Месяц назад президент Казахстана Касым-Жомарт Токаев подписал Закон «О внесении изменений и дополнений в некоторые законодательные акты РК по вопросам регулирования цифровых технологий». Группа экспертов гражданского общества утверждает, что принят он был без широкого обсуждения, в результате чего некоторые положения сформулированы настолько обтекаемо и широко, что при соответствующей базе подзаконных актов их правоприменение может нарушать права и свободы человека, гарантированные ратифицированными международными документами и Конституцией РК.

Наибольшей опасности нарушения подвергаются право на приватность и неприкосновенность частной жизни,  защиту персональных данных и свободу выражения мнений.  

Рассказать, чем нам грозят новеллы закона о регулировании цифровых технологий и что можно сделать на том этапе, когда закон уже принят, мы попросили участников Коалиции нового поколения правозащитников, на чьей странице было опубликовано заявление экспертной группы — директора общественного фонда Human Rights Consulting Group Арсена Аубакирова (А.А.) и юриста проекта Internet Freedom Елжана Кабышева (Е.К.).

— Можно чуть подробнее остановиться на самом документе, нормы которого вызывают у вас опасения: что он регламентирует и как повлияет на жизнь граждан РК?

Е. К. – Государство, более или менее, начинает регулировать цифровые технологии. Ранее, в законе «Об информатизации», не было таких понятий, как, скажем, «цифровой актив» или «блокчейн». Но эти технологии вошли в нашу жизнь, используются не только в бизнесе, но и для проведения процедуры выборов, в других общественных сферах. Таким образом, Казахстан пытается эти технологии легализовать, и законодательство идет в этом направлении.

А.А. – Документ, а это почти 500 страниц, охватывает довольно много вещей. Закон вводит новый понятийный аппарат, при этом не меняя ситуации с цифровыми технологиями, но ставит задачи по принятию более четких нормативно-правовых актов в виде инструкций и приказов, которые будут выполнять уже профильные министерства.

В части норм этого закона мы увидели определенные риски. В частности, есть риск неэффективности работы уполномоченного органа в сфере защиты персональных данных, риск для ограничения доступа в сеть и нарушения права на приватность в случае применения сертификата безопасности, риск недостаточности контроля за национальной системой видеомониторинга и применением биометрических данных.

С принятием закона госорганы по своему усмотрению начнут применять эти нормы, и на практике могут выявляться различные отступления от международных стандартов в области прав человека.

— Уполномоченный орган по защите персональных данных – это новая структура? В чем заключаются ваши опасения в возможной неэффективности его работы?

Е. К. — Фактически создается орган, входящий в состав правительства, что и ставит под сомнение его независимость. По международным стандартам, предполагается создание одного либо нескольких органов, которые должны быть независимы при выполнении своих функций. У нас этот орган включен в структуру министерства цифрового развития, инноваций и аэрокосмической промышленности (МЦРИАП), соответственно, идет речь о его зависимости от правительства. Налицо конфликт интересов: министерство массово занимается обработкой персональных данных, и само же занимается их защитой.

Мы считаем, что должен быть создан независимый орган с четко прописанными полномочиями. Или же тот, что будет создан сейчас, должен быть наделен достаточным количеством полномочий, чтобы выполнять свои задачи, не опасаясь давления со стороны других госорганов.

А.А. – Могу привести аналогию. Помните, как у нас менялось Агентство по делам госслужбы и противодействию коррупции? Превращалось то в министерство, то обратно в агентство, сейчас разделились на Агентство по делам госслужбы и Бюро по борьбе с коррупцией. Нечто похожее было и со Службой экономических расследований (СЭР), которая находилась в недрах комитета госдоходов Министерства финансов. Государство признало, что это неправильно, потому что большинство экономических преступлений происходит в этом комитете, и СЭР перенесли в комитет по финансовому контролю. То есть опыт ликвидации конфликта интересов у нас есть, и при создании органа по защите персональных данных его необходимо учесть.

Также есть опасения, что этот орган может стать декоративным в силу отсутствия у него реальных полномочий. Есть Закон «О персональных данных», но нет работающего механизма их защиты. Например, в прошлом году Центр анализа и расследования кибератак (ЦАРКА) сообщил об утечке данных из Центральной избирательной комиссии (ЦИК) — данные 11 миллионов человек оказались в свободном доступе. Было возбуждено уголовное дело, но МВД не нашло виновных, никого не привлекли к ответственности (дело прекратили за отсутствием состава уголовного правонарушения), и в итоге вопрос не был решен. Также были утечки из баз данных генеральной прокуратуры и министерства здравоохранения.

 — И как, на ваш взгляд, этот орган должен выглядеть?

А.А. — Он, во-первых, не должен зависеть от каких-либо министерств. Во-вторых, в нем должны работать обученные высокопрофессиональные специалисты. В-третьих, у него должны быть широкие полномочия. Сейчас не видно, какими они будут, и сможет ли новый орган вообще влиять на защиту персональных данных, и в этом случае теряется смысл его создания, если нет механизма защиты. Вопрос требует проработки со специалистами.

Одна из наших рекомендаций: этот орган должен тесно взаимодействовать с гражданским обществом и НПО в сфере IT, прав человека и так далее.

Это может выглядеть по-разному: в его составе могут быть советники, при нем может быть создан консультативный орган и т.д. Если же он будет закрытым, как и другие наши госорганы, и будет непонятно, по каким механизмам он работает, то это губит идею его создания.

Е.К. — Что касается полномочий, нам кажется, что орган должен заниматься как надзором за защитой персональных данных (сейчас надзором за соблюдением законодательства в этой сфере занимается генпрокуратура), так и проведением расследований с привлечением виновных к ответственности, а также в разработке и совершенствовании законодательства в сфере регулирования цифровых технологий.

Также орган может быть наделен правами обращаться с исковым заявлением в суд в защиту прав субъектов, собственников и операторов и представлять их интересы в суде, осуществлять проверку собственников и операторов или привлекать для осуществления такой проверки иные госорганы в пределах их полномочий, проводить анализ жалоб субъектов и деятельности госорганов по вопросам защиты персональных данных, проводить информирование, консультирование и просвещение субъектов, собственников и операторов по их обращениям в сфере защиты персональных данных. Его предписания должны быть обязательными к исполнению.

— Сертификат безопасности, который вы упомянули в качестве спорного момента в новом законе, это тот, который в прошлом году власти убеждали установить на каждое мобильное устройство в качестве эксперимента? Помнится, общество восприняло его в штыки. Теперь это будет на законодательном уровне?

А.А. – Вообще, использование сертификатов безопасности, шифрованных, безопасных протоколов передачи данных — это хорошо, при условии признания на глобальном уровне. В законе говорится просто о сертификате безопасности, а то, что было в прошлом году – это был отечественный сертификат. Мы увидели риск смены понятий: с просто сертификата — на отечественный.

Наши опасения вызвало то, что согласно концепции «Киберщит:

«…доля использования отечественных сертификатов безопасности при шифрованной передаче данных интернет-ресурсами с доменом.KZ и.ҚАЗ в 2018 году составит 20%, в 2019 году — 40%, в 2020 году — 60%, в 2021 году — 80%, в 2022 году – 100%».

Есть смысл пересмотреть данную программу по крайней мере в этой части.

В прошлом году это называли тестированием или экспериментом, который проводил КНБ на территории Астаны (да и в других регионах казахстанцы получали SMS об установке сертификата). Эксперимент закончился быстро и неожиданно – вероятно, повлияло то, что гражданское общество активизировалось, многие были возмущены. Особенно не радовала пользователей перспектива, что без установки сертификата на мобильное устройство  доступ в интернет мог быть ограничен и приостановлен в целом.

Плюс тогда активизировались крупные IT-компании – была реакция со стороны Mozilla Firefox и Google Chrome. Их разработчики решили, что казахстанский вариант представляет собой больше угрозу, чем пользу, и добавили его в черный список.

