Правовые пробелы породили электронный беспредел

Активное развитие информационных технологий в последнее десятилетие привело к тому, что существующее законодательное регулирование в этой сфере зачастую оказывается несовершенным или отсутствует вообще.
На проходившем в Таврическом дворце Международном Конгрессе "Доверие и безопасность" как раз и обсуждались вопросы правового обеспечения развития информационных коммуникаций, безопасности информационных ресурсов, сетей фиксированной и мобильной связи, противоправного применения компьютерных технологий.
Участники конгресса сформировали единую скоординированную позицию стран СНГ по вопросам укрепления доверия и безопасности в информационных коммуникациях, обратив особое внимание на меры по дальнейшему совершенствованию законодательной базы в этой области.
Проблемы правового обеспечения информационной безопасности (ИБ) отражены в Концепции национальной безопасности, утвержденной Указом Президента РФ в январе 2000 года, а в сентябре того же года была утверждена Доктрина информационной безопасности РФ, в которой совершенствование правового обеспечения рассматривается как приоритетное направление государственной политики. Однако эти документы не охватывают всего спектра возникающих вопросов.
"Сложность правового обеспечения ИБ состоит в том, что это базовое понятие сформулировано в доктрине достаточно широко, применительно к различным сферам правоотношений, в рамках которых используются информационные технологии и сети связи, - считает Елена Волчинская, советник аппарата Комитета Государственной думы по безопасности. - Эти сферы регулируются различными отраслями права, в связи с чем возникают задачи адаптации существующих норм к новым условиям осуществления правоотношений. Более того, кроме правовых механизмов в обеспечении ИБ важную роль играют организационно-технологические меры, а также этические принципы.
В рамках совершенствования законодательства необходимо принять ФЗ, регулирующий отношения в области сбора, хранения и распространения персональных данных, защиты личной и семейной тайны, неприкосновенности частной жизни. Также необходимо создать правовые условия для широкого использования средств криптозащиты персональной информации; создать организационный механизм реализации прав граждан на доступ к информации органов государственной власти и органов местного самоуправления; создать механизм правовой защиты коммерческой и служебной тайны. Сегодня требует юридического определения правовой статус доменных имен.
Среди законопроектов, внесенных в настоящее время в Государственную думу, особый интерес представляют: проект ФЗ "О внесении изменений и дополнений в ФЗ "О связи" (новая редакция), проект ФЗ "Об электронной торговле", "Об электронном документе", "О коммерческой тайне". Однако с позиций обеспечения информационной безопасности ряд положений этих законопроектов требуют доработки. Закон о защите персональных данных "завис" в Госдуме, так как еще до конца не определено, кто же будет защищать эти данные. Отсутствие ФЗ "О коммерческой и служебной тайне" способствует коррумпированности во властных структурах. На сегодняшний день Правительством РФ подготовлен и внесен в Госдуму ФЗ "О коммерческой тайне", но, к сожалению, на мой взгляд, он требует существенных доработок, так как не защищает российские ноу-хау от утекания за рубеж. Сейчас в Минэкономразвития готовится ФЗ "О доступе к информации органов государственной власти".
Необходимо уточнить и дополнить положения ФЗ "О государственной тайне", а также законодательно структурировать массив конфиденциальной информации и установить основы различных режимов конфиденциальности. Действующий ФЗ "О Государственной тайне" явно устарел. Получается так, что этот закон работает на интересы недобросовестных чиновников. Важно четко определить, какая информация должна относиться к государственной тайне".

***
КОММЕНТАРИИ
Андрей Павлов, адвокат, руководитель комитета "Юридические вопросы инфокоммуникаций" Ассоциации документальной электросвязи:
"Потребность в научном исследовании юридических аспектов во многом связана с многосистемностью правовой основы ИБ. Точно так же, как не может существовать законодательства об интернете, не существует отдельного автономного законодательства об ИБ.
Каждое государство обладает достаточным административным ресурсом для борьбы с посягательствами на собственные интересы. Права и законные интересы личности и бизнеса в аспекте обеспечения ИБ гарантированы гораздо меньше, кроме того, нередко потенциальным источником угроз здесь выступает и само государство. В этой связи весьма важны юридические механизмы для сбалансирования частных и публичных интересов в информационной сфере (например, при проведении оперативно-розыскных мероприятий на сетях связи).
Специфика субъективного права на информацию во многом заключается в необходимости целой системы юридических гарантий-обязанностей. Так, реализация прав на личную тайну, персональные данные практически невозможна без наличия обязанности хранить профессиональную тайну (для негосударственных структур) и обязанности хранить служебную тайну (для органов государства). Случай с разглашением базы данных МТС - наглядное тому подтверждение.
Однако законодательные механизмы для борьбы с нарушениями прав и законных интересов в целом уже имеются - не хватает активности самих граждан и представителей бизнеса. Приводя в пример вышеупомянутый случай с базой данных МТС, нельзя не сказать, что пока никто из клиентов не проявил инициативу в защите собственных интересов и не обратился с иском к оператору связи".
