UA / RU
Поддержать ZN.ua

Право на защиту конфиденциальной информации: теория и практика

В последнее время значительно обострилась проблема незаконного вторжения в частную жизнь граждан посредством высоких технологий...

Автор: Ирина Мусатова

В последнее время значительно обострилась проблема незакон­ного вторжения в частную жизнь граждан посредством высоких технологий. Так, например, недавно сотрудники Служ­бы безопасности Украины в Киеве пресекли деятельность коммерческой структуры, которая осуществляла незаконную оперативно-розыскную деятельность.

Действуя по подобию «карманной спецслужбы», фирма подслушивала и подсматривала, оправдывая свои незаконные действия статусом охранной структуры. Во время обысков в офисе новоявленного детективного агентства были изъяты материалы, свидетельствующие о том, что велось визуальное наблюдение за гражданами, прослушивание телефонных и мобильных разговоров. Были найдены досье на некоторых лиц, среди которых известные общественные и государственные деятели, журналисты, сотрудники правоохранительных органов.

На жестких дисках изъятых СБУ компьютеров содержались незаконно полученные конфиденциальные базы данных ГНА, Госкомстата, ЦИК и других государственных органов Украины. Таким образом, доверяя личную и коммерческую информацию, никто не может быть уверен, что данные не будут разглашены и использованы во вред недоброжелателями или теми же конкурентами.

— Специалисты Службы безопасности Украины также делают вывод о новых угрозах, связанных с противоправным использованием государственных электронных информационных ресурсов. Речь идет прежде всего о несанкционированном распространении баз, банков данных, реестров, которые принадлежат органам государственной власти и содержат информацию с ограниченным доступом, — рассказывает руководитель подразделения контрразведывательного обеспечения информационной безопасности государства департамента контрразведки СБУ Виталий Хлевицкий. — Как следствие возникает проблема обеспечения конституционного права граждан на невмешательство в личную жизнь (ст.32 Конституции Украины) в процессе развития национальных электронных информационных ресурсов.

В 2006 году следственными подразделениями СБ Украины было возбуждено 28 уголовных дел по фактам несанкционированных действий с конфиденциальными базами данных государственных органов. Практически во всех случаях в базах данных содержались персональные данные граждан Украины.

Такое положение дел оценивается экспертами как результат неопределенности основных правовых механизмов сбора информации о гражданах. Прежде всего не выписаны требования к защите персональных данных во время их автоматизированной обработки в государственных информационно-телекоммуникационных системах. Отсутствуют критерии оправданности такого сбора, особенно когда речь идет об информационных ресурсах субъектов хозяйствования негосударственной формы собственности.

В 2005 году впервые в Украине было возбуждено уголовное дело по факту незаконного сбора и распространения информации, являющейся собственностью государства и имеющей гриф ограничения «конфиденциально». Такие действия подпадают под действие ч.2 ст. 361-2 Уголовного кодекса Украины, которая предусматривает наказание в виде лишения свободы от двух до пяти лет с конфискацией программных или технических средств, послуживших для снятия и распространения информации.

Тогда Государственная таможенная служба Украины обратилась в СБУ с официальной просьбой разыскать лицо, распространяющее конфиденциальные сведения, которые хранятся в центральной базе данных Единой информационно-аналитической системы службы. Информация касалась экспортно-импортных операций субъектов внешнеэкономической деятельности.

Незаконным получателем и распространителем компьютерных данных таможенной службы оказался гражданин, уже знакомый подразделению контрразведывательного обеспечения информационной безопасности государства департамента контрразведки СБУ. Еще в 2004 году этот предприниматель впервые попал в поле зрения контрразведки как злостный распространитель спама, в том числе и на государственных сайтах. Тогда спецслужба ограничилась разъяснением о недопустимости его действий, поскольку они нарушают нормальную работу компьютерных сетей.

Новым расследованием было установлено, что коммерсант маскировался, сознавая общественно опасный характер своих действий. Предложения о продаже информации с ограниченным доступом он рассылал через Интернет на собственников электронных почтовых ящиков под видом рекламы. Предоплату оформлял как информационно-консалтинговые услуги в сфере внешнеэкономической деятельности в Украине. На самом деле продавал желающим компакт-диски с «позаимствованной» у гостаможни конфиденциальной информацией. Сотрудники спецслужбы предупредили руководителя фирмы о неправомерности его действий. Однако через месяц он продал обновленную базу таможенному брокеру, который обнаружил в ней перечень экспортно-импортных операций своего клиента. Брокер обратился в СБУ. В своем заявлении указал, что нечестные владельцы фирм, воспользовавшись такой базой данных, могут выявить объемы закупок и денежных средств конкурентов, что является коммерческой тайной. В процессе сбора доказательной базы оперативники получили еще несколько заявлений частных предпринимателей, где было указано, что незаконные действия злоумышленника препятствуют нормальному развитию бизнеса в Украине.

Достаточно широко распространено мнение о том, что при передаче персональной информации государственному органу или данных коммерческой структуры, например, банковскому учреждению для получения кредита, упомянутая конфиденциальная информация будет по умолчанию надежно защищена. Это не так. Значительная часть населения в таких ситуациях не уделяет внимания юридическому закреплению, причем в документальной форме, взаимных прав и обязанностей сторон по обеспечению конфиденциальности переданной информации. Ведь категория конфиденциальности должна быть особо оговорена — лишь это служит основанием для надлежащего уровня ее защиты. Действительно, вспомните, в реквизитах типичного договора на получение кредита нет пометки «конфиденциально»…

Законодательства многих стран требуют принимать надлежащие меры по охране персональных данных, обрабатывающихся в любых компьютерных системах от случайного или намеренного разрушения, а также от несанкционированного доступа, изменения или распространения.

Отечественное же законодательство в сфере информационной безопасности до сих пор четко не определилось в вопросах защиты персональных данных, которые размещены в государственных информационных ресурсах. Это ведет к нарушению конституционных прав граждан и не дает полномочий правоохранительным органам полноценно их защищать.

Кстати, Международная конвенция о защите лиц в связи с автоматизированной обработкой данных нашей страной подписана, но до сих пор не ратифицирована. Соответствующий закон Украины не принят. Можно сказать, что персональные данные граждан в процессе их автоматизированной обработки в Украине не защищены в должной мере. А ведь это вопрос неприкосновенности частной жизни.

Красноречивым примером четкого определения ответственности за правонарушения в сфере защиты персональных данных может послужить законодательный опыт Франции. С 1992 года там действует норма, в соответствии с которой незаконное использование данных Национального реестра идентификации физических лиц влечет уголовное наказание в виде пяти лет лишения свободы и выплату штрафа в размере двух миллионов франков (примерно 1 миллион 640 тысяч гривен).

Другой показательный случай из европейской практики. Одна из финских газет, которая допустила утечку персональных данных своих подписчиков, как выразился известный международный эксперт, «обанкротилась дважды», потому что по решению суда собственники газеты выплатили пострадавшим за ущемление их права на конфиденциальность персональных данных сумму, эквивалентную двойной стоимости издания.

Служба безопасности Украины неоднократно вносила предложения по законодательному усовершенствованию защиты телекоммуникационных сетей и компьютерных систем от несанкционированного проникновения. Так, в отечественном Уголовном кодексе появились статьи, которые определяют суть правонарушения в этой сфере и меру наказания в случае такого нарушения. Однако насущной становится необходимость принятия действенных мер по защите персональных данных в национальных информационных ресурсах. В первую очередь необходимо категорически запретить доступ к такой информации посторонним лицам на законодательном уровне, а для этого упорядочить процессы сбора персональных данных теми строго определенными субъектами, которые создают и предоставляют указанные ресурсы государственным органам. Также нужно установить ограничения в формировании баз персональных данных, что поможет защитить конфиденциальную информацию от несанкционированного использования.