Коммерческая тайна об отечественных вакцинах от COVID-19

28-29 января российские СМИ дружно сообщали о том, что депутату Госдумы от КПРФ Алексею Куринному, врачу-хирургу в прошлой жизни, в ответ на запрос в прокуратуру, Минздрав сообщил, что вся информация о клинических испытаниях и составе препарата от COVID-19 является коммерческой тайной и не может быть обнародована без согласия разработчика, ссылаясь на статью 18 Федерального закона от 12.04.2010 № 61-ФЗ «Об обращении лекарственных средств». Акцент в ответе, судя по информации «Коммерсанта», делается на состав и содержание информации, входящей в состав регистрационного досье на вакцину.

Прежде чем продолжить свой пост, хочу сразу отметить два принципиальных момента:

1.    Я сторонник прививки от COVID-19 и привит.

2.    Отслеживая ситуацию, связанную с коммерческой тайной в нашей стране с момента принятия и вступления в силу Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне», я давно пришел к выводу, что о ней вспоминают чаще всего тогда, когда надо скрыть правду от общественности, и коммерческая тайна появляется в государственных органах, некоммерческих и даже благотворительных организациях, в которых по закону ее не должно быть в принципе в силу определения данной категории информации.

Исходя из этой диспозиции, давайте попробуем разобраться, насколько отказ Минздрава правомерен.

Здесь тоже есть принципиальные вопросы, и их четыре.

1. Какая информация закрыта в соответствии с законом «Об обращении лекарственных средств»?

Часть 18 статьи 18 закона действительно закрывает информацию о результатах доклинических исследований лекарственных средств и клинических исследований лекарственных препаратов для медицинского применения, представленной заявителем для государственной регистрации лекарственного препарата в Минздрав, на срок 6 лет.

Но! И это очень важно! Речь идет исключительно об использовании этой информации в коммерческих целях, которое возможно ранее 6 лет с даты регистрации только с согласия заявителя, а не о запрете любого доступа к данной информации. И, кстати, понятие «коммерческая тайна» в данной статье закона не упоминается от слова совсем. Какие основания были у Минздрава считать, что депутат Государственной Думы собирается использовать сведения из регистрационного досье в коммерческих целях, да еще с нарушением прав правообладателя - это большой вопрос. И, кстати, понятие «коммерческая тайна» в данной статье закона не упоминается совсем. Почему Минздрав ссылается именно на коммерческую тайну, режим которой если и вводился, то не им, а разработчиком вакцины – тоже интересно. Вернемся к нему при рассмотрении третьего вопроса.

2. Можно ли запрашиваемую информацию отнести к коммерческой тайне?

Закон «О коммерческой тайне» существенно ограничивает отнесение общественно значимой информации к коммерческой тайне. Так, пункт 4 статьи 5 указанного закона прямо запрещает устанавливать режим коммерческой тайны лицами, осуществляющими предпринимательскую деятельность (а не министерствами и ведомствами), в отношении сведений о санитарно-эпидемиологической обстановке и других факторах, оказывающих негативное воздействие на безопасность каждого гражданина и безопасность населения в целом. Сведения о негативных последствиях вакцинации, а тем более о противопоказания и возможных ограничениях (основаниях для медицинских отводов) – это как раз о негативном воздействии на безопасность граждан и населения, а о влиянии вакцинации на развитие пандемии (если они в досье есть) – сведения о санитарно-эпидемиологической обстановке.

Таким образом, некоторые сведения в досье для регистрации вакцины (в первую очередь, ноу-хау, связанные с ее составом, технологией производства и т.д.) могут составлять коммерческую тайну, но есть там и сведения, в режиме коммерческой тайны не охраноспособные, которые к этой категории информации ограниченного доступа закон относить запрещает.

Подводя итог второму вопросу, напомню, что часть 6 статьи 10 закона «О коммерческой тайне» не допускает использования режима коммерческой тайны в целях, противоречащих требованиям защиты здоровья, прав и законных интересов других лиц, обеспечения безопасности государства.

И, судя по информации в СМИ, депутат А. Куринный именно эти сведения и запрашивал.

3. Приняты ли обладателем информации все предусмотренные законом меры по установлению режима коммерческой тайны?

Перефразируя популярный интернет-мем, нельзя вот так просто взять и установить режим коммерческой тайны. Статья 10 закона «О коммерческой тайне» жестко устанавливает, что режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, следующих мер (в скобках в каждом пункте мои пояснения к закону):

1) определение перечня информации, составляющей коммерческую тайну, далее - ИКТ (т.е. у заявителя государственной регистрации вакцины должен быть документ, который прямо относит сведения, указанные в регистрационном досье, к коммерческой тайне);

2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка (т.е. у указанного выше лица должен быть локальный акт, подробно регламентирующий обращение с ИКТ и меры по ограничению доступа к ней);

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана (как своих работников, так и контрагентов, и органов власти, которым ИКТ была предоставлена и передана);

4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров (т.е. в трудовых договорах с работниками заявителя и его контрагентами, например, производителями вакцины, прямо должно быть прописаны наличие режима коммерческой тайны, порядок идентификации такой информации среди прочей, законом не охраняемой, и порядок обращения с ней);

5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации, его полного наименования и места нахождения (т.е. вся документации по вакцине, включая сведения в электронной форме, а также документы, поданные для государственной регистрации вакцины в Минздрав, должны содержать ограничительный гриф, наименование заявителя и его адрес).

Не выполнено хотя бы одно требование – режима коммерческой тайны нет. Нет и охраны, и защиты государственными институтами прав обладателя сведений. Тому масса подтверждений в судебной практике, о которых я не раз писал в своем блоге.

4. Обязаны ли депутату Куринному предоставить запрашиваемую информацию (на самом деле самый важный вопрос в рассматриваемом контексте)?

Часть 1 статьи 6 закона «О коммерческой тайне» обязывает обладателя ИКТ по мотивированному требованию органа государственной власти, иного государственного органа предоставить им на безвозмездной основе информацию, составляющую коммерческую тайну. Вторая часть этой же статьи предусматривает, что в случае отказа обладателя ИКТ предоставить ее органу государственной власти, такой орган вправе затребовать эту информацию в судебном порядке.

Так что для дальнейшего развития событий законодательство Российской Федерации предоставляет простой и прямой путь: Дума вправе истребовать необходимые сведения у заявителя на государственную регистрацию лекарственного препарата, которые об обязан предоставить, даже если отнес их к ИКТ (с грифом), и потребовать предоставить доказательства правомерности такого отнесения.

Если сведения охраноспособны - хранить их в режиме конфиденциальности, если нет – обнародовать, учитывая общественный и публичный интерес к ним, который после отказа Минздрава существенно вырос и породил подозрения.

Большое интервью к 15-летию закона "О персональных данных"

 К 15-летию закона "О персональных данных" дал большое интервью главному редактору журнала Business Exsellence Наталье Борисовне Кий о наболевшем - проблемах закона, его правоприменения, влиянии закона на бизнес в России и рисках для бизнеса и граждан.

Искусство читать нормативку. О биометрии для идентификации и аутентификации

С наступившим вас! Теперь и трудовым.

Начинаем трудиться.

Одна из главных проблем для меня в прошлом году – нормативно-правовые документы по биометрии от новоявленного (новоназначенного?) регулятора – Минцифры России. Казалось бы, каждый новый подзаконный акт должен вносить ясность в общую норму закона, раскладывая по полочкам конкретный порядок действий по ее выполнению. Как бы не так. Последние результаты нормотворчества ситуацию только запутывают, на мой взгляд. О проблемах использования биометрии в конце декабря хорошо написал на своем сайте-блоге Алексей Лукацкий. Но я сейчас немного о другом.

Итак, при выполнении проектов 2021 года наше агентство столкнулось с рядом вопросов заказчиков, касающихся применения биометрии. Сформулирую в более-менее обобщенном виде два основных вопроса ввиду ограниченности формата поста (на самом деле их гораздо больше):

1.     Всем ли можно применять биометрию для идентификации и аутентификации? Например, можно ли небольшому ритейлеру купить и поставить на компьютеры персонала или кассовые аппараты в магазине систему распознавания пользователей по пальчикам, то есть систему дактилоскопической идентификации?   

2.     Можно ли использовать в школе систему идентификации по рисунку вен ладоней для организации доступа на территорию школы, связав ее с системами учета полученного питания и выдачи книг в библиотеках (идея «Ладошек» пока вовсе не умерла, как думают некоторые).

Рассматриваемой биометрии (дактилоскопия и рисунки вен ладони) в Единой биометрической системе (ЕБС) нет. Можно ли их использовать в России? В ответах будет очень много букв. Понимаю, после каникул напряженно, но …

Читаем статью 14.1 ФЗ «Об информации, информационных технологиях и о защите информации» - самую главную в российском законодательстве с точки зрения регулирования использования биометрии. Она и называется соответствующе – «Применение информационных технологий в целях идентификации физических лиц» (хотя почему-то про аутентификацию в названии не упоминается, но порядок ее проведения статья определяет).

Части с 1 по 10 данной статьи регламентируют использование биометрии исключительно в ЕБС, где, как все хорошо знают, только лицо и голос.

Значит, если мы живем вне ЕБС, для нас требования данный статьи обязательными не являются? Нет, просто мы еще не все прочитали.

С 1 января в статье появилась новая часть 10.1, неожиданно расширяющая действие норм, изложенных ранее: контроль и надзор за обработкой персональных данных в ЕБС, а также в информационных системах государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций и индивидуальных предпринимателей, которые осуществляют обработку биометрических персональных данных при идентификации и (или) аутентификации, в том числе при взаимодействии с ЕБС осуществляет Роскомнадзор. Что это его область надзора, на мой взгляд, очевидно и так – глава 5 ФЗ «О персональных данных» для биометрии никаких исключений не содержит. И зачем об этом писать еще и в 149-ФЗ - совершенно не понятно. Важны слова про иные биометрические системы, не связанные с ЕБС – а новая часть их существование прямо допускает.

