"Хаан банкны 2.5 сая харилцагчийн мэдээллийг зарна”, "Монгол Улсын томоохон банкны бүх хэрэглэгчийн 350GB мэдээллийг үнэ хаялцуулан худалдана", "100,000 хэрэглэгчийн нэвтрэх нэр, нууц үг бүхий 933 мөр мэдээлэл байна" гэх гарчигтай зургаан харилцагчийн нэвтрэх нэр, нууц үгийг Зеленский Влад гэсэн нэр бүхий хэрэглэгч хууль бус цахим сайтад 2025 оны тавдугаар сарын 14-ний өдөр нийтэлсэн.

ХЭҮК-ын Хүний хувийн мэдээллийг хамгаалах хэлтсээс хийсэн эхний үнэлгээгээр дээрх асуудлыг шалгаж, тогтоох шаардлагатай гэж үзсэн. 

Монгол Улсын иргэдийн хувийн мэдээлэл арилжааны хууль бус цахим хуудаст тавигдсан байж болзошгүй байсан тул 2025 оны тавдугаар сарын 16-наас эхлэн бодит нөхцөл байдал, эрсдэлийг тогтоох зорилгоор шалгалт явууллаа.

Удирдамжийн дагуу Кибер халдлага, зөрчилтэй тэмцэх нийтийн төвийн шинжээчийг оролцуулан хянан шалгаж, дараах нөхцөл байдлыг тогтоолоо.

• Линксонэт арилжааны хууль бус цахим хуудсанд худалдаалахаар түгээсэн мэдээллийн ихэнх нь Монгол Улсын иргэн, хуулийн этгээдэд холбогдох бодит мэдээлэл байна.
• Нийтэлсэн мэдээлэлд дүн шинжилгээ хийхэд давхардаагүй тоогоор нийт 258 хүний овог нэр, регистрийн дугаар, 656 утасны дугаар, 186 гэрийн хаяг, 16 цахим шуудангийн хаяг, 368 дансны дугаар, зургаан интернэт банкны нэвтрэх нэр болон нууц үг байсан. Эдгээр мэдээлэл нь хэрэглэгчдийн хэн болох болон оршин суугаа газрын хаягийг шууд илтгэсэн мэдээлэл байсан.
• Ажлын хэсэг мэдээлэл нь алдагдсан байж болзошгүй иргэдийн дансны дугаарыг шалгаж үзэхэд овог нэрс хэрэглэгчдийнхтэй таарч байсан.
• Нийтэлсэн мэдээлэл дэх данснууд 2007-2016 оны хооронд үүссэн байх бөгөөд 10 дансны сүүлийн дугаарыг санамсаргүйгээр сонгон авч шалгахад 2016, 2017, 2024 онуудад сүүлийн гүйлгээг хийжээ. Өөрөөр хэлбэл идэвхтэй ашиглаж байгаа данснууд байна. Уг зар энэ өдрийг хүртэл Линксонэт цахим холбоост байршсаар байгаа.

ХЭҮК-ын Ажлын хэсэгт ажилласан шинжээчийн дүгнэлт:

2021 онд Монгол Улсын банктай холбоотой дөрвөн сая мөр өгөгдөл алдагдсан гэх мэдээллийн ул мөрөөр интернэт орчинд тандалт хийхэд тухайн онд алдагдсан байж болзошгүй таван мөр өгөгдөл олдсон. Эдгээр өгөгдөл нь энэ удаад алдагдсан гэх өгөгдлийн бүтэцтэй талбар нэршлийн хувьд таарч байгаа.

Линксонэт сайт дээр нийтлэл оруулсан Зеленский Влад хэрэглэгч нь 2025 оны тавдугаар сарын 14-ний өдөр тухайн цахим хуудсанд бүртгэл үүсгэсэн байна.

Эдгээрээс дүгнэж үзвэл дээрх мэдээлэл 2021 онд алдагдсан мэдээллийн зарим хэсгийг сольж өөрчлөөд дахин нийтлэх замаар залилангийн шинжтэй үйлдэл хийсэн байх магадлалтай. 

ХЭҮК-ын шинжилгээгээр 2021 онд нийтлэгдсэн гэх мэдээлэлд байх Од, Жаргал, Лхагва зэрэг хүний нэр болон бусад хувийн мэдээлэл шинэ тавигдаагүй, нэр давхцаагүй байсан.

Зургаан хүний интернэт банкны нэр, паспортыг жишээ болгож оруулаад "100 мянган ийм мэдээлэл байгаа" гэж түгээжээ. 

Эдгээр зургаан нууц үгийг шалгаж үзэхэд хоёр нь хуулийн этгээдэд холбогдох, гурав нь Монгол Улсын иргэнд холбогдох, нэг нь огт байхгүй мэдээлэл байсан.

Монгол Улсын иргэдийн хувийн мэдээллийг гэмт этгээд олж авсан эх сурвалжийг шалгалтаар эцэслэн тогтоох боломжгүй байсан.

Шинжээчийн дүгнэлт, хяналт шалгалтын үр дүнд үндэслээд Линксонэт цахим хуудсанд байршуулсан мэдээлэл нь банкны систем, кибер халдлагад өртсөний улмаас алдагдсан мэдээлэл биш гэж комисс дүгнэлээ. 

Харилцагчдын мэдээллийг цахим орчинд нийтэлсэн байж болзошгүй ноцтой үйлдлийн мөрөөр Хаан банкнаас харилцагчийн хувийн мэдээллийг хамгаалах, учирч болох удаах эрсдэлээс сэргийлэх арга хэмжээг зохих ёсоор аваагүй байна гэж дүгнэсэн.

Банкны систем кибер халдлагад өртсөний улмаас мэдээлэл алдагдаагүй гэж үзэх үндэслэл байсан боловч Хаан банкнаас өөрсдийн хэрэглэгч, Монгол Улсын иргэдийн бодит мэдээлэл нь хууль бус арилжааны цахим хуудсанд тавигдсан, зарим хэрэглэгчийн банкны нэвтрэх нэр, нууц үгийг шалгах арга хэмжээг авсан. Гэхдээ энэ мэдээлэл огт ор үндэсгүй гэх мэдээлэл гаргасан нь бодит байдалд нийцэхгүй.

Нийтлэгдсэн хувийн мэдээллээс үүдэн гарч болох эрсдэлээс харилцагчдыг хамгаалахад чиглэсэн зохистой арга хэмжээ биш гэж дүгнэсэн.

Банкны харилцагчдын бодит мэдээлэл хууль бус арилжааны цахим хуудсанд нийтлэгдсэн нь гэмт этгээд уг мэдээллийг хэрхэн олж авснаас үл хамаараад Хүний хувийн мэдээллийг хамгаалах тухай хуулийн 22 дугаар зүйлд заасан зөрчил, иргэдийн нэр, оршин суугаа газар, дансны мэдээлэл зэрэг хувийн мэдээлэл нийтлэгдсэн байгаа нь Монгол Улсын иргэдийн эрх, хууль ёсны ашиг сонирхолд хохирол учруулж болзошгүй гэж дүгнэсэн.

Хаан банканд дараах таван зөвлөмжийг хүргүүлжээ: 

1.Хувийн мэдээлэл нь ил болсон хэрэглэгч бүрд Хүний хувийн мэдээллийг хамгаалах тухай хуулийн 22 дугаар зүйлийн хоёр дахь хэсэгт заасны дагуу мэдэгдэл хүргүүлж, эрсдэлээс хамгаалах арга хэмжээ авахыг зөвлөх, мэдээлэл өгч хамтран ажиллах

2. Линксонэт цахим хуудас болон бусад эх сурвалжаас банкны харилцагч иргэдийн хувийн мэдээллийг устгуулах талаар төрийн байгууллагуудтай бүх талаар хамтран ажиллах.

Комисс зөвхөн Хаан банканд зөвлөмж өгөхийн зэрэгцээ цагдаагийн байгууллага, Кибер халдлага зөрчилтэй тэмцэх үндэсний төв энэ мэдээллийг устгуулах асуудлаар албан байдлаар хандсан байгаа.

3. Хүний хувийн мэдээллийг хамгаалах тухай хуулийн дагуу зөрчлийн бүртгэл гэдэг бүртгэлийн хөтөлж Хүний эрхийн үндэсний комисст жил бүрийн нэгдүгээр сард хүргүүлэх ёстой. Энэ үүргийг биелүүлэх, комисст зөрчлийн бүртгэлээ ирүүлж хэвшихийг зөвлөсөн.

4.Эрх бүхий төрийн байгууллага зэрэг гуравдагч этгээдэд мэдээлэл дамжуулахдаа зөвхөн хуульд заасан зорилго, чиг үүргийг хэрэгжүүлэх хүрээнд хамгийн багаар дамжуулах, мэдээллийн аюулгүй байдлыг хангасан суваг, арга замаар дамжуулахыг хүлээн авахыг гуравдагч этгээдээс шаардах

5. Хүний хувийн мэдээллийг хуульд заасны дагуу гуравдагч этгээдэд дамжуулсан талаарх бүртгэлийг Хувийн мэдээллийг хамгаалах тухай хуулийн 18 дугаар зүйлийн 18.2.10 дахь заалтад заасны дагуу хөтөлж хэвших, банкны холбогдох эрх бүхий албан хаагчдыг хүний хувийн мэдээллийг хамгаалах тухай сургалтад хамруулах гэх зөвлөмжийг 60 хоногийн дотор хэрэгжүүлээд ХЭҮК-т мэдээлэл баримтын хамт эргэж мэдээлэл өгөхийг Хаан банкныханд үүрэг болгосон байгаа.