Что понимается под конфиденциальностью данных
Конфиденциальная и коммерческая информация
konfidencialnaya_i_kommercheskaya_informaciya.jpg
Похожие публикации
Конфиденциальная информация – это сведения, не подлежащие публичному распространению и охраняемые законом. К ним имеют доступ ограниченное количество лиц, которые берут на себя обязательство не разглашать известную им тайну. Если оно будет нарушено, распространителям секретной информации может грозить дисциплинарная, материальная, административная, а в некоторых случаях даже уголовная ответственность.
Виды конфиденциальной информации
Главный признак конфиденциальности каких-либо сведений – законодательное ограничение доступа к определенному роду информации. Без согласия обладателя тайны данные сведения запрещается передавать посторонним лицам, не имеющим права их знать. Подобная характеристика дана в Федеральном законе об информации № 149 от 27.07.2006 (ст. 2).
Полный перечень конфиденциальной информации представлен в президентском указе № 188, изданном более 20 лет назад – 6 марта 1997 года. Согласно этому документу, к секретным сведениям, не подлежащим разглашению, относятся данные:
В 2015 году в указ Президента № 188 был добавлен новый пункт (п. 7), в соответствии с которым теперь конфиденциальной является информация и о принудительном исполнении судебных и властных актов, а также сведения, содержащиеся в личных делах осужденных граждан. Исключение составляют общедоступные данные, являющиеся таковыми согласно Федеральному закону № 229 от 02.10.2007 «Об исполнительном производстве».
Конфиденциальная информация, коммерческая тайна: отличия
Перечень конфиденциальных сведений наглядно иллюстрирует, что коммерческая тайна является одним из ее видов. То есть это более узкое понятие, имеющее непосредственное отношение к бизнесу, извлечению прибыли. Конфиденциальная коммерческая информация, ее сохранение, способствует успешной деятельности компании, дает ей преимущество над конкурентами. Именно в этом заключается главное предназначение оберегаемых фирмой сведений, имеющих коммерческую ценность.
Компания сама устанавливает режим секретности для определенной информации, фиксируя это в специальном Положении. Также руководством фирмы издается приказ, определяющий, кто из сотрудников имеет доступ к сведениям, которые составляют коммерческую тайну.
Конфиденциальная информация организации не всегда связана с необходимостью удержать или повысить прибыль. Вышеназванный указ Президента № 188 показывает, что она имеет широкий спектр. К конфиденциальным сведениям относятся различные виды тайн: служебная, коммерческая, профессиональная и т.д. Их перечень определен правовыми актами и охраняется законом. Следует отметить, что конфиденциальная информация становится коммерческой тайной только после того, как организация в локальных актах признает ее таковой.
Ответственность за разглашение конфиденциальной информации
Принимая на работу сотрудника, которому предстоит работать с конфиденциальными сведениями, работодатель обязан под роспись ознакомить его с их перечнем. В трудовом договоре с подчиненным следует отразить обязательство о неразглашении коммерческой или иной тайны, прописав возможные санкции за его нарушение (57-я статья Трудового кодекса РФ). Тогда, распространив секретную информацию, ее носитель может получить дисциплинарное взыскание, вплоть до увольнения.
Работа с конфиденциальной информацией подразумевает повышенную ответственность сотрудника, которому в силу служебного положения она стала известна. 81-я статья ТК РФ одним из оснований для расторжения трудового договора по инициативе руководства называет разглашение работником коммерческой или другой тайны. Если утечка конфиденциальной информации нанесла компании реальный материальный ущерб, сотрудник должен его компенсировать в полном размере (243-я статья ТК РФ). Но работодателю придется доказать, что материальные потери фирмы являются следствием действий подчиненного.
Подписав документ о неразглашении конфиденциальной информации, и нарушив это обязательство, работнику нужно помнить о возможной уголовной ответственности, установленной 183-й статьей УК РФ. Она применяется, если без согласия владельца разглашена налоговая, коммерческая или банковская тайна, о которой гражданину стало известно в ходе исполнения трудовых или служебных обязанностей. Максимальный штраф за это деяние составляет миллион рублей. Возможны и иные виды наказания, например, лишение свободы или принудительные работы сроком до трех лет.
Также, если разглашена конфиденциальная информация, закон позволяет применить к гражданину или должностному лицу административную ответственность в виде штрафа. В первом случае он может достигать 500-1000 рублей, во втором – 4000-5000 рублей (ст. 13.14 КоАП РФ).
Полные тексты нормативных документов в актуальной редакции вы всегда сможете посмотреть в КонсультантПлюс.
Статья 32. Конфиденциальная информация
Статья 32. Конфиденциальная информация
1. Информация, представляемая заинтересованным лицом в орган, проводящий расследования, рассматривается в качестве конфиденциальной при представлении этим лицом обоснований, свидетельствующих о том, что раскрытие такой информации предоставит преимущество в условиях конкуренции третьему лицу либо повлечет за собой неблагоприятные последствия для лица, представившего такую информацию, или для лица, у которого данное лицо получило такую информацию. Конфиденциальная информация не должна разглашаться без разрешения представившего ее заинтересованного лица, за исключением случаев, предусмотренных федеральными законами.
Орган, проводящий расследования, вправе требовать от представляющего конфиденциальную информацию заинтересованного лица представления ее неконфиденциальной версии. Неконфиденциальная версия должна содержать сведения, достаточные для понимания существа представленной конфиденциальной информации. В случаях, если в ответ на требование органа, проводящего расследования, о представлении неконфиденциальной версии конфиденциальной информации заинтересованное лицо заявляет, что конфиденциальная информация не может быть представлена в таком виде, это лицо должно представить доказательства невозможности представления конфиденциальной информации в таком виде.
В случае, если орган, проводящий расследования, установит, что обоснования, представленные заинтересованным лицом, не позволяют отнести представленную информацию к конфиденциальной информации, либо заинтересованное лицо, не представившее неконфиденциальную версию конфиденциальной информации, не представляет и обоснование невозможности представления конфиденциальной информации в таком виде или представляет сведения, которые не являются обоснованием невозможности представления конфиденциальной информации в таком виде, орган, проводящий расследования, может не учитывать эту информацию.
2. Орган, проводящий расследования, несет предусмотренную законодательством Российской Федерации ответственность за разглашение конфиденциальной информации.
ГАРАНТ:
См. комментарий к статье 32 Федерального закона
Какие сведения относятся к конфиденциальной информации
Защита данных
на базе системы
Д еятельность многих организаций и служб связана с необходимостью хранения данных, огласка которых нежелательна. Конфиденциальность некоторых из них официально подтверждается законодательными актами. Существует информация, которая сохраняется в тайне по инициативе руководства предприятий или личным пожеланиям граждан. Чтобы конфиденциальные сведения не попали к посторонним лицам, должна быть организована их защита. Для обеспечения информационной безопасности используются специальные методы и компьютерные программы.
Сведения, не подлежащие разглашению
Информацией, не подлежащей огласке, считают не только служебные или государственные тайны, но и данные, доступные ограниченному кругу лиц. Ограничения могут накладываться, например, на сообщения о чрезвычайных событиях, губительных природных явлениях, санитарно-эпидемиологической обстановке в стране.
О том, какие сведения официально считаются конфиденциальными, говорится в Указе Президента Российской Федерации (с последними дополнениями от 13 июля 2015 года за № 357). К ним относятся:
Сведения, которые не считаются конфиденциальными
Сведения не считаются секретной информацией, если они внесены в свидетельство о регистрации предприятия, лицензию или учредительные документы.
Конфиденциальной информацией не являются данные об имуществе компании, кадровой политике и способах оплаты труда. Не считаются тайной также любые данные, занесенные в каталоги и прайс-листы.
Руководство предприятия не должно засекречивать сведения о наличии вредных производственных факторов. Оно несет ответственность за сокрытие информации о несоблюдении экологических и санитарных норм.
Открытой информацией являются также данные о проведении на предприятиях тендеров и конкурсов с целью подписания контрактов и набора новых сотрудников.
К секретным сведениям не имеют отношения данные о финансовой деятельности некоммерческих организаций.
Для чего составляется перечень засекреченных сведений
Вопрос о конфиденциальности служебных данных иногда бывает спорным. Нередко из-за неопределенности принятых правил возникают производственные конфликты и судебные разбирательства.
Прежде чем уволить работника, подозреваемого в разглашении коммерческой тайны, работодатель должен обосновать причину подобных действий. Увольняемый человек зачастую не согласен с тем, что совершил нечто противозаконное. Он может обратиться в Инспекцию труда с жалобой на несправедливые обвинения.
Пример 1.
Работнику понадобилось распечатать служебный документ, для чего он перенес содержимое на флэш-накопитель. В договоре, подписанном им при поступлении на работу, указывалось, что сотрудники фирмы не имеют права разглашать коммерческие тайны. Но там ничего не говорилось о том, какие именно сведения считаются секретной информацией. Если проверка, проведенная трудовой инспекцией, подтвердит неопределенность формулировок, работодателю придется отменить приказ об увольнении.
Перенос коммерческих сведений на флешку нельзя считать проступком, если не доказано, что работник передал этот носитель третьему лицу или поместил засекреченные данные в домашний компьютер.
Пример 2.
Сотрудник, уволившийся по собственному желанию, поделился конфиденциальной информацией о деятельности компании с конкурентами. В результате фирма понесла убытки. Руководство подает заявление в суд и требует, чтобы виновник возместил материальные потери. Для оценки справедливости требований и размеров ущерба суду также потребуется перечень секретных сведений и обоснование суммы убытков.
Чтобы избежать подобной неопределенности, работодатель должен составить список коммерческих тайн. В документе необходимо четко указывать, что их разглашение нанесет фирме финансовый ущерб. Следует отметить, кто из работников имеет право пользоваться конфиденциальной информацией. Необходимо сообщить о порядке обращения с подобными материалами и мерах, предпринимаемых для соблюдения конфиденциальности.
Секретные данные должны храниться под грифом «Коммерческая тайна».
Доступ к документам предоставляется только тем сотрудникам, которым они нужны для работы. Доверенное лицо дает расписку о неразглашении. Перед этим его знакомят со списком коммерческих тайн и предупреждают об ответственности за утечку информации.
В защите нуждается не только интеллектуальная собственность компании, но и сведения о клиентах. Разглашение их персональных и банковских данных грозит фирме потерей репутации, доверия.
Меры сохранения конфиденциальности сведений
Руководство компании должно заранее принять меры для защиты конфиденциальной информации. Такими мерами являются:
1. Введение разрешительной системы доступа к секретным работам и документам, содержащим важные данные. Необходимо соблюдать режим коммерческой тайны. Следует четко оговаривать список доверенных лиц, которым дается разрешение на вход в информационную систему.
2. Ограничение доступа посторонних лиц в помещения, где хранятся секретные документы или важные компьютерные программы.
3. Надежное хранение паролей и ключей доступа к ценным сведениям. Это позволит защитить их от похищения, подмены или уничтожения.
4. Резервное копирование важных материалов. Оно позволяет в случае необходимости доказать их подлинность, воспроизвести утерянные данные.
Все предпринимаемые действия должны согласовываться с законодательством Российской Федерации.
Средства, используемые для обеспечения сохранности данных
Для обеспечения информационной безопасности применяются две методики: программно-аппаратная защита и использование защищенных каналов связи.
Программно-аппаратная защита данных позволяет контролировать доступ к секретным материалам. Коротко опишем ее виды.
Идентификация
Для входа в систему требуется магнитная карта, работа в определенных частотных диапазонах. Доступ к работе с секретной информацией предоставляется только после введения специальных логинов, паролей или биометрических данных.
Аутентификация
Это методика дополнительного подтверждения подлинности данных, сообщаемых при идентификации. Становится ясно, что человек, интересующийся засекреченной информацией, действительно является тем, за кого себя выдает.
К средствам аутентификации можно отнести личные смарт-карты, цифровые подписи, pin-коды, usb-ключи.
После вхождения в систему сотруднику предоставляется доступ к информации, которая ему требуется для выполнения регламентных заданий. Остальные данные остаются закрытыми.
Протоколирование
Информационная система фиксирует тех, кто получал доступ к материалам, и действия, которые производились с их использованием.
Аудит
Программа выдает отчет о производимых действиях, продолжительности доступа отдельных сотрудников к секретным материалам. При попытке нарушения информационной безопасности автоматически включается система реагирования.
Шифрование
Для создания конфиденциальности проводится шифрование данных, относящихся к коммерческим тайнам.
Экранирование
При использовании такой технологии сведения разделяются по степени секретности, а также доступности отдельным сотрудникам, смежным организациям или компаниям-конкурентам. При этом используются «сетевые экраны» (файрволы) – компьютерные программы контроля и фильтрации интернет-данных.
Использование защищенных коммуникационных каналов
Передача информации по общедоступным каналам связана с риском их попадания в чужие руки.
Чтобы этого не произошло, проводится «туннелирование». Такая технология представляет собой передачу засекреченных данных через обычную сеть в замаскированном («инкапсулированном») виде.
Заключение
Любой гражданин, а также государственное или частное предприятие имеют право владеть информацией, требующей защиты от постороннего внимания. Важно, чтобы она не противоречила федеральным законам и не использовалась во вред государственным интересам.
К утечке секретных данных может привести введение в компьютер посторонних программ, повреждение или кража электронных носителей, сбой в работе автоматических систем обработки данных. Действия, которые приводят к разглашению засекреченных данных, являются уголовно наказуемыми. Такими действиями считаются незаконный вход в систему секретной информации, перехват сведений, замена их ложными данными. Запрещено несанкционированное использование устройств, в которых хранятся секретные материалы.
В каждой организации должен существовать индивидуальный перечень конфиденциальной информации, запрещенной к распространению. Важную роль играет соблюдение мер информационной безопасности.
Являются ли персональные данные действительно конфиденциальными, или Как соотносятся категории «персональные данные» и «тайны» (взгляд цивилиста)
Закон.Ру – официально зарегистрированное СМИ. Ссылка на настоящую статью будет выглядеть следующим образом: Рожкова М.А. Являются ли персональные данные действительно конфиденциальными, или Как соотносятся категории «персональные данные» и «тайны» (взгляд цивилиста) [Электронный ресурс] // Закон.ру. 2019. 18 марта. URL: https://zakon.ru/blog/2019/3/18/yavlyayutsya_personalnye_dannye_dejstvitelno_konfidencialnymi_ili_kak_sootnosyatsya_kategorii_person
Достаточно часто в отечественных публикациях и выступлениях звучат утверждения, что персональные данные являются конфиденциальными и вследствие этого охватываются понятием «тайна». Некоторых это приводит к выводу о целесообразности объединения в одном законе норм, регулирующих как тайны, так и персональные данные.
Попробуем разобраться, насколько верна такая позиция.
Понятие конфиденциальности
В русском языке синонимами слова «конфиденциальный» традиционно являются «секретный», «тайный», «доверительный», «не подлежащий огласке»[1]. Поэтому понятия «тайна», «секрет», «конфиденциальность» всегда признавались равнозначными и использовались для обозначения того, что неизвестно другим и не должно быть раскрыто под угрозой применения мер ответственности.
В отечественном законодательстве нашел закрепление подход, согласно которому под тайной понимаются сведения, которые не известны третьим лицам и не могут быть ими свободно получены, обладают определенной ценностью, защищаются от несанкционированного доступа к ним. В частности, выделяются государственная (в том числе военная), профессиональная, служебная, коммерческая тайна, секрет производства – для них установлены соответствующие правовые режимы.
Изучение зарубежного опыта позволяет сделать вывод о том, что за понятием «конфиденциальность» сегодня признается более широкое значение – им охватываются как собственно тайны (секреты), так и иные формы ограничения применительно к конкретным типам информации[2]. Выделяют две основные разновидности конфиденциальности:
– секретность (secrecy), которая понимается как форма сокрытия информации, которая носит недобровольный характер и предусматривает санкции за разглашение. Именно под режим secrecy подпадают упомянутые выше государственные, профессиональные, служебные, коммерческие тайны, тайны частной жизни (личные, интимные, семейные), а также, например, информация для служебного пользования, согласованная контрагентами конфиденциальная информация и т.п.
– приватность (privacy), представляющая собой форму ограничения доступа к личным сведениям, в силу которой всякое использование таких сведений допускается только с согласия субъекта этих сведений. Эта разновидность конфиденциальности распространяется на личную информацию, которая не является тайной (секретом), но использование которой третьими лицами допустимо лишь при условии соблюдения определенных правил. Под режим privacy подпадает любая личная информация, использование которой третьими лицами может привести к нарушению неприкосновенности частной жизни субъекта этой информации.
Надо признать, что обозначенное разграничение проникло и в отечественное право. Именно о privacy (как разновидности конфиденциальности) идет речь в ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации), в которой под конфиденциальностью информации предлагается понимать «обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».
Эта новация стала результатом начала ратификационного процесса подготовки России к участию в Конвенции 108[3], о которой речь пойдет далее.
Конвенция 108
Эту часть статьи хотелось бы предварить замечанием, уже звучавшим в моей предыдущей работе: общеизвестный термин «personal data» было бы вернее перевести на русский язык не как «персональные данные», а как «личные данные», «личные сведения» или «личная информация» (далее эти выражения будут использоваться как синонимы). На мой взгляд, это значительно облегчило понимание целей и сущности отечественного законодательства о персональных данных.
В преамбуле Конвенции 108 отмечается увеличение трансграничного потока личной информации, которая сегодня подвергается автоматизированной обработке (включающей хранение, аналитику, изменение, уничтожение, поиск, распространение личных сведений). Указывается, что в этих условиях необходимо усиление защиты прав и свобод граждан, в частности права на неприкосновенность частной жизни.
С учетом этого цель Конвенции 108 состоит в обеспечении для каждого частного лица уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в том что касается автоматизированной обработки его личной информации (ст. 1). Для краткости эта цель обозначена как «защита данных». Иными словами, использованное в Конвенции 108 выражение «защита данных» должно пониматься в контексте защиты не самих по себе личных данных, а прав и основных свобод частных лиц, которые могут быть нарушены при автоматизированной обработке (использовании) этой информации.
В ст. 7 Конвенции 108 закреплено положение, касающееся обеспечения безопасности личных данных: в ней предусмотрено, что для целей безопасности личной информации, хранящейся в автоматизированных базах данных, принимаются надлежащие меры, направленные на предотвращение (1) случайного или несанкционированного уничтожения / (2) случайной потери сведений / (3) несанкционированного доступа, изменения или распространения таких сведений.
Помимо упомянутых мер безопасности Конвенция 108 в ст. 8 закрепляет дополнительные гарантии для субъектов личных сведений, предоставляя им возможность: (1) знать об автоматизированных базах личных данных и их целях; (2) получать подтверждение того, что их личная информация хранится в такой базе; (3) добиваться исправления или уничтожения данных, если они подверглись обработке в нарушение национального законодательства; (4) при невыполнении указанных просьб использовать соответствующие средства правовой защиты.
В силу ст. 10 Конвенции 108 каждое государство, присоединившееся к Конвенции 108, должно закрепить надлежащие санкции и определить средства правовой защиты на случай нарушения норм национального законодательства, в котором воплощены принципы защиты данных, изложенных в Конвенции.
Отечественное законодательство о персональных данных
В 2006 году в рамках упомянутого ратификационного процесса был принят Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), который, как следует из его ст. 1, призван урегулировать отношения, связанные с обработкой персональных данных, осуществляемой как с использованием средств автоматизации, так и без таковых в установленных законом случаях[4]. В качестве цели Закона о персональных данных (подобно Конвенции 108) указывается на «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».
В п. 1 ст. 19 Закона о персональных данных предусмотрена обязанность оператора при обработке данных принимать меры по обеспечению их безопасности – необходимые правовые, организационные и технические меры, направленные на предотвращение: (1) неправомерного или случайного доступа к ним; (2) уничтожения данных; (3) их изменения; (4) блокирования; (5) копирования данных; (6) предоставления; (7) распространения персональных данных, а также от иных неправомерных действий.
Помимо этого в Законе о персональных данных содержится ст. 7, носящая наименование «Конфиденциальность персональных данных», которая закрепляет следующее положение: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом». По всей видимости, именно ст. 7 и подводит многих юристов к мысли о том, что персональные данные – это сведения, которые следует рассматривать как разновидность тайны.
Однако подобные выводы неверны.
Во-первых, под категорию «персональные данные» на сегодняшний подпадают разные по своей природе разновидности личной информации, в том числе сведения, однозначно не являющиеся секретными и ни в коей мере не относящиеся к тайне (на это указывалось в моей предыдущей статье о персональных данных).
Во-вторых, ст. 7 Закона о персональных данных, по сути, лишь устанавливает общий запрет на использование личных сведений граждан без их согласия операторами и другими лицами, получившими доступ к этим сведениями. Иными словами, в данной статье Закона о персональных данных, как и ст. 2 Закона об информации, под конфиденциальностью понимается privacy.
Исходя из вышеизложенного, можно заключить, что понятие «персональные данные» отнюдь не тождественно понятию «тайна». Это заключение основано в том числе и на том, что конфиденциальность персональных данных предполагает иную форму ограничения (privacy), отличающуюся от режима секретности (secrecy).
P.S. лента новостей IP CLUB в сфере права интеллектуальной собственности и цифрового права (IP & Digital Law) в:
[1] См., например: Ожегов С.И. Словарь русского языка: 70000 слов / Под ред. Н.Ю. Шведовой. М.: Рус.яз., 1991. С. 293; Словарь иностранных слов. М.:
[2] См. например, Shils, Edward A. The Torment of Secrecy: The Background and Consequences of American Security Policies. Chicago: Ivan R. Dee. 1956, reissued 1996.
[3] Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
[4] «…без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным».