2.1 Особенности правового статуса субъектов-участников правоотношений в информационных системах

Определение набора прав и обязанностей субъектов правоотношений является одной из главных задач для формирования правового статуса. Как отмечает Бачило И.Л., «только правовые средства регулирования могут обеспечить прочность и порядок связей всех субъектов, задействованных в создании, формировании, использовании информационной системы с учетом ее

133

технических, технологических и собственно информационных характеристик» .

Согласно позиции Витрука Н.В., система юридических прав, свобод, обязанностей и законных интересов личности составляет правовой статус

134

личности .

С другой стороны, Воеводин Л.Д. определяет правовой статус в более широком смысле и включает в его состав гражданство, правосубъектность, принципы правового положения личности, конституционные права человека и гражданина, юридические обязанности, юридические гарантии или

предусмотренные конституцией и законами условия и средства реализации прав и обязанностей личности^[133] ^{^[134] ^[135].}

О трудностях терминологического определения понятия «правовой статус» говорят многие исследователи^[136], но все же большинство из них сходятся в мысли, что основными составляющими правового статуса должны быть юридические права, свободы, обязанности личности.

В отношении определения правового статуса субъекта в информационной сфере Бачило И.Л. предлагает выделять следующие виды правового статуса:

- общий правовой статус субъекта в информационной сфере;

- специальный правовой статус субъекта в информационной сфере;

- исключительный правовой статус субъекта в информационной сфере.

Учитывая специфику роли, которую выполняет субъект, правовой статус

будет переходить в одну из предложенных категорий.

Определение правового статуса субъекта-участника правоотношений, возникающих при использовании информационных систем (далее - субъекта информационных систем) осложняется технологическими особенностями самого объекта.

Присутствие международной группы разработчиков, нахождение технической части за пределами Российской Федерации, трансграничная передача данных и т.д. обуславливает необходимость, в первую очередь, определить субъектный состав правоотношений, возникающих при создании и эксплуатации информационных систем.

Считаем, что применительно к информационным системам, понятие правового статуса субъектов определяется как набор прав, свобод и обязанностей, а также предусмотренные законодательством меры ответственности. Права, свободы и обязанности при этом устанавливаются как на законодательном уровне, так и документацией информационной системы, определяющей соответствующую субъектную группу.

В Законе об информации определены следующие субъекты информационных систем: владельцы, собственники, заказчики, пользователи и операторы информационных систем, а также обладатели информации, содержащейся в информационных системах, и правообладатели баз данных и программ для ЭВМ как составных частей информационных систем. ^[137]

Физические, юридические лица, государство могут быть владельцами информационных систем, которые могут выступать в качестве реализуемой продукции.

Согласно ст. 2 Закона об информации, оператором информационной

системы признается гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Как отмечается в трудах ученых по информационному праву , при использовании информационной системы необходимо участие определенной группы субъектов, обеспечивающих ее эксплуатацию, что расширяет субъектный состав информационной системы^[138] ^{^[139].}

Понятие «пользователь информационной системы» довольно широко охватывает другие категории субъектов отношений с информационными системами. Амелин Р.В. под «пользователем» определяет «лицо, имеющее право на получение всей или определенной информации, содержащейся в системе»^[140].

Необходимо отметить, что пользователь, в широком смысле слова, имеет право на все операции в отношении информации, содержащейся в информационной системе, в том числе на ввод информации и ее изменение. Исходя из вышесказанного, предлагаем определение понятия «пользователь

информационной системы», под которым следует понимать авторизованного в информационной системе субъекта, имеющего определенный уровень доступа к ней и возможность производить операции с информацией, хранящейся в информационной системе. Данное определение предлагается внести в ст. 2 Закона об информации с целью определения прав и ответственности данного вида субъектов, а также классификации типов пользователей, которые периодически выделяются в отдельный вид.

Автор предлагает определить субъектный состав в зависимости от набора действий, который может осуществлять в отношении информации субъект, применяя информационную систему. Иными словами, предполагается, что возможна некоторая направленность информации по отношению к информационной системе, а, соответственно, и субъекты, осуществляющую эту направленность:

- субъект (в частном случае, источник информации), который предоставляет (предъявляет) информацию, сведения для обработки и хранения их в информационной системе;

- субъекты, которые обрабатывают информацию (в шифрованном или дешифрованном виде);

- субъекты, в чьи обязанности входит передача (хранение) информации, в пространстве;

- субъекты, которые получают информацию.

Таким образом, в зависимости от действий, осуществляемых с информацией в субъекты, формирующие информацию; субъекты, обрабатывающие информацию; субъекты, передающие информацию; субъекты, получающие информацию.

Одним из примеров глобального укрупнения классификационных типов субъектов в исследуемой сфере может служить постоянное появление новых типов субъектов информационных систем в сети «Интернет». На сегодняшний день определить все виды субъектов «Интернет»-отношений довольно сложно, поскольку развитие информационных технологий порождает появление новых видов субъектов.

Более того, представляется необходимым использовать плюралистический подход к понятию объектов правовых отношений в сети «Интернет» в виду того, что многие виды отношений реализуются посредством сети «Интернет». Поэтому, объектами отношений могут выступать различные объекты жизнедеятельности человека - произведения литературы, искусства,

141

музыки и др. ^[141]

Сеть «Интернет» поражает многообразием субъектов правоотношений. Учитывая, что качественное развитие сети «Интернет» происходит молниеносно, то вероятно появление ряда новых субъектов отношений. Но, несмотря на появление новых субъектов, предложенная нами классификация позволяет определить одну из трех категорий для таких субъектов, что упрощает правовое регулирование отношений, участниками которых являются новые субъекты. Стоит заметить, что одно и то же физическое лицо может выступать в разных категориях субъектов.

Особый интерес вызывают новые субъекты правоотношений в сети «Интернет», которые закреплены в Законе об информации, такие как: блогер, новостной агрегатор, организатор распространения информации в сети «Интернет». Блогером, согласно Закону об информации, является владелец сайта, а на сегодняшний день распространенным способом ведения блога является периодическое опубликование информации на страницах социальных сетей.Далее, согласно законодательству, владелец сайта определяет порядок размещения материалов, которые не должны противоречить нормам закона, морали и этики. В обязанности блогера входит размещение на своей странице фамилии и инициалов, электронного адреса для направления ему юридически значимых сообщений. Таким образом, блогером является только физическое лицо, а владельцем сайта может быть как физическое, так и юридическое лицо, что нуждается в законодательном закреплении, на наш взгляд, посредством внесения изменения в определение понятия «блогер». Кроме этого, следует отметить, что блогер, благодаря развитию современных информационных технологий, может быть не только владельцем сайта, но и арендовать его, электронную страницу или ее часть.

Законодатель устанавливает, что для признания лица блогером необходимо более 3000 посещений. Что понимается под посещением? Предполагается, что под посещением будет пониматься факт однократного в течение суток обращения уникального пользователя к сайту и (или) странице сайта, и включающий его полную загрузку в браузер пользователя, просмотр или иные пользовательские действия в течение не менее 15 секунд, за исключением обращения и загрузки технических страниц серверов . Под уникальным пользователем понимается идентификация IP-адреса, но ведь с одного IP-адреса могут выходить в сеть разные люди, так же как и под одним IP-адресом может скрываться сеть компьютеров. Таким образом, однозначно подсчитать количество уникальных пользователей не всегда представляется возможным.

Стоит заметить, что основной целью блогера является опубликование информации с целью информирования определенной (или неопределенной) аудитории других пользователей (клиентов) сети «Интернет». Согласно предложенной нами классификации пользователей (клиентов), блогер попадает в первую категорию, а именно «предъявитель контента».

Также одним из условий является посещение 3000 пользователями за сутки, но ведь их количество может варьироваться в связи с различными условиями, чрезвычайными ситуациями и т.д. Так как блогер - часть группы предъявителей, то предпочтительнее организовать нормотворчество в отношении определенной категории субъектов, в данном случае, контентопредъявителей, обеспечить структуризацию субъектов данной категории по выбранному множеству параметров как технической, так и семантической направленности. В этом случае, при появлении нового способа предъявления контента, исчезнет необходимость внесения изменений в законодательство по данному поводу.

Роскомнадзор ведет реестр сайтов и (или) страниц сайтов в сети «Интернет», на которых размещается общедоступная информация и доступ к которым в течение суток составляет более трех тысяч пользователей сети «Интернет», но занесение в реестр, с правовой точки зрения, ничем не грозит блогеру, поскольку в любом случае необходимо выполнение обязанностей, указанных в Законе Об информации.

Таким образом, напрашивается вопрос о целесообразности ведения такого реестра, поскольку внесение и исключение из него записей ведет за собой динамичность основного списка, что будет затруднять формирование реестра в ^[142]

целом.

