Эра бездумных кликов закончилась

- Как автор Цифрового кодекса, вы часто говорили в мажилисе, что его основа - человекоцентричность. Что это значит на практике?

- Мы впервые в истории цифрового законодательства Казахстана переориентировали регулирование с технологий на человеческие отношения в цифровой среде. Главная цель - безопасность цифрового будущего, когда технологии служат человеку, а не наоборот. В кодексе есть отдельная глава "Права человека в цифровой среде". Впервые в одном документе системно зафиксированы право на забвение, на доступ к информации, на защиту цифровой идентичности и конфиденциальности, на доступность цифровых сервисов для людей с инвалидностью и другие.

Второй ключевой момент. Цифровой кодекс защищает базовые институты гражданского права, и среди них - институт воли. Сейчас воля человека в цифровой среде сильно деградирует. Раньше для выражения согласия нужно было куда-то прийти, прочитать документ, взвесить риски, поставить подпись на каждом листе. Теперь, чтобы что-то решить, достаточно лежа на диване нажать "ок" либо поставить галочку в push-уведомлении, либо подписать эсэмэской. Цифровые технологии стерли осознанность.

А Цифровой кодекс защищает институт воли. Он разграничивает "подпись" и "подтверждение", которые ранее часто смешивались в практике. Мы установили, что подпись человека, достоверно подтверждающая волеизъявление в нашей юрисдикции, - это только ЭЦП, юридически значимая, с сохранением целостности документа, персонификацией, фиксацией времени происхождения.

А "цифровое подтверждение" - это упрощенная форма волеизъявления (push-уведомления, SMS-коды, легкие клики), применимая там, где действия не имеют серьезных юридических последствий.

Хотя нам на рабочих группах говорили: "Давайте использовать везде легкие подписи, ваше ЭЦП устарело". Но это неправильно. Потому что сегодня легкое подтверждение пришло в самые ответственные процессы - от налоговой декларации до денежных переводов. Но один SMS-код не может формировать юридическую обязанность человека.

За счет этих норм количество лайтовых цифровых подтверждений сократится.

- Биометрия сегодня вызывает у общества заметную тревогу. Как Цифровой кодекс регулирует этот вопрос?

- Биометрия - это высокочувствительные персональные данные, которые нельзя перевыпустить. Лицо или отпечаток пальца изменить практически невозможно. Утечка биометрических данных может нанести непоправимый урон цифровой личности.

Уже появилось такое опасное явление, как "кража цифровой личности". За биометрией охотятся цифровые мошенники. Если такие данные скомпрометированы, других у вас не будет - их вам дала природа. Поэтому биометрическая информация требует особой защиты.

Что мы видим на практике? Очень многие системы - от приложений до подъездных домофонов - стали собирать биометрию: лицо жителя для входа в дом, лицо ребенка для входа в детсад. Хотя в мире детская биометрия собирается с крайней осторожностью, потому что цифровой двойник ребенка может быть использован в преступных целях.

Опасность распространенности решений на основе биометрических данных в том, что они хранится в локальных, плохо защищенных базах. Это потенциальный источник утечек.

Как мы вышли из этой ситуации? Мы упорядочили сбор биометрии. Кодекс четко определяет: если биометрия обязательна, это должно быть установлено законом. При этом обязательная биометрия проходит только через госбиометрические базы данных. Если человек физически не может ее сдать (например, из-за особенностей здоровья), ему обязаны предложить альтернативу.

Для обязательной биометрии создаются две защищенные точки: биометрическая система цифрового правительства для госуслуг и система Национального банка для финансового рынка. Их уровень защиты будет максимальным.

Кроме того, в кодексе появилось понятие "национальные цифровые объекты". И я уверена, что биометрические базы станут первыми в этом перечне. Это означает, что такие данные нельзя отчуждать, передавать частным лицам или иностранным компаниям - государство обязано их защищать как критически важный ресурс. И хаотичное использование биометрии прекратится.

- Что делать обычным казахстанцам, если с них требуют биометрию?

- Правило простое: если вам заявляют, что биометрия обязательна, попросите ссылку на статью закона. Если такой нормы нет, то никто не может принудить вас сдать биометрию. В этом случае она возможна только с вашего явного согласия. Поэтому отказать ребенку в посещении детсада из-за отсутствия биометрии незаконно. Я, например, всегда пишу отказ от использования биометрии моих детей. Если подъезд требует биометрический вход - у вас должна быть альтернатива: обычный ключ, карта.

- Вы часто говорите, что данные - это актив. Можем ли мы говорить о рынке персональных данных, где казахстанцы смогут продавать свои данные?

- Мы прописали в кодексе: персональные данные не подлежат обороту. В мире часто говорят, что торгуют данными, но на самом деле продают не сами данные, а доступ к ним. Например, человек может предоставить платный доступ к своей обезличенной информации для обучения моделей искусственного интеллекта.

Другой вопрос, что пока это технически невозможно, мы не управляем своими данными. Но первый шаг для исправления этого пробела сделан. В кодексе введено понятие "цифровое пространство гражданина" - это своего рода "цифровое портмоне", где фиксируются все ваши цифровые события и документы.

Раньше документы, справки, свидетельства и квитанции хранились дома в портфеле. Со временем все ваши цифровые события - кто и когда обращался к вашим данным, какие документы вы получили, какие услуги оформили - будут стекаться в ваше личное цифровое пространство. Даже если какие-то информсистемы не интегрированы, есть точка сбора всех ваших историй - ваш личный кабинет на eGov. Это первый этап к полному контролю человеком своих данных, а со временем, возможно, и продаже доступа к ним.

- Про персональные понятно, они не продаются, но монетизация других, в том числе обезличенных данных, возможна?

- Возможна. И на самом деле стихийный рынок данных уже существует, но в Даркнете. И там никто не разбирается, обезличенные это данные или персональные. Хотя такие торги, естественно, вне закона. Поэтому обеление рынка данных - это не только про экономику, это еще и про безопасность.

Для создания белого рынка данных мы в кодексе вводим понятие "дата-продукт", признаем такой продукт имуществом, которым можно распоряжаться. Регулируем специальные площадки для оборота.

После вступления в силу этих норм должны появиться технические решения и сформироваться рынок данных, спрос и предложение на них. У данных появится стоимость. И эта цена позволит в дальнейшем понятно и прозрачно возмещать ущербы от утечек, рассчитывать размеры штрафов, ввести полноценную модель киберстрахования и многое другое.

- А сколько данные стоят на черном рынке?

- Там цены сильно различаются. Самое дорогое - это то, что не должно продаваться вообще, - медицинские данные. Потому что это не просто персональная информация, а тайна. Эти данные активно используются для обучения AI-моделей, которые потом хорошо коммерциализируются.

Другие дорогие данные - маркетинговые. Многие операторы и агрегаторы собирают, например, геолокацию пользователей, время пребывания людей у магазинов, концентрации трафика, которые помогают принимать маркетинговые решения. По кликам и действиям пользователей создаются портреты потребителя, на основе которых формируется целевая реклама. К примеру, если вы покупали тест на беременность, а позже обратились к врачу, вам через 6-7 месяцев на основе этих данных могут показывать рекламу колясок. Такие массивы дают безграничные возможности для анализа и коммерциализации, поэтому их стоимость высока.

Но наша цель - легальная экономика данных, где информация обезличена и используется законно.

- Президент дал три года на полный переход Казахстана в цифровую страну. Что мы можем не успеть сделать к сроку?

- Больше всего я переживаю за цифровую грамотность общества. Мы усилили аутентификацию, защиту данных, но большинство случаев мошенничества связано не с техническими сбоями или взломами, а с доверчивостью, безалаберностью пользователей, привычкой ставить галочку в пользовательских соглашениях, не читая их.

Чтобы цифровизация не приводила к деградации, нам нужно обучать людей, ставить разумные границы для применения ИИ, сохранять когнитивные способности и права человека.

Второй риск - кадры. Мировой рынок активно хантит IT-специалистов. Казахстан исторически обладает сильным кадровым потенциалом в математическом моделировании и программировании, у нас много талантливых ребят. Но уже со школьной скамьи за ними начинают охотиться. Нам нужно сохранять и мотивировать талантливых специалистов для нашего цифрового общества.

Третий риск - сопротивление прогрессу. Многие решения могли бы внедряться за месяц, но иногда лежат без движения годами. Президент постоянно подчеркивает необходимость цифровизации всех отраслей экономики для эффективной борьбы с коррупцией и устранения человеческого фактора. Но сегодня сопротивление внедрению технологий еще велико, потому что не все готовы к полной прозрачности деятельности.

А в остальном задачи по цифровизации реализуемы. И инфраструктура, и вычислительные мощности будут развиваться. И самое главное, все это подкреплено материально и политически.

- Правда ли, что на Цифровой кодекс - первый в мире в своем роде?

- На самом деле второй в мире. Первый в Кыргызстане приняли несколько месяцев назад. У них прогрессивный документ, но он больше про будущее.

Мы же находимся на другом этапе развития цифровой архитектуры. Казахстан - лидер Центральной Азии в сфере цифровизации. Поэтому наш кодекс писался по живому - мы регулируем то, что уже существует и работает. Это гораздо сложнее. Поэтому наши подходы закономерно отличаются.

Наш документ создавался как инструмент защиты цифрового и правового суверенитета. Мы прямо учитывали риски доминирования транснациональных компаний, вопросы локализации данных и защиты цифровых прав граждан. И это делает наш подход действительно уникальным.

- Почему тогда кодекс не гремел на всю страну?

- К сожалению, обсуждение Цифрового кодекса с самого начала свелось не к содержанию, не к проблемам цифровой среды, а к спорам теоретиков о форме: должен ли это быть кодекс или закон.

Это обидно, потому что в мире наши новеллы обсуждают охотнее, чем их ценят внутри. При этом ни один критик не предложил реального решения. Я обращалась к представителям науки: "Приходите, садитесь и будем работать. Иначе придут корпорации и создадут нужное им право, инвестируя огромные деньги в аналитику и науку". И именно благодаря тем членам академического сообщества, которые откликнулись и конструктивно работали над проектом вместе с депутатами, мы гармонизировали Цифровой кодекс с гражданским.

В целом это было эмоционально очень тяжелое обсуждение, потому что столько критики, которая не имела отношения к содержанию, я никогда не видела.

- А как к вашим подходам отнеслись представители крупнейших технологических корпораций мира?

- Бигтеху не очень нравятся суверенные подходы в регулировании платформ и защите граждан. Мы видим это и на примере нашей страны. Им это правда неудобно. Однако там, где были возможны компромиссные решения, мнения техгигантов было услышано. Но для нас, законодателей, как я уже говорила, во главе угла стоят человек и национальные интересы нашей страны.

- Вы считаете, что вам удалось преодолеть лобби крупных корпораций?

- Еще не удалось, кодекс пока не подписан (улыбается). Это была очень жесткая борьба в стенах мажилиса, поэтому я надеюсь на поддержку своих коллег в сенате, куда направлен наш документ. Этот кодекс патриотичен настолько, насколько это возможно в плане цифровой защиты наших граждан и целей, которые поставил президент.

Тогжан ГАНИ, Астана