Игорь Лоскутов: «Создание Национальной системы видеомониторинга уже идет и без законодательного обеспечения»

25 июня президент Касым-Жомарт Токаев подписал ряд поправок, которые затрагивают одну из важных сфер жизни казахстанцев – персональные данные. Эксперты из числа правозащитников и независимых экспертов по информационным технологиям выпустили по этому поводу заявление, где выразили обеспокоенность по поводу рисков ограничений и нарушений прав и свобод человека, которые могут нести эти поправки.

Эксперты предлагают государственным органам помощь гражданского общества в срочном совершенствовании законодательства в сфере регулирования цифровых технологий, с тем, чтобы исключить возможность нарушений прав человека и требуют, чтобы подзаконные акты в сфере регулирования цифровых технологий, касающиеся прав человека, обсуждались и принимались с участием экспертов гражданского общества и были официально опубликованы в открытом доступе. Группа экспертов намерена мониторить процесс формирования базы соответствующих подзаконных актов.

Юрист, автор многочисленных публикаций, Игорь Лоскутов проводил анализ поправок, касающихся вопросов персональных и биометрических данных, систем видеомониторинга и сертификата безопасности. Мы задали ему несколько вопросов о том, к каким выводам он пришел на основе своей работы.

— Поправки в законы по вопросам регулирования цифровых технологий, которые недавно подписал Касым-Жомарт Токаев, обеспокоили многих: правозащитников, активистов, исследователей цифровых прав и свобод. Как вы относитесь к новым поправкам в законы?

— Думаю, что имеющееся положение дел это вряд ли изменит. Поправки носят декоративный характер и не способны оказать существенного влияния на нынешнюю политику регулирования в сфере цифровых технологий. Возможно, поправки каким-то образом обозначают существующие проблемы, но пути их решения там не найдены.

— Вы делали анализ поправок. К каким выводам вы пришли на основе анализа?

— Например, создание уполномоченного органа в сфере защиты персональных данных. Создается не независимый орган, а орган, входящий в структуру правительства, которое «осуществляет руководство деятельностью министерств, обеспечивает исполнение ими законов, актов президента и правительства Республики». Во-первых, налицо конфликт интересов структур внутри министерства цифрового развития и аэрокосмической промышленности (МЦРИАП) или подчиненных ему. Я говорю о тех структурах, которые массово занимаются обработкой персональных данных. То есть, министерство будет вынуждено как представлять и защищать интересы собственников и операторов баз, содержащих персональные данные, так и осуществлять надзор за их деятельностью.

В идеале это должен быть институционально независимый орган с достаточными полномочиями и квалифицированными сотрудниками, а не ведомство министерства по факту. То есть такой орган, который сможет при необходимости проверять другие государственные органы, включая органы прокуратуры (ЦПСИ), специальные и правоохранительные государственные органы и давать им обязательные к исполнению предписания. Между тем, действующая компетенция правительства и других государственных органов в законе «О персональных данных и их защите» оказалась совершенно нетронутой поправками проекта. Нетронутой и непонятной осталась роль органов прокуратуры, о которых высказывалось мнение, как о не оправдавших свое назначение центральным координирующим органом по защите персональных данных.

Прочие государственные органы в пределах своей компетенции будут также продолжать разрабатывать и утверждать нормативные правовые акты в сфере персональных данных и их защиты; рассматривать обращения физических и юридических лиц по вопросам персональных данных и их защиты; привлекать к ответственности лица, допустившие нарушения законодательства Республики Казахстан о персональных данных и их защите.

Получается, что новый уполномоченный орган будет просто наравне с другими государственными структурами рассматривать обращения и привлекать к ответственности. При этом непонятно, как будет распределена компетенция по рассмотрению обращений между уполномоченным органом и другими смежными структурами. Более того, в статье 23 Закона РК «О персональных данных и их защите» говорится, что «особенности защиты электронных информационных ресурсов, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации». Однако в самом законе «Об информатизации» компетенция уполномоченного органа по защите персональных данных не прописана. Получается, что законодательство об информатизации будет иметь приоритет над обычным законодательством о персональных данных. И государственные органы будут в первую очередь использовать нормы, содержащиеся в законе «Об информатизации».

— Что еще затронули поправки, подписанные президентом?

— Нормы о национальной системе видеомониторинга. Смотрите, работа национальной системы видеомониторинга возможна только при условии, что она не противоречит базовым, прописанным в Конституции правам граждан, в частности, на неприкосновенность частной жизни. В статье 145 Гражданского Кодекса РК также закреплено право на собственное изображение: «Никто не имеет право использовать изображение какого-либо лица без его согласия». Важно учитывать эти нормы, поскольку национальная система видеомониторинга будет собирать, обрабатывать и хранить видеоизображения. А кодексы, в том числе Гражданский кодекс, в юридической иерархии имеют приоритет над обычными законами, каким, например, является закон «О национальной безопасности Республики Казахстан».

Кстати, Гражданский кодекс Республики Казахстан в отношении использования изображения без согласия не делает никаких исключений, наподобие тех, что есть в Гражданском кодексе Российской Федерации. В российском документе сказано, что согласие на получение и использование изображения гражданина не требуется, когда наблюдение ведется в государственных или общественных интересах, в общедоступных местах и на публичных мероприятиях («за исключением случаев, когда такое изображение является основным объектом использования»). В Казахстане схожие нормы недавно приняты лишь в отношении СМИ, но на уровне закона и не в отношении специальных или правоохранительных органов.

И еще. В декабре 2019 года правительство постановило выделить 12,1 миллиарда тенге на развитие автоматизированной информационной системы министерства внутренних дел Республики Казахстан «Биометрическая идентификация личности», а на 2021 год – 2,06 миллиарда тенге. Судя по этим нормам, создание национальной системы видеомониторинга уже идет и без законодательного обеспечения.

— Если создание этой системы идет полных ходом уже сейчас, то может ли государство уже сейчас гарантировать должную защиту персональных данных, которое оно стремится получить?

— В Концепции информационной безопасности Республики Казахстан до 2016 года констатировалось, что результаты проверки уровня защищенности государственных баз данных, включенных в состав «Электронного правительства», показали отсутствие адекватного правового, организационного и технического режима защиты персональных данных граждан. За все это время не поступало сведений о том, что этот вопрос решен, зато мы знаем целый ряд новых инцидентов, связанных с информационной безопасностью в государственных органах.

Чтобы привести казахстанское законодательство в соответствие с международными стандартами в области защиты права на частную жизнь, необходимо дать адекватный ответ на вопрос – будет ли храниться собираемая информация только для достижения определенных целей или неопределенный срок? Необходимо подтверждение, что это не механизм тотальной слежки с технологией распознавания лиц с интегрированной базой персональных и биометрических данных граждан. А для этого нужен общественный контроль или контроль хотя бы со стороны независимого органа по защите персональных данных. Нужно установить определенный срок для введения этих норм, чтобы выработать правовые механизмы предотвращения возможных злоупотреблений, связанных с использованием национальной системы видеомониторинга.

Что касается применения сертификатов безопасности при передаче данных казахстанскими интернет-ресурсами, то делается это очевидно для реализации постановления правительства «Об утверждении Концепции кибербезопасности («Киберщит Казахстан»)», согласно которому сайты с доменами .KZ и .ҚАЗ к 2020 году должны полностью перейти на отечественные сертификаты безопасности при шифрованной передачи данных. Вы помните, наверное, кампанию по установке казахстанского сертификата безопасности пользователями. 6 августа 2019 года Комитет национальной безопасности РК объявил об успешном завершении тестирования применения сертификата безопасности. Президент РК Касым-Жомарт Токаев сообщил, что проверка действенности сертификата безопасности проводилась по его поручению в рамках программы «Киберщит». Он заверил, что информационное пространство Казахстана защищено на высоком уровне и что никаких неудобств казахстанские пользователи не испытывают. Теперь, возможно, бремя использования сертификата переносится на владельцев казахстанских сайтов. Если это повлечет технические трудности для их пользователей, не думаю, что это будет способствовать развитию казахстанского сегмента Интернета.

Нужно отметить нечеткость формулировки – непонятно, о каких именно сертификатах безопасности идет речь? Если речь только о том, чтобы казахстанские интернет-ресурсы использовали зашифрованное соединение в принципе, то это хорошая новость для их пользователей в плане безопасности. Но формулировка нечеткая и допускает возможность ограничения сугубо казахстанскими сертификатами, выдаваемыми через Государственную техническую службу КНБ. Ведь именно о них говорится в Концепции кибербезопасности («Киберщит Казахстан»). Кроме того, работа протоколов, поддерживающих шифрование с применением сертификата безопасности, вполне может подпадать под программное обеспечение, которое должно находиться на территории РК. Необходимо четкое толкование в проекте, о каких именно сертификатах безопасности идет речь. Что это такое и для каких целей они будут применяться.

Необходимо также четкое объяснение того, как именно и в каком составе должен размещаться аппаратно-программный комплексе на территории Республики Казахстан для интернет-ресурсов с зарегистрированным доменным именем .KZ и .ҚАЗ. Произвольное толкование данной нормы может стать почвой для коррупции, а также дать возможность для произвольного прекращения деятельности интернет-ресурсов, что подтверждают уже имеющиеся инциденты.