Как правительства Казахстана, Узбекистана, Кыргызстана и Таджикистана трактуют понятие «цифрового суверенитета» в контексте влияния глобального интернета и международных стандартов прав человека? Существует ли риск, что стремление к цифровому суверенитету приведет к усилению цифрового контроля со стороны государства и даже к формированию «цифрового авторитаризма»?

В перечисленных странах отличаются подходы от зарубежных государств, и даже в сравнении с США и Европейским Союзом. Если в Европе мы отмечаем более человекоцентричный подход, то в Центральной Азии отмечаются некоторые моменты, которые связаны с развитием цифровой инфраструктуры. В других случаях мы видим институциональный подход для развития цифровых платформ более национального характера с целью большего контроля того, что происходит в цифровом пространстве. В том числе это касается ситуаций, когда запросы поступают от лиц, находящихся на территории государства, но сама платформа функционирует из-за рубежа. Столкнувшись с подобными рисками и невозможностью эффективно ограничивать нежелательный контент, государства региона начали приходить к выводу о необходимости разработки собственных внутренних подходов к регулированию интернет-пространства. В целом именно такой подход и преобладал.

Если проанализировать страны по отдельности, то, например, в Казахстане был подход, основанный на развитии программы «Цифровой Казахстан». Также нужно было разрабатывать дополнительные стратегии по кибербезопасности и развитию цифровизации. В том числе нужно было разрабатывать и свои платформы для оказания помощи гражданам в получении государственных услуг. В целом похожие подходы и практики существуют и в Узбекистане, и в Таджикистане, и в Кыргызстане, но есть существенные отличия в том, как это реализовывалось. Отличие подходов – это создание национальных дата-центров. К примеру, в Узбекистане высокий уровень локализации данных: обсуждался законопроект, направленный на защиту прав пользователей, что свидетельствует о том, что планируется вести контроль над цифровым пространством. В Кыргызстане тоже шло укрепление цифрового пространства – похожие меры по защите цифровых прав граждан, в том числе подходы по обеспечению информационной безопасности. В Таджикистане также обозначено желание развития собственной цифровой экосистемы.

Касательно рисков, которые связаны с данными цифровыми подходами и решениями – тут важно наблюдение в динамике. В случаях гражданской активности в странах региона либо явного выражения несогласия со стороны гражданского общества (например, при обсуждении каких-то законопроектов), государством применялись инструменты блокировок. Это говорит о том, что в целом, да, есть подход, который направлен на развитие цифровой инфраструктуры, национальных инструментов, институционализацию цифровых платформ. Но также имеет место и регулирование цифрового пространства – в некоторой степени в отдельных государствах мы наблюдали проявления цифрового авторитаризма. Это отмечалось в том, что безопасность была ключевым подходом, но тем не менее, когда происходили случаи блокировок, мы отмечаем, что это сопровождалось ограничением свободы выражения мнения и, конечно же, цензурой.

Какую роль в киберпространстве региона играют внешние силы – например, влияние России и Китая – а также крупные технологические корпорации (от Huawei и Kaspersky до Google и Meta)? Способствуют ли они укреплению кибербезопасности и развитию цифровой инфраструктуры или, напротив, усиливают зависимость региона и позволяют расширять государственный цифровой контроль под своим влиянием?

Да, в целом «экспорт цифрового суверенитета» рассматривался в рамках технологически продвинутых решений – как инфраструктурных, так и в продвижении теории киберсуверенитета, где страны будут более-менее равны в возможностях доступа и не будет ограничений при организации телекоммуникаций, установки дата-центров. В Казахстане есть часть опыта, схожая с российской моделью, которая использовалась для установки цифрового наблюдения, то есть решение СОРМ (система оперативно-розыскных мероприятий) – установление контроля телекоммуникаций, контроля связи абонентов. Казахстан перенимал пример: «пакета Яровой», контрольные меры были приняты в регламентах по управлению поставщиками телекоммуникационных услуг. Почему я сравниваю с «пакетом Яровой»? Потому что в России есть четкие критерии, когда поставщики услуг обязаны хранить информацию на серверах и, в случае необходимости (прописанной под очень обширным термином «обеспечение национальной безопасности», куда можно включить всё что угодно, включая контртеррористическую деятельность и обеспечение общественного порядка), они должны эту информацию предоставить. Мы были свидетелями дела, которое рассматривалось в Европейском суде по правам человека: Павел Дуров отказывался предоставлять данные, и отмечалось нежелание поставщика раскрывать конфиденциальную информацию. В Казахстане есть подобный регламент, коротко называемый «регламент КНБ по телекоммуникациям». Поставщики телекоммуникационных услуг обязаны хранить эту информацию на серверах и, так же как в России, предоставлять эти данные. То есть модель киберсуверенитета и технологическое влияние на поставку технологий, программного обеспечения и телекоммуникаций здесь прослеживается по российской концепции.

Что касается Китая. У них, конечно же, много направлений по обеспечению безопасности, в том числе использование камер с функцией распознавания лиц, системы «умный город» (Smart City). Мы знаем этот концепт: что мы будем быстро и удобно заходить в свой дом, не переживая, что он будет подвержен каким-то чрезвычайным событиям, технические приборы оставленные включенными, через систему вас уведомляют о проблеме. И концепция распространяется не только на жилой комплекс, но и на всю инфраструктуру региона, где проходит пилотный период. Допустим, один из первых проектов – Smart Aqkol в котором апробирована система цифровых двойников. Контролировалась «умная» система: водоснабжение, критически важные объекты – всё находилось под цифровым контролем. Там полностью всё контролировалось: начиная от критически важных объектов, заканчивая дорогами, контролем дорожных происшествий, установкой умных камер, распознающих лицо и номер проезжающей машины. Эти технологические решения пока не затронули весь Казахстан, но, тем не менее, мы видим тенденцию.

С правовой точки зрения могу сказать, что в Казахстане в 2020 году был принят весомый закон о регулировании цифровых технологий. Он как раз внёс положения, заимствующие опыт некоторых стран, в том числе по установлению системы национального видеомониторинга. Этот анализ показывает, что ранее все поставщики услуг были автономными; единственные, кто мог что-то контролировать, – это органы правоохранительной деятельности и Комитет национальной безопасности. Сейчас, по поправкам 2020 года, система национального мониторинга подразумевает единый дата-центр, который будет контролироваться государственными органами. Мы видим переход на госконтроль со стороны государства для установления цифрового суверенитета, в том числе контроля со стороны госсектора над критически важными объектами и общественными местами. Как показали январские события, национальный суверенитет здесь сыграл особую роль – в особенности установка камер наблюдения: посчитали, что теперь нужно усиливать безопасность, и все камеры с функциями распознавания лица нужно устанавливать в крупных городах, чтобы в необходимый момент обеспечивать безопасность и контроль. Эти планы уже реализуются: планомерно идёт установка таких камер, как Hikvision и других моделей, закупленных в Китае.

В целом отмечалась тенденция создать «цифровой firewall» в Казахстане – так называемый сертификат безопасности. В 2019 году была инициатива по созданию системы национального сертификата, который должен быть установлен на каждом устройстве связи пользователей. Требование подразумевалось как обеспечение безопасности данных, всё будет под единым контролем. Но тем не менее мы, как гражданское общество, эксперты (в том числе представители Центра анализа и расследования кибератак – ЦАРКА), выступали против данной инициативы. Почему? Посчитали, что это будет конкретное ограничение со стороны государства, единый контроль каналов связи, общения – SMS, телефонных звонков, посещения сайтов, любой привязки. Мы посчитали, что это уже чрезмерная мера со стороны государства. Почему? Потому что, возвращаясь к международным стандартам в области защиты прав человека: да, обеспечение безопасности – ключевое требование государства, но при этом нужно обращать внимание на институты по защите прав человека, которые являются незыблемыми и фундаментальными. Если есть необходимость обеспечить безопасность, она должна идти в балансе, не расходиться с фундаментальными правами. Настаивая на том, что нарушается принцип необходимости таких мер, их соразмерности и адекватности, мы добились того, что данная инициатива не прошла обсуждение, и в последующем эти сертификаты мы не устанавливали.

Что касается вопроса сбора данных – всегда, когда мы выступаем на любых площадках, задаём этот вопрос. На мой вопрос «Где эти данные хранятся?» выясняется, что не всегда у нас есть серверы, которые могут обеспечить полный объем хранения данных на территории Казахстана. Получается, что наши данные постепенно попадают за рубеж, в том числе в тот же Китай – потому что кто продаёт нам оборудование, кто даёт технологические решения, тот и является хранителем информации, и у них есть очень большие объемы хранилищ. Альтернативное решение – купить у них эту услугу, но государство не всегда готово тратить бюджетные деньги дополнительно на какое-то облачное хранилище или дата-центр. Поэтому бюджет, допустим, может быть рассчитан только на покупку оборудования, но, к сожалению, на дата-серверы и центры хранения – нет. Что, конечно же, вызывает риски.

Риски – в том, что при закупке какого-либо оборудования хранение данных должно быть обеспечено на территории страны, чтобы само государство могло полностью контролировать, что уходит и что остаётся на территории. Соответственно, эти моменты являются ключевыми для защитников приватности, но, к сожалению, не всегда ключевыми для представителей власти и тех, кто внедрял эти технологические решения.

Насколько активно страны Центральной Азии сотрудничают друг с другом и с международными партнёрами в сфере кибербезопасности? Превалирует ли региональное сотрудничество (например, в рамках многосторонних инициатив) или каждая страна движется по своему пути, подчёркивая собственный цифровой суверенитет? Какие преимущества и риски возникают при таком подходе с точки зрения противодействия киберугрозам и сохранения цифровой самостоятельности? Что мешает выработке единой региональной стратегии и какие последствия это имеет для защиты персональных данных и устойчивости цифровой инфраструктуры государств?

Попытки объединения усилий предпринимались, но они очень слабые. Почему? Потому что в государствах различаются подходы. Если приводить пример европейской позиции – у них есть Europol. При расследовании, допустим, все государства – участники Европейского союза – могут по звонку договориться: «В Нидерландах сейчас находится кибермошенник, который вымогает – нужно его быстро выявить, обезвредить и сделать недоступной возможность проведения банковских операций». Всё это быстро по телефону решается. У нас, к сожалению, такого уровня нет. У нас есть соглашения, но вопрос решается очень долго – как признаёт Министерство внутренних дел – несмотря на то что мы создали отдельный киберпол (киберполицию), мы не можем решить задачу, находясь только в своём государстве. Обращаясь в другое соседнее государство, бывает, процесс уголовного расследования и преследования лиц, совершивших кибератаку, затягивается, потому что не всегда страны заинтересованы помогать моментально, когда требуется действительно быстрое решение для сохранения финансовых средств.

То есть, если подводить итог, получается, что как будто бы намерение кооперироваться есть, но реальных шагов в этом направлении регион не предпринимает. И это, с одной стороны, отсутствие гармонизации в законодательстве. Есть ли ещё вопрос с компетенциями? Есть ли у нас недостаток специалистов или разный уровень подготовки в наших странах, которые не позволяют специалистам по кибербезопасности сотрудничать эффективно?

На этот вопрос отвечу так. Я сама являюсь заместителем декана высшей школы права по учебной работе и трудоустройству. Наша задача – трудоустроить выпускников, начиная с практики и заканчивая поиском рабочих мест. Более того, мы запустили в университете специальность «IT-право», чтобы будущие кадры могли разбираться в цифре, не только в праве – были в симбиозе. Уже который год подряд у нас проводится заседание бизнес-совета работодателей, и четвёртый год подряд оно посвящено цифровой сфере. Это общая потребность обсуждения. Юристы обсуждают и говорят: нам действительно не хватает юридических кадров со знаниями в IT, ИИ. И когда выступает МВД, они озвучивают позицию, что специалистов по кибербезопасности не хватает. Нам недостаточно только «технарей» – нужен человек, который разбирается и в праве, знает, что такое институты права и правильно их применяет. Почему? Потому что в расследовании это очень важно: когда объект находится на территории другого государства, какие договоры нам нужно заключать? В каждом ведомстве и государственном учреждении есть департаменты по международному сотрудничеству. Но, тем не менее, нужны специалисты с двойными навыками – которые умеют работать с ИИ, с алгоритмами, применяют технические термины и знают право. Такой симбиоз есть, но кадровый голод обусловлен тем, что низкий уровень зарплат всё-таки присутствует.

Какие национальные стратегии кибербезопасности и правовые механизмы (например, законы о данных или о киберпреступности) реализуются в Казахстане, Узбекистане, Кыргызстане и Таджикистане? Нацелены ли эти меры преимущественно на защиту критической инфраструктуры и граждан от киберугроз, или они зачастую служат оправданием для расширения полномочий государства в цифровой сфере и ограничения свобод пользователей?

Было принято несколько решений по части кибербезопасности в разных странах. Допустим, в Казахстане есть подход регулирования через отраслевое законодательство – у нас нет отдельного закона о кибербезопасности. Есть отраслевые законы и кодексы, которые это регулируют. К примеру, в Уголовном кодексе есть отдельная глава по обеспечению информационной безопасности и противодействию «компьютерным преступлениям» (термин устаревший, но под него подпадают все определения, касающиеся кибербезопасности). Пока не было решения принять отдельный закон – как, например, в Узбекистане. У них с 2022 года принят отдельный закон по безопасности, и они выделили основные аспекты, касающиеся безопасности критически важных объектов, уязвимостей, защиты сайтов, ответственности поставщиков и так далее. Подходы отличаются: да, кто-то регулирует отраслевым законодательством, а кто-то сделал отдельный закон по обеспечению кибербезопасности.

В Кыргызстане были отдельные законодательные меры. Первая – это в 2020 году широко и резонансно обсуждался закон о манипулировании информацией. Было сложно понять, что относится к контексту «манипулирования», кто будет нести за это ответственность. Были прописаны штрафные санкции, и в ходе обсуждений сыграло роль общественное мнение граждан, которые посчитали, что этот закон не для них, а направлен на нарушение их прав, на ограничения. Они решили, что от такого закона появится больше цензуры, больше ограничений прав журналистов, экспертов, правозащитников. Поэтому он был отклонён. Впоследствии его модифицированная версия появилась как законы о «достоверной» и «ложной» информации. В этом контексте, конечно же, присутствуют расплывчатые определения ложной информации. И сейчас очень часто обсуждается то, что применяется блокировка без судебного решения. Вот это самый ключевой риск, когда цифровые меры ограничения используются не в пользу граждан.

Что касается Узбекистана и Таджикистана – у них тоже очень высокий уровень контроля со стороны государства. Условно говоря, «гайки закручены» не в пользу граждан, в том плане, что присутствует контроль и цензура через цифровые инструменты, и желание обеспечить только те удобные для государства информационные потоки.

Столкнувшись с ростом кибератак, как реагируют правительства региона? Какие шаги предпринимаются для защиты критической инфраструктуры и данных граждан? И нет ли риска, что под предлогом борьбы с кибератаками усиливается цензура интернета и контроль над цифровой информацией, оправдываемые целями национальной безопасности?

Если привести пример Казахстана – у нас тоже были крупные утечки. Первый случай – утечка в Генеральной прокуратуре РК. Второй – утечки в ЦОНах (Центрах обслуживания населения), которые обладают информацией обо всех гражданах Республики Казахстан: более 18 миллионов данных пользователей утекли зарубеж. Когда эта новость прозвучала и ЦАРКА (Центр анализа и расследования кибератак) озвучила все данные, выявив уязвимость, наши государственные представители признали, что утечка произошла. Однако Министерство внутренних дел сообщило, что «уголовного состава данного преступления нет», то есть нет никакого нарушения – потому что нет состава преступления и нет обратившихся лиц, которые бы сказали: «А мои данные утекли, и в результате я пострадал». В тот момент мы, граждане, об этом не задумывались, потому что ничего не почувствовали.

Мы почувствовали это позже. Мы чувствуем это на своих родных и близких, потому что им стали звонить – таргетировано. Наши близкие, не обладая определённой грамотностью по защите своих прав, с этим сталкиваются. И вот сейчас, как результат, оформлены кредиты без согласия субъекта, рассрочки, сняты депозиты со всех банковских счетов граждан. Всё это – результат тех утечек. Я связываю это не только с государственным сектором, но и с пользовательским поведением – всеми возможными открытыми доступами через публичный Wi-Fi, через сомнительные сайты и так далее. В итоге мы находимся в уязвимом положении сейчас – и не только мы, а все страны центральноазиатского региона, которые ежедневно с этим сталкиваются.

Это отмечалось в рамках того, что, да, безопасность была ключевым подходом, но тем не менее случаи блокировок сопровождались ограничением свободы выражения мнения и контролем, конечно же, над цензурой.

В последующем ЦАРКА (Центр анализа и расследования кибератак) получила предложение коллаборировать для обеспечения кибербезопасности страны – выстроить систему обороны, свою «армию защитников», потому что не обязательно сейчас воевать в физическом смысле. Нужен потенциал подготовленных технических кадров. Сейчас ЦАРКА работает с Министерством обороны, с Министерством внутренних дел. Мы поднялись в соответствующем индексе ООН – думаю, это заслуженная заслуга этих органов, которые помогают взаимодействовать.

Наблюдаются ли в цифровой сфере Центральной Азии существенные неравенства доступа и возможностей? Как так называемый цифровой разрыв — например, между городским и сельским населением, богатыми и бедными, разными поколениями — влияет на уровень кибербезопасности и защищённость пользователей? Учитывают ли государственные политики эти структурные перекосы или невольно их усугубляют?

Недавно у меня было интервью по ЦОНам (центрам обслуживания населения). Почему? Потому что там поднимался вопрос, что их будут постепенно сокращать – мол, у нас всё оцифровано, можем полагаться на цифровые услуги, и нет необходимости дальше расширять сеть ЦОНов. Но когда анализируем ситуацию в регионах, выходит большая проблема с цифровой неграмотностью и доступом к интернет-услугам, в том числе с подключением к Интернету. Не у всех есть точки доступа, нет возможности получить эти услуги дистанционно, не выходя из дома. Есть люди с ограниченными возможностями, которые не смогут разобраться, скажем, даже в простых интерфейсах – им нужен человек, который поможет, будет рядом сопровождать: ту же биометрию пройти, поднести лицо ближе или дальше к кружочку… Эти моменты были озвучены в рамках интервью.

Я рассказала о том, что действительно отсутствует социальное равенство между гражданами. Не все могут своевременно – как, например, в Астане (где в каждом районе есть ЦОН) – получить услуги. В отдалённых регионах нет такого доступа, у людей зачастую нет стабильного Интернета. Если не будет альтернативы, то большая часть Казахстана окажется ограничена – люди не смогут правильно воспользоваться цифровыми услугами и столкнутся с этими ограничениями.

На примере других стран видно, как можно решать эту проблему. В первую очередь – это развитие оптоволоконной инфраструктуры, чтобы обеспечить равный доступ к Интернету во всех регионах. Это не должно быть так, что в Астане хороший доступ, а в отдельных регионах, аулах, сёлах – хуже. Наоборот, он должен быть равным – в этом и заключается равное предоставление услуг и качества со стороны государства. Также – обучение граждан. Если кто-то не в состоянии полноценно воспользоваться цифровыми инструментами, человеческий фактор остаётся первостепенным: помощь специалистовдолжна присутствовать.

Помощь нужна и в том, чтобы граждане справлялись с кибермошенничеством – когда получают фейк рассылки, звонки от мошенников. Поиск и наказание тех, кто рассылает фейковую информацию, я думаю, тоже будет позитивным шагом, чтобы возместить ущерб пострадавшим гражданам. И самое главное – коллективизация исков. К примеру, если права граждан массово нарушаются, в Европе они могут массово подать иск против своего государства. У нас такого инструмента нет – мы не являемся участниками Европейского суда по правам человека. Но это была бы хорошая практика.

Применяют ли правительства региона технологии искусственного интеллекта (ИИ) для обеспечения национальной безопасности и правопорядка в киберпространстве – например, системы распознавания лиц, анализ больших данных или предиктивные системы для правоохранительных органов? Какие риски это создаёт для приватности и прав граждан, и есть ли опасения, что такие алгоритмы могут усилить цифровой авторитаризм через автоматизацию слежки и потенциальную алгоритмическую предвзятость?

В Казахстане уже применяются технологии распознавания лиц в рамках концепции «Умного города». В пилотных проектах (например, Smart Aqkol) создавались цифровые двойники, внедрялись системы для тотального цифрового контроля: отслеживалось всё – от водоснабжения и работы критически важных объектов до дорожных происшествий. Устанавливались «умные камеры», которые распознают лица и номера машин. Фактически это – тотальный контроль со стороны государства.
Эти решения сейчас не охватывают весь Казахстан, но тенденция налицо. В 2020 году принят Закон «О регулировании цифровых технологий», который внёс нормы, позаимствованные из опыта некоторых стран, – в том числе об установлении системы национального видеомониторинга. Раньше все поставщики услуг работали автономно, и контролировать их могли разве что правоохранительные органы и КНБ. Теперь же, согласно поправкам 2020 года, система национального мониторинга подразумевает единый дата-центр под контролем государства. Видим переход к госконтролю: государство устанавливает цифровой суверенитет и контроль над критически важными объектами и общественными местами. После январских событий решили усиливать безопасность – все камеры с функцией распознавания лиц нужно ставить в крупных городах, чтобы при необходимости обеспечить безопасность и контроль. Сейчас планомерно устанавливают такие камеры (например, модели Hikvision, закупленные в Китае).

Отдельно хочу отметить проблему биометрии – ее следует обсудить отдельно. Мы поднимали много инициатив по правовому решению этой темы: мы подготовили хорошие рекомендации для проекта закона об искусственном интеллекте, потому что в рамках нашей страны не обсуждается принятие отдельного закона о защите биометрических данных. Единственным решением было включить защиту в проект закона о регулировании искусственного интеллекта. Также мы подготовили свои рекомендации к проекту «Цифрового кодекса», чтобы обеспечить защиту биометрии.

Немного предыстории. В 2016 году был принят закон о дактилоскопической и геномной регистрации. Его вступление в силу планировалось в 2021 году. Когда мы работали над проектом «Биометрия KZ», мы изучали этот закон: для чего он применяется и какие будут последствия для граждан – как с точки зрения безопасности данных, так и экономического характера. В 2020 году, до вступления закона в силу, мы обсуждали его и отправляли ряд запросов в Министерство внутренних дел. Какая связь с биометрией? В рамках этого закона было прописано, что в 2021 году все граждане РК должны сдать свои отпечатки пальцев в обязательном порядке. Если вы отказываетесь – вам выписывается штраф. Если вы отказываетесь менять своё удостоверение личности – новое вам не выдадут. Такие вот ограничения применялись (это было опубликовано на основном сайте eGov). Также сообщалось, что на закуп оборудования планируется потратить 38 миллиардов тенге. Мы отправляли запросы по бюджету: если планируется закуп, какое будет оборудование, где будут храниться данные, где будут серверы, кто будет нести ответственность.

В итоге, к 2022 году МВД нам отвечало (за что мы им благодарны – они не отказывались от диалога). Мы тогда сотрудничали с ОФ «Еркіндік қанаты», совместно отправляли эти запросы. Дошло до того, что нас пригласили в Министерство цифровизации при участии Администрации Президента. В 2021 году вступление закона было отложено ввиду того, что отпечатки пальцев не могли собрать – была пандемия COVID 2019, и официально на сайте написали, что сейчас сбор невозможен из-за карантинных мер. В 2022 году планировалось (и было объявлено), что «мы переносим на 2022 год, и будете все сдавать в обязательном порядке». Даже несовершеннолетние – 16-летние, получая удостоверение, должны сразу привязать его к отпечатку пальца в присутствии родителей или опекунов. Но мы тоже продолжали свой проект.

В итоге отменяют обязательную сдачу дактилоскопии – её перенесли в формат добровольной. Теперь, если хотите, привяжите отпечатки; если не хотите – можете свободно ходить со своим старым удостоверением. Я вижу здесь комплексный подход. Я бы не сказала, что была очень сильная борьба, потому что нам немного повезло: пандемия сыграла позитивную роль, МВД отвечало на наши вопросы, не игнорируя их. В целом вопрос решался ближе к дате, и мы смогли увидеть подходы и оценки – наши аналитические отчёты демонстрировали несоответствие закона международным стандартам (большей частью частичные или полные несоответствия).

Мы подтвердили, что готовность страны к внедрению такого закона находится на низком уровне. Поэтому я вижу такой результат работы экспертов – поднятие обсуждения данного закона. Ведь о нём вообще услышали и заговорили только ближе к дате вступления в силу – ранее, в 2016 году, он был принят без широкого обсуждения.

В региональном контексте интересен подход Кыргызстана, потому что они начали использовать биометрию для избирательного процесса. Предполагалось, что избирательный процесс будет справедливее, если гражданин сдает биометрию, и он не сможет проголосовать на нескольких участках (потому что сдал один раз – и это зафиксировано в базе). Но если он не сдал свою биометрию, не привязал к паспорту – то он ограничен в праве выбора, он не может участвовать в избирательном процессе. Понимаете: вроде бы есть одно решение, но с другой стороны – ты тогда в ограничен в правах. Если, например, кто-то не захотел сдавать биометрию (потому что это тоже право – я не хочу сдавать свою чувствительную информацию, касающуюся моего лица, изображения), то я не могу тогда проголосовать и воспользоваться другим своим правом. В развитом государстве должна быть альтернатива.

Наш анализ выявил, что в Кыргызстане были также потери данных. Эти флешки, на которых хранилась биометрия, передавались из рук в руки очень неэтично. Сейчас граждане опасаются, что их биометрия всё-таки не в безопасности. И это не сравнить с персональными данными, которые можно поменять. У меня, допустим, полгода назад была другая фамилия, сейчас уже другая – ничего, нормально. Но отпечатки пальцев мы поменять не можем – это уникальный идентификационный код, который, к сожалению, заменить нельзя. То есть это касается чувствительных категорий данных. Поэтому мы настаиваем в рамках рекомендаций к законопроектам, чтобы биометрии уделялось больше внимания и защиты, нежели чем персональным данным.

В части Таджикистана и Узбекистана – подходы похожие. Они контролируют миграционные процессы; у них очень много соглашений с Российской Федерацией, чтобы отслеживать, кто сколько находится на территории, когда её покинул, вернулся или нет, были ли нарушения миграционного режима.
В Казахстане, помимо миграционных процессов, биометрия применяется в государственных услугах. Мы, не выходя из дома, начали получать справки – но, опять же, нужно сдать биометрию, чтобы, не выходя, всё было доступно и легко. Также и финансовые операции: банки, депозиты, кредиты – всё осуществляется посредством биометрии. Банковский сектор полностью работает на ней.

Следующее – здравоохранение. Это тоже отдельный блок, затронувший биометрию. В Казахстане мы сейчас отмечаем, что изначально с биометрией были 19 поликлиник в Астане, сейчас проектов больше. Мы участвовали во встрече с вице-министром здравоохранения, где было обозначено, что теперь будут собирать данные массово – для того чтобы исключить «приписки» в поликлиниках (случаи, когда врачи отмечают посещение, которого не было), чтобы врачи не приписывали услуги, которые гражданин на самом деле не получал. Как выяснилось, как это реализуется: заходишь в кабинет – тебя фотографируют. Ничего не спрашивают, просто говорят: «Нам надо сфотографировать». Никакого устного или письменного согласия, никаких вопросов, связанных с персональными данными, естественно, не возникает. Это происходит начиная с кабинета терапевта и заканчивая кабинетом маммолога. Предлагалась альтернатива для идентификации – у вас есть телефон, есть приложение госуслуг, или можно предъявить удостоверение – но в этих поликлиниках никто вам альтернативу не предлагает, вас просто фотографируют и всё, без спроса. То есть реализация технических решений проходит не в том направлении, как бы нам хотелось.

Следующая – самая чувствительная тема, которую хотелось бы обозначить, – это дети. Потому что права ребёнка – особая категория. Был проект в Кызылординской области, когда начали собирать биометрию детей без разрешения – естественно, без разрешения самих детей (дети дошкольного возраста). Они приходят в садик, утром их фотографируют. Для чего? Для того чтобы избежать приписок в садике, чтобы избежать посещения тех детей, которые не зарегистрированы в детских садах (а это ещё одна большая проблема, озвученная в Казахстане, связанная с очередями в дошкольные учреждения). Мы очень сильно об этом беспокоились, обращались в суд, писали в Министерство образования о том, что какой-то проект реализуется без согласия, без общественного обсуждения, без законодательных мер. В итоге что сделали?

Теперь получили согласие со стороны родителей (это государственное учреждение, государственный садик) и по-прежнему продолжают снимать биометрию – неважно, какое настроение у ребёнка утром. И все эти данные хранятся у одного поставщика, который просто успел через тендер закупить это оборудование и успешно его реализует. Попытки со стороны Министерства образования решить эту задачу успехом не увенчались. Мы видим повсеместное внедрение биометрии во всех направлениях, в том числе и в образовании. Потому что для того, чтобы сдать ЕНТ (единое национальное тестирование) – опять же, в режиме прокторинга студент проходит идентификацию, обязательно доказывая, что он – это он. Проходит аутентификацию – и всё, это чтобы избежать рисков подделок, подставных лиц, сдающих экзамен. Но в целом я вижу, что очень много имеется потребности в биометрии. Общие рекомендации вы можете посмотреть в нашем докладе, в котором содержатся общие рекомендации для всех стран.

Какую роль играют гражданское общество и независимые эксперты в формировании политики кибербезопасности в Центральной Азии? Удается ли правозащитным организациям, журналистам, экспертному сообществу донести альтернативный взгляд или сдержать тенденции цифрового авторитаризма в странах региона? С какими препятствиями сталкиваются активисты, пытаясь отстаивать цифровые права и приватность пользователей, и есть ли примеры успешного участия общественности в этих вопросах?

У нас, конечно, есть активная гражданская позиция у правозащитников и общественных активистов, которые занимаются вопросами «цифры». Сейчас я отмечаю тренд: многие правозащитники перешли, переквалифицировались – если раньше акцент был на защите прав человека в целом (свобода выражения мнения, права женщин, гендерное равенство), то сейчас мы видим больше акцента на защиту цифровых прав. Широко обсуждался закон о регулировании онлайн-платформ. Также обсуждались законы, которые касались свободы выражения мнения и участия в мирных собраниях. Было много обсуждений, чтобы не допустить принятие закона о мирных собраниях.

Если сравнивать практики по центральноазиатскому региону – например, закон о фейках был принят в Кыргызстане после того, как они отменили закон о манипулировании информацией. Я не знаю в деталях, как это обсуждалось, какие адвокационные кампании проводились, но вижу по контексту, что протесты и отдельные организации способствовали недопущению принятия законов, которые формируют политику ограничений или мониторинга.

В Казахстане есть позитивный пример, который я связываю с нашей работой по закону о дактилоскопической (биометрической) регистрации. Это качественная работа, связанная с информационной кампанией: резонанс и участие, комментарии обычных граждан сыграли роль, чтобы мы не сдавали биометрические данные и, в целом, защитили свои чувствительные данные.

Также была поддержка со стороны СМИ – они нас очень часто интервьюировали (буквально раз в месяц) и были выступления на телеканалах, таких как «Хабар» (на казахском, на русском языке) – для того чтобы донести обеспокоенность общества этими вопросами.

По влиянию на иные законы я вижу сейчас более-менее позитивное влияние открытых обсуждений. Каждый гражданин может дать свой комментарий через портал обсуждения нормативно правовых актов («Legal Acts»). Это плюс, потому что раньше, да – тот же закон 2016 года был принят непонятно когда: его обсуждали в какой-то экспертной группе, мы о нём не знали. А сейчас любой подзаконный акт проходит процедуру обсуждения – в том числе «Цифровой кодекс». Это очень обсуждаемая тема, и мы видим, что сейчас Digital Rights Center Qazaqstan может давать свои рекомендации. Не всегда и не у всех такие возможности есть, но хотя бы у нас они появляются.

Российские коллеги, допустим, удивляются: «У нас юристы независимых центров не могут принимать участие и давать свои рекомендации». Благо у нас такая возможность есть – наши рекомендации запрашиваются. В последний раз, когда на первом чтении приняли закон об ИИ, я уточнила: «Приняты ли все наши рекомендации, которые мы изначально передавали?» Мне подтвердили, и позже отправили ссылку о том, что в первом чтении их учли. Ждём финальной версии проекта, его одобрения – но в целом мы видим обратную связь. Также отмечу приглашение к участию представителей НПО – причём не только нашего Digital Rights Center Qazaqstan (мы всё-таки частная юридическая консалтинговая организация), но и НПО: нас тоже приглашали, когда обсуждали законы по дактилоскопии. Приглашали на Digital Forum Almaty 2023, 2024, 2025, на IFC Days, и мы там могли доносить проблемы общества и свои позиции.

Министерство цифровизации РК тоже с нами очень хорошо взаимодействует, Комитет информационной безопасности тоже слушает нашу позицию. Помимо нас, я вижу, продвигается и ЦАРКА (Центр анализа и расследования кибератак) – они изначально вообще отдельно работали как независимый проект: выявляли уязвимости у банков, у государственных органов (утечка данных ЦОНов была выявлена в результате их работы). Впоследствии им предложили сотрудничество, чтобы обеспечить кибербезопасность страны – выстроить свою оборону системы, выстроить «армию киберзащитников». Ведь необязательно сейчас воевать в военном и физическом смысле – нужен хороший потенциал информационных, технических кадров для защиты киберпространства. И ЦАРКА сейчас работает с Министерством обороны, с Министерством внутренних дел. Мы также поднялись в индексе ООН. То есть это, я думаю, отмеченная заслуга этих организаций, которые помогают взаимодействовать.

Плюс QazCloud – я и их работу видела: они организовывали комитет по цифровой политике. Видно, что не только государственный сектор сам в своём ключе что-то разрабатывает в сфере цифровизации – по крайней мере, я вижу такое взаимодействие, и оно меня очень радует.

Какую системную роль может играть гражданское общество в обеспечении подотчётности и транспарентности в сфере кибербезопасности? Какие формы участия возможны – от мониторинга нарушений до разработки альтернативных политик – и какие барьеры мешают такому участию сегодня в странах Центральной Азии?

Сейчас отмечается, что создание открытых площадок для обсуждения (тот же портал «Legal Acts») влияет позитивно: каждый гражданин может дать свой комментарий к проектам. Раньше многое принималось без широкого обсуждения, а сейчас даже такой объёмный документ, как «Цифровой кодекс», обсуждается публично. Digital Rights Center, например, предоставляет свои рекомендации.
Мы видим и обратную связь: наши предложения могут быть учтены. Как я ранее говорила, в первом чтении обсуждения закона об ИИ подтвердили, что наши рекомендации были приняты – мы ждём финального проекта, но уже на этом этапе есть взаимодействие. Также приглашают НПО – и нас, и другие организации – к участию в обсуждениях.

Министерство цифровизации, Комитет информационной безопасности – они нас слушают. Цифровое сообщество и государство взаимодействуют. Тот же пример с ЦАРКА: независимые технические эксперты нашли уязвимости, публично объявили о них – и вместо того чтобы их игнорировать, государство привлекает их к сотрудничеству. Сейчас они вместе строят кибероборону страны, и это повысило рейтинг Казахстана в глобальном индексе. То есть появляются механизмы совместной работы.

Однако у нас нет некоторых важных инструментов. Если права граждан массово нарушаются, мы не можем, как в Европе, коллективно подать иск против своего государства – у нас такого механизма просто нет (мы не участники Европейского суда по правам человека). Это серьёзный барьер для подотчётности. Также, если крупные компании нарушают права наших граждан, у нас не предусмотрены настолько ощутимые штрафы, как в Европе, и нет такого документа, как GDPR (от англ. General Data Protection Regulation – общий регламент ЕС по защите персональных данных). Даже если мы их оштрафуем за, скажем, нарушение закона о локализации данных – это будут мизерные суммы (примерно 70 тысяч тенге штрафа), от которых им ни холодно ни жарко. Выгода от монетизации данных для них намного выше, чем эти маленькие штрафы. Таким образом, гражданское общество в странах региона всё ещё ограничено – и правовыми рамками, и отсутствием некоторых инструментов – в своих возможностях влиять на киберполитику. Но тем не менее, те формы участия, которые появляются – публичные обсуждения, независимая экспертиза, сотрудничество технических экспертов с государством, работа СМИ – уже сейчас помогают добиваться больших прозрачности и учёта интересов граждан.