Закон о конфиденциальной информации

Защита данных
на базе системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Информация ограниченного доступа относится к различным категориям, от государственной до коммерческой тайны, степень ее конфиденциальности определяется международными соглашениями и национальными законами. В деятельности бизнес-структур наиболее важно, как обеспечение безопасности коммерческой тайны регулируется федеральными законами и какую ответственность компания понесет за утечку персональных данных.

Международная практика обеспечения безопасности данных

Изучая отечественный опыт определения статуса конфиденциальной информации в законе и его защиты, нужно сравнивать его с законодательством иностранных государств.

Существуют разные концепции регламентации обеспечения безопасности:

  • коммерческой тайны как имеющей ценность для бизнеса;
  • персональных данных, так как за их утечку грозит административная ответственность.

Европейские страны предлагают интересные варианты решения этих задач. В Великобритании полностью отсутствует законодательство, посвященное вопросам регулирования вопроса статуса защищенности информации, для нее характерна прецедентная правовая система. Уже 150 лет вопрос охраны коммерческой тайны решается на уровне судебной системы. В стране сформировалась устойчивая правоприменительная практика с множеством интересных прецедентов и четко выработанными правилами. Интересно, что правила, выработанные судами для охраны коммерческой тайны, по аналогии применяются к обеспечению безопасности государственной тайны и тайны частной жизни (персональных данных).

Давая определение тайне, английские суды действуют от противного, определяя, что к категории тайны не могут относиться общеизвестные сведения или так называемая публичная собственность, данные, предназначенные для раскрытия общественности. Британцы не разделяют позицию, что к коммерческой тайне относится все, что сочла нужным внести в этот список служба безопасности компании. Сведения должны иметь действительную коммерческую ценность, на их создание должны быть израсходованы временные и интеллектуальные ресурсы, а право на охрану и ограничение доступа определяется реальной ценностью.

Все взаимоотношения по обеспечению режима ограничения доступа к данным регулируются соглашениями:

  • между нанимателем и работником – трудовым договором;
  • между партнерами в бизнесе – соглашением о взаимных гарантиях неразглашения коммерческой тайны;
  • в рамках государственной службы – контрактом госслужащего, дающего подписку о неразглашении.

Ровно так же вопрос статуса обеспечения безопасности данных регулируется в странах – членах Британского содружества – Австралии и Индии. При отсутствии закона, содержащего понятие секретности сведений, в Австралии существуют уголовно-правовые нормы, регулирующие ответственность за их разглашение.

Германия также отказалась от общего понимания коммерческой тайны как неограниченного массива данных компании. Правовой охране подлежат только ноу-хау, под которыми может пониматься и научно-техническая, и коммерческая информация. Методы рекламы и маркетинга, бизнес-планы, сведения о бизнес-процессах и перечнях клиентов будут отнесены к ноу-хау как имеющие самостоятельную коммерческую ценность. Регулируется охрана такой информации соглашением между работодателем и работником. 

Интересно, что в немецкой практике за разглашение коммерческой тайны отвечает не только виновник. Предусмотрены такие составы, как пособничество и подстрекательство. Законы Германии обязывают должностных лиц государственных органов не разглашать коммерческую тайну компаний, попавшую к ним по долгу службы, вводя ответственность вплоть до уголовной. Предусмотрены меры, исключающие разглашение любой коммерческой тайны в ходе судебных процессов. 

При этом работодатели обязаны информировать работников о прекращении режима конфиденциальности в отношении доверенных ему данных. Эта позиция немецкого законодателя не дает работодателю каким-то образом ущемлять трудовые права работника, например, запрещать ему устраиваться на аналогичные должности к конкурентам. Такие положения трудового договора будут сочтены противоправными в случае возникновения судебного спора.

Французское законодательство об охране коммерческой тайны во многом аналогично российскому, соответствующие нормы прописаны в гражданском, трудовом и уголовном праве. 

Предусматриваются следующие направления обеспечения безопасности коммерческой тайны:

  • пока сотрудник трудится в компании, он обязан не разглашать доверенные ему сведения. По окончании контракта на него может быть возложена обязанность не конкурировать с работодателем;
  • если правообладатель данных доверил их кому-то, и они были разглашены, за злоупотребление доверием может наступить уголовная ответственность;
  • если коммерческая тайна разглашена государственным чиновником, он также понесет уголовную ответственность.

Финляндия, Швейцария и другие европейские государства пошли по схожему пути, причем вопрос ответственности за разглашение некоммерческой тайны регулируется в большей степени не национальным правом, а нормами Евросоюза. 

Свое решение в вопросе охраны данных предложила Италия. 2105-я статья Гражданского кодекса Италии вводит понятие «долга верности», согласно которому наемный работник:

  • не вправе вести деятельность, в которой он вступает в конкуренцию с работодателем ни как частное лицо, ни по трудовому контракту с другой компанией;
  • не может не только разгласить, но и использовать полученные им знания и информацию ограниченного доступа.

Оба обязательства не имеют временных пределов и носят формальный характер. Работодатель не обязан доказывать ущерб от действий бывшего сотрудника, достаточно одного факта нарушения.

Япония в вопросе регулирования отношений, связанных с сохранением коммерческой тайны, пошла по пути корпоративной этики. Все вопросы регулируются локальными нормативными актами предприятий. 

Кодексы корпоративной этики содержат морально-этические нормы, предполагающие:

  • полный запрет на передачу любых данных компании третьим лицам;
  • запрет любого совместительства мест работы без разрешения руководства, если следствием может быть утечка данных компании.

Часто отмечается, что Япония меньше всех стран мира страдает от инсайдерских утечек, что связано с семейной атмосферой бизнеса и принципом пожизненного найма.

Приведенные положения иностранного законодательства говорят о том, что наибольшее внимание уделяется коммерческой тайне компаний. В американской практике властям пришлось делать выбор между защитой коммерческой и личной информации и национальной безопасностью. Долгое время американское законодательство считало персональные данные и коммерческую тайну объектами, охрана которых требует дополнительного государственного воздействия, например, регулирования систем охраны данных и введения уголовной ответственности за существенное вторжение в зону частного интереса. При этом само государство не было заинтересовано в неограниченном доступе к частной информации. Американская концепция недоверия к вторжению административных властей в частную жизнь исключала любую степень государственного регулирования, кроме нейтральной. Все изменилось с началом эпохи глобального терроризма. Уже с 2011 года США начали говорить о том, что понятие конфиденциальности информации устарело. Закон «Патриот» предоставил доступ государству к закрытым данным без объяснения целей их использования.

Российское регулирование

Национальное российское законодательство в этой сфере проработано неравномерно, наиболее полно отрегулированы три блока:

  • государственная тайна;
  • персональные данные;
  • коммерческая тайна.

Вопрос раскрывается в нескольких федеральных законах и подзаконных актах, часто содержащих пересекающиеся нормы. Правоприменение обычно реализуется в рамках трудовых договоров и внутренних нормативных актов компаний.

Российское законодательство о защите конфиденциальной информации

Российское законодательство о защите конфиденциальной информации

149-ФЗ

Федеральный закон «Об информации» не внес в российское правовое поле каких-либо существенных норм в части регулирования оборота данных, но утвердил, какая именно информация окажется закрытой, опираясь на критерий ограниченности доступа к ней. 

Исходя из ст. 9 закона, к этой категории относятся:

  • государственная тайна;
  • служебная информация госструктур;
  • коммерческая тайна;
  • служебная тайна;
  • персональные данные;
  • профессиональная тайна.

Закон не устанавливает никаких особых требований к обеспечению безопасности закрытой в доступе информации, адресуя к федеральным законам, регулирующим конкретные сферы правоотношений. Дополнительно он определяет критерий общедоступности информации, исключающий ее отнесение к категории данных ограниченного доступа. Также он раскрывает вопросы государственного регулирования информационных систем, обрабатывающих данные высокой степени секретности.

Указ Президента № 188

Принятый чуть ранее, чем федеральный закон, но несколько раз изменявшийся Указ Президента № 188 предложил немного другой перечень данных, которые могут быть отнесены к конфиденциальной информации:

  • персональные данные;
  • тайна следствия и судопроизводства;
  • служебные сведения;
  • профессиональная тайна;
  • данные о сути изобретений до их публикации или получения патента;
  • данные об исполнении судебных актов.

Если сравнивать этот список с перечнем, предложенным федеральным законом «Об информации», выявляются новые объекты (правовые и в научной сфере), но мер по их защите, отличных от общих принципов защиты данных в государственных информационных системах или охране коммерческой тайны, не предложено.

Закон о коммерческой тайне, ГК РФ и ТК РФ

Применительно к коммерческой тайне компаний в России работают три нормативных акта – федеральный закон «О коммерческой тайне», Гражданский кодекс и Трудовой кодекс. 

ФЗ «О коммерческой тайне» рассматривает:

  • способы отнесения данных к коммерческой тайне и механизмы ее защиты. Закон полностью отдает этот вопрос на откуп компаниям, не выделяя критериев, которые могли бы доказать действительную ценность информации, за разглашение которой гражданину может грозить уголовная ответственность;
  • перечень сведений, которые не могут быть отнесены к коммерческой тайне. По сути он ограничен общедоступной информацией;
  • способы охраны данных, в общем идентичные списку организационных мер, рекомендованных для защиты персональных данных.

Компания вправе назвать коммерческой тайной практически любые данные, за их разглашение сотрудник понесет ответственность в рамках гражданского и уголовного законодательства. Гражданский кодекс ранее содержал ст. 139, посвященную вопросам коммерческой тайны и способам привлечения граждан к имущественной ответственности за ее разглашение, недавно она была исключена. Сейчас работодатель может привлечь сотрудника к ответственности только в рамках ст. 15, говорящей о возмещении убытков. 

Законодатель принял сторону работника, утвердив, что убытки могут быть возмещены только после того, как будут установлены:

  • их фактическое существование;
  • их реальная оценка.

В большинстве случаев сделать это невозможно, так как доказать реальную стоимость утраченных сведений, если в список сведений, относимых к коммерческой тайне, включено все, что пришло в голову администрации, фактически невозможно. Тем не менее в рамках трудового права работника можно уволить за утечку закрытых данных любого характера и любой ценности.

Правоприменение

Любые обязательства гражданина по сохранению коммерческой тайны предприятия окажутся ничтожными, если не будет предусмотрен механизм реализации ответственности. В отношении коммерческой тайны определенные возможности предоставляет Трудовой кодекс. Отдельным вопросом правового регулирования системы защиты данных становятся взаимоотношения между компанией и работником, в рамках которых последний обязан охранять коммерческую тайну и нести ответственность за ее разглашение. 

В трудовом договоре необходимо прописать:

  • неразглашение каких именно видов охраняемой законом информации запрещено в компании;
  • какие меры ответственности могут быть применены в случае невиновной утраты и в случае намеренного хищения данных;
  • как долго после увольнения длится обязанность не разглашать защищаемые данные;
  • какие дополнительные документы должны оформляться одновременно с изменениями в трудовом договоре.

Включить условие о неразглашении охраняемой законом тайны в стандартный трудовой договор позволяет ст. 57 ТК РФ. Она говорит о любом типе секретных данных, соответственно, трудовой контракт может обязать не разглашать не только коммерческую тайну, но и врачебную, и служебную, и персональные данные. Но государственная и служебная тайна дополнительно охраняется законодательством, сторонам трудового договора нет необходимости достигать дополнительной договоренности по этому вопросу. В случае нарушения штрафные санкции, прописанные в договоре, будут неприменимы, так как нарушат общий порядок государственного управления. Трудовой кодекс в ст. 57 не предусматривает включения в трудовой договор отдельного условия о неразглашении персональных данных, так как ответственность гражданина за это нарушение также предусмотрена законодательством.  

Но есть одно исключение: если оператор поручает обрабатывать персональные данные третьему лицу, то ответственность за их утечку несет оператор, а не его контрагент. Соответственно, не понесет ответственности сотрудник контрагента, намеренно допустивший утечку. В этом случае допустимо уточнение в трудовом договоре дополнительной ответственности по этому основанию.

Стандартно в трудовой договор включается общая формулировка о неразглашении различных видов тайны, но отдельным категориям работников целесообразно прописывать персонифицированные условия. Особенно это касается руководителей, сотрудников служб безопасности и ИТ-подразделений, в чьем распоряжении находятся данные, формально не относимые к закрытым, но разглашение которых способно причинить существенный вред предприятию.

С точки зрения ответственности следует учитывать, что нарушение условия о неразглашении коммерческой тайны является одним из оснований досрочного расторжения трудового договора. Работодатель вправе применять иные дисциплинарные взыскания, но материальная ответственность возможна только в пределах премиальной части выплат. Причиненный ущерб придется взыскивать через суд.

По поводу срока действия обязательства о неразглашении защищаемой информации после завершения трудовых отношений законодатель придерживается позиции, что он бессрочен, доверенная информация не может быть передана третьим лицам никогда, даже тогда, когда она утратила коммерческую ценность.

***

Защита информации требует внимательного отношения к правам и тех, чьи данные защищаются, и тех, кто может пострадать в случае неправомерного преследования. Идеальной модели нормативного регулирования степени конфиденциальности данных пока не предложено.

26.03.2020

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними