Технологийн хөгжлийг дагаад цахим орчин дахь хувь хүний мэдээллийг цуглуулах боловсруулахтай холбоотой бүхэн бүтэн эдийн засгийн сектор гарч ирсэн. Дэлхий дээрхи хамгийн өндөр зах зээлийн үнэлгээтэй хэд хэдэн компани энэхүү мэдээлэл цуглуулж боловсруулахтай холбоотой үйл ажиллагаа хийж байна. Гэвч үүний нөгөө талд зохицуулалтгүйгээр хувь хүний мэдээлэл цуглуулж боловсруулах нь мэдээллийн эзэнд таагүй нөхцөл байдал үүсгэж хохироох боломжтой. Бодлого боловсруулагчдын зүгээс энэ хоёрын алтан балансыг олж мэдээллээ өгч буй хувь хүний эрсдэлийг бага байлгах, нөгөө талд мэдээллийг нь цуглуулж буй байгууллага тодорхой түвшинд баялаг бүтээх боломжийг нь олгох ёстой.

Шинээр олон нийтийн хэлэлцүүлэгт ороод буй “Хувь хүний мэдээлэл хамгаалах хууль” нэртэй хуулийн төсөлд мэдээлэл технологийн болон мэдээллийн аюулгүй байдлын мэргэжилтэн хийгээд мэдээллийн эзний үүднээс доорхи саналуудыг өглөө. Миний харж буйгаар энэхүү хуулийн төсөл нь тодорхой түвшинд мэдээллийн эзний эрх ашигийг хангасан боловч нөгөө талд мэдээлэл цуглуулж боловсруулах шаардлагатай хувийн хэвшлийн байгууллагат шаардлагагүй төрийн дарамтуудыг ихээр үүсгэсэн санагдаж байна. Хамгийн хоржоонтой нь адилхан үйл ажиллагаа явуулдаг Монголд бүртгэлгүй цахим үйлчилгээнд энэ хууль хүрч хариуцлага тооцож чадахгүй боловч энэ шаардлагыг хангаж чадаагүй дотоодын хуулийн этгээдийн үйл ажиллагаа багагүй хүндрэх шинжтэй.

Хуулийн төслийг https://mojha.gov.mn/wp-content/uploads/2021/02/Huviin-Medeelel-Hamgaalah.pdf хаягаас үзнэ үү.

Саналууд:

1. “3.2.Энэ хууль нь дараах харилцаанд үйлчлэхгүй” гэсэн хэсэгт Төрийн болон улстөрийн албан хаагчийн албан ажилтай хамааралтай мэдээллүүд багтахгүй гэсэн утгатай заалт оруулмаар байна. 4.1.1-т санхүү, албан тушаал зэрэг мэдээллийг хувь хүний мэдээлэлд хамруулсан учир төрийн болон улстөрийн албан хаагчийн иймэрхүү төрлийн мэдээлэл хамгаалалтанд орох боломжтой байна. Ингэснээр төрийн ил тод байдлын зарчим алдагдах боломжтой.
2. “7.2.2.Үндэсний аюулгүй байдал, нийтийн эрх, хууль ёсны ашиг сонирхлыг хамгаалах;” болон “7.2.3.мэдээллийн эзний амь нас, бие махбодь, эрх, эрх чөлөө, эд хөрөнгөд хохирол учруулахаас урьдчилан сэргийлэх, түүний эрх, хууль ёсны ашиг сонирхлыг хамгаалах;” гэсэн заалтууд нь мушгигдах боломжтой санагдаж байна. Өөрөөр хэлбэл үндэсний аюулгүй байдал гэсэн том нэршилийг урдаа бариад иргэний эрх рүү төр халдаад байх боломжийг энэ заалт өгчихөж магадгүй. Ядаж л илүү нарийн тодорхойлох эсвэл шаардлагатай хууль журам руу зааж өгөх ёстой болов уу.
3. “7.2.4.бусдын эрх, хууль ёсны ашиг сонирхолд хохирол учруулахаас урьдчилан сэргийлэх;” заалт нь бас хэт өргөн хүрээнд бөгөөд төр нэг иргэний эрх ашигийг нөгөө иргэнийхээс илүүд үзэж ялгаварлан гадуурхах боломжийг нээж өгч байна.
4. “9.2.7.иргэн, хуулийн этгээдийн гаргасан нэхэмжлэлийн шаардлагад хуульд заасны дагуу тайлбар, мэдүүлэг, нотлох баримт гаргаж өгөх;” заалтанд үндэслэн хувь хүний эмзэг мэдээллийг олон нийтэд ил гаргах боломжтой байна. (шүүхийн нэхэмжлэх олон нийтэд ил байдаг)
5. “10.6.Мэдээлэл хариуцагчийн энэ хуулийн 10.5-д заасан журмын дагуу тогтоосон мэдээллийн аюулгүй байдлын шаардлагыг хангасан нь мэдээлэл алдагдсанаас үүсэх хариуцлагаас чөлөөлөх үндэслэл болохгүй.” гэж заасан нь мэдээлэл хариуцагчид хэтэрхий их дарамт болох заалт байна. Үндсэндээ баримтлах зарчим бол тогтоож өгсөн аюулгүй байдлын стандартыг тултал хангаж, хийх ёстой ажлуудаа бүгдийг хийсэн боловч ямар нэг байдлаар халдлагад өртсөн болон мэдээллээ алдсан нөхцөлд хариуцлага хүлээх ёсгүй байх юм. Өөрөөр хэлбэл төр ямар нөхцөлд хувийн мэдээлэл хадгалах стандарт нь тодорхой болгож байнга түүнийгээ шинэчлэж явах ёстой. Мэдээлэл хариуцагч шаардлагатай бүх үйл ажиллагааг хийсэн боловч 0 day vulnerability-ээс болоод халдлагад өртлөө гэхэд хариуцлага хүлээх нь шударга бус юм. Энэ зарчим нь ганц биометрик гэлтгүй бусад бүх мэдээлэл дээр хамаатай.
6. “14.1.Мэдээллийг мэдээллийн эзний бичгээр өгсөн зөвшөөрлөөр, эсхүл хуульд заасан үндэслэлээр хилийн чанадад дамжуулна.” гэсэн заалт байгаа нь их ерөнхий бөгөөд аль ч тал руу мушгиж болох сонин заалт байна. Жишээ нь гадаадад сервер нь буй паблик клауд ашиглаж байгаа нийгмийн сүлжээ ажиллуулдаг компани бүх хэрэглэгчийнхээ бичгээр өгсөн зөвшөөрлөөр клауд ашиглах боломжтой болно. Гэтэл яг адилхан үндэслэлээр банкууд бүх харилцагчийнхаа мэдээллийг гадагш нь гаргах боломжтой. Үндэсний аюулгүй байдал ярих дээрээ тулвал банкны харилцагчдын мэдээллийг гадаад улсад хостлох нь илүү өндөр эрсдэлтэй учир жишээ нь хориглох шаардлагатай. Одоогийн Монголбанкны журмаар бол зөвхөн Монгол Улс дотроо байрлах ёстой ч хууль ийм байдлаар батлагдвал хуулиас давсан журам гэж байхгүй учир маргаан үүсгэх бүрэн боломжтой. Гэтэл нөгөө талд стартап компаниуд зардлаа хэмнэхийн тулд аль хямдхан клауд үйлчилгээг сонгох боломж нь нээлттэй байх ёстой. Энэ шаардлагыг ерөнхийд нь Data residency requirement гэдэг. Үүнийг илүү задалж, сектороор нь ангилах болон процессийг нь илүү нарийвчилж боловсруулах шаардлагатай.
7. “15 дугаар зүйл.Мэдээллийн эзний эрх” бүлэгт Мэдээллийн эзэн өөрийн мэдээллийг буруу байгаа нөхцөлд засуулах эрхтэй гэсэн утгатай заалт оруулах шаардлагатай
8. “17.2.7. мэдээллийг мэдээллийн эзний албан ёсны баримт бичгийн эх хувь, эсхүл цахимаар илгээсэн баримт бичигт дурдсан мэдээлэлтэй тулгаж, бүртгэх;” энэ заалт бас мэдээлэл хариуцагчид хэтэрхий өндөр шаардлага тавьсан заалт байна. Санхүүгийн систем зэрэг систем Know Your Customer (KYC) шалгалт хийж байгаа нөхцөлд албан ёсны бичиг баримт шаардана гэхээс жишээ нь чат апп ашиглахын тулд бичиг баримтаа шалгуулж суудаг хэрэглэгч гэж байхгүй. Үр дүнд нь дотоодын апп-ууд хохирч хэрэглэгчээ алдах эрсдэлтэй. Зарчмын хувьд мэдээллийн эзэн мэдээллийнхээ үнэн бодит байдлыг хариуцна гэхээс, мэдээлэл хариуцагч мэдээллийн эзний өгсөнөөс илүү түвшинд гаргаж хянана гэж байх ёсгүй.
9. “19.1.Дараах тохиолдолд мэдээллийн эзэнд мэдэгдэл өгнө:” гэсэн хэсэгт хувийн мэдээлэлтэй хамаатай үйлчилгээний нөхцөл (Terms of Service) өөрчлөгдсөн нөхцөлд заавал мэдэгдэх хүргүүлэх гэсэн утгатай заалт байх ёстой.
10. “22.1.1.мэдээлэлд хүний оролцоогүй цахим хэлбэрээр хийх боловсруулалт нь мэдээллийн эзний эрх, эрх чөлөө, хууль ёсны ашиг сонирхолд нөлөөлөхүйц шийдвэр гаргах;” заалтын дагуу бол жишээ нь фэйсбүүк компани friend recommendation харуулдаг системээ, amazon компани book recommendation хийдэг системээ ХХЗХ-д шалгуулж үнэлгээ хийлгэсний үр дүнд Монголын зах зээл дээр ашиглах боломжтой болно. Иймээс энэхүү заалт нь ялгаварлан гадуурхах боломж үүсгэх магадлалтай бөгөөд дотоодын систем хөгжүүлэгчдэд сул тал болж өгөх юм.

Жич: Дээрхи саналыг 2021 оны 2 сарын 23-ны өдөр [email protected] рүү илгээсэн болно.