Казахстанское правительство в этом месяце передало десятки гектаров в трех национальных парках в Алматинской области в «долгосрочное пользование» частным компаниям. В сухом тексте из девяти абзацев на сайте министерства экологии говорилось, что земли получили три частника, которые обязались создать туристские объекты и инвестировать 14 с половиной миллиардов тенге (более 33 миллионов долларов). Все три компании относятся к «малым предприятиям» (то есть в них числится до пяти сотрудников); одна занимается строительством жилья, другая — арендой и управлением собственной недвижимостью, третья — оптовой продажей различных товаров. В общей сложности три компании заплатили в прошлом году налогов на сумму чуть более полумиллиона тенге. Эту информацию Азаттык собрал на основе баз данных, которые агрегируют сведения, размещенные на общедоступных онлайн-ресурсах комитета госдоходов и «Электронного правительства».
К таким базам данных — за информацией о частных компаниях, их владельцах, руководителях и налогах — могут обращаться и обращаются не только СМИ, но и любой желающий. Однако ситуация с доступом к информации такого рода скоро может измениться.
«ХОТЯТ ЗНАТЬ, КТО СОБИРАЕТ ПЕРСОНАЛЬНЫЕ ДАННЫЕ»
9 апреля министерство цифрового развития, инноваций и аэрокосмической промышленности (МЦРИАП) вынесло на обсуждение поправки «по вопросам защиты персональных данных». Ведомство заявляет, что входящий в его структуру комитет информационной безопасности получил множество жалоб на «незаконную публикацию персональных данных» на различных интернет-ресурсах (www.adata.kz, www.fa-fa.kz, телеграм-бот «ShtrafKZBOT» и прочие).
Но в экспертной группе по цифровым правам — она создана несколькими неправительственными организациями, в том числе фондом «Правовой медиацентр», Eurasian Digital Foundation, Коалицией нового поколения правозащитников, — слова о множестве жалоб отвергают. Группа сообщила Азаттыку, что получила ответ на свой запрос из министерства, в котором говорится, что в управление по защите персональных данных при МЦРИАП за полгода поступило всего 40 жалоб и «лишь небольшая часть жалоб касалась данных ресурсов».
Тем не менее в министерстве считают, что частные интернет-ресурсы сформировали собственную базу данных и «распространяют их посредством сервиса проверки физических лиц по ФИО (фамилия, имя, отчество) и ИИН (индивидуальный идентификационный номер), в том числе на возмездной основе».
Министерство планирует внедрить «Сервис обеспечения безопасности персональных данных», где будут храниться персональные данные граждан. Сервис, как заявляют в ведомстве, позволит гражданам «контролировать использование их персональных данных», получать уведомление при обращении кого-то к их персональным данным и отказывать в доступе к ним. Проще говоря, руководитель частного предприятия может отклонить в этом сервисе запрос на информацию о нем, адресе и налогах.
Все, кто будет собирать персональные данные, будут считаться операторами персональных данных. Каждый оператор будет в специальном реестре.
Сервис, как предполагается, будет обслуживать министерство цифрового развития, а информация о персональных данных на сервисе будет храниться под контролем государственной технической службы КНБ.
— По сути, они хотят собрать всех в одном реестре и знать, кто собирает персональные данные. Мы не видим в реестре никакого смысла. В этот реестр можно записать всех жителей и юрлица страны. У государства будет полный доступ к информации. Если работник заключает трудовой договор с новым работодателем, они вынуждены это заносить в свою базу, которая должна быть интегрирована с этим сервисом, и на сервисе отразится актуальная информация, кто где работает. Это такая супербаза данных. Для чего всё это нужно? Полагаю, речь о глобальной системе слежки и усиления контроля над теми, кто работает с персональными данными. Это упрощает работу госорганов, — размышляет координатор экспертной группы по цифровым правам Арсен Аубакиров, отмечая, что «государство поступило очень хитро», преподнеся поправки «под соусом защиты персональных данных и приватности».
Но этим список настораживающих правозащитников нововведений не исчерпывается.
«ПРАВО НА ЗАБВЕНИЕ». КОМУ ЭТО НАДО?
Согласно проекту министерства, появится возможность удалить свое имя, фамилию и другие персональные данные из общедоступных источников, если они были собраны без согласия владельца. Этим правом, как предполагается, могут воспользоваться все граждане, за исключением госслужащих и сотрудников квазигосударственных компаний. Однако если речь идет об имуществе чиновников, налоговой задолженности и зарегистрированных на них компаниях, то эти данные публиковать без их согласия по законопроекту запрещается. То есть поправки предусматривают запрет на упоминание имен и фамилий чиновников без их согласия при публикации сведений о владении ими зарубежной недвижимостью или офшорными счетами.
— Если на сайте опубликована какая-то статья, мы не говорим, чтобы владелец убрал эту статью. Речь идет о том, что гражданин имеет право потребовать, чтобы его данные были обезличены. Например, если опубликована статья об Абдикалыкове Руслане Кенжебековиче, то данные о персоне будут обезличены и статья будет о некоем гражданине А. Р. К., жителе Нур-Султана. Это законное право каждого гражданина. Именно это является частью «права на забвение». Забвение не только информации, но и изъятие его персональных данных с общедоступных ресурсов, — заявил председатель комитета по информационной безопасности МЦРИАП Руслан Абдикаликов на брифинге на прошлой неделе, отвечая на вопрос Азаттыка.
«Владелец интернет-ресурса обязан удалить из данных поиска по представленному идентификатору интернет-ресурса устаревшую или неактуальную информацию личного характера», — говорится в предлагаемом варианте законопроекта.
Директор прессозащитного фонда «Правовой медиацентр» Диана Окремова считает предлагаемые поправки по «праву на забвение» дискредитирующими международные нормы в области защиты персональных данных.
— По международным стандартам, «право на забвение» позволяет человеку потребовать удаления своих персональных данных из общего доступа через поисковые системы, то есть ссылок на те данные, которые, по его мнению, могут нанести ему вред, при условии, что вред будет доказан. Это касается устаревших, неуместных, неполных, неточных или избыточных данных или информации, законные основания для хранения которой исчезли с течением времени. В данном случае нет никакой конкретики: при каких условиях можно требовать удалить, должен ли подтверждаться ущерб, должно ли учитываться, публичный человек или нет. Если принять [поправки] в таком виде, то право на доступ к информации и свобода слова будут умерщвлены, — предостерегает Окремова.
Она предлагает ввести понятия «общественный интерес» и «публичная личность», чтобы не было ограничений по доступу к информации, которая представляет общественный интерес и связана с публичными людьми.
— Насчет «устаревшей информации»... Это очень субъективно. Для кого-то это 10 лет, для кого-то — сто, для кого-то — один год. А «неактуальная»? Для кого? Для людей, которые хотят проследить карьерный рост чиновника и узнать, совершал ли он коррупционные правонарушения, это актуально. По международным стандартам, устаревшую и неактуальную информацию никто просто так не удаляет, должен быть доказан ее вред и она не должна противоречить общественному интересу, — напоминает прессозащитница.
«Право на забвение» по законопроекту МЦРИАП выгодно чиновникам и другим публичным людям, чтобы скрыть неприглядные факты своей биографии, считают медиаюристы. Нередко в Казахстане карьерный путь высокопоставленных чиновников сопровождается скандальными ситуациями, наподобие той, в которую попадал министр юстиции Марат Бекетаев. В 2009 году его подозревали в управлении автомобилем в нетрезвом виде.
Окремова считает, что запрет на использование персональных данных создает условия для цензуры и коррупции, считает она.
— Это очень хорошая подстраховка и способ обезопасить, чтобы всем изначально запретить публиковать информацию о себе, — отмечает Окремова.
С ней солидарна руководитель фонда защиты свободы слова «Адил соз» Тамара Калеева.
