Энэ оны 5 дугаар
сарын 01-ний өдрөөс эхлэн Хувь хүний нууцын тухай хууль хүчингүй болсон. Энэ хуулийн
оронд “Хүний хувийн мэдээлэл хамгаалах тухай хууль” 2021.12.17-ны өдөр
батлагдаж, 2022.05.01-ний өдрөөс хүчин төгөлдөр болж, үйлчилж эхэлсэн. Хувийн
өгөгдлийг тусгайлан хамгаалдаг хуультай болоод багагүй хугацаа өнгөрсөн ч энэ
хуулийг хэрхэн хэрэгжүүлэхтэй холбоотой эргэлзээ, асуулттай олон таарч байна. Энэ
нийтлэлд хуультай холбоотой зарим зүйлийг тодорхой болгох гээд үзье.
1/ Биометрик
мэдээллийг хамгаалах асуудал
Энэ зурагт төрийн ордны ойролцоох нэгэн байгууллагад 2022 оны 11 дүгээр сарын 07-ны өдрийн хурууны хээгээр цаг бүртгэдэг төхөөрөмж ажиллаж байгааг харуулсан байна. Гэтэл хуулийн 10.2-т “Ажил олгогч хөдөлмөрийн дотоод журамд заасны дагуу ажилтныг таньж, баталгаажуулах үйлдлийг хялбарчлах зорилгоор ажилтны зөвшөөрлөөр биеийн давхцахгүй өгөгдөл /гарын хурууны хээ/-ээс бусад биометрик мэдээллийг ашиглаж болно” гэж заасан. Хурууны хээг огт ашиглаж болохгүй гэсэн үг. Мөн хуулийн 31.1-т зааснаар “Энэ хууль хүчин төгөлдөр дагаж мөрдөхөөс өмнө хуулиар зөвшөөрснөөс бусад мэдээлэл хариуцагчийн цуглуулсан биеийн давхцахгүй өгөгдөл /гарын хурууны хээ/-ийг устгана”.
Хуулийг
хэрэгжүүлэхтэй холбоотойгоор Ерөнхий сайдын 2022 оны 15 дугаар захирамжаар “Биеийн
давхцахгүй өгөгдөл (гарын хурууны
хээ)-ийг устгах ажиллагааг зохион байгуулах, хяналт тавих үүрэг
бүхий ажлын хэсгийн бүрэлдэхүүн, ажлын хэсгийн удирдамж”-ийг баталсан.
Төрийн байгууллагууд, аж ахуйн нэгжүүд өөрийн байгууллагад хадгалагдаж буй биеийн давхцахгүй өгөгдөл (гарын хурууны хээ)-ийг устгах үйл ажиллагааг 2022 оны 5 дугаар сарын 02-ны дотор дараах байдлаар хэрэгжүүлэхээр тусгасан:
- 2022 оны 5 дугаар сарын 01-ний өдрөөс эхлэн байгууллагад хадгалагдаж байгаа биеийн давхцахгүй өгөгдлийг ашиглах үйл ажиллагааг зогсоох.
- Хэрэглэгчийн хурууны хээ уншигч төхөөрөмжүүд болон дуудаж ажилладаг серверүүдийг зогсоох.
- Мэдээлэл хариуцагч нь биеийн давхцахгүй өгөгдлийг цуглуулахад үндэслэл болгосон дүрэм, журам, болон бусад эрх зүйн актуудыг хууль тогтоомжид нийцүүлж, тайланд тусгаж ирүүлэх. (хүчингүй болгосон, өөрчлөлт оруулсан тоон мэдээлэл)
- Гарын хурууны хээ ашиглаж байгаа систем, тоног төхөөрөмжийн техникийн мэдээлэл, хурууны хээ агуулж буй файл, өгөгдлийн баазыг устгаж хүснэгтийн дагуу холбогдох мэдээллийг ирүүлэх.
