Банк бус санхүүгийн байгууллагуудын үйл ажиллагаа тэлэхийн хэрээр зээлийн аппликэйшн болон цахим үйлчилгээ иргэдийн өдөр тутмын хэрэглээ болоод байна. Гэвч зээлийн хүртээмж нэмэгдэхтэй зэрэгцэн иргэдийн хувийн мэдээллийг зөвшөөрөлгүй ашиглах, төлбөр барагдуулах нэрээр ойр дотнын хүмүүс рүү нь удаа дараа залгаж дарамтлах, зээл төлж дууссаны дараа ч мэдээллийг нь устгахгүй хадгалах зэрэг зөрчил түгээмэл гарч буй гэнэ. ХЭҮК-ын гишүүн Г.Нарантуяатай энэ талаар ярилцлаа.
-Хүний хувийн нууц, эмзэг мэдээлэл гэж юу болох талаар та эхлээд тодруулахгүй юу. Хуульд энэ ойлголтыг хэрхэн тодорхойлсон байдаг бол?
-Монгол Улс Хүний хувийн мэдээллийг хамгаалах тухай хуулийг 2021 онд баталж, 2022 оны тавдугаар сарын 1-нээс мөрдөж эхэлсэн. Эл хууль нь олон улсын жишигт нийцүүлэн хувийн мэдээллийг цуглуулах, боловсруулах, ашиглах, хадгалах, устгахтай холбоотой нарийвчилсан харилцааг зохицуулснаараа онцлог юм. Үүнээс өмнө хүний хувийн нууцын тухай дөрөвхөн заалттай, маш ерөнхий зохицуулалттай хуулийг мөрдөж байв.
Тус хуульд хэд хэдэн суурь ойлголтыг тодорхой зааж өгсөн. Тухайлбал, хүний хувийн болон эмзэг мэдээлэл, нууц гэж юу болохыг нарийвчлан тодорхойлсон байдаг. Уг хуулийн 4.1.12-т үндэс угсаа, шашин шүтлэг, итгэл үнэмшил, эрүүл мэнд, захидал харилцаа, генетик болон биометрик өгөгдөл, тоон гарын үсгийн хувийн түлхүүр, ял эдэлсэн, эсэх байдал, бэлгийн болон хүйсийн чиг баримжаа, илэрхийлэл, бэлгийн харьцаатай холбоотой мэдээллийг эмзэг гэдэг ангилалд хамааруулжээ. Үүний дотор 9.1-т эмзэг мэдээллийг оруулаад эрүүл мэнд, захидал харилцаа, генетик болон биометрик мэдээлэл, тоон гарын үсгийн хувийн түлхүүр, бэлгийн болон хүйсийн чиг баримжаа, бэлгийн харьцааны талаарх өгөгдөл нь хувь хүний нууцад хамаарна гэж эмзэг мэдээллээсээ ялгаж өгсөн.
-Тэгвэл манай улс эл хуулийг хангалттай хэмжээнд хэрэгжүүлж чадаж байна уу?
-ХЭҮК хуулийн дагуу “Монгол Улс дахь хүний эрх, эрх чөлөөний төлөв байдлын талаарх илтгэл”-ийг жилд нэг удаа УИХ-д танилцуулдаг. Цахим технологи, хүний эрхийн асуудал тэр дундаа хувийн мэдээллийг хамгаалах хуулийн хэрэгжилт, хийдлийн талаар 2025 оны гуравдугаар сард илтгэсэн. Хүний хувийн мэдээллийг өнөө үед цахим эриний газрын тос хэмээн тодорхойлох болсон. Бидний зан төлөв, амьдралын хэв маяг, худалдан авах сонирхол зэрэг мэдээлэл нь эдийн засгийн маш чухал өгөгдөл болдог. Тухайлбал, хувийн мэдээлэлд үндэслэн тодорхой бараа, үйлчилгээг хэнд санал болгохоос эхлээд тухайн хүний нийгэм, улс төрийн сонголтод нөлөөлөх боломжийг тодорхойлдог. Тиймээс энэ төрлийн мэдээллийг хамгаалах нь хүний эрхийн суурь асуудлын нэг болоод байна.
ХУВИЙН МЭДЭЭЛЭЛ НЬ ӨӨРИЙН ХАЛДАШГҮЙ БАЙДЛЫГ ХАМГААЛАХ ТҮЛХҮҮР
-Хувийн мэдээллээ хамгаалах иргэдийн мэдлэг, хандлагын түвшнийг та хэрхэн тодорхойлох вэ?
-Манай улсад иргэдийн олонх нь үүнийг өөрийн халдашгүй байдлыг хамгаалах түлхүүр гэдгийг хангалттай ухамсарлаагүй. Жишээлбэл, гудамжинд явж буй иргэдээс “Бид танд ийм урамшуулал санал болгож байна. Та регистрийн дугаараа хэлнэ үү” гэхэд хэдэн хүн татгалзах бол. Үүнээс иргэдийн хувийн мэдээллээ хамгаалах мэдлэг хэр дутмаг байгааг харж болно. Мөн “Ковид-19” цар тахлын халдвар дотоодод тархахад хавьтагчийг тогтоох нэрээр иргэдийн нэр, регистр, утасны дугаарыг ямар ч цензургүй задалсан. Улсын онцгой комиссын хэвлэлийн хурлын үеэр хүртэл ийм зөрчил гарч байв. Үүнээс манай нийгэмд мэдээллийн нууцлалын талаарх хандлага, ойлголт маш хангалтгүй байгааг харах боломжтой.
Уг нь хувийн мэдээллийг зөвхөн хуульд заасан тодорхой зорилгоор, мэдээллийн эзний зөвшөөрлөөр, эсвэл эрх бүхий байгууллага хуулиар олгогдсон бүрэн эрхийнхээ хүрээнд цуглуулах ёстой. Гэтэл бодит байдалд мэдээлэл цуглуулахдаа хууль зөрчих нь түгээмэл. Мөн шаардлагатайгаас их хэмжээний мэдээлэл цуглуулдаг. Манай улс Хүний хувийн мэдээллийг хамгаалах тухай хуулийг Европын GDPR буюу Өгөгдөл хамгааллын ерөнхий хуульд үндэслэж, санаа авч, бичсэн. Угтаа мэдээллийг хамгийн багаар цуглуулах зарчим маш чухал ч манай улсын хуульд төдийлөн тусгаагүй.
Кибер халдлага болон мэдээлэл хариуцагчийн хайхрамжгүй байдлаас үүдэн сүүлийн жилүүдэд иргэдийн хувийн мэдээллийг алдаж буй нь үнэн. Цахим хэлбэрээр цуглуулсан мэдээллийг бусдад дамжуулахдаа өгөгдлийн нууцлалын найдвартай кодчлол хийх ёстой. Гэвч ийм арга хэмжээ аваагүйгээс санаатай болон санамсаргүй байдлаар иргэдийн хувийн мэдээллийг олноор нь алдах боллоо. Тэр ч бүү хэл, төрийн байгууллагууд хүний өргөдөл, гомдлыг шийдвэрлэсэн тухай мэдээлэл, эсвэл өвчтөний түүхийг цаасан хэлбэрээр хаана ч хамаагүй ил тавьчихдаг. Энэ бол хувийн мэдээллийн зөрчил юм.
-Гар утасны дугаар ч хүний хувийн мэдээлэлд багтана. Гэтэл банк бус санхүүгийн байгууллагууд тухайн хүн зээлээ төлөлгүй хэд хоносноос үл хамааран гэр бүл, төрөл садан, ажлын газар луу нь залгадаг тухай иргэд хэлж байна.
-Мэдээллийг анх өгсөн зорилгоор л ашиглах гэсэн зарчим бий. Мэдээж тухайн хүн гэрээний үүргээ биелүүлээгүй тохиолдолд үүргийн гүйцэтгэлийг хангуулахаар хандах нь зүйн хэрэг. Гэхдээ зээлдэгчтэй өөртэй нь эхлээд холбогдож, асуудлыг хуулийн дагуу шийдэх ёстой. Харин төлбөр барагдуулах нэрээр тухайн хүний ах дүү, хамаатан садан руу залгах, эсвэл хувийн мэдээллийг нь олон нийтийн сүлжээнд байршуулах нь мэдээллийг анх цуглуулсан зорилгоос өөрөөр ашиглаж буй ноцтой зөрчил юм. Нөгөө талаас зээлийн баталгаа гаргуулах зорилгоор холбоо хамаарал бүхий хүмүүсийн мэдээллийг цуглуулах шаардлага гарахыг үгүйсгэхгүй. Гэхдээ эргэн тойрны 10 хүний гар утасны дугаараас эхлээд фэйсбүүк хаягийг цуглуулна гэдэг дээр дурдсан мэдээллийг хамгийн багаар цуглуулах зарчимд нийцэхгүй. Тиймээс мэдээллийг хэрхэн цуглуулж, түүнийгээ ямар зорилгоор ашиглаж буй нь маш чухал гэсэн үг.
-“Сайн интернэйшнл”, “Тус финтек” тэргүүтэй нэр бүхий зарим байгууллага иргэд рүү шөнө, оройгүй залгаж дарамталдаг, орилж, хашхичдаг гэх юм билээ.
-Монгол Улсын эдийн засаг, санхүүгийн нөхцөл байдалтай холбоотойгоор зээлийн аппликэйшн хэрэглэдэггүй хүн маш цөөн боллоо. ХЭҮК-ын Хувийн мэдээллийг хамгаалах хэлтсийн мэдээллээр Санхүүгийн зохицуулах хороонд бүртгэлтэй 50 орчим зээлийн аппликэйшн манай улсад идэвхтэй үйл ажиллагаа явуулж байна. Мөн 30 орчим зээлийн аппликэйшн хөгжүүлэлтийн шатандаа явж буй. 1.3 сая орчим иргэн эдгээрээс тодорхой төрлийн зээл авдаг гэх мэдээлэл бий. Дээр дурдсан байгууллагуудтай холбоотой хувийн мэдээллийн зөрчлийн асуудлыг ХЭҮК өмнө нь хянан хэлэлцэж, шийдвэрлэсэн тодорхой жишээ цөөнгүй байдаг.
-Банк бус санхүүгийн байгууллагууд хүний хувийн мэдээлэлд халдсан, задруулсан тухай гомдол ХЭҮК-т өнөө жил хэд орчим бүртгэгдсэн бол?
-Энэ төрлийн нийт 31 гомдол, мэдээлэл комисст ирснээс гурав нь банк бус санхүүгийн байгууллагатай холбоотой. Байгууллагууд хувийн мэдээлэлтэй холбоотой зөрчлийн бүртгэлээ жил бүрийн нэгдүгээр сарын 31-ний дотор ХЭҮК-т ирүүлэх үүрэгтэй. ХЭҮК-оос хүний эмзэг мэдээллийг их хэмжээгээр цуглуулдаг хувийн хэвшлийн байгууллагуудад хяналт тавьдаг болон тусгай зөвшөөрөл олгодог аж ахуйн нэгжүүдэд өнөө жил чиглэл өгсөн. Үүний дагуу тухайн байгууллагууд өөрийн салбарт хамаарах аж ахуйн нэгжүүдээс зөрчлийн бүртгэлийг нь авч, хуульд заасан хугацаанд комисст ирүүлнэ.
-Зээлээ төлж дууссаны дараа тухайн хүний мэдээллийг устгах ёстой байх аа?
-Хүний хувийн мэдээллийг хамгаалах тухай хуулийн 15 дугаар зүйлд мэдээллийг устгах үндэслэлүүдийг тодорхой заасан. Ингэхдээ хуульд зааснаас бусад тохиолдолд мэдээллийг анх цуглуулсан зорилгодоо хүрсэн, эсвэл гэрээнд заасан хугацаа дууссан, талууд харилцан тохиролцсон тохиолдолд нэн даруй устгах ёстой гэсэн зохицуулалт бий. Зээлийн мэдээллийн санд бол зөвхөн чанаргүй зээлийн мэдээлэл төвлөрөх ёстой. Харин гэрээний үүргээ хугацаандаа, бүрэн биелүүлсэн иргэний мэдээлэл уг санд очихгүй.
Банк, санхүүгийн байгууллагууд бүртгэл тооцоо хөтлөх зэрэг хуулиар хүлээсэн үүргээ биелүүлэх зорилгоор зээл олголт, эргэн төлөлтийн мэдээллийг тодорхой хугацаанд, хууль ёсны хүрээнд хадгалах эрхтэй. Гэвч тухайн мэдээллийг ашиглах шаардлагагүй болсон тохиолдолд шууд устгах зарчим үйлчлэх ёстой. Иймд ямар төрлийн мэдээллийг, хэдий хэр хугацаанд хадгалахыг Санхүүгийн зохицуулах хорооноос нарийвчлан тогтоох шаардлагатай.
-Хувийн мэдээллээ алдсан тохиолдолд иргэд хамгийн түрүүнд хаана хандаж, ямар арга хэмжээ авах шаардлагатай талаар та зөвлөгөө өгөхгүй юү?
-Хувийн мэдээллийг хамгаалах тухай хуулийг зөрчсөн тохиолдолд дөрвөн хууль, таван механизмын дагуу эрхийг сэргээх арга хэмжээ авах боломжтой. Үүнд Эрүүгийн болон Зөрчлийн тухай хууль голлох үүрэг гүйцэтгэнэ. ХЭҮК-т ирсэн гомдол, мэдээлэл нь гэмт хэргийн шинжтэй бол Эрүүгийн хуулиар, зөрчлийн шинжтэй бол Зөрчлийн тухай хуулиар арга хэмжээ авах бөгөөд комисс эдгээрийг цагдаагийн байгууллагад шилжүүлэн шалгуулах үүрэгтэй. Харин бусад төрлийн гомдол, мэдээллийг комисс санаачилгаараа шалгаж, хүний эрхийн зөрчил бий, эсэхийг тогтоон, шаардлага болон зөвлөмж хүргүүлэх замаар шийдвэрлэдэг
Байгууллага, албан тушаалтан, хуулийн этгээд хүний эрх, эрх чөлөөг зөрчсөн нь тогтоогдвол комиссын гишүүн уг зөрчлийг арилгуулахаар шаардлага хүргүүлдэг. Харин хүний эрх зөрчигдөж болзошгүй нөхцөл байдал үүссэн гэж үзвэл шалтгаан, нөхцөлийг арилгуулахаар зөвлөмж хүргүүлэх юм. Комиссын гишүүний шаардлага, зөвлөмжийг хүлээн авсан байгууллага, албан тушаалтан, хуулийн этгээд заавал биелүүлэх үүрэгтэй.
Түүнчлэн Төрийн албаны болон Хөдөлмөрийн тухай хууль ч хүний эрхийг сэргээх механизмд хамаарна. Хэрэв хувийн мэдээлэл хамгаалах хуулийг зөрчсөн үйлдэл нь эрүүгийн болон зөрчлийн шинжгүй бол тухайн байгууллага дотооддоо хариуцлага тооцох замаар буруутай этгээдэд сахилгын болон бусад арга хэмжээ авах боломжтой.
2-20 САЯ ТӨГРӨГӨӨР ТОРГОХ ЗОХИЦУУЛАЛТТАЙ Ч БОДИТ БАЙДАЛД ЭНЭ НЬ МАШ БАГА ДҮН
-Мэдээлэл хамгаалах өнөөгийн эрх зүйн тогтолцоо бодит байдалд иргэдийн эрхийг хамгаалж чадаж байна уу?
-Эрүүгийн болон Зөрчлийн тухай хуулийн хариуцлага тогтоосон байдал нь өнөөгийн хувийн мэдээллийг хамгаалах шаардлагад нийцэхгүй байна. Өөрөөр хэлбэл, ямар үйлдлийг гэмт хэрэг, зөрчилд тооцохыг уг хуулийн үзэл баримтлалд нийцүүлэн шинэчлэх ёстой ч хууль тогтоогчид үүнийг хангалтгүй хийж. Тухайлбал, Эрүүгийн хуулийн 13.8 дугаар зүйлд заасан зөвшөөрөлгүйгээр гэрэл зураг авах, дуу, дүрсний бичлэг хийж тараах, 13.10 дугаар зүйлийн хувь хүний нууцад халдах, 13.11 дүгээр зүйлийн хувь хүний нууцыг задруулах, 13.12 дугаар зүйлийн хууль бусаар мөрдөн мөшгөх, 13.14 дүгээр зүйлийн худал мэдээлэл тараах зэрэг нь хувийн мэдээллийг хамгаалахад чиглэгддэг. Гэвч эдгээр нь шинэ хуулийн агуулгатай нийцэхгүй байгаа тул бодит хамгаалалт болж чаддаггүй.
Зөрчлийн тухай хуулийн 6.17 дугаар зүйлд хувийн мэдээллийг эзнийх нь зөвшөөрөлгүйгээр буюу анх цуглуулсан зорилгоос нь өөрөөр ашиглах, мөн хиймэл оюун ухаан ашиглан хүний оролцоогүйгээр мэдээлэл боловсруулж хүний эрхэд сөрөг үр дагавар бүхий шийдвэр гаргах нөхцөл бүрдүүлэх, эмзэг мэдээллийг хууль бусаар олж авах, дамжуулах үйлдлүүдийг зөрчилд тооцохоор шинээр нэмсэн. Эдгээр нь тодорхой хэмжээний зохицуулалт болж буй ч торгох шийтгэл нь маш бага. Уг нь хүний хувийн мэдээллийг нэгэнт задруулсан тохиолдолд нөхөж баршгүй хохирол учирна шүү дээ.
Мөн мэдээлэл хариуцагч нь мэдээллийн эзний хууль ёсны хүсэлтийг санаатайгаар хангаагүй тохиолдолд ямар хариуцлага хүлээх нь тодорхойгүй. Тухайлбал, кибер халдлагын улмаас мэдээлэл алдагдсан байхад хувийн хэвшлийн байгууллагууд бизнесийн нэр хүндээ хамгаалах зорилгоор зөрчлийг нуун дарагдуулах нь түгээмэл. ХЭҮК-оос ХААН банканд шаардлага хүргүүлсэн. Өөрөөр хэлбэл, тухайн байгууллага мэдээлэл хамгаалах үүргээ биелүүлээгүй тохиолдолд хүлээх хариуцлага нь тодорхойгүй. Улмаар иргэдийн мэдээлэл хамгаалалт маш сул хэвээр байна. Үндсэндээ манай улс мэдээлэл хамгаалах эрх бүхий байгууллагын статусыг нэг мөр тогтоох шаардлагатай.
Дэлхийн улс орнуудад хувийн мэдээллийн улсын байцаагч ажиллаж, өндөр хэмжээний торгууль оноох механизм үйлчилдэг. Гэтэл манайд ийм арга хэмжээ байхгүй. Өөрөөр хэлбэл, комиссын гишүүний шаардлага гэдэг бол эрх бүхий албан тушаалтнаар арга хэмжээ авхуулах л зорилготой болохоос торгодог байгууллага биш гэсэн үг. Цагдаагийн байгууллагаар дамжуулан Зөрчлийн тухай хуулиар арга хэмжээ авхуулах боломжтой ч торгуулийн хэмжээ нь хувийн мэдээллийн үнэ цэнтэй харьцуулахад хэтэрхий бага. Энэ нь эргээд үр дүнтэй хууль зүйн хамгаалалт болж чадахгүй байна л даа.
-Тухайлбал, хэдэн төгрөгөөр торгодог вэ?
-2-20 сая төгрөгийн торгох шийтгэл ногдуулна. Харин бодит байдалд 1-2.5 сая төгрөгөөр торгох арга хэмжээ авч байна. Ер нь 20 сая төгрөгөөр торгуулсан байгууллага Монголд байхгүй. Маш олон хүний мэдээллийг алдсан ХААН банк, “Интермед” эмнэлгийн тохиолдолд энэ хэмжээний торгууль бол хангалттай арга хэмжээ биш шүү дээ.
Хүний хувийн мэдээлэл нь цаашид илүү үнэ цэнтэй капитал байх болно. Тэр битгий хэл, хиймэл оюун хөгжиж, их хэмжээний мэдээллийг боловсруулах чадвартай технологиуд нэмэгдэх тусам хувийн мэдээллийг хамгаалах эрх зүйн зохицуулалтыг сайжруулах зайлшгүй шаардлага үүснэ. Манай улс хүний хувийн мэдээллийг хамгаалах байгууллагыг зохих ёсоор бий болгож, ноцтой зөрчлүүдийг хянадаг, зохицуулдаг байх ёстой. Мөн цагдаагийн байгууллага, Цахим хөгжил, инновац, харилцаа холбооны яамны харьяа Харилцаа холбооны зохицуулах газар, Төрийн цахим үйлчилгээний зохицуулалтын газар зэрэг кибер аюулгүй байдлыг хангах механизмууд харилцан уялдаатай ажиллаж, зөрчлийг шуурхай тогтоон хариуцлага тооцдог нэгдсэн тогтолцоог бүрдүүлэх нь чухал юм.
У.Сүрэн
