Центральная Азия долгое время оставалась на периферии широкого и глубокого распространения IT-технологий, как это, например, происходило в регионах с наиболее развитой экономикой и коммуникационной инфраструктурой. Данный фактор не способствует раскрытию всех возможностей, которые позволяют делать информационно-коммуникационные системы, однако и в центральноазиатском регионе цифровые технологии быстрыми темпами начали играть важную роль в функционировании государства и жизнедеятельности общества. - рассказывает Cabar.asia

Основными тенденциями развития киберпространства в Центральной Азии на протяжении последних десяти лет являются:

• обеспечение доступа населения к информационным ресурсам (интернет, цифровое телерадиовещание, мобильная связь, современные технологии и пр.);
• повышение компьютерной грамотности населения и включенности граждан в информационную сферу (e–Learning, e–Banking, электронные деньги, электронная коммерция, mPOS-терминалы Pay-me, интернет-магазины и пр.);
• трансформация многих сфер жизнедеятельности государства на основе резкого и повсеместного проникновения информационно-коммуникационных технологий (внедрение e-Government, ЦОУ – Центры оперативного управления, единых контрольных систем, виртуальных приемных и пр.);
• интеграция в мировое информационное пространство и создание цифровых обществ.

Наряду с амбициозными национальными стратегиями по цифровизации, диджитализации и инновационному развитию страны Центральной Азии активно развивают сервисы по биометрике, искусственному интеллекту, системы видеонаблюдения и распознаванию лиц. Так, внедрение системы распознавания лиц и «умные города» в Кыргызстане, Таджикистане и Узбекистане, планы МВД по установке камер видеонаблюдения во всех дворах многоэтажек до 2022 года и массовая дактилоскопическая и геномная регистрация с 2021 года в Казахстане только усиливают важность и необходимость выстраивания культуры защиты персональных данных в регионе. Более того, цифровые права, киберграмотность и кибергигиена должны стать неотъемлемой частью кампании по продвижению культуры защиты персональных данных в Центральной Азии наряду с обеспечением кибербезопасности.

Защита персональных данных: приватность, covid-19, GDPR

Защита персональных данных в разных частях планеты обретает новые оттенки, поскольку в большей степени связана с управлением и контролем над интернетом, и, как следствие, масштабным ростом авторитаризма.

По сути, интернет превратился в современную публичную сферу, а социальные сети и поисковые системы обладают огромной силой и весомой ответственностью за обеспечение того, чтобы их платформы служили общественному благу. Неограниченный сбор личных данных ограничивает право человека на одиночество, без которого мир, процветание и свобода личности – плоды демократического мира – невозможно сохранить или использовать.

Пока некоторые страны добиваются реального прогресса в сфере свободы интернета, как например страны Европейского Союза (ЕС), другие же, наоборот, ужесточают и ограничивают свободу интернета. Достаточно вспомнить, когда граждане Малайзии проголосовали за премьер-министра, который пообещал отменить недавно принятый закон, криминализирующий фейковые новости (Anti-Fake News Act 2018), который активно использовался его предшественником. И сегодня в условиях информационного бума вокруг Covid-19 этот вопрос обретает особую актуальность.

С одной стороны, речь идет о соблюдении права на частную жизнь, в том числе в киберсреде, что сегодня в условиях выявления и мгновенного распространения медицинской информации о заразившихся политиках, звездах спорта, кинематографа и поп-культуры является неизбежным. С другой, налицо усиливающийся тренд на использование новых технологий (дроны, программы по распознаванию лиц, видеонаблюдение и пр.) и старых олдскульных решений в условиях войны для наблюдения за соблюдением режима чрезвычайно ситуации и карантина во многих странах мира.

Так, например, с одной стороны мы видим, как в некоторых странах масс медиа открыто публикуют информацию о заразившихся политических деятелях и их супругах (Канада, США, Великобритания и пр.), а с другой – ограничение доступа к подобной информации (как, например непредоставление информации о том, есть ли среди заразившихся коронавирусом министры по причине врачебной тайны в Казахстане, игнорирование проблемы и пускание пыли в глаза о немыслимых мерах, принимаемых в ВВС России).

Действительно, восприятие проблемы COVID-19 через призму войны позволяет государствам принимать более жесткие меры, которые зачастую существенно ограничивают права и свободы человека, в том числе в онлайн среде. Вместе с тем эксперты Управления Верховного комиссара ООН по правам человека уже заявили, что государства не должны злоупотреблять чрезвычайным положением для подавления прав человека, а режим ЧС не может применяться в качестве прикрытия для репрессивных действий.  

