Казахстанцам будут сообщать, что их данные оказались в открытом доступе. Более того, государство ужесточает правила для операторов — тех, кто работает с большим объемом личных сведений граждан, передает корреспондент inbusiness.kz. Поправки рассматривают в мажилисе, вынести их на первое чтение планируют уже в начале мая.
Действующие нормы ответственности уже не в полной мере отвечают новым вызовам, признают в министерстве искусственного интеллекта и цифрового развития. Сегодня в Казахстане предусмотрены штрафы за незаконный сбор и обработку персональных данных, согласно статье 49 КоАП. Есть и уголовная ответственность за их незаконное распространение — статья 147 Уголовного кодекса. При этом в стране фиксируют рост инцидентов, связанных с утечкой персональных сведений. Однако точное число таких фактов в профильном ведомстве не озвучили.
"Необходимость дополнительных поправок связана с тем, что действующие меры недостаточны, с учетом масштаба цифровизации и роста числа инцидентов. В этой связи, требуется не только усиление ответственности, но и внедрение дополнительных механизмов", — сообщили в цифровом министерстве.
В стране планируют внедрить технологии маскирования и хеширования данных — усилить организационно-технические меры. Это поможет снизить риски раскрытия даже при несанкционированном доступе. В целом, в Казахстане могут отказаться и от практики массовых выгрузок сведений из государственных систем.
Помимо этого, власти намерены усилить ответственность за нарушения сохранности персональных сведений. Операторы должны будут направлять уведомления об утечках не только в уполномоченный орган, но и непосредственно пользователям, чьи данные были скомпрометированы. Это необходимо для того, чтобы они могли оперативно реагировать на возникшие риски — например, поменять пароль или заблокировать доступ к аккаунтам.
"Кроме того, прорабатывается вопрос введения уголовной ответственности именно за массовые утечки персональных данных, а также дальнейшее повышение административных штрафов до 5000 МРП (21,6 млн тенге в 2026 году)", — отметили в министерстве искусственного интеллекта и цифрового развития.
Параллельно с введением обязательных уведомлений рассматривается создание реестра операторов персональных данных. Сервис позволит системно контролировать организации, которые используют и обрабатывают информацию.
Как рассказала депутат мажилиса Екатерина Смышляева, операторов будут классифицировать, в зависимости от объемов данных, с которыми они работают.
"Крупные, средние и малые. Средние и малые пока будут работать также, но если ты собираешь больше миллиона, то ты относишься к крупным, и крупные операторы должны будут уведомлять уполномоченные органы о том, что они ведут работу с таким объемом данных. Они подпадут под режимы, скорее всего, критически важных объектов информационно-коммуникационной инфраструктуры. И, значит, у них будет свой правовый режим", — говорит Смышляева.
Другими словами, у них появятся новые обязательства по защите используемых сведений. Для этого они будут обязаны привлекать центры информационной безопасности.
"У нас будет реестр скомпрометированных данных, где каждый человек сможет посмотреть, какие данные о нем сейчас находятся в общем доступе, для того, чтобы понять, чем может сейчас воспользоваться мошенник, может быть, какие-то данные стоит заменить", — продолжает парламентарий.
По ее мнению, сейчас в стране есть сложность с обнаружением случаев утечки данных, поскольку момент компрометации информации не всегда становится сразу понятным. А сама система в Казахстане, в большей степени, реагирует на последствия инцидентов, чем на сам факт их возникновения.
"У нас пока нет такой нормы, допустим, уголовной нормы, которая наказывает за сам факт утечки. То есть мы наказываем за наступившие последствия по второму составу. Сам факт утечки будет наказан в том случае, когда появится материальная составляющая этой нормы, когда данные обретут стоимость", — поясняет депутат.
По ее словам, такая норма заработает после вступления в силу в июле изменений в Цифровой кодекс. Предусматривается подход, при котором данные, фактически, будут рассматриваться как объект материальной ценности. Это позволит в дальнейшем ввести ответственность за сам факт утечки, поскольку появится возможность оценивать причиненный ущерб.
Кроме того, это может стать основой для развития киберстрахования. Так компании смогут страховать риски утечек данных, исходя из их стоимости. Вынести на первое чтение пакет поправок планируют в начале следующего месяца, а принять их депутаты рассчитывают до окончания текущей сессии.
Читайте по теме:
КНБ ликвидировал сеть торговли персональными данными казахстанцев