Про новую редакцию части 11, наделяющую Банк России полномочиями по контролю и надзору за реализацией организационных и технических мер по обеспечению безопасности персональных данных, отсутствующими в ФЗ «О персональных данных», надо писать отдельно, это в границы данного поста не вписывается.

Ну, а дальше, из части 13 статьи 14.1 становится очевидным, что с 01.01.2021 Минцифры регулирует использование любой биометрии в любых системах идентификации и аутентификации любых организаций, включая требования к таким системам (приказы Минцифры от 25.06.2018 № 321 в новой редакции, который утратит силу с 01.03.2022 и от 10.09.2021 № 943, с 01.03.2022 вступающий в силу), формы подтверждения соответствия любых технологий и средств для этих целей (приказ Минцифры от 07.07.21 № 685). Но вот беда: приложение № 3 к приказу № 943 опять только про голос и лицо, соответственно, и № 685 – тоже. Зато приложения №№ 1 и 2 к тому же приказу – про сбор, размещение хранение и использование биометрии и в иных системах тоже.

А дальше читаем крайне внимательно: часть 18.2 дает право организациям использовать ЕБС для аутентификации в целях совершения определенных действий (прохода на территорию, доступа к компьютеру или кассе), но не обязывает использовать только ее. Тем, кто использует ЕБС, необходимо использовать сертифицированную криптографию (часть 18.3), за реализацией мер защиты надзирают ФСБ и ФСТЭК (часть 18.4). И далее –про тех, кто подпадает под часть 18.2, то есть использует ЕБС.

Пока вроде бы никаких препятствий для использования систем, упомянутых в вопросах в начале поста и в тех целях, которые указаны в тех же вопросах, нет. Но это только пока.

С 1 сентября наступившего года вступят в силу новые части статьи 14.1. Части 18.18 и 18.20 определяют условия проведения идентификации и аутентификации с использованием биометрии в собственных информационных системах операторов уже без упоминания и связи с ЕБС. И тогда применение сертифицированной криптографии станет обязательным для нейтрализации актуальных угроз. И самое главное – все операторы, использующие биометрию, должны будут пройти аккредитацию в Минцифре (правила аккредитации утверждены Постановлением Правительства РФ от 20.10.2021 № 1799, вступившем в силу 1 января нового года, хотя статьи об аккредитации закона заработают с 1 сентября). Если же кроме аутентификации операторы захотят проводить и идентификацию с использованием биометрии, то есть создавать шаблоны и базы биометрии, а не только сверять полученные данные с шаблонами, то на них будут распространяться требования безопасности, предъявляемые к значимым объектам КИИ и ГИСам и взаимодействовать с Госсопкой (пункт 2 части 18.20), причем отнесение владельца системы идентификации к субъектам КИИ в качестве критерия здесь не упоминается.

И не менее важное: идентификация либо идентификация и аутентификация допускаются в случаях, установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации (часть 18.26 статьи 14.1). А вот с этой частью – полная засада. Распространяются ли эти случаи только на идентификацию и (или) аутентификацию с использованием ЕСИА и ЕБС или это закрытый перечень случаев биометрической аутентификации, которая выполняется без ЕБС, понять из текста нельзя. Не вносит ясность и Постановление Правительства РФ от 23.10.2021 № 1815, которым этот перечень случаев определен (вступает в силу с 1 марта, а статья закона, требующая его принятия – с 1 сентября).  Постановление ссылается на части 18.20 (в которой ЕБС не упоминается) и 18.26 (в которой использование ЕБС является обязательным). Кроме того, пункт 3 Перечня случаев допускает использование биометрии в СКУД, но кроме случаев входа на объекты, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями, а также режимных объектов, дошкольных и общеобразовательных организаций. В школах биометрия невозможна? Нет в Перечне случаев упоминания и об использовании биометрии товаров и услуг, которая вовсю внедряется сегодня где только можно и нельзя. Так закрытый это перечень случаев или нет? Распространяется ли он только на случаи использования ЕБС или нет? Вопросы, вопросы…

С аккредитацией тоже все очень плохо. Посмотреть можно про нее, если лень разбираться в законе и постановлении правительства, в посте Алексея Лукацкого, ссылка на который есть выше. Здесь уже про это рассказать не удастся, возможно, получится свою точку зрения высказать позже.

Ну, и ответы на поставленные в начале поста вопросы. До 1 сентября все это можно. После 1 сентября, похоже, лавочки придется свернуть.

С удовольствием почитаю мнение коллег – не накосячил ли я чего, разбираясь в законах, постановлениях и приказах, не ошибся ли при интерпретации установленных ими норм. Единственная просьба – указывать конкретные нормы, которые коллегами понимаются по-другому. С цитированием и пояснениями.

С новым вас трудовым годом. Мало, похоже, в нем не покажется. Трудимся.