ХҮНИЙ ЭМЗЭГ МЭДЭЭЛЭЛ, ГЕНЕТИК БОЛОН БИОМЕТРИК МЭДЭЭЛЭЛ БОЛОВСРУУЛАХАД БАРИМТЛАХ ТЕХНОЛОГИЙН АЮУЛГҮЙ БАЙДЛЫН ШААРДЛАГА, ЖУРАМ
Цахим Хөгжил, Харилцаа холбооны сайдын 2023 оны 09 дүгээр сарын 11-ний өдрийн А/90 дугаар тушаалын хавсралтаар “Хүний эмзэг мэдээлэл, генетик болон биометрик мэдээлэл боловсруулахад баримтлах технологийн аюулгүй байдлын шаардлага, журам”-ыг баталсан.
Тус журмаар “Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 9, 10 дугаар зүйлд заасан хүний эмзэг мэдээлэл, генетик болон биометрик мэдээлэл боловсруулахад баримтлах зарчим, технологийн аюулгүй байдлын шаардлагыг тодорхойлоход оршино”-той холбогдсон харилцааг зохицуулна.
Мэдээлэл боловсруулахад баримтлах зарчим
Хүний эмзэг мэдээлэл, биометрик болон генетик мэдээллийг цуглуулах, боловсруулах, ашиглахад Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 5.1-д зааснаас гадна дараах зарчмыг баримтална. Үүнд:
- ил тод байх;
- зорилгодоо нийцсэн байх;
- хадгалалтын хязгаарлалттай байх;
- хариуцлагатай байх;
- эрсдэлийн үнэлгээнд тулгуурласан байх;
- мэдээллийн нэгдсэн системтэй байх.
Технологийн аюулгүй байдлын шаардлага
Мэдээлэл боловсруулахад технологийн аюулгүй байдлын дараах шаардлагыг хангаж ажиллана. Үүнд:
- Мэдээлэл хариуцагч Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 20.1.1-д заасны дагуу баталсан дотоод журам баталж үйл ажиллагаандаа мөрдөж ажиллах;
- Мэдээлэл хариуцагч нь мэдээллийн аюулгүй байдлыг хангах нэгж эсхүл хариуцсан ажилтантай байх;
- Мэдээлэл боловсруулах программ, сүлжээ, төхөөрөмж нь эрх бүхий этгээдээс зөвшөөрөгдсөн байх;
- Мэдээлэл хариуцагч нь мэдээлэл алдагдах, устах, гэмтэхээс урьдчилан сэргийлэх зорилгоор албан ёсны лицензтэй программ хангамж ашиглах, мэдээллийн аюулгүй байдлын эрсдэлийн үнэлгээг хоёр жил тутамд эсхүл шаардлагатай тохиолдолд тухай бүр хийлгэх;
- Мэдээлэл аюулгүй байдлын аудитыг жил тутамд эсхүл аюулгүй байдал алдагдсан тохиолдол бүрд хийлгэх;
- Мэдээлэл хариуцагч нь мэдээллийг өөрчилсөн, устгасан, сэргээсэн тухай түүхчилсэн бүртгэлийг хөтөлж, хяналт тавин мэдээллийн бүрэн бүтэн, нууцлагдсан байдлыг хангах.
Мэдээлэл боловсруулах сервер нь дараах нөхцөл шаардлагыг хангасан байна. Үүнд:
- Монгол Улсын нутаг дэвсгэрт байршдаг байх;
- зөвхөн Монгол Улсаас нэвтрэх /хандах/ боломжтой байх;
- зориулалтын техникийн өрөөнд серверийг байршуулсан байх;
- шаардлагатай тохиолдолд серверийн хүчин чадлыг нэмэгдүүлэх боломжтой байх;
- Төрийн мэдээлэл солилцооны "ХУР" системээр дамжуулан мэдээлэл солилцох боломжтой байх;
- Харилцаа холбооны зохицуулах хорооны сүлжээний цагийн сервертэй холбогдсон байх;
- мэдээлэл солилцох системийг "SSL" сертификатаар хамгаалсан байх;
- тогтмол хугацаанд мэдээллийн системийг нөөцөлдөг байх.
Мэдээлэл боловсруулж буй этгээд сүлжээний аюулгүй байдлыг хангах зорилгоор сүлжээний орж, гарч байгаа урсгалуудыг тогтмол хянаж, сэжигтэй үйлдэл, хандалтыг зогсоох /firewall/ системтэй байна.
Мэдээлэл боловсруулах ажиллагаанд тавих хяналт
Мэдээллийн эзэн өөрт хамааралтай мэдээллийг мэдээлэл хариуцагч боловсруулсан эсэх, мэдээллийг анхны зорилгоор боловсруулсан эсэхэд хяналт тавих эрхтэй.
Мэдээлэл хариуцагч нь мэдээллийн эзний тавьсан шаардлага, ирүүлсэн гомдол, саналыг холбогдох хуульд заасан хугацаанд, хуульд тусгайлан заагаагүй бол даруй шийдвэрлэж хариу өгөх үүрэгтэй.