Продолжаем публиковать исследование проекта закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам стимулирования инноваций, развития цифровизации и информационной безопасности», проведенное по заказу Международного фонда защиты свободы слова «Адил соз».
Начало можно прочитать здесь.
Напомним, 13 апреля 2021 года Министерство цифрового развития, инноваций и аэрокосмической промышленности Казахстана на портале egov.kz в разделе «Открытые НПА» для обсуждения опубликовало проект закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам стимулирования инноваций, развития цифровизации и информационной безопасности».
Новые обязанности для собственников или владельцев интернет-ресурсов
Проектом также предлагаются поправки в Закон Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации» (далее – Закон об информатизации) в части особенностей обработки данных на интернет-ресурсах.
Согласно предлагаемой новой статье 18-3, собственник или владелец интернет-ресурса обязан предоставить пользователю бесплатную функцию для восстановления или переноса в машиночитаемом виде:
- Всех данных, размещенных пользователем на интернет-ресурсе;
- Всех данных, полученных в результате использования учетной записи на интернет-ресурсе;
- Других данных, связанных с учетной записью пользователя, способствующих смене собственника или владельца интернет-ресурса.
Также собственники и владельцы интернет-ресурсов должны создавать технические условия, необходимые для смены интернет-ресурса пользователем с помощью одного запроса для всех данных пользователя в машиночитаемом виде.
Здесь, прежде всего, необходимо отметить, что казахстанские уполномоченные государственные органы так и не дали до сей поры точного определения, кого они считают собственником, а кого владельцем интернет-ресурса и чем они отличаются.
Согласно определениям действующего Закона об информатизации (п.п.5 статьи 1) владелец объектов информатизации (к которым относится и интернет-ресурс) это субъект, которому собственник объектов информатизации предоставил права владения и пользования объектами информатизации в определенных законом или соглашением пределах и порядке.
Если некий субъект имеет права размещения данных на интернет-ресурсе, то он же является и их (его) владельцем. И если на некоем интернет-ресурсе аппаратный комплекс принадлежит одним субъектам, установленные программы другим, а информационное наполнение третьим, то кто должен выполнять предложенные в Проекте требования?
Даже если предположить, что все эти правомочия сошлись в одном лице, для чего ему создавать «условия, необходимые для смены интернет-ресурса пользователем с помощью одного запроса для всех данных пользователя в машиночитаемом виде»?
У коммерческих сайтов такого интереса наверняка не будет, и им проще вообще прекратить предоставление возможности пользователям размещать информацию, чем иметь в перспективе возможность того, что все данные с помощью одного запроса могут мигрировать к конкурентам.
Непонятно также, для чего им, как предлагается в Проекте, «обеспечивать бесплатную функциональность интернет-ресурса, позволяющую другим пользователям, в том числе ответственным за товары, работы или услуги, разместить информацию, опровергающую ранее размещенную информацию». Непонятно, какие права пользователей обеспечит возможность беспричинного опровержения ранее размещенной информации?
Также Проектом собираются обязать собственников и владельцев интернет-ресурсов «сообщать пользователю, информация которого не была опубликована, обоснование отказа в размещении его информации».
Согласно статье 17 Закона Республики Казахстан от 23 июля 1999 года № 451-I «О средствах массовой информации», «Никто не вправе обязать редакцию средства массовой информации обнародовать отклоненный ею материал, если иное не предусмотрено настоящим Законом». Теперь же непонятно для чего СМИ (к которым казахстанское законодательство относит все интернет-ресурсы) обязаны будут обосновывать посетителям своих сайтов, почему их информация не размещена.
Непонятно, собирается ли само МЦИАРП обосновывать свои действия, если кто-то захочет разместить свою информацию у них на сайте?
Для лиц, использующих т.н. облачные решения, или иным образом привлекающих возможности иностранных интернет-ресурсов, вводятся следующие ограничения:
«Обработка данных, содержащихся в государственных либо создаваемых за счет бюджетных средств электронных информационных ресурсах, а также электронных информационных ресурсах, содержащих сведения, доступ к которым ограничен законами Республики Казахстан либо их собственником, осуществляется на территории Республики Казахстан. Обработка персональных данных на территории иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных. Перечень государств, обеспечивающих защиту персональных данных определяется уполномоченным органом по защите персональных данных».
Указывается, что данная норма вводится «в целях поддержки предпринимательства в сфере ИКТ с учетом интересов национальной безопасности, безопасности ИКТ, обеспечения прав субъектов персональных данных».
Поскольку у Казахстана нет, например, своих популярных социальных сетей, перед ним давно стоит проблема массового сбора и обработки персональных данных казахстанцев на иностранных ресурсах (Фейсбук, Одноклассники и т.п.).
В Законе Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» данному вопросу посвящена статья 16, согласно которой трансграничная передача персональных данных на территорию иностранных государств, даже не обеспечивающих защиту персональных данных, может осуществляться в случаях наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных.
Учитывая, что при регистрации на иностранных ресурсах казахстанские граждане такое согласие дают, вопрос не стоял остро. Но теперь в Проекте подход меняется и про согласие ничего не говорится. Очевидно, у МЦРИАП появились критерии, по которым будут определены государства, обеспечивающие защиту персональных данных, но пока о них ничего не сообщалось.
Согласно, поправкам, предлагаемым Проектом в статью 36 Закона об информатизации, собственник или владелец электронного информационного ресурса, оказывающего услуги по размещению пользователем информации в Интернет, обязан хранить информацию, используемую при заключении соглашения, весь период действия, а также в течение трех месяцев после расторжения соглашения и создавать организационные и технические условия для проведения оперативно-розыскных и контрразведывательных мероприятий субъектами оперативно-розыскной и контрразведывательной деятельности.
В обоснование здесь опять проводится идея о том, что:
«Электронные информационные ресурсы, в т.ч. Интернет-ресурсы, содержащие и обрабатывающие персональные данные граждан РК, часто используются в противоправных целях. В целях создания условий для сбора доказательств и иной оперативно-значимой информации об их противоправной деятельности имеется необходимость сбора и предоставления таких сведений правоохранительным и специальным государственным органам РК.
В этой связи, имеется необходимость создания технических условий для подключения через представленный собственником или владелец электронного информационного ресурса API (программный интерфейс приложения) специальных технических средств КНБ с целью оперативного получения информации по принципу 24/7 с обеспечением принципов конспирации».
То есть, по задумке авторов Проекта, сам собственник или владелец интернет-ресурса должен с обеспечением принципов конспирации установить специальные технические средства КНБ для сбора доказательств и иной оперативно-значимой информации о своей противоправной деятельности.
Сомнений в том, что такая противоправная деятельность на системной основе на казахстанских сайтах ведется, у них, очевидно, не возникает, поэтому никаких исключений не предусмотрено. Правда, возникают сомнения, что информация будет собираться о хозяевах сайтов, а не о их посетителях.
Отметим, что на сегодняшний день, в статье 15 Закона Республики Казахстан от 5 июля 2004 года № 567-II «О связи» уже установлена обязанность Операторов связи и (или) владельцев сетей связи, осуществляющих деятельность на территории Республики Казахстан, обеспечивать органам, осуществляющим оперативно-розыскную, контрразведывательную деятельность на сетях связи, организационные и технические возможности проведения оперативно-розыскных, контрразведывательных мероприятий на всех сетях связи и доступ к служебной информации, а также принимать меры по недопущению раскрытия форм и методов проведения указанных мероприятий.
При этом, однако, никогда не говорилось, что это требуется для контроля за их возможной противоправной деятельностью. Но, очевидно, информации, получаемой от операторов связи, оказалось недостаточно.
___________________________________
Продолжение следует
