Отдельный госорган по цифровой безопасности предлагают создать в Казахстане

Депутат мажилиса Екатерина Смышляева в сенате рассказала, почему в Казахстане происходит утечка персональных данных граждан и как это можно предотвратить, передает корреспондент NUR.KZ.

Вопрос поднял депутат сената Евгений Больгерт в ходе обсуждения закона "Об информационной безопасности". Он указал, что одной из новелл законопроекта является дополнение закона "О персональных данных" положениями в части государственного контроля за соблюдением законодательства о персональных данных и их защите.

Согласно норме, по его словам, государственный контроль в отношении госорганов осуществляется в форме периодических и внеплановых проверок, а в отношении иных субъектов контроля предлагается осуществлять только в форме внеплановой проверки.

Однако, согласно Предпринимательскому кодексу, внеплановая проверка проводится только после сообщения о нарушениях требований законодательства, то есть постфактум.

В связи с этим Больгерт поинтересовался, достаточно ли будет этой меры, учитывая участившиеся случаи утечки персональных данных физлиц.

Депутат Екатерина Смышляева в ответ указала на то, что исторически контроль в сфере защиты персональных данных, информационной безопасности не был у МЦРИАП - эта функция, по ее словам, была в отраслевых госорганах и фактически не осуществлялась. В июне 2020 года этот контроль был передан Минцифры, то есть только с июня 2020 года в Казахстане начали реагировать на обращения граждан об утечке данных, а также на инциденты, связанные с информационной безопасностью.

"Сами субъекты контроля делятся. Если говорить о персональных данных, то таких субъектов у нас на сегодня 20 млн. Субъекты, которые нуждаются в контроле в плане информационной безопасности - 32 тыс., субъекты, которые являются критически важными объектами информационной инфраструктуры, - их 500. То есть огромный массив субъектов.

На сегодня контроль осуществляет Комитет информационной безопасности МЦРИАП, в котором этим занимаются 4 человека. То есть сейчас у нас просто физически нет еще пока такой инфраструктуры контроля, которая позволила бы нам осуществлять в том числе плановые виды контроля для 20 млн субъектов персональных данных и для 32 тыс. субъектов информационной безопасности. Поэтому с точки зрения организационной пока говорить о плановых проверках как о какой-то постоянной системе, пожалуй, рано", - объяснила депутат.

Для решения проблемы, добавила она, предлагается ряд мер.

Во-первых, в ближайшее время планируется выработать новое определение понятия "персональные данные" в рамках закона "О данных и национальной статистике". Таким образом планируется сократить пул подконтрольных субъектов и косвенно снизить нагрузку на регулятор.

"Второй момент, нам необходимо, безусловно, создать систему контроля - здесь рассматриваются разные варианты. Сейчас мы ходатайствуем об увеличении штата Комитета информационной безопасности. Есть вариант создания - и вообще он правильный - отдельного агентства по информационной безопасности в качестве независимого госоргана.

Есть вариант с привлечением частных операторов контроля, и есть вариант с привлечением саморегулируемых организаций. Мы насчет правовой конструкции сейчас уже думаем и, думаю, в самое ближайшее время предложим вариант, который усилит администрирование и инфраструктуру госконтроля.

Полагаю, этот правовой механизм будет отражен в Цифровом кодексе, который ожидается в конце 2024 года, там мы уже детально этот момент учтем. Пока даже если бы все варианты контроля предусмотрели, они бы просто не работали, потому что некому на сегодня осуществлять", - резюмировала Смышляева.

Напомним, в последнее время в Казахстане участились случаи утечки персональных данных. Так, в середине сентября выяснилось, что в Telegram появился бот, который сливал данные казахстанцев, в том числе ИИН, телефоны, адреса и другие сведения.

Позже в МЦРИАП объяснили, как Telegram-бот мог получить личные данные казахстанцев. Предполагалось, что одним из источников стал запрещенный в Казахстане сервис.

МЦРИАП направило в Минкультуры и информации заявку по блокировке этих сервисов. А в конце октября сообщалось, что МЦРИАП заблокировало около десятка таких ботов.

Глава Комитета по информбезопасности, отвечая на вопрос, можно ли сменить ИИН, если ваши данные попали в общий доступ, заявил, что такая процедура не имеет смысла, поскольку никто не может гарантировать, что данные не украдут вновь.

По его словам, сейчас главная задача госорганов - научить людей распознавать мошенников.