Часть 4 национального доклада "Правовые аспекты создания и функционирования баз данных. Проблемы информационной безопасности"
Unknown Author

4. ПРАВОВЫЕ АСПЕКТЫ СОЗДАНИЯ И ФУНКЦИОНИРОВАНИЯ БАЗ ДАННЫХ. ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

4.1. Законодательные и нормативные акты в сфере баз и банков данных

Правовые аспекты создания и функционирования БД связаны в основном с необходимостью решения двух проблем:
установления и защиты прав собственности на БД и другие информационные продукты;
обеспечения конституционного права граждан на информацию.

Первая проблема связана с тем, что машиночитаемые информационные массивы просты в воспроизведении и преобразовании, что затрудняет идентификацию объектов собственности. Проблему осложняет и необходимость отличать права на конкретный информационный продукт от прав на используемые для его создания носители информации, технические устройства, программы и т. д., а также от прав на исходные сведения.

Проблема права на информацию заключается прежде всего в формировании условий и правовых механизмов, гарантирующих создание необходимых для жизни и деятельности граждан (их объединений, государственных и негосударственных структур) информационных ресурсов и возможность доступа всех заинтересованных физических и юридических лиц к этим ресурсам.

Правовое регулирование общественных отношений в сфере БД осуществляется как путем издания правовых актов, специально посвященных этим вопросам, так и включением соответствующих норм в различные правовые акты. Кроме того, к БД применяются нормы правовых актов общего характера. В совокупности эти правовые акты составляют правовое обеспечение БД.

К нормативным актам, определяющим правовой режим БД, относятся:

Закон Российской Федерации от 23 сентября 1992 г. "О правовой охране программ для электронных вычислительных машин и БД";

Закон Российской Федерации от 9 июля 1993 г. "Об авторском праве и смежных правах";

Основы гражданского законодательства Союза ССР и республик, принятые 31 мая 1991 г.

В соответствии с этими правовыми актами на БД распространяется авторское право. При этом не имеет значения, считаются ли БД выпущенными или не выпущенными в свет и их качество. Правовая охрана распространяется на БД, представляющие собой результат творческого труда по подбору и организации данных.

Права всех остальных участников процесса генерации БД, выполняющих технологические и вспомогательные операции, права пользователей и покупателей информационных продуктов и услуг определяются на основе договорных отношений. Договорное право определяется Основами гражданского законодательства (Государственная Дума уже приступила к рассмотрению проекта нового Гражданского кодекса). После принятия два года назад Закона "О правовой охране программ для ЭВМ и баз данных", последующей организации добровольной регистрации БД и договоров на их передачу в РосАПО проблему установления прав собственности на БД можно было бы признать в значительной мере решенной, если бы не ряд важных обстоятельств.

Во-первых, суды и правоохранительные органы не готовы в большинстве случаев разбирать достаточно сложные споры о правах собственности на информационные продукты; в стране практически отсутствуют государственные и общественные структуры, готовые в массовом порядке осуществлять контроль за соблюдением договоров об использовании БД, проводить соответствующую экспертизу. Это, наряду с неразвитостью и низкой прибыльностью российского рынка, практически сводит к нулю заинтересованность владельцев БД в фиксации своих прав через РосАПО.

Во-вторых, права организаций, фактически распоряжающихся большей частью АИР, созданных на средства государства, и права самого государства на эти ресурсы во многих случаях не определены из-за отсутствия или некоторой условности договорных отношений при административно-командной системе управления.

Явно недостаточной является система подзаконных и ведомственных актов, закрепляющих права владения и распоряжения на БД, созданные в государственном секторе. Несмотря на многочисленные частные разработки, в том числе в организациях Роскоминформа, нет единой методической базы для закрепления в договорах прав на использование государственных информационных ресурсов, в частности, для создания новых БД и информационных продуктов.

В-третьих, отсутствуют специальные правовые акты по приватизации БД. Применение только общих норм, не учитывающих специфики информационных ресурсов, часто приводит к недооценке их реальной стоимости при приватизации использующих эти ресурсы предприятий (БД обычно не включены в состав основных фондов), а также к переходу информационных ресурсов, созданных на средства налогоплательщиков, в монопольное частное владение.

В-четвертых, в правоохранительном законодательстве практически отсутствуют нормы об ответственности за правонарушения в области АИР (так называемые компьютерные преступления).

Что касается проблемы обеспечения прав на информацию в части АИР, то она, несмотря на длительную и довольно подробную проработку, еще далека от своего решения. Для осуществления права на информацию надо прежде всего узнать, где имеется нужная информация и каковы возможности доступа к ней. Очевидно, что государство должно предоставлять такие сведения, по крайней мере, об информационных ресурсах, созданных на средства бюджета, об информации, касающейся прав, обязанностей граждан, и желательно других информационных ресурсах, необходимых для обеспечения важнейших бытовых, социальных, культурных, экономических и других потребностей. Однако создание государственной системы учета информационных ресурсов и информирования о них неоправданно затянулось. Обнадеживающей подвижкой в этом направлении стало содержащееся в Указе Президента РФ № 1390 от 1 июля 1994 г. указание о подготовке проекта Временного положения о государственном учете и регистрации БД, создаваемых за счет средств федерального бюджета.

Необходимо как на концептуальном законодательном уровне, так и на уровне конкретных нормативных актов федеральных и региональных органов власти определить порядок организации и использования государственных (федеральных, ведомственных, региональных) АИР, закрепить ответственность за их создание и поддержку АИР, необходимых для обеспечения функций государственного управления, обеспечения прав граждан на информацию, и за доступ к этим ресурсам.

Эти вопросы и проблемы прав собственности на информационные ресурсы были в значительной мере проработаны рядом организованных Роскоминформом научных коллективов. Ими были подготовлены: Концепция правового обеспечения информатизации России; проект Закона "Об информации, информатизации и защите информации", определяющий правовой режим информации в ее современных формах (прежде всего в виде АИР) и создающий каркас правовых отношений в сфере информатизации (базовый закон). Подготовлены также проекты законов "Об информационном обеспечении экономического развития и предпринимательской деятельности", "О персональных данных", "Об участии в международном информационном обмене и контроле за экспортом информационной продукции", "О внесении изменений и дополнений в Кодексы РФ об ответственности за правонарушения при работе с информацией", проекты ряда нормативных актов об организации и использовании федеральных и региональных АИР, предложения по проведению приватизации БД.

Принятие этих и ряда других законодательных и нормативных актов имеет важное значение для правового обеспечения развития и использования всех видов АИР. В октябре 1994 г. базовый Закон "Об информации, информатизации и защите информации" был принят Государственной Думой во втором чтении.

В то же время насущные задачи организации информационного ресурса в различных областях экономики, социальной и культурной сферы потребовали создания правовых и нормативных актов по отдельным видам Информационных ресурсов: архивным фондам, статистической информации, научно-технической, геологической, картографической, правовой информации, библиотеках и др. Часть этих актов уже принята, другие рассматриваются. Ряд правовых актов, регулирующих земельные, трудовые, пенсионные и другие отношения, устанавливают особенности правового режима БД по тому или иному виду информации. Как правило, этими правовыми актами определяется порядок создания соответствующих БД, условия предоставления информации, категории пользователей, обязанности соответствующих государственных органов.

Создание таких частных законодательных и нормативных актов на федеральном, ведомственном и региональном уровнях полезно и необходимо. Однако несогласованное регулирование отдельных частей информационных ресурсов России (по видовому или ведомственному признаку), отсутствие единых, закрепленных законом принципов правового регулирования создания и использования АИР, единой системы обеспечения права на информацию чревато возникновением серьезных противоречий между частными нормами, усилением ведомственных информационных барьеров и в конечном счете может воспрепятствовать созданию единого информационного пространства России. Любые ведомства и отдельные группы специалистов в своей деятельности связаны преимущественно с отдельными видами информационных ресурсов. Поэтому ответственность за ускорение доработки и принятие уже подготовленных правовых актов, обеспечивающих решение общих проблем информатизации и информационных ресурсов, лежит, в первую очередь, на общенациональных, президентских структурах, на парламентском Комитете по информационной политике и связи, а также на Роскоминформе, отвечающем за проблемы информатизации страны.

