Манай улсын төрийн байгууллагуудын сүлжээнд гадаадын 40 орчим улсаас цаг, минут тутамд цахим халдлага ирж байдаг аж. Зөвхөн нэг хоногт дунджаар 9900 орчим маш өндөр түвшний, 8000 орчим өндөр түвшний цахим халдлага бүртгэгдэж байгаа мэдээллийг мэргэжлийн байгууллагуудаас гаргажээ. Үүн дотор БНХАУ, ОХУ, АНУ, ХБНГУ-аас халдлага хамгийн ихээр бүртгэгддэг гэнэ.
Тэгвэл эдгээр халдлагын дийлэнх нь мэдээлэл хулгайлах зорилгоор хийдэг гэсэн судалгаа бий. Гэтэл манай улсад мэдээллийн аюулгүй байдал маш эмзэг түвшинд байгааг олон улсын байгууллагууд төдийгүй Тагнуулын ерөнхий газраас хийсэн эрсдэлийн судалгааны дүн ч харуулж байна. Тагнуулын ерөнхий газрын Мэдээллийн аюулгүй байдлын газраас 2013-2017 онд төрийн байгууллага, эрчим хүчний салбарын онц чухал дэд бүтэцтэй байгууллагуудад хийсэн цахим мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээнээс харахад тус байгууллагуудын удирдлагын цахим мэдээллийн аюулгүй байдлын талаарх ойлголт муу, дэмжлэг сул, энэ чиглэлээр ажилладаг хүний нөөцийн чадвар дутмаг, мэдээллийн технологийн хэрэглээ өндөр ч энэ чиглэлд хэрэгжүүлсэн төсөл, хөтөлбөрүүдэд аюулгүй байдлын асуудлыг орхигдуулсныг онцолсон байв. Мөн мэдээллийн аюулгүй байдлын үндэсний стандартуудыг мөрддөггүй, сургалт, сурталчилгаа хийдэггүй, цахим халдлагад өртөх өндөр магадлалтай нийтлэг дүр зураг гарчээ.
Мөн Засгийн газрын 2010 оны тогтоолоор батлагдаж, 2010-2015 оны хооронд хэрэгжсэн “Мэдээллийн аюулгүй байдлыг хангах” үндэсний хөтөлбөрийн хэрэгжилт тун хангалтгүй дүгнэгдсэн байна. Тодруулбал, “Мэдээллийн аюулгүй байдлыг хангах” үндэсний хөтөлбөрийн хүрээнд 66 арга хэмжээ хэрэгжүүлэхээр төлөвлөснөөс 12 нь бүрэн, 12 нь 60-аас дээш, 22 нь 30-50 хувь, үлдсэн 20 арга хэмжээ нь 0-20 хувийн биелэлттэй гарч хөтөлбөрийн нийт үнэлгээ 45.5 хувь тал хувьдаа ч хүрсэнгүй. Эндээс харвал Монгол Улсад цахим мэдээллийн аюулгүй байдлыг хангах тогтолцоо бүрдээгүй нь байгууллагуудын мэдээллийн систем, технологийн дэд бүтэц цахим халдлагад өртөх эрсдэлийг нэмэгдүүлж байгаа учраас төр, хувийн хэвшлийн байгууллагууд мэдээллийн аюулгүй байдлаа хангах зайлшгүй шаардлага тулгарч байна. Тэр дундаа бүхий л үйлчилгээ цааснаас цахимд шилжиж хувь хүний өгөгдөл болох хурууны хээг төр гэлтгүй хувийн үйлчилгээний байгууллагууд өргөнөөр ашиглаж буй энэ нөхцөлд манай улсын нэн тэргүүнд анхаарах хамгийн эхний асуудал нь мэдээллийн аюулгүй байдлын хуулийг батлан гаргах болсныг мэргэжлийн хүмүүс анхааруулсаар ирсэн.
Сүлжээ дэлгүүрүүдийн хөнгөлөлтийн карт, гар утасны компани гээд шуурхай нэрийн дор иргэдийн хурууны хээгээр үйлчилж буй байгууллагууд цөөнгүй.
