«ПО ФАКТУ ВСЯ СИСТЕМА РАБОТАЕТ НЕ ТАК»
В июле прошлого года неизвестные получили кредит в размере 80 тысяч тенге от имени жителя Алматы Александра Марченко. Теперь он, как и десятки других людей, оказавшихся в схожей ситуации, пытается доказать, что не оформлял этот заём.
— Я с рождения живу в Алматы, у меня много знакомых, друзей. 80 тысяч тенге я мог в любой момент занять у них. Зачем мне обращаться в микрокредитную организацию? Под такие грабительские проценты? Какой смысл? — описывает ситуацию Марченко.
По его словам, кредит был получен с помощью банковской карты, выпущенной во время карантина по коронавирусу. Сначала мошенники от его имени завели социальную карту, чтобы получать через банк второго уровня выплаты в размере 42 500 тенге, которые выдавали потерявшим доход из-за пандемии. Для этого преступникам понадобились случайная сим-карта и ИИН Марченко.
Затем на основе той же социальной карты была открыта виртуальная карточка банка. Потом мошенники обратились в микрокредитную организацию и получили кредит от имени Марченко.
— [Когда открывали карту] они использовали ИИН, номер телефона, и всё. Номер телефона был чужой абсолютно, который купили в переходе где-то. На этот номер пришло СМС с кодом подтверждения. Условно говоря, допустим, я сейчас возьму ваш ИИН, укажу в заявке. Мне придет СМС с кодом, я его введу, и на вас будет оформлен кредит, — объясняет Марченко.
Счет, говорит он, открыли через мобильное приложение, при этом не понадобилось ни фото, ни видеоподтверждений.
— В итоге человек бегает и доказывает, что не виноват, не брал кредит, не открывал счета. А как доказывать? Всё это работает против человека, на которого это всё оформили. Вся система, которая призвана «улучшить жизнь», чтобы мы могли никуда не ходить, онлайн оформить счет, кредит, по факту работает не так, как оно задумывалось, — жалуется Марченко.
По данным прокуратуры Казахстана, в 2020 году по статье «Мошенничество» (статья 190 уголовного кодекса) в стране было зарегистрировано 33 653 дела, из них 14 155 в связи с преступлениями, совершёнными через интернет. Отвечая на запрос Азаттыка, прокуратура сообщила, что не ведет конкретную статистику по мошенничеству с ИИН.
ЧТО ТАКОЕ ИИН?
В законе «О национальных реестрах идентификационных номеров», принятом 12 января 2007 года, говорится, что «ИИН — уникальный номер, формируемый для физического лица, в том числе индивидуального предпринимателя, осуществляющего деятельность в виде личного предпринимательства». Согласно этому закону, с 1 января 2013 года регистрационный номер налогоплательщика и социальный идентификационный код, обозначенные как РНН и СИК, а также «Общий классификатор предприятий и организаций» были признаны недействительными и заменены на ИИН и БИН (идентификационный номер предприятия).
Согласно правилам формирования ИИН, он состоит из 12 цифр. Первые шесть — дата рождения человека, седьмая цифра — век рождения и пол человека, следующие четыре цифры — регистрационный номер в системе, а 12-я — контрольная цифра. Таким образом, зная ИИН человека, можно узнать его дату рождения и пол.
26 августа 2013 года в правила были внесены поправки, согласно которым при присвоении ИИН больше не требуется указывать дату рождения и половую принадлежность. Но ИИН, присвоенные после этой даты, по-прежнему обычно формируются по старым правилам. В поправке говорится, что ИИН не может быть изменен или воссоздан. Номер также присваивается при появлении ребенка на свет и отражается в свидетельстве о рождении. Он также указывается в удостоверениях личности и паспортах.
ИИН любого гражданина Казахстана можно узнать через сервис «Поиск налогоплательщика» комитета государственных доходов министерства финансов. Для этого необходимо знать лишь имя человека. Услуга работает и в обратном порядке: если ИИН известен, не составит труда узнать и другие данные.
Жительница Нур-Султана Марина Бескровная стала жертвой иной мошеннической схемы. Летом прошлого года она намеревалась продать детское автокресло на сайте для частных объявлений Оlx.kz. Ей позвонила некая девушка и сказала, что приобретет кресло, но сама приехать не может, а потому отправит такси. Она также попросила у Бескровной ее ИИН, IBAN банковского счета и адрес.
Через два дня незнакомка позвонила вновь и попросила вернуть «по ошибке» переведенные Бескровной 90 тысяч тенге. Деньги, которые действительно поступили на счет, Марина вернула, а через месяц выяснила, что эту сумму мошенница взяла в кредит от имени Бескровной.
