Постатейный комментарий Савельева к закону Об Информации

3. За нарушение установленных требований к защите информации установлена административная ответственность, предусмотренная, в частности, ст. 13.11 "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)", ст. 13.12 "Нарушение правил защиты информации", ст. 13.13 "Незаконная деятельность в области защиты информации", ст. 13.14 "Разглашение информации с ограниченным доступом" КоАП РФ.

Уголовная ответственность за нарушение установленных требований к защите информации может наступить в соответствии со ст. 274 УК РФ "Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей".

Нарушение требований к обеспечению безопасности информации может также влечь дисциплинарную и гражданско-правовую ответственность (см. подробнее комментарий к ст. 17 Закона).

4. Часть 4 комментируемой статьи устанавливает перечень конкретных мер по защите информации, которые должен принять обладатель информации или оператор информационной системы. Данный перечень носит иллюстративный характер и не означает, что все перечисленные в нем меры должны применяться в совокупности: соответствующая мера применяется лишь в случае, прямо установленном законодательством РФ.

В отношениях между операторами связи и абонентами нередко возникает вопрос о распределении рисков, связанных с несанкционированным подключением к линии связи третьих лиц с последующим использованием услуг связи в собственных целях. В судебной практике был выработан подход, в соответствии с которым обязанность по защите информации от третьих лиц лежит на том, в чьей зоне ответственности находится оборудование.

По общему правилу, соответствующие риски возлагаются на оператора связи как на оператора информационной системы, на котором в соответствии с ч. 4 ст. 16 Закона лежит обязанность обеспечить предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации, а также своевременное обнаружение фактов несанкционированного доступа к информации. К тому же в соответствии с ФЗ "О связи" на оператора связи возложена обязанность при эксплуатации сетей связи и сооружений связи обеспечивать их защиту от несанкционированного доступа к ним (ч. 3 ст. 7). Перечень конкретных мер указан в Приказе Мининформсвязи России от 9 января 2008 г. N 1 "Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации".

В соответствии с Приказом Мининформсвязи России от 27 июня 2002 г. N 67 "О введении в действие технических требований", утвердившим руководящий документ отрасли РД 45.231-2002, комплекс используемых оператором связи аппаратно-программных средств должен обеспечивать функцию мониторинга "подозрительной" сигнальной нагрузки как одной из технических мер, направленной на предотвращение несанкционированного доступа. В этой связи при обнаружении в показаниях оборудования связи значительного, необычного роста потребления абонентом трафика оператор связи на основании ст. 312 ГК РФ может потребовать от абонента доказательств того, что услуги принимаются самим абонентом или управомоченным им на это лицом, и несет риск последствий непредъявления такого требования. При этом следует иметь в виду, что оплата услуг является не ответственностью, а собственно обязательством, которое корреспондирует обязательству другой стороны предоставить услуги, в связи с чем наличие или отсутствие вины оператора связи в данном случае не имеет значения для решения вопроса об оплате услуг, неправомерно потребленных третьим лицом (см. Постановление арбитражного суда Московского округа от 18 декабря 2014 г. N Ф05-14306/2014 по делу N А40-165863/13-156-1486).

Однако в том случае, если несанкционированное подключение произошло в зоне ответственности абонента, что вытекает из условий договора и, как правило, должно подтверждаться заключением экспертизы, именно абонент считается не принявшим необходимых мер защиты информации и несет связанные с этим риски дополнительных расходов (см. Постановление ФАС Уральского округа от 2 марта 2012 г. N Ф09-793/12, Постановление Седьмого арбитражного апелляционного суда от 4 июня 2012 г. по делу N А27-9016/2011).

5. Часть 5 ст. 16 Закона устанавливает, что основными регуляторами, устанавливающими требования к защите информации, содержащейся в государственных информационных системах, являются ФСБ России (в части определения требований к защите информации, связанных с криптографией) и ФСТЭК (в части определения всех остальных требований).

6. В соответствии с ч. 6 комментируемой статьи федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации. В качестве примера такого федерального закона можно привести ФЗ от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности", в соответствии с которым разработка, производство, распространение шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств (кроме случаев осуществления такого обслуживания для собственных нужд), требуют наличия специальной лицензии, выдаваемой ФСБ России. Условия и порядок ее получения закреплены в Постановлении Правительства РФ от 16 апреля 2012 г. N 313. Кроме этого ФЗ "О лицензировании отдельных видов деятельности" устанавливает необходимость получения лицензии для осуществления деятельности в области оказания услуг по технической защите конфиденциальной информации, выдаваемой ФСТЭК. Условия и порядок получения такой лицензии регламентируются в Постановлении Правительства РФ от 3 февраля 2012 г. N 79.

Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации

Комментарий к статье 17

1. Часть 1 комментируемой статьи содержит ставшую уже традиционной для различного рода тематических законодательных актов бланкетную норму о том, что нарушение положений такого Закона может повлечь различные формы ответственности: дисциплинарную, гражданско-правовую, административную, уголовную.

Дисциплинарная ответственность представляет собой неблагоприятные последствия, которые виновное должностное лицо должно понести за совершенный дисциплинарный проступок, и существует лишь в рамках трудовых отношений такого лица со своим работодателем.

Действующее российское законодательство не содержит понятия дисциплинарного проступка. Однако исходя из положений ст. 57 ФЗ от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" дисциплинарный проступок можно определить как виновное, противоправное деяние государственного служащего, которое заключается в неисполнении или ненадлежащем исполнении им служебных обязанностей, за совершение которого к государственному служащему может быть применено дисциплинарное взыскание.

Дисциплинарная ответственность реализуется посредством наложения на виновное должностное лицо дисциплинарных взысканий, система которых достаточно разнообразна и регламентирована различными нормативно-правовыми актами. Так, например, в ст. 57 ФЗ "О государственной гражданской службе Российской Федерации" предусмотрены такие дисциплинарные взыскания, как: замечание, выговор, предупреждение о неполном должностном соответствии, освобождение от замещаемой должности гражданской службы, увольнение с гражданской службы по так называемым виновным основаниям. За один дисциплинарный проступок может быть применено только одно дисциплинарное взыскание. Перед наложением дисциплинарного взыскания обязательно проведение служебной проверки, поводом к которой может выступать жалоба лица, чьи права были нарушены действием или бездействием соответствующего должностного лица. Порядок применения дисциплинарного взыскания и проведения служебной проверки содержится в ст. ст. 58 и 59 ФЗ "О государственной гражданской службе Российской Федерации". Данные нормы являются специальными по отношению к положениям Трудового кодекса РФ (ч. 2 ст. 192 ТК РФ).

Следует отметить, что применение дисциплинарного взыскания является правом нанимателя (работодателя) должностного лица, в связи с чем оно не может быть реализовано посредством заявления соответствующего требования в судебном порядке с возложением обязанности по его применению на работодателя (см. Постановление Девятого арбитражного апелляционного суда от 2 марта 2009 г. N 09АП-1883/2009-АК по делу N А40-38850/08-12-415).

Гражданско-правовая ответственность представляет собой неблагоприятные имущественные последствия, которые виновное лицо должно понести в целях компенсации потерь потерпевшего от его неправомерных действий лица. Указанная ответственность реализуется в форме возмещения убытков (ст. 15 ГК РФ) и (или) морального вреда - при нарушении личных неимущественных благ, например, неприкосновенности частной жизни, личной или семейной тайны (ст. 150 ГК РФ).

Ответственность лица за нарушение требований Закона в большинстве своем будет носить внедоговорный (деликтный) характер, т.е. ее основания и условия наступления определяются положениями ст. 1064 ГК РФ и иными положениями гл. 59 ГК РФ. Договорная ответственность может возникнуть в контексте нарушения положений договора, заключенного с обладателем информации (ст. 6 Закона), однако в таком случае будет иметь место именно нарушение договора, ответственность за которое будет определяться его условиями и положениями ГК РФ.

