Правозащитник и эксперт DRCQ Елжан Кабышев прокомментировал скандал с утечкой данных казахстанцев, которые раздаёт российский бот.
По его словам, такое происходит отнюдь не впервые:
💬 «В числе громких случаев — утечка персональных данных Центральной избирательной комиссии РК, Генеральной прокуратуры. Также мы находили открытый файл по государственным регистрационным номерам машин, которые содержали в себе около 48 тысяч строк, каждая строка это одно физическое лицо. Эти данные, как мы поняли, были взяты из системы Erap. Это единый реестр административных правонарушений, который курируется прокуратурой. Там были такие данные, как ИИН, ФИО, номер машины, регистрация автовладельца, номер квартиры», - пояснил эксперт в разговоре с BaigeNews.
По мнению Кабышева, в Казахстане не совсем серьезно относятся к сбору и обработке персональных данных из-за маленьких штрафов.
💬 «Из-за больших санкций, из-за наличия надзорного независимого органа, к законодательству о персональных данных в Европейском союзе относятся серьёзнее. Потому что за несерьезный подход к обработке данных могут влепить большой штраф. В Америке по отношению к нарушениям применяются большие санкции. В Казахстане штрафы маленькие, организациям легче оплатить штраф, чем нанимать юридическую фирму, либо эксперта, который мог бы им предоставить услуги по разработке этих документов», – говорит он.
Он предлагает не только увеличить сумму штрафов за распространение персональных данных, но адресовать их пострадавшим, а не республиканскому бюджету, как сейчас.
#МЦРИАП #Казахстан #новости_от_DRCQ #Telegram #боты #персональные_данные #сбор_личных_данных #экспертиза_DRCQ
https://t.me/DigitalRightsCenterQ/378
По его словам, такое происходит отнюдь не впервые:
💬 «В числе громких случаев — утечка персональных данных Центральной избирательной комиссии РК, Генеральной прокуратуры. Также мы находили открытый файл по государственным регистрационным номерам машин, которые содержали в себе около 48 тысяч строк, каждая строка это одно физическое лицо. Эти данные, как мы поняли, были взяты из системы Erap. Это единый реестр административных правонарушений, который курируется прокуратурой. Там были такие данные, как ИИН, ФИО, номер машины, регистрация автовладельца, номер квартиры», - пояснил эксперт в разговоре с BaigeNews.
По мнению Кабышева, в Казахстане не совсем серьезно относятся к сбору и обработке персональных данных из-за маленьких штрафов.
💬 «Из-за больших санкций, из-за наличия надзорного независимого органа, к законодательству о персональных данных в Европейском союзе относятся серьёзнее. Потому что за несерьезный подход к обработке данных могут влепить большой штраф. В Америке по отношению к нарушениям применяются большие санкции. В Казахстане штрафы маленькие, организациям легче оплатить штраф, чем нанимать юридическую фирму, либо эксперта, который мог бы им предоставить услуги по разработке этих документов», – говорит он.
Он предлагает не только увеличить сумму штрафов за распространение персональных данных, но адресовать их пострадавшим, а не республиканскому бюджету, как сейчас.
#МЦРИАП #Казахстан #новости_от_DRCQ #Telegram #боты #персональные_данные #сбор_личных_данных #экспертиза_DRCQ
https://t.me/DigitalRightsCenterQ/378
Telegram
DRC Qazaqstan
Представители Министерства цифрового развития, инноваций и аэрокосмической промышленности Казахстана высказались по поводу ботов, которые по запросу выдают о казахстанцах личную информацию, такую как телефон, адрес, место работы и др. Информация о них появилась…
Forwarded from DRC Qazaqstan
В конце сентября 2023 года заместитель гендиректора РГП "КазСтандарт" Еркежан Амирханова направила в адрес DRCQ письмо со Стандартом СТ РК ISO/TR 23244 (для краткости мы в дальнейшем будем именовать его просто «Стандарт»), который содержал обзор вопросов и практических проблем, связанных с защитой персональных данных (PII) и конфиденциальности, в контексте применения блокчейна и технологии распределенных реестров (DLT).
В письме содержалась просьба высказать свои замечания и предложения касательно этого документа. Наши специалисты внимательно изучили его и обнаружили ряд положений Стандарта, применение которых будет затруднено в силу норм Закона Республики Казахстан от 21 мая 2013 года N 94-V "О персональных данных и их защите" (который для все той же краткости назовем просто "Закон").
В частности, пункты 5.1.4 и 5.1.5 Стандарта содержат описания ролей контроллера и обработчика персональных данных, а также отмечают возможные сложности при идентификации контроллера и обработчика в общедоступных и конфиденциальных системах блокчейна и DLT. При этом ст.1 Закона предусматривает 3 возможных категории лиц, обрабатывающих персональные данные: собственник, оператор и третье лицо. При этом норм Закона перечисляют собственника, оператора и третье лицо в одном ряду, не выделяя специфики каждой роли.
Напомним, что согласно п.9 ст.1 Закона, собственником базы, содержащей персональные данные, является государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные. Оператором является государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных (п. 10 ст.1 Закона). Наконец, третьим лицом является лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных (п. 17 ст.1 Закона).
Как видим, данные определения не содержат явных критериев, по которым можно однозначно отличить роли собственника, оператора и третьего лица. Соответственно, действующие нормы не позволяют определить и тот факт, кто из указанных категорий лиц является обработчиком, а кто - контроллером. Учитывая сложности определения статуса контроллера и обработчика в DLT, наличие неопределенности в Законе крайне усложняет реализацию Стандарта.
Кроме того, ст.7 Закона предусматривает необходимость получения согласия на трансграничную передачу персональных данных. В то же самое время, ст. 16 Закона содержит исключения из данного правила, которые могут быть применимы к работе DLT в ограниченном объёме, и фактически большинство лиц, реализующих проекты с использованием DLT, не смогут получить надлежащее согласие от субъекта персональных данных. Также у пользователей DLT отсутствует возможность контролировать и ограничивать трансграничную передачу данных в DLT.
При этом, получение согласия на сбор и обработку персональных данных с выполнением требований, установленных п.4 ст.8 Закона, не может быть реализовано на практике, поскольку согласие должно содержать (помимо прочего) БИН или ИИН оператора — а как мы уже видели, в силу недостаточной юридической техники при принятии Закона крайне затруднительно идентифицировать оператора процесса обработки персональных данных в DLT.
"
Мы сосредоточили свое внимание на Стандарте СТ РК ISO/TR 23244, поскольку Нормативное регулирование защиты персональных данных и блокчейна являются одними из основных областей экспертизы юридической фирмы DRCQ. Тем не менее, надеемся также на достаточное внимание коллег и к остальным рассматриваемым стандартам, и выражаем свою готовность оказать
содействие в будущем", — подытожил директор DRCQ Руслан Дайырбеков.
#новости_oт_DRCQ #стандарты #персональные_данные #экспертиза_DRCQ #Казахстан #КазСтандарт
В письме содержалась просьба высказать свои замечания и предложения касательно этого документа. Наши специалисты внимательно изучили его и обнаружили ряд положений Стандарта, применение которых будет затруднено в силу норм Закона Республики Казахстан от 21 мая 2013 года N 94-V "О персональных данных и их защите" (который для все той же краткости назовем просто "Закон").
В частности, пункты 5.1.4 и 5.1.5 Стандарта содержат описания ролей контроллера и обработчика персональных данных, а также отмечают возможные сложности при идентификации контроллера и обработчика в общедоступных и конфиденциальных системах блокчейна и DLT. При этом ст.1 Закона предусматривает 3 возможных категории лиц, обрабатывающих персональные данные: собственник, оператор и третье лицо. При этом норм Закона перечисляют собственника, оператора и третье лицо в одном ряду, не выделяя специфики каждой роли.
Напомним, что согласно п.9 ст.1 Закона, собственником базы, содержащей персональные данные, является государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные. Оператором является государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных (п. 10 ст.1 Закона). Наконец, третьим лицом является лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных (п. 17 ст.1 Закона).
Как видим, данные определения не содержат явных критериев, по которым можно однозначно отличить роли собственника, оператора и третьего лица. Соответственно, действующие нормы не позволяют определить и тот факт, кто из указанных категорий лиц является обработчиком, а кто - контроллером. Учитывая сложности определения статуса контроллера и обработчика в DLT, наличие неопределенности в Законе крайне усложняет реализацию Стандарта.
Кроме того, ст.7 Закона предусматривает необходимость получения согласия на трансграничную передачу персональных данных. В то же самое время, ст. 16 Закона содержит исключения из данного правила, которые могут быть применимы к работе DLT в ограниченном объёме, и фактически большинство лиц, реализующих проекты с использованием DLT, не смогут получить надлежащее согласие от субъекта персональных данных. Также у пользователей DLT отсутствует возможность контролировать и ограничивать трансграничную передачу данных в DLT.
При этом, получение согласия на сбор и обработку персональных данных с выполнением требований, установленных п.4 ст.8 Закона, не может быть реализовано на практике, поскольку согласие должно содержать (помимо прочего) БИН или ИИН оператора — а как мы уже видели, в силу недостаточной юридической техники при принятии Закона крайне затруднительно идентифицировать оператора процесса обработки персональных данных в DLT.
"
Мы сосредоточили свое внимание на Стандарте СТ РК ISO/TR 23244, поскольку Нормативное регулирование защиты персональных данных и блокчейна являются одними из основных областей экспертизы юридической фирмы DRCQ. Тем не менее, надеемся также на достаточное внимание коллег и к остальным рассматриваемым стандартам, и выражаем свою готовность оказать
содействие в будущем", — подытожил директор DRCQ Руслан Дайырбеков.
#новости_oт_DRCQ #стандарты #персональные_данные #экспертиза_DRCQ #Казахстан #КазСтандарт
Forwarded from DRC Qazaqstan
На прошлой неделе сотрудники прокуратуры Жетысуской области установили, что в семи школах Коксуского района около четырёх тысяч учащихся использовали запрещённые веб-ресурсы во время уроков информатики. Эти сайты были заблокированы, а учителя привлечены к ответственности.
Специалист юридической фирмы DRC Qazaqstan Елжан Кабышев рассказал изданию Taspanews.kz о том, чем отличаются запрещённые сайты от даркнета, какие меры безопасности необходимо соблюдать и какие мифы существуют о теневой сети.
По словам Елжана Кабышева, в Казахстане ведётся активная работа по борьбе с распространением контента, содержащего сцены жестокости и материалы категории 18+. Это осуществляется в рамках различных законодательных мер, таких как противодействие терроризму, защита детей от вредной информации, защита персональных данных и других. Кроме того, применяются административные и технические меры для ограничения доступа к такому контенту.
Согласно статистике, опубликованной на сайте проекта Internet Freedom, подавляющее большинство блокировок связано с порнографией, незаконным распространением наркотиков, контентом, связанным с самоубийствами, и онлайн-казино. При этом сама процедура блокировки не всегда прозрачна: часто владельцы ресурсов узнают о ней случайно, без предварительного уведомления.
В 2023 году правительство Казахстана разработало и утвердило Комплексный план по борьбе с наркоманией и наркобизнесом на период с 2023 по 2025 год. Этот план включает в себя меры, направленные на противодействие использованию даркнета для распространения наркотических веществ.
Для реализации плана выделено более 53 миллиардов тенге. Эти средства будут направлены на закупку современного оборудования, включая аппаратно-программные комплексы и беспилотные летательные аппараты. Это оборудование будет использоваться для обнаружения и пресечения незаконной деятельности.
Елжан Кабышев убежден, что полная анонимность в даркнете — это миф. Хотя такие инструменты, как Tor, обеспечивают высокий уровень защиты, существуют методы, позволяющие определить личность пользователя. Ошибки в настройках безопасности, уязвимости программного обеспечения и сложные системы мониторинга могут привести к раскрытию личности.
Для обычного пользователя даркнет не представляет угрозы, если использовать Tor или VPN исключительно для защиты конфиденциальности в условиях отсутствия таковой в Казахстане что подтверждается результатами исследования Открытой обсерватории сетевых помех (OONI), опубликованного в сентябре 2024 года.
Однако все зависит от целей самого человека. Если пользователь заходит в даркнет для покупки неэтичных товаров или совершения преступлений, это его осознанный выбор, а также ответственность платформы, которая удовлетворяет такие интересы. По сути, подчеркнул Елжан, это аналогично реальной жизни: человек, решивший нарушить закон или этические нормы, будет делать это независимо от среды — в даркнете или в реальной жизни.
Чтобы защитить ребёнка от жестокого контента в интернете, добавляет эксперт DRCQ, родителям необходимо применять как технические меры, так и воспитательные.
Самым простым способом является использование родительского контроля на мобильных устройствах или компьютере. Также можно настроить фильтры на домашнем Wi-Fi через роутер или использовать безопасные DNS-серверы, такие как OpenDNS.
Для дополнительной защиты можно использовать специальные программы, например, Qustodio, которые блокируют доступ к опасным сайтам и контролируют активность ребёнка. Однако самое важное — это объяснить ребёнку, почему такой контент может быть вреден, и научить его цифровой грамотности.
#новости_от_DRCQ #экспертиза_DRCQ #Казахстан #кибернадзор #дети #кибербезопасность #даркнет
Специалист юридической фирмы DRC Qazaqstan Елжан Кабышев рассказал изданию Taspanews.kz о том, чем отличаются запрещённые сайты от даркнета, какие меры безопасности необходимо соблюдать и какие мифы существуют о теневой сети.
По словам Елжана Кабышева, в Казахстане ведётся активная работа по борьбе с распространением контента, содержащего сцены жестокости и материалы категории 18+. Это осуществляется в рамках различных законодательных мер, таких как противодействие терроризму, защита детей от вредной информации, защита персональных данных и других. Кроме того, применяются административные и технические меры для ограничения доступа к такому контенту.
Согласно статистике, опубликованной на сайте проекта Internet Freedom, подавляющее большинство блокировок связано с порнографией, незаконным распространением наркотиков, контентом, связанным с самоубийствами, и онлайн-казино. При этом сама процедура блокировки не всегда прозрачна: часто владельцы ресурсов узнают о ней случайно, без предварительного уведомления.
В 2023 году правительство Казахстана разработало и утвердило Комплексный план по борьбе с наркоманией и наркобизнесом на период с 2023 по 2025 год. Этот план включает в себя меры, направленные на противодействие использованию даркнета для распространения наркотических веществ.
Для реализации плана выделено более 53 миллиардов тенге. Эти средства будут направлены на закупку современного оборудования, включая аппаратно-программные комплексы и беспилотные летательные аппараты. Это оборудование будет использоваться для обнаружения и пресечения незаконной деятельности.
Елжан Кабышев убежден, что полная анонимность в даркнете — это миф. Хотя такие инструменты, как Tor, обеспечивают высокий уровень защиты, существуют методы, позволяющие определить личность пользователя. Ошибки в настройках безопасности, уязвимости программного обеспечения и сложные системы мониторинга могут привести к раскрытию личности.
Для обычного пользователя даркнет не представляет угрозы, если использовать Tor или VPN исключительно для защиты конфиденциальности в условиях отсутствия таковой в Казахстане что подтверждается результатами исследования Открытой обсерватории сетевых помех (OONI), опубликованного в сентябре 2024 года.
Однако все зависит от целей самого человека. Если пользователь заходит в даркнет для покупки неэтичных товаров или совершения преступлений, это его осознанный выбор, а также ответственность платформы, которая удовлетворяет такие интересы. По сути, подчеркнул Елжан, это аналогично реальной жизни: человек, решивший нарушить закон или этические нормы, будет делать это независимо от среды — в даркнете или в реальной жизни.
Чтобы защитить ребёнка от жестокого контента в интернете, добавляет эксперт DRCQ, родителям необходимо применять как технические меры, так и воспитательные.
Самым простым способом является использование родительского контроля на мобильных устройствах или компьютере. Также можно настроить фильтры на домашнем Wi-Fi через роутер или использовать безопасные DNS-серверы, такие как OpenDNS.
Для дополнительной защиты можно использовать специальные программы, например, Qustodio, которые блокируют доступ к опасным сайтам и контролируют активность ребёнка. Однако самое важное — это объяснить ребёнку, почему такой контент может быть вреден, и научить его цифровой грамотности.
#новости_от_DRCQ #экспертиза_DRCQ #Казахстан #кибернадзор #дети #кибербезопасность #даркнет