— Когда нам скинули договор из микрокредитной организации после нашего запроса, там были указаны все мои данные. Звонившая мне девушка сначала запросила ИИН, затем 12-значный IBAN счета в Kaspi Bank и для такси спросила адрес, я назвала улицу и номер дома. В договоре с микрокредитной организацией были прописаны все эти данные. Только номер телефона был неправильный. Остальные данные все мои. Без ошибок, без опечаток, — говорит Марина Бескровная.
ИИН — ОТКРЫТАЯ ИЛИ ЗАКРЫТАЯ ИНФОРМАЦИЯ?
Казахстанский закон «О персональных данных и их защите» гласит, что персональные данные подразделяются на общедоступные и ограниченного доступа, которые нельзя использовать без разрешения владельца. К какому типу относится ИИН, в законе не указано.
Юрист Эльвира Хайруллина относит ИИН к персональным данным ограниченного доступа.
26 ноября 2019 года гражданин Арман Оспанов через сайт Dialog.gov.kz обращался к министру внутренних дел Ерлану Тургумбаеву с вопросом, к какому типу персональных данных относится ИИН. Согласно ответу чиновника, «ИИН относится к персональным данным с ограниченным доступом».
Азаттык обращался в комитет госдоходов министерства финансов с вопросом, не нарушает ли комитет закон, свободно предоставляя через сервис «Поиск налогоплательщика» данные, которые квалифицируются как информация ограниченного доступа. Комитет, ссылаясь на налоговый кодекс, заявил, что ИИН не является налоговой тайной, поэтому его открытость не противоречит закону.
Директор департамента законодательства министерства юстиции Арман Кенжегалиев отказался дать Азаттыку юридическую трактовку налогового кодекса, заявив, что это не входит в его компетенцию, и посоветовал обратиться в министерство внутренних дел.
В МВД, несмотря на то что глава ведомства Тургумбаев ранее высказывал свою версию, комментируя вопрос гражданина Оспанова, Азаттыку ответить также отказались и перенаправили в комитет по информационной безопасности при министерстве цифрового развития, инноваций и аэрокосмической промышленности. Его председатель Руслан Абдикаликов заявил, что ИИН относится к открытым данным.
КАКИЕ ДАННЫЕ МОЖНО ПОЛУЧИТЬ С ПОМОЩЬЮ ИИН?
При обращении в центры обслуживания населения (ЦОН) и банки второго уровня с помощью ИИН можно установить личность человека и получить массу данных о нем.
Например, ИИН достаточно для погашения кредита или пополнения депозита с терминала Жилстройсбербанка. На сайте Верховного суда вы, введя ИИН, можете узнать, возбуждено ли против гражданина уголовное дело. Приложение Kaspi.kz может выдать информацию о штрафах за нарушение правил дорожного движения и о других административных нарушениях.
Зная ИИН, с помощью мобильного приложения Smart Uralsk, предназначенного для жителей административного центра Западно-Казахстанской области, можно узнать, стоит ли человек в очереди на жилье, а также имеет ли задолженность по налогам. Ознакомиться с результатами присуждения образовательных грантов можно в мобильных приложениях Aitu, UniVision.kz. А боты в сети Telegram предоставляют широкий спектр услуг через ИИН, находя массу персональной информации о человеке в интернете.
Олжас Сатиев, глава организации по предотвращению кибератак «ЦАРКА», считает, что держать ИИН в открытом доступе опасно.
— Здесь нужно смотреть шире. Открытые данные об ИИН — это только верхушка айсберга. Проблема глубже. Сегодня государственным органам доверено беспрецедентное количество конфиденциальных данных. Между тем в Казахстане еще не было прецедента, когда кто-то понес наказание за утрату персональных данных. Сам механизм реагирования на такие инциденты не отработан. Сразу вспоминается прошлогодний громкий случай с утечкой персональных данных миллионов казахстанцев. Тогда в Сети была доступна полная база 11 миллионов человек, всё совершеннолетнее население страны: их адреса, телефоны, даты рождения, — говорит Сатиев.
«Утечка» данных 11 миллионов казахстанцев
4 июля 2019 года центр ЦАРКА сообщил на странице в Telegram'е, что в интернете доступны и проиндексированы поисковыми системами Google и «Яндекс» данные 11 миллионов казахстанцев. Аскар Жумагалиев (в ту пору он был министром цифрового развития, инноваций и аэрокосмической промышленности) подтвердил утечку личных данных и написал, что меры безопасности будут ужесточены. Месяц спустя ЦАРКА сообщил о начале досудебного расследования инцидента и опубликовал письмо МВД.
Социолог Айсулу Молдабекова также считает, что с ИИН связана большая часть социальной информации, поэтому эксперт выступает против ее доступности в открытых источниках, считая, что это наносит «ущерб безопасности» граждан и в конечном итоге «представляет угрозу для общества и государства». В противовес Казахстану она приводит пример Германии и свой опыт предоставления личной информации в этой стране.
— Меня попросили предоставить персональные данные для подачи заявления на страхование. Я ознакомилась с политикой защиты информации на семи-восьми страницах. Всё, что им требовалось, — это дата моего рождения. Они подписали со мной контракт, чтобы получить эту информацию. У нас она имеется в открытом доступе, — говорит Молдабекова.
ИИН НА САЙТАХ-АГРЕГАТОРАХ
ИИН можно найти не только на сервисе «Поиск налогоплательщика» комитета госдоходов, но и на частном сайте Аdata.kz. Его особенность в том, что он предоставляет запрашиваемый ИИН намного оперативнее. Указав свой номер на сайте, вы можете узнать, есть ли у вас штрафы, а также выяснить данные, касающиеся обязательного страхования.
Азаттык обратился с запросом в компанию Alldata.kz, владельцу сайта Adata.kz, чтобы узнать, где и как они получили данные и как относятся к нахождению этой персональной информации в открытом доступе.
Анель Шакенова, возглавляющая юридический отдел компании, говорит, что они не хранят ИИН казахстанцев на своих серверах, а получают напрямую от комитета госдоходов. На наш вопрос, почему информация на сервисе Adata.kz «Поиск налогоплательщика» отображается быстрее, Шакенова сослалась на «технические инновации», но подробности сообщать не стала.
Юрист считает, что компания работает в правовых рамках, но признаётся, что сам закон «не совсем понятен».
— Если говорить о нас, да, я говорю, что мы работаем в рамках правового поля. Но эти рамки, они несколько размыты. Если вопрос будет отрегулирован четко, если законодательство будет давать четкое понимание хотя бы [по] элементарному вопросу, что такое персональные данные и как правильно ими пользоваться, то от этого выиграют все, — говорит она.
«ДАТА-ГРАМОТНОСТЬ ЕЩЕ НЕ ДОШЛА ДО ОБЩЕСТВА»
Асхат Еркимбай, преподающий курс дата-журналистики в Университете Сулеймана Демиреля, считает, что через пять-десять лет Казахстан столкнется с последствиями такого «разбрасывания» персональными данными.
— До нашего общества еще не дошла дата-грамотность. Удостоверения личности остаются в копировальных аппаратах, даже хранятся на компьютерах в киосках. Однако приближается тот день, когда мы лицом к лицу столкнемся с последствиями дата-неграмотности, — говорит он.
По словам эксперта, процедуры работы с личными данными отсутствуют на самых разных уровнях, в том числе в банковском секторе, а граждане лишены возможности контролировать, кто получает и хранит информацию о них.
— Я обратился в один из банков и сказал: «Спасибо, я решил больше не пользоваться вашими услугами, удалите мои данные. Какие документы мне нужно заполнить или подписать?» Оказалось, что такой процедуры не предусмотрено, — говорит Еркимбай. — Мне страшно. Я не хочу доказывать, что я не брал ссуду или прекратил получать услуги, если завтра у меня возникнут проблемы с этим банком. Потребитель должен иметь возможность потребовать безвозвратного удаления его личной информации. Тогда у нас будет рынок, который отвечает за данные.
При этом Еркимбай считает, что проблему решит не усложнение механизма составления ИИН и какие-то технические новшества. Он полагает, что вопрос «в конечном итоге сводится к формированию правового общества и пониманию юридической ответственности».
— Должно быть понятно и доступно, как обрабатываются мои личные данные. К примеру, когда я иду в госучреждение или банк, у меня спрашивают удостоверение личности. Должно быть понятно, куда пойдет копия моего удостоверения личности и что с ней будут делать. Во-вторых, цель сбора и использования данных должна быть ограничена. Следующее правило — сократить объем данных. К примеру, мы отказались от регистрационного номера налогоплательщика и социального идентификационного кода (РНН и СИК . — Ред.). Также должен быть четкий срок действия данных. ИИН имеет пожизненный срок. Возможно, нужно это изменить: если до детского сада действуют одни данные, то в школе должны быть другие. Что мне больше всего нравится, так это принцип отчетности. То есть власти, которые берут на себя сбор наших данных, должны отчитываться, как их хранят и какие были допущены ошибки, — говорит Еркимбай.