Вообще же сертификат безопасности дает возможность доступа к большому потоку информации, трафику (что люди просматривают и отправляют в интернете), называемый методом «man-in-the-middle attack», и позволяет контролировать этот процесс. Если вы хотите что-то посмотреть, то может так получиться, что не будете иметь к этому доступа. А если вы не делитесь своими данными, то можете быть ограничены в целом.

После реакции, упомянутой ранее, власти заявляли, что все будет переделано. Мы не можем утверждать, в каком виде это будет, будем надеяться, что изменения будут концептуальные. Потому что если изменятся только декоративные вещи – ситуация повторится, только уже на уровне страны.

Е.К. — Также хотелось бы отметить, что законодательство не дает четкого понятия сертификата безопасности. Есть разные виды сертификатов: есть сертификат, который пользователь устанавливает на мобильное устройство; есть такие, которыми пользуются непосредственно операторы связи (в целях нераспространения информации, запрещенной судом или же законами РК); есть сертификаты, используемые интернет-ресурсами. Что имеет в виду законодатель – пока непонятно.

— Национальная система видеомониторинга – это все те камеры, что сейчас установлены в городах или нечто другое, что позволит еще более пристально следить за нами?

Е.К. — Это информационная система, которая осуществляет посредством аппаратных комплексов сбор, обработку и хранение видеоизображений и направлена на защиту общественного порядка и национальной безопасности. Стоит отметить, что есть категория объектов, подлежащих обязательному подключению к национальной системе видеомониторинга: например, центральные и местные госорганы, объекты, уязвимые в террористическом отношении и т.д. Включены в нее будут и те камеры, что сейчас установлены.

Понятное дело, что в своей работе система будет записывать изображение людей, однако у гражданина существует право на собственное изображение, прописанное в Гражданском кодексе (ст.145, Общая часть). Поскольку по иерархии кодекс выше закона, то, чтобы система видеомониторинга заработала в законном русле, должны быть изменены положения гражданского законодательства. По сути на сбор, обработку и хранение видеоизображения должно быть дано согласие самого гражданина.

Исходя из международного опыта, мы считаем, что Казахстану следовало бы взять паузу во внедрении системы видеомониторинга, по крайней мере, в части внедрения функции распознавания лиц. Так, в Калифорнии был объявлен трехлетний мораторий, чтобы выяснить возможность установления баланса между тайной личной жизни и общественной безопасностью. В КНР же напротив контроль и слежка ведутся повсеместно. И мы в этом вопросе, к сожалению, идем, скорее всего, по пути Китая, а тотальная слежка затрагивает ряд других прав, а не только права на собственное изображение. Например, право на мирные собрания – путем видеомониторинга можно отследить лиц, участвовавших в них, и использовать это для преследования активистов.

А.А. – Хотелось бы добавить, что вся эта система нова для нас, и работа с данными не так проста, как может представляться в теории. Вполне возможны различные ошибки, которые могут привести к печальным последствиям, я имею в виду не только утечки, но и различные злоупотребления.

— Насколько глубоко у нас внедрена биометрическая аутентификация и чем несовершенство контроля за сохранностью биометрических данных чревато для гражданина?

А.А. — Отпечатки пальцев, ДНК, особенности внешности – этими биометрическими данными в Казахстане сейчас активно пользуется коммерческий сектор. И, в отличие от обычных аккаунтов и методов доступа к ним, где можно поменять пароль и данные в случае их утечки или взлома, с биометрическими данными, если они скомпрометированы, вы ничего уже сделать не сможете — их уже не поменяешь. А поскольку я отметил, что такими данными пользуется бизнес, можно сказать, что наибольшее опасение вызывают именно финансовые операции с их использованием.

Например, в Перу не так давно разразился скандал. Биометрические данные из-за утечки из государственной базы данных оказались в открытом доступе и этим воспользовались мошенники: они взяли отпечатки пальцев граждан с хорошими кредитными историями и, изготовив специальные перчатки с отпечатками их пальцев, спокойно оформляли кредиты на дорогостоящие смартфоны.

— Напрашивается вопрос: как гражданин может обезопасить себя от возможных рисков, связанных с незаконным использованием его персональных данных?

А.А. — Рекомендаций здесь очень много: от радикальных (вплоть до того, что вообще не пользоваться любыми цифровыми технологиями) до умеренных.

Если в целом, старайтесь меньше оставлять различных данных о себе в интернете (где живете, род занятий), не устанавливайте непонятные приложения, не посещайте сомнительные сайты. Также есть определенные сервисы, которые помогают снизить риски (сканируют содержимое сайта или файлов на угрозы до того, как вы их откроете). Многие наивно полагают, что персональные данные – это имя-фамилия. Но в сети даже если вы ставите лайки, делаете перепосты —  все это может быть также источником информации о вас.

К чему это может привести, свидетельствует скандал с британской компанией Cambridge Analytics. Если вкратце, компанию обвинили в том, что она, воспользовавшись несовершенством Facebook и других ресурсов с широкими возможностями сбора информации, получила персональные данные 50 миллионов пользователей для того, чтобы повлиять на политические действия населения в США (выборы 2016 года), Великобритании (Brexit) и других странах по всему миру. Проанализировав данные, компания делала персонализированные информационные атаки, чтобы определенным образом манипулировать социумом, причем довольно успешно.

Против компании было заведено дело, организация развалилась, но ею был открыт «ящик Пандоры». То есть в мире могут появляться подобные компании, и особенно опасно, если они развернут деятельность в странах с авторитарными режимами и будут иметь доступ к государственным базам данных, так как призвать к ответу кого-то будет очень сложно.

Так что пользователям мы советуем лучше изучать вопросы цифровой гигиены и безопасности, более глубоко, наравне с правовой и финансовой грамотностью, а организациям советуем обращаться к специалистам и профильным организациям.

Е.К. — Если говорить о возможностях нашего законодательства, то, зафиксировав утечку персональных данных, можно обратиться с заявлением в министерство информации и общественного развития (МИОР) о том, что определенный ресурс распространяет материалы, которые противоречат законодательству. В принципе, можно подать жалобу на сайте МИОРа, и данный ресурс должны ограничить на территории Казахстана.

Нарушители, исходя из степени вреда, наносимого их противоправными действиями, подпадают под административную либо уголовную ответственность, и здесь необходимо обращаться в органы внутренних дел и прокуратуру, которая сегодня занимается надзором за исполнением законодательства в области защиты персональных данных.

— Учитывая, что закон уже принят, что мы можем предпринять для минимизации его негативного влияния на общество?

Е.К. — Государство должно быть максимально открытым – столь объемные поправки в законодательство должны обсуждаться с гражданским обществом. Касательно тех поправок, о которых мы говорим, они прошли через мажилис и сенат в условиях чрезвычайного положения и карантина в стране, без активного участия граждан.

А.А. — Выражать сотрудничество можно по-разному. Гражданское общество представляет собой очень большое количество экспертов, которым должно предоставляться достаточно времени для ознакомления с поправками, внесения комментариев. К сожалению, у нас существует практика, что государство не прислушивается к рекомендациям и предложениям. Также необходимо пользоваться процедурами, которые есть на международном уровне и всегда проверять, насколько принятые нормативно-правовые акты соотносятся с международными стандартами в области прав человека.

Если говорить о нашем участии в совершенствовании законодательства в области цифровых технологий, внимание будет направлено на работу госорганов при разработке подзаконных актов, мы хотим наладить диалог. Сделав заявление о наших опасениях в публичном поле, обозначив проблему, мы хотим полноценно поработать с государством, если эта помощь будет принята.

У нас есть эксперты, которые провели детальный анализ законодательства, что дает возможным обсуждать его конкретные нормы. Главное, к чему мы намерены стремиться, – чтобы подзаконные акты не усугубили существующую сегодня ситуацию как в теории, так и в правоприменительной практике.

— Спасибо за интервью.    

Spread the love

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here

*

code