Правовые гарантии безопасности информации
(Зверева Е.)
("Законность", N 5, 2004)
Текст документа
ПРАВОВЫЕ ГАРАНТИИ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Е. ЗВЕРЕВА
Е. Зверева, кандидат юридических наук.
Правовое регулирование деятельности по обеспечению информационной безопасности осуществляется посредством институтов тайны, лицензирования деятельности по технической защите конфиденциальной информации и деятельности с использованием шифровальных средств, услуг, связанных с электронной цифровой подписью, а также ответственности за правонарушения в сфере безопасности информации, которая может быть гражданско-правовой, административной и уголовной.
Гражданско-правовые способы защиты информации предусмотрены ГК РФ. Кроме того, в законодательстве есть ряд норм, направленных на обеспечение конфиденциальности и сохранности информации. Так, ст. 139 ГК предусматривает защиту прав обладателя сведений, не подпадающих под охрану норм патентного, авторского или иного специального законодательства, в том числе изобретений, полезных моделей и иных охраноспособных объектов, по тем или иным причинам не запатентованных правообладателем. Закрепление исключительных прав обладателя коммерческой тайны принципиально отличается по своим условиям от охраны авторских и патентных прав на продукты интеллектуальной деятельности. Если условием предоставления охраны последним служит их опубликование, то охрана информации, составляющей коммерческую и служебную тайну, напротив, осуществляется лишь при условии, что правообладатель предпринимает меры, направленные на сохранение этой информации в секрете. Защита коммерческой и служебной тайны основывается на созданной им системе конфиденциальности, отсутствие которой влечет прекращение права.
Защита технической, организационной и коммерческой информации, составляющей секреты производства (ноу-хау), в качестве особого объекта гражданского права была впервые введена Основами гражданского законодательства Союза ССР и республик от 31 мая 1991 г. Согласно ч. 1 ст. 151 Основ обладатель технической, организационной или коммерческой информации, составляющей секрет производства (ноу-хау), имеет право на защиту от незаконного использования этой информации третьими лицами при условии, что:
- эта информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам;
- к этой информации нет свободного доступа на законном основании;
- обладатель информации принимает надлежащие меры к охране ее конфиденциальности.
Используемое в современном гражданском законодательстве понятие коммерческой тайны шире понятия "секреты производства". Нормы о коммерческой тайне содержатся и в ряде других законов, в частности в Законе РСФСР "О конкуренции и ограничении монополистической деятельности на товарных рынках" (ст. ст. 10, 15), Законе РФ "О средствах массовой информации" (ст. ст. 40, 47, 58).
Статья 139 ГК не раскрывает содержание сведений, составляющих служебную или коммерческую тайну, и не приводит их перечень, поэтому к коммерческой тайне могут быть отнесены любые знания, включая практический опыт специалистов, применяемые не только в производстве, но также в торговле, маркетинге, менеджменте, иных управленческих услугах. Обстоятельства, обусловливающие отнесение информации к коммерческой тайне, являются предметом судебного доказывания. Условия отнесения информации к служебной или коммерческой тайне перечислены в п. 1 ст. 139 ГК: информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
Важной новеллой ГК является введение имущественной ответственности лица перед своим работодателем за разглашение служебной или коммерческой тайны, что предполагает необходимость включения соответствующих условий в трудовое соглашение (п. 2 ст. 139 ГК). Санкции за нарушение служебной тайны устанавливаются также нормами законов о соответствующих видах деятельности.
Исключения из общей нормы ст. 139 ГК устанавливаются законами или иными правовыми актами. Так, Постановлением Правительства РСФСР от 5 декабря 1991 г. N 35 "О перечне сведений, которые не могут составлять коммерческую тайну", к ним, в частности, отнесены: сведения, содержащиеся в учредительных документах хозяйственных обществ, сведения по установленным нормам отчетности о планово-хозяйственной деятельности, сведения, необходимые для проверки исчисления и уплаты налогов и иных обязательных платежей, и проч. Предприятия и предприниматели обязаны представлять эти сведения по требованию органов власти, управления, контролирующих и правоохранительных органов, других организаций, обладающих таким правом в соответствии с законодательством.
В ст. 10 Федерального закона "Об информации, информатизации и защите информации" (далее - Закон об информации) приведены категории доступа к информационным ресурсам. Система категорий доступа, устанавливаемая этой нормой, не представляет собой классификацию, так как не охватывает всех информационных ресурсов. Определенными категориями доступа характеризуются лишь те виды ресурсов, для которых либо установлен законодателем запрет на их закрытие для пользователей, либо разрешение на ограничение доступа к ним, либо предписание к ограничению доступа к ним.
Наряду с этим представляется целесообразным выделить группу информационных ресурсов, не характеризующихся определенной категорией доступа. Это ресурсы, по отношению к которым их собственник или владелец вправе свободно принимать решение о предоставлении или непредоставлении доступа к ним конкретным пользователям. Что же касается категорий доступа, то Закон об информации устанавливает такие категории, как
а) открытые и общедоступные ресурсы и
б) ресурсы с ограниченным доступом, причем вторая категория делится на две подкатегории: ресурсы, содержащие информацию, относящуюся к государственной тайне; ресурсы, содержащие конфиденциальную информацию (ч. 2 ст. 10).
Открытыми и общедоступными согласно ч. 1 ст. 10 Закона об информации являются государственные информационные ресурсы Российской Федерации, за исключением документированной информации, отнесенной законом к категории ограниченного доступа.
Согласно ч. 3 ст. 10 Закона об информации запрещено относить к информации с ограниченным доступом следующие виды документов:
- законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
- документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
- документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, отнесенных к государственной тайне;
- документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.
Согласно ч. 4 ст. 10 Закона об информации отнесение информации к государственной тайне осуществляется в соответствии с Законом РФ "О государственной тайне", который в ст. 8 устанавливает три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно". Основанием определения степени секретности сведений, составляющих государственную тайну, является их соответствие степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений (ч. 1 ст. 8 Закона "О государственной тайне"). Порядок определения размеров ущерба и правила отнесения указанных сведений к той или иной степени секретности устанавливаются Правительством РФ в соответствии с Правилами, утвержденными Постановлением Правительства РФ от 4 сентября 1995 г. N 870.
Согласно ч. 5 ст. 10 Закона об информации отнесение информации к конфиденциальной осуществляется в порядке, установленном законодательством Российской Федерации, за исключением случаев, предусмотренных в ст. 11 этого Закона, касающихся использования персональных данных (т. е. информации о гражданах), перечень которых утвержден Указом Президента РФ от 6 марта 1997 г. N 188. К конфиденциальной информации кроме информации, содержащей государственную тайну, и информации, содержащей коммерческую и служебную тайну, относятся такие виды информации, как информация, передаваемая путем переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ч. 2 ст. 23 Конституции РФ, ст. 138 УК); касающаяся тайны усыновления (ст. 155 УК); составляющая личную и семейную тайну (ст. 137 УК); информация, являющаяся объектом авторских и смежных прав (ст. 146 УК, Закон РФ "Об авторском праве и смежных правах"); информация, содержащая банковскую тайну (ст. 857 ГК и ст. 26 ФЗ "О банках и банковской деятельности").
Ответственность за административные правонарушения в области информации установлена ст. ст. 13.11 - 13.23 КоАП РФ.
Уголовный кодекс в ст. 183 предусматривает уголовную ответственность за незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну; ст. 189 УК установлена уголовная ответственность за незаконный экспорт технологий, научно-технической информации, услуг, сырья, материалов и оборудования, используемых при создании оружия массового поражения, вооружения и военной техники. Статьи 272 - 274 УК предусматривают уголовную ответственность за преступления в сфере компьютерной информации. Указанные преступления законодатель отнес к преступлениям в сфере экономики. К преступлениям против основ конституционного строя и безопасности государства относятся составы, предусмотренные ст. ст. 283 УК (разглашение государственной тайны) и 284 (утрата документов, содержащих государственную тайну).
В ст. ст. 272 и 273 УК, предусматривающих уголовную ответственность за преступления в сфере компьютерной информации, в качестве общественно опасных последствий деяния указывается "уничтожение, блокирование, модификация либо копирование информации". Если уничтожение, блокирование или модификация информации делают ее непригодной для использования правообладателем, то вред от копирования информации (перенесения ее на другой материальный носитель при сохранении первоначальной информации) состоит в том, что она может стать доступной другим лицам - тем самым нарушается ее конфиденциальность. Объединение этих последствий в единый комплекс объясняется тем, что к ним могут привести одни и те же действия (неправомерный доступ к компьютерной информации; создание, использование и распространение вредоносных программ для ЭВМ).
Сохранение в тайне служебной информации, как правило, не обусловлено ее коммерческой ценностью (хотя это и не исключено). Запрет ее разглашения основывается на законодательстве, регламентирующем отдельные сферы деятельности и устанавливающем для определенных категорий работников таких сфер деятельности (например, банковских служащих, работников связи, налоговых инспекторов, страховых агентов, врачей и др.) обязанность сохранять в тайне сведения, к которым они имеют доступ в связи с выполняемой работой. Например, уголовная ответственность за разглашение сведений, составляющих врачебную тайну, ранее была установлена ст. 128.1 УК РСФСР 1960 г. Согласно ныне действующему УК такое деяние квалифицируется по ч. 2 ст. 137 как нарушение неприкосновенности частной жизни, совершенное лицом с использованием своего служебного положения.
Статья 128.1 УК РСФСР описывала основной состав этого преступления как разглашение сведений, составляющих врачебную тайну, лицом, которому эти сведения стали известны в связи с исполнением им своих служебных или профессиональных обязанностей (ч. 1), т. е. определяла его как преступление с формальным составом. Наступление вредных последствий в виде причинения потерпевшему значительного материального или морального вреда или иных тяжких последствий (ч. 2) выступало в качестве квалифицирующего признака.
В ныне действующем УК это преступление определено как преступление с материальным составом, для установления его объективной стороны необходимо доказать, что деяние причинило вред правам и законным интересам граждан. Кроме того, основной состав преступления характеризуется такими обстоятельствами, как корыстная или личная заинтересованность субъекта, а также тем, что собранные или распространенные сведения составляли личную или семейную тайну потерпевшего и были собраны или распространены без его согласия, что особенно затруднительно, когда в качестве потерпевшего выступает лицо, страдающее психическим заболеванием.
Кроме того, изменился субъект данного преступления. Если по УК РСФСР он был специальным, то УК РФ предусматривает совершение деяния лицом с использованием своего служебного положения в качестве квалифицирующего признака (ч. 2 ст. 137). С учетом изложенного необходимо признать, что степень защищенности информации, составляющей врачебную тайну, снизилась. Более того, это понятие фактически утратило свой правовой смысл, будучи замененным понятием личной или семейной тайны.
Как было показано, гражданско-правовой смысл понятий коммерческой и служебной тайны различен, что не мешает объединить их в родовое понятие конфиденциальной информации, которое, помимо них, охватывает и некоторые другие виды информации (примером такой информации может служить упомянутая личная или семейная тайна).
Перечень сведений конфиденциального характера утвержден Указом Президента РФ от 6 марта 1997 г. N 188 и включает шесть видов информации, различающейся по своему предметному содержанию. Это 1) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях; 2) сведения, составляющие тайну следствия и судопроизводства; 3) служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с ГК и федеральными законами (служебная тайна); 4) сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.); 5) сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с ГК и федеральными законами (коммерческая тайна); 6) сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Таким образом, как показывает анализ законодательства, в нем есть достаточные правовые гарантии безопасности информации в таком ее аспекте, как обеспечение защиты конфиденциальной информации. На втором месте по степени законодательного урегулирования стоит защита информации от искажения.
Что же касается целостной концепции информационной безопасности, то такая концепция пока не нашла отражения ни в юридической науке, ни в законодательстве. В ходе ее разработки, которая представляется весьма насущной, необходимо исходить из следующих принципов. Во-первых, информационная безопасность не является разновидностью безопасности в смысле Закона РФ от 5 марта 1992 г. "О безопасности", а представляет особый тип состояния социальных систем, характеризующихся определенными параметрами защиты информации, существенно значимой для составляющих эти системы субъектов. Во-вторых, в качестве субъектов информационной безопасности могут выступать физические и юридические лица, должностные лица, государственные органы, органы местного самоуправления, Российская Федерация. В-третьих, система информационной безопасности должна полностью охватывать все существующие типы угроз, обусловленные объективными свойствами информации и закономерностью ее функционирования в социальной среде.
------------------------------------------------------------------
Название документа