- •15 Июля 2004 года
- •2. Информация может проявляться в различных формах. Основными формами информации являются:
- •2) Сведения в области экономики, науки и техники:
- •1. Комментируемая статья определяет основные термины, используемые в дальнейшем в Законе. Центральными из них являются понятия "коммерческая тайна" и "информация, составляющая коммерческую тайну".
- •2. Сам термин "информация" (informatio) в переводе с латинского означает ознакомление, разъяснение, изложение.
- •1. Отнесение информации к коммерческой тайне не обязанность, а право ее обладателя.
- •1. Комментируемый пункт устанавливает право органов государственной власти и местного самоуправления получать в необходимых случаях информацию, составляющую коммерческую тайну, у ее обладателя.
- •1) Следователями прокуратуры - по уголовным делам:
- •4. Комментируемый пункт устанавливает порядок информирования органов государственной власти и местного самоуправления о том, что предоставленная им информация относится к коммерческой тайне.
- •1. Комментируемый пункт устанавливает перечень мер, которые должны быть предприняты обладателем информации для ее защиты.
- •5. Комментируемый пункт содержит критерии определения достаточности принимаемых обладателем коммерческой тайны мер по обеспечению ее конфиденциальности.
- •3. В части третьей комментируемой статьи закрепляются обязанности работника в связи с охраной конфиденциальности информации, составляющей коммерческую тайну.
- •29 Июля 2004 года
1. Комментируемый пункт устанавливает перечень мер, которые должны быть предприняты обладателем информации для ее защиты.
При определении перечня защищаемой информации надлежит руководствоваться ст. ст. 4 и 5 комментируемого Закона. С указанным перечнем должны быть ознакомлены все лица, которые в процессе осуществления своей деятельности взаимодействуют с информационными объектами, вошедшими в перечень.
Для ограничения доступа к информации, составляющей коммерческую тайну, в рамках организации необходимо разработать и принять локальный правовой акт, в котором бы устанавливался порядок доступа к такой информации и обращения с ней. Лица, допущенные к коммерческой тайне, должны быть ознакомлены с этим локальным актом под роспись. Контроль за соблюдением порядка доступа к информации, составляющей коммерческую тайну, может осуществляться как самим обладателем такой информации, так и иным должностным лицом организации.
Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана, осуществляется путем составления специального документа, в котором фиксируются все лица, относящиеся к данной категории, как работники организации, так и ее контрагенты. Как правило, доступ конкретного лица к информации, составляющей коммерческую тайну, осуществляется только с письменного разрешения руководителя организации.
Регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров относится к правовым мерам защиты коммерческой тайны.
В соответствии со ст. 57 ТК РФ в содержание трудового договора могут включаться условия о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной).
ГК РФ в некоторых статьях прямо устанавливает обязанность контрагентов неразглашения коммерческой тайны и иной конфиденциальной информации. Так, применительно к договору подряда ст. 727 ГК РФ содержит следующее требование: "Если сторона благодаря исполнению своего обязательства по договору подряда получила от другой стороны информацию о новых решениях и технических знаниях, в том числе не защищаемых законом, а также сведения, которые могут рассматриваться как коммерческая тайна (статья 139), сторона, получившая такую информацию, не вправе сообщать ее третьим лицам без согласия другой стороны. Порядок и условия пользования такой информацией определяются соглашением сторон".
Статья 771 ГК РФ устанавливает обязанность сторон при исполнении договоров на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ обеспечить конфиденциальность сведений, касающихся предмета договора, хода его исполнения и полученных результатов, если договором между сторонами не предусмотрено иное. Объем сведений, признаваемых конфиденциальными, определяется в договоре. Каждая из сторон обязуется публиковать полученные при выполнении работы сведения, признанные конфиденциальными, только с согласия другой стороны.
Иные гражданско-правовые договоры, помимо указанных выше, также могут регулировать вопросы охраны коммерческой тайны.
Одной из мер по охране конфиденциальности информации является установление нанесение грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства) на носители такой информации. При этом Закон требует нанесения такого грифа на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну. Однако такой способ удобен лишь при использовании традиционных (бумажных) документов. При хранении информации, относимой к коммерческой тайне, в виде электронного документа или, например, фонограммы, нанесение грифа "Коммерческая тайна" далеко не всегда является технически возможным, что ставит этот способ хранения конфиденциальной информации вне закона, поскольку данная мера названа в числе обязательных для установления режима коммерческой тайны. Представляется, что проблему можно частично решить путем нанесения грифа "Коммерческая тайна" на сопроводительные документы, представленные в традиционной (бумажной) форме и передаваемые вместе с материальным носителем информации, относимой к коммерческой тайне работнику или контрагенту.
Гриф коммерческой тайны содержит словосочетание "коммерческая тайна", и он проставляется обладателем коммерческой тайны на носителе информации или сопроводительном документе. На практике наиболее часто употребляют две степени конфиденциальности: "конфиденциально" и "строго конфиденциально". Указание грифа закрытости служит официальным охранительным знаком, предупреждающим об ограничении свободного доступа к документу <*>.
--------------------------------
<*> Белов А.Н. Защита коммерческой тайны // Аудиторские ведомости. 2003. N 4.
2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, вышеуказанных мер. Это имеет весьма принципиальное значение, так как именно с данного момента у обладателя информации, относимой к коммерческой тайне, возникает право требовать соблюдения коммерческой тайны у других лиц (в том числе и государственных органов) и привлечения виновных в разглашении коммерческой тайны к ответственности.
Такое решение законодателя вряд ли можно назвать удачным. Связывая возникновение охраноспособности информации с установлением мер, указанных в п. 1 ст. 10 Закона, он не учитывает факт существования различных форм представления информации, которые требуют различных подходов к их охране (в частности, о проблеме нанесения грифа "Коммерческая тайна" на электронные документы и фонограммы уже говорилось выше). Отсутствие же хотя бы одной из мер по охране конфиденциальности информации выводит ее из сферы правового регулирования данным Законом. Другими словами, в случае разглашения коммерческой тайны ее обладателю может быть отказано в возмещении убытков и привлечении виновных к ответственности в силу отсутствия третьего признака коммерческой тайны - принятия мер к охране ее конфиденциальности.
Более того, наблюдается определенное противоречие между комментируемой нормой и понятием "режима коммерческой тайны", содержащемся в ст. 3 Закона. В комментарии к ст. 3 уже указывалось, что меры по охране коммерческой тайны подразделяются на правовые, организационные, технические и иные. Однако сами меры, указываемые в п. 1 ст. 10, можно отнести лишь к организационным и правовым <*>. Использование технических мер в силу прямого указания п. 4 ст. 10 Закона является факультативным и не влияет на установление режима коммерческой тайны. Таким образом, с одной стороны, законодатель связывает понятие режима информации с самыми различными группами мер, с другой - допускает его установление только при использовании части из них.
--------------------------------
<*> Некоторые ученые считают, что все меры, перечисленные в п. 1 ст. 10 Федерального закона "О коммерческой тайне", относятся к организационным. См., например: Деева Н. Коммерческая тайна: понятие и сущность // http://www.medialaw.ru/publications/zip/131-132/2.htm.
Представляется, что рациональней было бы обязать обладателя устанавливать не прямо указанные в Законе конкретные меры, а меры разумно достаточные для сохранения конфиденциальности коммерческой информации. Именно так это сделано в ст. 39 Соглашения по торговым аспектам прав интеллектуальной собственности, которая оперирует понятием так называемых разумных мер (reasonable steps under the circumstances). Использование данного подхода было бы тем более простым, что Федеральный закон "О коммерческой тайне" содержит критерии "разумной достаточности" мер (часть 5 статьи 10).
3. Комментируемый пункт исключает некоторые обязательные меры по охране конфиденциальности информации, относимой к коммерческой тайне, в тех случаях, когда обладателем такой информации является индивидуальный предприниматель, не имеющий работников, с которыми заключены трудовые договоры. Все исключаемые меры (определение перечня информации, составляющей коммерческую тайну; ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров) относятся к охране коммерческой тайны в рамках трудовых отношений.
4. Как уже отмечалось в данном комментарии, технические меры защиты коммерческой тайны, исходя из смысла закона, являются дополнительными по отношению к организационным и правовым.
ГОСТ Р 50922-96 "Защита информации. Основные термины и определения" определяет защиту информации как деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Этот же ГОСТ называет основные виды защиты информации.
Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации (иностранными) разведками.
Защита информации от несанкционированного воздействия - деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от непреднамеренного воздействия - деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от разглашения - деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
Защита информации от несанкционированного доступа - деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Защита информации от (иностранной) разведки - деятельность по предотвращению получения защищаемой информации (иностранной) разведкой.
Защита информации от (иностранной) технической разведки - деятельность по предотвращению получения защищаемой информации (иностранной) разведкой с помощью технических средств.
Защита информации от агентурной разведки - деятельность по предотвращению получения защищаемой информации агентурной разведкой.
Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
В соответствии со ст. 21 Федерального закона "Об информации, информатизации и защите информации" от 20 февраля 1995 г. защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
Комментируемый пункт предоставляет обладателю информации, составляющей коммерческую тайну, право применять при необходимости средства и методы технической защиты конфиденциальности этой информации. ГОСТ Р 50922-96 "Защита информации. Основные термины и определения" определяет средства защиты информации как технические, программные средства, вещества и/или материалы, предназначенные или используемые для защиты информации.
ГОСТ Р 52069.0-2003 "Защита информации. Система стандартов. Основные положения" указывает четыре вида технологий защиты информации:
- организационные;
- технические;
- программные;
- шифрования.
Как представляется, все они применимы для защиты информации, составляющей коммерческую тайну.
Комментируемый пункт также устанавливает, что использование средств и методов защиты конфиденциальности информации, относимой к коммерческой тайне, не должно нарушать законы Российской Федерации. Пункт 3 ст. 21 Федерального закона "Об информации, информатизации и защите информации" от 20 февраля 1995 г. устанавливает, что контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством Российской Федерации. Пункт 6 той же статьи предоставляет собственнику или владельцу документированной информации право обращаться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. Соответствующие органы определяет Правительство Российской Федерации. Эти органы соблюдают условия конфиденциальности самой информации и результатов проверки.
Федеральный закон от 8 августа 2001 г. "О лицензировании отдельных видов деятельности" относит к лицензируемым некоторые виды деятельности, связанные с защитой информации, в частности:
- деятельность по распространению шифровальных (криптографических) средств;
- деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- предоставление услуг в области шифрования информации;
- разработку, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
- деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;
- деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
- деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
- деятельность по технической защите конфиденциальной информации;
- разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.
Таким образом, осуществление данных видов деятельности в процессе защиты информации, относимой к коммерческой тайне, требует обязательного получения лицензии.