Защита информации и прав субъектов информационных отношений
Защита информации может осуществляться с помощью организационных, экономических, технических, правовых и других средств. В связи с развитием информационных технологий, информационно-телекоммуникационных сетей, электронного документооборота все большее значение приобретает внедрение компьютерных способов защиты информации в автоматизированных системах ее передачи и обработки, программно-технических средств обеспечения информационной безопасности бизнеса.
Закон о коммерческой тайне предусматривает, в частности, что обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству РФ меры (п. 4 ст. 10).
Организации, обрабатывающие информацию с ограниченным доступом, которая является собственностью государства, создают специальные службы, обеспечивающие защиту информации (ст. 21 Закона об информации).
Правовой базой технической защиты информации являются Закон об информации, Федеральный закон "Об электронно-цифровой подписи", Федеральный закон от 8 августа 2001 г. N 128-ФЗ "О лицензировании отдельных видов деятельности"*(974), Федеральный закон "О связи" и др.
Правовая защита информации осуществляется посредством установления прав и обязанностей субъектов в сфере охраны информации и ответственности за их нарушение.
Закон об информации предусматривает защиту конституционного права на информацию, основной гарантией которой выступает возможность обращения в суд.
Защита прав субъектов в сфере формирования и использования информационных ресурсов, разработки, производства и применения информационных систем, технологий и средств их обеспечения осуществляется судом, арбитражным судом, третейским судом с учетом специфики правонарушений и нанесенного ущерба.
В судебном порядке могут быть обжалованы следующие действия:
- отказ в доступе к открытой (общедоступной) информации;
- отказ государственных (муниципальных) органов в доступе к информационным ресурсам, которые они обязаны предоставить субъектам по вопросам своей деятельности, или к информации о самих субъектах;
- предоставления субъектам заведомо недостоверной информации;
- необоснованное отнесение информации к категории информации с ограниченным доступом (ст. 13, 14, 24 Закона об информации).
Так, Федеральный закон "О государственной регистрации прав на недвижимое имущество и сделок с ним" устанавливает, что органы, осуществляющие государственную регистрацию прав, несут ответственность за полноту и подлинность предоставляемой информации о зарегистрированных правах на недвижимое имущество и сделках с ним (ст. 31).
Во всех случаях лица, которым отказано в доступе к информации, и лица, получившие недостоверную информацию, имеют право на возмещение понесенного ими ущерба.
Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Однако особое значение имеет защита прав субъектов, связанная с обеспечением конфиденциальности информации. Основные задачи защиты конфиденциальной информации - предотвращение несанкционированного доступа к такой информации и ее разглашения.
Режим защиты информации с ограниченным доступом устанавливается в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона РФ "О государственной тайне"*(975); конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании Закона об информации*(976). Режим защиты персональных данных в отсутствие специального федерального закона регулируется Законом об информации (ст. 11), ТК РФ (главой 14 "Защита персональных данных работника") и другими федеральными законами.
Так, в области защиты служебной тайны действует Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная приказом ФАПСИ при Президенте РФ от 13 июня 2001 г. N 152*(977).
В соответствии с п. 2 ст. 102 НК РФ налоговая тайна не подлежит разглашению налоговыми органами, органами внутренних дел, органами государственных внебюджетных фондов и таможенными органами, их должностными лицами и привлекаемыми специалистами, экспертами, за исключением случаев, предусмотренных федеральным законом. К разглашению налоговой тайны относится, в частности, использование или передача другому лицу производственной или коммерческой тайны налогоплательщика, ставшей известной должностному лицу налогового органа, органа внутренних дел, органа государственного внебюджетного фонда или таможенного органа, привлеченному специалисту или эксперту при исполнении ими своих обязанностей.
Защита конфиденциальной информации в деятельности кредитных организаций осуществляется в соответствии с нормами Закона "О банках и банковской деятельности" (ст. 26), в деятельности таможенных органов - с нормами Таможенного кодекса РФ (ст. 420).
Государственные органы в области статистики гарантируют отчитывающимся субъектам конфиденциальность полученной от них статистической информации по формам государственного статистического наблюдения (первичных статистических данных) и предусматривают соответствующую запись об обеспечении гарантии на бланках форм*(978).
Детально регламентируется охрана конфиденциальности информации Законом о коммерческой тайне - в рамках гражданско-правовых, трудовых и административно-правовых отношений (ст. 11, 12, 13).
Данный Закон различает следующие виды неправомерных действий в области защиты коммерческой тайны:
1) разглашение информации, составляющей коммерческую тайну, то есть действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору (п. 9 ст. 3);
2) получение такой информации с умышленным преодолением принятых обладателем информации, составляющей коммерческую тайну, мер по охране конфиденциальности этой информации, а также если получающее эту информацию лицо знало или имело достаточные основания полагать, что эта информация составляет коммерческую тайну, обладателем которой является другое лицо, и что осуществляющее передачу этой информации лицо не имеет на передачу этой информации законного основания (п. 4 ст. 4).
В целях охраны конфиденциальности информации, составляющей коммерческую тайну, в рамках трудовых отношений на работника возлагаются специальные обязанности:
- выполнять установленный работодателем режим коммерческой тайны;
- не разглашать информацию, составляющую коммерческую тайну, в том числе и после прекращения трудового договора в течение установленного срока;
- передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну.
Обязательства руководителя по обеспечению охраны конфиденциальности информации предусматриваются в трудовом договоре с ним (ст. 57 ТК РФ, п. 6 ст. 11 Закона о коммерческой тайне).
При предоставлении предпринимателем информации, составляющей коммерческую тайну, государственным (муниципальным) органам последние должны создать условия, обеспечивающие охрану ее конфиденциальности. Должностные лица или служащие указанных органов без согласия обладателя информации, составляющей коммерческую тайну, не вправе разглашать или передавать другим лицам ставшую известной им в силу выполнения должностных (служебных) обязанностей информацию, составляющую коммерческую тайну, а также не вправе использовать эту информацию в корыстных или иных личных целях (ст. 13 Закона о коммерческой тайне).
В рамках гражданско-правовых отношений режим конфиденциальности может регулироваться договором, в котором должны быть определены условия охраны коммерческой тайны. Если иное не установлено соглашением сторон, контрагент самостоятельно определяет способы защиты информации, переданной ему по договору. Контрагент также обязан незамедлительно сообщить обладателю информации, составляющей коммерческую тайну, о допущенном им либо ставшем ему известном факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании информации, составляющей коммерческую тайну, третьими лицами.
При этом в интересах контрагента установлено правило о том, что обладатель информации, составляющей коммерческую тайну, переданной им контрагенту, до окончания срока действия договора не может разглашать эту информацию, а также в одностороннем порядке прекращать охрану ее конфиденциальности, если иное не установлено договором (п. 5 ст. 12 Закона о коммерческой тайне).
За нарушение информационных прав субъектов и правового режима охраны информации с ограниченным доступом установлена дисциплинарная, гражданско-правовая, административная и уголовная ответственность.
Субъектами ответственности могут быть любые лица, получившие доступ к конфиденциальной информации как на законном основании, так и неправомерным путем (ст. 139 ГК РФ, ст. 12, 13, 14 Закона о коммерческой тайне):
1) лица, связанные с собственником (обладателем) информации трудовыми отношениями;
2) государственные (муниципальные) органы и их должностные лица, которым на законном основании предоставляется конфиденциальная информация хозяйствующими субъектами;
3) лица, являющиеся контрагентами по сделкам, заключенным с собственником (обладателем) конфиденциальной информации;
4) лица, получившие конфиденциальную информацию незаконными методами.
К дисциплинарной ответственности привлекаются работники организации и другие лица, которые в связи с исполнением трудовых (служебных) обязанностей получили доступ к конфиденциальной информации, обладателем которой является работодатель, виновные в нарушении норм, регулирующих ее защиту.
Например, несут дисциплинарную ответственность лица, нарушившие правила получения, обработки и защиты персональных данных работника (ст. 90 ТК РФ).
Нарушение трудовых обязанностей в виде разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, может стать основанием для расторжения трудового договора по инициативе работодателя (ст. 81 ТК РФ).
На работника также возлагается полная материальная ответственность в форме возмещения причиненного работодателю ущерба (п. 7 ст. 243 ТК РФ).
Дисциплинарная ответственность работника предусмотрена Законом о коммерческой тайне в случае умышленного или неосторожного разглашения информации (при отсутствии в его действиях состава преступления) (п. 2 ст. 14), в том числе и в форме возмещения ущерба (п. 3 ст. 11).
Основной мерой гражданско-правовой ответственности, предусмотренной законодательством за нарушение режима охраны информации, является возмещение убытков*(979).
Например, согласно ст. 26 Закона РФ "О банках и банковской деятельности" за разглашение банковской тайны Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, а также их должностные лица и их работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.
Закон РСФСР "О конкуренции и ограничении монополистической деятельности на товарных рынках" предусматривает, что в случае разглашения сотрудниками антимонопольного органа сведений, составляющих коммерческую, служебную тайну, причиненные убытки подлежат возмещению в соответствии с гражданским законодательством (ст. 15).
Помимо субъектов ответственности, перечисленных выше, Закон о коммерческой тайне предусматривает, что к гражданско-правовой ответственности может привлекаться лицо, которое использовало информацию, составляющую коммерческую тайну, и не имело достаточных оснований считать использование данной информации незаконным, в том числе получило доступ к ней в результате случайности или ошибки, если это лицо по требованию обладателя информации, составляющей коммерческую тайну, отказалось принять меры по охране ее конфиденциальности (ст. 14).
Работодатель вправе потребовать возмещения причиненных убытков лицом, прекратившим с ним трудовые отношения, в случае, если это лицо виновно в разглашении информации, составляющей коммерческую тайну, доступ к которой оно получило в связи с исполнением им трудовых обязанностей, если разглашение такой информации последовало в течение трех лет после прекращения трудовых отношений, если иной срок не установлен соглашением.
Основаниями для освобождения от ответственности могут быть действие непреодолимой силы, крайняя необходимость или неисполнение работодателем обязанности по обеспечению режима коммерческой тайны.
Гражданско-правовая ответственность также не наступает, если информация самостоятельно получена лицом при осуществлении исследований, систематических наблюдений или иной деятельности, несмотря на то, что содержание указанной информации может совпадать с содержанием информации, составляющей коммерческую тайну, обладателем которой является другое лицо.
Помимо возмещения убытков, защита прав обладателя информации может осуществляться и другими гражданско-правовыми способами, перечень которых предусмотрен ст. 12 ГК РФ. Способ защиты определяется с учетом имущественных интересов обладателя конфиденциальной информации и характера нарушения его прав.
Проблема выявления юридической природы документированной информации как объекта правового регулирования обусловила сложность в определении не только прав обладателя на информационные ресурсы, но и правовых способов их защиты, которые могут быть вещно-правовыми, обязательственно-правовыми, а также осуществляться с использованием механизмов охраны исключительных прав.
Административная ответственность установлена КоАП РФ. В нем предусмотрены взыскания в виде предупреждения или штрафа за нарушение правил защиты информации и незаконную деятельность в области защиты информации (ст. 13.12 и 13.13); разглашение информации с ограниченным доступом (ст. 13.14); нарушение правового режима информации о гражданах (персональных данных) (ст. 13.11); неправомерный отказ в предоставлении гражданину информации либо предоставление неполной или заведомо недостоверной информации (ст. 5.39).
Помимо общей нормы об ответственности за непредоставление в государственный орган сведений (информации), необходимых для осуществления его законной деятельности (ст. 19.7), в КоАП РФ предусмотрены специальные составы правонарушений, связанные с несоблюдением правил обязательного предоставления информации в отдельных сферах - на рынке ценных бумаг, в области налоговой, статистической, бухгалтерской отчетности, таможенной, антимонопольной деятельности и т.д. (ст. 15.6, 15.11, 15.19, 15.21, 13.19, 13.23, 19.8 и др.).
Большое количество норм об ответственности в области защиты информации и информационных прав содержит УК РФ. Например, наступление уголовной ответственности может повлечь отказ в предоставлении гражданину информации (ст. 140), незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст. 183).
Нормы УК РФ обеспечивают охрану государственной тайны (ст. 283, 284), тайну личной жизни (ст. 137), тайну связи (ст. 138), а также сведений, связанных с правоохранительной деятельностью (ст. 310, 311, 320).
Специальная глава УК РФ посвящена преступлениям в сфере компьютерной информации (ст. 272-274). На защиту информации направлены и нормы УК РФ, по которым наступает ответственность за смежные составы преступлений (например, нарушение изобретательских и патентных прав (ст. 147) и др.