Резидентность данных в Центральной Азии:
Узбекистан, Кыргызстан и Казахстан
Компании, работающие в Центральной Азии, сталкиваются с требованиями к резидентности данных в каждой из трёх крупнейших экономик: Узбекистане, Кыргызстане и Казахстане. Требования схожи по концепции, но различаются в деталях — и история правоприменения в Казахстане делает это более чем теоретическим риском. Эта статья сравнивает три режима и их практические последствия для архитектурных решений.
Узбекистан: Закон № 213-II (2019)
Закон Узбекистана о персональных данных (№ 213-II) принят в 2019 году и несколько раз изменялся. Основное требование прямое: персональные данные граждан Узбекистана должны обрабатываться и храниться в базах данных, физически расположенных в Узбекистане. Санкции — приостановка обработки данных, что фактически означает запрет продукта на узбекском рынке.
Кыргызстан: Закон о персональных данных (2008, с поправками)
Законодательная база Кыргызстана старше и развивалась через поправки. Требование локализации — персональные данные граждан Кыргызстана хранятся на серверах физически в Кыргызстане — повторяет узбекскую модель. Однако зрелость правоприменения ниже, чем в Узбекистане. Системные правоприменительные действия против иностранных компаний менее распространены.
Это не означает, что риск нулевой. По мере роста цифровой экономики Кыргызстана и повышения регуляторного потенциала ожидается усиление правоприменения. Компании, выстраивающие долгосрочное соответствие на кыргызском рынке, должны рассматривать требование локализации как обязательное сегодня.
Казахстан: Закон о персональных данных и их защите (2013)
Казахстан имеет наиболее строгую и активно применяемую систему локализации данных в регионе. Закон 2013 года включает требование локализации персональных данных казахстанских граждан, требование уведомления соответствующего органа до трансграничных передач и реальную историю правоприменения.
Наиболее известный пример правоприменения — блокировка LinkedIn в 2016 году. Более недавно регулятор связи Казахстана (AREP) провёл систематические проверки соответствия крупных цифровых платформ требованиям локализации.
Общие требования (все три страны)
- • Персональные данные граждан хранятся в стране
- • Трансграничные передачи требуют адекватной защиты или согласия
- • Широкое определение персональных данных (имя, контакты, ID, биометрия)
- • Назначенный национальный орган правоприменения
Ключевые различия
- • Казахстан: уведомление обязательно до трансграничной передачи
- • Казахстан: активная история правоприменения (блокировки сервисов)
- • Узбекистан: наиболее свежая и часто изменяемая система
- • Кыргызстан: наименьшая текущая зрелость правоприменения
Архитектурный вызов: три юрисдикции, одна платформа
Бизнес, правильно обслуживающий все три рынка, не может использовать общую базу данных, хранящую персональные данные всех трёх стран в одном месте. Правильная архитектура требует изоляции данных по юрисдикциям: узбекские данные в Узбекистане, кыргызские в Кыргызстане, казахстанские в Казахстане.
Это архитектурно достижимо, но требует продуманного проектирования базы данных. Типичный подход — маршрутизация хранения с учётом юрисдикции на уровне приложения: приложение определяет юрисдикцию субъекта данных и записывает в соответствующий региональный кластер.
«Практическое решение — суверенные облачные узлы в каждой стране, с межрегиональной репликацией только для операционных данных без персональных идентификаторов. Архитектура несложная, если строить её с учётом соответствия с самого начала — ретрофитинг позже и вызывает головную боль.»
Hyper App в настоящее время работает в Узбекистане (Ташкент) и Кыргызстане (Бишкек), с казахстанскими мощностями в планировании. Для региональных бизнесов сочетание локальных узлов и маршрутизации с учётом юрисдикций на единой платформе устраняет большую часть сложности соответствия.