Статья 3. Основные понятия, используемые в настоящем Федеральном законе. Для целей настоящего Федерального закона используются следующие основные понятия:

1) коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;
2) информация, составляющая коммерческую тайну, - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны;
3) режим коммерческой тайны - правовые, организационные, технические и иные принимаемые обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности;
4) обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны;
5) доступ к информации, составляющей коммерческую тайну, - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации;
6) передача информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности;
7) контрагент - сторона гражданско-правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию;
8) предоставление информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций;
9) разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.
Комментарий к статье 3
1. Определения основных понятий даны в ст. 3 в целях комментируемого Закона. Это означает, что их формулировки могут не совпадать по содержанию с формулировками аналогичных терминов, которые содержатся в иных нормативных правовых актах.
Данный аспект (имеется в виду не только комментируемый Закон) отмечается многими юристами как негативный. В связи с этим предлагается вносить в законодательные акты, содержащие формулировку "для целей настоящего Закона", изменение, устанавливающее, что определения основных понятий, содержащихся в данном акте, обязательны для органов государственной власти и управления, издающих нормативные правовые акты.
Однако не известно ни одного законодательного акта, содержащего подобную норму. Формулировка "для целей настоящего Закона" является стандартом в законодательной технике и широко используется, поскольку у каждого закона своя сфера применения. Кроме того, законодательство развивается, пытаясь соответствовать общественным отношениям, т.е. нормотворчество полностью подчинено текущим потребностям общества. Поэтому пересмотр и уточнение терминологии - естественный процесс.
2. Коммерческая тайна, как уже отмечалось выше, представляет собой не разновидность информации, а ее определенное состояние - конфиденциальность, которая позволяет обладателю информации при существующих или возможных обстоятельствах:
увеличить доходы;
избежать неоправданных расходов;
сохранить положение на рынке товаров, работ, услуг;
получить иную коммерческую выгоду.
Поскольку коммерческая тайна относится к "первичным" тайнам, необходимость защиты информации в режиме коммерческой тайны - это не обязанность, а право лица, ее создавшего <*>.
--------------------------------
<*> Волчинская Е.К. Указ. соч.
3. Комментарий термина "информация, составляющая коммерческую тайну" необходимо начать с изучения понятия "информация", лежащего в его основе.
Согласно Федеральному закону "Об информации, информатизации и защите информации" информация представляет собой разнообразные сведения в широком смысле слова. Это могут быть сведения о лицах, предметах, фактах, событиях, явлениях, процессах. Основной особенностью информации как правовой категории является то, что образующие ее сведения независимы от формы их представления. Другими словами, по общему правилу правовой статус информации не зависит от правового статуса объектов собственности (вещных прав), а также интеллектуальной собственности (исключительных прав), в которых она может содержаться, за исключением случаев, прямо указанных в законодательстве.
В законодательстве России есть и другие определения термина "информация". Иная формулировка вытекает из содержания понятия "массовая информация", приведенного в Законе РФ "О средствах массовой информации" и Федеральном законе от 1 декабря 1995 г. N 191-ФЗ <*> "О государственной поддержке средств массовой информации и книгоиздания Российской Федерации" (в ред. от 22 октября 1998 г., с изм., внесенными Постановлением Конституционного Суда РФ от 22 ноября 2000 г. N 14-П). Согласно перечисленным нормативным правовым актам "массовая информация" - это предназначенные для неопределенного круга лиц печатные, аудио-, аудиовизуальные и иные сообщения и материалы. Если считать, что в формулировке "предназначенные для неопределенного круга лиц" проявляется видовое отличие понятия "массовая информация" от более широкого понятия "информация", то сама информация - это печатные, аудио-, аудиовизуальные, иные сообщения и материалы. Таким образом, один закон понимает под информацией сведения, другой - сообщения и материалы.
--------------------------------
<*> СЗ РФ. 1995. N 49. Ст. 4698; Российская газета. 1995. N 235. Утрачивает силу с 1 января 2005 г. в связи с принятием Федерального закона от 22 августа 2004 г. N 122-ФЗ.
Попытки соотнести эти понятия между собой, предпринятые юристами-цивилистами и исследователями из других областей знания, привели к получению различных результатов. По мнению первых, "сведения" составляют содержание "сообщений" <*>. Лингвисты же полагают, что эти понятия синонимичны, ибо определяются друг через друга <**>.
--------------------------------
<*> Батурин Ю., Федотов М., Энтин В. Пора ли "Священной корове" на бойню, или Что таит модернизация закона о СМИ? // Законодательство и практика средств массовой информации. 1988. N 1 - 2.
<**> Понятие чести и достоинства, оскорбления и ненормативности в текстах права и СМИ. М.: Права человека, 1997. С. 36; Ожегов С.И. Словарь русского языка. Изд. 12-е. М.: Русский язык, 1978.
Говоря о синонимичности понятий "сведения" и "сообщения", нельзя забывать о том, что термин "сообщения" используется законодателем неотрывно от термина "материалы". Ставить же знак равенства между "сведениями" и "материалами" <*> нам представляется невозможным. Кроме того, исследуя места расположения понятий "сообщения" и "материалы" в Законе о СМИ, можно сделать вывод, что указанные правовые категории не являются информацией в чистом виде, а представляют собой результат творческого труда <**>. Таким образом, из соотношения норм Закона об информации и Закона о СМИ следует, что сведения являются содержанием сообщений и материалов. Однако этот юридический тезис может не соответствовать доктринальным положениям других наук.
--------------------------------
<*> Слово "материал" часто используют в качестве синонима слова "публикация", под которой в соответствии с ГОСТ 7.0-99 понимается документ, доступный для массового использования.
<**> Моргунова Е.А., Погуляев В.В., Вайпан В.А., Любимов А.П. Комментарий к Закону РФ "О средствах массовой информации" / Под общ. ред. Погуляева В.В. М.: ЗАО Юстицинформ, 2004. С. 7; Моргунова Е., Погуляев В., Рузакова О. Финансовая информация как объект правовой охраны // Интеллектуальная собственность. Авторское право и смежные права. 2002. N 10.
Вернемся к изучению понятия "информация, составляющая коммерческую тайну". Такой информацией согласно комментируемой статье Закона является научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)).
Из данной дефиниции Закона видно, что перечень содержащихся в ней видов информации, составляющей коммерческую тайну, не закрыт, т.к. он заканчивается словами "или иная информация".
Некоторые правоведы считают, что незакрытый перечень чего-либо в нормативном правовом акте вообще не нужен. Однако это утверждение не всегда верно. Иногда подобные перечни служат хорошей шпаргалкой для правоприменителя. Но в нашем случае его верность не вызывает сомнения, т.к. информацией, составляющей коммерческую тайну, может быть любая информация, отвечающая трем указанным выше требованиям (критериям) и не отнесенная к сведениям, которые не могут составлять коммерческую тайну. Перечень таких сведений дан в ст. 5 комментируемого Закона.
Вызывает интерес понятие "ноу-хау", используемое в комментируемом определении.
Под ноу-хау традиционно понимается некая информация, составляющая секрет производства. Однако как на законодательном уровне, так и в юридической литературе не сложилось единого подхода к конкретизации данного понятия, четкому определению его содержания.
Кроме того, в научном сообществе до сих пор не достигнут компромисс и по поводу того, объектом каких прав является ноу-хау. Одни специалисты полагают, что ноу-хау - объект исключительных прав, т.е. является интеллектуальной собственностью. Другие употребляют в отношении ноу-хау термин "квазиправо", которое сходно по содержанию с исключительными правами, но не является таковым. Третья группа цивилистов считает, что в отношении ноу-хау (как и в отношении иных видов информации, составляющей коммерческую тайну) действует лишь фактическая монополия его владельца, выражающаяся в возможности устанавливать режим доступа к сведениям, составляющим ноу-хау, принимать в отношении них превентивные меры. Далее мы будем придерживаться последней точки зрения, т.к. она наиболее соответствует действующему законодательству в целом и нормам комментируемого Закона в частности. Кроме того, основой ноу-хау является информация - самостоятельный объект гражданских прав (ст. 128 ГК РФ), не являющийся составной частью как института вещных прав, так и института прав исключительных <*>.
--------------------------------
<*> Подробнее см.: Моргунова Е., Погуляев В., Рузакова О. Финансовая информация как объект правовой охраны // Интеллектуальная собственность. Авторское право и смежные права. 2002. N 10.
Попытки распространить на информацию режим права собственности или исключительных прав часто обусловлены смешением двух разных по содержанию правовых понятий: "информация" и "информационный ресурс". Между тем они отнюдь не равнозначны и не являются синонимами. Информационный ресурс отличается от информации (сведений в широком смысле) прежде всего двумя признаками:
1) его образует только документированная информация (документы), которая зафиксирована на материальном носителе и обладает реквизитами, позволяющими ее идентифицировать;
2) сложностью (смешанностью) правового режима <*>.
--------------------------------
<*> Погуляев В. Еще раз о ноу-хау // Интеллектуальная собственность. Промышленная собственность. 2004. N 5. С. 15 - 16.
Ноу-хау можно условно разделить на три большие группы:
информация о сущности незапатентованного изобретения, полезной модели или промышленного образца;
сведения о методах, процессах, технологиях, профессиональном опыте и иных объектах, имеющих коммерческую ценность, но лишенных способности охраняться патентом;
добавочная информация, получаемая при использовании запатентованных технологий, которая, не будучи патентоспособной сама по себе, позволяет более эффективно использовать запатентованное устройство или способ <*>.
--------------------------------
<*> Белов В.В., Виталиев Г.В., Денисов Г.М. Интеллектуальная собственность. Законодательство и практика его применения: Учебное пособие. М.: Юристъ, 1999. С. 125.
Первая группа сведений приобретает конфиденциальный характер с момента подачи документов в федеральный орган исполнительной власти по интеллектуальной собственности. Момент соответствующей государственной регистрации и официального опубликования этих сведений определяет изменение их правового режима - они переходят из разряда конфиденциальной информации в разряд объектов интеллектуальной собственности.
Сведения о патентоспособных объектах (до их официальной публикации) можно считать разновидностью как конфиденциальной информации в широком смысле, так и информации, составляющей коммерческую тайну (ноу-хау), в частности, но только при соответствии трем ее признакам, включая необходимость принятия обладателем этой информации превентивных мер, направленных на обеспечение ее конфиденциальности.
Обратим внимание и на то, что ноу-хау не может быть внесено в качестве вклада в имущество юридического лица. Как указано в п. 17 Постановления Пленума ВС РФ и Пленума ВАС РФ от 1 июля 1996 г. N 6/8 "О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации", "необходимо учитывать, что в качестве вклада в имущество хозяйственного товарищества или общества могут вноситься имущественные права либо иные права, имеющие денежную оценку. В связи с этим таким вкладом не может быть объект интеллектуальной собственности (патент, объект авторского права, включая программу для ЭВМ, и т.п.) или "ноу-хау".
Это положение подтверждено судебной практикой. Так, 24 января 2002 г. Арбитражным судом Ханты-Мансийского автономного округа была признана недействительной сделка по внесению компанией "Norex Petroleum" 50% вклада в уставный капитал ЗАО "Корпорация "Югранефть" в виде ноу-хау.
Вместе с тем в указанном Постановлении отмечено, что в качестве вклада в имущество хозяйствующего субъекта может быть признано право пользоваться ноу-хау, передаваемое в соответствии с лицензионным договором, который должен быть зарегистрирован в порядке, предусмотренном законодательством.
Законодательство некоторых стран, например Германии, отделяет коммерческую тайну от производственной (ноу-хау). Первую составляют сведения о торговой деятельности компании: информация о поставщиках, потребителях, конкурентах, об объемах продаж и т.д. Производственную тайну по германскому праву составляют сведения организационно-технического характера, касающиеся технологий, способов производства чего-либо, информации об исследованиях и т.д.
Вернемся к дефиниции "информация, составляющая коммерческую тайну". Законодатель устанавливает три признака данной информации. Информация, составляющая коммерческую тайну:
имеет действительную или потенциальную коммерческую ценность в силу неизвестности третьим лицам;
к ней нет доступа на законном основании;
ее обладателем введен режим коммерческой тайны.
Данная норма Закона практически полностью дублирует соответствующее положение ст. 139 ГК РФ. Рассмотрим указанные три критерия.
Итак, во-первых, информация, составляющая коммерческую тайну, должна иметь коммерческую ценность. Как отмечается в литературе, "ценность информации - комплексный показатель ее качества, мера пригодности для принятия решений в конкретной сфере" <*>. Отсюда коммерческая ценность информации - это показатель ее пригодности (полезности) для принятия решений в коммерческой деятельности. Данный показатель, исходя из сложившейся деловой практики, складывается из трех составляющих:
--------------------------------
<*> Гаврилов О.А. Курс правовой информатики: Учебник для вузов. М.: НОРМА (Издательская группа НОРМА-ИНФРА-М), 2000. С. 2.
1) достоверность информации;
2) ее актуальность;
3) полнота информации <*>.
--------------------------------
<*> Зенин И., Моргунова Е., Погуляев В. Что такое информация и как ее защищать // Закон. 2002. N 12.
Коммерческая ценность поставлена законодателем в зависимость от неизвестности информации третьим лицам - субъектам, не являющимся сторонами связанных с ней отношений. Отсюда берет начало второй неотъемлемый признак информации, составляющей коммерческую тайну, - ее недоступность на законном основании. Предполагается, что третьи лица могут получить указанную информацию только незаконным путем либо в результате небрежности ее обладателя. Однако многие разновидности ресурсов ограниченного доступа, такие как, например, клиентские базы, юридически не защищены от "независимых открытий" (подробнее см. комментарий к ст. 4).
Последний признак информации, составляющей коммерческую тайну, - принятие превентивных мер, препятствующих общему доступу к ней, иными словами - введение режима коммерческой тайны. Само по себе установление договорных обязательств и других превентивных мер, препятствующих общей доступности к информации, еще не говорит о том, что информация составляет коммерческую тайну. Введение режима коммерческой тайны - замыкающий критерий правовых основ обеспечения интересов ее обладателя, не имеющий юридической силы вне связи с двумя другими рассмотренными критериями.
Современные международные стандарты в области коммерческой тайны установлены Парижской конвенцией по охране промышленной собственности и Соглашением по торговым аспектам прав интеллектуальной собственности (ТРИПС). Согласно п. 1 ст. 39 Соглашения ТРИПС "в процессе обеспечения эффективной охраны от недобросовестной конкуренции, как это предусмотрено в ст. 10bis Парижской конвенции (1967 г.), страны-члены охраняют закрытую информацию..." На основании п. 2 ст. 39 Соглашения ТРИПС лицо может препятствовать раскрытию, получению или использованию правомерно находящейся под его контролем информации способом, противоречащим честной коммерческой практике, при условии, что такая информация:
является секретной в том смысле, что она в целом или в определенной конфигурации и подборе ее компонентов не относится к общеизвестной или легко доступной лицам в тех кругах, которые обычно имеют дело с подобной информацией;
ввиду своей секретности имеет коммерческую ценность;
является объектом надлежащих в данных обстоятельствах действий, направленных на сохранение ее секретности, со стороны лица, правомерно контролирующего эту информацию.
Еще одним немаловажным моментом является соотношение понятий "информация, составляющая коммерческую тайну" и "конфиденциальная информация".
"Конфиденциальность" появляется в нормативных правовых актах СССР после 1990 г. и присутствует только в трех документах. Сейчас же этот термин встречается в 84 федеральных законах и 706 международных (в том числе межправительственных) соглашениях <*>.
--------------------------------
<*> Волчинская Е.К. Указ. соч.
Разработчики комментируемого Закона не дали ответа на вопрос, каким образом "информация, составляющая коммерческую тайну" перекликается с "конфиденциальной информацией", хотя в тексте Закона встречаются оба этих термина. Исходя из анализа норм законодательных актов, образующих отрасль информационного права России, очевидно, что "информация, составляющая коммерческую тайну" не является синонимом "конфиденциальной информации" (хотя в определенных случаях она условно может быть использована в качестве такового), но является ее особой разновидностью.
К конфиденциальной информации, в свою очередь, относится не только информация, составляющая коммерческую тайну, но и следующие виды сведений:
сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
сведения, составляющие тайну следствия и судопроизводства;
сведения, доступ к которым ограничен органами государственной власти в соответствии с ГК РФ и федеральными законами (служебная тайна);
сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.);
сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них (Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 6 марта 1997 г. N 188).
Нередко перечисленные категории смешиваются. Например, известны попытки отнесения к информации, составляющей коммерческую тайну, некоторых видов персональных данных. Персональные данные, как уже было отмечено, представляют собой сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
В литературе предложено более емкое определение этой категории: "сведения о личности, которые включаются в информационную систему государственных, общественных и частных, корпоративных организаций по инициативе индивида или в силу закона в целях реализации его прав и обязанностей в процессе участия в самых разных социальных процессах и отношениях. Это та часть частной жизни, которая определенным образом представлена и присутствует в публичном и гражданском секторах правовых отношений индивида с другими субъектами права" <*>.