Гэтэл дэлхий нийтээр улс орон болоод иргэдийнхээ хувийн мэдээллийг хакердуулж цахим халдлагын өмнө хүчин мөхөсдөж буй энэ үед манай улс ч гэсэн төр болон иргэнийхээ хувийн мэдээллийг хамгаалах хууль эрхзүйн орчныг яаралтай бүрдүүлэх цаг иржээ. Үгүй бол өнөөдөр хаанаас ч хэний ч компьютерийг хакердаад байгууллага болоод иргэний давхцахгүй өгөгдлийг хувилж олшруулж, юунд ч ашиглаж мэдэхээр болсныг гэрчлэх олон жишээ баримт бий. Ганцхан жишээ дурдахад, Замын хөдөлгөөний төв серверийг хакердаж автомашины торгуулийг устгасан нь саяхан. Сүүлийн гурван жилийн хугацаанд цагдаагийн байгууллагад цахим орчинд гарч буй 600 орчим гомдол, маргаан, мэдээлэл бүртгэгдсэн. Үүний 202-т эрүүгийн хэрэг үүсгэж шалгасан байна.
Тэгвэл мэдээллийн аюулгүй байдалтай холбоотой багц хуулийн төслүүдийг УИХ-аар хэлэлцэж эхэллээ. Харилцаа холбоо, мэдээллийн технологийн газраас боловсруулж буй Цахим мэдээллийн аюулгүй байдлын тухай хуулийн төсөлд Монгол Улс мэдээллийн аюулгүй байдлаа хангах талаар дараах зохицуулалтыг тусгажээ.
193 УЛСЫН 88 НЬ ӨГӨГДӨЛ ХАМГААЛАХ ТУХАЙ ХУУЛЬТАЙ
Мэдээллийн аюулгүй байдлыг хангахад хамгийн чухал нь хувь хүний давхцахгүй өгөгдөл буюу хурууны хээн мэдээллийг хэрхэн ашиглах, хадгалж, хамгаалах асуудал юм. Үүнийг дэлхийн бусад улс орон Өгөгдөл хамгаалах тухай хуулиар зохицуулж ирсэн бол манай улсын хувьд өнөөг хүртэл ийм нэртэй хууль батлагдаагүй байна. Өөрөөр хэлбэл, хувь хүний нууц, хурууны хээ бүхий өгөгдлийг ашиглаж буй байгууллагууд ямар нэг байдлаар мэдээллийг алдах, цахим халдлагад өртөхөд ямар ч хуулийн зохицуулалт алга. 1995 онд батлагдсан Хувь хүний нууцын тухай хуулиар зохицуулахаар заасан ч өнөөгийн нөхцөлд үүргээ гүйцэтгэж чадахгүйд хүрээд байгаа юм. Тиймээс Харилцаа холбоо, мэдээллийн технологийн газраас боловсруулж буй Өгөгдөл хамгаалах хуулийг батлах хэрэгцээ шаардлага их байгааг холбогдох албаныхан ч хэлж байна. Хуулийн төсөлд хувь хүний давхцахгүй нууц өгөгдлийг хамгаалах мөн хариуцлагын асуудлыг хэрхэн зохицуулсныг хүргэж байна. Өгөгдөл хамгаалах хуулийн төсөлд тусгаснаар хувь хүний мэдээллийг авч буй байгууллага хадгалж хамгаалах бүхий л харилцааг зохицуулсан гэрээ байгуулна. Хэрэв иргэн хувийн мэдээлэл алдагдсан гэж үзвэл гомдол гаргаж шийдвэрлүүлэх боломжийг олгохын тулд “Мэдээллийн комиссар”-тай байхаар тусгажээ. Дэлхийн бусад улс орон хувийн мэдээллийг хамгаалах тусгай төв байгуулж ажилладаг байна.
Ц.Оюун: Иргэний мэдээллийг ашиглахдаа зөвшөөрөл авч, гэрээ хийхээр зохицуулсан
Өгөгдөл хамгаалах тухай хуулийн төслийн талаар Харилцаа холбоо, мэдээллийн технологийн газрын Систем нэгтгэлийн албаны ахлах мэргэжилтэн Ц.Оюунтай ярилцлаа.
-Өгөгдөл хамгаалах тухай хуулийн гол концефцийг танилцуулахгүй юу?
-Өгөгдөл хамгаалах тухай хууль олон жил ярьсан. Өнгөрсөн оны байдлаар дэлхийн 193 улсын 88 нь хувь хүний мэдээлэлтэй холбоотой асуудлыг Өгөгдөл хамгаалах тухай хуулиар зохицуулсан байдаг. Тиймээс бид хуулийн төслийг боловсруулахдаа олон улсад өргөн хүрээнд ашиглаж байгаа Европын холбооны улсын хуулиас загвар авсан. Хувь хүний нууцын тухай хуулийг хүчингүй болгож нууцын зэрэглэлтэй ойлголт, ямар мэдээлэл нууц байх тухайг Өгөгдөл хамгаалах хуультай нэгтгэнэ. Бүх тооцоо судалгааг нэгтгээд Ажлын хэсэгт хүлээлгэж өгсөн. Хуулийн концефц үзэл баримтлал батлагдасны дараа өргөн баригдах юм.
Шинэ хуулиар Өгөгдлийн эзэн гэсэн нэр томъёотой болж байна. Хуулийн гол зарчим бол хувь хүний ямар өгөгдөл цуглуулах, ямар зорилгоор боловсруулах тухайгаа өөрт нь танилцуулж зөвшөөрөл авах харилцааг зохицуулж байгаа. Тухайлбал, банк зэрэг үйлчилгээний байгууллага танаас мэдээлэл авахдаа аль төрлийн мэдээллийг ямар зорилгоор юунд ашиглаж болох, ямар хугацаанд ашиглах, хэрхэн аюулгүй хамгаалах вэ гэдгийг танилцуулж зөвшөөрөл авч гэрээ хийх юм. Төрийн байгууллагуудад эрх нь хуулиар олгогдсон байдаг учраас энэ чиг үүрэг хамаарахгүй. Зөвхөн хувь хүн, хуулийн этгээдэд хамаарах юм.
-Тэгвэл хувь хүний мэдээллийг хамгаалах, хяналт тавьж хариуцлага тооцохыг хэрхэн зохицуулж байгаа вэ?
-Иргэн, хуулийн этгээд хувийн мэдээллийг хэрхэн хамгаалж, хадгалахаа танилцуулах ёстой. Харин ямар нэг байдлаар мэдээлэл алдагдлаа гэхэд тухайн байгууллага тантай гэрээ байгуулсан бол холбогдох хуулийн дагуу хариуцлага хүлээнэ.
-Иргэний мэдээллийг ийм түвшинд хамгаална гэсэн нарийвчилсан заалт байгаа юу?
-Аюулгүй байдлын арга хэмжээ авч хэрэгжүүлэхээр тусгасан. Мэргэжлийн байгууллагууд хяналт тавих юм. Өгөгдөл хамгаалах хууль, Цахим мэдээллийн аюулгүй байдлын хууль багц болоод явах учраас төрийн болон хувийн байгууллагуудын мэдээллийн аюулгүй байдлыг хангах чиг үүрэг бүхий шинэ бүтэц бий болгохоор хуулийн төсөлд санаачилсан. Аюулгүй байдлаа хэрхэн хангах, нууцлалаа хамгаалах асуудал цогцоор орж ирнэ гэсэн үг. Ялангуяа, Өгөгдөл хамгаалах хууль хувь хүнээс зөвшөөрлийг нь авах учраас хүний эрхийг илүүтэй баталгаажуулж өгөх төдийгүй иргэдийн гомдол мэдээллийг хүлээж авч шийдвэрлэдэг бие даасан бүтэц бий болгох санал гаргасан.
-Мэдээллийн аюулгүй байдлыг хангасан эсэхэд хэрхэн хяналт тавих. Мөн хувь хүний өгөгдлийг алдвал яг ямар хариуцлага хүлээлгэх талаар тодруулахгүй юу?
-Хувийн хэвшлийг шууд хянана гэсэн үг биш. Тодорхой шаардлага, зөвлөмж өгч ажиллана. Хувь хүний мэдээллийг алдана гэдэг бол хуульд зааснаар аюулгүй байдлын арга хэмжээгээ аваагүй л гэсэн үг. Харин хакердуулсан тохиолдолд ч юм уу шууд буруутгах боломж хомс. Гэхдээ мэдээллийн аюулгүй байдлын бүх талын хамгаалалтаа тухайн байгууллага хийсэн байх ёстой. Хувь хүний мэдээллийг авсан л бол мэргэжлийн байгууллагуудын тавьсан шаардлага, дүрэм журмын дагуу аюулгүй байдал, нууцлалаа маш сайн хангах ёстой. Аюулгүй байдлаа хангаагүй бол Өгөгдөл хамгаалах тухай хуулиар хувь хүн, хуулийн этгээдийг Зөрчлийн тухай хуулийн дагуу тодорхой нэгжээр торгохоор зохицуулсан. Дэлхийн жишгээр бол торгуулийн хэмжээ их өндөр байдаг юм билээ. Бидний хувьд дэлхийн жишгийг улсын эдийн засаг, дотоодын нийт бүтээгдэхүүнтэй харьцуулж тооцоо судалгаа хийсний үндсэн дээр Зөрчлийн хуулиар торгууль ногдуулах заалт оруулсан.
Өгөгдөл хамгаалах хуулиар бас нэг чухал асуудлыг зохицуулж өгч байна. Хувь хүн, хуулийн байгууллага тухайн хүний зөвшөөрөлгүй гэрээнд зааснаас өөр байдлаар мэдээллийг ашигласан эсвэл алдагдсан гэж үзвэл гомдол гаргах байгууллага бий болгохыг зорьж байна. Олон улсын жишгээр тусгай комисс ажилладаг. Монголд ийм байгууллага хараахан байхгүй ч хуулийн төслийн хүрээнд Хүний эрхийн комиссын хууль, журамтай танилцаж байгаад хүний эрхийг хангах чиглэлээр шинээр гишүүн нэмэх боломж бий эсэх. Эсвэл олон улсын жишгээр “Мэдээллийн комиссар”-тай болгож цахим орчинд хувь хүний өгөгдөл мэдээллийг хамгаалах чиглэлээр ажиллах нь зайлшгүй шаардлагатай гэж үзэж байна.
Хүний эрхийн комиссын дөрөв дэх гишүүн байж болох уу гэдэг асуудал яригдаж байна. Хүний эрхийг хамгаалах талын байгууллага байх шаардлагатай.
Цахим мэдээллийн аюулгүй байдлын тухай хуулийн төслийн онцлох заалтууд
Онц чухал цахим мэдээллийн дэд бүтэцтэй байгууллага цахим халдлага, зөрчил үссэн үед ажиллах тусгайлсан төлөвлөгөө боловсруулж хэрэгжүүлнэ.
Хуулийн этгээд нь үйл ажиллагааны онцлогоос хамааран цахим мэдээллийн аюулгүй байдлын мэргэжилтэнтэй. Онц чухал цахим мэдээллийн дэд бүтэцтэй байгууллага нь цахим мэдээллийн аюулгүй байдлыг хангах чиг үүрэг бүхий зохион байгуулалтын бүтцийн нэгж эсхүл мэргэжилтэнтэй байна.
Төрийн байгууллагын цахим мэдээллийн аюулгүй байдлыг хангах үйл ажиллагааг улсын төсвөөс санхүүжүүлнэ. Тагнуулын байгууллагын зөвшөөрснөөр бусад эх үүсвэрээс санхүүжүүлж болно.
Төрийн байгууллага мэдээллийн сангийн нөөцийг тогтмол шинэчилж, архив үүсгэсэн байх, иргэнийг нийгмийн сүлжээний үйлчилгээнд хэрэглэгчээр бүртгэхдээ тухайн иргэнийг цахилгаан холбооны үйлчилгээний хувийн дугаараар нь баталгаажуулна.
Иргэн, хуулийн этгээд нь цахим мэдээллийн аюулгүй байдлын чиглэлээр үйл ажиллагаа явуулдаг мэргэжлийн байгууллагаар цахим мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээ хийлгэнэ.
Хуурамч бүртгэл, хууль бус контентыг түдгэлзүүлэх, нээх, устгах талаарх эрх бүхий байгууллагын шийдвэрийг хүлээн авснаас хойш 24 цагийн дотор шийдвэрлэж хариу өгөх.
Тагнуулын байгууллага иргэн, хуулийн этгээдийн хүсэлтийн дагуу эрсдлийн үнэлгээ хийж болно.Онц чухал цахим мэдээллийн дэд бүтэцтэй байгууллага дотооддоо эрсдлийн үнэлгээг жилд нэгээс доошгүй удаа хийнэ.
Цахим мэдээллийн аюулгүй байдлын тухай хуульд заасан үүргээ биелүүлээгүй иргэнийг 75 нэгжтэй тэнцэх хэмжээний төгрөгөөр, хуулийн этгээдийг 750 нэгжтэй тэнцэх хэмжээний төгрөгөөр торгох шийтгэл оногдуулна.