Обезличивание персональных данных: что это и как сделать правильно
Обезличивание персональных данных — это не «закрасить фамилию в PDF». Разбираем точное определение по 152-ФЗ, чем оно отличается от анонимизации и псевдонимизации, какие методы обезличивания ПДн признаёт регулятор и как правильно подготовить договор перед загрузкой в нейросеть.
Слово «обезличивание» звучит как формальность из юридического словаря, но за ним стоит вполне практическая проблема. Каждый раз, когда вы выгружаете список клиентов в таблицу для аналитики, отдаёте подрядчику тестовую базу или вставляете текст договора в нейросеть, вы принимаете решение: уйдут ли вместе с этими данными фамилии, паспорта и телефоны живых людей — или нет. Закон об обезличивании персональных данных (152-ФЗ) считает это решение вашей ответственностью, а не технической мелочью.
Самая частая ошибка — считать, что обезличивание персональных данных = «спрятать фамилию». Закрасили чёрным прямоугольником в PDF, заменили имя на «Клиент 1», удалили колонку «ФИО» — и кажется, что готово. На самом деле любое из этих действий может оказаться мнимым обезличиванием: данные остаются восстановимыми, а вы — нарушителем. Ниже разбираем, что именно закон считает обезличиванием, какие методы обезличивания ПДн признаёт регулятор, чем это отличается от анонимизации и псевдонимизации, и как не допустить утечки при работе с ИИ.
Что такое обезличивание персональных данных по 152-ФЗ
Определение даёт сам Федеральный закон «О персональных данных». Согласно статье 3 152-ФЗ:
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Разберём это определение по частям, потому что в нём каждое слово рабочее.
- «Действия» — обезличивание это процесс, а не статус. Нельзя один раз «объявить» базу обезличенной; нужно совершить конкретные операции с данными.
- «Невозможным определить принадлежность» — ключевой критерий результата. После обезличивания по записи нельзя понять, о каком человеке идёт речь.
- «Без использования дополнительной информации» — важнейшая оговорка. Закон допускает, что где-то существует таблица соответствия (например, «Клиент 1 = Иванов Иван»). Пока эта таблица хранится отдельно и защищена, данные считаются обезличенными. Но если идентификатор можно сопоставить с человеком прямо из самого набора — обезличивания нет.
Из определения вытекает практический вывод: обезличивание оценивается не по намерению, а по результату и по контексту. Если данные технически можно восстановить из имеющегося набора (например, по уникальному сочетанию должности, города и года рождения), они не обезличены — даже если фамилию вы убрали.
Идентификаторы прямые и косвенные
Чтобы понять, что нужно убрать, полезно разделить идентификаторы на два класса.
| Тип | Что это | Примеры |
|---|---|---|
| Прямые идентификаторы | Однозначно указывают на человека | ФИО, паспорт, СНИЛС, ИНН, номер телефона, e-mail, номер карты/счёта, точный адрес |
| Косвенные (квази-идентификаторы) | По отдельности не выдают, но в сочетании позволяют вычислить | Дата рождения, должность, отдел, город, пол, размер зарплаты, дата приёма на работу |
Главная опасность — именно косвенные идентификаторы. Уберите фамилию из кадровой таблицы, но оставьте «отдел продаж, ведущий менеджер, мужчина, 1987 г.р., оклад 180 000» — и в небольшой компании этого достаточно, чтобы узнать конкретного сотрудника. Поэтому правильное обезличивание персональных данных всегда работает и с прямыми, и с косвенными атрибутами.
Обезличивание, анонимизация и псевдонимизация: в чём разница
Эти три слова часто путают, а иногда используют как синонимы. Это создаёт юридическую неточность. Разведём их.
Обезличивание — российский термин
«Обезличивание» — это термин именно российского законодательства (152-ФЗ). Когда вы готовите документы для российского регулятора, в политике обработки ПДн, в актах и регламентах нужно использовать именно это слово.
Анонимизация — обиходный и международный синоним
«Анонимизация» в законе 152-ФЗ как термин не закреплена. Это слово пришло из международной практики (в GDPR — anonymisation) и из бытового языка. По смыслу анонимизация обычно подразумевает необратимое обезличивание — такое, после которого восстановить личность нельзя в принципе, даже с дополнительной информацией. В российских реалиях корректнее говорить «обезличивание», понимая, что «анонимизировать договор» и «обезличить договор» в обиходе означают одно и то же.
Псевдонимизация — обратимая замена
Псевдонимизация — это замена идентификаторов на условные обозначения (псевдонимы) при сохранении таблицы соответствия. «Иванов И.И.» становится «Субъект №47», но где-то лежит ключ «№47 = Иванов И.И.».
Ключевое отличие: псевдонимизация обратима. При наличии ключа данные легко вернуть в исходный вид. По логике 152-ФЗ псевдонимизированные данные с доступным ключом — это всё ещё персональные данные, потому что «дополнительная информация» для определения личности существует и доступна.
| Критерий | Обезличивание (152-ФЗ) | Псевдонимизация |
|---|---|---|
| Закреплено в 152-ФЗ | Да, термин из ст. 3 | Нет (используется в международной практике) |
| Обратимость | Зависит от метода; при отдельном хранении ключа — формально обезличено | Обратима при наличии ключа |
| Статус данных | Могут перестать быть ПДн (при необратимости) | Остаются ПДн, пока ключ доступен |
| Главный риск | Косвенная идентификация | Утечка таблицы соответствия |
Практический вывод: если вы просто заменили имена на «Клиент 1, 2, 3» и держите расшифровку рядом — вы сделали псевдонимизацию, а не обезличивание. Для безопасной передачи данных вовне (в том числе в ИИ) этого недостаточно.
Когда обезличивание персональных данных обязательно
152-ФЗ прямо называет обезличивание одной из мер по обеспечению безопасности данных и одним из способов прекращения обработки. На практике обезличивание становится обязательным или настоятельно необходимым в нескольких сценариях.
- Аналитика и статистика. Вам нужны не люди, а цифры: средний чек, конверсия, распределение по регионам. Идентификаторы здесь лишние, и хранить/обрабатывать их в исходном виде — необоснованный риск.
- Разработка и тестирование. Передавать боевую базу с реальными ФИО и паспортами в тестовый контур или подрядчику нельзя. Тестовые данные должны быть обезличены.
- Передача третьим лицам без отдельного основания. Если у вас нет правового основания передавать именно идентифицирующие данные, передавайте обезличенные.
- Демонстрации, обучение персонала, скриншоты, кейсы. Любые материалы «на показ» не должны содержать реальных ПДн.
- Работа с внешними ИИ-сервисами. Новый и самый массовый кейс. Об этом — отдельный раздел ниже.
Логика во всех случаях одна: принцип минимизации. Обрабатывайте только те данные, которые нужны для цели. Если цель достижима без привязки к личности — данные нужно обезличить.
4 метода обезличивания ПДн по Приказу Роскомнадзора №996
Регулятор не оставил методы обезличивания на усмотрение каждого. Приказ Роскомнадзора №996 утвердил требования и методы обезличивания персональных данных. Он описывает четыре базовых метода. На практике их почти всегда комбинируют, но понимать каждый по отдельности важно.
Метод 1. Введение идентификаторов (замена)
Прямые идентификаторы заменяются на условные коды по справочнику. ФИО → «Лицо 0457», адрес → «Регион 12». Создаётся отдельная таблица соответствия, которая хранится изолированно и под защитой.
- Плюсы: структура данных сохраняется, легко обрабатывать; при необходимости (и при наличии прав) данные восстановимы.
- Минусы: это, по сути, псевдонимизация — безопасность держится на изоляции таблицы соответствия. Утечка справочника = деобезличивание всего массива.
- Когда применять: когда нужна обратимость и вы можете гарантировать раздельное хранение ключа.
Метод 2. Изменение состава или семантики (перемешивание, искажение)
Значения атрибутов изменяются: перемешиваются между записями, округляются, заменяются на близкие по смыслу, но неточные. Возраст «37» → «30–40», зарплата «183 400» → «180 000–190 000», дата «14.03.2024» → «I квартал 2024».
- Плюсы: разрушает точные косвенные идентификаторы, при этом данные остаются пригодны для статистики.
- Минусы: снижает точность; при неаккуратном применении искажает выводы аналитики.
- Когда применять: для квази-идентификаторов (возраст, доход, даты), которые в точном виде позволяют вычислить человека.
Метод 3. Декомпозиция
Единый набор данных разбивается на несколько частей, которые хранятся раздельно, а связи между ними разрываются или маскируются. Сопоставить части и восстановить полную запись о человеке становится невозможно без дополнительной информации.
- Плюсы: позволяет сохранять данные для разных целей, не держа их связанными в одном месте.
- Минусы: организационно сложнее; требует контроля за тем, чтобы части не «съезжались» обратно.
- Когда применять: в крупных информационных системах, где разные подразделения работают с разными срезами.
Метод 4. Агрегирование (обобщение)
Индивидуальные записи заменяются обобщёнными показателями по группам. Вместо строк по каждому клиенту — «по Москве: 1 240 клиентов, средний чек 4 300 ₽». Отдельный человек в таких данных просто не представлен.
- Плюсы: при достаточном размере групп даёт практически необратимое обезличивание; идеально для отчётности.
- Минусы: теряется детализация; малые группы (1–2 человека) обобщение не спасает — нужен порог минимального размера группы.
- Когда применять: для статистики, дашбордов, публичной отчётности.
На практике корректное обезличивание — это комбинация методов: например, ФИО заменяют идентификатором (метод 1), дату рождения обобщают до года (метод 2), а итоговый отчёт строят по агрегированным группам (метод 4). Один метод в одиночку редко закрывает и прямые, и косвенные идентификаторы.
Чем опасна «мнимая» анонимизация
Самая дорогая ошибка — считать, что данные обезличены, когда они на самом деле легко восстановимы. Такое «мнимое» обезличивание создаёт ложное чувство безопасности: документ уходит вовне, а персональные данные уходят вместе с ним.
Закрашенный PDF — это не обезличивание
Классический пример. Юрист открывает договор в PDF, рисует поверх ФИО и паспортных данных чёрные прямоугольники, сохраняет, отправляет. Выглядит надёжно. На деле:
- Текстовый слой остаётся под заливкой. Прямоугольник — это графика поверх текста, а не удаление текста. Достаточно выделить область и скопировать — или прогнать файл через конвертацию в Word — чтобы «скрытое» проявилось.
- Метаданные и история правок. PDF может хранить предыдущие версии, комментарии, имя автора, путь к файлу с фамилией сотрудника.
- Распознавание. Даже если визуально всё закрашено, исходные данные часто остаются в структуре документа.
Аналогичные ловушки: «скрытые» строки и столбцы в Excel (данные на месте, просто не видны), белый шрифт на белом фоне в Word, заклеенные данные на отсканированном документе с сохранённым текстовым слоем.
Недостаточное обезличивание косвенных данных
Второй тип мнимой анонимизации — убрали прямые идентификаторы, но оставили косвенные. Классические исследования показывают, что значительную часть населения можно однозначно идентифицировать всего по трём параметрам: пол, дата рождения и почтовый индекс. Поэтому «обезличенная» таблица без ФИО, но с точными датами, должностями и адресами — это иллюзия защиты.
Что считается достаточным
Обезличивание достаточно тогда, когда выполнены оба условия:
- Удалены или заменены все прямые идентификаторы — без остаточного текстового слоя, без метаданных, без скрытого содержимого.
- Обработаны косвенные идентификаторы — точные значения обобщены или искажены так, что уникальные сочетания не позволяют вычислить человека.
Обезличивание для работы с ИИ — новый обязательный кейс
Ещё несколько лет назад список сценариев обезличивания был стабильным: аналитика, тесты, отчётность. Сегодня к ним добавился массовый и недооценённый кейс — работа с нейросетями.
Когда юрист загружает договор в ИИ для проверки, бухгалтер просит нейросеть свести акты, а руководитель вставляет в чат служебную переписку, происходит передача данных третьему лицу — внешнему сервису. Если в тексте есть ФИО, паспорта, реквизиты счетов, адреса — вы передаёте персональные данные за пределы контролируемого контура. Часто без правового основания, без уведомления субъектов и без понимания, где эти данные осядут.
Почему это серьёзный риск
- Передача неподконтрольному лицу. Вы не контролируете, как внешний сервис хранит и использует загруженное.
- Возможное использование для обучения. Загруженные тексты могут попадать в обучающие выборки и всплывать в чужих ответах.
- Утечки на стороне сервиса. История запросов — это база персональных данных, которую вы не администрируете.
- Нарушение 152-ФЗ и режимов тайны — персональных данных, коммерческой, налоговой, адвокатской.
Правильный подход: обезличить до загрузки
Ответ не в том, чтобы запретить ИИ — он уже стал рабочим инструментом. Ответ в том, чтобы обезличивать документ до того, как он попадёт в нейросеть. В ИИ должна уходить версия, где ФИО заменены на роли («Сторона 1», «Заказчик»), реквизиты — на условные, а персональные данные удалены. Смысл и структура договора сохраняются — модель прекрасно анализирует обезличенный текст — а живых людей в нём уже нет.
flowchart LR A["Документ с ПДн"] --> B["Анонимизатор
(локально на ПК)"] B --> C["Обезличенный текст"] C --> D["Нейросеть:
анализ"] D --> E["Ответ ИИ"] E --> F["Восстановление
по таблице соответствий"] F --> G["Готовый документ"] B -.->|"связка «кто есть кто»"| H["Остаётся только у вас"]
Именно для этого в tirCoWork встроен Анонимизатор. Он работает локально, на вашем компьютере: документ не уходит в исходном виде никуда. За счёт точного распознавания он находит в тексте ФИО, паспорта, адреса, телефоны, ИНН, номера счетов и e-mail и заменяет их на обезличенные обозначения — без чёрных прямоугольников и без остаточного текстового слоя. В ИИ отправляется уже безопасная версия, а сопоставление «кто есть кто» остаётся только у вас. Анонимизатор входит в подписку tirCoWork и не требует отдельной настройки.
Практический чеклист: что замаскировать в договоре перед загрузкой в ИИ
Перед тем как отправить договор, акт или письмо в нейросеть, пройдитесь по списку. Всё перечисленное — это идентификаторы, которые нужно убрать или заменить.
Данные людей (прямые идентификаторы):
- [ ] ФИО сторон, подписантов, представителей, контактных лиц
- [ ] Паспортные данные (серия, номер, кем и когда выдан)
- [ ] СНИЛС, ИНН физического лица
- [ ] Адреса регистрации и проживания
- [ ] Личные телефоны и e-mail
- [ ] Должности в связке с именем (особенно в небольших организациях)
- [ ] Подписи и их расшифровки
Реквизиты и финансы:
- [ ] Номера банковских счетов и карт
- [ ] Реквизиты, позволяющие выйти на конкретное физлицо (ИП)
- [ ] Суммы, если они уникальны и позволяют идентифицировать сделку/сторону
Косвенные идентификаторы:
- [ ] Точные даты, которые в сочетании с другими полями выдают человека (день рождения, дата приёма на работу)
- [ ] Уникальные комбинации «город + должность + отдел»
- [ ] Номера договоров и внутренние идентификаторы, ведущие к конкретному лицу
Проверка качества обезличивания:
- [ ] Текст не закрашен, а заменён — под заменой нет исходного текстового слоя
- [ ] Проверены метаданные файла (автор, история правок, комментарии)
- [ ] В Excel нет скрытых строк/столбцов с исходными данными
- [ ] Смысл документа сохранён — роли и связи понятны без реальных имён
- [ ] Таблица соответствия (если нужна) хранится отдельно, не вместе с документом
Совет: не делайте это вручную «на глаз». Человек устаёт и пропускает — особенно во втором телефоне на 14-й странице или в реквизитах на обороте. Локальный Анонимизатор tirCoWork проходит весь документ целиком и не пропускает идентификаторы из-за невнимательности.
Коротко: главное про обезличивание персональных данных
- Обезличивание по 152-ФЗ — это действия, после которых нельзя определить, кому принадлежат данные, без дополнительной информации. Оценивается по результату, а не по намерению.
- Анонимизация — обиходный синоним обезличивания (чаще про необратимость); псевдонимизация — обратимая замена с сохранением ключа, данные при этом остаются персональными.
- Четыре метода по Приказу РКН №996: замена (идентификаторы), изменение состава/семантики (перемешивание, обобщение), декомпозиция, агрегирование. На практике их комбинируют.
- Главная угроза — мнимое обезличивание: закрашенный PDF, скрытые столбцы, оставленные косвенные идентификаторы. Это не защищает данные.
- Работа с ИИ — новый обязательный кейс: загрузка документа в нейросеть равна передаче данных вовне. Обезличивайте текст до загрузки.
Обезличивание перестало быть редкой процедурой «для отчётности» — теперь оно нужно при каждой работе с внешним ИИ. Сделать это правильно, локально и без риска утечки помогает Анонимизатор tirCoWork: загрузите документ, получите обезличенную версию для нейросети, а оригинал останется только у вас на компьютере.
Частые вопросы
Чем обезличивание отличается от анонимизации?
В российском праве базовый термин — «обезличивание» (152-ФЗ): действия, после которых данные нельзя сопоставить с человеком без дополнительной информации. «Анонимизация» — обиходное и международное (GDPR) слово для того же результата, чаще подразумевающее необратимость. На практике в РФ корректно говорить «обезличивание».
Достаточно ли закрасить персональные данные в PDF, чтобы их обезличить?
Нет. Графическая заливка поверх текста в PDF почти всегда оставляет исходный текстовый слой под чёрным прямоугольником — его легко извлечь копированием или конвертацией. Это «мнимое» обезличивание, которое не защищает данные и не освобождает от требований 152-ФЗ.
Когда обезличивание персональных данных обязательно?
Когда вы передаёте данные за пределы контролируемого контура без правового основания для передачи именно идентифицирующих данных: статистика и аналитика, обучение и тестирование систем, демонстрации, а также загрузка документов в сторонние ИИ-сервисы. Если цели можно достичь без привязки к конкретному человеку — данные следует обезличить.
Какие методы обезличивания признаёт Роскомнадзор?
Приказ Роскомнадзора №996 описывает четыре метода: введение идентификаторов (замена), изменение состава или семантики (перемешивание/искажение), декомпозиция, агрегирование (обобщение). На практике их комбинируют: например, заменяют ФИО на условный идентификатор и обобщают дату рождения до года.
Можно ли загружать договор в нейросеть после обезличивания?
Да, если из текста убраны или заменены все идентифицирующие элементы — ФИО, паспорта, адреса, телефоны, ИНН, номера счетов, e-mail. Анонимизатор tirCoWork делает это локально, на вашем компьютере: документ не покидает устройство в исходном виде, а в ИИ уходит уже обезличенная версия.
Обезличить документ в Анонимизаторе tirCoWork
Обезличивание работает локально, на вашем компьютере: файлы остаются у вас. 30 дней бесплатно, карта не нужна. Тарифы от 500 ₽/мес.
Обезличить документ в Анонимизаторе tirCoWork