|
|
|
Мир на пороге больших законодательных реформ в области ИТ
Общая ситуация Агрессивный темп развития информационных технологий в России сопровождается их активным вовлечением во все секторы экономики. Сегодня наметилась тенденция на увеличения значимости информации для производства и превращения ее в одно из его средств. Основой для построения бизнеса на настоящий момент является информация, а, следовательно, информационные процессы и технологии подпадают под категорию ценностей, которые необходимо защищать. Изменение ситуации в законодательном поле рассматривается в статье Ольги Поликарповой, руководителя юридического отдела ОАО «АНДЭК», ведущего специалиста по правовому консалтингу в области ИТ и защиты интеллектуальной собственности и Дмитрия Фатеева, директора ЗАО «НТЕ».
Современные средства телекоммуникации позволяют экономическим отношениям принять виртуальную, а проще говоря, электронную форму существования, дистанционно организовать работу большого количества людей, дают полную свободу к перемещению нематериальных активов. Местом совершения каких-либо действий часто бывает виртуальное пространство, а не определенная территория, подпадающая под юрисдикцию конкретного государства, что вызывает серьезные трудности при применении права к правоотношениям, возникающим в связи с использованием высоких технологий. В создавшейся ситуации обращение информации, реализованное в электронно-цифровой форме, приобретает глобальный характер. Однако, существующие положения современного материального и процессуального права были сформированы в то время, когда в силу уровня развития цивилизации об информационных технологиях не было и не могло быть ни малейшего представления. Очевидно, что они касаются большей частью вещных правоотношений, а потому их применение к правоотношениям, связанным с информационными технологиями, как к объекту правового регулирования, весьма затруднительно без специальной доработки. И это далеко не только российская проблема все цивилизованные страны, так или иначе, осознают необходимость создания правовой базы для регулирования уже фактически сложившихся отношений в информационной сфере, а потому сегодня мировое сообщество находится в преддверье больших законодательных реформ, связанных с созданием системы правовых норм в этой области.
Для России реформы в области ИТ наиболее актуальны, так как в Российской Федерации недостаточно отработана система правового регулирования отношений в сфере информатики и электронной экономики. Очевидно, что действующее законодательство недостаточно полно охватывает все возможные в сфере информационных технологий ситуации. Свод Законов РФ, касаемый ИТ, весьма слаб с точки зрения юридической техники, имеет плохо выраженную семантику, более того, при прочтении ряда нормативных актов в этой области создается впечатление, что они были написаны без консультаций с соответствующими техническими специалистами. Предлагаемые в них правовые конструкции совершенно неработоспособны на практике. К ряду таких законов можно отнести и недавно принятый Федеральный закон «Об электронно-цифровой подписи». По мнению ряда технических специалистов в данной области, построенные в этом законе конструкции, окажутся малоприменимыми в реальной жизни. Так, например, в Законе отсутствуют положения о возможности удостоверения подписи от имени юридического лица, что может вызвать определенные трудности при создании автоматических платежных систем, поскольку на документе, подтверждающем платеж, подпись может поставить только банк как юридическое лицо. Аналогично и с любой автоматической системой, которая должна выдавать подтверждающий документ о проведении с ее помощью каких-либо операций: подтверждение (проставление отметки, являющейся по существу штампом, печатью юридического лица) должно производится владеющей этой системой организацией, а не подписью должностного лица этой организации. На основании этих законодательных конструкций невозможно сформировать эквивалент печати организации. Вероятно, слово «подпись» было воспринято разработчиками закона слишком буквально. Из описанной выше ситуации видно, что в информационных правоотношения появляются ранее неизвестные праву субъекты и объекты таких правоотношений, а, следовательно, должны применяться специфические методы защиты от совершаемых в этой области деликтов. Защита информации должна осуществляться комплексно, как правовыми методами, так и техническими. Естественно, проводить мероприятия по защите информации должны профессионалы, так как в области информационной безопасности не профессиональные действия, точно так же, как в любых других областях, очень часто приводят к плачевным и, к сожалению, в ряде случаев необратимым последствиям. В настоящий момент существует множество правонарушений, которые совершаются с использованием высоких технологий и в, частности, с использованием сети Интернет. В российском праве существует ряд норм, исполняющих функцию правовой защиты от различного рода правонарушений в информационной сфере. В первую очередь, это нормы Уголовного кодекса РФ: ст. 272 «Неправомерный доступ к компьютерной информации», ст. 273 «Создание, использование и распространение вредоносных программ для ЭВМ», ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети», более того, ряд других его статей, таких, как, например, ст. 158 «Кража» тайное хищение чужого имущества может и должна применяться к преступлениям, совершенным с целью хищения денежных средств с использованием неправомерного доступа к информационным сетям. Лица, законные права которых нарушены кем-либо с использованием информационных технологий, могут также использовать для своей защиты положения гражданского, административного права и т. д. Положения о возмещении убытков, причиненных какими- либо незаконными действиями, закреплены в гражданском законодательстве РФ, ряд правонарушителей можно привлечь к ответственности в соответствии с административным законодательством, к таким деликтам практически применимы многие нормы действующего материального права. Хотелось бы заметить, что к ряду правонарушений в информационной сфере можно было бы применять действующее законодательство весьма успешно, так как, по существу, некоторую новизну имеют формы представления и выражения предмета противоправного посягательства, методы и способы совершения деликтов, предметы, используемые для их совершения, но мотивы и цели правонарушителей совершенно не изменились. Например, с точки зрения материального права, совершенно не видно существенной разницы, если нарушение охраняемого законом товарного знака происходит посредством размещения его нарушителем на сайте в сети Интернет или же он изображает его на вывеске перед входом в свой офис.
Правовые последствия совершения описанных выше деликтов законодательно определены, существуют соответствующие санкции, есть способы защиты нарушенных прав, но процессуальные (в том числе, доказательные) процедуры предоставления доказательств для защиты своих прав в суде по разбирательствам того рода, не урегулированы до сих пор. Из-за специфичности способа совершения деликта, а также предметов, используемых правонарушителем при их совершении, например, у законного владельца товарного знака при защите своих прав возникают трудности с доказыванием факта такого нарушения. Довольно легко в качестве доказательства в суде предъявить отпечатанный рекламный проспект, на котором изображен незаконно используемый товарный знак. Но как доказать факт незаконного размещения зарегистрированного товарного знака на сайте, лицом, которому этот знак не принадлежит? Рекламный проспект вещественен, легко идентифицируем, имеет выходные данные, по которым можно установить лицо, отпечатавшее тираж, а, значит, и установить того, кто сделал заказ на такой тираж. Сайт же виртуален, он существует только в качестве электронно-информационного ресурса, место нахождения которого зачастую может быть на территории совершенно другого государства. Получить доказательства такого правонарушения можно, только опечатав сервер, на котором располагается этот информационный ресурс. Поэтому для лиц, занимающихся сбором доказательств, особенно в тех случаях, когда это происходит в рамках гражданского или арбитражного процесса, где бремя доказывания факта нарушения своих прав лежит на истце, бывает весьма затруднительно представить доказательства, в отношении которых не будет сомнений в легитимности способа их получения. По уголовными делам, в производстве по которым обязанность доказать вину лежит на правоохранительных органах, последние, несомненно, имеют более выигрышную позицию при доказывании уже в силу предоставленных им законом полномочий, чем представители истца в гражданском и арбитражном процессах. Говоря о том, что к информационным правоотношения можно применять существующие нормы права, не следует, однако, отрицать тот факт, что появились совершенно новые объекты, субъекты, предметы противоправных посягательств, методы, способы и предметы, используемые при совершении таких правонарушений. Например: до появления в УК РФ ст.274 в юридическом смысле не существовало такого объекта противоправного посягательства как установленный порядок (правила) эксплуатации компьютерных сетей, предмета такого посягательства компьютерной сети и соответственно, не было такого специального субъекта, как лицо, обязанное эти правила исполнять. Принципиально новые деликты требуют их законодательского урегулирования как нормами материального, так и процессуального права (в том числе и доказательного). Существует два основных вида преступлений в области информационных технологий. К первому относятся преступления, описанные в главе 28 УК РФ «Преступления в сфере компьютерной информации» и посягающие непосредственно на общественные отношения, регулирующих порядок доступа к охраняемой законом компьютерной информации, отношения устанавливающие запрет на распространение вредоносных программ для ЭВМ, а также правила пользования ЭВМ или их сетью (ст. 272 «Неправомерный доступ к компьютерной информации», ст. 273 «Создание, использование и распространение вредоносных программ для ЭВМ», ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети»). Второй вид виртуальных преступлений преступления, совершенные с использованием информационных технологий, когда объектом преступного посягательства являются, например отношения в области охраняемого законом права собственности (несанкционированный доступ к компьютерной сети банковских организаций, нарушение права на товарный знак и другие преступления совершенные в сети Интернет). Цель преступного посягательства этого вида преступлений не получить охраняемую законом компьютерную информацию, блокировать ее или модифицировать, а используя её как некий преступный инструмент (такой, например, как отмычка при квартирной краже) похитить денежные средства, незаконно использовать товарный знак, нарушить авторские и патентные права или совершать иные противозаконные действия. Первые из вышеописанных правонарушений в чистом виде, по данным правоохранительных органов, встречаются гораздо реже, нежели вторые. Чаще совершаются именно те правонарушения, цель которых извлечение незаконной прибыли.
В сложившихся экономических условиях информация стоит дорого, а те данные, получив доступ к которым можно существенно улучшить свое благосостояние, стоят во много раз дороже. Соответственно информация, имеющая потенциальную коммерческую ценность, либо уже являющаяся коммерческой тайной, может стать объектом противоправного посягательства, в результате которого ее правообладатель понесет существенные убытки. Для всех предпринимателей, а в особенности для банковских учреждений и иных кредитных организаций, в которых обращаются денежные средства, большое значение имеет защищенность их информационных сетей. Аккумулированные в таких сетях сведения о больших объемах денежных средств и инструментарии для их транзакций представляют собой большой интерес с точки зрения использования в корыстных или иных незаконных целях для различного рода лиц, получивших случайно или преднамеренно неправомерный доступ к таким информационным сетям. В данный момент, как в России, так и по всему миру участились преступления, совершаемые посредством осуществления несанкционированного доступа к банковским сетям и платежным системам с целью хищения денежных средств. Размер ущерба от них в настоящее время составил по данным cybercrime. report. ru огромную сумму. Только убытки от вирусных атак составили около 12 миллиардов долларов США, а нарушение прав собственности нанесло ущерб в размере 250 миллиардов долларов. В России урон от преступлений в области использования компьютерных технологий тоже колоссален. Ежегодные убытки даже крупнейших российских операторов связи составляют от 600 до 800 миллионов долларов. Компьютерные преступления приобретают транснациональный, организованный и групповой характер. Атаки хакеров, действующих из интереса, чтобы доказать окружающим саму возможность такого вторжения или же из хулиганских побуждений, уже сегодня причиняют достаточный ущерб. По статистике исследовательской группы Computer Emergency, в 2001 году было зафиксировано 52 685 инцидентов, что более чем вдвое превышает уровень 2000 года в 21 756 случаев. К сожалению, такие правонарушения часто остаются безнаказанными, так как достаточно трудно установить и привлечь виновных к ответственности. По данным пресс-службы ГУВД г. Москвы в последнее время существенно увеличилось число использования поддельных платежных пластиковых карт, таких известных и часто используемых в России, Visa, Mastercard. Из выявленных правонарушителей к ответственности привлекается порядка 15 % от их общего количества, но существуют и латентные (не выявленные) правонарушения такого рода.
Для того, чтобы обезопасить свои информационно-электронные ресурсы от преступных посягательств, следует профессионально защищать свои сети. Закон позволяет взыскивать с лиц, виновных в совершении вышеописанных правонарушений причиненный имущественный ущерб, моральный вред физическому лицу (например, по делу о клевете), ущерб, нанесенный деловой репутации компании, однако всегда, особенно при гражданских и арбитражных судебных разбирательствах возникают проблемы с тем, как доказать совершение подобных деликтов. Основным доказательством в таком процессе будет являться, несомненно, проведение специальной технической экспертизы. Хочется отметить, что, к сожалению, в настоящий момент в России не существует регламентированных методик проведения таких экспертиз. Однако, необходимость разработки и нормативного закрепления методик, позволяющих оперативно получать одинаковый результат, очевидна как при проведении первичной экспертизы, так и при проведении повторной. Ряд софтверных компаний, таких как компания Сomputer Associates (США) разработали программное обеспечение, которое, с точки зрения разработчика, позволяет профессионально обезопасить свои электронно-информационные ресурсы от преступных посягательств, а в случае совершения попыток такого посягательства поможет найти виновного и существенно усилить позиции истца или государственного обвинения в судебном разбирательстве.
Например, программные продукты линейки eTrust Сomputer Associates (США) позволяют централизованно вести сетевые журналы, в которых регистрируются все происходящие в сети события, в том числе и представляющие интерес с точки зрения безопасности, так, эти журналы фиксируют само событие, его время, субъект и объект. С точки зрения авторов, теоретически представляется возможным использовать записи вышеназванных журналов для представления в качестве доказательств уже совершенных вторжений, а также попыток несанкционированного доступа.
При установке подобных программных продуктов возникает два вопроса. Первый: подлежит ли лицензированию установка и использование подобных программных продуктов как деятельность по защите информации? Второй: не является ли фиксирование в сетевых журналах всех событий, происходящих в сети, осуществлением деятельности, составляющей предмет лицензирования и подпадающей под Закон «О частной охранной и детективной деятельности»? Ведь, по сути, происходит сбор информации, а аналогичная деятельность частных охранных предприятий, детективных агентств и служб безопасности юридических лиц подлежит обязательному лицензированию.
Первый вопрос можно прокомментировать следующим образом: продукты линейки eTrust существуют в двух модификациях с наличием в них криптографии и без нее. При этом функциональные возможности, связанные с ведением журналов, выписки из которых могут быть использованы как доказательство в суде, не меняются. При такой модификации продукта, которая использует криптографию, лицензированию ФСБ подлежит как распространение и техническое обслуживание таких продуктов, так и их использование. При модификации, в которой криптография не используется, лицензированию Гостехкомиссией подлежит только распространение и услуги по техническому обслуживанию таких продуктов, а их использование для собственных нужд, в таковом лицензировании не нуждается. Различаются описанные модификации продуктов только степенью предоставляемой защиты при передаче данных внутри сети, естественно, что при наличии в модификации продукта криптографии степень защиты сети выше. Следовательно, организация должна принять самостоятельное решение, что для нее более необходимо: высокий уровень защиты и при этом некоторые процедурные сложности, либо более низкий уровень защищенности, но при этом отсутствие организационных проблем при установке таких продуктов.
По второму вопросу следует заметить, что, исходя из формальных соображений, сбор информации о событиях, происходящих в сети, может рассматриваться как частная охранная или детективная деятельность. Однако частная охранная и детективная деятельность предполагает осуществление действий, за пределами организации, такие действия выполняющей. Это либо деятельность, осуществляемая в коммерческих целях для третьих лиц, либо деятельность службы безопасности самой организации, но служба безопасности также производит действия, выходящие за пределы организации, в которой она создана. Поэтому, несомненно, такая деятельность обязательно подлежит лицензированию. Но ведение сетевых журналов не предполагает осуществления действий, выходящих за пределы сети самой организации, они фиксируют события, происходящие внутри корпоративной сети и влияние на неё внешних событий. То есть, если кто-то совершил несанкированный доступ, то сетевой журнал фиксирует факт такого доступа и его последствия для сети, но программное обеспечение не производит автоматически действий по поиску лица, такой доступ совершившего.
Непосредственный поиск правонарушителя на основании данных сетевых журналов производят уже соответствующие организации, в компетенцию которых входит таковой поиск осуществлять. Это может быть либо частное детективное агентство, имеющее специальную на то лицензию, либо государственные органы, которые обязаны осуществлять оперативно-розыскные мероприятия и производить следственные действия.
Здесь можно провести сравнение с вахтером, сидящим при входе в офис организации и записывающим в соответствующий журнал лиц, входящих в этот офис и выходящих из него. Записывание само по себе не может быть сбором сведений в смысле Закона «О частной охранной и детективной деятельности», так как цель ведения этих записей совершенно иная, как правило, они ведутся, чтобы установить количество находящихся в здании лиц и выяснить, покинули ли они его в установленный срок. Несомненно, вышеописанное частной охранной и детективной деятельностью не является. Однако, в случае каких-либо чрезвычайных происшествий, например, кражи, такой журнал позволяет установить лиц, находившихся в организации и существенно сузить круг поиска виновного в правонарушении.
Продукты линейки eTrust выполняют в сети, по сути, функцию именно такого «электронного вахтера». То есть, сама по себе фиксация в сетевых журналах сведений о фактах и событиях, происходящих в сети, не ставит своей задачей сбор информации с тем, чтобы в дельнейшем применять ее целях, указанных в Законе «О частной охранной и детективной деятельности». Но если кто-то совершит правонарушение как внутри сети, так и вне ее, а последствия этого внешнего события окажут на сеть какое-либо влияние, эти записи помогут специально уполномоченным на то лицам произвести поиск ответственного и в дальнейшем доказать его вину в суде, как в ходе гражданского, арбитражного, так и уголовного процесса.
В заключение хотелось бы сказать, что законодательство Российской Федерации в области информационных технологий, безусловно, требует серьезного реформирования. Особенно в реформах нуждается его процессуальная часть, так как имеющаяся в наличии материальная составляющая российской правовой базы могла бы более или менее эффективно работать, по крайней мере, по тем составам правонарушений, которые в ней описываются. Например, нарушение патентов: нормы материального права существуют и устанавливают ответственность за нарушение патентных прав, причем не только гражданско-правовую (Гражданским кодексом РФ, Патентным законом РФ, Законом «Об изобретениях в СССР», в той части, в которой последний еще действует в РФ), административную (ст. 7.12 «Нарушение авторских и смежных прав, изобретательских и патентных прав» Кодекса об административных правонарушениях РФ), но и уголовную (ст. 147 «Нарушение изобретательских и патентных прав» Уголовного кодекса РФ). Проблемы возникают на процессуальной стадии в части доказывания вины. Получается, что состав правонарушения в законе описан, ответственность за его совершение есть, а привлечь виновного к ней нельзя за недоказанностью. Возникает вопрос, почему так происходит, когда разработанные современные технические средства позволяют в ряде случаев провести техническую экспертизу и получить доказательства, имеющие легитимный процессуальный статус. Проблема состоит в том, что правоприменители зачастую не знакомы с технической стороной вопроса и пытаются сами, без соответствующих консультаций с техническими специалистами формировать доказательную базу для таких процессов. Совершенно очевидно, что без наличия специальных технических знаний и средств невозможно грамотно и эффективно отстоять свою позицию и защитить интересы в суде. Зачастую правоведы не привлекают технических специалистов к процессам такого рода или привлекают их слишком поздно, когда уже упущено время и правонарушитель успел уже уничтожить доказательства своего противоправного деяния (например, удалил со своего сайта сведения, наносящие вред деловой репутации) и сделать что-либо невозможно. Результатом такого упущения являются проигранные процессы, невозмещенный моральный и материальный ущерб и уход правонарушителя от ответственности, которую ему по закону полагается нести за свои действия. Анализируя статьи ряда законодательных актов, например, упомянутого уже здесь Закона «Об электронно-цифровой подписи» и наблюдая некоторые его неработоспособные на практике конструкции, хочется пожелать, чтобы такие серьезные и основополагающие нормативные акты, регулирующие достаточно узкоспециальные области, создавались в тесном сотрудничестве правоведов и технических специалистов в таких областях. Только в этом случае можно будет избежать появления нормативных актов, при применении которых на практике возникают серьезные проблемы, и недоработок, которые позволяют лицам, совершившим наказуемые деяния уйти от ответственности. Эта проблема приобретает все более серьезное значение, учитывая, какой ущерб причиняется вышеописанными правонарушениями как физическим и юридическим лицам, государству в целом и его конкретным органам в частности, так и всему мировому сообществу, учитывая, что бороться с правонарушениями следует не жестокостью наказания, а неотвратимостью его применения. В условиях безнаказанности количество правонарушений такого рода увеличивается в геометрической прогрессии и начинает представлять угрозу для общественной безопасности.
|