Юридические аспекты контроля над почтовым трафиком

Юридические аспекты контроля над почтовым трафиком
организации
Доклад на VII Международной конференции «Право и Интернет» http://www.ifap.ru/pi/07/
Доля Алексей Владимирович, магистрант Ростовского государственного
университета
Электронная почта является универсальным средством коммуникации и в то же
время таит в себе источник угрозы. Эффективное использование этого ресурса
требует проверки почтового трафика, однако сам факт сканирования, по сути,
нарушает право на тайну переписки.
Создается противоречивая ситуация. Необходимость защиты от электронных
угроз вступает в конфликт с неотчуждаемыми правами граждан, закрепленными в
Конституции. Чем глубже интеграция информационных технологий (ИТ) в
повседневную жизнь любой организации, тем более насущным становится вопрос
разрешения этого противоречия, поскольку от него зависит законность
используемых систем защиты и, как следствие, нормальная работа пользователя.
Постановка проблемы
В процессе проверки электронной корреспонденции участвуют три субъекта,
каждый из которых имеет определенные права:



Компания «X»
Гр. Иванов (сотрудник компании «X»)
Гр. Петров (знакомый Иванова)
Типичная ситуация заключается в факте пересылки Ивановым письма Петрову
(или наоборот) с его персонального адреса из домена и с использованием ИТинфраструктуры компании «X».
Экспертиза данной ситуации в условиях российской законодательной
действительности выявляет несколько существенных противоречий. Гр. Иванов
имеет право:


как сотрудник компании «Х» на переписку со своими адресатами от своего
имени в порядке осуществления функциональных обязанностей согласно
трудовому договору;
как гражданин РФ право на тайну переписки.
Правоспособность гр. Петрова включает право на переписку со своими адресатами
от своего имени и, как в предыдущем случае, право на тайну переписки. Наконец,
компания «Х» имеет право на охрану информации (коммерческой тайны, далее –
КТ), в частности, на действия с целью предотвращения утечки КТ по причине
небрежности или неосторожности сотрудника (Федеральный закон «О
коммерческой тайне»).
В России право на тайну переписки гарантируется любому гражданину РФ в в
соответствии с п.2 ст.23 Конституции и подтверждается ст.138 УК РФ («нарушение
тайны переписки, телефонных переговоров, почтовых, телеграфных и иных
сообщений граждан»). Ограничить это право может только Федеральный закон. В
настоящее время не существует такого закона, который однозначно определяет
право юридического лица на перлюстрацию электронной корреспонденции
сотрудника с целью защиты КТ и своей ИТ-системы. Вместе с тем действуют:




Федеральный закон «Об информатике, информатизации и защите
информации», который дает право организации-владельцу информации
право на ее защиту;
Федеральный закон «О коммерческой тайне»;
Трудовой кодекс РФ, имеющий статус Федерального закона (№197-ФЗ от
30.12.2001), где говорится, что «в трудовом договоре могут
предусматриваться условия: о неразглашении охраняемой законом тайны
(государственной, служебной, коммерческой и иной)» (ст.57);
комментарии к УК: «нарушение тайны переписки
заключается в
ознакомлении с ее содержанием без согласия лица, которому эта информация
принадлежит».
Какие меры необходимо предпринять компании для обеспечения безопасности
электронной переписки (защита от внешних угроз и утечки конфиденциальной
информации) и соблюдения прав Иванова и Петрова? Ведь если даже Иванов был
уличен в промышленном шпионаже при помощи автоматизированной системы
контроля почты, он не только может выйти сухим из воды, но даже выдвинуть
вместе с Петровым встречные иски, которые имеют почти 100% шанс быть
удовлетворенными. По причине лишения юридической силы доказательство вины
Иванова не будет допущено к гражданскому судебному процессу (нарушение ч.3
ст.49 ГПК РФ). Также невозможным становится принятие мер дисциплинарного
воздействия (например, увольнение, выговор). А доказательства вины Иванова
могут использоваться против организации в подтверждение нарушения
Конституции РФ и для возбуждения уголовного дела в отношении виновных лиц.
Внешние угрозы
В случае с внешними угрозами (вирусы, хакерские атаки, спам) проблема
законности проверки почтового трафика существенно облегчается. Поскольку
кибер-преступник действует всеми доступными нелегальными путями, то в его же
интересах остаться анонимным, не раскрывать своего имени и местонахождения.
Поэтому в случае принадлежности Петрова к компьютерному андерграунду и его
причастности к нарушению действующего законодательства (в частности ст.273 УК
РФ «Создание и распространение вредоносных программ для ЭВМ») вряд ли можно
ожидать претензий с его стороны в нарушении тайны его переписки. Рассылка
современных вредоносных программ, как и спама, осуществляется анонимно и
носит не личный, но публичный характер. Иными словами, Иванов фактически не
состоит в переписке с автором нежелательной рекламы или сетевого червя,
коммуникации
не
направлены
на
длительный
характер,
являются
предпринимательской (или преступной) деятельностью.
Внутренние угрозы
Гораздо сложнее обстоят дела в случае с мониторингом почтовой
корреспонденции с целью предотвращения утечки конфиденциальной информации.
Вопрос стоит очень остро, но как в данном случае совместить конституционное
право гражданина на тайну переписки и необходимость организации защитить
собственные данные? Рассмотрим все возможные варианты урегулирования
проблемы.
Вариант 1
Компания «Х» вносит дополнительное условие в трудовой договор с сотрудником
(Ивановым) о запрещении использования оборудования (собственности) компании в
личных целях, в том числе для отправления личных писем по электронной почте.
Увы, эта мера существенно ничего не изменит, т.к. фактически устанавливается
всего лишь дисциплинарная ответственность за сам факт использования
оборудования работодателя с нарушением трудового договора. Можно провести
параллель с бумажным документооборотом: в фирменный конверт, выданный
работодателем для отправления деловой корреспонденции, сотрудник вкладывает
свое послание и отправляет личному адресату. Вскрытие конверта третьим лицом
будет являться правонарушением. Остается лишь практическая возможность
установления самого факта отправления сообщения по «неправильному» адресу.
Если адрес действительно «правильный», но письмо содержит конфиденциальную
информацию, то такая утечка пройдет незамеченной.
Вариант 2
Компания «Х» устанавливает автоматизированную систему (Фильтр), которая
сканирует почту сотрудника и совершает над ней некие действия в соответствии с
настроенным алгоритмом. Администрирование Фильтра поручается другому
сотруднику компании (или третьим лицам по дополнительному договору). Этот
вариант решает задачу исключения физического лица из процесса просмотра
сообщения и тем самым возлагает ответственность за нарушение тайны переписки
на неодушевленный Фильтр. Однако это решение не позволяет исключить
ответственность компании, так как управление Фильтром осуществляет субъект,
имеющий определенные договорные отношения с компанией «Х». Субъект задает
критерии проверки содержания почты, т.е., не читая сообщений физически, он
нарушает право на тайну переписки путем возможности установить наличие
определенных слов в тексте письма. По аналогии можно сравнить вариант с
ситуацией, когда запечатанный фирменный конверт вскрывает установленный
компанией робот-манипулятор. Он же осуществляет прочтение, анализ текста и
изменяет оригинальную маршрутизацию сообщения.
Вариант 3
Взять за основу технологию документооборота в государственных органах
(широко представлена в ГОСТах и ОСТах). Она сводится к частичному
обезличиванию автора письма по следующему сценарию:



письмо отправляется на бланке (или с печатью организации);
обязательное наличие подписи должностного лица, которое и является
отправителем от имени организации;
обязательно наличие указания на фактического автора документа.
С точки зрения реализации электронного документооборота эта технология
предполагает, что сотрудник имеет право выйти с собственного электронного
адреса во внешнее информационное поле исключительно через своего руководителя
или специальное должностное лицо. Для формальности достаточно присваивать
безопасным письмам метку, подтверждающую одобрение текста письма,
отправляемого Ивановым от лица компании. Такая технология свидетельствует о
факте направления письма ответственному лицу и, не нарушая права на тайну
переписки, позволяет ознакомиться с содержимым письма. С другой стороны, она
не совсем соответствует общепринятым стандартам бизнес-коммуникаций.
Вариант 4
Гр. Иванов обращается к руководству компании «Х» с просьбой следующего
содержания: «Я, гр. Иванов, работающий по трудовому договору и сознающий свою
ответственность за разглашение коммерческой тайны, прошу оказать содействие в
анализе моей корреспонденции на предмет наличия в ней конфиденциальных
данных». Этот вариант, во-первых, уменьшает ответственность Иванова за
действительную неосторожность, поскольку свидетельствует о принятых им
надлежащих мерах. Во-вторых, его трудно назвать 100% решением задачи
официального доступа к тексту письма, так как заявление может быть объявлено
незаконным вследствие невозможности отказа гражданина от личных
неимущественных прав, каковым является тайна переписки.
Вариант 5
В основу этого варианта ложится анализ норм Федерального закона «Об
информатике, информатизации и защите информации». Он определяет понятия
собственника, владельца и пользователя ИТ-ресурсов, документированной
информации и самих ИТ-ресурсов (массивы документов в ИТ-системах). А это, в
свою очередь, позволяет отнести переписку Иванова к документированной
информации («зафиксированная на материальном носителе информация с
реквизитами, позволяющими ее идентифицировать»), входящей в ИТ-ресурсы,
собственником которых является компания «Х». Для формальной реализации
варианта необходимо, во-первых, внедрение в организации положения о
конфиденциальности, описывающего нормы внутренней безопасности и список
конфиденциальных документов. Каждый сотрудник должен быть с ним ознакомлен
«под роспись». Во-вторых, требуется модификация содержания трудового договора.
В частности, подписанный трудовой договор должен содержать условие об
обязанности хранить КТ, и что все, созданное Ивановым на рабочем месте
направляется в корпоративные ИТ-ресурсы. Таким образом, компания «Х» получает
право собственности на электронный документ и по своему усмотрению может им
распоряжаться: отправлять его указанному Ивановым адресу, архивировать,
анализировать на предмет наличия КТ.
Заключение
Трудно рекомендовать один, наилучший из представленных вариантов.
Выбранное решение зависит от сферы деятельности организации, специфики
внутренней структуры, выполняемых задач, сложившихся внутренних отношений.
Однако перечисленные варианты (особенно 3,4,5) дают представление о реальной
возможности разрешения проблемы коллизии норм права несколькими путями.
Развитие ИТ в России, несомненно, потребует от законодательных органов
инициатив по модернизации отечественной законодательной базы. Современный
рельеф российского правового поля защиты информации требует адекватных мер по
его выравниванию. В обратном случае, отсутствие прочной, однозначной
юридической основы защиты корпоративных ИТ-систем может затормозить
распространение ИТ и вызвать волну противоречивых судебных процессов.