4.2. Обеспечение информационной безопасности

Под информационной безопасностью понимается защищенность от различного рода внешних и внутренних угроз системы формирования и распространения АИР, обеспечивающая их эффективное использование в интересах граждан, общества и государства.

К основным задачам обеспечения информационной безопасности относятся:

выявление и оценка угроз системе АИР;
защита прав граждан и юридических лиц на интеллектуальную собственность, сбор, накопление и использование информации;
усиление мер защиты государственной, служебной, коммерческой и личной тайн.

Угрозы информационной безопасности подразделяются на информационные, программно-математические, физические и радиоэлектронные.

Информационные угрозы — нарушения регламента информационного обмена; незаконные сбор и использование информации; несанкционированный доступ к информационным ресурсам; манипулирование информацией (дезинформация, скрытие или искажение информации); незаконное копирование данных в информационных системах; хищение информации из БД.

Программно-математические угрозы — внедрение программ-вирусов, аппаратных и программных закладок; уничтожение или модификация данных в информационных системах.

Физические угрозы — уничтожение или разрушение средств обработки информации и связи, а также машинных носителей информации; хищение аппаратных или программных парольных ключей; воздействие на персонал в целях реализации физических, программно-математических или информационных угроз; хищение носителей.

Радиоэлектронные угрозы — перехват информации в сетях передачи данных и линиях связи; воздействие на парольно-ключевые системы; радиоэлектронное подавление линий связи и систем управления.

Современные условия обеспечения информационной безопасности АИР характеризуются:

слабостью общей нормативно-правовой базы в информационной сфере;

появлением множества частных производителей и потребителей информации;

реальной опасностью расхищения информационного ресурса России за счет снижения возможностей государства по контролю за информационными потоками;

быстрым развитием международных систем информационного обмена в сферах экономики, науки, техники и технологии, доступных зарубежным пользователям;

появлением на рынке информационных продуктов и услуг информации, утечка которой представляет угрозу для безопасности страны.

В соответствии с общими задачами строительства в России открытого демократического общества и правового государства государственная политика обеспечения информационной безопасности в сфере АИР должна исходить из следующих основных положений:

признается приоритетным совершенствование существующего и разработка нового специального законодательства и нормативно-правовой базы информационных отношений в обществе;

должны быть обеспечены права граждан свободно искать, получать, передавать, производить и распространять информацию любым законным способом;

засекречивание — исключение из общего права на доступ к информации;

рассекречивание информации осуществляется в установленном законом порядке;

ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируется;

ущерб от засекречивания (рассекречивания) какой-либо информации должен быть минимальным для собственника этой информации;

любое лицо, собирающее, накапливающее и обрабатывающее персональные и любые другие конфиденциальные данные, несет ответственность перед законом за их сохранность и использование;

объем накапливаемых персональных и конфиденциальных данных должен быть минимальным, перечни таких сведений определяются установленным порядком;

интересы собственников, владельцев и распорядителей АИР охраняются законом;

государство обеспечивает контроль за созданием, сохранностью и исполь­зованием национальных АИР, а также способствует предоставлению гражданам доступа к мировым информационным ресурсам, глобальным информационным сетям.

Первоочередные меры по обеспечению информационной безопасности АИР должны быть направлены на:
защиту информационных прав и свобод личности;
защиту прав собственности на информационные продукты и технологии; защиту от утечки информации, составляющей государственную тайну;
предотвращение искажения, скрытия и уничтожения информации.