2015-07-14
1452
Категории законодательных источников, регламентирующих защиту информации: конституционное и информационное право; другие отрасли права и отдельные правовые нормы. Комплексный правовой институт защиты информации. Законодательные источники в сфере защиты информации подразделяются на две основные категории, соответствующие специфике правовых способов нормативного регулирования рассматриваемых отношений.
Рассмотрим вначале действие законов и отдельных юридических норм, относящихся к первой группе, которые направлены наповышение уровня осведомленности и квалификации субъектов возникающих правоотношений, а также на разработку и распространение средств обеспечения информационной безопасности.
В данной связи следует обратить особое внимание на положения Конституции Российской Федерации. Согласно международно-правовым стандартам в области прав человека она закрепляет основные жизненно важные интересы граждан, гарантирует свободу поиска, получения, передачи, производства и распространения информации любым законным способом. Вместе с тем, она конкретизирует рамки этой свободы, законодательно устанавливая неприкосновенность частной жизни, личной и семейной тайны, тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, за исключением ограничений этих прав на основании судебных решений. Основным законом государства накладывается также запрет на сбор, хранение, использование и распространение информации, содержащей сведения о частной жизни лица, без его согласия на такие действия. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны каждому обеспечить возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом[3].
|
|
|
Далее по значимости следует упомянуть федеральные законы, относящиеся к отрасли информационного права. Первостепенную роль здесь играет Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Предметом его регулирования являются отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации. Вместе с тем, он не затрагивает отношений, возникающих в области правовой охраны результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации[4].
В ст. 9 Закона на примере краткой характеристики отдельных видов информации ограниченного доступа конкретизируется структура законодательного регулирования ее защиты. Оно включает в себя законодательство РФ о государственной тайне, федеральные законы, регулирующие правоотношения в сфере обращения коммерческой, служебной, профессиональной тайн и тайны частной жизни, а также персональных данных.
|
|
|
В этой же норме заложены важнейшие принципы защиты информации, предусматривающие основания ограничения доступа к ней, соблюдение конфиденциальности, и регламентацию ответственности за ущерб, причиненный ее безопасности, устанавливаемой только федеральными законами.
Рассматриваемый Закон определяет и средства з ащиты установленных прав в случае применения санкций к правонарушителям в сфере информации, информационных технологий и защиты информации ( дисциплинарные, гражданско-правовые, административные и уголовные), возлагая принятие адекватных мер в этой области на соответствующие отрасли законодательства. Здесь же отмечено, что лица, права и законные интересы которых нарушаются вследствие разглашения информации ограниченного доступа или иного неправомерного ее использования, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе – с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации[5].
К законодательным источникам, ориентированным на разработку и распространение общих организационных, технических и правовых мер в области защиты отдельных видов информации ограниченного доступа, следует отнести Закон РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне» [6]; Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» [7]; Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» [8].
Иных специальных законодательных актов подобного плана в информационном законодательстве пока не имеется. Их отсутствие в известной мере компенсируется отдельными разделами и правовыми нормами, содержащимися в законодательных источниках различных отраслей права, которые ориентированы, главным образом, на защиту отдельных видов профессиональной и служебной тайн.
Особого упоминания в этом плане заслуживает глава 14 Трудового кодекса Российской Федерации от 30 декабря 2001 г. № 197-ФЗ[9], положения которой регламентируют защиту персональных данных работников. Причем, в законную силу Трудовой кодекс вступил значительно раньше появления Федерального закона «О персональных данных».
Весьма важное значение для осуществления организационно-технических мер по защите информации имеют отдельные положения Федерального закона РФ от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности [10] и Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» [11].
В ч. 1 ст. 12 Федерального закона «О лицензировании отдельных видов деятельности» наряду с прочими фигурируют такие виды деятельности, подлежащие лицензированию, как разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) – п.1;
|
|
|
разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации (п. 2)[12];
деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) – п. 3[13];
разработка и производство средств защиты конфиденциальной информации (п. 4);
деятельность по технической защите конфиденциальной информации (п. 5).
В ст. 2 Федерального закона «О техническом регулировании» вводятся основные понятия в области сертификации. Ст. 5 предусматривает ряд особенностей технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну. Положениями ст. 26 данного Закона регламентируется организация обязательной сертификации, к которой относятся и работы в области защиты государственной тайны.
Применительно к специфике защиты государственной тайны, отмеченные правовые нормы федеральных законов «О лицензировании» и «О техническом регулировании», безусловно, нужно рассматривать в контексте положений Закона РФ «О государственной тайне». В частности, ст. 27 этого Закона предписывает осуществлять допуск предприятий, учреждений и организаций к работам по созданию средств защиты секретной информации и оказанию услуг по защите сведений, составляющих государственную тайну, путем получения ими лицензий на данную деятельность.
В ст. 28 этого же Закона устанавливается обязательность сертификации технических средств, предназначенных для защиты секретных сведений, и определяются государственные органы, ответственные за проведение сертификации указанных средств – федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области обороны (соответственно Федеральная служба по техническому и экспортному контролю, Федеральная служба безопасности, Министерство обороны).
|
|
|
Обнаружить отдельные правовые нормы, связанные с обеспечением безопасности соответствующих видов сведений ограниченного доступа (нередко они содержат бланкетные диспозиции) можно и в законодательных источниках, которые имеют порой весьма косвенное отношение к информационной деятельности. Примерами могут служить ст.ст. 28, 55, 56 Федерального закона от 29 ноября 2001 г. № 156-ФЗ «Об инвестиционных фондах» [14]; ст.ст. 7, 9, 10 Федерального закона от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем» [15];ст.ст. 15, 17 Федерального закона от 18 июля 1999 г. № 183-ФЗ «Об экспортном контроле» [16]; ст. 8 Федерального закона РФ от 25 декабря 2008 г. № 273-ФЗ «О противодействии коррупции» [17]; и др.
Немаловажное значение для правовой защиты информации имеют положения законов, регламентирующих деятельность правоохранительных органов. К числу подобных источников, в первую очередь, относится Федеральный законот 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности» [18]. В нем нашли отражение гарантии соблюдения прав и свобод человека и гражданина при осуществлении ОРД (ст. 5); перечень оперативно-розыскных мероприятий, для проведения которых требуется специальное разрешение судебных органов (пп. 8-11 ч. 1 ст. 6); основания и условия их проведения (ст.ст. 7, 8); меры по защите сведений об органах, осуществляющих ОРД (ст. 12); и др.
Аналогичные положения в части, касающейся контрразведывательной деятельности, содержатся и в ст. 9 Федерального закона от 3 апреля 1995 г. № 40-ФЗ «О федеральной службе безопасности» [19].
В Федеральном законе Российской Федерации от 27 ноября 2010 г. № 311-ФЗ «О таможенном регулировании в Российской Федерации» [20] также фигурирует целый ряд положений, тесным образом связанных с защитой информации – это ст. 101 (Защита информации таможенными органами); ст. 166 (Представление документов и сведений, необходимых для проведения таможенного контроля); ст. 196. (Действия таможенных органов при использовании предварительной информации); и др.
Важное значение в рассматриваемом аспекте имеют законодательные источники, затрагивающие и сферу использования общедоступной информации. В этом плане необходимо назвать ст.ст. 1, 3, 19-I, 35, 37, 38, 41, 42 и др. Закона РФ от 27 декабря 1991 г. № 2124-I «О средствах массовой информации» [21]; ст.ст. 5-7, 13, 21-30, 34, 35 и др. Федерального закона от 13 марта 2006 г. № 38-ФЗ «О рекламе» [22]; в полном объеме – Федеральный закон Российской Федерации от 22 декабря 2008 г. № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» [23];и др.
Вторая группа законодательных актов Российской Федерации, ориентированная на создание и поддержание в обществе негативного отношенияк нарушениям и нарушителям информационной безопасности, обозначает основные способы и средства правовойзащиты различных видов информации с определением соответствующих юридических санкций к правонарушителям. Эти способы и средства основываются на использовании гражданского, административного и уголовного законодательства, а в ряде случаев, когда речь заходит о дисциплинарной практике, применяются и другие отрасли права.
В качестве основных информационных правонарушений рассматриваются утечка и утрата компьютерной информации, вызванные ее уничтожением, блокированием, модификацией, копированием соответствующих сведений; созданием, использованием или распространением вредоносных компьютерных программ; нарушением правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей.
В качестве противоправных рассматриваются деяния, связанные с воспрепятствованием доступа граждан к документам и материалам, непосредственно затрагивающим их права и свободы, а также касающиеся защиты прав на результаты интеллектуальной деятельности.
Характеризуя отрасли права, регламентирующие применение санкций за информационные правонарушения, в первую очередь следует упомянуть Гражданский кодекс Российской Федерации, часть первая от 30 ноября 1994 г. № 51-ФЗ, часть вторая от 26 января 1996 г. № 14-ФЗ, часть третья от 26 ноября 2001 г. № 146-ФЗ и часть четвертая от 18 декабря 2006 г. № 230-ФЗ[24].
Нормы ГК РФ предусматривают юридическую ответственность за целый ряд деликтов, связанных, главным образом, с нарушениями режима распространения внутренней и конфиденциальной информации. В данной связи могут применяться следующие способы гражданско-правовой защиты информационных правоотношений и правоотношений, основанные на применении правовосстановительных санкций:
а) способы защиты, не связанные с восстановлением имущественных прав, предусмотренные ст. 12 (Способы защиты гражданских прав) – признание права; восстановление положения, существовавшего до нарушения права; пресечение действий, нарушающих право или создающих условия его нарушения; прекращение или изменение правоотношения; иные способы, предусмотренные законом;
б) возмещение морального вреда, предусмотренное положениями п. 2 ст. 2 (Отношения, регулируемые гражданским законодательством), а также ст. 151 (Компенсация морального вреда); п. 5 ст. 152 (Защита чести, достоинства и деловой репутации); ст.ст. 1099-1101 (Общие положения; Основания компенсации морального вреда; Способ и размер компенсации морального вреда);
в) возмещение причиненных убытков, предусмотренное положениями ст.ст. 727 (Конфиденциальность полученной сторонами информации) и 1064 (Возмещение вреда).
Следует подчеркнуть, что с 1 января 2008 г. часть четвертая Гражданского кодекса РФ в полном объеме регламентирует и правоотношения в сфере интеллектуальных прав. Большинство ее норм не содержат санкций (они имеются лишь там, где речь заходит об ответственности за нарушения интеллектуальных прав). В связи с этим по своей общей направленности она тяготеет, скорее, к первой рассмотренной категории законодательных источников.
В Кодексе Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ[25] содержится глава 13, посвященная правонарушениям в области связи и информации. К числу наиболее значимых норм относятся ст. 13.11 (Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных); ст. 13.12 (Нарушение правил защиты информации); ст. 13.13 (Незаконная деятельность в области защиты информации); ст. 13.14 (Разглашение информации с ограниченным доступом); ст. 19.7 (Непредставление сведений (информации); ст. 20.24 (Незаконное использование специальных технических средств, предназначенных для негласного получения информации, в частной детективной или охранной деятельности); и др.
Ст. 5.39 КоАП РФ обязывает органы государственной власти и органы местного самоуправления, а также их должностных лиц обеспечивать каждому гражданину возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Отказ в предоставлении гражданину такой информации либо предоставление неполной или заведомо ложной информации влечет наложение соответствующих административных санкций.
Ст. 6.17; ч. 2 ст. 13.21 и ч. 16 ст. 19.5 КоАП РФ предусматривают ответственность за нарушение законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию.
В случае причинения противоправными деяниями в сфере информационных правоотношений существенного вреда правам и законным интересам граждан, они рассматриваются как преступления, и совершившие их лица преследуются в уголовном порядке. Составы таких преступлений предусмотрены следующими статьями Уголовного кодекса Российской Федерации от 13 июня 1996 г. № 63-ФЗ[26]: 137 (Нарушение неприкосновенности частной жизни); 138 (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений); 140 (Отказ в предоставлении гражданину информации); 146 (Нарушение авторских и смежных прав); 147 (Нарушение изобретательских и патентных прав); 155 (Разглашение тайны усыновления (удочерения); 1593 (Мошенничество с использованием платежных карт); 1596 (Мошенничество в сфере компьютерной информации); 183 (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну); 242 (Незаконное распространение порнографических материалов или предметов); 2421 (Изготовление и оборот материалов или предметов с порнографическими изображениями несовершеннолетних); 283 (Разглашение государственной тайны); 2831 (Незаконное получение сведений, составляющих государственную тайну); 284 (Утрата документов, содержащих государственную тайну); 310 (Разглашение данных предварительного расследования). Кроме того, УК РФ содержит главу 28, целиком посвященную преступлениям в сфере компьютерной информации. К числу уголовно наказуемых деяний она относит неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных компьютерных программ (ст. 273) и нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей(ст. 274).
Применяемые в сфере защиты информации меры дисциплинарной ответственности по российскому законодательству представляют собой форму воздействия на нарушителей трудовой дисциплины путем наложения на них дисциплинарных взысканий: замечания, выговора, строгого выговора, перевода на нижеоплачиваемую работу на срок до 3 месяцев или смещения на низшую должность на тот же срок, увольнения. Дисциплина труда в отдельных случаях подразумевает и обязательное для всех работников сохранение конфиденциальности информации определенных видов, регламентированное Трудовым кодексом РФ, иными законами, коллективным договором, соглашениями, трудовым договором, локальными нормативными актами организации. Для отдельных категорий работников действуют уставы и положения о дисциплине, утверждаемые Правительством РФ в соответствии с федеральными законами (см.: Приложение 1).
Таким образом, следует отметить, что российское законодательство располагает необходимыми источниками, способствующими реализации методов правовой защиты информации. Однако диспозиции многих правовых норм носят бланкетный или отсылочный характер и имеютнепрямое действие. Для некоторых категорий тайн, упоминаемых в действующем законодательстве, сформулировано только их название. Нет четкого законодательного определения их понятий и правового механизма правовой защиты. В ряде случаев не установлены пределы защиты и порядок снятия ограничений доступа к информации той или иной категории. Законодательством не регламентирована ответственность за разглашение большинства тайн, а обозначенные в действующих правовых нормах санкции нередко оказываются малоэффективными.
