Глава I. Проблемы защиты конфиденциальной информации В современной экономике большое значение имеет защита конфиденциальной информации, поскольку она предоставляет конкурентные преимущества ее обладателю, заинтересованному не только в сохранении, но и в увеличении доли рынка, наращивании выручки и расширении своей клиентской базы за счет изменения потребительских качеств существующих продуктов, а также развития продуктовой линейки. Обеспечение надежной правовой защиты конфиденциальной информации является залогом успешного развития предпринимателя, который в условиях непростой конкурентной среды всегда рискует столкнуться с нарушениями своих имущественных прав со стороны недобросовестных участников гражданского оборота. Должную осмотрительность и заботливость о своих интересах коммерсанты должны проявлять во всех сферах, где в том или ином виде используется конфиденциальная информация, представляющая действительную или потенциальную коммерческую ценность. Например, не так давно разразился скандал, связанный с американским сервисом интернет-видеоконференций Zoom, который приобрел в последнее время широкую популярность в связи с массовым переходом людей на удаленный формат работы из-за пандемии коронавируса. Как стало известно, сервис передавал собираемые им данные, включая видеозаписи и персональную информацию пользователей, в социальную сеть Facebook, что послужило причиной для отказа оператору сервиса в сотрудничестве со стороны известных корпораций и даже поводом для судебного разбирательства в США 1.
1
Жукова К. Все «дыры» Zoom: чем рискуют пользователи самого популярного сервиса видеоконференций эпохи карантина // Электрон. ресурс: https://www.forbes. ru/tehnologii/398629-vse-dyry-zoom-chem-riskuyut-polzovateli-samogo-populyarn ogo-servisa (дата обращения — 1 2.06.2020). 1
Глава I. Проблемы защиты конфиденциальной информации
Безусловно, в текущих условиях даже с послаблением ограничительных мер угроза распространения коронавирусной инфекции не исключена полностью, поэтому очевидно, что востребованный формат дистанционной работы сохранит свою привлекательность в дальнейшем благодаря выработанной привычке людей проводить видеоконференции удаленно и с большим количеством участников, обсуждая самые разнообразные вопросы делового сотрудничества и осуществления трудовой деятельности. Учитывая наличие серьезных рисков утечки данных, для передачи конфиденциальной информации, в том числе обсуждения отдельных составляющих ее сведений, участникам гражданского оборота следует использовать только защищенные каналы передачи информации. Передача оператором известного сервиса видеоконференций партнерам является только одной и самой явной проблемой, которая не составляет к акой-либо тайны за счет широкого общественного резонанса и внимания со стороны правоохранительных органов. Однако есть и другие не менее значимые риски, связанные со взломом аккаунтов, продажей данных в даркнете, где на них всегда имеется устойчивый спрос 2, сохранение и распространение видеоконтента в Интернете после его удаления оператором, а также иные обстоятельства, которые заставляют задуматься, насколько простота и удобство сервиса важны по сравнению с существующими рисками его использования, проистекающими из отсутствия в его программной архитектуре важнейших элементов безопасности 3. Во всяком случае при использовании любых подобных онлайн- сервисов компаниями в своей предпринимательской деятельности они должны задействовать имеющиеся в их распоряжении IT‑ресурсы, использовать только надежно защищенные бизнес-приложения 4 2
3
4
2
Рождественская Я. Даркнет уже не тот. Что дешевеет, а что дорожает на подпольном онлайн-рынке // Электрон. ресурс: https://www.kommersant.ru/doc/4363495 (дата обращения — 1 3.06.2020). Защита конфиденциальности данных — п роблема века // Блог компании «Lenovo» // Электрон. ресурс: https://habr.com/ru/company/lenovo/blog/491690 (дата обращения — 1 2.06.2020). Бурачков М. Как COVID‑19 обнажил главную проблему цифровой трансформации бизнеса // Электрон. ресурс: https://pro.rbc.ru/demo/5ed52de59a794773a98af569 (дата обращения — 1 2.06.2020).
Глава I. Проблемы защиты конфиденциальной информации
для предотвращения угроз и их ликвидации, чтобы не допустить утечку пользовательских данных и иной конфиденциальной информации. Рынок современных информационных технологий насыщен различными инновационными предложениями, позволяющими людям значительно улучшать качество своей жизни и делать повседневные вещи более удобными и простыми. Пожалуй, один из самых ярких примеров — это голосовой помощник, благодаря которому пользователь в любое время суток в режиме 24/7 может получать ответы на интересующие его вопросы, прокладывать транспортные маршруты, заказывать такси, делать покупки, прослушивать музыку или аудиокниги, а также искать любую информацию в Интернете. Между тем, используя этот удобный программный инструмент, следует учитывать, что содержание записанных голосовых сообщений может стать известно третьим лицам, что приведет к разглашению личной конфиденциальной информации, которую пользователь не планировал делать открытой. С такой проблемой столкнулись пользователи, использующие голосовой помощник Siri: появилась информация о том, что сотрудники подрядных организаций, работающих по контрактам с американской корпорацией Apple, которой принадлежит указанная программа, прослушивали пользовательские сообщения с личной информацией в рамках работы по улучшению сервиса 5. В дальнейшем корпорация приняла активные меры по привлечению к ответственности всех нарушителей 6, однако к действительному восстановлению прав пострадавших пользователей это вряд ли привело, ведь их персональная информация, относящаяся к частной жизни, уже стала достоянием общественности. Такие просчеты крайне негативно сказываются на лояльности пользователей и подрывают 5
6
Таиров Р. Apple извинилась за прослушку запросов пользователей в Siri // Электрон. ресурс: https://www.forbes.ru/tehnologii/382619-apple-izvinilas-za-proslushku- zaprosov-polzovateley-v-siri (дата обращения — 1 2.06.2020). Таиров Р. Apple уволила сотни человек, которые прослушивали запросы пользователей Siri // Электрон. ресурс: https://www.forbes.ru/tehnologii/382613-apple- uvolila-sotni-c helovek-kotorye-p roslushivali-zaprosy-p olzovateley-siri (дата обращения — 12.06.2020). 3
Глава I. Проблемы защиты конфиденциальной информации
их доверие к операторам сервисов, поэтому любые последующие меры являются, по сути, запоздалой реакцией, не позволяющей в достаточной мере защитить частную сферу жизни человека. Многие ведущие американские IT‑гиганты пострадали от китайских хакеров, в течение длительного времени занимавшихся кражей конфиденциальной информации, при этом о многих таких атаках широкой общественности вряд ли когда-либо станет известно, поскольку многие западные компании скрывают факты взлома своих информационных систем, чтобы избежать репутационных потерь и череды исков от своих пострадавших клиентов 7. Необходимо учитывать, что подобные угрозы будут и в дальнейшем возникать, поскольку полностью их, скорее всего, исключить нельзя, в связи с чем именно сами пользователи, привыкшие использовать те или иные программные инструменты, должны проявлять бдительность и максимальную осторожность, открывать доступ к своим личным данным только в случае очевидной необходимости и только лишь в тех разумных пределах, которые объективно нужны для получения доступа к функциональным возможностям сервиса. Еще одна практическая проблема, связанная с защитой конфиденциальной информации, касается использования в гражданском обороте усиленной квалифицированной электронной подписи, которая, с одной стороны, позволяет оптимизировать временные и финансовые затраты людей и организаций при подписании различных документов, однако, с другой стороны, несет в себе существенные риски для ее обладателя. В 2019 г. в столице нашей страны произошел случай мошенничества с квартирой из-за того, что действовавшее на тот момент законодательство не устанавливало обязательное требование личной подачи документов собственником в регистрирующий орган. В итоге преступники получили усиленную квалифицированную электронную подпись гражданина, а потом совершили сделку с его недвижимостью 8. 7
8
4
Рождественская Я. Китайские хакеры воровали данные у IT‑гигантов // Электрон. ресурс: https://www.kommersant.ru/doc/4012775 (дата обращения — 12.06.2020). Рассохин А. Электронная подпись оставила без квартиры // Электрон. ресурс: https://www.kommersant.ru/doc/3969174 (дата обращения — 1 3.06.2020).
Глава I. Проблемы защиты конфиденциальной информации
После этой опасной ситуации многие собственники недвижимого имущества обратились с заявлениями в регистрирующие органы с установлением запрета на совершение регистрационных действий с их жилыми помещениями и нежилыми объектами без личного присутствия, чтобы не стать жертвой мошенников. В дальнейшем Федеральным законом от 02.08.2019 № 286-ФЗ «О внесении изменений в Федеральный закон «О государственной регистрации недвижимости» данная проблема была решена за счет установления правила о том, что государственная регистрация права, его перехода, обременения и прекращения на основании заявления, поданного в электронном виде и подписанного усиленной квалифицированной электронной подписью, возможна только при наличии об этом в ЕГРН соответствующей записи, которая проставляется регистрирующим органом на основании заявления, составленного на бумажном носителе и подписанного собственноручно самим заявителем или его представителем, наделенным необходимыми полномочиями. Однако такое правовое решение в настоящее время не реализовано в иных областях, в частности, в такой важной сфере, как рынок потребительского кредитования, где от имени ничего не подозревающих граждан мошенники берут кредиты и займы, распоряжаются средствами на их счетах, лишая их имущества и вгоняя в долги. В этой области прямого запрета или к аких-либо ограничений на повсеместное использование усиленной квалифицированной электронной подписи закон не предусматривает. Так, в силу п. 2 ст. 160 ГК РФ использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон. В п. 4 ст. 11 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» предусмотрено, что в целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной 5
Глава I. Проблемы защиты конфиденциальной информации
подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами. Согласно п. 1 ст. 6 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее — Закон № 63-ФЗ) информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе. Как видно из содержания приведенных правовых норм, по общему правилу участники гражданского оборота могут свободно использовать при подписании документов и совершении различных сделок усиленную квалифицированную электронную подпись, исключение составляют только те случаи, когда законом прямо установлена необходимость использования собственноручной подписи. Как нам видится, главная проблема использования усиленной электронной подписи заключается даже не столько в риске несанкционированного доступа к закрытому ключу электронной подписи со стороны злоумышленников из-за нарушения порядка хранения данных и по иным причинам, а в связи с нарушением условий предоставления электронной подписи удостоверяющим центром, который может должным образом не провести идентификацию личности обратившегося к нему лица из-за пренебрежения требованиями законности и безопасности. Так, гражданин для получения электронной подписи должен предъявить паспорт, СНИЛС и представить иные данные, а удостоверяющий центр проверяет полученные документы и принимает на основании них решение (ст. 18 Закона № 63-ФЗ). Закон предусматривает необходимость установления удостоверяющим центром личности заявителя, но не устанавливает требований к порядку проведения данной процедуры. 6
Глава I. Проблемы защиты конфиденциальной информации
Административные штрафы, предусмотренные ст. 13.33 КоАП РФ за нарушение удостоверяющим центром обязанностей в сфере законодательства об электронной подписи, касаются его ответственности перед государством, но их взыскание даже в повышенных размерах само по себе не позволяет потерпевшему участнику гражданского оборота, на имя которого был выдан сертификат электронной подписи, восстановить свои права и законные интересы. Так, в одном деле гражданин из sms-сообщений и телефонных звонков случайно узнал, что на его имя оформлен микрозайм и он должен погасить образовавшуюся у него задолженность по договору микрозайма, который он в действительности не заключал. Кроме того, право требования несуществующей ссудной задолженности микрофинансовая организация уступила коллекторскому агентству, что повлекло нарушение права гражданина на защиту его персональных данных, а также незаконное представление его личной информации в бюро кредитных историй. Позиция микрофинансовой организации в этом деле выглядела достаточно странно: в отзыве на иск она не указала, какая именно подпись была использована при подписании заявки и договора (простая либо электронная усиленная неквалифицированная или квалифицированная), а также не были раскрыты сведения о самой электронной подписи и удостоверяющем центре, если договор микрозайма был заключен в виде электронного документа и подписан электронной подписью, как ее представители утверждали в суде. При таких обстоятельствах суд удовлетворил иск пострадавшего гражданина к микрофинансовой организации и коллекторскому агентству о признании договора микрозайма незаключенным, взыскании компенсации морального вреда с возложением на них обязанности направить информацию в бюро кредитных историй об аннулировании ранее внесенных сведений (Апелляционное определение Московского городского суда от 18.02.2020 № 33–6992/2020). Отметим, что из содержания п. 1 ст. 432 ГК РФ следует, что договор считается заключенным, если между сторонами в требуемой в подлежащих случаях форме достигнуто соглашение по всем существенным условиям договора. В рассматриваемой ситуации сам по себе договор скорее всего был оформлен с соблюдением предусмотренных законом 7
Глава I. Проблемы защиты конфиденциальной информации
требований, другой вопрос, что отсутствовало действительное волеизъявление конкретного гражданина на то, чтобы связать себя заемным обязательством. В такой ситуации надлежащим способом защиты, на наш взгляд, является признание спорного договора микрозайма не незаключенным, а недействительным на основании ст. 168 ГК РФ как не соответствующего требованиям ст. 158 ГК РФ. Вместе с тем при очевидном нарушении права гражданина и преследуемом им материально- правовом интересе (избавление от незаконно возложенного на него долгового бремени) суды в подобных случаях должны удовлетворять такие иски и применять в необходимых случаях соответствующие правовые нормы. Таким образом, электронные подписи, удаленные помощники, сервисы видеоконференций и иные удобные программные инструменты, которые в настоящее время представлены на рынке информационных технологий, безусловно имеют важное практическое значение и должны применяться, но с учетом минимизации тех рисков, с которыми сопряжено их использование. При всей важности таких инновационных технологических решений их практическое применение в повседневной деятельности не должно являться самоцелью, поскольку они призваны в первую очередь улучшить и упростить жизнь человека, а не создать для него дополнительные барьеры, проблемы и сложности. Использование таких инструментов должно являться осознанной необходимостью во всех тех случаях, когда без них сложно или даже невозможно обойтись (например, при работе на информационных площадках, связанной с участием в закупочных процедурах при размещении государственного или муниципального заказа на приобретение товаров, работ или услуг), а вот если такой необходимости нет, то вполне можно воспользоваться привычными инструментами, пусть и менее современными, но зато безрисковыми и надежными.
8