Эра «Большого брата» в Казахстане? Почему личные данные казахстанцев под угрозой
Недавно стало известно, что в Казахстане очередной раз произошла утечка персональных данных. В этот раз хакеры взломали один из основных банков Казахстана. Как стало известно, утечка включает в себя данные которые были зарегистрированы до 29 ноября 2022 года. Под атаку попали идентификаторы пользователей, хешированные пароли, личные сообщения и криптовалютные адреса и многое другое.
Корреспондент Taspanews.kz пообщался с казахстанскими экспертами и узнал, как реализовываются уже принятые законы по кибербезопасности? Почему данные граждан с постоянной периодичностью сливаются в сеть? А также какие законы позволяют передавать личные данные третьим лицам? Ответы на эти и другие проблемные вопросы – в нашем материале.
Передача данных без ведома пользователя?
10 июля президент Казахстана Касым-Жомарт Токаев подписал закон по вопросам государственной статистики и управления данными. Сам законопроект прошел голосование в Мажилисе РК еще 29 мая. Как пояснили мажилисмены, нововведения необходимы для того, чтобы исполнить поручения главы государства по цифровизации Бюро национальной статистики.
С принятием нового закона в Казахстане появится национальный регистр данных. Он будет содержать статистическую информацию о гражданах страны и в дальнейшем должен постоянно обновляться. Так, новый закон позволит передавать данные частным компаниям. Из-за этого в обществе появились опасения, что нововведение повысит вероятность утечкиперсональных данных.
Помимо национального регистра данных будет введено еще одно новое понятие –«альтернативные источники данных». Особое внимание нужно уделить тому, что этими самыми источниками станут частные поставщики. В их числе – провайдеры, сотовые операторы и коммунальные службы. Одной из целей заимствования данных станет так называемое «снижение нагрузки на респондентов». А сама информация о пользователях будет передаваться на безвозмездной основе по соглашению сторон.
Другими словами, данные будут передаваться без ведома пользователя. То есть казахстанцыдаже не будут подозревать об этом. Но, по мнению экспертов, из-за низкого уровня цифровой безопасности высок риск того, что информация пользователей попадет не в те руки. А значит, может быть использована против их самих. На протяжении нескольких лет утечка данных граждан нашей страны происходит регулярно. Самой громкой стала кража данных пользователей в феврале 2024 года. Тогда выяснилось, что китайские хакеры на протяжениинескольких лет воровали информацию из казахстанских информационных сетей. После масштабной кибератаки все данные слили в сеть, и каждый интернет-пользователь имел к ним доступ.
После скандала в МЦРИАП совместно с КНБ проанализировали полученные материалы. В ведомстве отметили, что информационная безопасность операторов связи полностью находится в компетенции самих поставщиков телекоммуникационных услуг.
Анонимизация данных
По мнению юриста, эксперта юридической фирмы DRCQ и менеджера проекта «Ландшафт цифровых прав и свобод» Елжана Кабышева, в Казахстане необходимо значительно усилить уровень кибербезопасности.
«В последнее время в республике участились случаи кражи и утечек персональных данных граждан нашей страны. Среди самых громких – так называемый «список Айки», скандальный «список студентов КазНУ», сбор информации о казахстанцах китайскими хакерами и другие. Все это – результат ненадлежащей работы по работе над информационной безопасностью»,
По мнению эксперта, в новом законопроекте должно быть уделено большое внимание так называемой «анонимизации данных». Другими словами, провайдеры или мобильные операторы обязаны передавать информацию БНС в «обезличенном виде», то есть без привязки к конкретному физическому лицу. При этом Елжан Кабышев отметил, что в уже существующем законе «О персональных данных и их защите» еще до принятия разного вида поправок было прописано, что сбор и обработка личной информации возможна без согласия респондента. В том числе для сбора статистической информации.
«Согласно статье 9 закона «О персональных данных и их защите», в случаях осуществления государственной статистической деятельности, а также пользования государственными органами персональными данными в тех же целях возможно без согласия субъектов персональных данных - респондентов. Однако есть статья 17, которая подразумевает обезличивание личной информации. Она указывает, что для проведения каких-либо статистических исследований оператор персональных данных при их передаче обязан обезличивать информацию, чтобы в дальнейшем ее нельзя было привязать к определенному человеку»,
Он добавил, что данные, полученные в автоматическом режиме от операторов связи и ЖКХ, могут быть значительно выше по качеству по сравнению с данными, собранными напрямую от респондентов. Так как:
- Автоматические системы собирают огромные объемы данных постоянно, что дает более детализированную и обширную картину;
- Такие данные менее подвержены человеческим ошибкам и предвзятости, которые могут возникнуть при опросах у респондентов;
- Данные собираются регулярно, а это позволяет отслеживать изменения и тенденции с высокой точностью;
- Операторы связи и ЖКХ охватывают большое количество пользователей и потребителей своих услуг, что позволяет собирать данные по различным демографическим, возрастным и географическим группам.
Как обстоят дела с законом об интернет-ресурсах?
Отметим, это не первый законопроект, который позволяет передавать личные данные пользователей третьим лицам. 10 июля 2023 года Касым-Жомарт Токаев подписал закон,регламентирующий правовое поле, а также права и обязанности пользователей различныхинтернет-ресурсов. После его принятия прошлогодние нормы вызвали активное обсуждение среди обычных пользователей, а также экспертов.
Напомним, нормы закона были направлены на развитие интерфейса онлайн-платформ на государственном языке. До сих пор не все онлайн-ресурсы позволяют использовать интерфейс на казахском языке, нет простой возможности полностью ознакомиться с пользовательским соглашением. Кроме того, закон вводит запрет на распространение и размещение дезинформации на онлайн-платформах, уголовную ответственность за разжигание социальной, национальной, родовой, расовой, сословно-групповой или религиозной розни, а также требования к собственнику онлайн-платформы по ее устранению. Прошлогодний закон также придает особое значение необходимости маркировки рекламы пользователями, размещающими рекламный контент.
«С точки зрения применения данного законопроекта тогда и сейчас существует ряд противоречий и сложностей. Во-первых, ответственность за разжигание розни уже давно существует в нашем законодательстве. Во-вторых, обязательность интерфейса на казахском языке больше относится к местным площадкам, на которых этот вопрос давно закрыт за редким исключением. Вряд ли крупные игроки в интернете будут инвестировать крупные суммы в интерфейс на казахском языке, поскольку количество пользователей слишком мало по глобальным меркам»,
Эксперт считает непонятным, зачем в законе прописали правила пользования онлайн-платформами, если они на каждом портале уже выделены в отдельные разделы «Правила пользования сайтом».
«Ну и зачем писать про запрет размещения ложной информации – непонятно. Раньше можно было, до этого закона? Мы ведь обучаем пользователей, как отличать ложную информацию от правдивой вовсе не потому, что нет запрета на ее размещение. Нужно не запрещать, а обучать и давать инструмент в руки для этого»,
Он отметил, что аудитория Facebook, например, давно перевалила за миллиард активных пользователей. А аудитория казахстанцев в Facebook меньше 1 млн юзеров, а активных аккаунтов еще меньше.
«Поэтому вложения для выполнения законодательства были не выгодны как минимум экономически, учитывая безумно большой интерфейс социальной сети. Хотя, если все-таки это рано или поздно случится, и все переведут, то честь и хвала Meta»,
Елжан Кабышев, который принимал участие в качестве эксперта в рабочей группе по обсуждению законопроекта 2023 года, отметил, что в казахстанском правовом поле давно необходимо определить основные понятия различных сервисов в интернет-пространстве.
«На данный момент на все определения сервисов (онлайн-платформа, сервис обмена мгновенными сообщениями, СМИ, веб-сайт) дается единое понятие “интернет-ресурс”, считаю это неверным. Следует их разграничить, так как это совершенно разные концептуальные понятия, и существуют особенности их работы. К сожалению, в само понятие “интернет-ресурс” входит и “онлайн-платформа”. Мы поднимали вопрос о том, что следует разграничить данные понятия, однако вышло, как есть»,
В Казахстане уже несколько лет разрабатывается проект Цифрового кодекса, который законодательно должен утвердить среди прочего такие нормы, как:
- Закрепление фундаментальных цифровых прав граждан, включая гарантии защиты частной жизни и конфиденциальности данных, а также право на равный доступ к телекоммуникационной инфраструктуре и услугам;
- Порядок функционирования цифровых платформ и экосистем, а также устанавливающие права граждан при взаимодействии с ними;
- Правовой режим применения цифровых продуктов и решений, основанных на технологиях искусственного интеллекта, блокчейн, Big data.
«Работа над этим кодексом все еще остается на стадии проекта. На разработку Цифрового кодекса выделили более 150 миллионов тенге» – рассказал Кабышев.
Правозащитник считает, что работа по закону «Об онлайн-платформах и онлайн-рекламе»была проведена не на том уровне, который он ожидал. Кроме того, после вступления закона в силу, он особо не дорабатывается и существует в том же виде, в котором его приняли.
К примеру, во время обсуждения из крупных иностранных соцсетей и мессенджеров участвовали лишь представители китайской социальной сети TitTok.
«Есть подозрение, что Китай продолжает осуществлять политическое воздействие на интернет-пространство в нашей стране путем участия в таких инициативах. Я не считаю, что это плохо или хорошо, но, когда слышен только 1 голос иностранной платформы, а другие соцсети и мессенджеры, как Facebook, Instagram, WhatsApp, Telegram и прочие каким-либо образом не участвуют, это вызывает серьезную озабоченность»,
Однако совсем недавно министр культуры и информации Аида Балаева начала выступать за то, чтобы вычеркнуть китайскую соцсеть из информационного пространства. По словам чиновницы, соцсети распространяющие противоправный контент, угрожающие национальной безопасности и игнорирующие рекомендации Министерства информации,будут частично, либо полностью блокированы на территории Казахстана.
Кабышев отметил, что, в отличие от других крупнейших соцсетей, только у TitTok есть официальное представительство в нашей стране. Благодаря этому можно совместно обсуждать дальнейшую совместную работу, а не только угрожать закрытием онлайн-платформы.
Эра «Большого брата»
По мнению эксперта, также стоит отметить важную часть этого закона, о которой до сих пор мало говорят. Так, под этот закон попали онлайн-платформы, на которых пользователи имеют аккаунты и могут делиться контентом. А это практически все сайты и приложения – от мессенджеров и социальных сетей до новостных агентств, интернет-магазинов, сайтов знакомств и так далее.
Согласно законодательству, сведения пользователей (под сведениями могут пониматься личные данные, переписки, публикуемый контент и т.д.) могут быть переданы государственным и правоохранительным органам по их запросу. В статье не дается конкретика, что запрос должен быть направлен в рамках рассматриваемых уголовных дел. Многие опасаются, что это может поставить под угрозу право на неприкосновенность частной жизни, право на тайну переписки и защиту персональных данных.
По оценке юриста, пользователи онлайн-платформ могут не быть уверены в том, что их персональные данные, такие как имя, фамилия, адрес, номер телефона, электронная почта и другие, будут защищены от неправомерного доступа или использования со стороны третьих лиц. Они также могут не знать, какие именно данные о них запрашиваются и для каких целей.
«Важный момент, что пользователи онлайн-платформ могут испытывать страх или давление при выражении своего мнения или распространении информации на онлайн-платформах, если они знают, что их контент может быть запрошен или проверен уполномоченными органами. Безусловно, это может привести к самоцензуре или отказу от использования онлайн-платформ вообще. Кроме того, существует возможность превышения должностных полномочий, коррупционной составляющей, последствием которой может быть попадание личных данных в нежелательные руки»,
По закону, руководство онлайн-платформ не обязано сообщать пользователям, сколько запросов от правоохранительных органов было получено за определенный период времени.
Правозащитник оценил и положительные стороны изменения в законодательстве. Так, благодаря нововведениям правоохранительным органам стало проще бороться с правонарушителями, которые распространяют действительно запрещенный контент.
«Для ограничения запрещенных материалов не нужно ограничивать доступ ко всей социальной сети, мессенджеру или популярному веб-сайту, можно взаимодействовать напрямую с законными представителями. Это не плохо на самом деле. Но главное – государственным органам следует коммуницировать с онлайн-платформами по реальным нарушениям законодательства, а не натягивать сову на глобус и усматривать нарушения законодательства там, где его нет»,
Что касается утвержденного в конце лета мажилисом РК закона, то казахстанцам теперь необходимо помнить о том, что в нововведении есть много «подводных камней». Так, благодаря «снижению нагрузки на респондентов» казахстанцы, скорее всего, не смогут узнать, какие именно данные о них собирают и передают в БНС. Кроме того, пользователи вряд ли поймут, для каких именно статистических исследований эту информацию планируют использовать. Эра «Большого брата» теперь становится частью нашей жизни?
***
Тем временем, на «Открытых НПА» опубликован проект, в котором предусмотрено внесение изменений в правила защиты персональных данных. В частности, предлагается обязать операторов или собственников персональных данных, которые находятся в ограниченном доступе, проводить аудит информационной безопасности не реже раза в год.
Кроме того, согласно документу, электронные персональные данные должны будут храниться только на серверах, которые расположены в Казахстане. А операторы обязаны будут принимать все необходимые меры по их защите.
Инициатива будет доступна для публичного обсуждения до 13 августа.