вашем компьютере: файлы остаются у вас. 30 дней бесплатно, карта не нужна. Тарифы от 500 ₽/мес.

Попробовать Анонимизатор tirCoWork

Читайте также