Защита персональных данных в РК: почему происходят утечки, о поправке «заявить на себя» и снятии отпечатков пальцев

— Какие спорные моменты возникли при разработке законопроекта по вопросам информационной безопасности? Речь идет о поправках о защите персональных данных.

— Были дискуссии о работе платформы белых хакеров. В части безопасности такого подхода особенно. Проводились аналогии со взломщиками сейфов, которых мы не привлекаем к работе, чтобы сделать замки проще. Но здесь ситуация несколько иная. Взломы — это самый эффективный метод поиска и устранения уязвимостей информационных систем. Практически все IT-гиганты мира имеют собственные платформы бак-баунти и нанимают лучших «взломщиков» в рамках договорных отношений по поиску уязвимостей своих продуктов. От серьезности найденной ошибки зависит гонорар хакера.

Разница с незаконной атакой состоит в том, что работа на бак-баунти — это управляемый процесс. Работа выполняется в рамках договора и обо всех ошибках сообщается владельцу системы.

Предметно обсуждали вопрос реализации принимаемых норм, учитывая ограниченность ресурсов комитета по информационной безопасности. Конечно, для осуществления государственного контроля сотрудников недостаточно.

Были споры по запрету на сбор и хранение бумажных копий документов. Коллеги ставили вопрос о том, что делать, если нет доступа к электронному устройству. Частные центры информационной безопасности высказывали опасения, что государственная монополия в лице государственного центра ограничит возможности рынка. Обсуждались предложения депутатов по хранению цифрового следа использования персональных данных человека после дачи согласия. Однако в ходе дискуссии все вопросы были сняты.

— Вы проводили анализ текущей ситуации: из-за чего происходит утечка персональных данных? В каких целях используются? Персональные данные скольких казахстанцев ушли в третьи руки?

— По поводу количества казахстанцев сказать не могу, но утечки периодически случаются. Это бывает в результате взлома информационных систем — в тех случаях, когда в ней имеются уязвимости. На самом деле это бывает не так часто, как кажется. Второй путь — несанкционированный доступ к данным, который возникает не в результате взлома, а в результате возможностей, связанных с профессиональной деятельностью. Например, в таких случаях еще говорят, что данные «сливают».

Есть очень богатый источник персональных данных в виде добровольного распространения, когда мы оставляем их на различных ресурсах, социальных сетях и т. д. Причем после можем об этом благополучно забыть и спустя время увидеть информацию о себе в сети.

Существуют также варианты публичного размещения персональных данных на открытых ресурсах различными организациями, скажем, налоговым комитетом или судом.

В таких случаях лазейка заключается в том, что определение персональных данных в законе сегодня достаточно общее, охватывающее всю информацию о личности, и есть разные трактовки. В рамках закона о данных мы будем рассматривать новое определение персональных данных, которое позволит сконцентрировать усилия по защите действительно персональной информации.

— В следующем году в Казахстане внедрят обязательное снятие отпечатков пальцев. Как Вы считаете, не попадут ли наши персональные данные в третьи руки?

— Когда мы говорим о национальных биометрических базах, возникает множество вопросов. Отчасти они резонные. Биометрические данные уникальны. Их нельзя заменить, перевыпустить. Они обладают высокой достоверностью. Такие данные называют чувствительными. Риски негативных последствий имеют место, если данные будут утеряны, использованы не по назначению, будет нарушена методика сбора или неправомерно дано разрешение на их передачу. Поэтому, прежде чем консолидировать такие данные, необходимо обеспечить их адекватную защиту на всех уровнях, от законодательного до технического, а также законность методик сбора и использования. Работа над этим ведется уполномоченным органом.

Вместе с тем, на данный момент в Мажилисе рассматривается предложение депутатов о том, чтобы обязательность дактилоскопической регистрации для граждан Казахстана заменить на добровольность. При этом для иностранных граждан обязательство по сдаче отпечатков остается. Мы видим опасения наших граждан, оцениваем риски и считаем, что пока добровольность должна быть в приоритете.

Кроме того, в рамках законопроекта о национальных данных нам предстоит серьезно пересмотреть регуляторную политику в сфере биометрических данных. Во главе угла при этом безопасность и права человека.

— Журналисты выяснили, что есть поправка, которая обязывает оператора персональных данных в случае нарушения «заявить на себя», а после нужно уплатить штраф в трехкратном размере. Можете объяснить эту поправку? Не считается ли это нарушением презумпции невиновности?

— Что касается введения обязательности, все верно. Такое требование вводится, при этом не противоречит действующему подходу. В законодательстве сказано, что не допускается обращение жалобы во вред лицу, подавшему жалобу, или во вред лицу, в интересах которого она была подана. Действующими законами уже предусмотрено, что в случае самостоятельного обращения в уполномоченный орган, проверка не открывается. Проверка будет возможна лишь в случае обращения других физических или юридических лиц о нарушении прав.

Этот подход не меняется. Просто раньше информирование было правом, теперь станет обязанностью. Невыполнение данной обязанности будет отягощающим обстоятельством в том случае, если утечка обнаружена регулятором в ходе проверки. Над соответстсвующими изменениями в КОАП мы работаем сейчас.

Для чего еще необходимо сообщать об утечках? На самом деле основной задачей регулятора является не только контроль и наказание, но и оказание помощи по устанению и недопущению подобных инцидентов, минимизации неблагоприятных последствий утечки, что и будет сделано в момент уведомления.

По поводу трекратного увеличения штрафов это пока тоже только проект. Мы совместно с регулятором внесли поправки в Административный кодекс и обсуждаем их на рабочей группе. В целом поддержка и понимание есть. Эксперты считают, что это задача комитета — искать нарушителя.

Над законопроектом работало очень большое количество экспертов именно в сфере информационной безопасности. Чтобы понять регуляторную модель обеспечения защиты персональных данных, нужно хорошо знать отрасль. Практика уведомлений — это международный опыт, хорошо себя показавший. Нарушения в этой сфере очень сложно администрировать. По факту: найти утечку можно только тогда, когда нашелся пострадавший, то есть наступили последствия. А бывает так, что данные утекли, но последствия не наступили сразу.

Безусловно, вводимый законом государственный контроль должен изменить ситуацию. Но сегодняшние возможности комитета по информационной безопасности, как я уже отмечала, ограничены. В перспективе их необходимо наращивать — расширять штат и функциональность. Будем работать над этим вместе с уполномоченным органом.

— Какие главные изменения ощутят казахстанцы? Как Вы думаете, что изменится в корне после принятия законопроекта?

— Данный законопроект — это очередной этап системной работы по правовому обеспечению сферы информационной безопасности. Ранее депутатами совместно с Министерством цифрового развития были инициированы и уже вступили в силу еще два пакета поправок, связанных с работой частных операторов персональных данных, их защитой при трансграничной передаче, внедрением института согласия на использование персональных данных. Это мы все сегодня видим, когда на сотовый номер приходит запрос на разрешение доступа. Частные операторы персональных данных сейчас обеспечивают прием заявлений и выдачу результатов по госуслугам, обеспечивают доступ к цифровым документам. Это, например, банковские приложения.

Сегодняшние изменения вводят институт государственного контроля в сфере персональных данных. Кроме того, операторы данных будут обязаны уведомлять регулятора и собственников об утечках и принятых мерах по их предотвращению.

Поэтапно законодательная база очищается от излишних требований по сбору бумажных копий документов. Это формирует новую культуру обращения с информацией. Соблюдение «цифровой гигиены» одинаково важно, как для операторов, так и для граждан.

Кроме того, уточняется само определение персональных данных. Конкретизация этого понятия позволит повысить качество контроля, рационально распределив усилия регуляторов. С другой стороны, больше не будет разногласий в толковании, когда данные являются персональными, а когда нет. Пока этим активно пользуются.

Важное значение для сферы защиты нашего информационного суверенитета имеет создание государственного центра информационной безопасности, консолидация исследователей информационных систем (белых хакеров) вокруг задач по обеспечению кибербезопасности страны.

Также законопроектом мы даем статус кнопке отказа от кредитов, которая технически уже реализована на портале электронного правительства. Если такой отказ установлен, то кредитор не может выдать кредит. Эта мера прежде всего касается случаев, когда кредиты оформляются мошенническим путем.

— Расскажите, чем будет заниматься новый Государственный центр информационной безопасности? В чем необходимость создания еще одного госоргана, когда у нас есть МЦРИАП, ЦАРКА, отдельно АО «НИТ»?

— Все перечисленные Вами организации, кроме ЦАРКА, не являются центрами информационной безопасности. МЦРИАП — это регулятор в сфере защиты персональных данных. АО «НИТ» — оператор информации, информационных систем и платформ. ЦАРКА — это действительно центр информационной безопасности, но частный.

Государственный центр информационной безопасности создается при государственной технической службе и представляет собой не отдельный государственный орган, а скорее его структурное подразделение с определенным набором функций. Они заключаются в защите государственных информационных систем. Это вопрос национальной безопасности. Их у нас 350. Все остальные системы остаются в рынке, ими продолжат заниматься 36 частных центров информационной безопасности.

— Спасибо за беседу!