Сегодня на пленарном заседании Мажилиса Парламента РК рассмотрят законопроект, направленный на обеспечение безопасности информационных систем и персональных данных граждан в системе "электронного правительства". Корреспондент Zakon.kz выяснила подробности у депутата Екатерины Смышляевой.
По данным Мажилиса, данный законопроект предусматривает внесение изменений и дополнений в 12 законодательных актов по:
- определению понятия "нарушение безопасности персональных данных";
- наделению уполномоченного органа в сфере защиты персональных данных функцией госконтроля за соблюдением законодательства РК о персональных данных и их защите;
- установлению запрета на сбор, обработку бумажных копий документов, удостоверяющих личность, за исключением случаев, прямо предусмотренных законами РК.
В редакции Zakon.kz связались с депутатом, одним из разработчиков документа, Екатериной Смышляевой и поговорили по поводу новых норм, усиления госконтроля за безопасностью персональных данных граждан, недавнего случая с телеграмм-ботом, который по запросу раздавал данные казахстанцев, а также о вводимой правовой основе для работы "белых хакеров".
– Екатерина Васильевна, вы, наверное, слышали, недавно был случай, когда бот российского мессенджера раздавал данные казахстанцев. Это говорит о том, что в наших информационных системах госпорталов зияет большая дыра. Почему до сих пор никто не озаботился безопасностью данных, тем более на госплатформе?
– Давайте сначала разберемся, как работают такие боты? Для того, чтобы бот собрал информацию, не всегда должна произойти централизованная утечка. Они, как правило, собирают персональные данные граждан из открытых сервисов онлайн-платформ, таких как Telegram, Facebook, WhatsApp, Одноклассники и так далее. Очень много информации мы указываем в общедоступных источниках, либо сервисах доставки товаров и услуг.
Откуда ещё боты берут информацию? Вспомните популярное недавно приложение GetContact, где можно было узнать, как ты записан в контактах у друзей и знакомых. Оно аккумулировало сведения об абонентских номерах сотовой связи, записанных в контактах третьих лиц. Сегодня, к слову, доступ к этой совсем не безобидной игрушке с территории Казахстана запрещен. Но следы его использования мы будем видеть ещё долго. Равно как и последствия более ранних утечек. Так, опытным путём, пользователями было установлено, что telegram-боты выводят исторические сведения об адресах проживания. Они не всегда актуальны. Тем более, есть информация, что telegram-боты типа "Глаз Бога" существуют больше трёх лет.
Очень много персональных данных публикуется в открытом доступе различными учреждениями и ведомствами. Суды, налоговая и другие. Это тоже источник данных для ботов.
По текущему инциденту информации о том, что данные бота взяты из какой-то конкретной государственной информсистемы, что произошел взлом, – нет. Но это не говорит о том, что нужно успокоиться. Многие моменты в вопросах защиты персональных данных нужно усилить и пересмотреть. На уровне законов мы занимаемся этим на системной основе.
– На чьей платформе сегодня работает Egov.kz и на каких условиях там хранятся данные граждан?
– Портал "электронного правительства" (Egov.kz) функционирует в серверном центре госорганов, владельцем которого является оператор информационно-коммуникационной инфраструктуры "электронного правительства" (АО "НИТ"). Защита персональных данных и обеспечение информационной безопасности осуществляются в соответствии с законами и Едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности.
Также порядок защиты данных отражен в Правилах осуществления мер по защите персональных данных.
В нашем законопроекте, который сейчас обсуждается в Мажилисе, мы инициировали создание государственного центра информационной безопасности при государственной технической службе. Он будет обеспечивать защиту исключительно государственных информационных систем.
– Какие ещё поправки по информбезопасности помогут казахстанцам сохранять персональные данные?
– Во-первых, предусматривается наделение уполномоченного органа в сфере защиты персональных данных функцией госконтроля.
Также предлагается установить запрет на сбор, обработку копий документов, удостоверяющих личность, содержащих персональные данные, за исключением случаев, прямо предусмотренных законами Казахстана.
Вносится новое определение "нарушение безопасности персональных данных", то есть утечка персональных данных. Регламентируются действия собственников или операторов баз, содержащих персональные данные, оперативных центров информационной безопасности и служб реагирования на инциденты информационной безопасности, а также уполномоченного органа при утечке персональных данных граждан.
Граждане будут уведомляться о произошедшей утечке данных посредством портала "электронного правительства" и смс-оповещения 1414.
Параллельно идёт работа над поправками в Кодекс РК "Об административных правонарушениях", которые предусматривают увеличение срока давности привлечения к административной ответственности за совершение административного правонарушения в сфере защиты персональных данных для физических и юридических лиц.
Также планируется увеличение размеров административных штрафов с учетом категории субъекта, вида административного правонарушения и повторности совершения.
Законопроектом создается правовое поле для работы казахстанской бак-баунти – платформы "белых хакеров". Уже сегодня в пилотном режиме функционируют такие ресурсы, привлечено почти 200 исследователей информационных систем. Их задача по заказу владельца информационной системы найти уязвимости в ней путём взлома. Затем передать информацию заказчику для устранения. Это значительно повысит устойчивость информационных систем к хакерским атакам. Есть и другие новеллы, направленные на защиту данных.
– Будут ли эти поправки распространяться на владельцев иностранных хостингов, на базе которых находятся многие казахстанские порталы?
– Да, требования по принятию мер защиты персональных данных и обеспечению информационной безопасности обязательны для всех собственников и операторов, которые осуществляют свою деятельность на территории нашей страны и обрабатывают персональные данные наших граждан. Закон един для всех.
– Какую ответственность будут нести частные сайты и агрегаторы, выдающие данные по ИП, налогам и другое, за раскрытие персональных данных, в том числе и за деньги, в качестве платной функции?
– В настоящее время в соответствии со ст. 79 и частью 1 ст. 641 КоАП РК за незаконные сбор или обработку, в том числе за распространение персональных данных, предусмотрены административные штрафы в размере от 10 до 1000 МРП в зависимости от вида и категории субъекта. Безусловно, это очень небольшие суммы. Наши данные стоят дороже. Ущерб от их утечек – тем более. В самое ближайшее время мы будем предлагать увеличение штрафов внесением изменений в Административный кодекс. Суммы штрафов должны быть больше, чем стоимость обеспечения безопасности данных. Тогда операторы будут инвестировать и в программное обеспечение, и в обучение сотрудников, и в услуги центров информбезопасности. А пока дешевле заплатить штраф.
Один из часто задаваемых вопросов: почему до сих пор такие маленькие штрафы? Повышение порогов, каждое новое требование – серьёзное регуляторное воздействие на субъекты предпринимательства. Это необходимо измерять и учитывать.
Ещё один немаловажный момент. Для того, чтобы наказывать, необходимо чётко понимать, кого и за что. За последние два года пришлось серьёзно поработать над законодательством, чтобы ответить на эти вопросы.
В уголовном законодательстве за нарушение законодательства в сфере персональных данных предусмотрена уголовная ответственность в соответствии со ст. 147 Уголовного кодекса, штраф от 3 тыс. тенге до 7 лет лишения свободы.
– Сегодня в целом наказание за нарушение безопасности данных есть, но нет официальных прецедентов, судов по таким делам. Например, как быть, если персональные данные, в том числе ИИН, запрашивают для пропуска в госорганы?
– Административных нарушений действительно регистрируется немного – 20-25 в год. В 2022 году была получена рекордная сумма штрафов – больше 2 млн тенге, в этом году пока чуть больше 500 тысяч. В 2018 году – 5, наложен штраф в размере 930 735 тенге;
Кроме того, за последние три года по ст. 147 УК РК возбуждено 118 уголовных дел. Из них 44 дела за 8 месяцев 2023 года. Вот здесь есть тенденция к увеличению.
Понятно, что нарушений кратно больше. Нужно усиливать работу регулятора. Функционально мы это делаем в законопроекте. В частности, институт госконтроля позволит не только реагировать на свершившиеся утечки, но и проверять операторов на применяемые меры защиты. Введен и дополняется институт уведомлений. Это тоже очень важно. Работают специальные сервисы контроля доступа.
Почему нет судов? Ответ в предыдущем вопросе. Размеры штрафов не стоят затрат на суды по оспариванию решений регулятора. В текущем размере, проще заплатить штраф. По уголовным нарушениям процессы идут.
Однако даже после появления функций у регулятора не увеличатся административные ресурсы для осуществления контроля. Это отдельный вопрос. По международным стандартам должен работать укомплектованный отдельный государственный орган в области защиты данных.
Что касается требований ИНН при входе в госорганы, то это связано с идентификацией личности. При посещении стратегических и особо охраняемых объектов это предусмотрено. При этом госучреждения несут ответственность и обязаны обеспечить защиту собранных персональных данных.
– Что даст запрет на сбор бумажных копий документов? Где их могут требовать?
– Запрет на сбор копий документов, удостоверяющих личность, на бумажном носителе минимизирует случаи незаконного сбора и обработки персональных данных и их утечки, а также сократит их неконтролируемый и избыточный сбор операторами.
Сейчас в гостиницах или во многих магазинах при возврате товаров требуют копии документов, удостоверяющих личность, хотя обоснованность таких действий непонятна. После принятия нормы по запрету эти действия будут незаконными.
Альтернативой бумажной копии всегда могут быть просто данные документа. Этого вполне достаточно для организации большинства рабочих процессов.
В 2019 году произошла одна из крупнейших утечек данных, когда сведения об 11 млн казахстанцев оказались в открытом доступе. Эксперты тогда высказывали мнение, что такая вопиющая утечка важной информации от частной компании произойти не могла.