Кыргызстан с каждым днем все больше входит в международное цифровое пространство. Без внедрения современных цифровых технологий в различные сферы жизни, эффективное развитие прогрессивного государства попросту невозможно. Цифровизация тесно связана со сбором и обработкой персональных данных граждан.
Наряду с этим возникают риски и задачи в области их защиты. Именно по этой причине в Кыргызстане было создано Государственное агентство по защите персональных данных. В условиях информационного бума и широкого применения цифровых технологий вопросы безопасности обретают особую актуальность. На них мы попросили ответить директора Государственного агентства по защите персональных данных при кабинете министров КР Нурию Кутнаеву.
– Что такое персональные данные и почему они нуждаются в защите?
– Строго говоря, в защите нуждаются не сами по себе персональные данные, а наши граждане, потому что персональные данные – это любая информация, используя которую человека можно прямо или косвенно идентифицировать. К ним относятся ФИО, персональный идентификационный номер (ПИН/ИНН), биометрические данные, сведения о семейном положении, онлайн-идентификатор (имя пользователя в социальных сетях, IP-адрес).
В современной жизни мы постоянно вынуждены передавать свои персональные данные различным организациям. Устраиваясь, скажем, на работу, оформляя кредит или карту в банке, приобретая дисконтную карту в магазине. Таким образом, мы несем определенный риск, связанный с тем, что наша личная информация может попасть в руки злоумышленников. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Чтобы этот риск снизить, государство гарантирует защиту персональных данных. Система защиты персональных данных является одним из важнейших институтов гражданского общества.
– Чем опасна утечка персональных данных?
– Статистика показывает, что в 70-80 процентах случаев утечки персональных данных происходят по субъективным причинам, то есть из-за человеческого фактора, в том числе и из-за небрежности или халатности. Если персональные данные окажутся в чужих руках это станет настоящей головной болью. Используя персональные данные, можно получить доступ к средствам на банковских картах жертвы, «повесить» на другого человека долги, использовать личность как «подменную» для мошеннических действий.
Отдельно бы хотелось остановиться на кибербезопасности детей. Сегодня наши дети «живут» в интернете. К сожалению, все они являются легкой добычей для кибермошенников. Именно поэтому мы уделяем особое внимание внедрению такого понятия как цифровая гигиена. Она подразумевает определенную форму поведения в социальных сетях и порядок использования гаджетов, причем не только самим детьми, но и их родителями. Например, самим родителям не рекомендуется выставлять в соцсетях фотографии своих детей. На западе проводились масштабные исследования на предмет того, откуда в базах данных фотографий у педофилов детские фотографии. Выяснилось, что большинство таких фото берется из социальных сетей родителей, которые самостоятельно выставляют фотографии своих детей в соцсетях.
– Госагентство создано совсем недавно. С чего вы начали, что успели сделать за это короткое время?
– Государственное агентство по защите персональных данных было создано указом президента страны. Основными направлениями нашей деятельности являются обеспечение контроля за соответствием обработки персональных данных требованиям законодательства страны и защита прав граждан в этой сфере. Говоря проще, мы стоим на страже сохранности персональных данных кыргызстанцев.
Мы разработали и продолжаем работать над нормативно-правовой базой, которая позволит регулировать сферу защиты персональных данных. Создали «Реестр держателей массивов персональных данных». Благодаря этой платформе наши граждане могут узнать, какое юридическое лицо или компания собирает персональные данные и куда они передаются. В реестре уже зарегистрировано более 200 организаций, а в течение полугода должны зарегистрироваться все организации, которые собирают и обрабатывают персональные данные.
Также у нас в планах проведение инспекторских проверок в организациях – разумеется, после окончания моратория на проверки организаций. До этого мы делаем упор на работу по правовому просвещению. Проверки нужны, прежде всего, для предупреждения утечек персональных данных.
Кроме того, нами был проведен ряд круглых столов и тренингов, посвященных теме защиты личной информации различных групп населения. Обучение прошли уже более 600 государственных и муниципальных служащих, предпринимателей и представителей неправительственного сектора.
Кроме того, мы активно работаем и с обращениями граждан. После рассмотрения жалоб мы обращаемся к организациям-нарушителям и явные нарушения прав граждан в сфере защиты персональных данных устраняются. Так, например, результаты медицинских анализов граждан перестали быть общедоступными на сайте одной частной клиники. До этого любой мог, вбив любые числа, увидеть результаты чужих медицинских анализов с персональными данными другого пациента. Был еще такой случай, когда на постороннего человека был взят кредит с помощью онлайн-идентификации чужого паспорта. После взаимодействия с Агентством в компании по онлайн-кредитованию изменили процедуры по идентификации граждан и сделали их более тщательными.
При Агентстве также создана рабочая группа по предупреждению киберинцидентов, связанных с нарушениями в сфере персональных данных. В рабочую группу вошли представители Генеральной прокуратуры, Госкомитета национальной безопасности, Национального банка, Министерства внутренних дел, Государственной службы регулирования и надзора за финансовым рынком, Государственной службы финансовой разведки и Службы по регулированию и надзору в отрасли связи. Эта работа межведомственной группы будет вестись на постоянной основе, мы совместно работаем над устранением и недопущением киберинцидентов.
Решением Кабинета министров при Агентстве создан Учебный центр, где мы планируем обучать всех желающих защите персональных данных, основам кибербезопасности и цифровым навыкам. В ближайшее время планируем принять первых слушателей. В первую очередь мы будем повышать компетенции представителей государственных и муниципальных органов в области защиты персональных данных. Разрабатываются программы и для коммерческих организаций как держателей и обработчиков персональных данных граждан. Также планируем обучать и простых граждан кибергигиене, защите своих прав в области информации персонального характера и цифровым компетенциям.
За неполный год работы нам удалось наладить сотрудничество со многими зарубежными партнерами и представителями государственных органов других стран. К примеру, в этом году Кыргызстан впервые был представлен на уровне государственного института на ежегодном международном мероприятии – Евразийском конгрессе по защите данных. Кроме того, Государственное агентство по защите персональных данных КР подписало соглашение о сотрудничестве в сфере защиты прав субъектов персональных данных с Национальным центром защиты персональных данных Беларуси. Активно прорабатываются аналогичные меморандумы с нашими ближайшими соседями, а также с партнерами в ближнем и дальнем зарубежье.
– Защита персональных данных – это достаточно новая сфера для Кыргызстана. Откуда берете информацию для разработки законодательных актов?
Специалисты из нашей команды наряду с доскональным знанием кыргызстанского законодательства в сфере электронного управления, на ежедневной основе анализируют и международный опыт. Мы специально создали экспертный совет при агентстве – для внедрения необходимых законодательных подходов к защите персональных данных с учетом последних международных тенденций. На заседании экспертного совета мы обсуждаем с международными и кыргызстанскими экспертами в сфере кибербезопасности и цифрового права законодательные инициативы Агентства и последние тренды в цифровом праве.
Наша команда активно изучает зарубежный опыт. В этом нам помогают эксперты Европейского Союза. В 2022 году команда Агентства выполнила все индикаторы Соглашения между Кыргызстаном и Европейским Союзом, благодаря чему республиканский бюджет получил 500 тысяч евро из общей суммы в 3 млн евро (или около 270 миллионов сомов), перечисленных Европейским Союзом в бюджет Кыргызстана в декабре 2022 года для поддержания цифровой трансформации страны.
– Какие советы вы, как руководитель главного ведомства в нашей стране по защите персональных данных, можете дать кыргызстанцам для защиты личной информации?
– Существует множество способов защитить свои персональные данные. Остановлюсь на самых основных. Первое – ограничьте доступ к вашим данным. Ни при каких условиях не передавайте копии своих документов незнакомцам, не выкладывайте фото своих или чужих документов (например, паспортов или водительских удостоверений) в сеть, не пересылайте их через электронную почту или мессенджеры. Второе – будьте очень осторожны с информацией на цифровых носителях. Что это значит? Не заходите в интернет-банкинг с чужих компьютеров или телефонов, браузер может сохранить автоматически ваш пароль. Не делитесь флэш-картами с наличием фото паспорта, паспортных или других персональных данных. Третье – со здравой осторожностью относитесь к соцсетям: не выкладывайте фотографии своих малолетних детей в Интернет, не сообщайте всем, когда уезжаете из дома. Цифровая гигиена – это не только залог сохранности личных данных, но и залог спокойной жизни.