--------------------------------
<*> Бачило И. Персональные данные в сфере бизнеса // Закон. 2002. N 12. С. 26 - 27.
Определению правового статуса персональных данных на международном уровне, в частности, посвящены:
Директива 95/46/ЕС о защите прав частных лиц в отношении обработки персональных данных и о свободном движении персональных данных;
Директива 97/66/ЕС об обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе.
Порядок получения и использования персональных данных в процессе трудовых отношений регламентируется гл. 14 "Защита персональных данных работника" Трудового кодекса РФ. Для целей ТК РФ персональные данные работника определены как информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника; получение, хранение, комбинирование, передача или любое другое использование персональных данных работника сведено к общему понятию "обработка персональных данных работника".
Безусловно, незаконное получение и использование персональных данных индивидуального предпринимателя или сотрудников руководящего звена фирмы может нанести ущерб их бизнесу. Сведения о частной жизни рядовых сотрудников в руках шантажистов могут служить инструментом для получения более ценной информации о "судьбах предприятия". Однако правовые режимы информации, составляющей коммерческую тайну, и персональных данных различны по содержанию. Охрана последних обеспечивается в основном за счет норм о неприкосновенности частной жизни.
4. Режим коммерческой тайны - это меры по охране конфиденциальности информации, составляющей коммерческую тайну.
Данные меры принято делить на правовые, организационные и технические, которые тесно взаимосвязаны между собой. Более того, большинство превентивных мер изначально включают в себя и правовую, и организационную, и техническую составляющие. Например, чтобы воплотить в жизнь какое-либо техническое решение в области безопасности на предприятии (например, внедрить систему шифрования в корпоративную информационную сеть), необходимо сначала найти ему юридическое обоснование, собрать необходимые разрешения на проведение соответствующих работ (если они требуют лицензирования или прохождения иных процедур, предусмотренных законодательством), продумать возможные последствия такого внедрения (например, возможность нарушения конституционных и иных прав сотрудников). Затем нужно разработать ряд внутрифирменных инструкций (положений, приказов) и провести полномасштабное обучение персонала компании. Другими словами, во исполнение одной технической меры необходимо зачастую принять множество мер юридического и организационного характера. Точно так же во исполнение одной меры безопасности организационного плана, например усиления режима доступа на объект или организации системы фиксирования посещений этого объекта, необходимо внедрить различные технические (электронные) устройства, и это должно быть сделано грамотно не только технически, но и юридически.
Проиллюстрируем сказанное на примере таблицы мер по защите документации, предложенной Э.Я. Соловьевым <*>:
--------------------------------
<*> Соловьев Э.Я. Коммерческая тайна и ее защита. М.: Ось-89, 2001. С. 23.
--------------------T--------------------T---------------------¬
¦ Организационные ¦ Технические меры ¦ Специальные меры ¦
¦ меры ¦ ¦ ¦
+-------------------+--------------------+---------------------+
¦Работа с людьми ¦Установка ¦Применение средств ¦
¦ ¦сигнализации ¦защиты ¦
¦ ¦и контроль ¦от копирования ¦
¦ ¦за ее работой ¦документов ¦
+-------------------+--------------------+---------------------+
¦Контроль режима ¦Использование ¦Применение ¦
¦защиты документов ¦специальных замков ¦устройств скрытого ¦
¦ ¦и других средств ¦фиксирования ¦
¦ ¦ ¦незаконного доступа ¦
¦ ¦ ¦к документам ¦
+-------------------+--------------------+---------------------+
¦Определение формы ¦Использование ¦Защита ¦
¦и содержания ¦устройств ¦от промышленного ¦
¦документов ¦для уничтожения ¦шпионажа ¦
¦ ¦документов ¦ ¦
+-------------------+--------------------+---------------------+
¦Классификация ¦Обеспечение ¦Проведение ¦
¦и простановка ¦сотрудников сейфами ¦служебного ¦
¦грифа ¦и специальными ¦расследования при ¦
¦ ¦контейнерами для ¦утере документов ¦
¦ ¦хранения документов ¦ ¦
L-------------------+--------------------+----------------------
Каждая из перечисленных мер сама по себе достаточно емкая и может включать в себя множество более простых по содержанию мер, за счет которых она и реализуется. Однако такие категории, например, как "работа с людьми" и, тем более, "защита от промышленного шпионажа", вообще некорректно именовать мерами, поскольку одна такая "мера" может включать в себя абсолютно все охранные мероприятия, проводимые в организации (и не только в отношении доступа к информации, составляющей коммерческую тайну).
Технические меры охраны конфиденциальности информации с течением времени приобретают все большее значение. Большинство предприятий, организаций и учреждений имеют доступ к сети Интернет, которая, являясь открытой информационной средой, представляет широкие возможности для различных злоумышленных действий в отношении информации и объектов интеллектуальной собственности, таких, например, как интернет-сайты и программное обеспечение.
Так называемые хакеры являются сегодня, пожалуй, самой серьезной угрозой для компьютерных информационных ресурсов конфиденциального свойства. Изначально "хакерами" называли тех, кто изучает системы или технологии без ущерба их нормальному функционированию, пытаясь разобраться в них и/или усовершенствовать (в большинстве случаев - бескорыстно). К тем же злоумышленникам, которые "вламываются" в чужие компьютерные системы в корыстных целях или просто из "спортивного азарта", больше подходит определение "крэкер" (от англ. crack - ломать). Но компьютерная лексика эволюционировала так, что общеопределяющим для компьютерных злоумышленников стал термин "хакер", а не "крэкер".
Деятельность хакеров принимает масштабы, поистине угрожающие не только безопасности отдельно взятых субъектов бизнеса, но и государства в целом. Для примера: в 2003 г. только на сайт Президента РФ было осуществлено около 100000 компьютерных атак (т.е. приблизительно по 274 хакерские атаки в день или 11 атак в час). Всего же число зарегистрированных атак на интернет-представительства органов государственной власти РФ в 2003 г. превысило 730000 <*>.
--------------------------------
<*> Горбачев В.С. Концептуальные вопросы применения средств криптографической защиты информационных систем // Материалы Всероссийской конференции "Информационная безопасность в условиях глобального информационного общества - ИНФОФОРУМ" (журнал "Бизнес и безопасность в России". Сентябрь 2004 г. С. 20).
Для предотвращения несанкционированного доступа к конфиденциальным ресурсам со стороны Интернет обычно применяют так называемое защищенное подключение. Осуществляется разграничение "доверенной" (контролируемой) вычислительной сети от остального киберпространства, реализуемое при помощи межсетевых экранов. Важную роль также играет разграничение потоков информации между сегментами сети, которые соответствуют разным уровням конфиденциальности <*>.
--------------------------------
<*> Погуляев В., Теренин А. Сохранность информации - залог здоровья бизнеса // Бизнес-адвокат. 2004. N 14.
Одной из базовых функций средств защиты автоматизированных систем и хранящейся в них информации также является обнаружение атак. Существующие системы обнаружения атак представляют собой специализированные программно-аппаратные комплексы, состоящие из следующих компонентов <*>:
--------------------------------
<*> Сердюк В.А. Новое поколение систем обнаружения и предотвращения информационных атак // Материалы Всероссийской конференции "Информационная безопасность в условиях глобального информационного общества - ИНФОФОРУМ" (журнал "Бизнес и безопасность в России". Сентябрь 2004 г. С. 95).
модули-датчики, предназначенные для сбора необходимой информации о функционировании автоматизированной системы;
модуль обработки данных, собранных датчиками, с целью обнаружения информационных атак;
модуль реагирования на обнаруженные атаки;
модуль хранения данных, в котором хранится вся конфигурационная информация, а также результаты работы системы обнаружения атак;
модуль управления компонентами системы обнаружения атак.
Из комментируемой дефиниции Закона следует, что обладателем информации, составляющей коммерческую тайну, могут приниматься не только правовые, организационные и технические, но и "иные меры" для обеспечения конфиденциальности данной информации.
Так, в качестве специфических средств обеспечения безопасности, в том числе информационной, на объектах можно выделить химические средства (имеющие, правда, техническую направленность). Самое распространенное из них - химическая ловушка.
В соответствии с Инструкцией о порядке применения химических ловушек в раскрытии краж имущества, находящегося в государственной, муниципальной, частной собственности и собственности общественных объединений (организаций), утвержденной Приказом МВД России от 11 сентября 1993 г. N 423, это снаряженные (обработанные) специальными химическими веществами (красящими или запаховыми) приспособления или устройства, закамуфлированные под различные предметы (в нашем случае это могут быть, например, папки или коробки с конфиденциальными документами), с помощью которых такие вещества переносятся на тело и одежду человека.
По своей сути химические ловушки весьма разнообразны. В большинстве принцип их действия прост: попадая на кожу злоумышленника, вещество не смывается в течение нескольких дней. Но иногда химическому веществу придают такие свойства, благодаря которым оно не оставляет ярких пятен, а становится заметно лишь при попадании на него лучей света определенным образом. Правонарушитель может этого не знать и, соответственно, не принять мер предосторожности при появлении на людях. Такие ловушки наиболее действенны. Вместе с тем их применение может повлечь нарушение личных неимущественных прав граждан, в частности чести, достоинства и репутации. Ведь если сотрудник, одежда или кожа которого испачканы химическим веществом, "засветится" в кругу коллег, его доброе имя пострадает как минимум в рамках данной организации, даже если он впоследствии будет признан невиновным.
В определенных условиях использование химических ловушек может быть расценено как средство получения информации о личности без ее ведома и согласия, что является нарушением положений Конституции РФ. Поэтому к использованию ловушек скрытого действия следует подходить особенно осторожно <*>.
--------------------------------
<*> Подробнее см.: Погуляев В.В. Правовые аспекты применения химических ловушек // Защита информации. Конфидент. 2004. N 3 (57). С. 26 - 28.
Отметим, что превентивные меры, предпринимаемые обладателем информации, составляющей коммерческую тайну, в целях обеспечения ее конфиденциальности, должны быть адекватны ценности указанной информации. Обладатель информации должен не только осознавать риск утери своей монополии в отношении ее, но и прогнозировать, какие меры (средства) могут быть использованы третьими лицами для получения доступа к ней.
В некоторых случаях обязанность обладателя информации принимать в отношении ее превентивные меры установлена законодательством. Так, согласно ст. 771 ГК РФ, если иное не предусмотрено договорами на выполнение научно-исследовательских, опытно-конструкторских и технологических работ, стороны обязаны обеспечить конфиденциальность сведений, касающихся предмета договора, хода его исполнения и полученных результатов.
Наряду с этим в ст. 771 ГК РФ говорится о том, что объем сведений, признаваемых конфиденциальными, определяется в договоре, и каждая из сторон обязуется публиковать полученные при выполнении работы сведения, признанные конфиденциальными, с согласия контрагента. Таким образом, стороны договоров на выполнение НИОКР полностью свободны в определении объема конфиденциальных сведений, в любой момент могут сделать их общедоступными по обоюдному согласию и, кроме того, учитывая диспозитивный характер нормы, могут установить в договоре "иное", т.е. заведомо придать описаниям и результатам НИОКР статус неконфиденциальной информации.
Нельзя не обратить внимания на то обстоятельство, что выбор превентивных мер, необходимых для обеспечения конфиденциальности соответствующих ресурсов информации, составляющей коммерческую тайну, и объединение их в четко работающую систему мер информационной безопасности организации - процесс интеллектуальный и достаточно трудоемкий. Одни хозяйствующие субъекты для этого заказывают проведение дорогостоящих исследований, осуществляют подбор соответствующих кадров, которые смогли бы оценить текущее состояние информационной безопасности предприятия и создать надежную систему контроля за использованием коммерчески значимой информации и доступом к ней. Другие субъекты рынка идут более "дешевым" (с их точки зрения) путем, снабжая грифами конфиденциальности (см. подп. 5 п. 1 ст. 10 и комментарий к нему) все документы и носители информации без разбора (для верности). Однако перебор в использовании превентивных мер, препятствующих общей доступности к информации, равно как и ее утечка, может привести к неблагоприятным последствиям, как-то:
излишняя формализация отношений, отрицательно сказывающаяся на производительности труда;
недовольство и увольнение ценных кадров и, как следствие, вероятность еще большей утечки конфиденциальной информации;
споры с антимонопольными органами, судебные тяжбы и издержки.
5. Обладателем информации, составляющей коммерческую тайну, является лицо, которое:
владеет информацией, составляющей коммерческую тайну, на законном основании;
ограничило доступ к этой информации;
установило в отношении этой информации режим коммерческой тайны.
Второй и третий признаки обладателя информации, составляющей коммерческую тайну, представляются идентичными по своему содержанию, поскольку ограничение доступа к указанной информации - неотъемлемая (а зачастую и единственная) составляющая режима коммерческой тайны.
6. Под "доступом к информации, составляющей коммерческую тайну" понимается ознакомление определенных лиц с этой информацией, осуществляемое на законном основании (в том числе с согласия ее обладателя) и при условии сохранения конфиденциальности этой информации. Норма не называет способы и средства для предоставления доступа. Поэтому доступ к информации, составляющей коммерческую тайну, может предоставляться любыми способами и с помощью любых средств по согласованию между обладателем информации и лицом, которому предоставляется доступ.
7. Под "передачей информации, составляющей коммерческую тайну" Закон понимает передачу указанной информации ее обладателем контрагенту на основании договора в объеме и на условиях, которые предусмотрены договором, включая условие о принятии контрагентом установленных договором мер по охране ее конфиденциальности. При этом передаваемая таким образом информация, составляющая коммерческую тайну, должна быть обязательно зафиксирована на материальном носителе. Передача информации в устной форме не является "передачей информации, составляющей коммерческую тайну" по смыслу комментируемого Закона.
8. Под "контрагентом" в комментируемом Законе понимается сторона гражданско-правового договора, которая получила информацию, составляющую коммерческую тайну, от ее обладателя.
Лицо, состоящее с обладателем информации, составляющей коммерческую тайну, в трудовых отношениях, использующее данную информацию в процессе выполнения своих трудовых функций и принявшее на себя обязательства по сохранению ее конфиденциальности, не является контрагентом в смысле положений комментируемого Закона.
9. Закон предусматривает дефиницию, схожую с уже рассмотренной выше "передачей информации, составляющей коммерческую тайну" (см. п. 7 комментария к настоящей статье), - "предоставление информации, составляющей коммерческую тайну". Два указанных понятия практически аналогичны по содержанию, за исключением субъективного состава. Если "передача информации..." осуществляется между обладателем информации и его контрагентом, то субъектами, получающими доступ к информации, составляющей коммерческую тайну, в результате "предоставления...", являются органы государственной власти, иные государственные органы, органы местного самоуправления.
Предоставление информации осуществляется исключительно в целях выполнения функций указанных органов.
О порядке предоставления информации, составляющей коммерческую тайну, см. статью 6 и комментарий к ней.
10. Разглашение информации, составляющей коммерческую тайну, - это действие или бездействие, в результате которого информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.
Наряду с разглашением в законодательстве и литературе встречаются и другие понятия, связанные с несанкционированным получением информации третьими лицами и влекущие полную или частичную (в том числе временную) потерю субъектом фактической монополии в отношении своей конфиденциальной информации. Среди них можно назвать следующие:
"утечка информации" - процесс, в результате которого информация стала известной определенному лицу (кругу лиц), несмотря на наличие охранных мер, принятых законным владельцем информации (может произойти как в результате активных действий, например хищения или разглашения информации, так и в результате оплошности ее владельца или недостаточности принятых им превентивных мер);
"хищение информации" - нарушение режима доступа к информации посредством активных противоправных действий, направленных на получение данной информации;
"утрата информации" - это: 1) утрата контроля за информацией, произошедшая в результате ее утечки, в том числе разглашения, хищения или копирования; 2) потеря, порча, блокирование, уничтожение или хищение единственного носителя данной информации и невозможность ее восстановления (в этом смысле можно различать временную и окончательную утрату); 3) утрата целостности или первоначальных свойств информации, в том числе в результате подмены, искажения или модификации информации;
"искажение информации" - процесс (событие), в результате которого произошли изменения в содержании или форме представления информации без воли на то ее владельца, повлекшие потерю первоначальных свойств данной информации;
"подделка информации" - создание документа одним субъектом с целью выдачи его за документ другого субъекта, не имеющего к созданию данного документа никакого отношения (первый субъект при создании поддельного документа обычно использует реквизиты, идентифицирующие второго субъекта);
"уничтожение информации" - несанкционированное действие, которое может заключаться в стирании информации в памяти компьютера или с иных носителей, невосстановимой порче бумажного документа и т.д., направленное на потерю данной информации ее законным владельцем;
"модификация информации" - как правило, заключается в несанкционированном внесении изменений в документ;
"копирование информации" - ее дублирование и устойчивая фиксация на каком-либо материальном носителе, которые не влекут порчи или уничтожения оригинала (носителя, с которого делается копия);
"блокирование информации" - также не связанное с уничтожением или порчей активное действие, результатом которого является затруднение доступа к информации.