Считаем, что составление «черных» списков нежелательной информации и опасных сайтов практически неперспективно. Куда более важно предложить потребителям (особенно потребителям-детям) качественные «белые» списки и целые доменные зоны с актуальным полезным и качественным контентом. Системы поиска и идентификации потенциально опасной информации, впрочем, тоже совершенствуются и развиваются, что убедительно продемонстрировали представители нескольких отечественных IT-компаний^[143]. На сегодняшний день Председателем Правительства Российской Федерации подписано распоряжение об утверждении программы «Цифровая экономика Российской Федерации», где один из пунктов содержит требования до конца первого квартала 2020г. «ввести в эксплуатацию национальную систему фильтрации интернет-трафика при использовании информационных ресурсов детьми»^[144].

Таким образом, нововведения в Закон об информации^[145], или как его называют в сети «Интернет» - «Закон о блогерах», вследствие несогласованности техникосемантического представления понятия «блогер», отсутствия определения «блогера» как компонента сети «Интернет» («блогер» описан рядом фиксированных параметров: владелец, но не арендатор, 3000 посещений), что, на наш взгляд, является частным случаем. Такое представление «блогера» внесло в регулирование киберпространства больше вопросов, нежели ответов^[146].

Таким образом, можно заявить о необходимости типологизации субъектов отношений, складывающихся в связи с использованием не только сети

«Интернет», но и в целом информационных систем, и выделения вышеописанных типов субъектов. Подобная типологизация учитывает постоянное появление новых субъектов и позволяет сформулировать общие законодательные требования к данным субъектам. Такая классификация, дополняющая Закон об информации (например, в ст. 10.2), позволит избежать неоправданного введения отдельных категорий субъектов в законодательство.

Обращаясь к Конституции Российской Федерации, необходимо отметить, что право на поиск информации и ее распространение легальными способами закреплено на законодательном уровне. Кроме того, невозможен сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. Необходимо отметить, что положения Конституции являются основополагающими принципами определения правового статуса субъектов правоотношений, возникающих при разработке и эксплуатации информационных систем.

Одним из первых фактов вступления в правоотношения, реализующиеся посредством информационных систем, является идентификация субъекта в информационной системе. Недостаточный уровень защищенности информационных систем государственных органов и организаций различных форм собственности и сетей связи в условиях трансграничности и анонимности глобального информационного пространства является одним из основных факторов, способствующих активизации такой противоправной деятельности .

Одной из дискуссионных тем является отсутствие законодательно закрепленных дефиниций идентификации и авторизации в виду вероятного отсутствия понимания целесообразности введения операций идентификации и авторизации. Необходимо отметить, что основными функциями идентификации и авторизации являются функции охраны данных и контроля действий. ^[147]

На данный момент государством ведется учет таких персональных идентификаторов, как ИНН, СНИЛС, номер страхового медицинского полиса, паспортные данные.

В сфере коммерческих организаций большую популярность набирают единые электронные удостоверения сотрудника, сочетающие в себе функционал зарплатной карты, средства для аутентификации, средства для создания юридически значимого электронного документооборота. Электронное удостоверение выполняет многие функции: электронный пропуск (доступ в помещения, на парковку и пр.); надёжная двух- или трёхфакторная аутентификация в корпоративной сети для получения безопасного доступа к информационным ресурсам предприятия; биометрическая аутентификация пользователей.

В связи с последним положением возникает вопрос: существует ли признак, параметр биологического субъекта, который позволяет его однозначно идентифицировать, т.е. является неотделяемым от субъекта (например, ДНК, но его можно предъявить без субъекта - это также персональные данные). Есть ли набор признаков и процедур, которая позволяет достичь заданной степени идентификации? При использовании информационной системы субъект отчуждается от своих параметров. Полагаем, что на данный момент отсутствует возможность найти такую совокупность параметров, при которой вероятность идентификации была бы 100%, но можно бесконечно приближаться к точности.

Проблемы идентификации наиболее остро проявляются при дистанционном обслуживании ввиду специфики такого вида предоставления услуг.

Множественность способов идентификации приводит к мысли о создании такой системы, которая позволяет субъекту самому выбирать уровни идентификации. В основном такая функция может относиться к информационным системам, содержащим персональные данные субъекта. Например,

идентификация парой логин-пароль будет доступна бесплатно, а смс на телефон - уже платная версия.

Следует отметить, что у различных технологий аутентификации разная «цена вопроса». При двухфакторной аутентификации в стоимость входит и цена устройства, поэтому затраты на такую технологию всегда выше, чем на простую проверку пароля. Но не нужно забывать, что и ресурсы, к которым подключается пользователь, имеют различную ценность. Поэтому при выборе метода аутентификации необходимо придерживаться принципа, что стоимость защиты не должна превышать ценности ресурса. Есть решения для динамической аутентификации - проверка различных по надежности идентификаторов в зависимости от действий, которые производит пользователь в «облаке», чтобы на разных этапах работы с системой использовать разные уровни аутентификации, в зависимости от ценности информации^[148] ^{^[149].}

Некоторые проблемы в правовом, организационном и техническом обеспечении защиты информации, как указанное выше отсутствие точного регулирования процессов идентификации и авторизации, могут привести к несанкционированному доступу к данным информационной системы.

Продолжая тему идентификации, необходимо отметить и вторую сторону процесса - анонимизацию.

Учитывая развитие технологий, стоит отметить, что на данный момент широкое распространение получило использование субъектами программных продуктов, позволяющих сокрыть или изменить IP адрес. Вопросы анонимизации, а равно и идентификации субъектов отношений в сети «Интернет», напрямую связаны с обеспечением безопасности в информационной сфере. Если определение понятия «идентификация» находит отражение во многих нормативных документах , то понятие анонимности отражено в ГОСТ Р ИСО/МЭК 15408-2-2008 в части безопасности информационных технологий^[150] и представляет собой возможность совершать действия, не раскрывая идентификационных

данных пользователей. На самом деле, определено несколько степеней сокрытия данных - анонимность, псевдонимность, невозможность ассоциации,

ненаблюдаемость^{^[151]}.

Применение средств для обеспечения одной их этих степеней анонимности приводит к так называемому процессу анонимизации. Понятие «анонимизация» не раскрыто в отечественном законодательстве, но есть распространенное в сети «Интернет» мнение о том, что под этим понятием следует понимать «процесс удаления данных (из документов, баз данных и т. д.) с целью сокрытия источника информации, действующего лица и т. д.», т.е. процесс удаления персональных данных^[152]. Регулирование оборота персональных данных - отдельный блок правовых норм, но в данном случае необходимо понимать, что оборот персональных данных может осуществляться без согласия субъекта в целях обеспечения безопасности, в целях предотвращения экстремистских и террористических действий. Таким образом, сам термин говорит о том, что существует необходимость защищать свои данные, конституционные права граждан свободно искать, получать, передавать, производить и распространять информацию любым законным способом.

На сегодняшний день существует множество средств аналитики данных в сети «Интернет» для сбора и анализа информации и данных посетителей «Интернет»-ресурсов или пользователей сети «Интернет», т.е. субъектов отношений в данной среде. Одним из самых популярных таких аналитических средств является Яндекс.Метрика, которая фиксирует не только IP адреса пользователей сайтов, время, проведенное на сайте, ссылки, по которым переходили пользователи, но и регистрирует движение мышки пользователя.

Предполагается, что цель сбора таких данных - анализ деятельности сайтов, их продвижение и реклама.

Еще одним законодательным блоком, косвенно регламентирующим действия пользователей в сети «Интернет», является так называемый «Закон Яровой»^[153], который обязывает операторов связи с середины 2018 года хранить информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи - в течение трех лет с момента окончания осуществления таких действий. Согласно закону, указанные выше действия диктуются антитеррористическими целями, но в совокупности с вышеуказанными метриками, существует возможность составления определенного

«информационного портфолио» каждого субъекта отношений в глобальной сети.

В попытке защитить свои права, субъекты правоотношений в сети «Интернет» используют различные способы анонимизации, которые, как считается, могут обеспечить защиту именно интересов пользователей. Наиболее распространенными инструментами для сокрытия IP адресов являются: плагины, сервисы, прокси-сервера, сеть TOR и др.

Стоит отметить, что применение средств анонимизации, с одной стороны, направлено на защиту прав такой группы субъектов, как пользователи сети «Интернет», а с другой - на нарушение, например, авторских прав, в случае несанкционированного распространения объектов авторских прав, например в сети TOR.

В свете недавно принятой Доктрины информационной безопасности РФ^[154], стоит отметить, что вопросы идентификации и анонимизации также отражены в этом документе. Помимо упоминания права на свободный поиск и распространение информации, в ней зафиксировано, что деятельность государственных органов по обеспечению информационной безопасности основывается, в том числе, на соблюдении баланса между потребностью граждан в свободном обмене информацией и ограничениями, связанными с необходимостью обеспечения национальной безопасности в информационной сфере.

Представляется возможным, что такой баланс можно найти в случае определения необходимости идентификации субъектов (или, наоборот, возможной анонимизации) при выполнении различных действий. В таком случае, можно прийти к выводу, что:

- запрет к применению средств анонимизации не приведет к уменьшению случаев экстремистского и террористического характера, а нарушит права граждан на поиск информации;

- идентификации подлежит не факт вступления субъекта в «Интернет»- отношения, а факт обращения к определенным ресурсам, к услугам, осуществление которых без идентификации может нанести вред субъекту «Интернет»-отношений в частности, и обществу и государству в целом.

Все это создает значительные трудности при определении лиц, ответственных за правонарушения, совершенные с использованием информационных систем в сети «Интернет».

Во многом благодаря архитектуре информационных систем происходит четкое разделение и разграничение прав пользователей информационной системы. Так в зависимости от прав субъекта на использование информации, входящей в состав системы, определяется в целом его политика реализации действий в отношении информационной системы.

Рассмотрим особенности правового статуса для каждой из выявленных групп субъектов информационных систем.

Субъекты, которые являются источниками информации или в их обязанности входит сбор информации, должны соблюдать нормы, предписанные

законодательством в любой из сфер жизнедеятельности. Конституция РФ определяет, что субъекты имеют право на тайну переписки, телефонных

переговоров, почтовых, телеграфных и иных сообщений, которое может быть ограничено решением суда. Основные права субъектов первой категории - формирующих сведения - законодательно закреплены в соответствующих нормативных правовых актах. Так Закон о персональных данных содержит перечень прав субъектов персональных данных, а также обязанности операторов информационных систем персональных данных. Например, субъекты

персональных данных, согласно Закону о персональных данных, имеют право на получение информации, касающейся обработки их персональных данных. Кроме этого, он вправе требовать от оператора уточнения, блокирования или уничтожения его персональных данных. Права субъектов также могут быть ограничены в определенных случаях, которые указаны в законодательстве. К таким случаям относится, например, обработка персональных данных, которая осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

Стоит учесть, что существует ряд субъектов, некоторые персональные данные которых не подлежат засекречиванию. Так, согласно Закону о государственной тайне, сведения о состоянии здоровья высших должностных лиц Российской Федерации не должны быть удержаны в тайне.

Институт тайны определяет права и обязанности субъектов на получение и сохранение информации ограниченного доступа. ТаквФедеральном законе «О коммерческой тайне»^[155] закреплены права обладателя информации, содержащей коммерческую тайну, например, право на защиту в установленном законом порядке своих прав в случае разглашения, незаконного получения или незаконного использования третьими лицами информации. Безусловно, существует перечень сведений, которые субъект не может определить как коммерческую тайну. К таким сведениям относятся, например, данные о загрязнении окружающей среды или сведения об учредительных документах.

Обязанностью субъектов является предоставление достоверных сведений, в противном случае, предоставление заведомо ложных данных влечет за собой административную или уголовную ответственность (например, по ст. 14.25 КоАП РФ, ст. 176УК РФ).

Если субъект не является источником данных, а формирует сведения из других источников, то, в данном случае, также необходимо соблюдать законодательство в области получения информации. Так Закон Российской Федерации «О средствах массовой информации»^[156] ^{^[157] определяет обязанности журналиста по обеспечению достоверности сведений, сохранению конфиденциальности информации и (или) ее источника и т.д. Кроме этого, существуют права журналиста на осуществление его деятельности, в том числе на сбор информации. Например, журналист имеет право посещать специально охраняемые места стихийных бедствий, аварий и катастроф.}

От вида обрабатываемой информации зависит определение множества прав и обязанностей субъектов, которые занимаются такой обработкой информации. В большинстве случаев информация для пользователей этой категории предстает в зашифрованном или обезличенном виде (в отношении персональных данных). Так согласно Приказу Роскомнадзора «Об утверждении требований и методов по обезличиванию персональных данных» существует несколько наиболее перспективных и удобных для практического применения методов обезличивания: метод введения идентификаторов с созданием таблицы соответствия идентификаторов исходным данным; метод изменения состава или семантики; метод декомпозиции персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств; метод перемешивания. В случае, если информация обрабатывается в незашифрованном виде, операторы данных обязаны не разглашать сведения, полученные в ходе рабочей деятельности. Такие нормы закреплены в ряде нормативных правовых актов, посвященных специальному режиму - тайне (например, Федеральный закон «О коммерческой тайне» , Закон Российской Федерации «О государственной тайне»^[158] ^{^[159] ^[160] и т.д.).}

Субъекты, передающие информацию - информационные посредники, провайдеры - обязаны выполнять услуги по передаче данных в соответствии с договорными обязательствами. Действия информационных посредников, их права и обязанности фактически являются условием реализации прав и обязанностей основных участников правоотношения . Кроме этого деятельность информационных посредников также определяется Гражданским кодексом РФ, Законом об информации, федеральным законом «О связи»^[161] и др. Так, согласно Гражданскому кодексу РФ, информационный посредник несет ответственность за нарушение интеллектуальных прав в информационно-телекоммуникационной сети на общих основаниях.

Набор прав и обязанностей четвертой группы субъектов, которые получают информацию, зависит от многих факторов. Так Конституцией РФ определено, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. С другой стороны, согласно Закону о персональных данных, право субъекта на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами. Организация может обладать сведениями, составляющими коммерческую тайну, но по мотивированному требованию органа государственной власти обязана предоставить такие сведения^[162]. В зависимости от статуса субъекта, получающего информацию, определяется набор прав и обязанностей в отношении процессов получения информации.

Кроме определения прав и обязанностей субъектов-участников

правоотношений в информационных системах, необходимо обратить внимание на деятельность субъектов, участвующих в разработке и эксплуатации информационных систем.

С точки зрения социальных отношений, информационные системы в целом моделируют и обеспечивают функции хранения, преобразования, обмена информацией на различных уровнях и во множестве применений. Информационные системы весьма широко используются сегодня многими организациями - государственными, банковскими, производственными,

коммуникационными, бухгалтерскими и др., при этом должно быть гарантированное обеспечение правильности функционирования всех компонентов системы с целью полной реализации возложенных на нее функций. Поскольку практически любая информационная система, с точки зрения функциональной и технической, представляет собой многокомпонентную систему, имеет смысл выделять компоненты систем с целью возможной детализации юридической ответственности за нарушение законодательства при обработке, хранении и передаче информации каждого из этих компонентов, возникающие в результате неверной работы системы, поскольку в процессе обработки информации могут возникать различного рода ошибки: ошибки сбоя, ошибки алгоритмизации, ошибки ввода и т.д. Поскольку владельцами раздельных компонентов систем могут являться различные административные подразделения организации, необходимо разграничить зоны ответственности за некорректную работу тех или иных составляющих информационной системы в целом. Приведем пример: по налоговым сборам система налогообложения реализует функции учета юридических лиц - 1 отдел, учета финансового состояния -2й отдел, хранения базы данных - 3й отдел - технологи, ввода данных - 4й отдел - персонал, передачи требований по налогообложению - еще один отдел, контроля за исполнением этих требований - еще один отдел. Или, например, в настоящее время нередкий случай - отказ в выезде за границу из-за того, что в базе данных пограничников не отображаются данные об уплате налогов^[163].

При проектировании сложных информационных систем необходимо определить границы частей информационной системы, эксплуатацию которых проводят группы субъектов с различным правовым статусом. Контроль за исполнением обязанностей и за технической составляющей работы по вводу, передаче и обработке информации необходим не только для государственных, но и для любых других информационных систем.

К сожалению, на данный момент юридическая база для определения юридической ответственности не является достаточной для выше указанных случаев, поэтому отношения, возникающие при работе с информационными системами, регулируются, в первую очередь, нормами Гражданского кодекса РФ (глава 38 ГК РФ)^[164], однако этого явно недостаточно, поскольку сложно определить, кто несет ответственность за ненадлежащее выполнение работ в соответствии со ст. 773 и ст. 777 ГК РФ, поскольку отсутствует техническое и юридическое разграничение ответственности, возникающей за действия тех или иных субъектов в связи с работой тех или иных компонентов системы.

Таким образом, можно сделать вывод о том, что необходимо в эксплуатацию информационных систем вводить техническое средство разграничения зон ответственности. Зоны могут быть временными - своевременное невыполнение обязанностей операторами, пространственными - передача информации от одного юридически значимого субъекта другому, функциональные - правильная обработка и хранение данных, правильное функционирование обрабатываемых данных.

Очевидно, что в пределах каждой зоны ответственности необходимо правильно определять причины неверного функционирования системы. Тем более что на сегодняшний день законодателем не даны соответствующие определения неисправностям и неверному функционированию информационных систем и не предусмотрены меры ответственности за создание предпосылок возникновения неверного функционирования информационных систем^[165], что свойственно информационной системе как любому программному продукту. Для того чтобы дать эти определения, необходимо разделять ошибки по природе их возникновения и возможным последствиям, т.е. создать классификацию неисправностей, ошибок. В дальнейшем, в соответствии с данной классификацией, определять юридическую ответственность.

Для того чтобы классифицировать ошибки, которые уже могут присутствовать до момента начала эксплуатации (т.е. не связанные с неверной эксплуатацией системы), необходимо «разделить» информационную систему на

функциональные части. Существуют два глобальных компонента любой информационной системы:

- Аппаратная часть - изготовление технических средств, наличие сертификатов для создания целостной работы системы.

- Программная часть - программное обеспечение и базы данных.

К ошибкам аппаратной части можно отнести некачественные технические средства, отсутствие сертифицированных средств разработки (незащищенных), эксплуатация hardware (технической части) в ненадлежащем режиме, как то: превышение заявленных норм, увеличение допустимой нагрузки и т.д. Здесь нарушающей стороной может быть как сторона, предоставившая аппаратную часть (производитель; поставщик) - в том случае, если аппаратура дает сбой, находясь на гарантийном сроке, либо при работе в штатном режиме. Известны случаи, когда фирмы-производители отзывают бракованные составляющие (например, компания Intel). В данном случае нарушение со стороны производителя можно рассматривать как дефект (скрытый или явный) и руководствоваться соответствующими правовыми нормами. С другой стороны, нарушителем может быть и лицо (физическое, юридическое), эксплуатирующее аппаратную часть в ненадлежащем режиме: передача информации на расстояние, превышающее допустимое по техническим требованиям; большая нагрузка на аппаратную часть и др. В случае возникновения сбоя какой-либо части аппаратной компоненты необходимо проводить техническую экспертизу, на основании которой можно сделать заключение о том, был ли в конкретном случае допущен дефект со стороны производителя, либо было допущено ненадлежащие использование информационной системы в разрез с системными требованиями.

Ошибки программной части (непосредственно само программное обеспечение, т.е. информационная система как программный продукт и программные технологии, обеспечивающие ее использование) можно разделить на несколько групп в соответствии с тем, на каком из этапов жизненного цикла информационных систем они были допущены:

1. Ошибки разработки алгоритма работы информационной системы - ошибки, допущенные на стадии проектирования и анализа информационной системы. На данном уровне допускаются наиболее глобальные ошибки, устранение которых влечет наибольшие затраты, а последствия при допущении ошибок анализа могут повлечь ответственность со стороны нарушителя.

Данный этап включает в себя деятельность заказчика и исполнителя, поскольку результатом прохождения данного этапа должна быть законченная и утвержденная заказчиком проектная документация на основании составленного заказчиком технического задания на разработку. Автор считает, что исполнитель на данном этапе не должен нести ответственность, поскольку утверждающим и разрешающим лицом является заказчик. Ответственность исполнителя

начинается со следующего этапа (хотя некоторые ученые, в частности, Амелин Р.В.) говорят о том, что исполнитель не должен нести юридической ответственности за создание некорректно функционирующей информационной системы, а должен быть обязанным внести коррективы в информационную систему).

2. Ошибки разработки информационной системы - по большей части ошибки, допущенные при создании программного обеспечения или баз данных. Такие ошибки чаще всего выявляются при тестировании работоспособности системы до ввода ее в эксплуатацию.

Ошибки программирования достаточно легко устранимы специалистами- разработчиками, либо иными специалистами при условии открытого кода программного обеспечения.

Следующий блок разновидностей ошибок выявляется после ввода системы в эксплуатацию, поскольку вызван непосредственно действиями субъектов информационной системы:

3. Ошибки эксплуатации. На данном этапе, по мнению автора, превалируют ошибки, допущенные пользователями в виду некорректного ввода или изменения данных. Также могут встречаться аппаратно-алгоритмические ошибки, связанные со сбоями в работе техники или недостаточной проработкой применяемых алгоритмов.

4. Ошибки этапа прекращения эксплуатации. Например, неправильно переформатирование баз данных, неверные модификации алгоритмов взаимодействия сохраненных компонентов предыдущей информационной системы с новой.

Таким образом, для более точного применения правовых отношений, необходимо разграничивать сферу применения и работы информационной системы не только соответственно предложенным сущностям информационных систем, но и согласно этапам жизненного цикла системы.

