Основы международно-правового и национального регулирования защиты информации

(Федосеева Н. Н.) («Правовые вопросы связи», 2008, N 1)

ОСНОВЫ МЕЖДУНАРОДНО-ПРАВОВОГО И НАЦИОНАЛЬНОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ИНФОРМАЦИИ

Н. Н. ФЕДОСЕЕВА

Важным элементом правового режима информационных ресурсов и важным самостоятельным институтом информационного права является институт защиты информации и прав субъектов в области информационных процессов. Л. Валери отмечает, что «феноменальный рост электронной коммерции демонстрирует влияние Интернета на все сферы жизни общества. Как только мы стали зависеть от компьютера и информационных сетей, мы столкнулись с вторжением хакеров, террористов и государств-мошенников, возникла необходимость установления международного режима защиты информации. Решение этой проблемы становится приоритетным направлением национальной безопасности. Защита информации не является больше исключительным делом правительства и военных. Международный бизнес с того момента, как его коммерческий успех и экспансия на рынке стали зависеть от информационных систем, нуждается в объединении усилий. С этого времени защита информации выступает доминирующим фактором в преодолении различий и объединении усилий правительства и бизнеса как на региональном, так и на международном уровне» <1>. ——————————— <1> Valeri L. Securing internet society: toward an international regime for information assurance // Stadies in conflict and terrorism. Wash., 2000. Vol. 23. N 2. P. 129.

На необходимость установления более тесного сотрудничества неоднократно указывалось на международных и национальных конференциях. Призыв к координации усилий правительственных и коммерческих структур, конкретные предложения прозвучали в 227-м докладе комиссии при Президенте США по информационной безопасности. Этот курс был закреплен в президентской Директиве в 1998 г. Президент Клинтон предложил защищать американские информационные системы с помощью привлечения дополнительных инвестиций на решение технических и кадровых проблем, создать информационные сообщества и консультативные центры для обобщения практики и разработки стандартов защиты информации от несанкционированного доступа и участия в определении уязвимости информационных систем, разработки программ защиты информации и обучения кадров. Вслед за США подобную практику информационной безопасности стали внедрять и другие страны. Британское правительство разработало законопроект, поощряющий кооперацию между правительственными учреждениями и коммерческими организациями по информационной защите электронной коммерции. Общество компьютерной и электронной безопасности (Computer and Electronic Security Group), британское правительство с целью установления гарантий информационной безопасности правительственных и военных департаментов финансировали серию совместных инициатив, чтобы привлечь ведущих провайдеров телекоммуникационных и информационных технологий. Италия, Франция, Бельгия, Германия приняли подобные схемы. С тех пор как Западная Европа движется к политической и экономической интеграции, Европейская комиссия также ведет речь о ведущем значении обеспечения информационной безопасности для европейских информационных инфраструктур. Разработана схема оценки информационной безопасности (ITSEC), поддерживается политика применения шифрования и электронных подписей. Несмотря на то что все признают важность международного сотрудничества в этой области, большинство инициатив имеет локальный характер и неэффективны для Интернета, и это создает глобальный риск. Поэтому государства и международный бизнес, преодолевая национальные и региональные границы, пытаются сотрудничать и на международном уровне. Эта задача может быть решена, если оба актора будут участвовать в создании международного режима, благоприятствующего информационной безопасности. Возможный курс действий — установление общих критериев анализа безопасности информационных технологий. Усилия должны быть нацелены на преодоление концептуальных и технологических различий между существующими подходами к информационной защите. Это ведет к установлению международных стандартов и открывает путь к всемирному признанию достигнутых результатов. В 1997 г. Объединенной организацией экономического развития были разработаны «Руководящие начала политики в сфере использования криптографии», определившие обязательные требования, которым должна соответствовать криптографическая деятельность: надежность, свобода в выборе криптографических услуг, соответствующих действующему законодательству (внутригосударственному и международному); соблюдение международных требований по защите частной жизни; законность определения шифров и кодов, не противоречащая международным правилам; ответственность за неисполнение и ненадлежащее исполнение договорных условий и «Руководящих начал»; международное сотрудничество. Контроль за использованием криптографии в предпринимательской сфере осуществляется различными международными организациями, например Cocom (Coordinating committee for Multilateral). В 1991 и 1998 гг. этой организацией были разработаны многосторонние международные договоры о внутригосударственном контроле за реализацией криптографических услуг. Международные договоры в этой сфере подписало 31 государство. Франция, Россия, США, Австрия и Новая Зеландия отказались от подписания, сохранив за собой государственный контроль за экспортом и использованием криптографических технологий на территориях своих государств. Комплекс норм, регулирующих порядок защиты документированной информации, участвующей в информационном обмене, содержится также в двусторонних международных договорах. Так, в ряде договоров в числе мер защиты информационных ресурсов предусматриваются следующие обязанности компетентных органов: использовать информацию исключительно в целях, которые определены передающей стороной; уничтожать по просьбе передающей стороны переданную информацию по минованию надобности в ней или в случае наличия в ней сведений, не подлежащих передаче; не передавать информацию третьим лицам без письменного разрешения передающей стороны и др. Иногда закрепляется сравнительно общая формула защиты информации, предусматривающая обязанность сторон осуществлять такую ее защиту, которая достаточна для предотвращения доступа к информации не уполномоченных на то лиц, а также обязанность не изменять информацию самостоятельно. Договорами, содержание которых так или иначе связано с деятельностью сторон в отношении физических лиц <2>, обычно утверждаются положения о передаче сведений о физических лицах, которыми должны руководствоваться соответствующие компетентные органы сторон. Такие положения содержат подробную характеристику мер защиты информации персонального характера. Например, предусматривается, что: ——————————— <2> Соглашения о взаимопомощи по вопросам соблюдения налогового законодательства и борьбы с нарушениями в этой сфере — информация о конкретных налогоплательщиках; договоры о сотрудничестве в борьбе с незаконным оборотом наркотических средств — сведения об участниках наркобизнеса; соглашения о сотрудничестве и взаимной помощи в таможенных делах; договоры, регулирующие вопросы международного туризма, и др.

1. Соответствующий компетентный орган может использовать полученные сведения о физических лицах только в указанных целях и на условиях, определенных передающей их стороной; 2. По запросу получатель сообщает передавшей стороне сведения об их использовании и достигнутых при этом результатах; 3. Сведения о физических лицах могут передаваться только компетентным органам получающей стороны. Последующая передача другим органам разрешается только с предварительного согласия передавшей эти сведения службы; 4. Передающая служба обязана следить за правильностью передаваемых сведений, а также за необходимостью их передачи и соответствием указанной цели. При этом соблюдаются запреты, действующие в соответствии с внутренним законодательством каждой из сторон, на передачу сведений о физических лицах. Если выясняется, что переданы неправильные или не подлежащие передаче сведения, то об этом незамедлительно сообщается получателю, который обязан произвести исправление или уничтожение сведений; 5. Соответствующему физическому лицу по его просьбе выдается информация об имеющихся в отношении его сведениях, а также информация о целях их использования. Информация может не выдаваться, если окажется, что интересы государства в отказе выдачи информации преобладают над интересом соответствующего лица в получении информации. В остальном права соответствующего лица, связанные с такой информацией, определяются внутренним законодательством; 6. При передаче сведений передающий орган указывает на сроки их хранения, действующие в соответствии с внутренним законодательством его государства, после истечения которых эти сведения подлежат уничтожению; 7. Компетентные органы сторон обязаны документально зафиксировать передачу и получение сведений, касающихся физических лиц, и защищать переданные сведения о физических лицах от неправомочного доступа, внесения в них изменений без согласия передающего органа, а также от неправомочной последующей передачи третьим сторонам. Таким образом, правовое регулирование безопасности электронного документооборота также осуществляется на двух уровнях: международном и уровне двух — или многосторонних соглашений. Очевиден факт, что в настоящее время основным легализованным способам обеспечения безопасности электронного документооборота является электронная цифровая подпись (ЭЦП). Вместе с тем национальное законодательство об ЭЦП достаточно противоречиво, а Директива ЕС об электронных подписях достаточно декларативна, так как устанавливает только основу для юридического признания электронных подписей и требования к их сертификатам. Поэтому национальное законодательство пошло по пути выработки своих конкретных подходов к регулированию использования ЭЦП (подробнее об этом сказано выше). Статья 2 Директивы ЕС содержит указание на усиленную электронную подпись (ст. 2): «…усиленная электронная подпись должна соответствовать следующим требованиям: 1) связана однозначно с подписавшим лицом; 2) достаточна для его идентификации; 3) создается с использованием средств, находящихся под единоличным контролем подписавшего лица; 4) связана с данными, к которым она относится, таким способом, что любое последующее изменение этих данных становится очевидным» <3>. Однако в изученной практике такая подпись не встречается. ——————————— <3> Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community Framework for Electronic Signatures (Electronic Signatures Directive) // Official Journal of the European Communities L013. 19.01.2000. P. 12; http://europa. eu. int/comm/dg15/en/media/sign/elecsignen. pdf.

На сегодняшний момент спорные вопросы возникают в основном вокруг признания иностранных подписей. В мировой практике существуют различные варианты решения указанной проблемы. В наиболее концентрированном виде основные подходы к признанию иностранных подписей выражены в документах международных организаций: Комиссия ООН по международному торговому праву (ЮНСИТРАЛ) и Еврокомиссия ЕС. Комиссией ООН в 2000 г. был разработан Типовой закон «Об электронных подписях», а Еврокомиссией — соответствующая Директива. В соответствии с Законом ЮНСИТРАЛ иностранная подпись должна быть признана в стране — получателе электронного документа, если технологии подписания «эквивалентны по существу» (substantially equivalent). Для признания юридической силы иностранной подписи необходимо убедиться, что при ее создании использовались такие же методы, какие используются при создании подписи в государстве признания. При этом принимается во внимание не точное соответствие технологий подписания определенным техническим стандартам, а общность тех принципов, которые использовались при создании данной ЭЦП. Вопрос об эквивалентности технологий подписания разрешается путем обращения к третьей стороне — сертифицирующему провайдеру, который обязан решить вопрос о признании иностранной подписи и удостоверить, что она совершена лицом, указанным в качестве подписавшего документ. В отличие от Типового закона Директива ООН по электронным подписям содержит закрытый перечень случаев, когда иностранные подписи должны быть признаны государствами — членами Европейского Сообщества. Во-первых, на взаимной основе признаются подписи, сделанные в государствах — членах ЕС, поскольку они основываются на общих требованиях Директивы. Во-вторых, если подпись сделана в государстве, не являющемся членом ЕС, но при этом соответствует требованиям директивы, она может быть признана в государстве — члене ЕС. В-третьих, о признании подписей иностранных государств могут заключаться двусторонние или многосторонние соглашения между государствами. За Еврокомиссией при этом остается право регулировать вопросы унификации технических стандартов, принятия иных оперативных мер, необходимых для устранения препятствий в международной торговле <4>. ——————————— <4> Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community Framework for Electronic Signatures (Electronic Signatures Directive) // Official Journal of the European Communities L013. 19.01.2000. P. 12. Текст Директивы также можно найти в Интернете по адресу: http://europa. eu. int/comm/dg15/en/.

Однако в настоящее время принципы признания иностранных подписей в государствах — членах ЕС не одинаковы. В России ст. 18 Федерального закона «Об ЭЦП» устанавливает, что «иностранный сертификат ключа подписи, удостоверенный в соответствии с законодательством страны, где он зарегистрирован, признается на территории России с учетом выполнения установленных законодательством РФ процедур признания юридического значения иностранных документов». Следовательно, иностранные сертификаты ключей ЭЦП должны быть легализованы путем проставления апостиля или в ином порядке, установленном законом или международным договором <5>. ——————————— <5> Федеральный закон от 10 января 2002 г. N 1-ФЗ «Об электронной цифровой подписи» // Собрание законодательства РФ. 2002. N 2. Ст. 127.

В Германии, например, цифровые подписи, созданные органом из другого государства — члена ЕС, могут быть признаны только в том случае, если они в состоянии продемонстрировать такой же уровень безопасности. Как его можно продемонстрировать — не совсем понятно, но, по всей видимости, требуются похожие условия тестирования и регулирующий режим для соответствия данному положению. Для государств — не членов ЕС секция 15(2) Закона указывает, что цифровые подписи могут признаваться равноценными только при наличии международных или межправительственных договоров <6>. ——————————— <6> Informations — und Kommunikationsdienste-Gesetz — IuKDG. 1 August 1997. Текст Закона можно найти в Интернете по адресу: http://www. iid. de/rahmen/iukdgebt. html.

А ст. 8 Декрета об электронной подписи Франции устанавливает, что сертифицирующие организации государств — не членов ЕС признаются законом, если они выполняют требования Директивы об электронных подписях. Это означает, что они должны соответствовать требованиям французского закона и должны пройти аккредитацию, как того требует Директива, или что за их сертификаты поручается аккредитованный сертифицирующий орган государства — члена ЕС, или что они действуют в соответствии с международным договором <7>. ——————————— <7> Decret N 2001-272 du 30 Mars 2001 pris pour l’application de l’article 1316-4 du code civil et relatif a la signature electronique. Текст Декрета можно найти в Интернете по адресу: http://www. legifrance. gouv. fr/html/frame_lois_reglt. htm.

Таким образом, в национальном законодательстве установлены различные критерии признания иностранных электронных подписей. Итак, рассмотрев правовые основы регулирования международного электронного документооборота, можно сказать, что развитие виртуальных отношений обозначило массу правовых пробелов и в международном, и в национальном праве. Интернет, как совершенно новая правовая среда, вызывает ряд вопросов, требующих совершенствования материально-правового регулирования. Сначала пути его совершенствования виделись самые кардинальные — введение в национальные законодательства специальных нормативных актов, установление международно-правового контроля над Интернетом (в частности, со стороны АСЕАН) и т. д. Теперь в правовой доктрине, законодательной и судебной практике развитых стран начинает преобладать более осторожный и взвешенный подход. Он базируется на следующих основных постулатах. Во-первых, нет необходимости разрабатывать новые принципы правового регулирования интернет-отношений. Эти отношения необходимо «локализовать», «ввести» в сложившуюся правовую систему и рассматривать в ее рамках, как правило, за счет раскрытия в законодательстве тех или иных понятий (применение глобальных коммуникаций и в бизнесе, и в повседневной жизни уже привело к разработке ряда юридических понятий, таких, как экономика в режиме реального времени, электронная коммерция, электронные деньги, электронный документ, электронные платежи и т. д.), а также необходимой модификации и корректировки положений действующих законов. Так, проблемы электронных сделок следует решать в рамках гражданского права, доменных имен — в рамках законодательства о товарных знаках, юрисдикции в интернет-спорах — в процессуальном законодательстве за счет дополнения или соответствующего изменения соответствующих нормативных актов. Во-вторых, краеугольным камнем процесса совершенствования правового регулирования интернет-отношений считается сорегулирование. Этот термин подразумевает сочетание законодательного регулирования с саморегулированием, которое осуществляется представителями частного капитала, вкладывающими средства в обеспечение функционирования Интернета и доступа к нему (в частности, провайдерами), а также пользователями. Эти лица формируют своими действиями определенные правила поведения в виртуальном пространстве (обычаи и обыкновения), которые закрепляются затем в законодательном порядке. На практике принцип саморегулирования сводится к тому, что в большинстве стран специальных законов о регулировании и содержании Интернета не существует, что приводит к применению общего законодательства к интернет-отношениям. В-третьих, правовое регулирование интернет-отношений базируется на принципе «Festina lente». Законодатели в развитых странах исходят из того, что необходимое совершенствование действующего законодательства должно быть сведено к минимуму, и предпочитают не торопиться. С другой стороны, источником развития правового регулирования виртуального пространства могут стать судебные прецеденты. Не во всех правовых системах они рассматриваются в качестве источников права. Однако и в тех системах, где они не наделены силой источников права, их роль очень велика и заключается в толковании тех или иных действующих норм применительно к интернет-отношениям, а также к установлению содержания складывающихся обычаев виртуального сообщества. Резюмируя все изложенное, можно сказать, что информация, содержащаяся именно в электронных документах, в настоящее время обслуживает большую часть потребностей социума как на национальном, так и на международном уровне. Именно электронный документооборот занимает одно из первых мест по распространенности и значимости для международного сообщества. Однако в современной зарубежной и отечественной доктрине до сих пор не сложилось единообразных подходов к определению фундаментальных дефиниций в данной сфере правоотношений, таких, как: электронный документ, электронный документооборот, подлинник и копия электронного документа. Не решен вопрос о сущности и наименовании пространства, в котором происходит электронный документооборот. Существует также ряд других сложных вопросов: определение юрисдикции, определение собственника информационных ресурсов, создаваемых в процессе реализации международных соглашений, и др.

——————————————————————