Цифрлық құпиялылық

Желідегі анонимділік: артықшылықтары, кемшіліктері және трендтері

Елжан Қабышев
Елжан Қабышев
оқуға 7 мин
Желідегі анонимділік: артықшылықтары, кемшіліктері және трендтері

Мазмұны

Қазақстандағы желідегі анонимділік мәселесі аса ерекше. Осылайша, Қазақстанда 2018 жылдан бастап желіде анонимді түсініктемелерге ресми тыйым салынды [1]. «Ақпараттандыру туралы» Заңның 36-бабы [2] мынадай мазмұндағы 5-1-тармақпен толықтырылды:

Жалпыға қолжетімді электрондық ақпараттық ресурстың меншік иесінің немесе иеленушісінің пайдаланушының Интернетте ақпаратты орналастыруы бойынша қызмет көрсетуі «электрондық үкімет» порталында сәйкестендіріліп жазбаша түрде (оның ішінде, электрондық нысанда) жасалатын келісім негізінде немесе келісім жасасу үшін бір реттік парольді қамтитын қысқаша мәтіндік хабарлама жөнелте отырып пайдаланушының жалпыға қолжетімді электрондық ақпараттық ресурста тіркелген ұялы байланысының абоненттік нөмірін пайдалану арқылы жүзеге асырылады.

Пайдаланушы қалай сәйкестендірілетініне қатысты төменде.

Пайдаланушы ақпаратты өзінің атымен немесе лақап атымен (жалған атпен) орналастырады. Дербес деректерді иесіздендіру келісімде айқындалған негізде және тәртіппен жүзеге асырылады. Пайдаланушының ақпаратты интернетте орналастыруы бойынша қызметтер көрсететін электрондық ақпараттық ресурстың меншік иесі немесе иесі келісім жасасу кезінде пайдаланылатын ақпаратты бүкіл қолданылу кезеңінде, сондай-ақ келісім бұзылғаннан кейін үш ай ішінде сақтауға және жедел-іздестіру және қарсы барлау қызметі субъектілерінің жедел-іздестіру және қарсы барлау іс-шараларын жүргізуі үшін ұйымдастырушылық және техникалық жағдайлар жасауға міндетті.

Дербес деректерді иесіздендіру мәселелері «Дербес деректер және оларды қорғау туралы» Қазақстан Республикасы Заңының 17-бабымен реттеледі [3].

Тиісті норма «Қазақстан Республикасының кейбір заңнамалық актілеріне ақпарат және коммуникациялар мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» Қазақстан Республикасының 2017 жылғы 28 желтоқсандағы № 128-VІ ҚРЗ Заңының қабылдануымен қосылды [4].

Жаңашылдыққа байланысты қазақстандық БАҚ негізінен түсініктеме қалдыру мүмкіндігін өшірді немесе әлеуметтік желілердің түсініктеме плагинін енгізуге мәжбүр болды.

IMEI + ЖСН + телефон нөмірі = деанонимизация

2019 жылғы 1 қаңтардан бастап азаматтар үшін анонимді түрде интернетке қол жеткізу іс жүзінде мүмкін емес. Интернетке қол жеткізу қызметі ұялы байланыстың абоненттік құрылғыларын тіркемеген абоненттерге көрсетілмейді. «Байланыс туралы» Заңның 36-2-бабына сәйкес [5] ұялы байланыстың абоненттік құрылғысының иесі оны ұялы байланыс операторында ұялы байланыстың абоненттік құрылғыларын тіркеу ережелеріне сәйкес тіркеуге міндетті, ккерісінше жағдайда Интернетке қолжетімділік көрсетілмейді. Құрылғыны тіркеу үшін абонент байланыс операторына келесі деректерді ұсынады:

  1. Жеке сәйкестендіру нөмірі (ЖСН) немесе бизнес-сәйкестендіру нөмірі (БСН);
  2. Ұялы байланыстың абоненттік құрылғысының сәйкестендіру коды (IMEI, ағылш. International Mobile Equipment Identity - халықаралық мобильді жабдық сәйкестендіргіші);
  3. Ұялы байланыстың абоненттік құрылғысында қолданылатын абоненттік нөмір.

Байланыс операторы жоғарыда көрсетілген деректерді ұялы байланыстың абоненттік құрылғыларының сәйкестендіру кодтарының дерекқорына (СКДҚ) береді. База операторы ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің «Мемлекеттік радиожиілік қызметі» РМК болып табылады. «Мемлекеттік радиожиілік қызметі» РМК өзінің интернет-ресурсында пайдаланушының сұрауы бойынша СКДҚ-дан деректерді алатын келесі сервистерді орналастырды:

  1. IMEI тіркеуді тексеру қызметі;
  2. ЖСН-ға тіркелген ұялы нөмірлерді тексеру сервисі;
  3. тіркеуді, ЖСН және IMEI байламдарын тексеру сервисі;
  4. IMEI-де тіркелген абоненттік нөмірлер санын тексеру сервисі;
  5. Ұрланған құрылғылар базасында тексеру қызметі.

Ұялы байланыстың абоненттік құрылғыларын тіркеу қағидаларының 21-тармағына сәйкес [6], байланыс операторы СКДҚ ресурстарына қол жеткізуді ұсынғаны үшін «Мемлекеттік радиожиілік қызметі» РМК қызметтеріне ақы төлеуді жүзеге асырады. Тиісінше, бұл жаңа енгізілім бизнес субъектілері үшін белгілі бір шығындарға алып келеді, өз кезегінде бұл соңғы пайдаланушылар үшін қызметтердің құнын арттырады.

IMEI нөмірін өзгерту қылмыстық құқық бұзушылық болып табылады. ҚР Қылмыстық Кодексінің 213-бабы [7] «Ұялы байланыстың абоненттік құрылғысының сәйкестендіру кодын, абонентті сәйкестендіру құрылғысын заңсыз өзгерту, сондай-ақ абоненттік құрылғының сәйкестендіру кодын өзгерту үшін бағдарламаларды жасау, пайдалану, тарату». Осы баптың санкциясы мынадай түрдегі жазаны көздейді:

  • 160 айлық есептік көрсеткішке (АЕК) дейінгі мөлшердегі айыппұл;
  • немесе сол мөлшердегі түзеу жұмыстары,
  • немесе 160 сағатқа дейінгі мерзімге қоғамдық жұмыстарға тарту,
  • немесе 40 тәулікке дейін қамауға алу.

Мемлекет абоненттік құрылғыларды тіркеу бойынша жаңашылдықты контрафактілік құрылғыларды әкелуге және өткізуге және ұрлыққа қарсы іс-қимылмен негіздеді [8].

Арнайы баяндамашы A/HRC/29/32 баяндамасында өз тарапынан бүкіл әлем бойынша SIM карта арқылы адамдарды сәйкестендіру жөніндегі мемлекеттік саясаттың үрдісін атап өтеді:

«Үкіметтер көбінесе SIM картаны тіркеуді талап етеді; осылайша, Африканың 50-ге жуық елінде SIM картаны белсендіру кезінде жеке басын куәландыратын деректерді енгізуді талап ететін заңдар қолданылады немесе қабылдануда». Колумбияда 2011 жылдан бастап ұялы телефон нөмірлерін міндетті түрде тіркеу тәртібі енгізілді, ал Перуде 2010 жылдан бастап барлық SIM карталар ұлттық сәйкестендіру нөміріне байланған».

Арнайы баяндамашы нөмірді тіркеу және адамның анонимділігі сәйкес келмейтін нәрселер екенін атап өтеді:

«Мұндай ережелерді енгізу мүмкіндігі басқа елдерде де қарастырылуда. Мұндай ережелер интернетке тек мобильді технологиялардың көмегімен шығатын адамдар жағдайында анонимділікті бұзады. SIM-карталарды міндетті түрде тіркеу үкіметтерге жеке тұлғалар мен журналистерді олардың заңды мүдделері талап еткеннен неғұрлым көп дәрежеде қадағалауға мүмкіндік береді».

Қауіпсіздік сертификаты

«Байланыс туралы» заңда қауіпсіздік сертификатын пайдалану көзделген. 2-баптың 36-1-тармағы «қауіпсіздік сертификаты» ұғымын мынадай редакцияда ашады:

«шифрлауды қолдайтын хаттамалары бар трафикті өткізіп жіберу үшін қолданылатын электрондық цифрлық таңбалар жиынтығы».

Қалааралық және (немесе) халықаралық байланыс операторлары (яғни провайдерлер) ел аумағындағы ақпаратты криптографиялық қорғау құралдарымен шифрланған трафикті қоспағанда, қауіпсіздік сертификатын қолдана отырып, шифрлауды қолдайтын хаттамаларды пайдалана отырып, трафикті өткізуді жүзеге асыруға міндетті («Байланыс туралы» Заңның 26-бабы 3-1-тармағының 4-тармақшасы).

