Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Постатейный комментарий Савельева к закону Об Информации

.rtf
Скачиваний:
440
Добавлен:
26.03.2016
Размер:
4.44 Mб
Скачать

9. В соответствии с ч. 8 ст. 14 Закона технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства РФ о техническом регулировании. Указанное законодательство регулирует вопросы, связанные с разработкой и применением обязательных требований к продукции, а также с порядком оценки соответствия продукции таким требованием. Одной из форм оценки соответствия является сертификация, которая может быть добровольной (при подтверждении соответствия продукции требованиям стандартов, соблюдение которых носит добровольный характер) и обязательной (при подтверждении соответствия продукции требованиям технических регламентов, требования которых являются общеобязательными).

Законодательство о техническом регулировании состоит, по общему правилу, из данного Закона, иных федеральных законов и иных нормативных правовых актов (ст. 4 ФЗ "О техническом регулировании"). К числу таких актов, имеющих непосредственно отношение к техническому регулированию в сфере государственных информационных систем, можно отнести Указ Президента РФ от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена". Данный Указ предусматривает, что при необходимости осуществления межведомственного взаимодействия с использованием сети Интернет государственных информационных систем, в которых используются сведения, составляющие государственную или служебную тайну, должны использоваться лишь шифровальные средства, прошедшие в установленном законодательством РФ порядке сертификацию в ФСБ России и (или) получившие подтверждение соответствия в Федеральной службе по техническому и экспортному контролю (ФСТЭК). Процесс такой сертификации установлен, в частности, Постановлением Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации", согласно которому технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ России.

Важно отметить, что ФЗ "О техническом регулировании" предоставляет достаточно широкие возможности для ведомственного нормотворчества в сфере установления технических требований к государственным информационным системам, правилам сертификации, стандартизации и т.д. в виде приказов, инструкций, распоряжений, имеющих обязательный характер. Хотя, по общему правилу, федеральные органы исполнительной власти вправе издавать в сфере технического регулирования лишь акты рекомендательного характера, исключениями являются случаи, установленные ст. ст. 5 и 9.1 ФЗ "О техническом регулировании". В соответствии со ст. 5 ФЗ "О техническом регулировании" в отношении продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, обязательными требованиями наряду с требованиями технических регламентов являются требования федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации. Фактически данное положение разрешает ведомствам превращать в обязательные требования, которые формально носят добровольный характер (например требования ГОСТов), особым образом регламентировать отношения, связанные с сертификацией, создавая тем самым параллельную систему законодательства в сфере технического регулирования применительно к продукции, связанной с национальной безопасностью.

Основными субъектами такого ведомственного правотворчества являются ФСТЭК России, ФСБ России, Министерство обороны РФ. О требованиях к средствам защиты информации, установленным данными органами, см. комментарий к ст. 16 Закона.

10. Часть 9 комментируемой статьи до недавнего времени содержало единственное упоминание об информационных ресурсах, оставшееся в наследство от Закона об информации 1995 г., в соответствии с которым под информационными ресурсами понимались "отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах)". Упоминание термина "информационный ресурс" в ч. 9 ст. 14 имеет адаптационный характер и используется для "привязки" положений нормативно-правовых актов, принятых во времена действия старого Закона, к положениям нового законодательства <1>. В связи с этим упоминание в них о государственных информационных ресурсах должно рассматриваться максимально широко: как любые сведения, содержащиеся в государственной информационной системе, или любые сведения и документы, имеющиеся в наличии у государственного органа.

--------------------------------

<1> См.: Якушев М. Комментарий Федерального закона "Об информации, информационных технологиях и о защите информации" // Хозяйство и право. 2007. N 1. С. 30.

После включения в состав Закона положений об ограничении доступа к информации, размещенной в сети Интернет, понятие информационный ресурс приобрело иное значение и стало использоваться в качестве обобщенного обозначения сайта в сети Интернет и (или) страницы сайта в сети Интернет, т.е. всего того, что можно заблокировать в рамках реализации соответствующего механизма блокировки (см., например, ст. ст. 15.2, 15.3, 15.4).

11. Информация, содержащаяся в государственных информационных системах, носит в соответствии с ч. 9 ст. 14 Закона официальный характер. Это означает, что содержащиеся в ней сведения не имеют статуса представленных "в информационных целях" и требующих особого подтверждения иным документом, исходящим от государственного органа. Соответственно, допустимо использование такой информации в качестве доказательства в ходе судопроизводства с соблюдением процессуальных требований к порядку ее предоставления (см. комментарий к ст. 11 Закона). Об обеспечении достоверности такой информации см. комментарий к п. 6 ст. 3 Закона.

Статья 15. Использование информационно-телекоммуникационных сетей

Комментарий к статье 15

1. Часть 1 ст. 15 содержит два основных положения: указание на неразрывную связь информационно-телекоммуникационных сетей с классическими сетями связи, что обуславливает применимость к определенным аспектам их использования законодательства о связи (см. подробнее комментарий к п. 4 ст. 2 Закона), а также общее положение по применимости российского законодательства к отношениям, связанным с использованием на территории РФ информационно-телекоммуникационных сетей, главным образом - сети Интернет. В последнем случае необходимо определить, что следует понимать под использованием сети Интернет на территории России, принимая во внимание трансграничный, децентрализованный виртуальный характер данной сети, для функционирования протоколов которой классические географические границы являются иррелевантными. Иными словами, необходимо определить критерии, при которых действие, совершенное в сети Интернет (размещение определенной информации на веб-сайте, осуществление деятельности, запрещенной на территории России, и т.д.), будет подпадать под юрисдикцию российских законов. Очевидно, что традиционные подходы к установлению юрисдикции, основанные на географических и формальных критериях, будь то физическое присутствие лица на территории России или размещение на территории России серверов или иной инфраструктуры, посредством которой совершаются соответствующие действия, далеко не всегда эффективны. С технической точки зрения мало что препятствует лицу размещать запрещенную информацию или делать доступными для приобретения российскими пользователями запрещенные к реализации на территории России товары (например наркотические средства) и сервисы (например азартные игры), находясь при этом за пределами России и используя исключительно зарубежную инфраструктуру. С другой стороны, тот факт, что события в сети Интернет происходят одновременно "везде" и "нигде конкретно", не должен означать, что любое лицо в сети Интернет обязано соблюдать российские законы только потому, что потенциально его действия могут затрагивать помимо всего прочего и территорию России, в связи с чем юрисдикционные критерии не должны быть чрезмерно экстерриториальными и обеспечивать достаточную гибкость. Представляется, что таким условиям вполне удовлетворяет широко используемый в зарубежной практике критерий направленной деятельности лица на территорию такого государства. Тот факт, что некая организация, не имеющая присутствия на территории РФ, извлекает выгоду от своей виртуальной деятельности в России, в частности, посредством предоставления своих сервисов российским пользователям либо получая доходы от размещения рекламы в русскоязычных сегментах сети Интернет, может являться достаточным основанием для распространения на нее действия российских законов и, соответственно, компетенции российских правоприменительных органов.

Отдельные проявления критерия направленности действия можно уже увидеть в положениях российского законодательства. Так, в соответствии с ч. 3 ст. 12 УК РФ иностранные граждане, совершившие преступление вне пределов РФ, подлежат уголовной ответственности по настоящему Кодексу в случаях, если преступление направлено против интересов РФ либо гражданина РФ или постоянно проживающего в РФ лица без гражданства. Но в наиболее явной форме критерий направленности проявляется в положениях ст. 1212 ГК РФ, согласно которой выбор права, подлежащего применению к договору с потребителем, не может повлечь за собой лишение такого потребителя защиты его прав, предоставляемой императивными нормами права страны места жительства потребителя, если контрагент потребителя (профессиональная сторона) осуществляет свою деятельность в стране места жительства потребителя либо любыми способами направляет свою деятельность на территорию этой страны или территории нескольких стран, включая территорию страны места жительства потребителя, при условии, что договор связан с такой деятельностью профессиональной стороны.

Представляется, что критерий направленности деятельности можно рассматривать в качестве универсального критерия применимости российских законов к отношениям, возникающим в сети Интернет. В частности, для решения вопроса о распространении законодательства о персональных данных на зарубежные интернет-сервисы, которые обрабатывают персональные данные российских граждан, локализация таких сервисов посредством наличия русскоязычной версии сайта, предоставление возможности их использования российскими пользователями посредством заключения соответствующих пользовательских соглашений, реклама таких сервисов в русскоязычном сегменте сети Интернет, использование персональных данных таких граждан в целях получения дохода от размещаемой рекламы - все это может свидетельствовать о направленности деятельности таких сервисов на территорию России, а следовательно, дает основания для вывода о том, что они осуществляют свою деятельность "на территории Российской Федерации" и должны соблюдать ее законодательство. Если же некий российский пользователь, обладая знанием китайского языка, регистрируется и использует сервисы китайской компании, то в отсутствие иных каких-либо доказательств осуществления такой компанией направленной деятельности на российский рынок (пользователей) оснований для распространения на нее требований российского законодательства, по общему правилу, быть не должно.

Следует отметить, что схожие подходы уже реализуются в зарубежных странах. В США для данных целей применяется доктрина "минимальных контактов" (International Shoe v. Washington, 326 U.S. 310 (1945); Yahoo! Inc., a Delaware Corporation, Plaintiff-appellee, v. La Ligue Contre Le Racisme et Lantisemitisme, a French Association; L'union Des Etudiants Juifs De France, a French Association, Defendants-appellants, 433 F.3d 1199 (9th Cir). 2006). Во Франции данный подход был реализован Парижским судом в решении от 15 мая 2000 г. по делу Ligue contre le racisme et et Union des juifs de France c. Yahoo! Inc. et Yahoo! В Австралии - в решении Верховного суда Австралии по делу Dow Jones & Co. Inc. v. Gutnik [2002] HCA 56, 210 CLR 575. Применительно к отношениям с участием потребителей критерий направленной деятельности носит общеевропейский характер и закреплен в ст. 15 Регламента ЕС от 22 декабря 2000 г. N 44/2001 "О юрисдикции, признании и исполнении судебных решений по гражданским и торговым делам" (Брюссель I) и ст. 6 Регламента ЕС от 17 июня 2008 г. N 593/2008 "О праве, применимом к договорным обязательствам" (Рим I). В проекте Регламента ЕС о защите персональных данных (General Data Protection Regulation) также планируется использовать критерий направленности деятельности для решения вопроса о пределах применениях его положений в отношении иностранных лиц (ст. 3 (2)) <1>.

--------------------------------

<1> Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation): http://ec.europa.eu/justice/data-protec-tion/document/review2012/com_2012_11_en.pdf.

Обеспечение соблюдения законодательства РФ при его экстерриториальном применении может осуществляться помимо всего прочего посредством блокировки доступа к веб-ресурсу такого интернет-сервиса на территории РФ, процедура которой содержится в Законе (см. ст. ст. 15.1 - 15.6 и комментарий к ним).

2. Регулирование отношений, возникающих в сети Интернет, должно осуществляться с учетом общепринятой международной практики деятельности саморегулируемых организаций в этой области (ч. 2 ст. 15 Закона). К числу таких организаций, деятельность которых имеет международный характер, можно отнести, в частности, следующие:

Общество Интернета (англ. Internet Society, ISOC). Данная международная организация была основана в 1992 г. и представляет собой организационную основу для множества других консультативных и исследовательских образований, включая инженерный совет Интернета (англ. Internet Engineering Task Force, IETF), которые сами по себе не имеют собственного юридического статуса, в связи с чем их финансирование было бы затруднено. В состав общества входят более 100 организаций и более 20 тыс. индивидуальных членов. Общество Интернета обладает правами на все документы механизма запроса комментариев (англ. Request for Comments, RFC), в котором сформулированы все основные технические спецификации и стандарты, применяемые в Интернете. Очевидно, что правовые нормы, затрагивающие технические аспекты функционирования сети Интернет, не могут не учитывать положения RFC, в противном случае они могут оказаться нереализуемыми на практике. Помимо стандартов RFC могут содержать концепции, описания новых направлений исследований, исторические справки, результаты экспериментов, руководства по внедрению технологий, предложения и рекомендации по развитию существующих стандартов и другие новые идеи в информационных технологиях;

Консорциум всемирной паутины (англ. World Wide Web Consortium, W3C), который включает в себя более 350 организаций и занимается разработкой и внедрением единых стандартов Интернета, направленных на обеспечение его развития в долгосрочной перспективе, в том числе посредством обеспечения сетевой совместимости ("интероперабельности"). Ключевым достижением консорциума является стандартизация языка гипертекстовой разметки HTML. Консорциум создан в 1994 г. на основании соглашения между Массачусетским технологическим институтом США, Европейским консорциумом по исследованиям в области математики и информатики (Франция) и университетом Кейо (Япония). Представительство W3C в России (http://w3c.org.ru) было открыто в 2012 г. с участием НИУ "ВШЭ";

Корпорация по управлению специализированными адресами и номерами (англ. Internet Corporation for Assigned Names and Numbers, ICANN) - международная некоммерческая организация, учрежденная в штате Калифорния, США, созданная 18 сентября 1998 г. при участии правительства США для регулирования вопросов, связанных с доменными именами, IP-адресами и прочими аспектами функционирования Интернета. ICANN несет общую ответственность за распределение IP-адресов и осуществляет общий контроль над управлением функциональными доменами (gTLD) <1> и национальными доменами высшего уровня (ccTLD). В России координатором национальных доменов верхнего уровня ".ru" и ".РФ" выступает Автономная некоммерческая организация "Координационный центр национального домена сети Интернет". Он обладает полномочиями по выработке правил регистрации доменных имен в указанных доменах верхнего уровня, аккредитации регистраторов и исследованию перспективных проектов, связанных с развитием российских доменов верхнего уровня. В настоящее время в качестве результата саморегулирования в указанной области можно рассматривать Правила регистрации доменных имен в домене .RU и .РФ, утв. решением Координационного центра национального домена сети Интернет от 5 октября 2011 г. N 2011-18/81 (в ред. от 20 сентября 2012 г.) <2>.

--------------------------------

<1> Длительное время система функциональных доменов верхнего уровня состояла из семи доменов. Домен.com был предназначен для коммерческих организаций, .org - для некоммерческих организаций, .net - для организаций, деятельность которых связана с Интернетом, .edu - для учреждений системы образования, .int - для международных организаций, .gov, .mil - соответственно для правительства и министерства обороны США. С 2001 года корпорация внедрила доменные зоны .info, .biz, .name, .coop, .museum, .aero, .pro, .travel, .jobs, .cat, .asia, .eu, .mobi, .tel, .tv. При этом в ICANN намерены и в дальнейшем следовать политике расширения адресного пространства за счет создания новых доменов верхнего уровня, в том числе с использованием символов национальных алфавитов.

<2> http://www.ccdd.ru/files/pdf/docs/rules_ru-rf.pdf?v=2

Другим результатом деятельности ICANN, получившим широкое распространение на практике, является принятая ею в 1999 г. альтернативная процедура рассмотрения споров, связанных с доменными именами: Единый регламент рассмотрения споров о доменных именах (англ. The Uniform Domain Names Dispute Resolution Policy, UDRP) <1>. UDRP изначально разрабатывался для разрешения споров и создания препятствий для недобросовестной регистрации доменных имен, а также использования товарных знаков в качестве доменных имен в функциональных доменах верхнего уровня (.aero, .asia, .biz, .cat, .com, .coop, .info, .jobs, .mobi, .museum, .name, .net, .org, .pro, .tel and travel), а также некоторых географических доменах верхнего уровня (.nl, .es, .au, .fr, .ch и др. <2>). Согласие с UDRP является необходимым условием заключения договора на регистрацию подобных доменных имен. Ряд положений UDRP уже нашли свое отражение в решениях судов РФ (см., например, Постановления Президиума ВАС РФ от 11 ноября 2008 г. N 5560/08, от 18 мая 2011 г. N 18012/10). Существуют и ряд других, более новых процедур, разработанных ICANN и представляющих собой примеры саморегулирования в сети Интернет: Единообразная процедура оперативного приостановления делегирования доменного имени URS (Uniform Rapid Suspension System), которая представляет собой упрощенный, более дешевый и оперативный вариант UDRP <3>; PDDRP (Post-Delegation Dispute Resolution Procedure), предоставляющая возможность обладателю прав на товарный знак предъявить требования, связанные с его нарушением использованием доменного имени, непосредственно в региональную регистратуру (для стран европейского региона - RIPE NCC), минуя администратора доменного имени и непосредственного регистратора доменного имени <4>.

--------------------------------

<1> http://www.icann.org/ru/dndr/udrp/policy-ru.htm

<2> Полный список см.: http://www.wipo.int/amc/en/domains/cctld/ .RU и .РФ в их число не входят, равно как и .US.

<3> http://newgtlds.icann.org/en/applicants/urs

<4> http://newgtlds.icann.org/en/program-status/pddrp

3. Часть 3 комментируемой статьи содержит положение о недопустимости дискриминации при регулировании определенных видов деятельности в зависимости от того, осуществляется ли она в онлайн- или оффлайн-режимах. Иными словами, технические аспекты реализации хозяйственной деятельности не должны, по общему правилу, влиять на ее регулирование, что является проявлением принципа технологической нейтральности (п. 8 ст. 3 Закона). С другой стороны, сам по себе факт использования сети Интернет при осуществлении деятельности не может служить основанием для освобождения от необходимости исполнения требований законодательства, применимых к такой деятельности (например, законодательства о защите прав потребителей, законодательства о рекламе и т.д.). К сожалению, общедоступной практики применения данного положения на данный момент нет, однако оно может представлять определенную ценность при оспаривании дискриминационных положений ведомственных актов, в том числе налоговых органов.

