Право на захист конфіденційної інформації: теорія і практика

Останнім часом значно загострилася проблема незаконного вторгнення у приватне життя громадян за допомогою високих технологій. Так, наприклад, нещодавно співробітники Служби безпеки України в Києві поклали край діяльності комерційної структури, яка здійснювала незаконну оперативно-розшукову діяльність.

Діючи на кшталт «кишенькової спецслужби», фірма підслуховувала і підглядала, виправдовуючи свої протизаконні дії статусом охоронної структури. Під час обшуків у офісі новоявленого детективного агентства було вилучено матеріали, які свідчать про ведення візуального спостереження за громадянами, прослуховування розмов по стаціонарних і мобільних телефонах. Були знайдені досьє на деяких осіб, серед яких відомі громадські і державні діячі, журналісти, співробітники правоохоронних органів.

СБУ було вилучено жорсткі диски комп’ютерів з незаконно отриманими конфіденційними базами даних ДПА, Держкомстату, ЦВК та інших державних органів України. Таким чином, довіряючи особисту і комерційну інформацію, ніхто не може бути упевнений, що дані не будуть розголошені і використані недоброзичливцями або тими ж конкурентами.

— Фахівці Служби безпеки України також роблять висновок про нові загрози, пов’язані з протиправним використанням державних електронних інформаційних ресурсів. Йдеться насамперед про несанкціоноване поширення баз, банків даних, реєстрів, які належать органам державної влади і містять інформацію з обмеженим доступом, — розповідає керівник підрозділу контррозвідувального забезпечення інформаційної безпеки держави департаменту контррозвідки СБУ Віталій Хлевицький. — Як наслідок виникає проблема забезпечення конституційного права громадян на невтручання у особисте життя (ст.32 Конституції України) в процесі розвитку національних електронних інформаційних ресурсів.

У 2006 році слідчими підрозділами СБ України було порушено 28 кримінальних справ за фактами несанкціонованих дій з конфіденційними базами даних державних органів. Практично у всіх випадках у базах даних містилися персональні дані громадян України.

Такий стан справ оцінюється експертами як результат невизначеності основних правових механізмів збору інформації про громадян. Насамперед, не виписані вимоги щодо захисту персональних даних під час їхньої автоматизованої обробки в державних інформаційно-телекомунікаційних системах. Відсутні критерії виправданості такого збору, особливо, коли йдеться про інформаційні ресурси суб’єктів господарювання недержавної форми власності.

У 2005 році вперше в Україні було порушено кримінальну справу за фактом незаконного збору і поширення інформації, яка є власністю держави і має гриф обмеження «конфіденційно». Такі дії підпадають під ч.2 ст. 361-2 Кримінального кодексу України, яка передбачає покарання у вигляді позбавлення волі від двох до п’яти років із конфіскацією програмних або технічних засобів, які використовувалися для виявлення і поширення інформації.

Тоді Державна митна служба України звернулася до СБУ з офіційним проханням розшукати особу, яка розповсюджує конфіденційні відомості, що зберігаються у центральній базі даних Єдиної інформаційно-аналітичної системи служби. Інформація стосувалася експортно-імпортних операцій суб’єктів зовнішньоекономічної діяльності.

Незаконним одержувачем і розповсюджувачем комп’ютерних даних митної служби виявився громадянин, уже знайомий підрозділу контррозвідувального гарантування інформаційної безпеки держави департаменту контррозвідки СБУ. Ще в 2004 році цей підприємець уперше потрапив у поле зору контррозвідки як злісний розповсюджувач спаму, у тому числі й на державних сайтах. Тоді спецслужба обмежилася роз’ясненням про неприпустимість його дій, оскільки вони порушують нормальну роботу комп’ютерних мереж.

Новим розслідуванням було встановлено, що комерсант маскувався, усвідомлюючи суспільно небезпечний характер своїх дій. Пропозиції про продаж інформації з обмеженим доступом він розсилав через Інтернет власникам електронних поштових скриньок у вигляді реклами. Передоплату оформляв як інформаційно-консалтингові послуги в сфері зовнішньоекономічної діяльності в Україні. Насправді продавав бажаючим компакт-диски із «позиченою» у Держмитниці конфіденційною інформацією. Співробітники спецслужби попередили керівника фірми про неправомірність його дій. Проте через місяць він продав оновлену базу митному брокеру, який виявив у ній перелік експортно-імпортних операцій свого клієнта. Брокер звернувся до СБУ. В своїй заяві зазначив, що нечесні власники фірм, скориставшись такою базою даних, можуть дізнатися про обсяги закупівель і грошей конкурентів, що є комерційною таємницею. Під час збирання доказової бази оперативники одержали ще кілька заяв приватних підприємців, де було зазначено, що незаконні дії зловмисника перешкоджають нормальному розвитку бізнесу в Україні.

Досить поширена думка про те, що при передачі персональної інформації державному органу або даних комерційної структури, наприклад, банківській установі для одержання кредиту, згадана конфіденційна інформація буде надійно захищена. Це не так. Значна частина населення у таких випадках не звертає уваги на юридичне закріплення, причому в документальній формі, взаємних прав і обов’язків сторін щодо забезпечення конфіденційності переданої інформації. Адже категорія конфіденційності має бути особливо обумовлена — лише це є підставою для належного рівня її захисту. Дійсно, пригадайте, у реквізитах типового договору на одержання кредиту немає позначки «конфіденційно»...

Законодавства багатьох країн вимагають вживати належні заходи для охорони персональних даних, які опрацьовуються у будь-яких комп’ютерних системах від випадкової або навмисної руйнації, а також від несанкціонованого доступу, зміни або поширення.

Вітчизняне ж законодавство у сфері інформаційної безпеки дотепер чітко не визначилося щодо питань захисту персональних даних, які розміщені в державних інформаційних ресурсах. Це призводить до порушення конституційних прав громадян і не дає повноважень правоохоронним органам повноцінно їх захищати.

До речі, Міжнародну конвенцію про захист осіб у зв’язку з автоматизованою обробкою даних нашою країною підписано, але досі не ратифіковано. Відповідний закон України не прийнято. Можна сказати, що персональні дані громадян у процесі їхньої автоматизованої обробки в Україні не захищені належним чином. Хоч це є питанням недоторканності приватного життя.

Красномовним прикладом чіткого визначення відповідальності за правопорушення у сфері захисту персональних даних може стати законодавчий досвід Франції. З 1992 року там діє норма, відповідно до якої незаконне використання даних Національного реєстру ідентифікації фізичних осіб тягне за собою кримінальне покарання у вигляді п’яти років позбавлення волі і виплати штрафу розміром 2 мільйони франків (приблизно 1 мільйон 640 тисяч гривень).

Інший показовий випадок з європейської практики. Одна з фінських газет, яка допустила витік персональних даних своїх передплатників, як висловився відомий міжнародний експерт, «збанкрутувала двічі», тому що за рішенням суду власники газети виплатили постраждалим за обмеження їхнього права на конфіденційність персональних даних суму, еквівалентну подвійній вартості видання.

Служба безпеки України неодноразово вносила пропозиції щодо законодавчого вдосконалення захисту телекомунікаційних мереж і комп’ютерних систем від несанкціонованого проникнення. Так, у вітчизняному Кримінальному кодексі з’явилися статті, які визначають суть правопорушення у цій сфері і міру покарання у разі такого порушення. Проте нагальною стає необхідність прийняття дієвих заходів щодо захисту персональних даних у національних інформаційних ресурсах. Насамперед необхідно категорично заборонити доступ до такої інформації сторонніх осіб на законодавчому рівні, а для цього упорядкувати процеси збирання персональних даних тими суворо визначеними суб’єктами, які створюють і надають зазначені ресурси державним органам. Також слід встановити обмеження щодо формування баз персональних даних, що допоможе захистити конфіденційну інформацію від несанкціонованого використання.