Geum.ru
   Книги по разным темам

Опыт законотворческого решения проблем информационной безопасности

Доклад на V Международной конференции Право и Интернет

Николай Дмитрик

юрист фирмы "Парк-Медиа-Консалтинг"

Докладчик в рамках экспертной группы участвовал в разработке проекта федерального закона, регулирующего отношения в области информационной безопасности. В докладе представлена информация об основных вопросах, возникших в процессе подготовки текста законопроекта, и предложенных путях их решения.

1. Вопрос о необходимости такого закона, его предмете и месте в системе.

Идея закона об информационной безопасности периодически обсуждается в среде ИТ-экспертов применительно к отдельным аспектам информационной безопасности (например, борьба со спамом,1 подслушивающими устройствами, программными и аппаратными закладками), либо с точки зрения комплексного решения всех или большинства проблем информационной безопасности2. Опыт разработки и принятия законов об информационной безопасности есть у некоторых зарубежных законодателей, в частности, попытки принятия такого закона предпринимались в Белоруссии (неудачно) и Польше (удачно)3.

Необходимость разработки законопроекта об информационной безопасности была предопределена в рамках следующего подхода. Действующий в настоящее время Федеральный закон "Об информации, информатизации и защите информации" устарел и уже не отвечает запросам складывающихся общественных отношений. Его необходимо заменить пакетом федеральных законов, одним из которых и должен стать закон "Об информационной безопасности". В этот закон из существующего должны перейти нормы о защите информации, которые, в совокупности с другими нормами, и должны предопределить предмет закона.

Однако вопрос о предмете закона "Об информационной безопасности" решается весьма непросто. Очевидно, что нормы о защите информации должны составить костяк закона, однако ограничиться только ими не представляется возможным, так как они не исчерпывают сферу правового регулирования в области информационной безопасности. Доктрина информационной безопасности, в свою очередь, трактует предмет государственного регулирования в сфере информационной безопасности чересчур широко, включая в него, в частности развитие современных информационных технологий и выход соответствующих видов продукции на мировой рынок.

В итоге к предмету разрабатываемого законопроекта были отнесены следующие группы общественных отношений:

  1. По защите информации
  2. По защите от информации, нарушающей права граждан и организаций, а также иных лиц
  3. По обеспечению доступа к информации.

Эти группы отношений относятся к информационной безопасности в собственном смысле слова, т.е. безопасности в информационной сфере, а не в сфере информационных и коммуникационных технологий в целом (в последнем случае предмет закона был бы чересчур широким).

Кроме того, именно эти отношения представляют наибольшую важность в информационной сфере, от их обеспечения и зависит информационная безопасность. При этом обеспечение интересов в рамках каждой группы общественных отношений не должно нарушать интересов участников других групп отношений.

Еще одним важным вопросом, решение которого требует принятия специального закона, является вопрос о пределах действий государства, организаций и граждан по обеспечению информационной безопасности. Практика показывает, что под прикрытием так называемых "интересов информационной безопасности" совершаются действия, нарушающие права организаций и граждан в информационной сфере: обеспечение информационной безопасности в сфере массовой информации может привести к цензуре, защита от спама – к блокированию информационного обмена, контроль за распространением информации террористами – к нарушению тайны сообщений граждан. Нормы, устанавливающие пределы действий по обеспечению информационной безопасности и при этом учитывающие необходимость защиты прав и интересов частных лиц и государства в этой сфере, должны составить особый, и довольно значительный, массив в составе информационного законодательства.

2. Информационная безопасность как предмет законопроекта.

егальное понятие информационной безопасности дано в Доктрине информационной безопасности: "Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства". Данное понятие отличается значительной аморфностью, прежде всего из-за использования словосочетания "состояние защищенности": "защищенность", как и "безопасность" является субъективной категорией, и не может быть подвергнута количественной и качественной оценке. К сожалению, найти более приемлемую формулировку не удалось, однако была поставлена под вопрос сама возможность обозначения информационной безопасности как предмета федерального закона.

Предметом правового регулирования может быть не информационная безопасность сама по себе, но деятельность по ее обеспечению. Соответственно, если информационная безопасность – это защищенность прав в информационной сфере, то обеспечение информационной безопасности – это собственно защита прав (права на информацию - прежде всего). Защита прав и должна составить предмет соответствующего Федерального закона: в нем должны быть обозначены способы и пределы защиты прав, основания и формы ответственности за их нарушение.

3. Состав норм законопроекта.

Нормы законопроекта, адресованные государственным органам и должностным лицам, различаются. Главным отличием является то, что права и обязанности государственных органов по обеспечению информационной безопасности должны быть сформулированы в законе исчерпывающим образом, в то время как для частных лиц в законе должны быть установлены только общие ограничения. Это связано с тем, что закон должен устранить возможности ограничения государственными органами прав частных лиц в информационной сфере под предлогом обеспечения информационной безопасности: методы и пределы властной деятельности государственных органов в информационной сфере должны быть перечислены в законе в виде закрытого перечня.

В то же время, закон не может прямо предписывать частным лицам формы и способы обеспечения информационной безопасности этих лиц. Законом должны устанавливаться только пределы действий частных лиц по обеспечению информационной безопасности, ограничения на использование некоторых методов обеспечения информационной безопасности.

4. Специальные институты законопроекта

Совершенствование правового регулирования в области информационной безопасности потребовало разработки следующих законодательных конструкций:

4.1. Защита от информации, нарушающей права граждан, организаций, государства, а равно создающей угрозу такого нарушения. В отличие от белорусского законопроекта, который гарантировал право граждан на защиту от пропаганды вражды, насильственного изменения конституционного строя, право на защиту от искаженной, недостоверной, неполной информации (и именно поэтому был отклонен), проект Федерального закона "Об информационной безопасности" не должен содержать положений о гарантированности права на защиту от информации. Защита от информации, нарушающей права государства и частных лиц – та сфера общественных отношений, где необходимо очень четко соблюдать баланс интересов между правом на информацию (а также правом распространять информацию) и правом на защиту от информации. В связи с этим в законе должны быть исчерпывающе определены методы деятельности государства по защите от информации, а на частных лиц должны быть наложены серьезные ограничения по использованию отдельных методов защиты от информации, таких как ограничение доступа к источникам распространения информации или ограничение распространения информации.

4.2. Пределы осуществления прав в информационной сфере.

Понятие пределов осуществления и защиты прав хорошо разработано в гражданско-правовой науке4, но практически не применяется в других отраслях права. Между тем, отношения по обеспечению информационной безопасности организациями и гражданами носят по преимуществу частноправовой характер, а значит, частноправовая конструкция пределов осуществления и защиты прав применима к этим отношениям.

Законодательное определение пределов осуществления прав в информационной сфере позволяет разграничить случаи нормального осуществления прав и осуществления прав с выходом за пределы. В последнем случае можно говорить о том, что имеет место особый вид правонарушения – злоупотребление правами в информационной сфере.

4.3. Злоупотребление правами в информационной сфере. Состав данного нарушения предполагает наличие у нарушителя определенного права в информационной сфере; однако способ реализации принадлежащего лицу права в этом случае входит в противоречие с назначением самого права. Типичным примером является массовое распространение незапрашиваемой информации – спам, которое представляет из себя злоупотребление правом на распространение информации.

Факт злоупотребления правами в информационной сфере является основанием для применения к нарушителю мер ответственности, предусмотренных самим законом, а также законодательством об административных правонарушениях.

В настоящее время состав ответственности за злоупотребление правами в информационной сфере предусмотрен только для СМИ, и объем правонарушений, на которые он распространяется, сравнительно узок. Между тем, при правильном закреплении данного состава в законе, действенность соответствующих норм может быть весьма высока.

5. Итоги работы на настоящий момент.

В результате теоретических разработок проблем обеспечения информационной безопасности была выявлена необходимость создания специального массива норм, регулирующих отношения в этой области. Были определены основные характеристики предмета правового регулирования в области обеспечения информационной безопасности, т.е. определены группы общественных отношений, являющихся предметом регулирования специального закона. Были сконструированы специальные институты, которые должны выступать в качестве необходимых элементов механизма правового регулирования в области обеспечения информационной безопасности.

Все это позволяет говорить о возможности принятия специального закона, посвященного обеспечению информационной безопасности. Между тем, нормы, касающиеся обеспечения информационной безопасности, могут войти в состав акта более общего характера, например, новой редакции закона "Об информации, информатизации и защите информации".

Принципиальным является то, что регулирование отдельных отношений в сфере информационной безопасности (только отношений по защите информации или только отношений по защите от информации) будет гораздо менее эффективным, чем регулирование этих отношений в своей совокупности. В последнем случае возможно будет создать единый механизм обеспечения и защиты прав в информационной сфере.

1

2

3

4 См., например: Грибанов В.П. Пределы осуществления и защиты гражданских прав. М.1972

   Книги по разным темам