Методы обезличивания, кроме обеспечения требуемых свойств обезличенных данных, должны быть практически реализуемыми в различных программных средах и позволять решать поставленные перед Оператором задачи обработки персональных данных либо с предварительным деобезличиванием, либо без деобезличивания.
К методам обезличивания, установленным Приказом, относятся:
метод введения идентификаторов - замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным;
метод изменения состава или семантики - изменение состава или семантики персональных данных путем замены результатами статистической обработки, преобразования, обобщения или удаления части сведений;
метод декомпозиции - разделение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств;
метод перемешивания - перестановка отдельных значений или групп значений атрибутов персональных данных в массиве персональных данных.
Применение того или иного метода обезличивания позволит получить обезличенные данные, обладающие различными свойствами, что даст возможность осуществлять все виды обработки персональных данных. В связи с этим, в описании методов обезличивания указаны условия, обеспечивающие выполнение определенных свойств и требований.
Следует также отметить, что существуют виды (задачи) обработки персональных данных, когда наличие всех требуемых свойств не обязательно, например, при решении статистических задач. Таким образом, в каждом конкретном случае необходимо применять метод, который гарантирует свойства, необходимые для решения конкретных задач обработки стоящих перед Оператором.
Далее, в описании методов обезличивания, приводятся рекомендации по применению утвержденных методов обезличивания.
1.1. Метод введения идентификаторов.
Метод реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия (справочника идентификаторов).
Применение данного метода позволяет получить обезличенные данные обладающие следующими свойствами:
полнота - информация, позволяющая идентифицировать субъектов персональных данных, не удаляется, а переносится в таблицу соответствия;
структурированность - каждому идентификатору после процедуры обезличивания однозначно соответствует свой набор данных;
семантическая целостность - вид представления данных не меняется, они лишь переносятся в таблицу соответствия.
Анонимность возможно обеспечить только при определенных правилах выбора идентификаторов и заменяемых ими персональных данных, поскольку метод не устойчив к атакам, направленным на справочники идентификаторов при косвенном деобезличивании и атакам, направленным на деобезличивание с использованием информации из справочников идентификаторов, кроме того, стойкость метода не повышается с увеличением объема обезличиваемых данных.
Также обеспечивается применимость - Оператор может осуществлять обработку отдельных записей и всех обезличенных данных без деобезличивания.
Обезличенные данные, полученные в результате применения названного метода, не будут обладать свойством релевантности, поскольку в запросе и в ответе на запрос изменяется вид представления персональных данных, которые были заменены идентификаторами.
Применение данного метода позволит сохранить в записях связи между атрибутами обезличенных данных, соответствующие связям между атрибутами персональных данных.
Метод введения идентификаторов целесообразно применять при небольшом количестве атрибутов персональных данных и небольшом объеме массива персональных данных, в связи с тем, что объем справочников будет напрямую зависеть от этих параметров. Вычислительная эффективность метода значительно снижается при частом внесении изменений в состав данных и значения атрибутов.
1.2. Метод изменения состава или семантики.
Метод реализуется путем обобщения, изменения значений атрибутов персональных данных или удаления части сведений, позволяющих идентифицировать субъекта.
Применение данного метода позволяет получить обезличенные данные, обладающие следующими свойствами:
структурированность - связь между отдельными значениями атрибутов персональных данных субъекта не нарушается;
анонимность - удаление или обобщение части данных приводит к неоднозначности при идентификации с использованием обезличенных данных.
Полученные обезличенные данные могут обладать свойством полноты только при проведении изменений в составе персональных данных, гарантирующих сохранность данных. При удалении части сведений полученные обезличенные данные утрачивают свойство полноты.
Семантическая целостность полученных данных обеспечивается только при условии проведения изменений в составе персональных данных, сохраняющих семантику данных. Изменения должны учитывать специфику задач обработки, стоящих перед Оператором.
Также обеспечиваются следующие свойства обезличенных данных: