Екатерина Васильевна, расскажите об основных изменениях, которые ждут казахстанцев после принятия нового закона.
— Начну с того, что данный законопроект — не ситуативное решение, как реакция на очередной инцидент с утечкой данных. Это этап системной работы по правовому обеспечению сферы информационной безопасности.
Ранее депутатами были инициированы и уже вступили в силу еще два пакета поправок, связанных с работой частных операторов персональных данных, их защитой при трансграничной передаче, внедрению института согласия на использование.
Сегодняшние изменения вводят институт государственного контроля в сфере персональных данных. Кроме того, операторы данных будут обязаны уведомлять регулятора и собственников об утечках и принятых мерах по их предотвращению.
Поэтапно законодательная база очищается от излишних требований по сбору бумажных копий документов. Это формирует новую культуру обращения с информацией. Соблюдение «цифровой гигиены» одинаково важно, как для операторов, так и для граждан.
Кроме того, уточняется само определение персональных данных. Конкретизация этого понятия позволит повысить качество контроля, рационально распределив усилия регуляторов. С другой стороны, больше не будет разногласий в толковании, когда данные являются персональными, а когда нет. Пока этим активно пользуются.
Важное значение для сферы защиты нашего информационного суверенитета имеет создание государственного центра информационной безопасности, консолидация исследователей информационных систем, так называемых белых хакеров, вокруг задач по обеспечению кибербезопасности страны.
В дальнейшем нам предстоит усилить ответственность за ненадлежащее обращение с персональными данными. Регулятору же, после принятия законопроекта, необходимо будет обеспечить его качественное администрирование. И нужно думать об этом уже сейчас.
Для чего нужен государственный центр информационной безопасности?
— Государственный центр информационной безопасности будет защищать государственные информационные системы. Их сегодня порядка 350. В них содержатся данные о гражданах, ресурсах, управленческих процессах. Это вопрос национальной безопасности. Создание и работа центра не только позволит нам защитить госресурсы, но и оставит в системе государственного управления квалифицированных специалистов в области кибербезопасности. Это очень важно.
Но государственный центр будет ограничен только этими системами. Поскольку сегодня в Казахстане также сложился рынок частных центров информационной безопасности. Лицензию получили уже 38 субъектов. Они продолжат обслуживать больше 30 тысяч систем квазигоссектора и весь бизнес.
На базе государственной технической службы будет также создан репозиторий исходных кодов и платформа исследователей информационных систем.
Сегодня часто на номера звонят посторонние люди, как из банков, так и различные клиники, частные учреждения. Почему это происходит? Как будут усиливать защиту персональных данных?
— Для того, чтобы вам позвонили, у звонящего должен быть ваш номер телефона. Как минимум. Если при этом к вам обращаются по имени, то объем имеющихся данных более широкий. Откуда они у третьего лица? Вариантов может быть несколько. Первый и самый распространенный — это сбор информации из открытых источников. Аккаунтов социальных сетей, различных сервисов. Здесь данные не нужно распространять, воровать или сливать. Они просто доступны.
Мы также часто оставляем данные для дисконтных и клубных программ, в сервисах доставки еды, такси, при регистрации на курсы, совершении покупок. Регистрируемся в различных приложениях, открывая им доступ к данным. Например, приложение Гетконтакт, признанное незаконным. Потом эти данные обрабатываются, передаются. Как правило, без нашего ведома.
Именно поэтому эксперты сегодня рекомендуют заводить цифрового двойника всем, кто живет в цифровой реальности. Проявлять бдительность при установке приложений на личные гаджеты и даче различных согласий и разрешений.
Часть данных может попасть к третьим лицам в следствии утечек. Как правило, их покупают на «черном» рынке.
Если звонят агентства, заявляя, что заёмщик указал вас как доверенное лицо, и требуют предоставить его данные, необходимо сохранять максимальную бдительность и подозрительность в отношении всех подобных просьб и звонков. Требовать такое от вас никто не имеет право. Данные заемщика — это его данные, не ваши.
Будут ли ужесточать наказание к сотрудникам госорганов?
— Сотрудники госорганов уже несут ответственность. Как государственные служащие.
Но с данными работают не только они. Параллельно с законопроектом об информационной безопасности Мажилисом ведется работа над проектом Закона о государственной корпорации (ЦОНах). Там усиливается ответственность сотрудников ЦОНов за нарушения работы с данными.
Кроме того, совместно с регулятором мы подготовили проект поправок в Административный Кодекс по увеличению штрафов за утечку персональных данных в отношении всех операторов.
По вашему мнению, нужна ли дактилоскопия с учётом того, что сейчас обычные данные казахстанцев очень быстро утекают в непроверенные руки. Насколько это безопасно?
— Дактилоскопия не новое явление для общества. Уникальность отпечатка установили в 19 веке. И этот инструмент активно работает долгое время. Сегодня речь идёт о массовом использовании дактилоскопии для идентификации личности.
Здесь есть как свои плюсы, так и минусы. То, что качественная идентификация в цифровой век необходима — никто не может поспорить.
Именно поэтому на сегодняшний день более 100 государств ввели системы биометрической регистрации.
На межгосударственном уровне для государств-членов ООН есть требование по внедрению систем сбора биометрических данных в соответствии со своим внутренним законодательством и нормами международного права человека.
Что касается нашей страны, то мы все уже привыкли к различным дистанционным сервисам и определенному уровню безопасности. Дактилоскопия и для нас явление не новое. Например, пользователи смартфонов совершенно спокойно используют отпечаток пальца для защиты устройства. Не особенно задумываясь, где и как хранится эта информация.
Дактилоскопия является обязательным условиями въезда во многие страны мира, отпечатки сдают в посольствах при получении визы, например, Европа, США. Тоже совершенно спокойно. Хотя речь идет о трансграничной передаче персональных данных.
Вместе с тем, когда мы говорим о национальных биометрических базах, возникает множество вопросов. Отчасти они резонные. Биометрические данные уникальны. Их нельзя заменить, перевыпустить и так далее. Они обладают высокой достоверностью и максимально персонифицированы. Также обсуждаемым является вопрос добровольности и обязательности. Много дискуссий о соблюдении прав человека при внедрении обязательной дактилоскопии. На самом деле, эти риски будут иметь место, если данные будут утеряны, использованы не по назначению, будет нарушена методика сбора или неправомерно дано разрешение на их передачу.
Поэтому прежде, чем консолидировать такие данные, необходимо обеспечить их адекватную защиту на всех уровнях, от законодательного до технического, а также законность методик сбора и использования. Работа над этим ведется уполномоченным органом.