По просьбе Ассоциации Business Information Security (BISA) написал небольшую статью
о режиме коммерческой тайны в организации. Для удобства читателей блога –
привожу ее текст ниже.
Задайте себе тривиальный вопрос, есть ли в вашей организации коммерческие
секреты, и ответ на него неизбежно окажется столь же тривиальным. Но вот на
вопрос, что же с этими секретами делать, простого ответа нет. И годами не
стихают споры между сторонниками и противниками установления жесткого контроля
над информационными потоками и техническими средствами.
«А на фига?»
С момента появления в Гражданском кодексе РФ
ст. 139, определявшей коммерческую тайну (сегодня эта статья утратила силу), а
особенно после принятия в 2004 г. специального закона № 98-ФЗ «О коммерческой
тайне» в профессиональной среде не утихают споры, суть которых чаще всего
сводится к вопросу черного ворона из поэмы А. Вознесенского: «А на фига?».
Пессимисты справедливо указывают, что меры защиты секретов, предлагаемые
законом, безнадежно устарели и как-то уж очень подозрительно напоминают
рекомендации режимщика-пенсионера из 1-го отдела. Все эти грифы, ознакомления
под роспись с разработанными не для бизнеса, а для его защиты нормативными актами,
учеты осведомленности и прочие посыпанные нафталином меры, извлекаемые из опыта
прошлого, а то и позапрошлого века, вызывают оторопь и неприятие у современного
бизнесмена.
Требование закона об обязательности
установления контроля над соблюдением порядка обращения с информацией,
составляющей коммерческую тайну, ситуацию только усугубляет. В организации,
задумавшейся о вводе режима коммерческой тайны, тут же находятся доморощенные
«правозащитники», громогласно цитирующие нормы Конституции о неприкосновенности
частной жизни, праве на личные секреты, на тайну переписки, телефонных
переговоров, почтовых, телеграфных и иных сообщений, которая может быть
нарушена только по решению суда. Правда, эти блюстители privacy очень не любят,
когда кто-то вспоминает другую норму основного закона: осуществление прав и
свобод гражданина не должно нарушать права и свободы других лиц.
Специально для любителей ссылок на
Конституцию и неприкосновенность личной жизни на рабочем месте цитирую решение
одного из судов по этому вопросу: «Ссылку истца на нарушение ст. 23 Конституции
РФ, ч. 2 ст. 55 ГПК РФ суд считает несостоятельной, поскольку информация была
извлечена из компьютера, установленного на рабочем месте истца и используемого
для осуществления трудовой функции».
Собственно, на этом тему правомерности
контроля можно было бы закрыть, но на всякий случай – еще два аргумента.
Во-первых, в Уголовном кодексе есть ст. 138.1 «Незаконный оборот специальных
технических средств, предназначенных для негласного получения информации». И
мне не доводилось слышать, что по ней привлекали производителей или продавцов
DLP-систем. Тех, кто заказали в Китае ручки или часы со встроенными камерой и
микрофоном, – пожалуйста, а вот производителей средств контроля над доступом к
информации – ни разу.
Во-вторых, нередко можно от кого-нибудь
услышать, что, мол, недавно работодателя привлекли к ответственности за
нарушение тайны переписки, но я ни разу не получил конкретного ответа на
просьбу дать ссылку на такое решение суда. Зато более чем достаточно решений,
которые основаны на предоставленных работодателем доказательствах «слива»
информации, полученных его айтишниками или безопасниками путем анализа,
например, электронной почты.
Вот – цитата из определения суда кассационной
инстанции 2014 г., оценивавшего возможность рассмотрения жалобы на
апелляционное решение, по которому было признано правомерным увольнение
работника за разглашение секретов. «К генеральному директору поступила
служебная записка директора Департамента информационных технологий, из которой
следует, что в ходе проведения контрольной проверки использования корпоративной
почтовой системы сотрудниками компании был установлен факт отправки пакета
документов на внешние адреса электронной почты, не принадлежащие компании». Суд
эту докладную, как и остальные предоставленные ответчиком материалы,
рассмотрел, увольнение признал законным и жалобу не принял.
Или – еще одно решение как контрдовод тем,
кто считают, что собрать доказательства неправомерных действий сотрудника
работодатель не может: «Комиссия во исполнение приказа генерального директора
провела проверку на предмет нарушения коммерческой тайны и установила, что ХХХ
имела доступ к служебной информации, охраняемой режимом коммерческой тайны, и
допускала нарушения этого режима: с использованием персонального компьютера она
переписала на личную флэш-карту 57 файлов, содержащих конфиденциальную
информацию, и передала по электронной почте третьим лицам сведения о
планируемых у заказчика объемах работ и их стоимости».
Что тут думать, трясти надо!
В конечном счете, устанавливая режим
коммерческой тайны, обладатель охраноспособной информации решает несколько
задач. Он создает правила работы, четко свидетельствующие о недопустимости
использования определенной информации вне установленных процедур, контролирует
выполнение этих правил и повышает общую дисциплину документооборота, наконец,
создает условия для привлечения виновных в нарушении правил к ответственности –
дисциплинарной, уголовной, гражданско-правовой.
Цитата из судебного решения – для тех, кто
считает бесперспективным сбор доказательств вины сотрудника за разглашение
коммерческой тайны, объективных и субъективных фактов дисциплинарного нарушения
с целью увольнения этого работника. «Довод апелляционной жалобы истца о том,
что судом не установлено наличие либо отсутствие ущерба, причиненного ответчику
в результате действий истца, несостоятелен, поскольку не имеет правового
значения и не может повлечь отмену вынесенного по делу решения».
В некоторых случаях даже наличие или
отсутствие грифа секретности на документе не является решающим фактором для
привлечения «разгласителя» к ответственности. Гораздо важнее, как определены
права и обязанности участников правоотношений, связанных с коммерческими
секретами.
Случаев привлечения к уголовной ответственности
по ст. 183 – очень много: с реальными и условными сроками, большими и
маленькими штрафами... Статья работает, если обладатель информации,
составляющей коммерческую тайну, действительно заботится о ее сохранности, если
его сотрудники и контрагенты знают о возможных последствиях разглашения,
«слива» или неправомерного использования тайны.
Ну а теперь вернемся к вопросу, упомянутому в
начале статьи: «Есть ли в вашей организации секреты?». Чаще всего на него дает
ответ договор с контрагентом, гласящий примерно следующее: «Все сведения о
деятельности сторон, полученные ими при заключении, изменении, исполнении и
расторжении договора, а также сведения, вытекающие из содержания договора,
являются коммерческой тайной и не подлежат разглашению третьим лицам в течение
срока действия договора и … лет после его окончания». Но без режима
коммерческой тайны и предусмотренных законом мер охраны конфиденциальности эти
слова ничего не значат.
Вот что решил арбитражный суд, рассмотрев иск
о неисполнении условий договора и разглашении цен продажи: «В отношении
сведений о порядке расчетов за услуги по передаче электроэнергии стороны
договора перечень информации, составляющей коммерческую тайну, не определяли,
порядок обращения с данной информацией и контроль над его соблюдением не
установлен, учет лиц, получивших допуск к конфиденциальной информации, не осуществлялся,
текст договора не содержит грифа «Коммерческая тайна» с указанием обладателя
такой информации». В результате суды первой, апелляционной и надзорной
инстанций совершенно справедливо пришли к выводу, что передача третьим лицам
информации, четко не определенной в договоре, закона не нарушает, и в
возмещении убытков истцу отказали.
Судебная практика по делам, связанным с
коммерческой тайной, в нашей стране велика и разнообразна. Ее ведут суды всех
инстанций – от районных до Верховного и Конституционного. Есть достаточно
четкое понимание того, в каких случаях и почему права обладателей секретов
защищаются, а в каких – нет.
Почему же не прекращаются споры о
коммерческой тайне среди специалистов по ИБ? Выскажу не очень приятную для
нашего сообщества мысль: в большинстве организаций, обращающихся в суды,
ИБ-служб нет. Вообще. С нарушителями судятся хлебозаводы и маленькие компании,
торгующие по почтовым каталогам, Интернет-провайдеры третьего уровня,
Интернет-магазины и разработчики софта. Какая связь? Очень простая. Путь к
режиму коммерческой тайны проходит не через службу ИБ, а через
бизнес-подразделения. И пока они не осознают ценность режимных мер,
коммерческая тайна в организации не появится.
А в заключение – по поводу устаревших
механизмов защиты коммерческих секретов. Пока мы спорим, надо ли делать,
некоторые делают. Создают новые системы и средства защиты таких секретов, о
которых, как правило, не услышишь на российских конференциях. Используют новые
технологии, развивают и обеспечивают бОльшую доступность известных технологий,
по каким-то причинам не получивших распространения. Но об этом – как-нибудь в
другой раз.
Михаил, если не сложно, то уточните практический аспект КТ: насколько хлопотно добиться не просто увольнения сотрудника, а чего-то более серьезнее: возбуждения дела, компенсаций и т.д.? Я так понимаю, что компенсации только в случае доказанного ущерба (причем не упущенной выгоды, а непосредственного).
ОтветитьУдалитьИ второй вопрос про расследования - достаточно ли доказательной базы, собранной самостоятельно, без привлечения экспертов и органов? А для дел по ГК/УК?
Возбуждение уголовного дела - процесс непростой и добиться удается далеко не всегда. Относительно возмещения убытков. В законе "О коммерческой тайне" (п.3 части 3 ст.11) предусмотрено возмещение именно убытков (они в соответствии со ст.15 ГК РФ включают и упущенную выгоду), а не прямого действительного ущерба, как в ст.238 ТК РФ. Но о практике взыскания работодателем ущерба или убытков с работника я не знаю. В известных мне детально случаях работодатель от этой мысли отказывался по понятным причинам.
ОтветитьУдалитьДля увольнения собранных своими силами доказательств вполне хватает (включая последующий спор в суде), но надо четко выполнить требования ТК о привлечении к дисциплинарной ответственности. Для ст.183 УК, конечно, нет - это будут делать органы следствия и дознания. Про взыскание убытков я написал выше.