Монголия. Обзор законодательства в области информационной безопасности

Монголия. Обзор законодательства в области информационной безопасности

Монголия (монг. Монгол Улс) — государство с наименьшей плотностью населения в мире в Северо-Восточной Азии. Граничит с Россией на севере и Китаем на юге. Не имеет выхода к морю. День обретения независимости — 11 июля 1921 года.

Столица и крупнейший город — Улан-Батор.

Официальный язык — халха-монгольский, с письменностью на кириллице (раньше для его записи использовалось старомонгольское письмо).

Монголия является участником почти всех структур ООН, а также некоторых структур СНГ в качестве наблюдателя.

Монголия предпринимает значительные шаги по урегулированию законодательства в сфере информации и ее защиты, кибербезопасности. В 2021 году был принят комплект законов, которые составили в Монголии правовую основу для перехода к цифровой трансформации: Закон о прозрачности публичной информации, Закон о защите персональных данных, Закон об электронной подписи, Закон о поставщике услуг виртуальных активов и Закон о кибербезопасности.

Законодательство Монголии о защите персональных данных состоит из Конституции Монголии, Гражданского кодекса, Трудового кодекса, Закона о защите персональных данных, Закона о прозрачности публичной информации, Закона о кибербезопасности, Закона об электронной подписи и других.

ЗАКОН О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Закон о защите персональных данных от 17.12.2021 г. распространяется на всех физических, юридических лиц и организации без юридического статуса, собирающие, использующие и защищающие персональные данные на территории Монголии.

Данный закон не распространяется на сбор,использование и обеспечение сохранности информации, относящейся к физическому лицу или члену его семьи, если при этом не нарушаются права этого лица на неприкосновенность и свободу; размещение звуко-, видео- и аудиовизуальных записывающих устройств в целях охраны движимого и недвижимого имущества, находящегося в собственности, владении и пользовании лица, а также жизни и здоровья членов его семьи; использование собственной биометрической информации в целях защиты движимого и недвижимого имущества, находящегося в собственности, владении и пользовании лица, а также для хранения информации.

Закон выделяет следующие виды данных (информации):

• биометрические данные — данные о теле человека, такие как отпечатки пальцев, радужная оболочка глаз, лица, голоса и признаки физической активности, которые позволяют идентифицировать человека с помощью оборудования и программного обеспечения;
• генетическая информация — информация, указывающая на физические, медицинские и наследственные генетические характеристики человека, определяемые путем анализа биологических образцов;
• информация о переписке — информация, которой обмениваются с использованием писем, посылок, электронной почты, средств связи и информационных технологий;
• информация об имуществе — информация об имуществе, принадлежащем и используемом владельцем информации;
• личная информация относится к конфиденциальной информации о человеке и другой информации, которая может прямо или косвенно идентифицировать человека, например, имя родителей человека, его собственное имя, дата рождения, место рождения, место жительства, местонахождение, регистрационный номер гражданского состояния, активы, образование, членство, электронный идентификатор;
• конфиденциальная информация о человеке включает информацию о национальности, этнической принадлежности, религии, убеждениях, состоянии здоровья, переписке, генетической и биометрической информации, личных ключах к цифровой подписи, отбывает ли он наказание и другую. Закон отдельно определяет понятие цифрового идентификатора (имя пользователя информационной системы, которое идентифицирует человека в электронной среде, адрес проводных и беспроводных технологий для электронной почты, социальных сетей и коммуникаций, информации в других типах устройств и информационных системах);
• медицинская информация — информация о физическом или психическом здоровье человека и доступе к медицинскому обслуживанию.

Закон выделяет различные основания для обработки персональных данных различными субъектами: государственными органами; физическими, юридическими лицами и организациями без юридического статуса.

В законе дается определение только оператора (контролера данных) — физического, юридического лица или иной организации, которые собирают и используют информацию в соответствии с законом или с согласия владельца информации (субъекта персональных данных). При этом закон проводит различие между оператором и обработчиком путем закрепления их прав и обязанностей, ответственности, способа и требований к правовому оформлению их правоотношений.

Оператор осуществляет сбор, обработку и использование персональных данных на основаниях, предусмотренных законодательством, или с согласия субъекта персональных данных. Оператор может передать ответственность за сбор и иную обработку данных обработчику данных на основании договора. Законодательством предусмотрено, что такой договор должен предусматривать цель сбора и обработки данных, перечень персональных данных и условия защиты прав субъекта персональных данных. Если иное не указано в договоре, обработчику данных запрещается передавать свои обязательства, а ответственность должна быть четко определена в договоре.

Закон о защите персональных данных соответствует международным стандартам, установленным Общим регламентом Европейского союза по защите данных (GDPR), а также Руководящими принципами ОЭСР (OECD). Он направлен на укрепление доверия среди граждан и содействие инновациям, основанным на данных, при одновременном уважении прав и свобод личности.

Обеспечение соблюдения и регулирование защиты персональных данных в Монголии осуществляется сетью специализированных государственных органов, каждый из которых играет жизненно важную роль в обеспечении выполнения Закона о защите персональных данных. Главными из них являются Национальная комиссия по правам человека и Министерство цифрового развития, инноваций и коммуникаций.

Национальная комиссия по правам человека является надзорным органом и осуществляет следующие полномочия в отношении защиты данных:

• контроль выполнения законов и нормативных актов о защите персональных данных, организация работы по информированию и распространению информации относительно обработки персональных данных, представление требований и рекомендаций в соответствующие организации, принятие соответствующих нормативных актов;
• рассмотрение жалоб на нарушения прав и свобод человека, допущенные в процессе обработки и защиты персональных данных, либо в случае угрозы такого нарушения, осуществление расследования нарушений по собственной инициативе, представление требований и рекомендаций в соответствующие органы;
• предоставление требований и рекомендаций соответствующим организациям в области обработки и защиты чувствительных персональных данных и другие.

Министерство цифрового развития, инноваций и коммуникаций отвечает за формирование и обеспечение соблюдения политики, направленной на защиту персональных данных. Министерство разрабатывает руководящие принципы безопасного использования электронных подписей и защиты закрытых ключей цифровых подписей, а также контролирует выполнение Закона о кибербезопасности. Это гарантирует, что безопасность данных остается приоритетной задачей в быстроразвивающемся цифровом пространстве Монголии.

Законодательство в области кибербезопасности включает в себя Конституцию Монголии, Закон о кибербезопасности, Закон о национальной безопасности, Закон о вооруженных силах, Закон о государственной и служебной тайне, Закон о связи, Закон о разведывательном управлении, Закон о секретности организаций, Закон о прозрачности публичной информации, Закон о личной тайне, Закон об электронной подписи и другие. 

ЗАКОН О КИБЕРБЕЗОПАСНОСТИ

Закон о кибербезопасности принят 17.12.2021 г. и регулирует отношения, касающиеся создания системы, принципов и правовой базы обеспечения кибербезопасности, а также обеспечения безопасности, конфиденциальности и доступности информации в киберпространстве и киберсреде.

К кибербезопасности закон относит обеспечение безопасности, конфиденциальности и доступности информации в киберсреде.

Под киберпространством понимаются материальные и нематериальные платформы, состоящие из интернета и других информационно-коммуникационных сетей, а также взаимозависимых систем, обеспечивающих их функционирование.

Киберсреда означает информационные системы и сетевые среды, обеспечивающие доступ, вход в систему, сбор, обработку, хранение и использование информации, а безопасность — защиту от несанкционированного удаления или изменения.

Обеспечение кибербезопасности включает следующие работы:

• политика, администрирование, содействие;
• технические и технологические меры по обеспечению кибербезопасности;
• предотвращение кибератак и нарушений, а также повышение осведомленности о них;
• выявление кибератак и нарушений, прекращение их и реагирование на них, меры по восстановлению.

Правительство должно принять общие процедуры обеспечения кибербезопасности, предотвращения, обнаружения и противодействия киберпреступлениям. При этом юридические лица обязаны осуществлять:

• оценку рисков кибербезопасности (юридическое лицо должно иметь в своем штате сотрудника, прошедшего сертификацию в международной профессиональной или стандартизационной ассоциации или эквивалентной организации);
• проверки информационной безопасности (юридическое лицо должно иметь в штате сотрудника, сертифицированного международной профессиональной ассоциацией или организацией, занимающейся стандартизацией, или аналогичной организацией, для проведения аудитов информационной безопасности).

Указанную деятельность осуществляют юридические лица, зарегистрированные в государственном центральном административном органе, отвечающем за цифровое развитие и коммуникации. 

Система кибербезопасности в Монголии включает: правительство, внештатный совет по кибербезопасности, центральный государственный административный орган, отвечающий за цифровое развитие и коммуникации, разведывательное агентство, вооруженные силы, полицию, государственные юридические лица, юридические лица, граждан, организации, обладающие критически важной информационной инфраструктурой.

Также законом предусмотрено построение системы борьбы с кибератаками и нарушениями, включающей:

• центр по борьбе с нападениями и нарушениями (национальный центр по борьбе с кибератаками и нарушениями, общественный центр по защите от кибератак и нарушений, центр вооруженных сил по борьбе с кибератаками и нарушениями);
• национальный центр, входящий в структуру разведывательного агентства;
• общественный центр, функционирующий под управлением государственной центральной административной организации, отвечающей за цифровое развитие и коммуникации;
• центр вооруженных сил, функционирующий в рамках структуры организации кибербезопасности вооруженных сил.

Благодаря принятию Закона о кибербезопасности сформированы система и правовая база обеспечения кибербезопасности, урегулированы вопросы координации, содействия и мониторинга между государством, частными и юридическими лицами в обеспечении кибербезопасности. Одним из достижений стало присвоение Монголии в 2024 году 3-й категории (уровень 3, «развивающаяся») в Глобальном индексе кибербезопасности (GCI), выпущенным Международным союзом электросвязи (ITU). Оценивались обязательства страны в области кибербезопасности по пяти показателям: правовому, техническому, организационному, развитию потенциала, сотрудничеству.

Надеемся, что данный обзор поможет не заблудиться в законодательстве Монголии. Мы постарались облегчить путь изучения и применения на практике нормативных законов и подзаконных актов в области ИБ.