Сохранение банковской тайны и новые электронные технологии

(Воронцова С. В., Золотарева А. Ю.) («Налоги» (газета), 2010, N 22)

СОХРАНЕНИЕ БАНКОВСКОЙ ТАЙНЫ И НОВЫЕ ЭЛЕКТРОННЫЕ ТЕХНОЛОГИИ

С. В. ВОРОНЦОВА, А. Ю. ЗОЛОТАРЕВА

Воронцова С. В., доцент кафедры уголовного процесса Московского университета МВД России.

Золотарева А. Ю., зам. начальника Управления экономической безопасности ОАО КБ «ЮНИСТРИМ».

В соответствии со ст. 857 ГК РФ банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте. Основные юридические гарантии банковской тайны представлены в виде установленной законодательством административной (ст. 13.14 КоАП РФ), гражданско-правовой (ч. 3 ст. 857 ГК РФ) и уголовной (ст. 183 УК РФ) ответственности. Поэтому для правильной квалификации правонарушений, связанных с банковской тайной, важно четко уяснить, какие именно сведения закон относит к банковской тайне и кто имеет к ней законный доступ. Практика показывает, что решение этого вопроса не всегда однозначно ввиду имеющихся коллизий и пробелов в законодательстве. Статья 26 Федерального закона «О банках и банковской деятельности» <1> определяет объем информации, охраняемой банковской тайной, несколько шире, чем ГК РФ. Так, кредитная организация гарантирует тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону. Таким образом, законодатель предоставил право кредитным организациям самостоятельно включать в состав банковской тайны иные сведения, если это не противоречит федеральному закону, при этом не предусмотрел ни порядок, ни основания отнесения банком сведений к банковской тайне. Между тем определить состав таких сведений крайне важно, поскольку за их разглашение законодательством установлена ответственность (в том числе уголовная). ——————————— <1> Федеральный закон от 2 декабря 1990 г. N 395-1 «О банках и банковской деятельности» (с изм. и доп.).

В связи с этим наиболее целесообразным представляется оговаривать в договорах банковского счета и банковского вклада состав сведений, которые банк относит к банковской тайне. При установлении перечня таких сведений кредитная организация должна исходить исключительно из интересов клиента и необходимости предотвращения возможности причинения ему ущерба. В отличие от объема информации круг лиц, имеющих доступ к банковской тайне, законом очерчен четко. В соответствии со ст. 857 ГК РФ сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям, а также представлены в бюро кредитных историй на основаниях и в порядке, которые предусмотрены Законом <2>. ——————————— <2> Федеральный закон от 30 декабря 2004 г. N 218-ФЗ «О кредитных историях» (с изм. от 21 июля 2005 г., 24 июля 2007 г.).

Государственным органам и их должностным лицам такие сведения предоставляются исключительно в случаях и порядке, которые предусмотрены Законом. Исчерпывающий перечень государственных органов и должностных лиц, имеющих право получать сведения, составляющие банковскую тайну, установлен ст. 26 Федерального закона «О банках и банковской деятельности». Часть 1 ст. 183 УК РФ предусматривает ответственность за собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений. Под термином «документы» в данном случае следует понимать информацию, зафиксированную вне памяти человека любым способом и на любом носителе с целью обращения в информационной сфере <3>, включая электронные документы. Сведения о противоправных действиях не могут охраняться государством в качестве коммерческой, налоговой или банковской тайны. Безусловно, будет законным сообщение в правоохранительные органы службы безопасности банка о действиях клиента этого банка, который, получив неправомерный доступ к базе данных, списал деньги с расчетного счета другого клиента. Более того, эти действия входят в служебные обязанности сотрудников службы безопасности банка. ——————————— <3> Соснина Г. Н., Гончуков П. Н. Словарь трактовок понятия «информация». Самара, 1977. С. 36.

Объективной стороной данного деяния являются действия по собиранию сведений, составляющих коммерческую, налоговую или банковскую тайну, совершаемые путем похищения документов, подкупа, угроз или иным способом. Эти действия могут носить как тайный, так и открытый характер, осуществляться путем обмана или с применением насилия <4>. Похищение электронных документов в банковской сфере квалифицируется по совокупности ч. 1 ст. 183 и ст. 272 УК РФ, т. к. здесь имеет место неправомерный доступ к охраняемой законом компьютерной информации. В зависимости от умысла дальнейшего использования полученной информации возможна дополнительная квалификация действий. ——————————— —————————————————————— КонсультантПлюс: примечание. Комментарий к Уголовному кодексу Российской Федерации (под ред. Ю. И. Скуратова, В. М. Лебедева) включен в информационный банк согласно публикации — ИНФРА-М-НОРМА, 2000 (3-е издание, дополненное и измененное). —————————————————————— <4> Комментарий к Уголовному кодексу Российской Федерации / Под ред. Ю. И. Скуратова и В. М. Лебедева. М., 2004. С. 709.

Хотя состав преступления формальный и, следовательно, оконченным считается преступление с момента начала действия собирания вышеуказанных сведений, но так как в законе перечисляются способы собирания сведений, то момент окончания в каждом конкретном случае надо определять в зависимости от способа. В частности, собирание сведений путем похищения документов, составляющих банковскую тайну, будет считаться оконченным с момента, когда лицо, завладевшее документом, имеет возможность ознакомиться с его содержанием. Собирание сведений путем прослушивания телефонных переговоров следует считать оконченным с момента начала таких действий. В первоначальной редакции ч. 1 ст. 183 УК обязательным элементом состава преступления являлась цель совершения данных действий — разглашение сведений, составляющих тайну предпринимателя, либо незаконное их использование. В новой редакции собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, не конкретизировано, и, следовательно, они могут быть самыми различными, в т. ч. хулиганские побуждения, конкурентная борьба банков и др. Часть 2 ст. 183 УК РФ предусматривает ответственность за незаконное разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца. Если субъектом преступления, предусмотренного ч. 1 ст. 183 УК РФ, является лицо, достигшее 16-летнего возраста, не владеющее коммерческой, налоговой или банковской тайной, то субъектом преступления, предусмотренного ч. 2 этой статьи, является лицо, которому в силу служебного или профессионального положения стали известны вышеуказанные сведения. Обязанность сохранения банковской тайны возложена Законом на всех служащих банков независимо от их должности. Иногда банк в своих локальных актах дополнительно предупреждает об этой обязанности своих сотрудников. Например, некоторые банки заключают с работником договор о сохранении коммерческой и банковской тайны, в котором устанавливают обязанность сотрудника хранить в тайне сведения, составляющие банковскую и коммерческую тайну банка, как в период своей работы, так и в течение двух лет после увольнения с работы. Кроме служащих банка субъектами преступления, предусмотренного ч. 2 ст. 183 УК РФ, могут являться и аудиторы, адвокаты, нотариусы, сотрудники налоговых органов, которые получили доступ к сведениям, перешедшим в разряд профессиональных тайн. Практика трактует эту норму закона еще более расширенно, привлекая к ответственности бывших сотрудников банка и иных должностных лиц. Не подлежит привлечению к уголовной ответственности лицо, к которому информация попала случайно, впоследствии разгласившее либо использовавшее ее. Важное условие для квалификации деяния по ч. 2 ст. 183 УК РФ — отсутствие согласия владельца банковской тайны. Из смысла закона следует, что владельцами банковской тайны являются клиент или корреспондент (физическое или юридическое лицо), доверивший банку и иной кредитной организации сведения, которые могут составлять банковскую тайну, а также их наследники. Согласие владельца банковской тайны должно быть получено кредитной организацией при заключении договора займа (кредита), о чем прямо указано в Законе. В соответствии с ч. 3 ст. 5 Федерального закона от 30 декабря 2004 г. N 218-ФЗ «О кредитных историях» кредитные организации обязаны представлять информацию в отношении всех заемщиков, давших согласие на ее представление, в бюро кредитных историй. Объем такой информации и порядок ее представления в бюро кредитных историй определен ст. ст. 4 и 5 настоящего Закона. Согласно ч. 4 ст. 5 настоящего Закона кредитная организация представляет информацию в бюро кредитных историй только при наличии на это письменного или иным способом документально зафиксированного согласия заемщика. Согласие заемщика на представление информации в бюро кредитных историй может быть получено в любой форме, позволяющей однозначно определить получение такого согласия. На фоне активно развивающегося рынка банковского кредитования и, как следствие, увеличения числа невозвращенных кредитов банки вынуждены искать наиболее эффективные меры по возврату долгов. Одной из форм работы с проблемной задолженностью в банковской сфере является обращение банка к услугам коллекторских агентств. Вот тут-то и возникают споры о правомерности передачи банком конфиденциальной информации о заемщике коллекторским агентствам, поскольку вопрос о деятельности коллекторских агентств до сих пор не урегулирован на законодательном уровне. Если клиент банка (заемщик) не дал своего согласия на передачу третьим лицам информации, содержащей банковскую тайну (по аналогии с Федеральным законом «О кредитных историях»), то банк не вправе разглашать ее, т. е. формально действия банка подпадают под действие ч. 2 ст. 183 УК РФ. Вместе с тем кредитные организации при обращении в коллекторские агентства руководствуются п. 1 ст. 382 ГК РФ, в котором установлено, что право (требование), принадлежащее кредитору на основании обязательства, может быть передано им другому лицу по сделке (уступка требования) или перейти к другому лицу на основании закона. А согласно п. 2 данной статьи для перехода к другому лицу прав кредитора не требуется согласие должника, если иное не предусмотрено законом или договором. Вопрос о праве банка уступить право требования любому другому субъекту права, не являющемуся кредитной организацией, неоднократно обсуждался в юридической литературе. Существует мнение о том, что для отношений, возникающих из кредитного договора, возможность такой замены отсутствует <5>. Мнение других юристов заключается в том, что кредитный договор необходимо рассматривать как вид договора займа, к которому при отсутствии специальных правил, регламентирующих отношения по кредитному договору, подлежат применению общие нормы о договоре займа (п. 2 ст. 819 ГК РФ) <6>. ——————————— <5> Соломин С. Уступка права требования возврата долга по кредитному договору // Право и экономика. 2007. N 4. <6> Брагинский М. И., Витрянский В. В. Договорное право. Договоры о займе, банковском кредите и факторинге. Договоры, направленные на создание коллективных образований. Кн. 5: В 2 т. Т. 1. М.: Статут, 2006.

Судебная практика признает право за кредитными организациями совершать уступку права требования другим субъектам права, а не только кредитным организациям <7>, и суды исходят из того, что при совершении уступки права требования не происходит разглашения сведений, составляющих банковскую тайну <8>. Но согласно ст. ст. 5 и 26 Федерального закона «О банках и банковской деятельности» банковское кредитование является одной из банковских операций, хранить тайну которой обязаны все служащие банка. Коллизия заключается в том, что кредитная организация хоть и имеет право совершать уступку права требования (т. е. обращаться в коллекторские агентства за помощью о возврате долгов), но при этом также обязана соблюдать банковскую тайну (т. е. не разглашать составляющие ее сведения). ——————————— <7> Постановления Девятого арбитражного апелляционного суда от 19 апреля 2007 г., 24 апреля 2007 г. N 09АП-4172/2007-ГК, от 28 июня 2007 г., 29 июня 2007 г. N 09АП-6632/2007-ГК по проверке законности и обоснованности решений арбитражных судов, не вступивших в законную силу. <8> Постановление Девятого арбитражного апелляционного суда от 11 сентября 2007 г., 18 сентября 2007 г. N 09АП-11031/2007-АК по проверке законности и обоснованности решений арбитражных судов, не вступивших в законную силу.

Конец подобным спорам может положить лишь законодательное регулирование деятельности организаций по сбору долгов путем принятия соответствующего закона, устанавливающего ответственность коллекторских агентств и их должностных лиц за разглашение сведений, составляющих банковскую тайну. А пока многие банки страхуются от угроз уголовного преследования за разглашение банковской тайны путем получения письменного согласия своих клиентов при подписании кредитного договора. В договор включается условие о том, что в случае неплатежа банк имеет право в ходе взыскания задолженности передавать сведения о заемщике, указанные в кредитном договоре, третьим лицам, а также предусматривают право банка привлекать к взысканию долга коллекторские агентства с предоставлением указанных сведений. С развитием информационных, компьютерных и телекоммуникационных технологий совершенствуются и способы собирания сведений, составляющих банковскую тайну, ведь большая часть банковской информации хранится в электронной форме. Поэтому в современных условиях получение сведений о клиентах банках, их счетах и вкладах может осуществляться путем неправомерного доступа к компьютерной информации. Способы такого доступа могут быть различными: кража носителя информации, нарушение средств защиты информации, использование чужого пароля, представление фиктивных документов на право доступа к информации, установка специальной аппаратуры, подключаемой к каналам передачи данных. При этом доступ к информации может быть получен как в помещении банка, так и путем подключения к компьютерной сети с помощью удаленного доступа. Следовательно, источником угроз несанкционированного доступа к банковской информации могут быть как работники банка, так и другие лица, которым добываемая информация необходима, например, для ведения конкурентной борьбы, для получения выгоды от публикации конфиденциальной информации или для продажи информации на рынке информационных услуг. Установленная Законом обязанность кредитной организации хранить банковскую тайну требует от банка проведения не только организационных и юридических мер по охране информации, но и специальных технических мероприятий, затрудняющих доступ к ней третьих лиц. Сейчас невозможно представить ни один банк, который бы в своей деятельности не использовал электронные, телекоммуникационные системы. Бурное развитие информационных технологий и их широкое использование банками в своей деятельности привели к появлению такого понятия, как «электронный перевод денежных средств» (electronic funds transfer, EFT). Главным международным оператором услуг электронного обмена финансовыми сообщениями является Сообщество международных интербанковских финансовых телекоммуникаций (Society for Worldwide Interbank Financial Telecommunication, SWIFT), созданное в 1973 г. 239 банками из 15 стран в форме акционерного общества бельгийского права. Целью деятельности Сообщества является обеспечение надежного и безопасного электронного обмена стандартизированными финансовыми сообщениями, среди которых основное место занимают переводы денежных средств (50,3%). Отношения SWIFT и пользователей регулируются Руководством пользователя SWIFT, где определены их взаимные обязательства и пределы ответственности. Работа в сети SWIFT обеспечивает возможность работы всех ее участников в круглосуточной высокоскоростной сети передачи банковской информации. Сеть SWIFT гарантирует безопасность передачи информации с помощью многоуровневой системы технических и организационных методов защиты. Так, например, все передаваемые сообщения шифруются, что делает их недоступными третьим лицам; сообщения хранятся также в зашифрованном виде, поэтому и персонал не может их читать без специального допуска; по каждому сообщению создается резервная копия, гарантирующая защиту от возможной утраты. Вместе с тем SWIFT не дает никаких гарантий того, что предоставление услуг и банковских продуктов будет бесперебойным, безошибочным, и оставляет за собой право приостанавливать предоставление услуг полностью или частично в любое время по целому ряду причин, перечень которых не является исчерпывающим. На пользователя вышеуказанным Руководством возлагается обязанность по обеспечению безопасности данных, он несет ответственность за обеспечение конфиденциальности, целостности хранящихся у него данных. В случае возникновения несанкционированного доступа к информации третьих лиц именно на пользователя возлагается ответственность. Общая ответственность SWIFT перед всеми пользователями по искам, предъявляемым в течение года в связи с предоставлением или использованием услуг и продуктов SWIFT, ограничивается 10 млн. евро. В случае если общая сумма исков, предъявляемых SWIFT в течение года, превышает данную сумму, то сумма каждого удовлетворенного иска должна быть уменьшена пропорционально той части, в которой данный иск относится к сумме всех удовлетворенных исков, предъявленных SWIFT в течение года. И все же практика показывает, что большинство фактов утечки конфиденциальной информации происходит по вине сотрудников банка (либо умышленно, либо по халатности). Согласно проведенному в 2006 г. исследованию проблем информационной безопасности в российском банковском секторе компанией Info Watch и опубликованному отчету «Внутренние ИТ-угрозы в России 2006» <9> внутренние риски в банках превалируют над внешними угрозами в соотношении 6:4. При этом, по мнению большинства банкиров (64% опрошенных), наибольшую опасность представляют утечки персональных данных клиентов, которые чаще всего происходят в результате кражи информации. Две другие основные причины утечки — халатность сотрудников (52% респондентов) и вредоносные программы (45%). Среди самых опасных последствий утечки информации банкиры называли потерю клиентов (54% респондентов), репутации банка (46% респондентов), конкурентоспособности (37%), прямые финансовые убытки (28%), преследование регулирующими и правоохранительными органами (23%), потерю партнеров (10%), судебные преследования и юридические издержки (2%). ——————————— <9> URL: http://bankir. ru/technology/article/1383866.

В последнее время участились случаи кибератак на компьютерные сети банков. В подготовленном экспертами «Лаборатории Касперского» отчете «Kaspersky Security Bulletin 2009. Развитие угроз в 2009 году» <10> отмечается, что «в 2007 — 2008 гг. вредоносное программное обеспечение практически перестало создаваться в некоммерческих целях. Основным видом вредоносных программ стали «троянцы», занимающиеся кражей информации». «Лабораторией Касперского» за 15 лет (с 1992 по 2007 г.) было обнаружено около 2 млн. уникальных вредоносных программ и только за один 2008 г. — 15 млн.! В 2009 г. число вредоносных программ в коллекции «Лаборатории Касперского» достигло 33,9 млн.». ——————————— <10> URL: http:// www. kaspersky. ru/ reading_room? chapter=207367918.

Такое деяние, как разглашение, можно совершить только путем действия. Здесь возможна стадия покушения, когда лицо совершает все необходимые действия, но результат не наступает по обстоятельствам, от него не зависящим. Разглашение можно определить как предание огласке различными способами определенных сведений, в результате чего эти сведения становятся достоянием лиц, которые не должны их знать. В дальнейшем происходит использование информации в различных целях, например для ухудшения финансовой деятельности конкурентов. Однако совершение выгодных сделок купли-продажи ценных бумаг, акций нельзя квалифицировать по ч. 2 ст. 183 УК РФ, поскольку КоАП предусматривает за это деяние административную ответственность. Кроме того, использование сведений, составляющих банковскую тайну об операциях своих клиентов, не влечет ответственности, если они использовались в планировании банковской деятельности. Наличие корыстной заинтересованности у виновного лица превращает деяние в квалифицированное преступление, предусмотренное ч. 3 ст. 183 УК РФ, а причинение тяжких последствий влечет за собой уголовную ответственность по ч. 4 ст. 183 УК РФ. Это может быть банкротство, самоубийство потерпевшего и т. п. Возможна дополнительная квалификация по ст. 285 УК РФ (злоупотребление должностными полномочиями) или по ст. 201 УК РФ (злоупотребление полномочиями). Если сведения, составляющие коммерческую, налоговую или банковскую тайну, незаконно разгласило должностное лицо (следователь, прокурор, налоговый инспектор и др.), получившее к ним доступ в силу занимаемой должности, содеянное следует квалифицировать по совокупности преступлений, предусмотренных ст. 285 УК РФ и ч. 2 ст. 183 УК РФ либо ст. 202 УК РФ и ч. 2 ст. 183 УК РФ. В условиях роста зависимости каждого из нас от информации, циркулирующей в глобальных компьютерных сетях, развитие информационных и сетевых технологий привело к появлению так называемой киберпреступности. Этот термин российским законодателем юридически не определен, но в научной литературе он используется для определения преступности в виртуальном пространстве, в котором находятся сведения о лицах, предметах, фактах, событиях, явлениях и процессах, представленных в локальных и глобальных сетях. Первым юридическим актом, в котором дана оценка значения киберпреступности, стала Конвенция о киберпреступности, принятая Советом Европы 23 ноября 2001 г. Была сделана попытка координации действий правоохранительных органов на международном и национальном уровнях по недопущению несанкционированного вмешательства в работу компьютерных систем. По данным управления ГИАЦ МВД России, в 2001 г. было раскрыто 1619 преступлений в сфере высоких технологий, в 2002 г. этот показатель увеличился в два раза — 3782 преступления, в 2003 г. — 7053. Только за первые 6 месяцев 2008 г. раскрыто 4995 преступлений этой категории. Аналогичные процессы происходят по всей территории стран СНГ, например в Украине в 2001 г. раскрыто 7 преступлений, предусмотренных статьями разд. XVI «Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей и сетей электросвязи» УК Украины, в 2002 г. — 25, в 2003 г. — 122, а в первой половине 2008 г. — 95 преступлений. В 2006 г. установлен мировой рекорд в истории онлайн-мошенничества. Группа хакеров из России получила доступ к счетам клиентов скандинавской банковской группы. В августе 2006 г. дисциплинированные и законопослушные до наивности клиенты получили электронные письма якобы от администрации банка Norde, в которых клиентам рекомендовали установить специальную программу, которая должна защитить их от спама. Более 250 клиентов банка именно так и поступили, в результате в их компьютеры ворвался «троянский конь» по имени hakdoor, ki, под которым в профессиональной среде известна компьютерная программа, позволяющая преступникам получить любую информацию (пароль, PIN-код, номер счета и т. д.). Атака хакеров продолжалась 15 месяцев, за это время было похищено в общей сложности 8 млн. шведских крон <11>. ——————————— <11> См.: Информационный бюллетень Совета национальной безопасности и обороны Украины. Киев, 2008. N 1. С. 25.

Количество преступлений, совершенных в киберпространстве, растет пропорционально числу пользователей компьютерных сетей, и, по оценкам Интерпола, темпы роста этой преступности являются самыми быстрыми по сравнению с другими видами. Так, например, компания СКИМП в 2007 г. выявила 711 912 акций угроз конфиденциальной банковской информации относительно 125 243 в 2006 г. Рост составил 468%. Ежегодно в мире регистрируется более 55 млн. акций компьютерных хакеров <12>. ——————————— <12> См.: Содружество // Информационный вестник Совета глав государств и Совета глав правительств СНГ. 2008. N 2(46). С. 3.

Специфика проблемы борьбы с киберпреступностью состоит в том, что отдельно взятая страна не в состоянии противостоять ей собственным государственным властным механизмом и только международное сообщество способно противостоять данному виду преступности. Традиционные представления о территориальной юриспруденции, об административных границах применительно к киберпреступности во многом теряют смысл. Роль национального законодательства снижается, и на первый план выходят инструменты межгосударственного (международного) регулирования, международное взаимодействие стран, многостороннее межгосударственное сотрудничество, строящееся на основе договоров и соглашений.

——————————————————————