Направления развития зарубежного законодательства об информационной безопасности
(Зульфугарзаде Т. Э., Танимов О. В.) («Информационное право», 2011, N 4)
НАПРАВЛЕНИЯ РАЗВИТИЯ ЗАРУБЕЖНОГО ЗАКОНОДАТЕЛЬСТВА ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Т. Э. ЗУЛЬФУГАРЗАДЕ, О. В. ТАНИМОВ
Зульфугарзаде Теймур Эльдарович, профессор, заведующий кафедрой государственно-правовых дисциплин факультета политологии и права ФГБОУ ВПО «Российский экономический университет имени Г. В. Плеханова», кандидат юридических наук.
Танимов Олег Владимирович, заместитель декана факультета политологии и права ФГБОУ ВПО «Российский экономический университет имени Г. В. Плеханова», кандидат юридических наук.
В работе на основе опыта развитых зарубежных государств анализируются основные направления развития законодательства об информационной безопасности, основанной на институциональном подходе.
Ключевые слова: информационная безопасность, институциональный подход, информационные и коммуникационные технологии, права человека и гражданина.
Directions of Development of Foreign Legislation on Informational Security T. E’. Zul’fugarzade, O. V. Tanimov
The paper analyzes, on experience of the industrialized states, the basic directions of development of the information safety based on the institutional approach.
Key words: information security, institutional approach, information and communication technologies, human rights and the citizen.
Процесс постоянно возрастающего влияния информационных и коммуникационных технологий (ИКТ) на социальное поведение общества в целом и отдельных его индивидов в частности негативные <1>, вызывают объективную необходимость формирования новационной отечественной концепции информационной безопасности современного демократического правового государства, при этом, по мнению А. Н. Перенжиева, «…для институционального развития сферы безопасности российского общества нужна серьезная ее либерализация, что предполагает активизацию населения страны и общественных институтов в построении безопасной среды обитания» <2>. В указанной связи полагаем возможным констатировать появление новой юридической фикции в информационном праве <3>, которую, по нашему мнению, целесообразно назвать «прорывные технологии», под которыми следует понимать такие информационные технологии, при которых «технический прогресс влияет на социально-поведенческие нормы» <4> и тем самым оказывает различные, в т. ч. и негативные, воздействия на информационную безопасность. ——————————— <1> См., н-р: Лопатин В. Н. Ноу-хау вместо коммерческой тайны // Информационное право. 2007. N 1; Глазунов О. Н. (Glazunov O. N.) Модернизация российской экономики и «революция в сознании» // Politics. Economy. Law (Ukraine). 2011. URL: http:// pel. ucoz. ua/ publ/ nauch-nye_stati/ modernization_of_the_russian (дата обращения: 21.10.2011). <2> Перенджиев А. Н. Развитие безопасности: от национальной и комплексной к институциональной! URL: http://www. lawinrussia. ru/node/42052 (дата обращения: 21.10.2011). <3> Более подробно см.: Танимов О. В. Юридические фикции и проблемы их применения в информационном праве: Дис. … канд. юрид. наук: 12.00.14. Саранск, 2004. 216 с.; Электронный документ и электронная цифровая подпись как юридические фикции // Информационное право. 2005. N 3. С. 10 — 13. <4> Klang M. Disruptive Technology Effects of Technology Regulation on Democracy // Gothenburg Studies in Informatics, Report 36, October 2006. URL: http:// gupea. ub. gu. se/ handle/ 2077/ 9910/ (дата обращения: 21.10.2011).
Информационные и коммуникационные технологии стали рассматриваться в виде самостоятельного объекта системы информационной безопасности сравнительно недавно, что повлекло за собой появление новых и существенной редакции уже существующих норм правового регулирования в указанной сфере, начиная от обеспечения безопасности в процессе применения ИКТ и заканчивая интернет-технологиями. При этом глобальное распространение ИКТ привело к необходимости более подробного изучения практики законодательного регулирования таких технологий в экономически развитых странах мира <5>, что впоследствии позволит создать принципиально новую модель концепции информационной безопасности не только в рамках национального законодательства конкретного государства, но и в международном масштабе. ——————————— <5> Подробнее см.: Лопатин В. Н. «Экономика знаний» в информационном обществе: показатели и последствия для России // Информационное право. 2010. N 4. С. 3 — 11.
Так, в частности, раннее регулирование деятельности, связанной с использованием интернет-технологий, начало формироваться в начале 1990-х гг. в Соединенных Штатах Америки. В то время Секретная служба США пыталась предотвратить распространение так называемого документа «E911». Последний был незаконно скопированным документом, который содержал сведения о работе системы «911» (действия спецслужб в чрезвычайных ситуациях). Секретная служба выдала ордер против компании «Steve Jackson Games» (Игры Стива Джаксона), подозреваемой в получении документа E911, и изъяла, в частности, все компьютерное оборудование компании. Дело «Steve Jackson Games» явилось значимым для современной правовой доктрины, т. к. впервые суд постановил, что «электронная почта заслуживает, по крайней мере, такой же защиты, как и телефонные переговоры» <6>. ——————————— <6> Klang M. Указ. соч.
Позднее в США и ряде европейских стран были приняты специальные нормативные акты, направленные не только на регулирование ИКТ и обеспечение безопасности в информационно-технологической сфере, но и в целом на усиление роли государства как основного субъекта воздействия на все сферы социально-экономической жизни. В числе таких актов полагаем необходимым указать Антитеррористический закон США (2001 г.) <7> и Закон о национальной безопасности США (2002 г.) <8>, Антитеррористический закон Великобритании (2001 г.) <9>. На основе прежде всего вышеперечисленных нормативных актов 23 ноября 2001 г. в Будапеште была подписана Конвенция о киберпреступности <10>, среди участников которой насчитывается более 30 стран. ——————————— <7> Большой свод законов США 115 Stat. 272 (2001)/PUBLIC LAW 107-56-0CT. 26, 2001. <8> Большой свод законов США 117 Stat. 745 (2002)/ PUBLIC LAW 107-296-N 0V. 25, 2002. <9> Statute Book, 14 December 2001. <10> European Treaty Series (ETS N 001-193/1949 — 2003). Из-за отсутствия в УК РФ норм, предусматривающих ответственность юридического лица, Россия до сих пор не присоединилась к указанной Конвенции. Подробнее см.: Алавердов О. С. Международное сотрудничество в области борьбы с интернет-преступностью // Общество и право. 2010. N 3. С. 165 — 167.
В последние годы глобальная информационная система Интернет используется практически во всех сферах коммуникаций и в том числе не редко применяется в качестве инфраструктуры для проведения акций протестов и гражданского неповиновения <11>. Такие специальные группы по интересам, как защитники окружающей среды, были в числе первых адептов интернет-технологий для своей самоорганизации и выражения протеста <12>. Исследуемая технология приносит с собой возможность выражения новых форм протеста в новых условиях, а также включает в себя изменившиеся последствия для тех, кто ее использует. ——————————— <11> Подробнее см.: Глазунов О. Н. Деятельность спецслужб Ирана в Западной Европе и США // Social Science Electronic Publishing (New York, USA). 2011. N 8. URL: http://ssrn. com/abstract=918071 (дата обращения: 21.10.2011). <12> Бурматов В. В., Глазунов О. Н. Современные революционные технологии. Стратегия, технология и тактика «цветных» революций. М.: Пробел-2000, 2011.
В этой связи полагаем важным отметить, что в преамбуле упомянутой выше Конвенции по киберпреступности содержится заявление необходимости обеспечить надлежащий баланс между интересами поддержания правопорядка и уважением основополагающих прав человека. При этом отмечается, что такое равновесие в ней еще не достигнуто и что Конвенция в значительной степени смещена в сторону удовлетворения потребностей правоприменения. После ратификации странами — членами Конвенция по киберпреступности вступила в силу в июле 2004 г. Следующим этапом в этом процессе является включение ее в национальное законодательство стран — членов Совета Европы. В настоящее время Конвенция по киберпреступности является наиболее важным инструментом регулирования ИКТ, поскольку она находится в процессе ратификации в нескольких странах мира. Одновременно Конвенция представляет собой и инструмент гармонизации, и достаточно точный юридический инструмент, который может в последующем стать стандартом регулирования де-факто для многих из противоправных деяний в сфере применения ИКТ. Обращаясь к проблеме, связанной с массовым распространением так называемого «шпионского программного обеспечения», нарушающего не только нормальную работу легального программного обеспечения, но и права и свободы человека, отметим, что действующая Директива ЕС по конфиденциальности и электронным коммуникациям 2002/58/ЕС <13> не дает определения программам-шпионам и даже не очерчивает рамки шпионского ПО. Впрочем, подобный подход имеет определенные преимущества, результатом является некоторая степень неопределенности в отношении того, какие типы программ представляют собой программы-шпионы. Единственное руководство, которое предлагает Директива по конфиденциальности, можно найти в констатационной части 24, где предусматривается, что так называемые шпионские программы, сетевые закладки для сбора и пересылки данных о пользователе компьютера, скрытые идентификаторы и другие аналогичные устройства могут быть введены в терминал пользователя без его ведома с целью получения доступа к информации, хранения скрытой информации или отслеживания деятельности пользователя и могут серьезно нарушить право на неприкосновенность частной жизни этих пользователей. ——————————— <13> OJ L201 (Official Journal of the European Union. Legislation 201) от 30.07.2002.
Отсутствие определения понятия «шпионское ПО» заставляет пользователей и регулирующие структуры опираться в значительной степени на фундаментальные принципы регулирования. Таким давним принципом является договорное право, реализуемое на практике в виде лицензионного соглашения конечного пользователя (EULA). В отличие от такого подхода некоторые юрисдикции в США дали определения программам-шпионам, одной из которых был штат Юта, и подверглись критике за их сверхохватность, другими словами, за включение в рамки дефиниции шпионского ПО также и безвредных или полезных ПО. Правовой реакцией в США на проблему, связанную с программами-шпионами, стала разработка в 2001 г. Закона о контроле шпионского ПО и защите личных данных <14> (далее — Закон о шпионском ПО). Закон о шпионском ПО требует, чтобы производители уведомляли потребителей о том, когда их программный продукт включает в себя такую возможность (шпионское ПО), какие виды данных могут быть собраны и как его отключить. Еще более важно то, что Закон о шпионском ПО объявляет незаконной для таких программ передачу информации о пользователях производителям шпионских программ, если только пользователь не разрешил выполнение этой функции и обеспечил коллектору доступ к этой информации. Существуют исключения в утверждении авторизованных пользователей программного обеспечения, обеспечении технической поддержки или правового мониторинга компьютерной активности работодателями. ——————————— <14> United States Code (amendmentto Title 18) 6/23/2004.
Тем не менее Закон о шпионском ПО был подвергнут критике за его недружественность по отношению к потребителям, поскольку, несмотря на свои добрые намерения, он не идет достаточно далеко в борьбе с деятельностью производителей шпионских программ. Закон о шпионском ПО следует идеям, изложенным в Европейской директиве по защите данных (DPD), в том, что он делит личные данные на две категории: чувствительные и нечувствительные. Чувствительные данные относятся к персональным данным о финансах субъекта, истории его болезни, сексуальной ориентации, образе жизни, политической принадлежности и расы. Такие данные запрещается собирать и использовать без согласия субъектов — владельцев этих данных. К нечувствительным данным, однако, относится все остальное, а также и вся информация, которая может быть выведена из этих данных. В них входят любая деятельность, информация о которой данное ПО может считывать с сети, и выводы, которые можно сделать из этих данных. Такие несекретные данные могут собираться, обрабатываться и продаваться без согласия субъектов — владельцев этих данных. Хотя, на первый взгляд, это и кажется разумной исходной точкой, есть один серьезный недостаток. Путем сбора или записи большинства или всех данных, получаемых пользователем в Интернете, можно сделать несколько выводов о пользователях, которые относятся к их конфиденциальным данным, и, следовательно, разделение данных на чувствительные и нечувствительные уже не работает. В свою очередь, правовой реакцией Евросоюза на шпионское ПО была разработка упомянутого выше DPD, который был принят во всех ее странах-членах и может быть использован для криминализации деятельности шпионского ПО, поскольку DPD требует предварительного получения согласия пользователя на сбор его личных данных. В дополнение к этому, как отмечалось выше, в Директиве 2002/58/ЕС по конфиденциальности и электронным коммуникациям (DPEC) отсутствует четкое определение программ-шпионов. Кроме того, право пользователей на получение информации в соответствии с DPD недостаточно четко регулирует вопросы, связанные с онлайновой информацией о целях файлов «cookie» или подобных средств: «Страны-члены должны запретить использование электронных сетей связи для хранения информации или для получения доступа к информации, хранящейся в терминальном оборудовании абонента или пользователя без предварительного, четко выраженного согласия заинтересованного абонента или пользователя. Это не должно препятствовать любому техническому хранению или доступу с единственной целью осуществления или содействия передаче сообщений по сети электронной связи» <15>. ——————————— <15> Официальный вестник ЕС. 2002. 13 июня. С. 140E/121.
Процессы построения современного демократического правового социального государства требуют соблюдения неприкосновенности частной жизни <16>. Наиболее общим примером важности конфиденциальности является тайна голосования. Система голосования (например, российская система ГАС «Выборы») создается таким образом, чтобы гарантировать, что даже самые близкие люди не могут быть уверены, как проголосовали другие. При этом целостность присутствует здесь для обеспечения демократических свободных выборов. Хотя многие могут возразить, что они не изменят подхода к результату своего голосования, даже если они будут вынуждены голосовать открыто, на этом примере не сложно уяснить общественную важность целостности в демократии. Поэтому представляется странным, что появление угроз в отношении целостности в режиме онлайн не воспринимается таким же важным, как в режиме оф-лайн. Необходимость в целостности, неприкосновенности имеет основополагающее значение для демократизации и либерализации участия даже в интернет-пространстве, и, следовательно, регулятор должен быть обеспокоен защитой этой основной демократической ценности в большей степени, нежели сверхзащитой консервативных устоев общественного договора. ——————————— <16> Подробнее см.: Зульфугарзаде Т. Э. Основы социального государства и гражданского общества: Учебник для вузов.
Развитие ИКТ привело к передаче значительной части нашего творческого материала с традиционных в цифровые форматы хранения. Этот новый формат предлагает существенные экономические и логистические преимущества, придавая при этом легкость, с которой продукты могут быть продублированы и передаваться дальше без разрешения. Эти новые преимущества тестируют границы регулирования права собственности, что ставит под сомнение ранее принятые социальные соглашения о границах права собственности на материалы культуры и требует от законодателя переоценки ценностей, которые должны быть защищены. Однако далеко не просто понять роль ИКТ в развитии общества. Технические изменения регулярно влияют на то, каким образом изменится социальное поведение индивидов и общества в целом. Полагаем, что результаты проведенного исследования зарубежного опыта правового регулирования вопросов информационной безопасности в целом и ИКТ в частности в развитых зарубежных странах, приведенные в настоящей работе, позволят сформировать в ближайшее время полноценную концепцию законодательства об информационной безопасности Российской Федерации, основанную на институциональном подходе к рассматриваемым научным и прикладным проблемам.
——————————————————————