— Это делается в первую очередь для чиновников и бизнесменов с подмоченной биографией. А простые люди… если это рядовой дворник, то о нем никто писать и не будет, это никому не интересно. Пишут о личностях, которые имеют значение для общества. Сокрытие темных фактов из прошлого публичных людей может навредить не только будущим поколениям, которые не будут знать, кто есть кто, но и для нынешнего времени. Также будет невозможно проводить журналистские расследования. И это приведет к тому, что люди с подмоченной репутацией будут скрывать темные факты из своего прошлого и будут рулить государством и обществом, — опасается Калеева.
АНАЛИЗ СООБЩЕНИЙ И БЛОКИРОВКА VPN
Еще один законопроект МЦРИАП, состоящий более чем из 400 страниц, появился на сайте «Открытые НПА» 13 апреля. В поправках к законодательству о цифровизации и информационной безопасности правозащитники видят ряд настораживающих моментов.
«Допускается аналитика данных содержания сообщений в целях обнаружения вредоносных компьютерных программ или информации, запрещенной законами Республики Казахстан», — говорится в проекте закона.
Участник экспертной группы по цифровым правам правозащитник проекта Internet Freedom Kazakhstan Елжан Кабышев обращает внимание на то, что формулировка размыта, неясно, что подразумевают под «сообщениями».
— Это приватные сообщения между самими пользователями, как в каналах мессенджеров, или посты в социальных сетях? Если первое, то это всё же является нарушением приватности пользователей — есть конституционное право на тайну переписки, — комментирует Азаттыку Елжан Кабышев.
Еще один пункт законопроекта касается регулирования виртуальных частных сетей — Virtual Private Network (VPN), предположительно, для того, чтобы пользователи не могли иметь доступ к запрещенным казахстанскими властями сайтам под предлогом «недопущения распространения запрещенной информации вступившими в законную силу судебными актами или законами».
Елжан Кабышев отмечает, что похожая норма есть в законе Казахстана «О связи», но теперь «госорган решил сильнее урегулировать интернет путем внесения новых норм, легального определения средств обхода связи».
— Новые поправки — это в большей степени регуляция интернета. Они дают легальное определение VPN и соответствующих субъектов и усиливают основание, которое в принципе и так есть, для блокировки такого рода программного обеспечения, — поясняет правозащитник.
Согласно поправкам, государство в лице профильного министерства «утверждает правила регистрации виртуальных частных сетей, а также приостановления или прекращения работы незарегистрированных виртуальных частных сетей в интернете и средств доступа к запрещенной информации».
— МЦРИАП планирует регистрировать VPN, а кто не зарегистрировался — прекращать работу путем блокировки. Если поправки примут, они будут мониторить ресурсы и направлять уведомления о регистрации [VPN] — предполагаю, что так будет, — считает Кабышев.
Он полагает, что государство может обязать владельцев VPN выгружать списки запрещенных сайтов и сделать так, чтобы и через VPN пользователь не смог открыть запрещенные в Казахстане ресурсы. По его данным, начиная с 2020 года министерство информации и общественного развития начало осуществлять практику внесудебного ограничения VPN, proxy и анонимайзеров, ограничив, по официальным данным, 148 интернет-ресурсов и материалов в Сети для казахстанских пользователей.
Собеседники Азаттыка полагают, что обсуждаемые сейчас законопроекты инициированы на самом деле не министерством цифрового развития.
— В ходе коммуникаций у экспертов сложилось впечатление, что представители министерства-разработчика в узких нормах и деталях не владеют ситуацией. Мы предполагаем, что основная часть из них была составлена другими госорганами, скорее всего силовым блоком, не исключаю, что это связано с ГТС КНБ или МВД, — полагает Арсен Аубакиров.
По его словам, эти поправки не прошли ни одной экспертизы, в том числе антикоррупционную. Аубакиров говорит, что правозащитники собираются сделать экспертизу предлагаемых изменений на соответствие международным стандартам.
Законопроект по теме персональных данных находится на обсуждении до 23 апреля, а по вопросам «информбезопасности» — до 27 апреля.
КОММЕНТАРИИ