Таблица 1. ТОР 11 государств, практикующих цифровую слежку и систематически нарушающих конфиденциальность на постоянной основе.

В ответ на опасения по поводу повсеместного сбора и присущей безопасности личных данных, многие страны принимают законодательство, которое предоставляет отдельным лицам право контролировать, как их данные собираются, обрабатываются и передаются государственными и частными организациями.

Согласно отчету Freedom Hous, по крайней мере 15 стран рассмотрели законы о защите данных с июня 2017 года, и в 35 странах уже есть закон о защите данных. Законы о защите данных, которые были предложены или приняты в Аргентине, Бразилии и Индонезии, очень напоминают европейский GDPR (Общий регламент по защите данных, Регламент ЕС 2016/679), вступивший в силу в мае 2018 года. Он устанавливает семь ключевых принципов:

• Законность, справедливость и прозрачность обработки данных,
• Ограничение цели сбора и использования данных,
• Минимизация данных (сбор только необходимых данных),
• Точность (неточные данные должны быть удалены или исправлены),
• Ограничение хранения (срок хранения данных),
• Честность и конфиденциальность (защита от несанкционированной или незаконной обработки, уничтожения или повреждения данных),
• Подотчетность (обязанность соблюдать GDPR и способность продемонстрировать соответствие регламенту).

Эти принципы должны лежать в основе любого подхода к обработке персональных данных в Европе. Они обладают экстерриториальным принципом: все организации, собирающие, обрабатывающие и хранящие персональные данные физических лиц, которые сотрудничают с Евросоюзом, также должны соответствовать требованиям GDPR.

Рейтинг государств по интернет приватности. 

Согласно результатам исследования, проведенного британской компанией Comparitech в конце 2019 года, все без исключения страны мира очень далеки от обозначенных задач по соблюдению приватности на постоянной основе, и как следствие защиты персональных данных. По разработанным критериям от 1 до 5 из 47 страны, участвовавших в проекте, только пять государств получили оценку выше 3 баллов. Одни страны более ответственны и прозрачны, другие – принимают постоянные систематические меры безопасности, в т.ч. цифровой слежки за собственными гражданами.

Если говорить о так называемой цифровой слежке, то речь в первую очередь идет о видеонаблюдении и количестве установленных камер. Так, к примеру, в США на каждые 100 человек приходится 15,28 камер видеонаблюдения, за ними следуют Китай с 14,36 и Великобритания с 7,5 видеокамерами. В первую десятку стран также входят Германия с 6,27 камерами на 100 человек, Нидерланды 5,8, Австралия 4, Япония 2,72, Франция 2,46 и Южная Корея 1,99.

В масштабе города 8 из 10 городов с наибольшим количеством камер видеонаблюдения расположены в Китае, включая Ухань (более 500 тысыч видеокамер), который считается эпицентром Covid-19 (Лондон занимает 6-е место с 6,84 видеокамерами и Атланта (США) – 10-е место 1,55 камер на 100 человек).

Как обстоят дела в Казахстане и Центральной Азии?

По данным «Лаборатории Касперского», многие пользователи и предприятия в Казахстане (как и в других странах Центральной Азии) продолжают использовать пиратское программное обеспечение, такое как незащищенные копии старых операционных систем Windows, для своей онлайн-деятельности, подвергая риску все действия в интернете из-за отсутствия опыта и образования в области информационных технологий и кибербезопасности в открытом доступе. Отсутствие опыта означает, что Казахстан и Центральная Азия в целом чрезвычайно привлекательна для киберпреступников, которые эксплуатируют эти слабости и зарабатывают на них. В Казахстане только 3% онлайн-преступлений преследуются по закону.

В первую очередь с точки зрения защиты персональных данных возникают вопросы о том, кто имеет доступ и контролирует безопасность сбора, обработки и хранения личной информации, полученной с помощью, к примеру, камер «Сергек». Это интеллектуальная система видеоконтроля, записи и распознавания изображений, интеллектуальную систему обработки и анализа информации анализа и прогнозирования, фиксирующая правонарушения на улицах и дорогах.

Этот вопрос обретает особую актуальность в связи с тем, что два технических партнера, поставляющих продукцию на казахстанский рынок, являются китайская фирма Dahua Technology (партнер «Коркем Телеком» по Сергеку) и Hikvision (работает в РК с 2015 г.), в отношении которых американское правительство наряду с другими 26 китайскими компаниями ввели санкции и занесли в черный список за действия, противоречащие внешнеполитическим интересам США (в случае с этими двумя – за содействие нарушению прав человека в отношении мусульманских меньшинств КНР). Вместе с тем важно вспомнить, что именно президент Казахстана К. Токаев предложил перенять опыт Китая по цифровизации персональных данных каждого гражданина, упомянув компанию Hikvision.

Этот компонент усугубляется и тем, насколько государственные органы будут соблюдать права граждан на защиту персональных данных, и здесь, прежде всего, речь идет о функциях и возможностях силовых структур РК, в частности Министерства внутренних дел (МВД) и Комитета национальной безопасности (КНБ). Что касается полиции, то представитель Сергек заявил, что доступ к видеоархивам предоставлен полиции Нур-Султана, Усть-Каменогорска и Атырау, прорабатывается этот вопрос в Алматы. Если говорить о роли КНБ, то достаточно вспомнить сертификат безопасности, который был разработан Государственной технической службой КНБ РК и внедрен пилотным проектов летом 2019 в Астане.

В условиях внедрения Национальной системы видеомониторинга (НСВМ) возникает главный вопрос, каким образом будет достигаться баланс между правом на частную жизнь и вмешательством в нее для обеспечения национальной безопасности.

В целом система стейкхолдеров (участников), так или иначе участвующих в процессах, связанных с защитой персональных данных в Казахстане, является очень большой. Несмотря на наличие профильных ведомств, курирующих надзорных органов и других задействованных участников информационного процесса, сбором, обработкой, хранением, уничтожением личных данных занимаются все государственные органы. Важно понимать, что, по сути, следует отразить все существующие государственные органы и их комитеты, департаменты и отделы, поскольку у каждого института власти есть база данных, с которой они работают.

Это означает, что культура защиты персональных данных должна превратиться в то самое связующее звено, которое позволит гармонично взаимодействовать государственным органам друг с другом и с обществом, повысить уровень доверия и коммуникаций, что является неотъемлемой частью цифрового общества, создание которого предусмотрено Законом РК о персональных данных и их защите.

Принимая во внимание крупнейшие утечки личных казахстанцев в 2019 г. из баз данных ЦИК и Генпрокуратуры, возникает вопрос, каким образом государство может гарантировать защиту личной информации. Согласно данным Центра анализа и расследования кибератак (ЦАРКА), утечка происходила из базы данных Генеральной прокуратуры РК, т.е. уполномоченного органа в сфере защиты персональных данных, а МВД РК приостановило дело об утечке данных за отсутствием состава преступления, потому что «указанные сведения с данными граждан РК в сети интернет не обнаружены».

Напомним, что в конце 2019 г. стало известно о том, что известная китайская фирма поставщик кибербезопасности Qihoo 360 заявила, что обнаружила данные, полученные от зараженных компьютеров казахстанцев из 13 городов страны. Исследователи говорят, что «продвинутая хакерская группа использует специально разработанные хакерские инструменты, дорогие комплекты для слежки, мобильные вредоносные программы и оборудование для перехвата радиосвязи, чтобы шпионить за казахстанскими целями». Собранные данные касались в основном офисных документов, взятых со взломанных компьютеров. Вся украденная информация была размещена в папках каждого города, каждая папка города содержала данные на каждом зараженном хосте.

Согласно результатам исследования «Защита персональных данных в Казахстане: статус, риски и возможности», люди, скрывающие свои личные данные, остерегаются не интернет компаний, а скорее слежки со стороны государственных служб, и считают, что беспокоиться стоит только в тех случаях, когда речь идет о данных, утечка которых может напрямую привести к потере денег или имущества. 

Восприятие сложившейся системы сбора, хранения и использования персональных данных, предоставленных онлайн, иногда бывает связано с верой в идеи теории заговора. Считается, что социальные сети были изобретены для того, чтобы легальным путем собирать информацию о гражданах иностранных государств. Кроме того, казахстанцы верят, что спецслужбы имеют доступ к персональным данным, которые они предоставляют онлайн, могут просматривать контент электронных писем и сообщений в мессенджерах.

Цифровизация и культура защиты персональных данных

Если говорить о трендах, то важно обратить внимание на следующие моменты:

• Правительство Китая (впрочем, как и России, но в меньшей степени) не только не защищает частную жизнь граждан, но и активно вторгается в нее,
• Сбор и хранение биометрических данных – отпечатков пальцев и лиц – набирает обороты во всем мире (в Кыргызстане и Казахстане эти вопросы становятся еще более актуальными),
• Страны ЕС, как правило, делятся большим количеством данных своих граждан с другими государствами-членами,
• На иммигрантов часто больше всего влияет государственное наблюдение, особенно когда они въезжают или покидают страну,
• Только пять стран имеют адекватные гарантии конфиденциальности в соответствии с критериями оценки на постоянной основе, и все они находятся в Европе. GDPR играет большую роль в этом, но не учитывает все вопросы,
• Ни одна страна не получила идеальный балл или даже почти идеальный балл в рейтинге стран по приватности на постоянной основе (см. таблица 2 выше),
• Правоприменение широко варьируется даже среди стран с хорошими законами о приватности.

Очевидно, что создать культуру защиты персональных данных невозможно за один день, месяц или даже год. Европейскому союзу потребовалось несколько лет, чтобы значительно повысить уровень осведомленности среди своих граждан, а также объяснить, почему это важно, и что для этого необходимо делать. Более того, масштабное поощрение и продвижение этой правовой культуры позволило повысить уровень доверия и коммуникаций между государственными органами и бизнес организациями и гражданами.

Важно говорить о GDPR и необходимости ему соответствовать по следующим причинам:

• Во-первых, этот регламент направлен на фундаментальное изменение способа обработки персональных данных во всех секторах Европы.
• Во-вторых, это положение повысило осведомленность специалистов и отдельных лиц о проблемах защиты данных.
• В-третьих, регламент предоставил новые широкие полномочия людям в том, как они могут контролировать свои данные.
• В-четвертых, речь идет об осведомленности и обучении граждан о правах на защиту персональных данных.
• В-пятых, все организации, собирающие, обрабатывающие и хранящие персональные данные физических лиц, которые сотрудничают с Евросоюзом, должны соответствовать требованиям GDPR.

Во всем мире правительства и корпорации все больше жаждут получения больших объемов личной информации, чтобы использовать ее либо для политических репрессий, либо разработки алгоритмов искусственного интеллекта. К сожалению, у обычных граждан на вооружении не так много вариантов противостоять такому положению дел. Было бы логично, если правительства и компании будут стремиться повысить прозрачность в отношении использования личных данных, обеспечивать переносимость данных между платформами и позволять людям просматривать и удалять все данные, собранные о них – ниши, которые некоторые из крупнейших компаний уже заняли.

Одним из способов реакции на такое положение дел могло бы стать включение гарантии прав человека в национальные стратегии по искусственному интеллекту. Поскольку директивные органы рассматривают, как он может продвигать национальные приоритеты и улучшать жизнь и безопасность граждан, им следует обеспечить, чтобы все предлагаемые планы исследований и разработок включали тщательную оценку любых возможных последствий для прав человека, включая права на неприкосновенность частной жизни и свободу выражения. При этом оценки прав человека для рассматриваемых технологий должны быть доступны для широкой общественности.

Заключение

Сегодня даже самые развитые и демократические страны перед лицом новых угроз национальной безопасности в меньшей степени способны адекватно балансировать между соблюдением цифровых прав и свобод с одной стороны, и обеспечением национальной безопасности с другой.

Очевидно, что дьявол кроется в деталях, и проблема заключается не столько в техническом, сколько в человеческом факторе, и, как следствие, тесно связана с построением правовой культуры вокруг ценности персональных данных. В современных реалиях как бы не стремились государственные ведомства априори обеспечить собственную безопасность, чтобы быть менее уязвимыми перед лицом новых угроз, очень часто они забывают о своих гражданах, которых также необходимо обучать и повышать их осведомленность по этим вопросам.

Разрабатывая свой собственный подход к защите персональных данных, государства Центральной Азии объединяют элементы российской и китайской концепций «суверенного интернета», «великого файрволла» и «цензуры». При этом они активно взаимодействуют и расширяют сотрудничество с Евросоюзом, что обусловило принятие законодательства по этим вопросам. Повышение осведомленности среди специалистов и частных лиц о требованиях GDPR, с одной стороны, и информирование граждан о цифровых правах и защите персональных данных, с другой, должны стать одним из приоритетных направлений по цифровизации стран Центральной Азии.

В этой связи укрепление сотрудничества с европейскими партнерами в рамках Новой стратегии ЕС для Центральной Азии имеет первостепенное значение для создания прозрачных, подотчетных и здоровых экосистем с сильным правовым компонентом.

 

 

 

Следите за нашими новостями на Facebook, Twitter и Telegram