top of page
  • Фото автораShishkin_like

Как в Казахстане охраняют персональные данные из госбаз

Несколько недель назад мы обратили внимание на намерение министерства цифрового развития интегрировать организации-пользователей государственной базы данных «Юридические лица» с сервисом контроля доступа к персональным данным. Тогда же мы указали, что это несёт риск сокрытия ещё большего количества данных о бенефициарах тех или иных компаний.

 

Чтобы разобраться в ситуации, мы — а также некоторые наши коллеги и представители экспертного сообщества — направили официальный запрос в МЦРИАП. И во всех случаях ведомство поспешило опровергнуть возникшие у нас подозрения, обоснованно сославшись на действующее законодательство. Согласно нему персональные данные о субъектах предпринимательства (в частности, их имена и ИИНы) относятся к общедоступным.

 

Однако реальность этим заявлениям министерства противоречит: мы обнаружили, что по одному из главных вопросов — о предоставлении полных регистрационных сведений о юрлицах — у Минюста почему-то до сих пор нет определённости. А собственно интеграция с сервисом контроля доступа к персональным данным стала наименьшей из проблем, с которой столкнулись владельцы информсистем. Подключение к нему никак не прояснило, какие персональные данные ведомство пытается защитить в массиве информации о юридических лицах.

 

Наш редактор Маргарита Бочарова рассказывает о том, как власти на ходу решают, что относится к персональным данным ограниченного доступа, как работает пресловутый сервис контроля доступа к персональным данным, сколько миллионов получила за него компания-разработчик, и как с ней связан вице-министр цифрового развития, инноваций и аэрокосмической промышленности Асхат Оразбек


Как частные компании подключаются к сервису КДП?

 

Такая возможность, судя по всему, есть у всех желающих — стоит лишь обратиться к возможностям платформы Smart Bridge. Однако в некоторых случаях «приглашение» к интеграции может поступить и непосредственно от владельца государственной базы данных.

 

Так, в частности, произошло в минувшем январе, когда министерство юстиции разослало шести десяткам организаций (в том числе, частным) письмо с просьбой до 28 февраля подключиться к сервису КДП. Только при таком условии отныне можно будет запрашивать и получать данные с двух принадлежащих Минюсту информационных систем — «Юридические лица» и «Регистрация актов гражданского состояния».

 

В чем проблема с работой через сервис КДП?

 

Ни в чем, если говорить о госбазах, содержащих данные исключительно о физических лицах (к таким относится и вышеупомянутая «Регистрация актов гражданского состояния»). Намного более сложная картина складывается, если речь заходит об информации о юридических лицах и содержании в ней персональных данных.

 

Мы связались с двумя частными компаниями, которые сегодня хоть и подключены к сервису КДП, все ещё не могут полноценно работать через него с информсистемой «Юридические лица». Причина — неготовность сервисов со стороны Минюста. Что это значит?

 

Государственная база данных «Юридические лица» состоит из нескольких десятков сервисов — на платформе Smart Bridge мы насчитали чуть больше 80. Условно их можно разделить на те, которые оказывают конкретные госуслуги (например, онлайн принимают заявление на прекращение деятельности или корректировку юрадреса), и которые предоставляют информацию.

 

К последним относится, пожалуй, один из важнейших госсервисов для журналистов «Предоставление полных регистрационных сведений о юридическом лице по БИН». Именно он позволяет нам узнавать о руководителе, учредителе и, в конце концов, бенефициаре той или иной компании.

 

На сайте Smart Bridge мы обнаружили целых восемь вариаций этого конкретного сервиса с противоречивыми отметками о наличии или отсутствии в массиве информации персональных данных. В пяти случаях было указано, что сервис НЕ предоставляет персональные данные, в остальных трёх — предоставляет (а, значит, доступ к данным должен осуществляться через сервис КДП).


Сотрудники самого министерства юстиции тоже, похоже, пока в замешательстве. В своем очередном письме к пользователям базы данных «Юридические лица» директор департамента цифровизации и автоматизации госуслуг сообщил, что к 13 апреля «в целях защиты персональных данных будут произведены изменения по передаче данных о руководителе/учредителе/бенефициарном собственнике юридического лица». Среди возможных изменений — всё-таки отключение упомянутого выше сервиса от сервиса КДП и предоставление по запросу не имён руководителя и учредителя, а их ИИНов.

 

При этом согласно Предпринимательскому кодексу и ФИО, и идентификационный номер субъекта предпринимательства относятся к общедоступной информации. На этот же кодекс сослалось МЦРИАП в ответ на запросы, сообщив, что  информация по сокрытию собственников бизнеса посредством внедрения сервиса КДП не соответствует действительности. Об этих рисках мы писали ранее, и неопределенность вокруг сервиса по предоставлению полных регистрационных данных пока лишь укрепляет наши опасения.

 

Напомним, в 2015 году министерство юстиции во главе с Бериком Имашевым уже создало возможность для сокрытия данных о бенефициарах компаний в Центральном депозитарии ценных бумаг. Благодаря этой законной лазейке, в регистрационных данных многих организаций, связанных в прошлом, например, с Даригой Назарбаевой, теперь значится «Источник не предоставил сведения по учредителю».


Что вообще такое сервис КДП и когда он появился?


Летом 2020 года в законодательство в сфере персональных данных были внесены изменения. Одно из них подразумевало создание единого сервиса обеспечения безопасности персональных данных. В конце 2021 года — благодаря новым поправкам — инициативу переименовали в сервис контроля доступа к персональным данным (сервис КДП), и разделили последний на государственный и негосударственный.


К слову, такое деление появилось в результате консультаций законодателей с бизнес-сообществом и экспертами по цифровым правам. Изначально подразумевалось, что всех акторов необходимо объединить под шапкой государства.


Государственный сервис КДП принадлежит министерству цифрового развития и нужен для получения или отзыва согласия гражданина на доступ к его персональной информации, хранящейся в государственных базах данных. В 2022 году были утверждены правила функционирования сервиса и интеграции с ним (это делается на платформе Smart Bridge).


Как работает сервис КДП?


Доступ к собственным данным можно регулировать двумя способами: через функционал организации, запрашивающей информацию (биометрия, ЭЦП, одноразовый пароль и пр.), или посредством отправки SMS-сообщения о согласии или отказе. Чтобы последнее сработало, нужно быть зарегистрированным в базе мобильных граждан.

 

В министерстве цифрового развития нам пояснили: при отсутствии ответа на запрос инициатору НЕ предоставляется доступ к персональным данным. Добавим, в доступе будет также отказано, если сообщение о согласии поступит спустя 10 минут после запроса (по крайней мере, именно так инструктирует пользователей подключенный к КДП сервис постановки граждан в очередь на жильё).

 

Отметим, сегодня к сервису КДП кроме государственных и квазигосударственных организаций подключены 54 частные информационные системы. В министерстве цифрового развития нам так и не предоставили перечень этих компаний. При этом ежедневно в сервис направляется около 600 тыс. запросов по доступу к персональным данным.

 

Кто и за сколько разработал сервис КДП?

 

РазработчикТОО «Arctic Technology Group». Компания с 2018 года зарегистрирована в Астане и за последние пять лет перевела в органы госдоходов 58,7 млн тенге. Появившись на рынке, фирма сразу же стала участником системы государственных закупок. Свой первый заказ она получила в 2021 году от комитета по информационной безопасности МЦРИАП — «Услуга по контролю доступа к персональным данным».

 

К настоящему моменту Arctic Technology Group подписала контрактов с цифровым ведомством в общей сложности на 723,1 млн тенге. Во всех случаях предметом соглашений выступает услуга «Сервис КДП», способ закупки — из одного источника путем прямого заключения договора.

 

Кроме этого, у компании есть несколько контрактов с дивизионом информационных технологий АО «Казахтелеком». Все они также были заключены способом из одного источника, их общая стоимость составляет 17 млн тенге. Речь идёт об обеспечении информационной безопасности.

 

Кому принадлежит компания-разработчик сервиса КДП?

 

Arctic Technology Group принадлежит Асхату Оспанкулову, Ильясу Досболову, Алие Егизбаевой, Нурбеку Жетписову, Жанель Жулановой, Эльдару Мирсагатову, Арману Мукашеву и Алишеру Тулегенову.

 

Нурбек Жетписов с первых дней также руководит Arctic Technology Group. Предположительно, именно этого человека еще в 2019 году в СМИ представляли как «разработчика мобильного приложения Darmen». Напомним, это именно то приложение, которое предупредило алматинцев о январском землетрясении спустя полчаса после первых толчков. Предупреждение же о мартовском землетрясении горожане получили от Darmen через 23 минуты после случившегося.

 

Арман Мукашев — бывший руководитель национальной компании «KazSatNet», которая создавалась для развития национальной спутниковой системы связи и вещания. Спустя десять лет — в 2016 году — она была присоединена к АО «Национальные информационные технологии».

 

Однако самый примечательный среди указанных — 31-летний Ильяс Досболов. Его имя мы обнаружили в списке аффилированных лиц ныне ликвидированного национального холдинга «Зерде» от октября 2021 года. Судя по опубликованным данным, он с большой вероятностью приходится родным братом супруге Асхата Оразбека, вице-министра цифрового развития, инноваций и аэрокосмической промышленности. Оразбек занимает эту должность с апреля 2019 года и отвечает, в том числе, за информационную безопасность.

 

Другие учредители Arctic Technology Group также, вероятно, могли пересекаться с Оразбеком.

 

Жанель Жуланова, например, работала (или до сих пор работает) юристом в ассоциации блокчейн и индустрии дата-центров. Вице-президентом этой ассоциации на протяжении нескольких лет был и Асхат Оразбек — тогда она, правда, называлась ассоциацией развития блокчейн и криптотехнологий.

 

В профиле Эльдара Мирсагатова в LinkedIn указано, что на протяжении трех лет он работал экспертом в «Транстелекоме». Там же исполнительным директором по информационным технологиям какое-то время трудился и Оразбек.

 

Алия Егизбаева до конца 2019 года была совладелицей ныне снятого с учета ТОО «IT-LAB.KZ». Другая доля этой компании принадлежала ТОО «Al.As.Ay». Последней (сейчас она называется иначе) владеет и руководит супруга вице-министра Айгерим Оразбек, а сам чиновник был здесь «советником», если следовать его официальной биографии.

 

Подписаться на @Shishkin_like

 

 

 

 

Похожие посты

Смотреть все

Comments


bottom of page