Қазақстандағы карантиндік геоаналитика. Азаматтардың жеке өміріне араласу дұрыс па, әлде бұрыс па?

Кіріспе: жалпы игілік үшін құпиялылық

COVID-19 пандемиясының жағдайы мемлекеттерден вирустың одан әрі таралуын болдырмауға арналған шұғыл цифрлы шешімдер қабылдауды талап етті. Байланыста болған ауырғандардың жедел қадағалау және үй карантині режимін сақтау үшін электрондық бақылаудың әртүрлі технологиялары әзірленіп, енгізілді. Адам құқықтары тұрғысынан рұқсат етілген шектеу, бұл мемлекеттің халық денсаулығына деген қамқорлығының арқасында ақталды.

Қазақстан азаматтары мемлекеттік органдардың технологиялық мүмкіндіктерін толықтай сезіне алды. Мемлекет өзін-өзі оқшаулау режимін бұзушыларды Smart Astana мобильді қосымшасы, «Сергек» қалалық бейнебақылау камералары жүйесі, дрондар мен өзге де цифрлы құралдардың көмегімен қадағалады.

Осы зерттеуде Алматы қаласын цифрландыру басқармасы байланыс операторларымен ынтымақтастықта іске асырған «Мобильді байланыс операторларының деректері негізінде Алматы қаласы бойынша карантин режимін талдау жүйесі» жобасы туралы сөз болады. Бұл жобада «үлкен деректер» (Big Data) технологияларын қолдануды ерекше атап өткен жөн. Жоба шеңберінде пандемия кезеңінде Алматы қаласында адамдардың жүріп-тұруын, жиналатын орындары мен уақытын мониторингтеу бойынша талдамалық жүйе құрылды. Геолокациялық картаны қалыптастыру үшін Carto деректерін визуализациялау құралы қолданылды, ал азаматтардың қозғалысы мен қоңырау белсенділігі жөніндегі деректермен өзара байланысты талдау порталына Microsoft ендірілген PowerBI құралының базасында іске асырылды.

Азаматтардың қозғалысы туралы деректерді, соның ішінде мобильді қосымшалардың GPS деректерін және олардың қоңырау белсенділігін талдау вирустың таралуын талдау және болжау үшін мүмкіндіктер туғызды, бұл қарапайым азаматтар сөзсіз пайда көреді деп болжанды. Алайда жеке азаматтың жеке өміріне араласу деңгейі жоғары болды. Сонымен қатар, адам туралы жеке мәліметтер неғұрлым көп жинақталса және өңделсе, автоматтандырылған өңдеу нәтижелерінің мұндай адамның өміріне ықтимал әсер ету дәрежесі соғұрлым жоғарылайды және сәйкесінше оның құқықтарын бұзу қаупі артады.

Бұрын-соңды Қазақстанда пандемия кезіндегідей азаматтардың өмірі туралы деректердің үлкен көлемі негізінде процестерді басқарудың осындай елеулі мүмкіндіктері болған емес. Бір жағынан, бұл вируспен күресу үшін мүмкіндіктер туғызса, ал екінші жағынан, адамның еркін жүру құқығы және жеке өмірге қол сұғылмау құқығы, әсіресе жеке деректерді қорғау сияқты құқықтарының бұзылу қаупін тудырды.

«Мобильді абоненттер картасы» жоба туралы

Алматыдағы ұялы байланыс операторларының деректері негізінде әлеуметтік оқшаулау индексінің бұзылуын талдау

Пандемияға байланысты ахуалды талдау, жоспарлау және жедел шешімдер қабылдау үшін Алматы қаласы әкімдігінің цифрландыру басқармасы пандемия кезеңінде қаланы талдау жүйесінің жобасын іске қосты. Өз кезегінде, ұялы байланыс операторлары және олардың абоненттері тұратын жерлерден тыс жерлерде жиналатын орындар негізінде азаматтардың қозғалысын талдау әдістемесін ұсынды. Қарастырылып отырған геолокациялық талдау ұялы байланыс операторларының абоненттерінің белсенділігін болжайды және сағат сайын абоненттердің жиналатын орындарын анықтайды. Үш ұялы оператордың деректерін қалыптастыру кезінде 500x500 метр квадраттар әдісімен біріктіру әдісі қолданылды. Қоңырау белсенділігін талдау үшін осындай әдіспен 102, 103, 1308, 1406 шұғыл қызметтеріне ұялы және тіркелген телефондардан барлық шақырулар тіркеледі. Мобильдік деректер (геолокациялық деректер, мобильдік нөмірлерден шұғыл қызметтерге қоңыраулар), сыртқы деректер (азаматтардың Google-ден қозғалу динамикасы) және Алматы әкімдігі деректері (ашық деректер/жұқтыру бойынша ресми статистика) негізінде барлық деректерді талдамалық порталдың covid-analytics.kz бірыңғай дэшбордына шоғырландыратын корреляциялық оқиғалық есептілік қалыптастырылды.

Айта кететін жайт, алғашқы төрт ай ішінде ұялы байланыс операторлары абоненттердің геолокациялық деректерін ақысыз негізде ұсынды. 2020 жылғы шілдеде Алматының цифрландыру басқармасы байланыс операторларымен деректер мен ілеспе қызметтерді сатып алу бойынша шарттық қатынастарды ресімдеді. 2020 жылғы 9 желтоқсанда қалалық мәслихаттың экономика және бюджет жөніндегі тұрақты комиссиясының отырысында «Мобильді абоненттер картасы» жобасын іске асыруға 283,3 млн.теңге мөлшеріндегі сома көзделген Басқарманың 2021 жылға арналған бюджеті ұсынылды.

Акимат Алматы рассекретил стоимость проекта по отслеживанию передвижений людей по городу
Ранее в акимате отказывались предоставить СМИ эту информацию, ссылаясь на соглашение о неразглашении.

«Мобильді абоненттер картасы» COVID-19 пандемиясы кезінде ұялы байланыс операторларын пайдаланушыларға геолокациялық талдау жасау қажеттілігіне байланысты пайда болды. Big Data озық технологияларын пайдаланатын бұл жоғары технологиялық жобаны Data-аналитика саласындағы мемлекеттік-жекешелік әріптестіктің жарқын мысалы ретінде лайықты түрде қарастырған жөн. Бірақ сонымен бірге геоаналитиканы ұялы байланыс операторларының абоненттері түрінде ұсыну сөзсіз жеке өмірге конституциялық құқықты бұзу қаупін тудырды, өйткені бұл іс жүзінде абоненттерді бақылау болды.

Заң не дейді?

Технологиялық инновацияларды енгізу мен осы технологияларды реттейтін заңдарды қабылдау арасындағы алшақтық, бәлкім, бірыңғай цифрлы бизнес-ортаны қалыптастырудағы құқықтық белгісіздіктің басты себептерінің бірі болып табылады.

Жобаға қатысушылардың деректерді өңдеуінің заңдылығын негіздей отырып, мемлекеттік органдар жобаға қатысушылар арасында деректерді беру оларды қалпына келтіру мүмкіндігінсіз тек біріктірілген (иесіздендірілген) түрде жүзеге асырылатынын түсіндірді.

Деректерді біріктіру дегеніміз-жеке абоненттер туралы мәліметтерді жиынтық деректерге біріктіру. Оператор белгілі бір уақытта әрбір нақты абонент және оның геолокациясы туралы деректерді берудің орнына, белгілі бір сағат ішінде абоненттерінің саны 500х500 м белгілі бір учаскеде қаншауы болғанын хабарлайды. Содан кейін бұл деректер барлық операторлар үшін жинақталады және соңында әр нақты абонент туралы деректерді қалпына келтіре алмайтын біріктірілген есеп шығарады.

Жеке деректер туралы заңнаманың оның қазіргі түріндегі тиімділігін Big Data технологияларына қатысты талдай отырып, Қазақстанда 2020 жылғы 7 шілдеде цифрлы технологияларды реттеу мәселелері бойынша өзгерістер мен толықтырулар (бұдан әрі «Түзетулер») күшіне енгенін атап өткен жөн. Осылайша, «Дербес деректер және оларды қорғау туралы» Қазақстан Республикасының Заңына мазмұны мен көлемі оларды өңдеу мақсаттарына қатысты артық болып табылатын дербес деректер өңдеуге жатпайтыны туралы талап енгізілген. Осылайша, ұлттық заңнамада алғаш рет «деректерді азайту» халықаралық қағидаты бекітілді.

Дербес деректерді иесіздендіру (анонимизациялау) жоғарыда көрсетілген қағидатты іске асыруға бағытталған шаралардың бірі болып табылады. Кең таралған көзқарас, оған сәйкес анонимизация деректерді жеке режимнен шығарады және осыған байланысты жеке деректерді өңдеуге байланысты ауыр заңнамалық талаптарды сақтау қажеттілігіне ыңғайлы балама болып табылады.

Жоғарыда аталған түзетулермен ұлттық заңнамада бекітілген «Алдын-ала белгіленген мақсатта өңдеуді шектеу» халықаралық қағидасы жеке мақтауға лайық. Бір жағынан, қарастырылып отырған жобадағы деректерді өңдеу бұл қағиданы бұзады, өйткені операторлар абоненттердің келісімін тек байланыс қызметтерін ұсыну бойынша шарттық қатынастар аясында алады, сондықтан жоба аясында кейінгі өңдеу үшін барлық абоненттерден келісім алу қажет болады. Екінші жағынан, заң «қайталама» өңдеуге келісім талап етілмейтін жағдайларды, атап айтқанда, мемлекеттік органдар дербес деректерді оларды иесіздендірудің міндетті шартымен статистикалық мақсаттар үшін пайдаланған жағдайларда қарастырды. Сонымен бірге, бұл ерекшелік күмән тудыруы мүмкін, өйткені жоба аясында деректерді өңдеу нақты уақыт режимінде «ағынды» аналитиканы қолданып, тек cтатистика жинаумен шектелмеді. Осылайша, осы жобадағы азаматтардың қозғалысы туралы мәліметтерді өңдеудің жалғыз заңды мақсаты COVID-19 пандемиясымен күресуге деген қоғамдық қызығушылық болды.

Осыған ұқсас тәжірибе қазірдің өзінде отандық деректер нарығында жұмыс істеуде, оның аясында ұялы компаниялар бизнес үшін маркетингтік қызметтер көрсету бойынша біріктірілген (иесіздендірілген) деректерді монетизациялау қызметін жүзеге асырады.

BigData от мобильных операторов - беспрецедентные возможности для себя и партнеров
Все большую популярность набирает словосочетание «большие данные». Его часто используют по поводу и без повода, говоря о потенциальных возможностях маркетинга в любой отрасли, где игроки рынка собирают и накапливают информацию о клиентских базах.

Қазіргі уақытта Қазақстанда дербес деректерді иесіздендіру ақпараттық қауіпсіздікті қамтамасыз етумен қатар, азаматтарға олардың дербес деректері жария етілген жағдайда зиян келтіру тәуекелдерін барынша азайтуға бағытталған ұйымдастырушылық және техникалық шаралардың бірі болып табылады.

Сұрақ: абоненттердің жеке деректерін иесіздендіру Big Data дәуірінде олардың анонимділік кепілі болып табыла ма?

Бүгінгі таңда бірнеше мәліметтер арасында корреляция құру арқылы жеке тұлғаны анықтау мүмкін болған кезде, бұл әдістің тиімділігі күмән тудырады. Жеке деректер мәселелері жөніндегі Еуропалық жұмыс тобы егер анонимді деректер қайтымды болса, яғни бастапқы күйіне қайтарылуы мүмкін болса, онда олар тұлғаны жанама түрде анықтай алатын ақпарат санатына кіретіндіктен, жеке деректер болып табылады деген қорытындыға келді. Деректерді анонимизациялау әдісі қандай екені — маңызды емес. Кез-келген идентификатор немесе тұлғаның бірегей сапасы туралы кез-келген ақпарат (мысалы, сүйікті мейрамханаларға бару туралы ақпарат) әр түрлі мәліметтер базасында осы адамды «тануға» негіз бола алады. Деанонимизация (иесіздендірілмеген) тәуекелдері әлеуметтік желілердің және адамдар өздері туралы көптеген ақпарат қалдыратын басқа да веб-сайттардың пайда болуына байланысты айтарлықтай өсті (онлайн сәйкестендіргіштерге e-mail, IP және MAC мекенжайларын және т.б. жатқызуға болады). Сонымен қатар, әртүрлі есептеу қуаттарымен қамтамасыз етілген осындай деректерді сәйкестендірудің технологиялық мүмкіндіктері де алаңдаушылық тудырады.

Осылайша, азаматтардың құпиялылығын қорғау үшін қосымша техникалық және құқықтық талаптарсыз деректерді иесіздендіру бұдан былай жеке деректерді қорғаудың тиімді құралы бола алмайды және тұтастай алғанда жеке өмірге қол сұғылмаушылықтың кепілі бола алмайды деген қорытынды жасауға болады.

Қорытынды: ары қарай не болмақ?

Деректерге этикалық қол жеткізу шекараларын айқындау қоғамдық және жеке секторлардың құқықтары мен заңды мүдделеріне әсер ететін күрделі мәселе болып табылады. Қазақстан Республикасының дербес деректерді қорғау туралы заңнамасын қайта қарау және оған Big Data сияқты жетілдірілген технологияларды қолданудың қазіргі заманғы түрлерін көрсететін түзетулер енгізу қажет.

Цифрлы экономиканың дамуы, оның барлық жақсы мақсаттары үшін, адам құқықтары мен бостандықтарының бұзылуының салдары болмауы керек. Қазіргі уақытта жүргізіліп жатқан және ұсынылып отырған кез келген бизнес практика саясат пен технологиялар жеке өмірге қол сұғылмаушылық үшін тәуекелдерді нивелирлеуді қалай қамтамасыз ететіні туралы ақпаратты қарау және ұсыну үшін мүмкіндік болуы үшін оның жеке өмірге қол сұғылмаушылығы үшін салдарларына бағалау жүргізуді көздеуі тиіс. Жеке деректерді қорғау туралы Еуропалық құқыққа ұқсас, отандық заң шығарушылар GDPR (General Data Protection Regulation) жеке деректерді қорғау жөніндегі бас Регламенттің Data Protection Impact Assessment (DPIA) тәуекелдерін бағалаудың құқықтық тетігін енгізу мүмкіндігін қарастыруы керек. Айта кету керек, DPIA тәуекелдерін бағалау процедурасы әрдайым қолданылмайды, тек деректерді өңдеу азаматтардың құқықтары мен заңды мүдделерін бұзудың жоғары қаупімен байланысты болған жағдайда ғана қолданылады.

Бұдан басқа, «Дербес деректер және оларды қорғау туралы» заңға жоғарыда көрсетілген оң түзетулерге қарамастан, Big Data технологияларын адал әрі тиімді пайдалану үшін қоғамның жеке өміріне қол сұғылмаушылық және дербес деректердің құпиялылығы құқығының сақталуына тәуелсіз бақылаудың қазіргі заманғы және тиімді құқықтық құралдары болуға тиіс.

Деректер нарығындағы ойын ережелері барлық қатысушылар үшін түсінікті және ашық болуы керек. Деректердің таралып кетуі, иесіздендірілген деректердің деанонимизациясы немесе саяси мақсаттарда теріс пайдалану фактілері жағдайында компаниялар мен мемлекеттік органдар беделдік залал, қадағалау органдарынан айыппұлдар және қарапайым азаматтар тарапынан мүліктік шағымдар түрінде ірі шығындарға ұшырауы мүмкін деген түсінік бекітілуі тиіс.

Соңғы уақытқа дейін Қазақстанда дербес деректерді қорғау жөніндегі уәкілетті орган болмаған және дербес деректерді жинау, өңдеу және қорғау мәселелері операторлардың өздерінің қарауына қалдырылған болатын. Дербес деректер туралы заңнамаға жоғарыда көрсетілген түзетулер осы жылы пайда болған дербес деректерді қорғау саласындағы уәкілетті органды (Қазақстан Республикасы цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті) құруды бекітті.

Дербес деректерді қорғау саласындағы уәкілетті орган өз құзыреті шеңберінде меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібін әзірлейді.

Жалғасып жатқан пандемия жағдайында құрылған уәкілетті органға жүгінсек, оған «мобильдік абоненттер картасы» жобасының азаматтардың қозғалысы бойынша агрегатталған ақпараттың бүкіл массивін жою жөніндегі ұлттық заңнама талаптарының орындалуын қадағалауды ұсыну қажет; ал мемлекеттің тұтастай жеке өмірге қол сұғылмаушылық құқығы жөніндегі міндеттемелері шеңберінде дербес деректердің сақталуына мемлекеттік бақылауды жолға қою жоспарында — GDPR «алтын» стандарты негізінде Еуропалық реттеушілердің прогрессивті құқықтық шешімдерін пайдалана отырып, бизнес және мемлекеттік органдар үшін иесіздендірілген деректермен жұмыс істеу жөнінде ұсынымдар әзірлеу.


Photo from Adobe Stock

Руслан Дайырбеков

Eurasian Digital Foundation негізін қалаушы, Digital Rights Center Kazakhstan директоры, Data Privacy Professional (GDPR DPP) цифрлы құқықтар жөніндегі Сарапшылар тобының мүшесі