№ |
Байгууллагын нэр |
Бүртгэсэн зорилго |
Ашиглаж буй систем, өгөгдлийн сангийн байршил, тоо |
Ашиглаж буй тоног төхөөрөмжийн мэдээлэл, байршил,
тоо |
Бүртгэлтэй хэрэглэгчийн тоо, хэмжээ |
Дүрэм журам, эрх зүйн актанд өөрчлөлт оруулсан
тэмдэглэл |
1 |
аабб ХХК |
Ажилчдын цаг бүртгэл, хөнгөлөлт, урамшуулал үзүүлэх
систем бусад |
Green HR систем, байгууллага дээр, үндэсний Дата төв
дээр. 1 ширхэг |
Тоног төхөөрөмжийн марк дугаар, хаана хэдэн ширхэг
байршуулсан мэдээлэл |
Тухайн системд бүртгэлтэй байгаа хэрэглэгчийн тоон
мэдээлэл |
Хөдөлмөрийн дотоод журам, хөнгөлөлт урамшуулал
үзүүлэх дүрэм, журам гм |
- Цуглуулсан болон, хадгалсан гарын хурууны хээний мэдээллийг устгасан талаарх тайлан, мэдээ гаргаж ирүүлэх.
Гэвч Тагнуулын
ерөнхий газраар ахлуулсан дээрх ажлын хэсэг хэр ажилласан болохыг дээрх зураг
тодорхой харуулж байна. Гарын хурууны хээг хөдөлмөрийн харилцаанд цуглуулах,
боловсруулахыг хориглосон хэвээрээ байгаа.
Энэ зурагт мөн Төрийн ордны ойролцоох нэгэн байгууллагад 2022 оны 11 дүгээр сарын 01-ний өдөр тухайн байгууллагын ажилтан хаалгаар нэвтрэхэд шаардлагатай царай таних камер бүхий төхөөрөмж ажиллаж байгааг харуулсан байна. Хуулийн 4.1.1-т зааснаар "биометрик мэдээлэл" гэж тоног төхөөрөмж, техник хэрэгсэл, программ хангамжийн тусламжтайгаар хүнийг тодорхойлох боломжтой гарын хурууны хээ, нүдний солонгон бүрхэвч, нүүр царай, дуу хоолой, биеийн хөдөлгөөний онцлог шинж зэрэг хүний бие махбодтой холбоотой биеийн давхцахгүй өгөгдлийг ойлгоно.
Нүүр царай бол гарын хурууны хээтэй адилхан л биометрик мэдээлэл буюу биеийн давхцахгүй өгөгдөл юм. Гэвч дээр дурдсан 10.2 гэдэг заалтаар хурууны хээнээс бусад биометрик мэдээллийг хамгаалаагүй орхисон нь энэ зурагт харуулсан үр дагавартай байна. Хуулийн зохицуулалт нь ийм хэдий ч биометрик мэдээлэл буюу эмзэг мэдээллээ хамгаалахтай холбоотой ажил олгогч байгууллагад зохих шаардлага тавих, тухайн байгууллага ч тэрхүү биометрик мэдээллийг цуглуулах, ашиглахгүй байх боломж нээлттэй. Хууль тогтоогчийн зүгээс цаашид биометрик мэдээллийг төрөл, хэлбэрээс үл хамааран бүхэлд нь хамгаалахад анхаарах шаардлагатай байна.
Энэ зурагт 2022.10.21-ний дотор гишүүнчлэлийн гэрээгээ шинэчлэхийн тулд царайгаа таниулах талаарх зарлалыг харуулсан байна. Хуулийн 9.2.1, 6.1.4-т заасны дагуу гэрээ байгуулах, байгуулсан гэрээний хэрэгжилтийг хангахын тулд биометрик мэдээллийг цуглуулах, боловсруулах, ашиглахыг зөвшөөрсөн гэж ойлгогдож байна.
Гэхдээ мэдээллийн эзний хувьд биометрик мэдээллээ өгөхгүй байх эрх хэвээрээ. Мэдээлэл хариуцагч биометрик мэдээллийг цуглуулах, ашиглах үйл ажиллагааны аюулгүй байдлыг хангаж ажиллах үүрэгтэй.
2/ Хуулийн зохицуулалттай холбоотой эргэлзээ
Төрийн байгууллагууд, хууль сахиулах байгууллага зэрэг
гуравдагч этгээдэд шифрлэлтийн мэдээлэл, түлхүүрийг өгөхгүй байх талаар
хэрэглэгч, үйлчлүүлэгчдэдээ амлах боломжтой юу?
Хүний хувийн мэдээлэл
хамгаалах тухай хуулийн 20.1-т мэдээлэл хариуцагч, мэдээлэл боловсруулагч
мэдээллийн аюулгүй байдлыг хангах талаар хэрэгжүүлэх арга хэмжээний талаар
заасан. Гэхдээ гуравдагч этгээдэд шифрлэлтийн түлхүүрийг гардуулахгүй байх
амлалт, үүргийн талаар тухайлан заагаагүй. Нөгөө талаар хуулийн 20.1.2-т "мэдээллийн
эзэн болон холбогдох төрийн байгууллагад мэдээлэл хүргэх төлөвлөгөөг хуульд
нийцүүлэн баталсан байх" гэж заасан бөгөөд энэхүү "мэдээлэл
хүргэх"" гэдэгт шифрлэлт багтах эсэх тодорхойгүй.
Цахим гарын үсгийн тухай
хуулийн 8.1.2-т "хувийн түлхүүрийг үүсгэх болон нийтийн түлхүүрийг
дамжуулахдаа түүний давтагдашгүй байдал болон нууцлалыг хангасан байх" гэж
заасан. Гэвч энэ нь зөвхөн тоон гарын үсгийн хувьд хамаатай юм.
Хэрэглэгч,
үйлчлүүлэгчийнхээ мэдээллийг төрийн байгууллагад өгөхгүй байх боломж бий юу?
тийнхүү өгөөгүй талаар мэдэгдэх ёстой юу?
Хүний хувийн мэдээлэл
хамгаалах тухай хуулийн 6-р зүйлд зааснаар төрийн байгууллага хуульд заасан
үндэслэлээр, мэдээллийн эзний эрх, хууль ёсны ашиг сонирхлыг хөндөхгүйгээр
хуульд заасан чиг үүргээ хэрэгжүүлэх тохиолдолд мэдээлэл цуглуулж,
боловсруулна. Эрүүгийн хэрэг хянан шийдвэрлэх тухай хуульд зааснаар мэдээлэл,
баримт бичиг гаргуулан авах, харилцаа холбооны сүлжээнд хяналт тогтоох
ажиллагааг явуулах хангалттай үндэслэл байгаа талаар мөрдөгч санал гаргаж, прокурорын
зөвшөөрлийг авна. Тэгэхээр төрийн байгууллага танай үйлчлүүлэгч, хэрэглэгчийн
мэдээллийг авахаар хандсан тохиолдолд хуульд заасан үндэслэл нь хангалттай,
бодитой эсэхийг хянах, прокурорын зөвшөөрөл нь байгаа эсэхийг заавал хянаж байж
хариу үйлдэл үзүүлэх шаардлагатай.
Хүний хувийн мэдээлэл
хамгаалах тухай хуулийн 21 дүгээр зүйлд зааснаар дараах тохиолдолд мэдээлэл
хариуцагч мэдээллийн эзэнд мэдэгдэл даруй өгнө: 1.хүний эмзэг мэдээллийг
ашигласан; 2.мэдээллийн эзний зөвшөөрлөөр мэдээлэл боловсруулахаас бусад
үндэслэл, зорилгоор мэдээлэл боловсруулсан, боловсруулсан мэдээллийг гуравдагч
этгээдэд дамжуулсан; 3.мэдээллийн эзний мэдээллийг цуглуулснаас хойш анх
зөвшөөрөл авсан нөхцөл өөрчлөгдсөн.
Мэдээллийн
эзний эрхийг зөрчсөнтэй холбоотойгоор хохирол учирсан бол тэр хохирлоо
гаргуулах боломж бий юу?
Хүний хувийн мэдээлэл
хамгаалах тухай хуулийн 16.2-т мэдээллийн эзэн бусдын хууль бусаар учруулсан
хохирол болон эдийн бус гэм хорыг арилгуулах эрхтэй гэж заасан. Гэхдээ энэ
эрхээ хэрэгжүүлэх нөхцөл, арга замын талаар тус хуульд тусгайлан заагаагүй. Уг
асуудлыг Иргэний хуульд заасан нөхцөл, журмын дагуу иргэний хэргийн шүүхэд
нэхэмжлэл гаргах замаар шийдвэрлүүлэх боломжтой.
Хүний
хувийн мэдээлэл хамгаалах хуулийг хэрэгжүүлэх, хэрэглэгч, үйлчлүүлэгчийнхээ
эрхийг хамгаалахтай холбоотойгоор арга зүйн зөвлөмж, туслалцаа авах боломж бий
юу?
Хүний хувийн мэдээлэл
хамгаалах тухай хуулийн 16 дугаар зүйлд мэдээллийн эзний нийт 16 эрхийг заасан.
Тус хуулийн 25.1.1-т зааснаар Цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн
төрийн захиргааны төв байгууллага буюу яамны зүгээс хүний хувийн мэдээлэл
хамгаалах хууль тогтоомжийн хэрэгжилтийг хангаж, олон нийтэд сурталчлан
таниулах, холбогдох байгууллагатай хамтран ажиллах, мэргэжил, арга зүйн
туслалцаа үзүүлэх чиг үүрэгтэй. Мөн 24.1.1-т зааснаар Хүний эрхийн Үндэсний
Комисс хүний хувийн мэдээлэл хамгаалах хууль тогтоомжийн хэрэгжилтэд хяналт
тавих, олон нийтэд таниулах, сурталчлах ажлыг зохион байгуулах, энэ талаар
холбогдох байгууллагад шаардлага, зөвлөмж хүргүүлэх, холбогдох журамд санал
өгөх чиг үүрэгтэй. Энэ хоёр байгууллагаас туслалцаа, зөвлөгөө авах боломжтой.
Хүний
хувийн мэдээллийг хадгалж, боловсруулж, түүнд нэвтрэх, шилжүүлэх боломж олгож
буй мэдээллийн системтэй холбоотой тусгайлсан зохицуулалт бий юу?
Хүний хувийн мэдээлэл
хамгаалах тухай хуулийн 20.1.3-т зааснаар мэдээлэл хариуцагч, мэдээлэл
боловсруулагч нь мэдээлэл цуглуулах, боловсруулах, ашиглахад хэрэглэгдэх
мэдээллийн системийн бүрэн бүтэн, нууцлагдсан, хүртээмжтэй байдлыг хангах бүхий
л арга хэмжээг авна. Мөн хуулийн 25.1.3-т зааснаар Цахим хөгжил, харилцаа
холбооны яам мэдээлэл цуглуулах, боловсруулах, ашиглах зориулалттай мэдээллийн
системийн аюулгүй байдал алдагдсан, кибер халдлагад өртсөн талаар мэдээлэл
хариуцагчаас ирүүлсэн мэдэгдлийг хүлээн авч бүртгэн, шаардлагатай арга хэмжээг
даруй авна.
Кибер аюулгүй байдлын тухай
хуулийн 4.1.11-т зааснаар "мэдээллийн системийн үйлдлийн бүртгэл" гэж
тухайн мэдээллийн системд хандсан, нэвтэрсэн, боловсруулсан, цуглуулсан,
ашигласан үйлдэл, цаг хугацааг тодорхойлох бүртгэлийг ойлгоно. Тус хуулийн
16.1.5, 17.1.3, 19.2.9-т зааснаар төрийн өмчит хуулийн этгээд, хуулийн этгээд,
Онц чухал мэдээллийн дэд бүтэцтэй байгууллага нь мэдээллийн системийн үйлдлийн
бүртгэлийг кибер аюулгүй байдлын нийтлэг журамд заасан хугацаанд хадгалах
үүрэгтэй.
Европын
холбооны гишүүн улсаас Монгол Улсад хүний хувийн мэдээллийг шилжүүлэх,
дамжуулахад манай хууль хангалттай юу? Тодруулбал, Европын холбооны Өгөгдөл
хамгаалах ерөнхий зохицуулалтад /GDPR/ зааснаар компаниуд хүний хувийн
мэдээллийг алдахаас сэргийлэхийн тулд бүрэн шифрлэлт хийх үүрэгтэй. Энэ үүргийг
хэрхэн хангах вэ?
Европын холбооны зохицуулалттай
манай хууль хэр нийцсэн бэ гэдэг асуудал байна. Нөгөө талаар Европын холбооных
ямар зохицуулалттай байх нь манайд шууд хамааралгүй гэх тайлбар ч бий. Гэхдээ Европын
холбооны шүүхээс 2020.07.16-нд
гаргасан шийдвэрийн дагуу ЕХ-ны харьяалал бүхий хүний хувийн мэдээллийг
гуравдагч улсад /жишээ нь Монгол Улсад/ дамжуулахдаа ЕХ-ны Өгөгдөл хамгаалах
зохицуулалтад заасан баталгаа, дэглэмийг баримтлах үүрэгтэй. (CJEU
judgment of 16 July 2020, Data Protection Commissioner v Facebook Ireland Ltd,
Maximillian Schrems, case C-311/18, ECLI:EU:C:2020:559) Монгол Улсын хувьд энэ шаардлагад нь нийцүүлэх,
дөхүүлэхгүй бол ЕХ-той харилцах боломжгүй болох үр дагавар бий.
Хүний хувийн мэдээлэл
хамгаалах тухай хуулийн 20 дугаар зүйлд мэдээлэл хариуцагчийн хэрэгжүүлэх
"Мэдээллийн аюулгүй байдлыг хангах арга хэмжээ"-ний талаар заасан.
Тодруулбал, тус хуулийн 20.1.3-т "мэдээлэл цуглуулах, боловсруулах,
ашиглахад хэрэглэгдэх мэдээллийн системийн бүрэн бүтэн, нууцлагдсан,
хүртээмжтэй байдлыг хангах бүхий л арга хэмжээг авсан байх", 20.1.4-т
"мэдээлэл ашиглахыг хязгаарлах, мэдээллийг устгах, мэдээллийн эзнийг
тодорхойлох боломжгүй болгох талаар журам, зааварчилгаа баталж, мөрдөх"
гэж заасан. Эдгээр арга хэмжээнд өгөгдлийг зохих ёсоор шифрлэх талаар багтсан
гэж үзэх боломжтой. Гэхдээ хуульд тусгайлан заагаагүй, ерөнхий агуулгыг дурдсан
байна.
Тус хуулийн 14 дүгээр зүйлд
"Мэдээллийг гадаад улс дахь хүн, хуулийн этгээд болон олон улсын
байгууллагад дамжуулах" талаар тусгасан хэдий ч гадаад улсаас мэдээллийг
Монгол Улсад дамжуулах үеийн харилцааг тусгаагүй орхисон байна. Тус хуулийн
үйлчлэх хүрээ хэсэгт "3.1.Энэ хуулиар хүн, хуулийн этгээд, хуулийн
этгээдийн эрхгүй байгууллага хүний хувийн мэдээлэл /цаашид "мэдээлэл"
гэх/-ийг цуглуулах, боловсруулах, ашиглах, аюулгүй байдлыг хангахтай холбогдсон
харилцааг зохицуулна" гэж заасан тул Монгол Улсад гадаад улсаас шилжүүлэх
өгөгдөлд нэгэн адил хамаарна гэж үзэж болох юм.
Цаашид
хуулиа олон улсын жишигт нийцүүлж сайжруулах төлөвлөгөө, ярьж буй зүйл бий
болов уу?
Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 31 дүгээр зүйлд заасан "Шилжилтийн үеийн зохицуулалт"-д энэ талаар тусгаагүй. Хууль тогтоомжийн тухай хуулийн 52.1-т зааснаар хууль тогтоомжийн хэрэгжилтийн хяналт шинжилгээ, үнэлгээний дүнг Улсын Их Хурал, Засгийн газар жилд нэг удаа тогтмол хэлэлцэж хууль тогтоомжийн хэрэгжилтийг эрчимжүүлэх, хууль тогтоомжид зохих нэмэлт, өөрчлөлт оруулах, хууль тогтоомжийг хооронд нь уялдуулах, хууль тогтоомжийг системчлэн кодификаци хийх, шинээр хууль тогтоомжийн төсөл боловсруулах зэрэг арга хэмжээг авч хэрэгжүүлнэ. Хүний хувийн мэдээлэл хамгаалах тухай хуультай холбоотой дээрх хяналт шинжилгээ, үнэлгээ хийх хугацаа болоогүй бөгөөд Монгол Улсын Их Хурлын 2021 оны 12 дугаар тогтоолын хавсралт "Монгол Улсын хууль тогтоомжийг 2024 он хүртэл боловсронгуй болгох үндсэн чиглэл"-д энэ талаар тусгаагүй байна.
Read more...