«Қауіпсіздік сертификатын беру және қолдану қағидаларын бекіту туралы» 2018 жылғы 27 наурыздағы № 23/нс бұйрығының 11-бабына сәйкес:

«Байланыс операторлары байланыс қызметтерін көрсетуге шарттар жасалған өз абоненттері арасында қауіпсіздік сертификатын таратуды қамтамасыз етеді».
Қауіпсіздік сертификаты туралы
Бұл Қазақстанда қауіпсіздік сертификатын енгізудің үшінші әрекеті: алғаш рет енгізу, 2016 жылдың 1 қаңтарынан бастап жүзеге асырылуы тиіс еді, 2019 жылы екінші рет бастама азаматтық қоғам мен IT-компаниялардың, соның ішінде Apple, Google, Mozilla-ның теріс реакциясын тудырды.
Цифрлық құқықтар мен бостандықтар ландшафтыЕлжан Қабышев

Мемлекеттің ойы бойынша қауіпсіздік сертификаты соттың заңды күшіне енген шешімімен немесе Қазақстан Республикасының заңдарымен тыйым салынған ақпаратты телекоммуникациялар желісі бойынша таратуды шектеу үшін пайдаланылады.

Егер байланыс операторлары осы Қағидаларды орындамаған жағдайда, онда «Байланыс операторларының қауіпсіздік сертификатын қолдану қағидаларын бұзуы» 9-3 тармақшасымен және «Байланыс операторының заңды күшіне енген сот шешімімен немесе Қазақстан Республикасының заңдарымен тыйым салынған ақпаратқа қол жеткізуін ұсынуы» 9-5 тармақшасымен (бөлім Қазақстан Республикасының 2015 жылғы 24 қарашадағы № 419-V Заңына сәйкес 9-1 – 9-6 тармақшалармен толықтырылды) Әкімшілік құқық бұзушылық туралы кодекстің «Қазақстан Республикасының байланыс саласындағы заңнамасын бұзу» 637-бабының [9] айыппұл салуға әкеп соғатын байланыс операторларының әкімшілік жауапкершілігі көзделген:

  • жеке тұлғаларға 10 АЕК мөлшерінде,
  • лауазымды тұлғаларға, шағын кәсіпкерлік субъектілеріне 20 АЕК мөлшерінде,
  • орта кәсіпкерлік субъектілеріне - 40 АЕК мөлшерінде,
  • ірі кәсіпкерлік субъектілеріне - 100 АЕК мөлшерінде.

Осылайша, байланыс операторлары үшін сертификатты енгізу міндетті сипатқа ие және оны орындамағаны үшін атап айтқанда ҚР ӘҚБтК әкімшілік жауапкершілік көзделген.

Мемлекеттік уәкілетті орган – Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі – заңда абонент үшін міндетті норма көзделмегендіктен және орнатпағаны үшін жауапкершілік болмағандықтан, пайдаланушы өз құрылғысына сертификат орнатпауға құқылы екенін хабарлады. Бірақ бір нюанс бар, ол келесідей.

Қауіпсіздік сертификатын беру және қолдану қағидаларының [10] 3-тармағына сәйкес байланыс операторы ұлттық қауіпсіздік органдарына нысан бойынша (Қағидаларға №1 қосымша) қауіпсіздік сертификатын беру туралы өтініш жолдайды, содан кейін 10 жұмыс күні ішінде сертификат беру жүзеге асырылады.

Бұдан әрі, Қағидалардың 10-тармағына сәйкес байланыс операторлары байланыс қызметтерін көрсетуге шарттар жасалған абоненттерді шарт талаптарының өзгергені туралы еркін нысанда жазбаша хабардар етеді. Байланыс операторлары сертификаттың таралуын қамтамасыз етіп, оны орнату жөніндегі нұсқаулықтарды өздерінің ресми интернет-ресурстарында жариялайды.

Яғни, пайдаланушыға өз құрылғыларына сертификат орнату бойынша еріктілік жөнінде айту едәуір қиын, өйткені бұл мәселе заңдар деңгейінде емес, абонент пен қызмет көрсететін байланыс операторы арасындағы шарттық қатынастар деңгейінде шешіледі. Байланыс операторы нормативтік құқықтық актілермен «шектелген» және жоғарыда айтылғандай бұзушылық болған жағдайда жауапкершілікке тартылады.

Өз кезегінде, пайдаланушы байланыс операторының қызметтерінен бас тарта алады, бірақ бұл жағдайда сертификатсыз интернетке еркін қолжеткізу жөнінде айтудың мағынасы жоқ.

Мемлекет қауіпсіздік сертификатын пайдалануды соттардың заңды күшіне енген шешімдері мен ҚР Заңдары бойынша тыйым салынған материалдарды шектеу мақсатында ақтайды.

Бірақ бұл шектеу әдісі келесі жағдайларға байланысты едәуір даулы:

  1. Хат алмасу құпиясына құқық, жеке өмір құпиясына құқық, ақпаратты іздеу, алу және тарату еркіндігі шектеледі. Жалпы алғанда, пайдаланушының трафигі оқылатын болады.
  2. Онлайн цензура орнатылуда.
  3. Қауіпсіздік сертификатын абоненттің құрылғыларына тікелей орнату талап етіледі.
  4. MITM (man-in-the-middle) пайдаланылады, яғни абонент пен сервер арасында үшінші тарап енгізіледі, бұл туралы 2020 жылғы 7 желтоқсанда «Нұр-сұлтан қаласында кибер оқу-жаттығуларды өткізу туралы» брифингте тікелей айтылды.
0:00
/
Рамиль Бектеміров, «Мемлекеттік техникалық қызмет» АҚ өкілі қауіпсіздік сертификатында man-in-the-middle технологиясын қолдану туралы сұраққа жауап береді

Тесттен өту

Web Archive сілтемелері:

[1] ‘Қазақстанда сайттардағы анонимді түсініктемелерге тыйым салынды', Zakon.kz, 28 желтоқсан 2017 жыл, https://web.archive.org/web/20231119160429/https://www.zakon.kz/redaktsiia-zakonkz/4896289-anonimnye-kommentarii-na-saytah.html

[2] «Ақпараттандыру туралы» Қазақстан Республикасының Заңы, «Әділет» НҚА ЖЗШ, https://web.archive.org/web/20230910193737/https://adilet.zan.kz/kaz/docs/Z1500000418

[3] «Дербес деректер және оларды қорғау туралы» Қазақстан Республикасының Заңы, «Әділет» НҚА ЖЗШ, https://web.archive.org/web/20230910193744/https://adilet.zan.kz/kaz/docs/Z1300000094

[4] «Қазақстан Республикасының кейбір заңнамалық актілеріне ақпарат және коммуникациялар мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» 2017 жылғы 28 желтоқсандағы Қазақстан Республикасының Заңы, https://web.archive.org/web/20231119160721/https://adilet.zan.kz/rus/docs/Z1700000128

[5] «Байланыс туралы» Қазақстан Республикасының 2004 жылғы 5 шілдедегі Заңы, «Әділет» НҚА ЖЗШ, https://web.archive.org/web/20230910193732/https://adilet.zan.kz/kaz/docs/Z1700000128

[6] «Ұялы байланыстың абоненттік құрылғыларын тіркеу қағидаларын бекіту туралы» Қазақстан Республикасы Ақпарат және коммуникациялар министрінің м. а. 2018 жылғы 23 мамырдағы № 226 бұйрығы, «Әділет» НҚА ЖЗШ, https://web.archive.org/web/20200812131118/http://adilet.zan.kz/kaz/docs/V1800017028

[7] Қазақстан Республикасының 2014 жылғы 3 шілдедегі № 226-V Қылмыстық кодексі, «Әділет» НҚА ЖЗШ, https://web.archive.org/web/20231022183510/https://adilet.zan.kz/kaz/docs/K1400000226

[8] «Не үшін ҚР-да IMEI-телефон кодтарын тіркеу керек?», Капитал, 25 қаңтар, 2017 жыл, https://web.archive.org/web/20231119161436/https://kapital.kz/gosudarstvo/57003/zachem-registrirovat-imei-kody-telefonov-v-rk.html

[9] «Әкімшілік құқық бұзушылық туралы» Қазақстан Республикасының 2014 жылғы 5 шілдедегі № 235-V кодексі, «Әділет» НҚА ЖЗШ, https://web.archive.org/web/20231120120950/https://adilet.zan.kz/kaz/docs/K1400000235

[10] Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2018 жылғы 27 наурыздағы № 23/нс бұйрығы «Қазақстан Республикасы Ұлттық қауіпсіздік комитеті Төрағасының 2018 жылғы 27 наурыздағы № 23/нс бұйрығы», «Әділет» НҚА ЖЗШ, https://web.archive.org/web/20220525105314/https://adilet.zan.kz/kaz/docs/V1800016782

Сізге сонымен қатар ұнауы мүмкін

Ислам құқығындағы құпиялылық

Ислам құқығындағы құпиялылық

Ислам құқығының ерекшеліктері және оның қайнар көздері, сондай-ақ исламдағы тұрғын үй мен жеке деректерді қорғау тұжырымдамасы туралы.
Руслан Дайырбеков
оқуға 3 мин 19-02-2024