Эерэг мэдээллийг эн тэргүүнд
Эрдэнэт-Овоо: 
USD | 3575
EUR | 4126
CNY | 495.5
RUB | 37.89
JPY | 24.03
KRW | 2.51
ХЭҮК: “Хаан” банкны харилцагчийн мэдээлэл цахим орчинд хууль бусаар тавигдсан байж болзошгүй хэрэгт хяналт шалгалт хийж зөвлөмж хүргүүлэв
Монгол Улсын Хүний эрхийн Үндэсний Комиссоос:
- “Хаан” банкны харилцагчийн мэдээлэл цахим орчинд хууль бусаар тавигдсан байж болзошгүй хэрэгт хяналт шалгалт хийж зөвлөмж хүргүүлсэн талаар,
- 2025.05.14-06.03-ны өдөр болсон жагсаал цуглаанд хийсэн дүн шинжилгээг танилцууллаа.
“Хаан банкны 2.5 сая харилцагчийн мэдээллийг зарна” гэх гарчигтай, “Монгол Улсын томоохон банкны бүх хэрэглэгчийн мэдээлэл бүхий 350GB мэдээллийг үнэ хаялцуулан худалдана. 100 мянган хэрэглэгчийн нэвтрэх нэр, нууц үг бүхий 933 мөр мэдээлэл байна” гээд зургаан харилцагчийн нэвтрэх нэр, нууц үгийг “zelenskyvlad” гэх нэр бүхий хэрэглэгч www.leakzone.net цахим сайтад 2025 оны 05 дугаар сарын 14-ны өдөр нийтэлсэн.
Энэ нь иргэний халдашгүй чөлөөтэй байх, хувийн нууц, хувийн мэдээллээ хамгаалуулах эрхийг зөрчсөн байж болзошгүй үйлдэл тул Монгол Улсын Хүний эрхийн Үндэсний Комиссын тухай хуулийн 7 дугаар зүйлийн 7.1.10 дахь заалт , 18 дугаар зүйлийн 18.1.1 дэх заалт, Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 24 дүгээр зүйлийн 24.1.2 дахь заалтад заасан бүрэн эрх, чиг үүргийнхээ хүрээнд болсон нөхцөл байдлыг тогтоохоор Комиссын гишүүн хяналт шалгалт явуулахаар 2025.05.16-нд удирдамж баталсан.
Удирдамжийн дагуу хяналт шалгалтын Ажлын хэсгийг Кибер халдлага, зөрчилтэй тэмцэх Нийтийн төвийн шинжээчийг оролцуулан байгуулж, 2025.05.16- 20-ны өдрүүдэд хяналт, шалгалт явууллаа. Хяналт шалгалтын хүрээнд “ХААН банк” ХК-ийн холбогдох албан тушаалтнуудаас тайлбар, мэдээлэл авч, шаардлагатай бичиг баримтыг хянан үзсэн. Мөн Кибер халдлага, зөрчилтэй тэмцэх Нийтийн төвийн шинжээчийн гаргасан дүгнэлттэй танилцаад дараах нөхцөл байдлыг тогтоосон.
1. Хяналт шалгалтын явцад, цахим орчинд худалдан борлуулна гэсэн мэдээллийг шалган үзэхэд Монгол Улсын иргэн, хуулийн этгээдэд холбогдох бодит мэдээлэл дийлэнх нь байв. Нийтлэгдсэн мэдээлэлд дүн шинжилгээ хийж үзэхэд давхардаагүй тоогоор нийт 258 хүний овог, нэр, регистрийн дугаар, 656 утасны дугаар, 187 гэрийн хаяг, 16 цахим шуудангийн хаяг, 368 дансны дугаар, 6 нэвтрэх нэр болон нууц үг байна. Эдгээр мэдээлэл нь хэрэглэгчдийн хэн болох, хаана амьдарч байгааг таних боломжтой байгаагаас гадна хүний халдашгүй чөлөөтэй байх, хувийн нууцаа хамгаалуулах эрхийг шууд зөрчсөн гэж үзэж болохуйц нөхцөлийг бий болгожээ. Уг зар энэ өдрийг хүртэл https://leakzone.net/Thread-Khanbank-2-5-million-users-db-sell холбоост байршсаар байна.
2. Монгол Улсын иргэдийн хувийн мэдээллийг гэмт этгээд олж авсан эх сурвалжийг шалгалтаар эцэслэн тогтоох боломжгүй байна. Шинжээчийн дүгнэлт, хяналт шалгалтын үр дүнд үндэслэн www.leakzone.net цахим хуудаст тавигдсан мэдээлэл нь банкны систем кибер халдлагад өртсөний улмаас алдагдсан мэдээлэл биш гэж дүгнэлээ. Харин хууль тогтоомжид заасны дагуу ХААН банкнаас төрийн байгууллагууд харилцагчдын мэдээллийг гаргуулж авдаг бөгөөд ийнхүү мэдээлэл авсан байгууллагуудаас мэдээлэл алдагдах боломжтой талаар Хаан банкны эрх бүхий албан тушаалтнууд тайлбарласан нь цаашид анхаарах асуудал байна. Монгол Улсын иргэдийн хувийн мэдээлэл эрх бүхий төрийн байгууллага эсвэл танай банкны салбар, гэрээлэн гүйцэтгэгчээс анхлан алдагдсан байх боломжтой юм.
3. Харилцагчдын мэдээллийг цахим орчинд нийтэлсэн байж болзошгүй ноцтой үйлдлийн мөрөөр танай банкнаас харилцагчдын хувийн мэдээллийг хамгаалах, учирч болох удаах эрсдэлээс сэргийлэх арга хэмжээ зохих ёсоор аваагүй байна. Банкны систем кибер халдлагад өртсөний улмаас мэдээлэл алдагдаагүй гэж үзэх үндэслэл байсан боловч танай банкны хэрэглэгч, Монгол Улсын иргэдийн бодит мэдээлэл хууль бус арилжааны цахим хуудаст тавигдсан, зарим хэрэглэгчийн интернэт банкны нэвтрэх нэр, нууц үгийг шалгах, өөрчлөх арга хэмжээ авсан атлаа “мэдээлэл ор үндэслэлгүй” гэх агуулгатай мэдэгдэл гаргасан нь бодит байдалд нийцэхгүй, нийтлэгдсэн хувийн мэдээллээс үүдэн гарч болох эрсдэлээс харилцагчийг хамгаалахад чиглэгдээгүй, зохистой арга хэмжээ биш байна.
Банкны харилцагчдын бодит мэдээлэл хууль бус арилжааны цахим хуудаст нийтлэгдсэн нь гэмт этгээд уг мэдээллийг хэрхэн олж авснаас үл хамаарч, Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 22 дугаар зүйлд заасан зөрчил юм. Иргэдийн нэр, оршин суугаа газрын хаяг, дансны мэдээлэл зэрэг хувийн мэдээлэл ийнхүү нийтлэгдсэн нь тэдний эрх, хууль ёсны ашиг сонирхолд хохирол учруулж болзошгүй. Энэ тохиолдолд танай банкнаас Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 22 дугаар зүйлийн 22.2 дахь хэсэгт заасан мэдэгдэл хүргэх арга хэмжээ аваагүй нь Монгол Улсын Үндсэн хууль, олон улсын гэрээнд заасан хүний халдашгүй чөлөөтэй байх, хувийн нууц, хувийн мэдээллээ хамгаалуулах эрх зөрчигдөж болзошгүй нөхцөлийг үүсгэсэн гэж үзлээ.
Монгол Улсын Хүний эрхийн Үндэсний Комиссын тухай хуулийн 27 дугаар зүйлийн 27.3 дахь хэсэг, Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 24 дүгээр зүйлийн 24.1.2 дахь заалтад заасан бүрэн эрхийн хүрээнд дараах арга хэмжээ авахыг мэдээлэл хариуцагч ХААН банканд дараах зөвлөмжийг өгсөн.
1. Хувийн мэдээлэл нь ил болсон хэрэглэгч бүрд Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 22 дугаар зүйлийн 22.2 дахь хэсэгт заасны дагуу мэдэгдэл хүргүүлж, эрсдэлээс хамгаалах арга хэмжээг авахыг зөвлөх, мэдээлэл өгч хамтран ажиллах.
2. www.leakzone.net цахим хуудас болон бусад эх сурвалжаас танай банкны харилцагч, иргэдийн хувийн мэдээллийг устгуулах талаар эрх бүхий төрийн байгууллагатай идэвхтэй хамтран ажиллах. (Энэ хүрээнд Комиссоос цагдаагийн байгууллага, Кибер халдлага, зөрчилтэй тэмцэх Үндэсний төв рүү тухайн хууль бус мэдээллийг устгуулах арга хэмжээ авхуулахаар хандсан болно)
3. Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 22 дугаар зүйлд заасан мэдээлэл цуглуулах, боловсруулах, ашиглахад илэрсэн зөрчлийн талаар мэдээллийн эзэнд мэдэгдэх үүргийг ёсчлон хэрэгжүүлэх, энэ талаарх бүртгэлийг хөтөлж, жил бүрийн 1 дүгээр сард багтаан Комисст ирүүлж байх.
4. Эрх бүхий төрийн байгууллагууд зэрэг гуравдагч этгээдэд мэдээлэл дамжуулахдаа зөвхөн хуульд заасан зорилго, чиг үүргийг хэрэгжүүлэх хүрээнд, хамгийн багаар дамжуулах, мэдээллийг аюулгүй байдлыг хангасан суваг, арга замаар дамжуулах, хүлээн авахыг шаардах.
5. Хүний хувийн мэдээллийг хуульд заасны дагуу гуравдагч этгээдэд дамжуулсан талаарх бүртгэлийг Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 18 дугаар зүйлийн 18.2.12 дахь заалтад заасны дагуу хөтөлж хэвших.
6. Хүний хувийн мэдээллийг хамгаалах тухай хуулийн талаарх сургалтад банкны холбогдох албан хаагчдыг хамруулах.
Гэрэл зургийг MPA.mn
Монгол Улсын Хүний эрхийн Үндэсний Комиссоос:
- “Хаан” банкны харилцагчийн мэдээлэл цахим орчинд хууль бусаар тавигдсан байж болзошгүй хэрэгт хяналт шалгалт хийж зөвлөмж хүргүүлсэн талаар,
- 2025.05.14-06.03-ны өдөр болсон жагсаал цуглаанд хийсэн дүн шинжилгээг танилцууллаа.
“Хаан банкны 2.5 сая харилцагчийн мэдээллийг зарна” гэх гарчигтай, “Монгол Улсын томоохон банкны бүх хэрэглэгчийн мэдээлэл бүхий 350GB мэдээллийг үнэ хаялцуулан худалдана. 100 мянган хэрэглэгчийн нэвтрэх нэр, нууц үг бүхий 933 мөр мэдээлэл байна” гээд зургаан харилцагчийн нэвтрэх нэр, нууц үгийг “zelenskyvlad” гэх нэр бүхий хэрэглэгч www.leakzone.net цахим сайтад 2025 оны 05 дугаар сарын 14-ны өдөр нийтэлсэн.
Энэ нь иргэний халдашгүй чөлөөтэй байх, хувийн нууц, хувийн мэдээллээ хамгаалуулах эрхийг зөрчсөн байж болзошгүй үйлдэл тул Монгол Улсын Хүний эрхийн Үндэсний Комиссын тухай хуулийн 7 дугаар зүйлийн 7.1.10 дахь заалт , 18 дугаар зүйлийн 18.1.1 дэх заалт, Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 24 дүгээр зүйлийн 24.1.2 дахь заалтад заасан бүрэн эрх, чиг үүргийнхээ хүрээнд болсон нөхцөл байдлыг тогтоохоор Комиссын гишүүн хяналт шалгалт явуулахаар 2025.05.16-нд удирдамж баталсан.
Удирдамжийн дагуу хяналт шалгалтын Ажлын хэсгийг Кибер халдлага, зөрчилтэй тэмцэх Нийтийн төвийн шинжээчийг оролцуулан байгуулж, 2025.05.16- 20-ны өдрүүдэд хяналт, шалгалт явууллаа. Хяналт шалгалтын хүрээнд “ХААН банк” ХК-ийн холбогдох албан тушаалтнуудаас тайлбар, мэдээлэл авч, шаардлагатай бичиг баримтыг хянан үзсэн. Мөн Кибер халдлага, зөрчилтэй тэмцэх Нийтийн төвийн шинжээчийн гаргасан дүгнэлттэй танилцаад дараах нөхцөл байдлыг тогтоосон.
1. Хяналт шалгалтын явцад, цахим орчинд худалдан борлуулна гэсэн мэдээллийг шалган үзэхэд Монгол Улсын иргэн, хуулийн этгээдэд холбогдох бодит мэдээлэл дийлэнх нь байв. Нийтлэгдсэн мэдээлэлд дүн шинжилгээ хийж үзэхэд давхардаагүй тоогоор нийт 258 хүний овог, нэр, регистрийн дугаар, 656 утасны дугаар, 187 гэрийн хаяг, 16 цахим шуудангийн хаяг, 368 дансны дугаар, 6 нэвтрэх нэр болон нууц үг байна. Эдгээр мэдээлэл нь хэрэглэгчдийн хэн болох, хаана амьдарч байгааг таних боломжтой байгаагаас гадна хүний халдашгүй чөлөөтэй байх, хувийн нууцаа хамгаалуулах эрхийг шууд зөрчсөн гэж үзэж болохуйц нөхцөлийг бий болгожээ. Уг зар энэ өдрийг хүртэл https://leakzone.net/Thread-Khanbank-2-5-million-users-db-sell холбоост байршсаар байна.
2. Монгол Улсын иргэдийн хувийн мэдээллийг гэмт этгээд олж авсан эх сурвалжийг шалгалтаар эцэслэн тогтоох боломжгүй байна. Шинжээчийн дүгнэлт, хяналт шалгалтын үр дүнд үндэслэн www.leakzone.net цахим хуудаст тавигдсан мэдээлэл нь банкны систем кибер халдлагад өртсөний улмаас алдагдсан мэдээлэл биш гэж дүгнэлээ. Харин хууль тогтоомжид заасны дагуу ХААН банкнаас төрийн байгууллагууд харилцагчдын мэдээллийг гаргуулж авдаг бөгөөд ийнхүү мэдээлэл авсан байгууллагуудаас мэдээлэл алдагдах боломжтой талаар Хаан банкны эрх бүхий албан тушаалтнууд тайлбарласан нь цаашид анхаарах асуудал байна. Монгол Улсын иргэдийн хувийн мэдээлэл эрх бүхий төрийн байгууллага эсвэл танай банкны салбар, гэрээлэн гүйцэтгэгчээс анхлан алдагдсан байх боломжтой юм.
3. Харилцагчдын мэдээллийг цахим орчинд нийтэлсэн байж болзошгүй ноцтой үйлдлийн мөрөөр танай банкнаас харилцагчдын хувийн мэдээллийг хамгаалах, учирч болох удаах эрсдэлээс сэргийлэх арга хэмжээ зохих ёсоор аваагүй байна. Банкны систем кибер халдлагад өртсөний улмаас мэдээлэл алдагдаагүй гэж үзэх үндэслэл байсан боловч танай банкны хэрэглэгч, Монгол Улсын иргэдийн бодит мэдээлэл хууль бус арилжааны цахим хуудаст тавигдсан, зарим хэрэглэгчийн интернэт банкны нэвтрэх нэр, нууц үгийг шалгах, өөрчлөх арга хэмжээ авсан атлаа “мэдээлэл ор үндэслэлгүй” гэх агуулгатай мэдэгдэл гаргасан нь бодит байдалд нийцэхгүй, нийтлэгдсэн хувийн мэдээллээс үүдэн гарч болох эрсдэлээс харилцагчийг хамгаалахад чиглэгдээгүй, зохистой арга хэмжээ биш байна.
Банкны харилцагчдын бодит мэдээлэл хууль бус арилжааны цахим хуудаст нийтлэгдсэн нь гэмт этгээд уг мэдээллийг хэрхэн олж авснаас үл хамаарч, Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 22 дугаар зүйлд заасан зөрчил юм. Иргэдийн нэр, оршин суугаа газрын хаяг, дансны мэдээлэл зэрэг хувийн мэдээлэл ийнхүү нийтлэгдсэн нь тэдний эрх, хууль ёсны ашиг сонирхолд хохирол учруулж болзошгүй. Энэ тохиолдолд танай банкнаас Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 22 дугаар зүйлийн 22.2 дахь хэсэгт заасан мэдэгдэл хүргэх арга хэмжээ аваагүй нь Монгол Улсын Үндсэн хууль, олон улсын гэрээнд заасан хүний халдашгүй чөлөөтэй байх, хувийн нууц, хувийн мэдээллээ хамгаалуулах эрх зөрчигдөж болзошгүй нөхцөлийг үүсгэсэн гэж үзлээ.
Монгол Улсын Хүний эрхийн Үндэсний Комиссын тухай хуулийн 27 дугаар зүйлийн 27.3 дахь хэсэг, Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 24 дүгээр зүйлийн 24.1.2 дахь заалтад заасан бүрэн эрхийн хүрээнд дараах арга хэмжээ авахыг мэдээлэл хариуцагч ХААН банканд дараах зөвлөмжийг өгсөн.
1. Хувийн мэдээлэл нь ил болсон хэрэглэгч бүрд Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 22 дугаар зүйлийн 22.2 дахь хэсэгт заасны дагуу мэдэгдэл хүргүүлж, эрсдэлээс хамгаалах арга хэмжээг авахыг зөвлөх, мэдээлэл өгч хамтран ажиллах.
2. www.leakzone.net цахим хуудас болон бусад эх сурвалжаас танай банкны харилцагч, иргэдийн хувийн мэдээллийг устгуулах талаар эрх бүхий төрийн байгууллагатай идэвхтэй хамтран ажиллах. (Энэ хүрээнд Комиссоос цагдаагийн байгууллага, Кибер халдлага, зөрчилтэй тэмцэх Үндэсний төв рүү тухайн хууль бус мэдээллийг устгуулах арга хэмжээ авхуулахаар хандсан болно)
3. Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 22 дугаар зүйлд заасан мэдээлэл цуглуулах, боловсруулах, ашиглахад илэрсэн зөрчлийн талаар мэдээллийн эзэнд мэдэгдэх үүргийг ёсчлон хэрэгжүүлэх, энэ талаарх бүртгэлийг хөтөлж, жил бүрийн 1 дүгээр сард багтаан Комисст ирүүлж байх.
4. Эрх бүхий төрийн байгууллагууд зэрэг гуравдагч этгээдэд мэдээлэл дамжуулахдаа зөвхөн хуульд заасан зорилго, чиг үүргийг хэрэгжүүлэх хүрээнд, хамгийн багаар дамжуулах, мэдээллийг аюулгүй байдлыг хангасан суваг, арга замаар дамжуулах, хүлээн авахыг шаардах.
5. Хүний хувийн мэдээллийг хуульд заасны дагуу гуравдагч этгээдэд дамжуулсан талаарх бүртгэлийг Хүний хувийн мэдээлэл хамгаалах тухай хуулийн 18 дугаар зүйлийн 18.2.12 дахь заалтад заасны дагуу хөтөлж хэвших.
6. Хүний хувийн мэдээллийг хамгаалах тухай хуулийн талаарх сургалтад банкны холбогдох албан хаагчдыг хамруулах.
Гэрэл зургийг MPA.mn
Санал болгох
Дээш