С развитием цифровых технологий в Узбекистане растёт и объём обрабатываемых персональных данных (ПДн). Вместе с тем их защита остаётся не только юридическим, но и институциональным, технологическим и культурным вызовом. На момент написания статьи законодательная база по ПДн уже была формально сформирована, хотя её практическая реализация вызывала множество вопросов.
Выход в апреле 2025 года нового ключевого документа — Постановления президента № ПП-153 (о борьбе с преступлениями с помощью ИТ) стал поворотной точкой в развитии подхода к цифровой защите личности. Этот акт не просто дополняет, а фактически запускает системную реализацию ранее обозначенных принципов.
Цель настоящей статьи — показать, как Узбекистан движется от формального нормативного регулирования к созданию реально работающей системы защиты персональных данных: через институциональное укрепление, внедрение технологий, антифрод-механизмы и культуру кибергигиены.
Здесь рассмотрена существующая нормативная база, проблемы исполнения, международные подходы, а также показано как новые инициативы 2025 года могут стать катализатором для формирования полноценной системы цифрового доверия.
Угроза утечек и рост цифровых рисков
Согласно ст. 4 Закона «О персональных данных» № ЗРУ-547, персональные данные — это зафиксированная на материальном носителе информация, относящаяся к определённому физическому лицу или дающая возможность его идентификации. Их обработка допускается только на законных, справедливых и прозрачных основаниях.
Пользователи редко задумываются о безопасности данных, оформляя онлайн-кредит или вводя паспортные данные на сайте. Эти данные могут попасть в чужие руки, если нарушены требования обработки, отсутствуют процедуры шифрования, или сотрудники пренебрегают безопасностью.
Проблемы с безопасностью персональных данных встречаются не только в развивающихся странах. Даже в таких высокотехнологичных государствах, как Германия, США и Япония, происходят серьёзные инциденты. Например, в июне 2024 года банк Evolve Bank & Trust (США), сотрудничающий с рядом финтех-компаний, сообщил о кибератаке, в результате которой были похищены клиентские данные.
В Японии в феврале 2025 года NTT Communications зафиксировал несанкционированный доступ к своей системе, что привело к утечке информации о более чем 17 000 корпоративных клиентах. В Германии в октябре 2023 года атака программой-вымогателем на поставщика IT-услуг Südwestfalen IT нарушила работу более 70 муниципалитетов и привела к длительным сбоям в доступе к критическим цифровым сервисам.
Это говорит о том, что техническая оснащённость без организационных и нормативных мер не гарантирует полной защиты.
В Узбекистане проблема не менее актуальна. По данным МВД и Центра кибербезопасности в 2023 г. совершено 5,5 тысяч киберпреступлений, в 2024 г. в сфере кибербезопасности совершено 58,8 тысяч преступлений, из которых 97,7% связаны со снятием средств с банковских пластиковых карт граждан.
Такой рост объясняется тем, что любое мошенничество с банковскими картами теперь официально относится к категории киберпреступлений, что и повлияло на статистику. При этом большинство случаев связано с методами социальной инженерии, когда злоумышленники используют персональные данные жертвы для получения доступа к её финансовым средствам. Подобные случаи происходят всё чаще: бывает, что виноваты сотрудники банков или финтех-компаний; иногда — сами пользователи, которые слишком доверчивы; а ещё есть хакеры и мошенники, которые каждый день придумывают новые способы получения ценных данных.
Очевидно, что для эффективной защиты персональных данных одной технологии недостаточно — нужны и организационные, и правовые меры. Далее международный опыт в этой сфере.
Международные законодательные подходы к защите персональных данных
Персональные данные (ПДн) — это цифровое отражение личности человека: от имени и паспорта до финансовой информации, медицинской истории и поведенческих привычек. Их защита необходима для предотвращения мошенничества, шантажа, дискриминации и других злоупотреблений, которые могут нанести серьезный вред как отдельному гражданину, так и обществу в целом.
Кроме того, персональные данные имеют высокую экономическую ценность и используются для рекламы, аналитики и даже политического влияния. Без эффективной защиты таких данных невозможно обеспечить доверие к цифровой среде, а значит — и к современным цифровым сервисам.
Осознавая риски, многие страны закрепляют жёсткие требования в законах. В Европейском союзе действует GDPR – General Data Protection Regulation, чётко определяющий права граждан и ответственность операторов. В ряде азиатских стран, например в Сингапуре, за утечку данных предусмотрена уголовная ответственность. В Узбекистане нарушение работы с ПДн наказываются от штрафа до ограничения или даже лишения свободы до трех лет.
В международной практике наилучшим образцом законодательной базы по защите персональных данных признан Европейский союз (ЕС), где действует упомянутый выше «Общий регламент по защите данных» (GDPR). Этот документ применяется не только в странах ЕС, но и экстерриториально распространяется на любые компании, обрабатывающие персональные данные лиц, находящихся на территории ЕС, предлагающих им товары или услуги, либо отслеживающих их поведение. GDPR закрепляет чёткие права пользователей — право на доступ, исправление, удаление, а также право быть забытым.
В ряде случаев он обязывает операторов назначать ответственного за защиту данных (DPO), уведомлять о нарушениях в течение 72 часов, а за несоблюдение требований предусматривает крупные штрафы — до 20 миллионов евро или до 4% годового оборота компании. Не случайно GDPR называют «золотым стандартом» регулирования в сфере защиты персональных данных.
Тем не менее, исполнение требований регламента в странах Европейского союза остаётся неоднородным: в ряде государств надзорные органы демонстрируют высокую активность, тогда как в других (в частности, в некоторых странах Восточной Европы) институциональный потенциал слабее, размеры штрафов ниже, а влияние регуляторов ограничено. Кроме того, субъекты малого бизнеса нередко сталкиваются с трудностями в понимании и соблюдении всех требований.
В то же время Сингапур, несмотря на менее масштабный по охвату закон PDPA (о защите персональных данных), демонстрирует признанную передовую практику. Там действует независимый уполномоченный орган PDPC, который публикует решения по жалобам, назначает штрафы и следит за тем, чтобы государственные сервисы придерживались высоких стандартов конфиденциальности.
В таких условиях защита персональных данных работает не только на бумаге, но и на практике.
Различия в законодательных подходах особенно заметны при сравнении политики стран по локализации персональных данных, использованию облачных сервисов и механизмам контроля. Ниже представлена сводная таблица, отражающая некоторые ключевые моменты национальных режимов.
Табличное сравнение подходов к локализации
| Страна | Требование по локализации ПДн | Использование внешних облаков | Особенности | Наличие местных облаков |
| Сингапур | Требования по локализации нет, вместо этого предусмотрены условия по уровню защищённости данных и возможность передачи за границу только в случае наличия сопоставимого уровня защиты | Разрешено использование зарубежных провайдеров, если первичная база ПДн размещена в Республике Казахстан. (Закон Республики Казахстан от 21 февраля 2013 года № 94-V «О персональных данных и их защите») | Для частного сектора предусмотрены условия для использования внешних облаков; для госорганов, «национальных» операторов и стратегических отраслей — обязательное хранение данных только в G-Cloud или локальных дата-центрах | G-Cloud, Kazteleport, TS Cloud |
| Россия | При сборе персональных данных граждан РФ их запись, хранение и обработка должны осуществляться исключительно в базах данных, размещённых на территории России. Федеральный закон №152-ФЗ, статья 18, часть 5. | Использование внешних облаков или СЗИ (средств защиты информации) возможно, если основная база данных размещена в РФ и соблюдаются требования статей 12–14 ФЗ-152. | Существует реестр аккредитованных провайдеров, развивается концепция «национальной модели доверия» | Rostelcom Cloud, Selectel, СберCloud |
| Евросоюз | GDPR допускает хранение персональных данных в любом государстве Европейской экономической зоны. | Передача ПДн в третьи страны разрешена, если они признаны Европейской комиссией как обеспечивающие «адекватный уровень защиты» (GDPR, статья 45). | Операторы обязаны вести реестр операций, связанных с персональными данными (GDPR, статья 30). | OVHcloud, Deutsche Telekom Cloud, Orange Cloud и др. |
| Беларусь | Требования по локализации ПДн нет, однако статья 9 Закона №99-З ограничивает передачу данных в страны, не обладающие «достаточным уровнем защиты». | Разрешено при надлежащего уровня защиты на стороне получателя или при наличии согласия субъекта | Национальный центр защиты персональных данных ведёт список «соответствующих» стран и выдаёт разрешения. | BeCloud, ИКТ-сервисы А1 |
| США | Единого федерального закона нет; применяются региональные и отраслевые нормы (CCPA, HIPAA и др.). | В целом не ограничена; у отдельных секторов (здравоохранение, оборона и др.) есть свои правила. | Система защиты персональных данных сильно фрагментирована, отличается в зависимости от отрасли и штата. | Региональные дата-центры AWS, Azure, Google и др. |
| Китай | Согласно закону PIPL, персональные данные граждан должны храниться на территории КНР. | Контроль за передачей данных осуществляет CAC (Управление киберпространства Китая); трансграничная передача ПДн или важной информации допускается только после обязательного анализа рисков и проверки со стороны государства. | Для хранения ПДн граждан в облачных сервисах недостаточно согласия субъекта; требуется проверка безопасности и утверждение регулирующим органом. | Alibaba Cloud, Tencent Cloud, Huawei Cloud |
| Узбекистан | Закон ЗРУ-547: базы персональных данных граждан подлежат обязательной локализации в Узбекистане. | Согласно ЗРУ-547, трансграничная передача персональных данных разрешается при условии их первоначального сбора и хранения на территории Республики Узбекистан. | Существует реестр баз персональных данных с ограниченным доступом; методы обезличивания не стандартизированы, но разработаны базовые подходы. | UzCloud, Uzinfocom. Частные организации на стадии развития. |
Эти примеры подчёркивают, насколько разнообразными могут быть подходы к защите данных. Ниже, рассмотрим ситуацию в Узбекистане.
Узбекистан: нормативная база и вызовы реализации
В Узбекистане уже утверждён набор нормативных документов, регулирующих защиту персональных данных. К ключевым документам относятся:
• закон Республики Узбекистан «О персональных данных» от 02.07.2019 г. №ЗРУ-547;
• закон Республики Узбекистан «О кибербезопасности» от 15.04.2022 г. №ЗРУ-764;
• закон Республики Узбекистан «Об информатизации» от 11.12.2003 г. № 560-II;
• постановление Кабинета Министров Республики Узбекистан «Об утверждении Положения о Государственном реестре баз персональных данных» от 08.02.2020 г. № 71;
• постановление Кабинета Министров Республики Узбекистан «Об утверждении некоторых нормативно-правовых актов в области обработки персональных данных» от 05.10.2022 г. №570;
• кодекс Республики Узбекистан об административной ответственности (cтатья 462);
• уголовный кодекс Республики Узбекистан (cтатья 1412).
Помимо законодательных требований, во многих странах важную роль играют международные стандарты, такие как семейство ISO/IEC 27000, которые помогают компаниям выстраивать системный подход к информационной безопасности. В Узбекистане эти стандарты также признаны на национальном уровне: официально утверждены O‘zMSt ISO/IEC 27001:2023, 27002:2024, 27005:2024 и другие.
Следует отметить, что законодательная база по защите персональных данных в Узбекистане уже сформирована и по набору нормативных актов не уступает многим другим странам.
Если смотреть во взаимосвязи, то все нормативно-правовые акты четко указывают что персональные данные относятся к категории конфиденциальной информации. Хотя, закон «О кибербезопасности» (ЗРУ-764) прямо не упоминает персональные данные, но он устанавливает обязательные технические меры киберзащиты для критических и государственных ИС — именно таких, где зачастую и обрабатываются ПДн. По ст. 13 Закона «Об информатизации» персональные данные отнесены к категории конфиденциальной, и потому системы, содержащие их, объективно требуют киберзащиты. Приоритет закона о кибербезопасности — защита интересов личности в киберпространстве (ст. 6), что концептуально совпадает с задачами закона о персональных данных.
Основной Закон о персональных данных (ЗРУ-547) охватывает все важные аспекты — принципы обработки ПДн, права субъектов ПДн, обязанности операторов, локализация ПДн, конфиденциальности ПДн и ответственность за нарушение. Еще, согласно этому Закону и Постановлению Кабинета Министров №71 от 08.02.2020 г., Государственный центр персонализации обязан вести реестр баз ПДн и обеспечивать его доступность для ознакомления. В большинстве развитых стран данная функция воспринимается как приоритетная и реализуется на институциональном уровне:
• в Евросоюзе органы по защите данных (например, немецкий BfDI или французская CNIL) публикуют ежегодные отчёты, проводят публичные расследования и ведут открытые реестры решений и санкций;
• в Сингапуре уполномоченный орган по защите персональных данных (PDPC) предоставляет открытые списки штрафов и решений по жалобам, а также регулярно выпускает отчёты о состоянии защиты данных;
• в России Роскомнадзор ведёт открытый реестр операторов персональных данных, а также публикует статистику нарушений и принятых мер. По состоянию на 07.05.2025 в реестре содержатся сведения о 976 155 операторах персональных данных.
В Узбекистане также целесообразно, опираясь на международный опыт, обеспечить открытость реестра баз персональных данных, внедрить практику регулярной отчётности и наладить прозрачную коммуникацию с гражданами. Поскольку в настоящее время открытого доступа к реестру нет, остаётся неясным, как он функционирует на практике и какую роль играет в защите данных.
Исполнение норм и регуляторный пробел
Согласно статье 31 Закона «О персональных данных» и статье 27 Приказа Министерства юстиции №3478 от 15.11.2023 г, каждый оператор базы персональных данных обязан назначить ответственное лицо или подразделение, обеспечивающее соблюдение порядка обработки и защиты этих данных. Кроме того, законодательством установлены следующие требования:
• обеспечивать защиту персональных данных на всех этапах их обработки;
• локализовать базы данных с ПДн граждан Узбекистана на территории страны;
• предоставлять субъектам персональных данных доступ к информации о них, а также право на её корректировку и удаление;
• уведомлять уполномоченный орган о наличии базы ПДн и регистрировать её в государственном реестре.
Тем не менее, на практике выполнение этих норм зачастую формально. У назначенных ответственных лиц, особенно в негосударственном секторе, часто отсутствуют достаточные полномочия, а контрольные механизмы действуют неэффективно. Нарушение порядка обработки ПДн влечет административную и уголовную ответственность в соответствии со статьей 46.2 Кодекса об административной ответственности и статьей 141.2 Уголовного кодекса Республики Узбекистан.
В результате, несмотря на наличие нормативно-правовой базы, эффективная система надзора на практике не внедрена, и в регулировании образуется пробел. Это особенно ярко проявляется в следующих случаях:
• реестр зарегистрированных баз персональных данных недоступен для открытого использования;
• информация о проведённых контрольных мероприятиях по исполнению закона носит несистемный характер;
• законодательство не предусматривает обязательного уведомления субъекта персональных данных или надзорного органа в случае утечки персональных данных;
• отсутствуют удобные механизмы для подачи жалоб и реализации субъектами своих прав в отношении персональных данных;
При переходе к облачным технологиям существующие проблемы нормативно-правового исполнения становятся ещё более очевидными.
Облачные технологии: риски и перспективы
До того, как обсуждать, допустимы ли облачные решения для хранения персональных данных, необходимо обеспечить исполнение текущих норм: регистрацию баз, назначение ответственных, внутреннюю безопасность и аудит. Без этого разговор об «облаке» остаётся преждевременным.
Тем не менее существует несколько практических моделей, каждая из которых обладает своими преимуществами и недостатками.
Сравнение моделей хранения персональных данных в Узбекистане и их соответствие требованиям ЗРУ-547
| Модель хранения | Описание | Преимущества | Риски / ограничения |
| Локальное хранение | Данные полностью размещаются на серверах в Республике Узбекистан — в собственном ЦОД или арендованном у местного провайдера | Полное соответствие требованию локализации (ст. 271-ЗРУ-547), максимальный уровень контроля | Высокие затраты на инфраструктуру, ограниченные возможности масштабирования, зависимость от локальных подрядчиков |
| Облако в Узбекистане | Используются облачные платформы, зарегистрированные и физически размещенные на территории страны | Гибкость, снижение затрат на инфраструктуру, соблюдение требований законодательства | Ограниченный выбор провайдеров, возможная техническая незрелость решений |
| Гибридная модель | Основная база ПДн размещена в Узбекистане, а вторичная — в зарубежном облаке при полном соблюдении требований Закона ЗРУ-547 | Снижение затрат, возможность использования передовых облачных аналитических инструментов, формальное соответствие требованиям по локализации | Требуется чёткая сегментация и маркировка данных, контроль DLP и соблюдение требований статей 15 и 27¹ ЗРУ-547 при трансграничной передаче ПДн; сложность обеспечения правовой и технической совместимости |
| Иностранное облако без локализации | Все данные хранятся в облачной инфраструктуре за пределами Узбекистана | Быстрый запуск, широкий спектр технологических возможностей | Прямое нарушение требований Закона ЗРУ-547; риск штрафов, трансграничная правовая зависимость и уязвимости в обеспечении безопасности |
Безусловно, каждая модель хранения данных имеет свои технические преимущества. Однако в условиях стремительно развивающейся цифровизации приоритетное значение приобретает развитие национальной облачной инфраструктуры, обеспеченной четким правовым регулированием и обязательной сертификацией.
Учитывая различную природу персональных данных, вопрос приобретает ещё большую актуальность. Одно дело — если организация обрабатывает только основные идентификационные сведения. И совсем другое — когда в обработку вовлечены финансовые, медицинские, биологические или даже генетические данные человека. Для таких категорий необходимы различные уровни защиты, а также соответствующие механизмы обработки и контроля. Эти требования прямо закреплены в статье 25 Закона «О персональных данных» (ЗРУ-547) и в Постановлении Кабинета Министров № 570.
В Узбекистане уже предпринимаются важные шаги в этом направлении. Uzinfocom предоставляет государственным органам хостинг и облачные сервисы на базе собственного центра обработки данных. IT Park, в сотрудничестве с местными и международными провайдерами, активно работает над развитием цифровой инфраструктуры. Эти усилия, в свою очередь, формируют фундамент для безопасного, надёжного и устойчивого функционирования цифровых платформ.
Государственные инициативы по кибербезопасности финансового сектора
Постановление президента №ПП-153 от 30.04.2025 года перевело борьбу с киберпреступностью из декларативного состояния в режим конкретных обязательств. Министерство внутренних дел назначено координатором этой работы, а банки и платёжные организации теперь несут прямую ответственность за утечки данных и мошеннические операции.
Это постановление запускает именно в финансовом секторе механизм практического применения принципов Закона «О персональных данных». Несоблюдение стандартов защиты персональных и транзакционных данных может повлечь для организаций как репутационные, так и финансовые последствия.
Создание централизованной антифрод-системы устанавливает новый стандарт кибербезопасности именно для банков, операторов платёжных систем и платёжных организаций. В соответствии с пунктом 9 Постановления №ПП-153, банки, операторы платёжных систем, платёжные организации и кредитные бюро должны интегрировать свои транзакции и другие необходимые данные с Единой платформой Центрального банка, а также внедрить антифрод-системы (сессионные, транзакционные и телекоммуникационные).
Это означает, что участники финансового рынка несут ответственность за своевременное выявление возможных мошеннических схем в своих системах и за реализацию технической защиты. Возникает необходимость не только в развитии собственных систем мониторинга, но и в разработке чётких правил обращения с данными клиентов — какие данные подлежат анализу, как они шифруются, кто имеет к ним доступ и другие подобные вопросы.
Пункт 7(а) постановления вводит обязательство ежемесячно публиковать список организаций, в чьих системах зафиксировано наибольшее количество киберинцидентов. Такая открытая статистика превращает кибергигиену в конкретный показатель цифровой ответственности. Теперь подход финансовых организаций к информационной безопасности будет оцениваться публично и напрямую зависеть от зрелости их внутренних средств защиты, организационных мер и уровня подготовки сотрудников.
Документ также предусматривает ежегодные меры по формированию кибергигиены среди населения. Таким образом, государство не только усиливает техническую защищённость финансовой системы, но и выносит вопросы прозрачности, цифровой зрелости и кибергигиены в открытое общественное пространство.
Вместо вывода: ответственность и доверие
Для многих компаний, особенно для организаций, выходящих на рынок Узбекистана, использование зарубежных облачных сервисов представляется более удобным, и потому обсуждение этой темы неизбежно. Однако без учёта ключевых требований закона и позиции уполномоченного органа любые попытки «обосновать» размещение персональных данных в иностранных облаках будут спорными и юридически уязвимыми. Возможно, стоит реализовать гибридную модель, которая при правильной архитектуре — с сегментацией данных, шифрованием, использованием аппаратных модулей защиты (HSM) и DLP-систем — позволит одновременно соблюдать законодательство и применять современные технологические решения.
В стране уже созданы правовые основы, внедрены стандарты и установлены требования по локализации. Теперь в сфере защиты персональных данных предпринимаются системные шаги через повышение институциональной зрелости, прозрачности и киберграмотности.
Кибергигиена важна не только для обычных пользователей, но и для организаций, государственных учреждений и целых отраслей. Компании, пренебрегающие базовыми принципами кибербезопасности, рискуют столкнуться с утечками данных, финансовыми потерями и репутационном ущербом. Корпоративная кибергигиена требует регулярной проверки IT-инфраструктуры, обучения сотрудников, контроля доступа к критическим системам и своевременного устранения уязвимостей. В противном случае даже одна ошибка сотрудника, который перешел по фишинговой ссылке, может привести к масштабной кибератаке.
Чтобы меры защиты персональных данных действительно дали результат, каждый участник цифрового пространства должен ясно осознавать свою ответственность. Компании — за внедрение технических и организационных мер безопасности, органы надзора — за эффективный контроль и обеспечение использования открытых данных, а пользователи — за осознанное отношение к своим данным и защиту своих прав. Только совместные и ответственные действия всех участников способны сделать цифровую среду безопасной и надёжной.
Больше новостей в Телеграме
Подписаться
