С.УЯНГА
Мэдээллийн аюулгүй байдал, хувийн өгөгдлийг хэрхэн хамгаалах талаар мэдээллийн аюулгүй байдлын мэргэжилтэн, MNCERT/CC буюу Цахим аюулгүй байдал мэдээлэл удирдлагын төвийн удирдах зөвлөлийн гишүүн М.Отгонпүрэвтэй ярилцлаа.
-Бидний хурууны хээ, регистрийн дугаар, нүд, нүүр гээд биеийн давхцахгүй өгөгдлийг төр, хувийн хэвшил хаа сайгүй ашиглаж байна. Энэ нь эргээд ямар эрсдэл үүсгэх вэ?
-Биеийн давхцахгүй өгөгдлийг хэрхэн ашиглах үндсэн зорилгоосоо шалтгаална.
Төрийн хувьд тодорхой тохиолдлуудад иргэнээ таньж бүртгэх зайлшгүй шаардлагатай учраас эрсдэлээ аль болох бууруулаад ашиглахыг буруутгах аргагүй. Хувийн байгууллагууд ч гэсэн төртэй мэдээлэл солилцон баталгаажуулах зарчмаар иргэнийг таньж байгаа тохиолдлууд бий. Хувь иргэнийг зайлшгүй баталгаажуулж таних ёстой банк санхүүгийн үйлчилгээн дээр жишээ нь төрд хадгалж буй мэдээлэлтэй тулгаж баталгаажуулах зорилгоор хурууны хээг уншуулах тохиолдол байгаа. Хэрэв тухайн хувийн байгууллага биеийн давхцахгүй өгөгдлийг хадгалж байгаа бус төрөөс гаргаж өгсөн систем (ХУР систем) рүү нэвтэрч иргэний мэдээллийг тулгахад танилт баталгаажуулалт хийх зорилгоор ашиглаж буй тохиолдолд харьцангуй эрсдэл бага гэж бодож байна. Харин төрийн системээр дамжуулж танилт, баталгаажуулалт хийх зорилгоор бус дотооддоо хадгалах зорилгоор цуглуулж буй аливаа биометрик мэдээллийг өгөхгүй байсан нь дээр болов уу. Монгол Улсын иргэний биометрик мэдээллийг хадгалах эрх бүхий байгууллагыг хуулиар зохицуулж тодорхойлж өгсөн байдаг. Дахин давтагдашгүй өгөгдөл нь хувь хүнийг таньж баталгаажуулахад ашиглах өөрчлөх боломжгүй мэдээлэл юм. Жишээлбэл, имэйлээ шалгахын тулд өөрийг нь мөн гэдгийг таньж баталгаажуулах нууц үг ашиглан нэвтэрдэг. Хэрэв ямар нэг шалтгаанаас үүдэн нууц үгээ алдвал солиод өөр нууц үг ашиглах боломжтой. Харин хурууны хээгээ солих боломжгүй учир алдагдсан тохиолдолд дагалдах эрсдэл нь өндөр.
-Манай улсад Өгөгдөл хамгаалах хууль байдаггүй. Өөрөөр хэлбэл, сүлжээ дэлгүүр, банк ч юм уу иргэдийн хурууны хээг хувилах, алдахад хариуцлага хүлээх хуулийн зохицуулалт алга. Бусад улс иргэнийхээ хувийн мэдээллийг хууль эрх зүйн хувьд хэрхэн хамгаалдаг юм бол?
-Технологи хөгжихийн хэрээр хувь хүний өгөгдөл нь эдийн засагт баялаг бүтээх нэг боломж болон хувирч байна. Гэхдээ нөгөө талаас буруу ашиглавал энэ нь хувь хүний эрх чөлөөг боомилох, дарангуйлал үүсэх боломж олгохоос гадна тухайн улсын иргэдийн хувийн өгөгдөл нь үндэсний аюулгүй байдалтай холбоотой асуудал болж ирнэ. Төрийн үндсэн үүрэг болох иргэдээ хамгаалах зорилгын дор сүүлийн үед улс орнууд өгөгдөл хамгаалах хуультай болж байгаа. Төрийн зүгээс зах зээлд оролцдоггүй хамгийн чөлөөт эдийн засагтай гэгдэх АНУ-д хүртэл Калифорни муж нь 2020 оноос хувь хүний өгөгдөл хамгааллыг хуулиар зохицуулж эхэллээ. Төрийн зохицуулалт арай өндөр байдаг Европын холбоо илүү нарийвчилсан зохицуулалт хийсэн нь GDPR нэрээр 2018 оноос хэрэгжих болсон. Өөр олон жижиг улс энэ жишгийг дагаж байгаа. Барууны хөрөнгө оруулалт татахад ялангуяа, технологийн болон үйлчилгээний салбаруудад чухал үзүүлэлтийн нэг болоод байна. Манай улсын хувьд ч гэсэн миний ойлгосноор өгөгдөл хамгаалах хуулийн төсөл боловсруулалтын шатандаа явж байгаа. Хуулийн хүрээнд иргэдийн хувийн мэдээлэлтэй холбоотой хариуцлагын зохицуулалт хийх болов уу.
-Өгөгдөл хамгааллын хуулиар юуг яаж зохицуулах ёстой вэ?
-Хувийн мэдээллээ өгч буй иргэд болон уг мэдээллийг цуглуулж, боловсруулж, хадгалж буй этгээдийн харилцааг зохицуулах нь Өгөгдөл хамгаалах хуулийн үндсэн зорилго байх ёстой. Гэхдээ төрийн зүгээс хэт хатуу зохицуулалт хийж өгөх нь технологийн шинэчлэл бий болох зах зээл тэлэхэд сөргөөр нөлөөлж болзошгүй тул аль аль талын эрх ашгийг хангасан дундын шийдэл байх ёстой. Ерөнхийдөө өгөгдөл хамгааллын хууль нь хэд хэдэн үндсэн зохицуулалтуудыг агуулах шаардлагатай. Нэгдүгээрт, нээлттэй ил тод байдал буюу тухайн хувь хэрэглэгчид ямар зорилгоор ямар мэдээллийг нь ашиглаж буйгаа мэдэгдэхийг хуульчлах. Жишээлбэл, гар утасны апп ашиглаж буй тохиолдолд тухайн апп нь хэрэглэгчийн ямар мэдээллийг цуглуулж байгаа болон эдгээр мэдээллийг ямар зорилгоор ашиглахаа хэрэглэгчид мэдэгдэж хэрэглэгч хүлээн зөвшөөрсний үндсэн дээр өгөгдөлд ханддаг байх ёстой. Хоёрдугаарт, хувийн мэдээллийг ашиглах зорилго нь хууль ёсны бөгөөд зайлшгүй шаардлагатай байх ёстойг хуульчлах шаардлагатай. Мөн хувийн мэдээллийн эзэнд тодорхой эрх байх ёстой. Тухайлбал, өөрийнх нь ямар мэдээллийг цуглуулсныг үзэх, хэрэв уг мэдээлэл буруу бол засах, шаардлагагүй бол устгахыг шаардах эрхтэй байхаар хуульчилж өгөх хэрэгтэй.
-Хувь хүний мэдээллийг ашиглах талаар зохицуулалт хийхгүй бол ямар эрсдэл үүсч болох вэ?
-Хувийн мэдээлэл ашиглаж буй байгууллагууд өмнө дурдсан зохицуулалт байхгүй үед тухайн хувь иргэний талаар хэтэрхий ихийг мэдснээр мэдээллийн тэгш бус хэмт харилцаа үүсэх боломжтой юм. Google Maps зэрэг гар утасны байршил заадаг апп таны өдөр тутам явдаг маршрутыг мэдэж буй учир зам зуурт тань зөвхөн танд таалагдах бүтээгдэхүүн үйлчилгээг сурталчилж болно. Бүр цаашилбал магадгүй зөвхөн танд зориулсан үнийн ялгаварлал үүсгэж юу худалдаж авдаг, хэдий хэр мөнгө зарцуулах боломжтой мэдээлэл дээр чинь үндэслэн таны худалдан авах гэж буй бараа үйлчилгээг танд тусгайлан өөр үнээр харуулж болох юм. Уг барааг танд зориулж зохиомол өндөр үнээр сурталчилж байгааг та өөрөө ч мэдэлгүйгээр луйвардуулах боломжтой болно гэсэн үг. Энэ бол хамгийн энгийн жишээ. Үүнээс өөр олон янзын нөхцөл үүсч болно.
-Хувийн мэдээллийг хамгаалах, мэдээллийн аюулгүй байдалтай холбоотой зохицуулалт ямар түвшинд яваа вэ?
-Мэдээллийн аюулгүй байдал болон хувийн өгөгдөл нь тусдаа ухагдахуунууд боловч зайлшгүй шаардлагаар холбогдож таардаг. Тухайлбал, Европын холбооны GDPR зэрэг өгөгдөл хамгааллын хуульд хувь хүний мэдээллийг ашиглаж буй этгээд уг мэдээллийг ямар түвшинд хадгалж, хамгаалах талаар хуульчилж өгсөн байдаг. Гэтэл нөгөө талд мэдээллийн аюулгүй байдалд дан ганц хувийн өгөгдлийг хамгаалах бус илүү өргөн хүрээнд мэдээллийн хөрөнгийн нууцлал, бүрэн бүтэн болон хүртээмжтэй байдлыг хамруулж ойлгодог. Үүнд мэдээллийн хөрөнгө гэдэгт хувийн болон байгууллагын эсвэл улсын нууц мэдээлэл хамаарах төдийгүй уг мэдээллийг хадгалж эсвэл дамжуулж буй системийг бас хамруулж ойлгодог. Эдгээр мэдээлэл болон мэдээллийн системийн нууцлал алдагдахгүй байх, мэдээлэлд зүй бус өөрчлөлт орохгүй байх болон уг мэдээлэлд ямар ч тохиолдолд хандах боломжтой буюу хүртээмжтэй байх нь мэдээллийн аюулгүй байдлын салбарын тулгуур ойлголтууд юм.
Манай улсад мэдээллийн аюулгүй байдалтай холбоотой нарийвчилсан хууль эрх зүйн зохицуулалт одоогоор байхгүй байна. Миний ойлгосноор Өгөгдөл хамгааллын тухай хуультай хамт өргөн барих болов уу.
-Мэдээллийн аюулгүй байдал гэснээс хоёр байгууллага хоорондын харилцаж байсан цахим шуудан замаасаа алдагдаж хохирдог байдал хууль хяналтын байгууллагад их бүртгэгдэх боллоо. Энэ эрсдэлээс хэрхэн сэргийлвэл дээр вэ?
-Business Email Compromise (BEC), CEO fraud гэх мэт луйвар дэлхий дахинд ч түгээмэл байдаг. Манай улсын хувьд импортоор бараа худалдаж авах нь элбэг байдаг учраас цахим шуудангаар дамжуулж санхүүгийн мэдээллээ солилцох тохиолдол цөөнгүйгээс цахим шуудангаар дамжиж буй нэхэмжлэх, санхүүгийн баримт дээрх дансны мэдээллийг өөрчилж буруу данс руу шилжүүлэх маягаар энэ луйварт өртөх тохиолдол их. Цахим орчноор санхүүгийн мэдээлэл солилцох шаардлагатай бол өөр сувгаар буюу жишээ нь утсаар ярьж давхар баталгаажуулсны үндсэн дээр санхүүгийн харилцаанд орохыг зөвлөх байна.
-Гэмт хэргийг бууруулах зорилгоор нийслэлийг бүхэлд нь царай таних технологиор хянахаар ярьж байна. Үүний үр дагаврыг хэрхэн харж байна вэ?
-Царай таних технологи ашигласнаар гэмт хэргийн гаралтыг шууд бууруулдаг гэсэн бодитой судалгаа алга. Харин гэмт хэрэг илрүүлэлтийг бол сайжруулах байх. Гэхдээ улсаараа буюу гурван сая хүн дахин давтагдашгүй био мэдээллээ тушааж байж хууль хүчний байгууллагын ажлыг хөнгөвчлөх шаардлагатай эсэхийг олон нийтээр нээлттэй хэлэлцэж байж шийдвэрлэх шаардлагатай болов уу. Миний хувийн бодлоор бол хууль шүүхийн тогтолцоо нарийн боловсронгуй болоогүй байгаа үед царай таних технологи ашиглах нь хэлмэгдүүлэлт үүсгэх эрсдэлтэй байх вий гэж болгоомжилж байна. Мөн түүнчлэн олон нийтээс хууль шүүхийн тогтолцоонд итгэх итгэлцэл бага байгаа нөхцөлд царай таних технологи ашигласан гэмт хэргийн илрүүлэлт нь дуусашгүй хэрүүл маргааны үндэс болж болох юм.
-Царай таних технологийг өгөгдөл хамгаалах хуулиар зохицуулах ёстой юу?
-Төр царай таних технологи ашиглан гэмт хэрэгтэй тэмцэх нь хувь хүний мэдээллийг бизнесийн зорилгоор ашиглахаас өөр асуудал. Иймээс өгөгдөл хамгаалах хуулиар зохицуулах бус илүү суурь ойлголтын түвшинд буюу төр иргэний хоорондын харилцааны түвшинд зохицуулах болов уу. Өөрөөр хэлбэл, царай таних технологи ашиглаж гэмт хэрэг илрүүлэх нь иргэн болгоноо болзошгүй сэжигтэн болгон хувиргаж буй хэрэг учир төрийн зүгээс бүх иргэдээ тагнаж чагнан мөшгиж буйтай адил үйлдэл болно. Энэ нь бидний сонгосон хүнлэг энэрэнгүй ардчилсан нийгэмд хэр зохицох талаар бүх нийтээрээ сайн хэлэлцүүлэг өрнүүлэх шаардлагатай.
Эх сурвалж: “Зууны мэдээ” сонин
2020.9.18 БААСАН № 181 (6406)