Содержание
Об управлении данными
14 июля 2022 года был принят Закон Республики Казахстан от № 141-VII ЗРК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам стимулирования инноваций, развития цифровизации, информационной безопасности и образования». Среди прочего, вышеуказанный закон направлен на регулирование правовых отношений в области упрощения доступа государственных органов к данным государственных информационных ресурсов, а также введение уполномоченного органа в сфере управления данными.
Министр цифрового развития, инноваций и аэрокосмической промышленности РК Багдат Мусин в своем выступлении на конференции, проведенной Первым кредитным бюро (ПКБ), отметил, что тема данных важна для Казахстана, особенно в эпоху развития цифровой экономики.
«Как уполномоченный орган, как министерство цифрового развития, в приоритет мы сегодня поставили на карту вопрос управления данными, защиты персональных данных и т. д. Мы понимаем важность управления данными регулирования в этой области. Наша задача сделать процесс управления данными понятным, прозрачным и эффективным», – сказал министр.
Кроме того, процесс управления данными закреплен в «Концепции развития отрасли информационно-коммуникационных технологий и цифровой сферы», утвержденной постановлением правительства Республики Казахстан от 30 декабря 2021 года № 961, в которой, среди прочего, отмечается: «На данный момент государственными органами накоплены огромные массивы данных. При этом в важных для экономики страны отраслях непрерывный учет актуальной информации еще не налажен. Из-за отсутствия развитой централизованной системы управления данными возникают риски разрозненности или отсутствия необходимой информации для качественного принятия оперативных и стратегических решений ГО. Нет четко определенной политики в отношении того, как государственные органы должны управлять своими данными на протяжении всего их жизненного цикла, то есть от того, как они были собраны, сохранены, обработаны, обновлены и защищены. В государственных органах также отсутствуют четко определенные владельцы данных и их обязанности по обеспечению качества и защиты данных».
Законодательное закрепление границ эффективного и легитимного управления данными — сложная проблема, затрагивающая права и законные интересы публичного и частного секторов. Следует отметить, что развитие законодательства Республики Казахстан об управлении и регулировании данных является важным этапом в процессе цифровой трансформации страны.
Однако развитие цифровой экономики и цифровизация государственного аппарата, даже при всех благих целях, не должны повлечь за собой отказ от защиты прав и свобод человека. Любые проводимые в настоящее время и предлагаемые бизнес- и государственные практики должны предусматривать проведение оценок их последствий для неприкосновенности частной жизни с тем, чтобы была возможность рассмотрения и представления информации о том, каким образом политика и технологии обеспечивают смягчение рисков в вопросе неприкосновенности частной жизни.
Что говорит закон
Анализируя Закон Республики Казахстан № 141-VII ЗРК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам стимулирования инноваций, развития цифровизации, информационной безопасности и образования», во-первых, следует отметить законодательное закрепление новых понятий в области управления данными.
Так, Предпринимательский кодекс Республики Казахстан от 29 октября 2015 года дополнили терминами следующего содержания:
- данные – информация в формализованном виде, пригодная для обработки;
- уполномоченный орган по управлению данными – центральный исполнительный орган, осуществляющий руководство и межотраслевую координацию по управлению данными;
- цифровая трансформация – комплекс мероприятий, включающий в себя внедрение цифровых технологий, реинжиниринг и использование данных;
- управление данными – процесс, связанный с определением, созданием, сбором, накоплением, хранением, распространением, уничтожением, поддержкой данных, а также обеспечением их аналитики, качества, доступности, защиты.
В рамках реализации Закона Республики Казахстан от 14 июля 2022 года «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам стимулирования инноваций, развития цифровизации, информационной безопасности и образования» приказом министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 14 октября 2022 года № 385/НҚ были утверждены Требования по управлению данными.
Вышеуказанные требования обязательны для применения государственными органами и государственными юридическими лицами в отношении всех собираемых и обрабатываемых ими данных, за исключением Национального Банка Республики Казахстан и организаций, входящих в его структуру. А также лицами, уполномоченными законодательством Республики Казахстан на управление отдельными категориями данных.
Согласно требованиям по управлению данными, данные подразделяется на следующие виды:
По содержанию:
1. Метаданные – данные, описывающие структуру и характеристики данных. Они, в свою очередь, подразделяются на следующие виды:
- функциональные метаданные: описывают содержание и состояние данных, имеющих прямое отношение к специфике деятельности организации, включая сведения, используемые при обеспечении качества данных.
- технические метаданные: описывают технические характеристики данных и систем их хранения.
- операционные метаданные: описывают процессы обработки данных и управления доступом к ним (сведения, используемые при обеспечении безопасности данных).
2. Справочные данные – данные из справочников, международных, национальных и отраслевых классификаторов, статистические данные;
3. Мастер-данные – основные данные;
4. Транзакционные данные – сведения, отражающие результат изменения данных, относящиеся к фиксированному моменту времени, не изменяющиеся в будущем.
По характеру организации данных:
1. Неструктурированные данные – данные, в неформализованном виде, сложном или непригодном для обработки;
2. Структурированные данные – упорядоченные данные, пригодные для обработки.
Особо следует отметить, что, согласно требованиям, аналитика данных, отнесенных к конфиденциальной информации, осуществляется при условии их обезличивания.
Обезличивание данных
В настоящее время в Республике Казахстан обезличивание персональных данных, наряду с обеспечением информационной безопасности, является одной из мер организационного и технического характера, направленных на минимизацию рисков причинения вреда гражданам в случае утечки их персональных данных.
Возвращаясь к рассматриваемым изменениям в законодательстве, следует отметить, что до недавнего времени обезличивание персональных данных осуществлялось оператором информационно-коммуникационной инфраструктуры «электронного правительства» в соответствии с Правилами по сбору, обработке, хранению, передаче электронных информационных ресурсов для осуществления аналитики данных в целях реализации функций государственными органами. После внесения изменений пункт 2 статьи 17 Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» требует при обезличивании данных руководствоваться требованиям по управлению данными, утвержденными уполномоченным органом по управлению данными.
Что дальше
В целях защиты данных вышеуказанными требованиями по управлению данными государственные органы обязаны обеспечить соблюдение Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением правительства Республики Казахстан от 20 декабря 2016 года № 832 и требований, установленных законодательством Республики Казахстан.
Кроме этого, согласно требованиям по управлению данными организации обязаны обеспечить оценку рисков и планирование мер по обработке рисков при возможной утечке (разглашении), искажении, удалении (потери) данных. Это является исторической нормой, так как впервые законодатель закрепил обязанность применения оценок воздействия на неприкосновенность частной жизни. Оценка воздействия на неприкосновенность частной жизни является частью концепции «проектируемой конфиденциальности», используемой для управления данными в государственных и коммерческих организациях. Процедура проведения оценок воздействия на неприкосновенность частной жизни обеспечивает соответствие правовым и регуляторным нормам неприкосновенности частной жизни посредством выявления потенциальных рисков и разработки стратегий смягчения этих рисков и управления ими.
По аналогии с европейским правом о защите персональных данных отечественным законодателям следует также рассмотреть возможность внедрения правового механизма оценки рисков (Data Protection Impact Assessment) (DPIA) Генерального регламента по защите персональных данных (General Data Protection Regulation) (GDPR). Следует отметить, что процедура оценки рисков DPIA используется не всегда, а только в случаях, когда обработка данных сопряжена с высоким риском нарушения прав и законных интересов граждан.
Несмотря на вышеуказанные позитивные поправки в законодательство, для добросовестного и эффективного управления данными общество должно располагать современными и эффективными правовыми инструментами независимого контроля за соблюдением права человека на неприкосновенность личной жизни и конфиденциальность персональных данных государством и бизнесом.
Концепция Data-Driven Government должна быть понятна и открыта для всех участников без исключения. В случае фактов утечки данных, деанонимизации обезличенных данных или злоупотребления в политических целях компании и государственные органы могут понести крупные потери в виде репутационного ущерба, штрафов от надзорных органов и имущественных претензий со стороны граждан.