Часть 2 комментируемой статьи указывает в качестве оснований для наступления гражданско-правовой ответственности разглашение или иное неправомерное использование информации ограниченного доступа. Однако данный перечень оснований не является исчерпывающим. Так, нарушение должностным лицом права организации или гражданина на доступ к информации также может являться основанием для наступления гражданско-правовой ответственности.

Возмещение убытков, понесенных в связи с неисполнением или ненадлежащим исполнением должностным лицом требований Закона (например, по предоставлению информации), осуществляется в судебном порядке. Это связано с тем, что вред, причиненный действиями или бездействием должностного лица государственного или муниципального органа власти, возмещается за счет казны соответствующего публично-правового образования (РФ, субъекта РФ или муниципального образования), что на практике требует наличия вступившего в законную силу судебного решения. Взыскание убытков в таком случае осуществляется в порядке искового судопроизводства. Это означает, что если лицом предъявлено в суд общей юрисдикции требование об обжаловании неправомерного действия (бездействия) должностного лица, например, в порядке гл. 25 ГПК РФ, то для взыскания убытков или в подлежащих случаях - морального вреда необходимо заявление отдельного требования в порядке искового производства с соблюдением о подсудности (ст. 28 ГПК РФ), а также с указанием в качестве ответчика соответствующего финансового органа власти (ст. 131 ГПК РФ, ст. 1071 ГК РФ) (см. Апелляционные определения Московского городского суда от 6 ноября 2014 г. по делу N 33-43486, от 24 октября 2014 г. по делу N 33-36238).

В предмет доказывания по спорам, связанным с возмещением убытков, вызванных неправомерными действиями должностного лица, входит доказывание не только противоправности поведения такого должностного лица (т.е. нарушения его действием или бездействием конкретных норм Закона или иных нормативных правовых актов), но и конкретного размера имущественных потерь (убытков), понесенных вследствие такого нарушения. Зачастую именно обоснование размера таких убытков, а также причинно-следственной связи между нарушением и их размером составляет основную трудность при привлечении должностного лица к гражданско-правовой ответственности, поскольку их доказывание сопряжено с необходимостью предоставления документальных подтверждений заявляемых требований. В связи с тем что размер убытков, связанных с нарушением информационных прав граждан, как правило, сравнительно невелик и обосновать его размер с использованием письменных доказательств, отвечающих формальным требованиям закона очень сложно, в судебной практике практически не встречается соответствующих дел.

Административная ответственность наступает за совершение административного правонарушения, т.е. противоправного виновного действия (бездействия) физического или юридического лица, за которое законодательством установлена административная ответственность (ст. 2.1 КоАП РФ). Административные правонарушения посягают на государственный и общественный порядок, собственность, окружающую природную среду, права и свободы граждан, установленный порядок управления. Составы административных правонарушений могут быть установлены только законом - либо КоАП РФ, либо законами субъектов РФ в пределах, определенных КоАП РФ. Большая часть составов административных правонарушений, применимых к нарушениям требований Закона, сосредоточена в гл. 13 "Административные правонарушения в области связи и информации" КоАП РФ, однако ею не исчерпывается. Отдельные составы, релевантные к отношениям, регулируемым Законом, содержатся также в гл. 5 "Административные правонарушения, посягающие на права граждан" и гл. 19 "Административные правонарушения против порядка управления". Об отдельных видах составов см. комментарий к ст. ст. 2, 8, 10.1, 10.2 Закона и др.

Административная ответственность должностного лица за неисполнение или ненадлежащее исполнение им своих служебных обязанностей может сочетаться с дисциплинарной и гражданско-правовой. Причем административной ответственности в равной степени подлежат иностранные физические и юридические лица, совершившие правонарушения на территории РФ (ст. 2.6 КоАП РФ) (о толковании понятия "территория России" применительно к действиям, совершенным в сети Интернет, см. комментарий к ч. 1 ст. 15 Закона).

Основным видом административного наказания за нарушения требований комментируемого Закона является штраф. В определенных случаях также применяется конфискация предмета административного правонарушения (см., например: ч. 2 ст. 13.12 КоАП РФ: использование несертифицированных средств защиты информации), административное приостановление деятельности на определенный срок (см., например: ч. 5 ст. 13.12 КоАП РФ - грубое нарушение условий лицензии на осуществление деятельности в области защиты информации).

Уголовная ответственность предусмотрена за совершение правонарушений, которые могут быть квалифицированы в качестве преступлений, под которым понимается виновно совершенное общественно опасное деяние, запрещенное УК РФ. По сравнению с административными правонарушениями преступления отличаются наибольшей степенью общественной опасности.

К числу составов преступлений, имеющих отношение к нарушению требований, установленных Законом, можно отнести, в частности:

1) преступления, связанные с нарушением режима конфиденциальности информации: ст. 137 "Нарушение неприкосновенности частной жизни"; ст. 138 "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений"; ст. 155 "Разглашение тайны усыновления (удочерения)"; ст. 183 "Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну"; ст. 185.6 "Неправомерное использование инсайдерской информации"; ст. 272 "Неправомерный доступ к компьютерной информации"; ст. 283 "Разглашение государственной тайны"; ст. 283.1 "Незаконное получение сведений, составляющих государственную тайну"; ст. 310 "Разглашение данных предварительного расследования" УК РФ;

2) преступления, связанные с нарушением установленных ограничений на распространение информации определенного содержания (кроме информации ограниченного доступа): ст. 128.1 "Клевета"; ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"; ст. 280 "Публичные призывы к осуществлению экстремистской деятельности", ст. 282 "Возбуждение ненависти либо вражды, а равно унижение человеческого достоинства"; ст. 319 "Оскорбление представителя власти" УК РФ.

3) преступления, связанные с нарушением права на доступ к информации: ст. 140 "Отказ в предоставлении гражданину информации"; ст. 144 "Воспрепятствование законной профессиональной деятельности журналистов"; ст. 159.6 "Мошенничество в сфере компьютерной информации" УК РФ;

4) преступления, связанные с нарушением правил обработки и представления информации: ст. 170.1 "Фальсификация единого государственного реестра юридических лиц, реестра владельцев ценных бумаг или системы депозитарного учета"; ст. 274 "Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей"; ст. 285.3 "Внесение в единые государственные реестры заведомо недостоверных сведений" УК РФ.

2. При применении гражданско-правовой ответственности за неправомерное разглашение информации ограниченного доступа необходимо учитывать положения ч. 2 комментируемой статьи, в соответствии с которой требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством РФ требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица. Указанная норма, не имеющая аналогов в зарубежных правопорядках, накладываясь на формальный подход судов к доказательствам, еще более затрудняет возможность привлечения к гражданско-правовой ответственности за несоблюдение лицом режима конфиденциальности информации, поскольку у такого лица появляется дополнительная возможность заявления возражения, связанного с несоблюдением истцом какой-либо формальности, установленной законодательством или договором, применительно к защите информации.

Особенно это может быть актуально в контексте привлечения лица за нарушение законодательства о персональных данных. Так, в соответствии с ч. 5 ст. 6 ФЗ "О персональных данных" лицо, осуществляющее обработку персональных данных по поручению оператора ("обработчик"), несет ответственность перед оператором. На оператора персональных данных в соответствии с положениями ст. 19 указанного Закона, конкретизированными в ряде подзаконных актов, возлагаются обязанности по обеспечению безопасности персональных данных при их обработке. В связи с этим возникает вопрос: является ли непринятие одной или нескольких обязанностей безусловным основанием для освобождения обработчика от ответственности в виде возмещения убытков со ссылкой на ч. 2 ст. 17 Закона? Буквальное толкование данной статьи дает основания для утвердительного ответа на этот вопрос. Однако представляется, что указанная норма должна толковаться ограничительно и может применяться в качестве основания для освобождения от ответственности только в том случае, когда наступление убытков, о взыскании которых стоит вопрос, находится в причинно-следственной связи с непринятием взыскателем соответствующих мер по конфиденциальности. Например, когда обработчику передаются в нарушение установленных норм персональные данные по незащищенным каналам связи и происходит их утечка вследствие хакерских действий, произведенных в отношении информационной системы обработчика. Однако если оператор связи в нарушение установленных правил использовал несертифицированные средства защиты персональных данных в своей информационной системе, а персональные данные, переданные обработчику с соблюдением установленного порядка, были разглашены его сотрудником из корыстных побуждений, оснований для освобождения такого обработчика от ответственности за убытки со ссылкой на ч. 2 ст. 17 Закона быть не должно. Иной подход противоречил бы основной идее введения данной нормы - стимулирование обладателя информации к ответственному подходу в вопросах обеспечения ее конфиденциальности, а не легитимация безответственности по отношению к полученной конфиденциальной информации со ссылками на чужие ошибки.

3. Часть 3 комментируемой статьи впервые установила положения об особенностях гражданско-правовой ответственности информационных посредников в сети Интернет. Однако в связи с тем, что Закон не распространяется на отношения, возникающие в связи с защитой интеллектуальной собственности, ч. 3 ст. 17 не регулирует вопросов освобождения информационных посредников от ответственности за нарушение исключительных прав. Соответствующие отношения регламентируются ст. 1253.1 ГК РФ (см. далее).

Также следует подчеркнуть, что ч. 3 ст. 17 Закона распространяется только на меры гражданско-правовой ответственности (возмещение убытков, морального вреда, неустойки) и не распространяется на административную ответственность, а также на гражданско-правовые меры защиты, не являющиеся мерами ответственности (например, к требованиям о пресечении действий, нарушающих право или создающих угрозу его нарушения).

4. Часть 3 ст. 17 выделяет два основных вида информационных посредников:

1) оказывающих услуги по передаче информации, предоставленной иным лицом, без ее изменения или исправления в процессе передачи. В данную группу подпадают в первую очередь так называемые интернет-провайдеры доступа (операторы связи, предоставляющие телематические услуги по предоставлению доступа в сеть Интернет). Данный вид информационных посредников освобождается от гражданско-правовой ответственности при условии, что он выполняет исключительно пассивную функцию проводников информации (mere conduits), а именно: не изменяет и не исправляет информацию в процессе передачи, не осуществляя тем самым какого-либо ее модерирования. Если же, например, маршрутизаторы оператора связи настроены таким образом, что при запросе одного информационного ресурса предоставляется доступ к другому ресурсу либо же добавляется некая дополнительная информация, то иммунитет, предусмотренный комментируемым положением, не распространяется на такого информационного посредника, при условии, что такие действия осуществляются им по собственной инициативе, а не во исполнение положений Закона об ограничении доступа к информационным ресурсам (в последнем случае применяется специальное положение об исключении ответственности, установленное ч. 4 ст. 17 Закона);

2) оказывающих услуги по хранению информации и обеспечению доступа к ней. В данную группу попадают провайдеры хостинга, владельцы интерактивных (Web 2.0) сайтов в сети Интернет, предоставляющих возможность размещения пользовательского контента; сервисы поисковых систем. Такой информационный посредник освобождается от гражданско-правовой ответственности в случае, если он не мог знать о незаконности распространяемой информации. О наличии такого знания может говорить наличие премодерирования комментариев пользователей, размещаемых на сайте; получение достоверных сведений о незаконности размещенной информации, удостоверенных компетентным органом (например, вступившим в законную силу решением суда).

5. Специальные условия наступления гражданско-правовой ответственности вышеуказанных информационных посредников имеют место применительно к случаям распространения ими информации, в отношении которой федеральным законом установлены запреты или ограничения на ее распространение. К такой информации в первую очередь относятся сведения, порочащие честь, достоинство или деловую репутацию. Здесь необходимо отметить, что требование об удалении такой информации или размещении опровержения не относятся к мерам гражданско-правовой ответственности, в связи с чем могут быть предъявлены к провайдерам хостинга и (или) владельцам сайта и в тех случаях, когда они подлежат освобождению от ответственности в соответствии с комментируемым положением. Как отметил Конституционный Суд РФ, "фактическая невозможность в подобных случаях установить и привлечь к ответственности виновное лицо, равно как и отсутствие правовых оснований для привлечения к ответственности владельца соответствующего сайта, не являющегося средством массовой информации, или иного уполномоченного им на размещение информации лица, в качестве способа защиты прав потерпевшего не означает, что эти права не подлежат защите иными способами, такими как восстановление положения, существовавшего до нарушения права, и пресечение действий, нарушающих право или создающих угрозу его нарушения (ст. 12 ГК РФ)" (Постановление КС РФ от 9 июля 2013 г. N 18-П "По делу о проверке конституционности положений пунктов 1, 5 и 6 статьи 152 Гражданского кодекса Российской Федерации в связи с жалобой гражданина Е.В. Крылова"). Соответствующий подход разделяется и в арбитражной практике (см. Постановления ФАС Западно-Сибирского округа от 16 июля 2014 г. по делу N А46-12458/2013, ФАС Северо-Западного округа от 2 октября 2012 г. по делу N А56-53133/2011, Четвертого арбитражного апелляционного суда от 27 февраля 2012 г. по делу N А19-13532/2011). Неисполнение информационным посредником вступившего в законную силу решения суда об удалении спорного контента и (или) размещении опровержения лишает его иммунитета, предоставляемого ч. 3 ст. 17 Закона, соответственно, к такому лицу могут быть предъявлены требования о возмещении морального вреда и (или) убытков, вызванных размещением третьим лицом информации, порочащей честь, достоинство и (или) деловую репутацию лица.

6. Представляется, что положения ч. 3 ст. 17 Закона могут быть также применены к возможной гражданско-правовой ответственности владельца сайта в сети Интернет, на котором были незаконно размещены персональные данные, перед субъектом персональных данных, если такой сайт представляет собой площадку для размещения контента. Это, однако, не освобождает его от обязанности удалить такие данные в соответствии с положениями ст. 14 и ч. 3 ст. 20 ФЗ "О персональных данных". Аналогичным образом положения ч. 3 ст. 17 Закона могут быть применимы и к облачным провайдерам, предоставляющим своим клиентам вычислительные мощности (инфраструктура-как-услуга), которые могут быть ими использованы в самых различных целях, в том числе для обработки персональных данных. Поскольку облачный провайдер в таких случаях не знает, какие конкретно данные загружаются в "облако", а также нередко не имеет доступа к ним по причине того, что они были зашифрованы клиентом, облачный провайдер не должен нести гражданско-правовой ответственности за возможные нарушения порядка обработки персональных данных в "облаке".

7. С принятием Антипиратского закона положения ст. 17 Закона были дополнены еще одной нормой, содержащей безусловное исключение ответственности провайдера хостинга, владельца сайта в сети Интернет, а с 1 мая 2015 г. - и оператора связи перед правообладателем и (или) пользователем за совершение действий по блокировке доступа к информации, осуществленных в соответствии с Законом (ст. ст. 15.1 - 15.7). Соответственно, все положения договора, которые будут противоречить указанному положению, будут являться недействительными (ст. 422 ГК РФ). Однако если соответствующий договор регулируется иностранным правом, то в соответствии со ст. 1215 ГК РФ основания освобождения ответственности за возможные блокировки должны определяться нормами применимого права, а не ч. 4 ст. 17 Закона.