(Нестеров А. В.) («Информационное право», 2006, N 4)
ЗАКОН ПРИНЯТ. ПРОБЛЕМЫ ОСТАЛИСЬ
А. В. НЕСТЕРОВ
Нестеров А. В., профессор Высшей школы экономики, доктор юридических наук, кандидат технических наук.
Информация является одним из сложнейших общественных явлений, поэтому неудивительно, что процесс ее правового регулирования очень сложен. Например, начнем с «детского вопроса»: могут ли разные люди извлечь разный объем информации из одних и тех же данных? Судя по Федеральному закону «Об информации, информационных технологиях и защите информации» (далее — Закон), нет, так как информация — это данные. Вынос за скобки смысла термина только откладывает решение проблемы, но не решает ее. Однако необходимо отметить, что в Законе используется понятие «источник информации», но не раскрывается его смысл. В этой связи в данной статье рассмотрены концептуальные проблемы информатизации в контексте обсуждения Закона, так как решение именно данных проблем может позволить избежать методологических недостатков в будущих модернизациях Закона. Одним из коренных понятий в информационной сфере является информационная технология, однако она определена в двух документах <1> по-разному. В первом Законе информационная технология — это процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Во втором случае — это совокупность аппаратных, программных, аппаратно-программных средств, систем и процедур их применения, обеспечивающая осуществление информационных процессов в определенной области деятельности. Первый вопрос: что такое метод и чем он отличается от способа, а также чем они отличаются от процедур? Если исходить из того, что метод — это описание конечной последовательности операций, приводящей к искомому результату, а способ — описание неопределенной совокупности операций, могущей привести к искомому результату, а вместе они процедура (описание процесса), то тогда мы различаем термины «процесс» и «процедура», что нельзя сказать о Законе. Если во втором документе определены информационные процессы — процессы сбора, обработки, накопления, хранения, поиска и распространения информации, то в Законе о данных процессах можно только догадываться. При этом к ним можно отнести процессы поиска, сбора, хранения, обработки, предоставления и распространения. Видно существенное различие в наборе процессов. Естественно возникает вопрос: почему, с чем это связано? В Законе расшифрованы только два термина из упомянутых — это предоставление и распространение информации. Кроме того, в Законе вводится термин «оператор информационной системы, который ее эксплуатирует и обрабатывает информацию, находящуюся в базах данных». Таким образом, можно догадаться, что эксплуатация — это действия с аппаратными и программными средствами, а обработка — это действия с информацией. ——————————— <1> Федеральный закон РФ «Об информации, информационных технологиях и защите информации»; Законопроект. Специальный технический регламент «О безопасности информационных технологий».
Далее в Законе без определения начинают вводиться различные термины, описывающие некоторые действия, осуществляемые с информацией. В частности, передача информации, создание информации, получение права разрешать или ограничивать доступ к информации. К сожалению, только некоторые из них имеют расшифровку. Практика введения многозначных терминов в Закон продолжается путем введения следующих терминов: «производство» и «использование информации». Если о смысле термина «использование информации» можно догадаться, то, как известно, термин «производство» относится к вещественным объектам, а информация считается нематериальной. Поэтому данный термин необходимо заменить, например, на термин «продуцирование», который подразумевает создание любых продуктов деятельности и жизни людей. Удивительно, но в ст. 1 Закона, где описаны отношения, регулируемые Законом, список действий уже другой. Это поиск, получение, передача, производство и распространение информации. Итак, в Законе регламентируются определенные и иные действия с информацией, однако сами эти действия не расшифрованы и даже нет критерия, определяющего данные действия, не говоря уже об их классификации. Кто же являются субъектами, которые осуществляют действия с информацией, а также эксплуатируют информационные системы? Среди таких субъектов в Законе названы: обладатель информации, собственник технических средств, который правомерно пользуется базами данных, оператор информационной системы и лица, с которыми этот собственник заключил договор об эксплуатации информационной системы. В ст. 8 Закона регламентируется право некоторых субъектов на доступ к информации. Среди этих субъектов можно найти граждан (физических лиц) и организации (юридические лица), которые почему-то далее в Проекте именуются организациями. Что же делать индивидуальному предпринимателю (он уже не гражданин, но и не организация), если ему нужна информация? В п. п. 8 и 9 ст. 8 Закона есть указание на то, что право на доступ к установленной законом информации может быть обеспечено бесплатным путем, т. е. информация предоставляется заинтересованным лицам, но в определенных случаях данная информация предоставляется, а фактически продается, за плату, причем торговать данной информацией могут государственные органы и органы местного самоуправления. Таким образом, Закон допускает, что информация может быть товаром и при этом некоторые органы государства могут выступать в качестве торгового агента. Распространение информации на бесплатной основе не подразумевает, что она распространяется безвозмездно. Обязательно существует источник, который компенсирует затраты на такое распространение. Как правило, таким путем распространяется общедоступная информация, однако трудно согласиться со ст. 7 Закона, где утверждается, что к ней относятся общеизвестные сведения. Новости не являются общеизвестными. Очень спорна классификация информации на виды информации и совершенно непонятно, чем отличается общедоступная информация от информации, свободно распространяемой (ст. 5 Закона). Также непонятна норма п. 1 ст. 5 Закона, в частности: является ли информация объектом гражданских правовых отношений или объектом гражданских прав? Информационные услуги как вид услуг и информация являются объектами гражданских прав, однако в гражданском обороте участвовать могут только информационные объекты, так как информация нематериальна, а услуги как таковые необоротоспособны. Кроме того, в международном информационном обмене в соответствии с Таможенным кодексом РФ через таможенную границу могут перемещаться товары в виде движимого имущества, а информация и информационные услуги не являются движимым имуществом. Если исходить из того, что через таможенную границу на самом деле перемещаются не информация и услуги, а только документированные права на них, то тогда через таможенную границу перемещаются некоторые эквиваленты имущества в виде имущественных прав на информационные продукты и обязательственных прав на действия (деятельность), в том числе и по информационным услугам. Это вполне соответствует Конституции РФ, где закреплена свобода перемещения товаров, услуг и финансовых средств <2>. ——————————— <2> Нестеров А. В. Философия информационных услуг // НТИ. Сер. 1. 2005. N 12.
На наш взгляд, необходимо различать понятия «пользование объектом» и «использование объекта». Начнем рассмотрение данного положения с понятия «использование имущества» в ГК РФ, так как в нем упоминаются два термина «использование» и «пользование». В ст. 136 ГК РФ указано, что имущество может быть использовано для получения поступлений в виде плодов, продукции, доходов. С другой стороны, в ст. 2 ГК РФ в действия по предпринимательской деятельности входит пользование имуществом. Почему предпринимательская деятельность предполагает пользование, а не использование имущества? Конституция РФ в ст. 34 закрепляет «право на свободное использование своих способностей и имущества для предпринимательской и иной не запрещенной законом экономической деятельности». В ГК РФ данная норма была выражена в виде действий по предпринимательской деятельности путем пользования имуществом, продажи товаров, оказания услуг и выполнения работ. Таким образом, в Конституции РФ термин «использование» включает пользование имуществом для предпринимательской деятельности и собственно использование способностей как потенциальных действий и имущества для иной не запрещенной законом экономической деятельности. На наш взгляд, с методологической точки зрения термины «пользование» и «использование» объекта должны применяться в следующих смыслах. Действия по пользованию объектом заключаются в извлечении полезных для субъекта существенных свойств объекта без разрушения самого объекта для любых целей. Действия по использованию объекта подразумевают извлечение полезных для субъекта существенных свойств объекта с возможностью разрушения объекта для любых целей. В этом смысле субъект при приобретении экземпляра книги со знаком копирайта как охраняемого информационного объекта получает право пользования, цитирования и упоминания в личных и общественных целях. Также необходимо отличать операции с продуктами от операций с имуществом и товарами. Особенно это касается операций использования и пользования, так как они имеют практически похожие именования, но различное содержание. При этом мы подразумеваем под продуктом продуцирования три его составляющие: 1) отчуждаемый вещественный результат (продукцию), 2) неотчуждаемый материальный процесс продуцирования, 3) элементы среды продуцирования. Продукт передается (предоставляется) от продуцента к другому продуценту (потребителю) для того, чтобы он осуществлял дальнейшее продуцирование (извлекал и создавал из него полезные свойства). Извлечение полезных свойств из продукта возможно путем потребления, расходования и пользования. Сочетание категорий «потребление» и «пользование» дает категорию «использование продукта». Сочетание категорий «потребление» и «расходование» дает категорию применения продукта. Сочетание категорий расходования и пользования дает категорию раскрытия продукта. При потреблении потребитель извлекает с помощью разрушения полезные вещественные невозобновляемые свойства продукта. При расходовании расходователь извлекает с помощью задействования действий продуцента полезные материальные возобновляемые свойства продукта. При пользовании пользователь извлекает с помощью неразрушающего отражения полезные информационные (идеальные и абстрактные) актуализируемые свойства продукта. При использовании продукта подразумевается извлечение полезных его свойств путем отображения (овеществления) свойств отражения, например воплощение идеи. Применение продукта подразумевает извлечение полезных свойств продукта путем расходования материальных свойств и разрушения вещественных свойств продукта. При раскрытии продукта подразумевается материализация информационных (идеальных и абстрактных) свойств продукта, например раскрытие тайны или упоминание, обнародование каких-либо данных. Казалось бы, ст. 16 Закона, посвященная защите информации, должна быть согласована с нормами специального технического регламента «О безопасности информационных технологий» <3>, однако это не так. Если в том документе даны определения трем основным терминам («доступность», «конфиденциальность» и «цельность»), то в Законе только определена конфиденциальность информации. ——————————— <3> Законопроект. Специальный технический регламент «О безопасности информационных технологий».
Удивительно, но в соответствии с Законом защита информации представляет собой принятие некоторых мер, направленных на обеспечение защиты информации. Среди этих мер действия, предотвращающие неправомерные действия в виде доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий. К сожалению, и второй документ имеет недостатки, в частности, в нем под конфиденциальностью понимают состояние защищенности информации ограниченного доступа от неправомерного раскрытия. Термин «раскрытие» не расшифровывается. Под целостностью во втором документе понимается состояние защищенности информации и функциональных возможностей информационных технологий от модификации, подмены и уничтожения неправомочным способом. Таким образом, защита информации превращается в состояние защищенности информации при обеспечении безопасности при эксплуатации информационных технологий в целях защиты жизни и здоровья граждан. Так что же мы должны делать? Защищать информацию или обеспечивать безопасность информации. Это пример того, как неправильно выбранные термины, включенные в закон, могут искажать реальность. Термины «защита информации» и «безопасность информации» необходимо различать. Зададим первый вопрос: можно ли в принципе защищать нематериальную информацию? В связи с тем что мы разделяем понятия «данные», «информация» и «знания», на наш взгляд, под защитой информации надо понимать защиту данных, т. е. деятельность, направленную на предотвращение нарушения целостности, сохранности и подлинности защищаемых данных, а также непосредственно саму защиту как объект, включающий в себя средства и способы защиты, и, наконец, создание таких условий для защищаемых данных, при которых гарантированно обеспечивается целостность, сохранность и подлинность данных <4>. ——————————— <4> Нестеров А. В. Философия защиты информации // НТИ. Сер. 1. 2004. N 3.
В этой связи защита информации (данных) является одним из элементов системы безопасности информации. Можно выделить в данной системе три подсистемы: обеспечения безотказности, доступности и защиты информации. На наш взгляд, безопасность информационных технологий в соответствии с <5> не должна определяться только ее состоянием и характеризоваться доступностью, конфиденциальностью и целостностью, где две последние, в свою очередь, зависят от состояния защищенности и от условий, в которых находятся данные технологии. Под безопасностью, в частности, данных будем понимать не только деятельность по обеспечению защиты данных, безотказности технологии и организации контролируемого окружения, но и мониторинг неконтролируемого окружения. Поэтому безопасность информации (данных, информационных технологий) должна удовлетворять требованиям норм, в которых определены свойства, правила (процедуры, состояния) и условия. Аналогичные требования должны быть предъявлены и к защите данных. ——————————— <5> Законопроект. Специальный технический регламент «О безопасности информационных технологий».
В заключение остановимся на следующем примере. В соответствии с Законом два субъекта (физических лица) вступили в правовые отношения по поводу информации, в частности, один — обладатель информации на основе того, что он самостоятельно создал информацию (например, сказал: «А»), хочет ее предоставить (совершает действия, направленные на получение информации определенным кругом лиц), а другой субъект (пользователь) хочет ее использовать, т. е. совершает действия на получение данной информации. Если они заключили договор, то что это за договор? Что предоставил обладатель, что получил пользователь? Можно ли продать информацию и как это можно сделать? Что такое информационный объект и что такое информационная услуга? К сожалению, Закон не дает ответа на данные вопросы. И что будет, если оба субъекта одновременно скажут: «А»? Кто будет обладателем этого «А»? На наш взгляд, выводы достаточно очевидны. Без многочисленных подзаконных актов рассматриваемый Закон будет слабым законом. Судя по поспешности, с которой был принят данный Закон, он был необходим для решения политических задач, а не профессиональных.
