В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Анализ судебной практики представляет собой исследование в сфере правоприменения, позволяющее проанализировать и систематизировать судебные дела, выделить устойчивые различия применения судами законодательства, а также выявить причины и условия, которые этому способствуют, чтобы выработать предложения и рекомендации. За счет обобщения судебной практики появляется возможность выявить случаи принятия различных судебных актов, касающихся одних и тех же вопросов права, проанализировать различное толкование закона, ошибки в применении норм материального и процессуального права, а также определить причины и условия их образования.
Проведем выборочный анализ судебной практики по делам в сфере информационной безопасности за последние несколько лет. Мы рассмотрели ряд норм российского законодательства, предусматривающих ответственность за нарушения в сфере информационной безопасности. Это ст. 138.1, 159.6, 183, 185.6, 272–274.1, 283–284 и 310 УК РФ, ст. 5.53, 13.11–13.14, 13.27.1, 13.33– 13.34, 14.30, 15.21, 17.13, 20.23 и 20.24 КоАП РФ.
Для поиска судебных решений нами использовалась крупнейшая в российском сегменте сети Интернет база судебных актов, судебных решений и нормативных документов – интернет-ресурс "Судебные и нормативные акты РФ" (sudact.ru).
Чтобы найти то или иное судебное решение на указанном сайте, мы использовали номер и наименование конкретной статьи кодексов и временной период. Кроме того, публикация судебных решений производится на тематических отраслевых сайтах.
Наличие судебной практики по таким делам свидетельствует о том, что очень важным аспектом является необходимость соблюдать формальные правила, организуя режим коммерческой тайны. В частности, Коломенский городской суд рассмотрел ходатайство, касающееся восстановления на работе сотрудника завода, которому вменялось нарушение режима коммерческой тайны. Персонал допускался на предприятие по регламентам, предусматривающим служебную и коммерческую тайну, а также обязан был руководствоваться положением о коммерческой тайне, где был установлен ее режим, и перечнем сведений, которые были включены в категорию "коммерческая тайна". На момент возникновения спорных взаимоотношений сотрудника и работодателя все документы действовали и вместе с другими сотрудниками истец был ознакомлен с ними, о чем свидетельствует его подпись в списке ознакомленных с подобными документами. Через некоторое время руководство предприятия ограничило доступ сотрудника к коммерческой тайне, но еще через какое-то время у него на столе были обнаружены рабочие материалы, имеющие гриф "КТ".
Дисциплинарный проступок был подтвержден руководством компании, по факту проверки был составлен акт, а также сделаны фото. Причину наличия у него на столе указанных документов сотрудник объяснить не мог. Так как ранее он уже подвергался дисциплинарным взысканиям за нарушение коммерческой тайны (копирование информации, вынос чертежей за территорию организации и пр.), то суд признал увольнение законным, поскольку работником не были сделаны должные выводы, а сам он не подчинился требованиям руководства.
Часть судебных решений касается проблем взаимодействия руководства банков с клиентами. В частности, на начальника отдела по работе с проблемными активами отделения одного из банков было наложено административное наказание в виде штрафа. Причина наказания крылась в том, что его подчиненный решил выяснить местонахождение должника посредством обращения к работодателю последнего. По мнению суда, налицо имели действия по распространению информации о наличии задолженности по кредитным обязательствам перед банком. Сотрудником банка был также осуществлен сбор информации недопустимыми методами.
Достаточно большое количество рассмотренных судебных дел посвящено искам по защите персональных данных. В частности, клиентка одного из банков обратилась в прокуратуру с заявлением о том, что были нарушены ее права на защиту персональных данных. Материалы проверки показали, что один из заемщиков сообщил банку ее персональные данные, представив заявительницу в качестве контактного лица. Согласно судебному решению, был нарушен установленный порядок обработки персональных данных: доступ к персональным данным получил неопределенный круг лиц, при этом субъект персональных данных своего согласия не давал. Данное правонарушение не является длящимся, а датой события правонарушения можно считать момент принятия соответствующих данных от заемщика. За указанное правонарушение следует наказание по ч. 1 ст. 4.5 КоАП РФ, но необходимо иметь в виду наличие трехмесячного срока привлечения к ответственности. Так как срок уже истек, наказание по закону не было назначено.
Значительная часть споров, касающихся проблемы распространения персональных данных – это споры со СМИ, публикующими информацию, касающуюся личной жизни граждан. Верховный суд вынес постановление о том, что Роскомнадзору дано право принимать решение о закрытии того или иного СМИ, если ему вменяется регулярное распространение информации о личной жизни граждан или же иное нарушение законодательства о персональных данных. Например, одной из газет Краснодарского края в публикацию была включена информация о несовершеннолетней – ее имя, фамилия и даже номер школы, где она учится. В адрес издания было направлено письменное предупреждение ведомства, но газета продолжала публиковать персональные данные несовершеннолетних. Краевой суд своим решением прекратил деятельность газеты, а существенность дела и правомерность его решения была подтверждена Верховным Судом РФ1.
Наряду с закрытием издания его также могут обязать по суду выплатить компенсацию за моральный ущерб. Так, по мнению суда по Санкт-Петербургу и Ленинградской области, была определена как нарушение публикация фотографии гражданина, а также сведений о нем, при этом согласие на распространение персональных данных гражданин не давал. Судом с газеты А. была взыскана в пользу вышеозначенного гражданина компенсация за моральный ущерб.
Анализ практики также выявил типовые проблемы медицинских или образовательных учреждений, оказывающих различные услуги населению, но при этом согласия на обработку персональных данных у клиентов не запрашивающих. В частности, специалисты клиники, расположенной в Самарской области, проводя медицинские осмотры, заносили персональные данные граждан в амбулаторные карты без получения согласия пациентов. Данное нарушение стало причиной привлечения директора медицинской организации к ответственности по ст. 13.1 КоАП РФ.
Игнорирование вопросов хищения чужого имущества или приобретения права на чужое имущество в сфере обращения компьютерной информации представляется недопустимым. Многие ошибочно считают, что цифровые технологии надежно защищены от мошенничества. Такой постулат неверен, чему есть большое количество практических примеров2.
По смыслу ст. 159.6 УК РФ вмешательством в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей признается целенаправленное воздействие программных и (или) программно-аппаратных средств на серверы, средства вычислительной техники (компьютеры), в том числе переносные (портативные) – ноутбуки, планшетные компьютеры, смартфоны, снабженные соответствующим программным обеспечением, или на информационно-телекоммуникационные сети, которое нарушает установленный процесс обработки, хранения, передачи компьютерной информации, что позволяет виновному или иному лицу незаконно завладеть чужим имуществом или приобрести право на него3.
Мошенничество в сфере компьютерной информации, совершенное посредством неправомерного доступа к компьютерной информации или посредством создания, использования и распространения вредоносных компьютерных программ, требует дополнительной квалификации по ст. 272, 273 или 274.1 УК РФ4.
Например, для хищения денежных средств из электронного кошелька первоначально необходимо получить код доступа к нему. В случае если кто-то взломает кошелек с помощью технических возможностей и похитит денежные средства, действия будут квалифицироваться по ст. 159.6 и 272 УК РФ. По такому же пути идет практика в случае, если хищение имущества происходит с помощью вредоносных компьютерных программ (ст. 273 УК РФ)5.
Одними из самых распространенных в судебной практике являются споры с правообладателями. Количество исков возрастает с каждым годом. Данная категория дел является самой дорогостоящей. Так, ответчики по таким делам – люди, публично размещающие информацию, права на которую принадлежат другим гражданам. При этом если спорный информационный объект распространяют с подачи владельца сайта его пользователи, ответственность также несет владелец сайта.
Важной частью судебной практики являются споры, связанные с хищением денежных средств через каналы дистанционного банковского обслуживания. Данные дела носят резонансный характер, при этом суды теперь не только обвиняют во всем клиента банка, заключившего договор и взявшего на себя все риски по электронным платежам, но и проводят оценку безопасности непосредственно банковских платежей. Так, согласно судебным решениям, в ряде дел была выявлена неосмотрительность действий банка, в связи с чем клиент такого банка получал право на возмещение всей похищенной суммы, а также на оплату расходов по экспертизе. Соответственно, сегодня суды предъявляют повышенные требования к безопасности банков.
Еще недавно в российской судебной практике практически не встречались примеры привлечения к уголовной ответственности за подделку электронных документов. Но сегодня имеется ряд судебных решений, где в качестве предмета преступления признаются:
Судами прямо указывается, что электронная форма составления, сохранения и представления документов не исключает наличия состава преступления в действиях субъекта. Так, в соответствии со ст. 327 УК РФ указанные документы отвечают признакам официального документа, форма же его предъявления в суд роли не играет.
Следует отметить, что в рамках данной статьи невозможно проанализировать весь объем судебной практики по делам в сфере информационной безопасности. Возможно, подробный анализ отдельных категорий дел будет проведен в последующих номерах журнала.
Можно заключить, что современная судебная практика рассматривает сегодня различные дела, связанные с информационной безопасностью – с нарушением конфиденциальности информации, разглашением персональных данных, подделкой электронных документов и пр. С каждым годом количество таких дел, находящихся на рассмотрении в судах, растет. Это подтверждает актуальность рассматриваемой проблемы и свидетельствует о необходимости вновь вернуться к ее рассмотрению в ближайшей перспективе.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2020