Информация ограниченного доступа относится к различным категориям, от государственной до коммерческой тайны, степень ее конфиденциальности определяется международными соглашениями и национальными законами. В деятельности бизнес-структур наиболее важно, как обеспечение безопасности коммерческой тайны регулируется федеральными законами и какую ответственность компания понесет за утечку персональных данных.
Изучая отечественный опыт определения статуса конфиденциальной информации в законе и его защиты, нужно сравнивать его с законодательством иностранных государств.
Существуют разные концепции регламентации обеспечения безопасности:
Европейские страны предлагают интересные варианты решения этих задач. В Великобритании полностью отсутствует законодательство, посвященное вопросам регулирования вопроса статуса защищенности информации, для нее характерна прецедентная правовая система. Уже 150 лет вопрос охраны коммерческой тайны решается на уровне судебной системы. В стране сформировалась устойчивая правоприменительная практика с множеством интересных прецедентов и четко выработанными правилами. Интересно, что правила, выработанные судами для охраны коммерческой тайны, по аналогии применяются к обеспечению безопасности государственной тайны и тайны частной жизни (персональных данных).
Давая определение тайне, английские суды действуют от противного, определяя, что к категории тайны не могут относиться общеизвестные сведения или так называемая публичная собственность, данные, предназначенные для раскрытия общественности. Британцы не разделяют позицию, что к коммерческой тайне относится все, что сочла нужным внести в этот список служба безопасности компании. Сведения должны иметь действительную коммерческую ценность, на их создание должны быть израсходованы временные и интеллектуальные ресурсы, а право на охрану и ограничение доступа определяется реальной ценностью.
Все взаимоотношения по обеспечению режима ограничения доступа к данным регулируются соглашениями:
Ровно так же вопрос статуса обеспечения безопасности данных регулируется в странах – членах Британского содружества – Австралии и Индии. При отсутствии закона, содержащего понятие секретности сведений, в Австралии существуют уголовно-правовые нормы, регулирующие ответственность за их разглашение.
Германия также отказалась от общего понимания коммерческой тайны как неограниченного массива данных компании. Правовой охране подлежат только ноу-хау, под которыми может пониматься и научно-техническая, и коммерческая информация. Методы рекламы и маркетинга, бизнес-планы, сведения о бизнес-процессах и перечнях клиентов будут отнесены к ноу-хау как имеющие самостоятельную коммерческую ценность. Регулируется охрана такой информации соглашением между работодателем и работником.
Интересно, что в немецкой практике за разглашение коммерческой тайны отвечает не только виновник. Предусмотрены такие составы, как пособничество и подстрекательство. Законы Германии обязывают должностных лиц государственных органов не разглашать коммерческую тайну компаний, попавшую к ним по долгу службы, вводя ответственность вплоть до уголовной. Предусмотрены меры, исключающие разглашение любой коммерческой тайны в ходе судебных процессов.
При этом работодатели обязаны информировать работников о прекращении режима конфиденциальности в отношении доверенных ему данных. Эта позиция немецкого законодателя не дает работодателю каким-то образом ущемлять трудовые права работника, например, запрещать ему устраиваться на аналогичные должности к конкурентам. Такие положения трудового договора будут сочтены противоправными в случае возникновения судебного спора.
Французское законодательство об охране коммерческой тайны во многом аналогично российскому, соответствующие нормы прописаны в гражданском, трудовом и уголовном праве.
Предусматриваются следующие направления обеспечения безопасности коммерческой тайны:
Финляндия, Швейцария и другие европейские государства пошли по схожему пути, причем вопрос ответственности за разглашение некоммерческой тайны регулируется в большей степени не национальным правом, а нормами Евросоюза.
Свое решение в вопросе охраны данных предложила Италия. 2105-я статья Гражданского кодекса Италии вводит понятие «долга верности», согласно которому наемный работник:
Оба обязательства не имеют временных пределов и носят формальный характер. Работодатель не обязан доказывать ущерб от действий бывшего сотрудника, достаточно одного факта нарушения.
Япония в вопросе регулирования отношений, связанных с сохранением коммерческой тайны, пошла по пути корпоративной этики. Все вопросы регулируются локальными нормативными актами предприятий.
Кодексы корпоративной этики содержат морально-этические нормы, предполагающие:
Часто отмечается, что Япония меньше всех стран мира страдает от инсайдерских утечек, что связано с семейной атмосферой бизнеса и принципом пожизненного найма.
Приведенные положения иностранного законодательства говорят о том, что наибольшее внимание уделяется коммерческой тайне компаний. В американской практике властям пришлось делать выбор между защитой коммерческой и личной информации и национальной безопасностью. Долгое время американское законодательство считало персональные данные и коммерческую тайну объектами, охрана которых требует дополнительного государственного воздействия, например, регулирования систем охраны данных и введения уголовной ответственности за существенное вторжение в зону частного интереса. При этом само государство не было заинтересовано в неограниченном доступе к частной информации. Американская концепция недоверия к вторжению административных властей в частную жизнь исключала любую степень государственного регулирования, кроме нейтральной. Все изменилось с началом эпохи глобального терроризма. Уже с 2011 года США начали говорить о том, что понятие конфиденциальности информации устарело. Закон «Патриот» предоставил доступ государству к закрытым данным без объяснения целей их использования.
Национальное российское законодательство в этой сфере проработано неравномерно, наиболее полно отрегулированы три блока:
Вопрос раскрывается в нескольких федеральных законах и подзаконных актах, часто содержащих пересекающиеся нормы. Правоприменение обычно реализуется в рамках трудовых договоров и внутренних нормативных актов компаний.
Федеральный закон «Об информации» не внес в российское правовое поле каких-либо существенных норм в части регулирования оборота данных, но утвердил, какая именно информация окажется закрытой, опираясь на критерий ограниченности доступа к ней.
Исходя из ст. 9 закона, к этой категории относятся:
Закон не устанавливает никаких особых требований к обеспечению безопасности закрытой в доступе информации, адресуя к федеральным законам, регулирующим конкретные сферы правоотношений. Дополнительно он определяет критерий общедоступности информации, исключающий ее отнесение к категории данных ограниченного доступа. Также он раскрывает вопросы государственного регулирования информационных систем, обрабатывающих данные высокой степени секретности.
Принятый чуть ранее, чем федеральный закон, но несколько раз изменявшийся Указ Президента № 188 предложил немного другой перечень данных, которые могут быть отнесены к конфиденциальной информации:
Если сравнивать этот список с перечнем, предложенным федеральным законом «Об информации», выявляются новые объекты (правовые и в научной сфере), но мер по их защите, отличных от общих принципов защиты данных в государственных информационных системах или охране коммерческой тайны, не предложено.
Применительно к коммерческой тайне компаний в России работают три нормативных акта – федеральный закон «О коммерческой тайне», Гражданский кодекс и Трудовой кодекс.
ФЗ «О коммерческой тайне» рассматривает:
Компания вправе назвать коммерческой тайной практически любые данные, за их разглашение сотрудник понесет ответственность в рамках гражданского и уголовного законодательства. Гражданский кодекс ранее содержал ст. 139, посвященную вопросам коммерческой тайны и способам привлечения граждан к имущественной ответственности за ее разглашение, недавно она была исключена. Сейчас работодатель может привлечь сотрудника к ответственности только в рамках ст. 15, говорящей о возмещении убытков.
Законодатель принял сторону работника, утвердив, что убытки могут быть возмещены только после того, как будут установлены:
В большинстве случаев сделать это невозможно, так как доказать реальную стоимость утраченных сведений, если в список сведений, относимых к коммерческой тайне, включено все, что пришло в голову администрации, фактически невозможно. Тем не менее в рамках трудового права работника можно уволить за утечку закрытых данных любого характера и любой ценности.
Любые обязательства гражданина по сохранению коммерческой тайны предприятия окажутся ничтожными, если не будет предусмотрен механизм реализации ответственности. В отношении коммерческой тайны определенные возможности предоставляет Трудовой кодекс. Отдельным вопросом правового регулирования системы защиты данных становятся взаимоотношения между компанией и работником, в рамках которых последний обязан охранять коммерческую тайну и нести ответственность за ее разглашение.
В трудовом договоре необходимо прописать:
Включить условие о неразглашении охраняемой законом тайны в стандартный трудовой договор позволяет ст. 57 ТК РФ. Она говорит о любом типе секретных данных, соответственно, трудовой контракт может обязать не разглашать не только коммерческую тайну, но и врачебную, и служебную, и персональные данные. Но государственная и служебная тайна дополнительно охраняется законодательством, сторонам трудового договора нет необходимости достигать дополнительной договоренности по этому вопросу. В случае нарушения штрафные санкции, прописанные в договоре, будут неприменимы, так как нарушат общий порядок государственного управления. Трудовой кодекс в ст. 57 не предусматривает включения в трудовой договор отдельного условия о неразглашении персональных данных, так как ответственность гражданина за это нарушение также предусмотрена законодательством.
Но есть одно исключение: если оператор поручает обрабатывать персональные данные третьему лицу, то ответственность за их утечку несет оператор, а не его контрагент. Соответственно, не понесет ответственности сотрудник контрагента, намеренно допустивший утечку. В этом случае допустимо уточнение в трудовом договоре дополнительной ответственности по этому основанию.
Стандартно в трудовой договор включается общая формулировка о неразглашении различных видов тайны, но отдельным категориям работников целесообразно прописывать персонифицированные условия. Особенно это касается руководителей, сотрудников служб безопасности и ИТ-подразделений, в чьем распоряжении находятся данные, формально не относимые к закрытым, но разглашение которых способно причинить существенный вред предприятию.
С точки зрения ответственности следует учитывать, что нарушение условия о неразглашении коммерческой тайны является одним из оснований досрочного расторжения трудового договора. Работодатель вправе применять иные дисциплинарные взыскания, но материальная ответственность возможна только в пределах премиальной части выплат. Причиненный ущерб придется взыскивать через суд.
По поводу срока действия обязательства о неразглашении защищаемой информации после завершения трудовых отношений законодатель придерживается позиции, что он бессрочен, доверенная информация не может быть передана третьим лицам никогда, даже тогда, когда она утратила коммерческую ценность.
***
Защита информации требует внимательного отношения к правам и тех, чьи данные защищаются, и тех, кто может пострадать в случае неправомерного преследования. Идеальной модели нормативного регулирования степени конфиденциальности данных пока не предложено.
26.03.2020
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных
