Персональные данные казахстанцев утекают через иностранные информационные системы

Начиная с 2020 года правительство обязало казахстанских предпринимателей входить в ИС МПТ (информационная система маркировки и прослеживаемости товаров) посредством электронной цифровой подписи. Она же – платформа «Честный знак» российского происхождения. В итоге, судя по всему, личные интересы владельцев иностранных информационных систем оказались выше законов – казахстанских и международных.

– Я всегда была уверена, что ЭЦП применим только при взаимодействии с государственными органами РК и только лишь в казахстанских информационных системах, но никак не иностранного происхождения, – говорит независимый юрист Айнура Кайдарова. – И я сделала запрос в министерство цифрового развития, инноваций и аэрокосмической промышленности о законности использования ЭЦП казахстанцев в информационных системах иностранных государств. Мне нужно было выяснить узкое направление, которое касалось маркировки обуви, но из ответа ведомства неожиданно узнала, что, возможно, созданы все условия для утечки персональных данных казахстанцев.

Айнура Кайрарова напомнила, что отечественное законодательство, а также международные договоры о защите персональных данных четко регламентируют ограничения в их распространении.

К примеру, в международном Соглашении о взаимной правовой помощи по административным вопросам в сфере обмена персональными данными, ратифицированного РК 1 апреля 2022 года, предусмотрено обязательное согласие владельца ЭЦП на передачу его персональных данных. Отмечу, этот документ имеет приоритет перед нормами национального законодательства, так как он, подчеркну, ратифицирован.

Так, согласно статье 2 Соглашения «каждая из сторон по запросу другой стороны оказывает взаимную правовую помощь по административным вопросам в сфере обмена персональными данными в соответствии с национальным законодательством и положениями настоящего Соглашения».

В статье 2 также указывается, что положения документа «не ведут к возникновению у каких-либо физических или юридических лиц права получать информацию, подлежащую передаче в рамках настоящего Соглашения». Также этот документ не предоставляет права одной из сторон осуществлять на территории другой стороны полномочия, которые отнесены исключительно к компетенции уполномоченных органов этой стороны. В нашем случае это АО «Казахтелеком» и само министерство цифровизации.

Таким образом, по словам юриста, владельцы платформы «Честный знак», исходя из норм этого международного Соглашения, не обладают полномочиями по сбору персональных данных казахстанцев на территории РК, так как они отнесены к компетенции казахстанских структур – государственных или полугосударственных. В случае нарушения законодательства о защите этих данных могут быть применены штрафы и другие санкции.

Но если верить пространному ответу на трех страницах, полученному Айнурой Кайдаровой от министерства цифровизации, то «электронная цифровая подпись может применяться в любых сферах деятельности (в государственных, негосударственных и иностранных информационных системах)…. При подписании электронного документа закрытым ключом ЭЦП, информационная система получит доступ к данным, содержащимся в регистрационном свидетельстве подписывающего лица».

Между тем, в названное свидетельство также входят данные, идентифицирующие владельца ЭЦП: ФИО, ИИН (для физических лиц), БИН (для юридических лиц), должность и организация, в которой работает владелец.

Но если свести все сказанное в ответе министерства в одно предложение, то это ведомство подтвердило своим ответом, что наши ЭЦП можно применять в любых информационных системах, в том числе иностранных.

Таким образом, на данный момент персональные данные казахстанцев через ИС МПТ фактически переданы иностранной информационной системе, а именно – российскому «Честному знаку». Стоит ли удивляться после этого, что казахстанцы оказались жертвами массированных атак мошенников?

Возникает вопрос, в чем тогда смысл персонализации наших данных и информационной безопасности при такой позиции уполномоченных структур, которые сделали их доступными всем без исключения системам и их владельцам, в какой бы стране они не находились и какие бы цели для себя не ставили?

Так, к примеру, при входе в систему ИС МПТ предприниматель, якобы, подписывает договор с АО «Казахтелеком» об оказании услуг и сохранении персональных данных, хотя фактическим владельцем данной системы является российский «Честный знак». Но последний никакой ответственности за информационную безопасность наших данных не несет, а это, в свою очередь, освобождает его от ответственности за их неправомерное использование и за передачу наших персональных данных третьим лицам.

– Получается, что, несмотря на то, что подписываешь договор о безопасности данных, они автоматически оказываются в руках других лиц, которые могут использовать их по своему усмотрению, – говорит Айнура Кайдарова. – Но зачем в таком случае нужна тотальная цифровизация, если мы становимся уязвимы для всякого рода киберпреступности? И почему в отечественных законах и международных договорах пишут одно, а на деле – все происходит наоборот? Что в конце концов для нас важнее – законы или личные интересы владельцев иностранных информационных систем?

• 91
• 14