В исследуемой сфере - информационной - правонарушения весьма многообразны, насколько этому способствует информационная сфера. Начиная с преступлений, связанных с поиском, созданием, обработкой, получением и хранением охраняемой законом информации, информационные преступления могут трансформироваться в административные или уголовные. Содержание и состав понятия «информационное правонарушение» определяется множеством общих и специальных признаков, которые имеют существенное значение для определенного класса правонарушений^[166]. Сегодня в науке информационного права в большей степени используют понятие «правонарушение в информационной сфере», хотя уже имеются попытки определить в качестве самостоятельной группы «информационные правонарушения» ^[167] ^{^[168], что в условиях стремительного развития и информационного общества весьма актуально.}

Меры ответственности за создание недоброкачественных информационных систем и технологий и некачественную их эксплуатацию содержатся в гражданском, административном и уголовном законодательстве. Так, согласно ГК РФ (п. 1 ст. 401 ГК), исполнитель в случае некачественного выполнения

обязанностей по созданию или выполнению работ обязан возместить убытки,

168

причиненные заказчику .

Административная ответственность наступает за нарушение законодательства о труде и об охране труда (ст. 5.27 Кодекса об административных

правонарушениях, далее - КоАП), за неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, либо

несвоевременное предоставление таких документов (ст. 5.39 КоАП).

Административную ответственность влечет за собой нарушение ст. 7.12 КоАП - нарушение авторских и смежных прав, изобретательских и патентных прав; ст. 13.11 КоАП - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональные данные); нарушение ст. 13.12 ч.1, ч.2, ч.3, ч.4, ч.5 - Нарушение правил защиты информации; ст.13.13 - незаконная деятельность в области защиты информации; ст. 19.7 - непредставление сведений (информации); 19.20 - осуществление деятельности, не связанной с извлечением прибыли; 7.12 - Нарушение авторских и смежных прав, изобретательских и патентных прав; 14.10 - незаконное использование товарного знака.

Уголовные правонарушения применительно к информационным системам могут быть разделены на две группы: нарушения правового режима информации, которая содержится в информационных системах, и нарушения порядка доступа к самой информационной системе.

Уголовная ответственность наступает за нарушение уголовного законодательства, а именно следующих статей Уголовного кодекса РФ: ст. 137 «нарушение неприкосновенности частной жизни»; ст. 138 «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений»; ст. 146 «Незаконное использование объектов авторского права или смежных прав, а равно присвоение авторства»; ст. 147 «Нарушение

изобретательских и патентных прав»; ст.140 «Отказ гражданину в предоставлении информации». Нарушение порядка доступа к системе регламентируется следующими статьями: ст. 272 «Неправомерный доступ к компьютерной информации»; ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети»^[169]. Отдельная группа преступлений может быть выделена в связи с незаконными действиями в области государственной тайны и других видов информации ограниченного доступа.

Гражданско-правовая ответственность наступает при причинении вреда другому лицу, согласно ст. 1064 Гражданского кодекса: вред, причиненный личности или имуществу гражданина, а также вред, причиненный имуществу юридического лица, подлежит возмещению в полном объеме лицом, причинившим вред. В соответствии со ст. 1301 ГК РФ обладатель исключительных авторских прав может требовать по своему выбору от нарушителя вместо возмещения убытков выплаты компенсации.

В случае нарушения личных неимущественных прав составителя базы данных или автора произведения, включенного в базу данных, их защита может осуществляться, в частности, путем признания права, восстановления положения, существовавшего до нарушения права, пресечения действий, нарушающих право

или создающих угрозу его нарушения, компенсации морального вреда, публикации решения суда о допущенном нарушении (п. 1 ст. 1251 ГК РФ).

Выводы. В параграфе рассмотрен правовой статус субъектов-участников правоотношений в информационных системах, который определен как набор прав, свобод и обязанностей, а также предусмотренные законодательством меры ответственности. В зависимости от набора действий, осуществляемых с информацией в информационных системах, предложено выделять следующие группы: субъекты, формирующие информацию; субъекты, обрабатывающие информацию; субъекты, передающие информацию; субъекты, получающие информацию. Определен набор прав и обязанностей для каждой группы субъектов. В ходе анализа понятийного аппарата выявлено отсутствие на законодательном уровне понятия «пользователь информационной системы», которое предложено понимать как авторизованного в информационной системе субъекта, имеющего определенный уровень доступа к ней и возможность производить операции с информацией, хранящейся в информационной системе.

2.2

<< | >>

↑

Источник: Жернова Влада Михайловна. Правовой режим информационных систем. Диссертация на соискание ученой степени кандидата юридических наук. Челябинск - 2017. 2017

Еще по теме 2.1 Особенности правового статуса субъектов-участников правоотношений в информационных системах:

- Информационное право России - Інфомаційне право України -