Александр Карпов, генеральный директор ЗАО "Удостоверяющий центр":
"Одной из главных задач Федеральной целевой программы "Электронная Россия" является создание в России межведомственной системы защищенного юридически значимого электронного документооборота. Обеспечение юридической значимости электронного документооборота в масштабах государства должно достигаться созданием федеральной системы удостоверяющих центров (УЦ).
Закону "Об электронно-цифровой подписи" (ЭЦП) исполняется год. Что мы имеем? В настоящее время Указ Президента о назначении уполномоченного федерального органа (УФО) не подписан. Это означает, что удостоверяющим центрам негде зарегистрировать свой корневой сертификат, т. е. создаваемые ими в разных регионах цепочки сертификатов не пересекаются пока в единой точке. Положение неправильное, однако не выходящее за рамки правового поля, поскольку закон предусматривает переходный период (ст. 21).
Участники электронного документооборота сами не имеют возможности отслеживать корректность работы УЦ. Поэтому в целях защиты прав потребителей законом предусмотрено регулирование деятельности этих центров со стороны государства посредством лицензирования (ст. 8). Однако в этом случае обнаруживается пробел в законодательстве. Удостоверяющие центры, описанные в Законе "Об ЭЦП", не упоминаются в ФЗ "О лицензировании отдельных видов деятельности". Поэтому непонятно, на каком основании государство может лицензировать деятельность этих центров. Чтобы преодолеть эту коллизию, предполагалось принять какой-либо временный документ, описывающий требования к удостоверяющим центрам.
В Законе "Об ЭЦП" (ст. 18) определено, что иностранный сертификат ключа подписи, удостоверенный в соответствии с законодательством иностранного государства, где этот сертификат ключа подписи зарегистрирован, признается на территории России в случае выполнения установленных российским законодательством процедур признания юридического значения иностранных документов. Указанные процедуры пока не разработаны, а значит, зарубежный юридически значимый документооборот пользователю открытых систем пока недоступен.
На первый взгляд, организация работы УЦ с клиентом проста и понятна. Пользователь приобретает и устанавливает у себя СКЗИ для формирования и проверки ЭЦП (лицензия для этого не нужна), затем в соответствии с эксплуатационной документацией изготавливает секретный и парный ему открытый ключ; секретный оставляет у себя, а открытый выдает удостоверяющему центру для изготовления цифрового сертификата.
Администратор УЦ должен лично идентифицировать клиента и проверить его полномочия. Практика показывает, что при работе с государственными учреждениями это не всегда возможно. Например, организация нашей работы с администрацией Петербурга построена следующим образом.
Губернатором издано распоряжение, в соответствии с которым на Комитет по информатизации и связи возложено исполнение функций уполномоченного органа, обеспечивающего правовое регулирование в области использования электронной цифровой подписи. Комитет по информатизации и связи собирает заявки от органов исполнительной власти города и за своей подписью готовит консолидированную заявку в удостоверяющий центр. Полномочия и зона ответственности всех участников процесса регламентированы государственным контрактом между комитетом и удостоверяющим центром, регламентом работы и внутренними нормативными документами администрации.
Работа с администрацией города привела к работе со взаимодействующими с ней предприятиями и организациями города. Так, по договору с Комитетом экономического развития, промышленной политики и торговли в городе создаются информационно-методические центры, где поставщики товаров и услуг могут получить полный комплект услуг для участия в системе государственных и муниципальных закупок на основе современных интернет-технологий с использованием электронной цифровой подписи".
Леонид Ухлинов, начальник Управления спецтехники и автоматизации таможенных технологий Государственного таможенного комитета Российской Федерации":
"В общей системе мер по совершенствованию таможенного администрирования, изложенных в Целевой программе развития таможенной службы России на 2001-2003 годы, важнейшее место занимают вопросы внедрения информационных технологий и автоматизированных систем управления в деятельность таможенных органов, использования электронной формы декларирования товаров и транспортных средств.
В 2002 году была начата серия экспериментов по внедрению в таможенных органах компонентов электронного декларирования. На Каширском посту Московской южной таможни была выпущена первая электронная ГТД, заверенная электронной цифровой подписью. ГТК России на практике было продемонстрировано намерение следовать требованиям Всемирной торговой организации и положениям Киотской конвенции об упрощении и гармонизации таможенных процедур на базе применения современных информационных технологий и электронной формы декларирования. В целях обеспечения безопасности информации, передаваемой декларантами таможенным органам при заявлении сведений о товарах и транспортных средствах в электронной форме, необходимых для таможенного оформления и таможенного контроля, была разработана и реализована технологическая схема защиты информации, передаваемой при декларировании в электронной форме. Базовым элементом, технически обеспечивающим создание правовых условий организации внутреннего защищенного электронного документооборота таможенных органов с применением ЭЦП, является ведомственный удостоверяющий центр ГТК России".