4. Часть 4 комментируемой статьи содержит ряд отсылочных норм, которые мало что добавляют нового по отношению к уже существующим положениям законодательства. В частности, речь идет об отсылочной норме, согласно которой федеральным законом может быть предусмотрена обязательная идентификация личности или организаций, использующих информационно-телекоммуникационную сеть при осуществлении предпринимательской деятельности. Необходимость такой идентификации предусмотрена, в частности, в ФЗ "Об электронной подписи" применительно к усиленной квалифицированной электронной подписи, устанавливая в качестве одного из условий ее действительности положительный результат проверки принадлежности владельцу сертификата электронной подписи, с помощью которой был подписан документ (п. 3 ст. 11 ФЗ "Об электронной подписи"). Схожие положения содержались и в ст. 4 ранее действовавшего ФЗ "Об электронной цифровой подписи" 2002 г.

Часть 4 комментируемой статьи также содержит положение, согласно которому получатель электронного сообщения, находящийся на территории РФ, вправе провести проверку, позволяющую установить отправителя электронного сообщения, а в установленных федеральными законами или соглашением сторон случаях обязан провести такую проверку. Не очень понятен смысл включения данной нормы в Закон в качестве отдельного положения, регулирующего порядок использования информационно-телекоммуникационных сетей, поскольку право лица произвести проверку личности, отправившей электронное сообщение, вытекает из принципа осуществления гражданских прав своей волей и в своем интересе (ст. 9 ГК РФ). Соответственно, лицо само решает, насколько целесообразна проверка подлинности полученного сообщения, исходя из конкретных обстоятельств и рисков, связанных с его возможной отправкой иным лицом, нежели заявленным. Также не очень понятно, в связи с чем данное право было ограничено в ч. 4 ст. 15 Закона лишь пользователями, находящимися на территории Российской Федерации, принимая во внимание трансграничный характер сети Интернет и возможность осуществления коммуникаций посредством данной сети из любой точки мира посредством мобильных устройств. Содержащаяся же в комментируемой статье оговорка о превращении данного права в обязанность в случаях, указанных в Законе, мало что добавляет по сравнению с тем, что уже было сказано в первом предложении ч. 4 ст. 15. А оговорка о том, что обязанность проверки может быть установлена договором, мало что добавляет по сравнению с положениями п. 2 ст. 160 ГК РФ, предоставляющими участникам сделки широкие возможности по регламентации в соглашении сторон вопросов использования иных аналогов собственноручной подписи и идентификации подписанта.

5. В соответствии с ч. 5 ст. 15 передача информации посредством использования информационно-телекоммуникационных сетей осуществляется без ограничений при условии соблюдения установленных федеральными законами требований к распространению информации и охране объектов интеллектуальной собственности. Данное положение является еще одной декларативно-отсылочной нормой, которая представляет собой повторение положений, содержащихся в п. 1 ст. 10 Закона о свободном распространении информации в РФ, и положений ст. 29 Конституции РФ. В качестве некоторой новеллы, которую вносит ч. 5 ст. 15 Закона, можно рассматривать разве что прямое упоминание необходимости защиты интеллектуальной собственности, что можно объяснить, по-видимому, политическими соображениями, а не формально-юридическими, поскольку специальные положения о блокировке пиратских веб-ресурсов появились в Законе лишь спустя семь лет.

6. Особенности подключения государственных информационных систем к информационно-телекоммуникационным сетям установлены в Постановлении Правительства РФ от 18 мая 2009 г. N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям". В частности, им предусмотрена обязанность операторов федеральных информационных систем, в которых содержатся сведения о деятельности Правительства РФ и иных федеральных органов исполнительной власти, обязательные для размещения в сети Интернет ("информационных систем общего пользования"), обеспечить:

- защиту информации, содержащейся в информационных системах общего пользования, от уничтожения, изменения и блокирования доступа к ней;

- постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования;

- восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более восьми часов;

- использование при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям средств защиты информации, прошедших оценку соответствия (в том числе в установленных случаях сертификацию), в порядке, установленном законодательством РФ.

Требования по обеспечению функциональной и физической совместимости протоколов взаимодействия и интерфейсов информационных систем, устойчивости ее функционирования и общие требования к подсистеме безопасности установлены в Приказе Минкомсвязи России от 25 августа 2009 г. N 104 "Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования". Требования к защите информации, содержащейся в информационных системах общего пользования, установлены в Приказе ФСБ России N 416, ФСТЭК России N 489 от 31 августа 2010 г. "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования".

Статья 15.1. Единый реестр доменных имен, указателей страниц сайтов в сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено