«Хоть горшком назовите, только в печь не ставьте»? Право и «инфобез»

«Хоть горшком назовите, только в печь не ставьте»? Право и «инфобез»

В ходе ключевой дискуссии «Безопасная Цифровизация» в рамках магнитогорского форума «Цифровая устойчивость и информационная безопасность России» представители государства отмечали, что такие нормативно-правовые акты, как 166-й и 250-й Указы Президента РФ, Приказ ФСБ России №77 «заставили многие организации всерьёз задуматься об обеспечении ИБ, после того, как проблема кибербезопасности из глубин отделов ИБ была поднята на уровень персональной ответственности руководителей компаний».

Однако бизнес в ходе этой же дискуссии отдал предпочтение экономическим механизмам обеспечения безопасности цифровизации.

«Пример Банка России и финансовой отрасли доказывает, что экономические рычаги надёжнее, чем право регулятора потребовать устранить недостатки. Специалисты всегда найдут лазейку в законе и оставят всё как есть. Когда затронута экономика организации, идёт совсем другой разговор», — отметил представитель Positive Technologies.

Что же заставляет бизнес не доверять праву?

Профессионалами разного толка давно понято, что информация и манипуляции с ней могут успешно использоваться в деловом, политическом, культурном и медийном обороте для извлечения выгоды и причинения пользы. При этом мироустройство таково, что «растворённая» в информационном пространстве выгода не возникает из ничего и не пропадает в никуда. В результате извлечение выгоды одними от использования информации и манипуляций с ней приводит явно или завуалировано к утрате или к недополучению выгоды другими и/или к нарушению интересов этих «других», в качестве которых могут выступать и общественные и/или государственные интересы. Эта ситуация в миру называется правовой коллизией, разрешение которой в обществе разделения властей отнесено в конечном итоге к компетенции судебной власти, работающей на основе указаний кодексов и законов, оперирующих с ОБЪЕКТАМИ ПРАВА и характеристиками их оборота.

Ещё в те времена, когда ИНФОРМАЦИЯ не была затасканным объектом досужих спекуляций в контексте пороков информационных технологий, эта категория нашего мира защищалась ПРАВОМ, но под другими «именами», с которыми можно ознакомиться, например, в статье 1225 Гражданского кодекса Российской Федерации (ГК РФ).

Шлейф этой «унаследованности» стал одной из причин разноголосицы терминологии в сфере той многогранной деятельности, которая ныне описывается в устной речи жонглированием терминами ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, ЗАЩИТА ИНФОРМАЦИИ, КИБЕРБЕЗОПАСНОСТЬ. Уместно заметить, что ещё одной причиной является снижение авторитета института стандартизации в нашей стране, падение уровня профессионализма и квалификации в этой сфере деятельности и связанное с этим явлением смещение приоритетов в целях работ по стандартизации.

Теория информации и практика информационных технологий (не только цифровых) предлагают обществу минимальный набор характеристик, позволяющих описать оборот информации  с точки зрения возможных неблагоприятных или спорных коллизий этого оборота — конфиденциальность, целостность, доступность.

В последнее время этот набор предлагается дополнять такими характеристиками, как подлинность информации; невозможность отказа от авторства информации, а также факта её отправки или получения.

Уместно заметить, что упомянутые характеристики в рамках некоторых систем их определений не образуют, образно говоря, «базис независимых векторов» понятий, описывающих характеристики оборота информации.

Так на сайте одной из авторитетных ИТ-компаний приведены такие определения:

1. «КОНФИДЕНЦИАЛЬНОСТЬ — это состояние ДОСТУПНОСТИ информации только авторизованным пользователям, процессам и устройствам.
2. ДОСТУПНОСТЬ — это обеспечение своевременного и надёжного доступа к информации для законных пользователей».

Будучи немного занудой и формалистом, можно утверждать, что из этих определений следует, что характеристика конфиденциальности информации возникает (существует) только в процессе доступа к информации. Причём не просто доступа, а только такого, который может быть признан «своевременным и надёжным».

Подобное занудство легко пресекается в «курилке» инженерной среды единомышленников, однако ПРАВО в виде, например, судебного процесса — это состязание двух недружественно настроенных по отношению друг к другу сторон в присутствии третьей стороны, СУДА, в арсенале которого не только ЗАКОН, но и УСМОТРЕНИЕ СУДА. В этих обстоятельствах хотя бы понятия ЗАКОНА должны быть минимально эластичными, а лучше всего трактуемыми однозначно.

А какова же ситуация с однозначностью представлений множества законов об ИНФОРМАЦИИ и её обороте?

Прежде всего, бросается в глаза тот факт, что в статье 128 «Объекты гражданских прав» (в ред. ФЗ от 02.07.2013 №142-ФЗ) ГК РФ понятие «информация» отсутствует от слова «совсем» и это не результат забывчивости, а осознанный шаг законодателя, по-разному оцениваемый в юридическом сообществе.

А вот в статье 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» понятие «информация» раскрывается в виде ограниченного перечня: «информация — это сведения (сообщения, данные) независимо от формы их представления».

Что позволяет отечественным юристам делать то ли не вполне согласующиеся, то ли взаимодополняющие друг друга выводы:

• «Эта новация [исключение понятия «информация» из ГК РФ] сослужила плохую службу, дав повод для заключений о чуть ли не легальном запрете рассматривать информацию в имущественном ключе…»
• «… выделение в отечественном законе трёх аспектов информации — сведения, сообщения, данные — позволяет … успешно разрешать многие правовые вопросы».

При этом отсутствие в статье 128 ГК РФ понятия «информация» не препятствует с 2006 года охране прав на изображения гражданина в виде фотографий, видеозаписей и произведений искусства (статья 152.1 ГК РФ), а также наличию в ГК РФ целого раздела VII части четвёртой ГК РФ о правах на результаты интеллектуальной деятельности и средства индивидуализации и о порядке защиты этих результатов и средств, большинство из которых следует считать информацией, если не отрицать мнений классиков науки о сущности информации:

• «информация — это снятая неопределённость наших знаний о чём-то» (Клод Шеннон);
• «информации — это содержание, полученное из внешнего мира в процессе нашего приспособления к нему и приспособления к нему наших чувств» (Норберт Винер).

Но даже и без ссылки на признанные авторитеты, разве не информацией в смысле ФЗ от 27.07.2006 № 149-ФЗ «Об информации, …» являются «3) базы данных», «6) сообщение в эфире или по кабелю …», «15) наименования мест происхождения товаров». И это только дословные совпадения. А чем, как не «сведениями», являются «1) произведения науки», «7) изобретения», «12) секреты производства (ноу-хау)»?

Уместно также вспомнить о широкомасштабной кампании в стране по защите персональных данных с одновременной пропагандой тезиса о том, что «в цифровом мире персональные данные превратились в ценный актив, представляющий коммерческий интерес для бизнеса».

И усомниться в том, что результаты этой компании позволяют, например, сохранить в неприкосновенности исходные благие намерения, послужившие основанием для введения в Гражданский процессуальный кодекс Российской Федерации (ГПК РФ) статьи 10 «Гласность судебного разбирательства».

Статья 152.1 ГК РФ, раздел VII части четвёртой ГК РФ о правах на результаты интеллектуальной деятельности и средства индивидуализации и о порядке защиты этих результатов и средств, законодательство о персональных данных — всё это вполне укладывается в понятие о защите информации правовыми методами (подпункт 2.2.1, ГОСТ Р 50922-2006), но не согласуется с отсутствием понятия «информация» в статье 128 ГК РФ.

При этом термины «персональные данные», «личные данные», «обезличенные персональные данные», «цифровой профиль клиента» и понятия, скрывающиеся за ними, стремительно расплодились в федеральных законах и «нормативке» более низкого ранга, запутывая бизнес-сообщество и открывая широкое поле деятельности для спекуляций в рамках эмпирического правила «два юриста — это три мнения».

А продолжая исследование содержания Федерального закона от 27.07.2006 №149-ФЗ «Об информации, …» с удивлением обнаружим, что понятие КОНФИДЕНЦИАЛЬНОСТЬ информации в нём «КОНФИДЕНЦИАЛЬНОСТЬ информации — обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её [информации] обладателя» принципиально отличается от стандартного де-юре и де факто представления об этой характеристики информации, пусть и в разных стилистиках, в «нормативке» уровня технического регулирования (государственные стандарты, рекомендации, …):

• «КОНФИДЕНЦИАЛЬНОСТЬЮ называют ДОСТУП только для легальных пользователей;
• КОНФИДЕНЦИАЛЬНОСТЬ — это состояние ДОСТУПНОСТИ информации только авторизованным пользователям, процессам и устройствам;
• КОНФИДЕНЦИАЛЬНОСТЬ — состояние информации, при котором ДОСТУП осуществляют только субъекты, имеющие на него право».

Согласитесь, что обеспечиваемое физическими, техническими и организационными мерами состояние конфиденциальности как «обеспечение доступа к информации только авторизованным пользователям, процессам и устройствам» отличается и по смыслу, и по своей «силе» от меры в виде «выполнения лицом… требования не передавать… информацию третьим лицам без согласия её [информации] обладателя».

И это помимо той коллизии, что связана с введением ФЗ от 27.07.2006 № 149-ФЗ юридического (?) понятия «обладатель информации» в дополнение к классическому набору правовых терминов «собственник», «владелец», «пользователь».

Двигаясь далее по страницам ФЗ от 27.07.2006 № 149-ФЗ «Об информации, …» можно обнаружить, что в пункте 4 статьи 3 «Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации» имеется весьма спорный тезис о равноправии языков народов Российской Федерации при создании информационных систем [ИС] и их эксплуатации.

Похоже, что при введении этого положения в закон законодатель не учёл того обстоятельства, что основанное на либеральных представлениях об «общечеловеческих ценностях» «равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации» может ущемить основанное на Конституции Российской Федерации право на доступ к информации в таких ИС гражданам нашей страны, не владеющим всем спектром языков народов Российской Федерации.

А пункт 8 статьи 3 того же ФЗ от 27.07.2006 № 149-ФЗ «Об информации, …» О НЕДОПУСТИМОСТИ установления нормативными правовыми актами каких-либо ПРЕИМУЩЕСТВ ПРИМЕНЕНИЯ одних информационных технологий перед другими, ЕСЛИ ТОЛЬКО обязательность применения определенных информационных технологий ДЛЯ создания и эксплуатации ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ не установлена ФЕДЕРАЛЬНЫМИ ЗАКОНАМИ просто таки ставил крест на политике импортозамещения, объявленной после событий 2014 года и не факт, что в иерархии правовых документов Указы Президента РФ стоят выше федеральных законов.

В контексте сказанного интересно взглянуть на систему законов, связанных в оборотом информации, через призму представления о ЦЕЛОСТНОСТИ информации, определяемой в одном из учебных пособий как внутреннюю НЕПРОТИВОРЕЧИВОСТЬ ИНФОРМАЦИИ и изменение ИНФОРМАЦИИ только ЗАКОННЫМИ и ИМЕЮЩИМИ соответствующие ПОЛНОМОЧИЯ пользователями.

Опираясь на проведённый даже краткий анализ основ законодательства, регулирующего оборот информации и защиту прав участников её оборота, и на применение к этому анализу приведённого выше определения целостности можно понять причины недоверия к возможностям права обеспечить безопасность цифровизации.

Пункт 1 статьи 4 ФЗ «О безопасности критической инфраструктуры Российской Федерации» называет «законность» в качестве первоосновы принципов обеспечения безопасности критической информационной инфраструктуры. Это окажется возможным, если в определение целостности законодательной базы внести уточнение о возможности изменение этой информации только законными и имеющими соответствующие полномочия и квалификацию пользователями.