Информация конфиденциального характера
Содержание
 |
Информационное сообщение ФСТЭК России | 130 КБ | 38060 |
 |
Информационное сообщение ФСТЭК России | 121 КБ | 7650 |
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
от 15 июля 2013 г. N 240/22/2637
В соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и законодательством о персональных данных Федеральной службой по техническому и экспортному контролю (ФСТЭК России) в пределах своих полномочий утверждены Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (приказ ФСТЭК России от 11 февраля 2013 г. N 17, зарегистрирован Минюстом России 31 мая 2013 г., рег. N 28608) и Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (приказ ФСТЭК России от 18 февраля 2013 г. N 21, зарегистрирован Минюстом России 14 мая 2013 г., рег. N 28375).
В связи с изданием указанных нормативных правовых актов в адрес ФСТЭК России поступают обращения о разъяснении отдельных положений Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21. Данный вопрос обсуждается специалистами в области защиты информации на различных форумах и электронных площадках в сети Интернет.
Учитывая характер наиболее часто обсуждаемых вопросов и в целях разъяснения отдельных положений указанных приказов ФСТЭК России, считаем целесообразным сообщить следующее.
1. По вопросу вступления в действие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, а также необходимости проведения повторной аттестации (оценки эффективности) информационных систем аттестованных (прошедших оценку эффективности) до вступления в действие указанных приказов ФСТЭК России.
В соответствии с пунктом 12 Указа Президента Российской Федерации от 23 мая 1996 г. N 763 «О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти» нормативные правовые акты федеральных органов исполнительной власти вступают в силу одновременно на всей территории Российской Федерации по истечении десяти дней после их официального опубликования, если самими актами не установлен другой порядок введения их в действие.
Таким образом, Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, вступили в действие со 2 июня 2013 г. Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, вступают в действие с 1 сентября 2013 г.
Исходя из общих принципов норм права по действию во времени, изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления актов в силу (если иное не установлено федеральными законами).
Учитывая изложенное, информационные системы, аттестованные (прошедшие оценку эффективности) по требованиям защиты информации до вступления в действие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, повторной аттестации (оценке эффективности) в связи с изданием указанных нормативных правовых актов не подлежат.
2. По вопросу требований, которыми необходимо руководствоваться для обеспечения безопасности персональных данных при их обработке в государственных информационных системах, а также определения класса защищенности государственной информационной системы, в которой обрабатываются персональные данные.
В соответствии с пунктом 7 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 6 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Указанные требования утверждены приказом ФСТЭК России от 11 февраля 2013 г. N 17.
Учитывая, что меры по обеспечению безопасности персональных данных и порядок их выбора, установленные Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, аналогичны мерам защиты информации и порядку их выбора, установленным Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, для обеспечения безопасности персональных данных, обрабатываемых в государственных информационных системах, достаточно руководствоваться только Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17.
Вместе с тем, в соответствии с пунктом 5 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, при обработке в государственной информационной системе информации, содержащей персональные данные, требования о защите информации, не составляющей государственную тайну, в государственных информационных системах применяются наряду с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
Таким образом, для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, необходимо руководствоваться требованиями (в том числе в части определения уровня защищенности персональных данных), установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.
3. По вопросу о форме оценки эффективности принимаемых мер по обеспечению безопасности персональных данных, о форме и содержании материалов оценки эффективности, а также о возможности проведения оценки эффективности при проведении аттестации информационной системы.
В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».
В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
4. По вопросу о применении Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, в отношении муниципальных информационных систем.
В соответствии с частью 4 статьи 13 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» требования к государственным информационным системам, установленные указанным Федеральным законом, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении.
Таким образом, Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении (в частности, Федеральным законом от 6 октября 2003 г. N 131-ФЗ «Об общих принципах местного самоуправления в Российской Федерации» и принятыми в соответствии с ним иными нормативными правовыми актами Российской Федерации).
5. По вопросу применения «Специальных требований и рекомендаций по технической защите конфиденциальной информации» с учетом издания приказа ФСТЭК России от 11 февраля 2013 г. N 17.
Издание приказа ФСТЭК России от 11 февраля 2013 г. N 17 не отменяет действие методических документов «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее – СТР-К) и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования о защите информации» (далее – РД АС).
СТР-К применяется в качестве методического документа при реализации мер по защите технических средств государственных информационных систем (ЗТС.1), выбранных в соответствии с пунктом 21 и приложением N 2 к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, в целях нейтрализации угроз безопасности информации, связанных с защитой информации, представленной в виде информативных электрических сигналов и физических полей (защита от утечки по техническим каналам).
Иные положения СТР-К (раздел 3 «Организация работ по защите конфиденциальной информации», раздел 5 «Требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системах») могут применяться по решению обладателей информации, заказчиков и операторов государственных информационных систем в части, не противоречащей Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17.
Кроме того, положения СТР-К и РД АС применяются по решению обладателя информации (заказчиков, операторов информационных систем) для защиты информации, содержащей сведения конфиденциального характера (Указ Президента Российской Федерации от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера»), обрабатываемой в информационных системах, которые в соответствии с Федеральным законом от
27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» не отнесены к государственным информационным системам.
6. По вопросу применения понятий «информационная система» и «автоматизированная система».
В Требованиях, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Составе и содержании мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, используется понятие «информационная система», установленное Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». При этом понятие «государственная информационная система», цели и порядок ее создания, а также порядок эксплуатации установлены статьями 13 и 14 указанного Федерального закона.
В иных методических документах и национальных стандартах в области защиты информации используется понятие «автоматизированная система», определенное национальным стандартом ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
Учитывая, что Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, разрабатывались во исполнение федеральных законов от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 27 июля 2006 г. N 152-ФЗ «О персональных данных» соответственно, в которых используется понятие «информационная система», в нормативных правовых актах ФСТЭК России также использовано указанное понятие.
Исходя из родственных определений понятия «информационная система», установленного Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», и понятия «автоматизированная система», установленного национальным стандартом ГОСТ 34.003-90, а также из содержания Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, использование в нормативных правовых актах ФСТЭК России понятия «информационная система» не влияет на конечную цель защиты информации.
7. По вопросу отражения в сертификатах соответствия на средства защиты информации результатов их проверки на отсутствие недекларированных возможностей, а также отражения в конструкторской и эксплуатационной документации возможности применения средств защиты информации в государственных информационных системах и информационных системах персональных данных.
В соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, в государственных информационных системах 1 и 2 классов защищенности, а также для обеспечения 1, 2 уровней защищенности и 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. При этом выбор классов защиты сертифицированных средств защиты информации в зависимости от класса защищенности государственных информационных систем и уровня защищенности персональных данных осуществляется в соответствии с пунктом 26 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и пунктом 12 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, соответственно.
Отмечаем, что требования по безопасности информации к средствам защиты информации, утвержденные ФСТЭК России в пределах своих полномочий начиная с декабря 2011 г., включают требования по соответствующему уровню контроля отсутствия недекларированных возможностей для классов защиты этих средств.
В частности, системы обнаружения вторжений и средства антивирусной защиты, сертифицированные на соответствие Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 г. N 638, и Требованиям к средствам антивирусной защиты, утвержденным приказом ФСТЭК России от 20 марта 2012 г. N 28, по 4 классу защиты соответствуют 4 уровню контроля отсутствия недекларированных возможностей.
При использовании в государственных информационных системах соответствующего класса защищенности и для обеспечения установленного уровня защищенности персональных данных средств защиты информации, сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности) и (или) иных нормативных документах ФСТЭК России, соответствие уровню контроля отсутствия недекларированных возможностей указывается в сертификатах соответствия требованиям по безопасности информации на эти средства защиты информации.
Возможность применения в государственных информационных системах соответствующего класса защищенности и для обеспечения установленного уровня защищенности персональных данных средств защиты информации, сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности), указывается заявителем (разработчиком, производителем) в эксплуатационной и конструкторской документации на эти средства (формулярах и технических условиях).
8. По вопросу применения дополнительных мер защиты информации, направленных на нейтрализацию актуальных угроз безопасности персональных данных 1-го и 2-го типов.
В соответствии с пунктом 11 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, в целях снижения вероятности возникновения угроз безопасности персональных данных 1-го и 2-го типов могут применяться дополнительные меры, связанные с тестированием информационной системы на проникновения и использованием в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
Указанные меры применяются для обеспечения безопасности персональных данных по решению оператора. При этом до разработки и утверждения ФСТЭК России методических документов по реализации указанных мер порядок их применения, а также форма и содержание документов определяются оператором самостоятельно.
9. По вопросу разработки методических документов ФСТЭК России в целях реализации Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.
Приказ ФСТЭК России от 18 февраля 2013 г. N 21 издан во исполнение части 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Указанным Федеральным законом разработка ФСТЭК России иных документов по обеспечению безопасности персональных данных, в том числе по моделированию угроз безопасности персональных данных, не предусмотрена. Определение типов угроз безопасности персональных данных осуществляется оператором в соответствии с пунктом 7 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.
Одновременно в рамках полномочий по методическому руководству в области технической защиты информации, а также в целях реализации пунктов 14.3 и 21 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, в настоящее время в ФСТЭК России завершается разработка методических документов по описанию содержания мер защиты информации в информационных системах и порядку моделирования угроз безопасности информации в информационных системах. Ориентировочный срок утверждения документов – IVквартал 2013 г.
Кроме того, планируется разработка методических документов, определяющих порядок обновления программного обеспечения в аттестованных информационных системах, порядок выявления и устранения уязвимостей в информационных системах, порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации, а также ряда других методических документов, направленных на реализацию Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17.
Одновременно сообщаем, что ФСТЭК России не наделена полномочиями по разъяснению Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в том числе в части определения типов угроз персональных данных и порядка определения уровней защищенности персональных данных.
Ответ подготовлен экспертами Линии консультаций Атлант-право
Задать свой вопрос 28.03.2017
Вопрос:
Является ли режим коммерческой тайны обязательным условием для привлечения работника к ответственности за разглашение конфиденциальной информации? Если в организации не введен режим коммерческой тайны, но действует положение о конфиденциальности (предусматривает перечень конфиденциальной информации и обязанность работников по соблюдению ее конфиденциальности), возможно ли применить к работнику дисциплинарное взыскание (например, за нарушение положений локальных нормативных актов) за разглашение конфиденциальной информации, указанной в Положении?» В Трудовом договоре нет пункта о разглашении коммерческой тайны.
ОТВЕТ:
Привлечь работника к ответственности за разглашение конфиденциальной информации можно в том случае, если защита сведений, составляющих такую информацию, предусмотрена законодательными актами и работодатель соблюдает установленные соответствующим законом меры по охране конфиденциальности.
Поэтому, если согласно разработанному в организации положению в перечень конфиденциальной информации включены сведения, которые могут квалифицироваться как коммерческая тайна, то соблюдение требований к режиму коммерческой тайны, установленные Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне», является обязательным условием привлечения работника к ответственности.
Если это иные сведения, то режим их конфиденциальности должен обеспечиваться так, как это предусмотрено соответствующим законом, которым регулируется защита таких конфиденциальных сведений.
В связи с чем, работника нельзя привлечь в ответственности за разглашение конфиденциальной информации, если составляющие ее сведения подлежат охране в соответствии с Положением, разработанным организацией без учета требований законодательного акта, регулирующего защиту таких сведений или если законодательством охрана таких сведений не предусмотрена. При этом, обязательным условием привлечения работника к ответственности также является наличие в трудовом договоре условий о неразглашении.
ОБОСНОВАНИЕ:
Согласно пункту 7 статьи 2 Федерального закона N 149-ФЗ «Об информации, информационных технологиях и о защите информации» под конфиденциальностью информации понимается обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Однако, указанный закон не определяет конкретный перечень сведений, которые могут составлять конфиденциальную информацию и доступ к которой возлагает на работника обязанности по ее сохранению и неразглашению.
В действующем законодательстве содержится значительное число нормативных актов, относящих сведения к категории ограниченного доступа, которые определяют состав таких сведений конфиденциального характера (персональные данные, коммерческая тайна, врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее). Защита каждого из указанных видов конфиденциальной информации осуществляется в соответствии с требованиями конкретного закона, регулирующего режим данного вида сведений, т.е. доступа. Например, защита сведений о персональных данных осуществляется в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Таким образом, состав сведений которые могут составлять конфиденциальную информацию достаточно широк, а общее определение «конфиденциальная информация» указывает лишь на определённый ограниченный доступ к такой информации.
В соответствии с ч. 4 ст. 57 ТК РФ условие о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной) может являться дополнительным условием трудового договора.
Таким образом, если работодатель намерен вменить в обязанности работника условия о неразглашении, то в трудовом договоре должно быть четко определено какую конкретно тайну или сведения конфиденциального характера, охраняемые законом, работник обязан не разглашать.
Доступ к сведениям, которые составляют коммерческую тайну, регулируется Федеральным закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне».
Согласно ст. 3 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне» информация, составляющая коммерческую тайну, — сведения любого характера, в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
Поэтому, если в состав «конфиденциальной информации» согласно разработанному в организации положению включена информация, которая подпадает под указанное понятие, то должен вводиться и соблюдаться режим коммерческой тайны, установленный указанным Законом № 98-ФЗ. В противном случае, работник не может быть привлечен к ответственности за разглашение коммерческой тайны.
В частности, пунктом 7 ч. 1 ст. 243 ТК РФ в качестве основания привлечения работника к полной материальной ответственности установлено разглашение им сведений, составляющих охраняемую законом тайну (государственную, коммерческую, служебную или иную), в случаях, предусмотренных федеральными законами. В соответствии с пп. «в» п. 6 ч. 1 ст. 81 ТК РФ трудовой договор с работником может быть расторгнут в связи с разглашением охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашением персональных данных другого работника.
В соответствии со ст. 11 Закона » О коммерческой тайне» работодатель обязан: 1) ознакомить под расписку работника, доступ которого к этой информации, обладателями которой являются работодатель и его контрагенты, необходим для исполнения данным работником своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну; 2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение; 3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны. Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.
В свою очередь, в соответствии с пунктом 5 части 1 статьи 10 указанного Закона меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя, в том числе нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации.
Если работодатель не принял необходимых мер по защите конфиденциальности информации, составляющей коммерческую тайну, то привлечь работника к ответственности по п. 7 ч. 1 ст. 243 ТК РФ за разглашение таких сведений и взыскать с него причиненные в связи с этим убытки (в том числе после расторжения трудового договора) нельзя. Данный вывод следует из ч. 5 ст. 11 Закона N 98-ФЗ. С этим согласны и суды (см., например, Определение Московского городского суда от 22.06.2011 по делу N 33-19046).
Таким образом, работник организации обязан соблюдать требования о неразглашении конфиденциальной информации и несет за ответственность за разглашение, если такая информация (сведения) подлежит защите в соответствии с требованиями конкретного законодательного акта, трудовым договором с работником предусмотрено условие о неразглашении охраняемой соответствующим законом тайны и работодатель принимает меры по охране (защите) конфиденциальности.
Ответ подготовлен экспертами Линии консультаций Атлант-право
Задать свой вопрос
Главная » Юристу » Информация конфиденциального характера
Статью подготовил ведущий корпоративный юрист Шаталов Станислав Карлович. Связаться с автором
Вернуться назад на Конфиденциальная информация
Основной социальной ценностью, главным продуктом производства и основным товаром в информационном обществе является информация. В настоящее время ни в одной из научных областей общества, в том числе и праве, нет единого определения информации.
Термин «информация» происходит от латинского слова «informatio», что означает – разъяснение, сообщение, осведомленность.
Принято считать, что информация – прежде всего философская категория.
Существует множество философских концепций информации, и все осветить было бы крайне трудно. Известно философское определение американского ученого-математика Винера: информация – это не энергия и не материя.
Под информацией в технике понимают сообщения, передаваемые в форме знаков или сигналов.
С середины ХХ столетия под информацией понимается обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом; обмен сигналами в животном и растительном мире; передача признаков от клетки к клетке, от организма к организму (генетическая информация) – это одно из основных понятий кибернетики.
Признаки информации:
– нематериальный характер, когда ценность информации заключается в ее сути, а не в материальном носителе, на котором она закреплена; субъективный характер, когда информация является интеллектуальной собственностью;
– информация должна быть объективной для включения в правовой оборот; количественная определенность; возможность многократного использования;
– сохранение передаваемой информации у передающего субъекта;
– способность к воспроизведению, копированию, сохранению и накапливанию.
Что можно делать с информацией:
– создавать, принимать, комбинирвать, хранить;
– передавать, копировать, обрабатывать, искать;
– воспринимать, формализовать, делить на части, измерять;
– использовать, распространять, упрощать, разрушать;
– запоминать, преобразовывать, собирать, и т. д.
Все эти процессы, связанные с определенными операциями над информацией, называются информационными процессами.
Информацию можно структурировать и классифицировать, исходя из различных признаков:
а) по степени доступа – общедоступная информация; информация, доступ к которой не может быть ограничен:
– информация с ограниченным доступом;
– информация, не подлежащая распространению;
б) по степени систематизации – систематизированная в информационных системах (каталоги, энциклопедии, рубрикаторы и т. д. и несистематизированная информация, т. е. свободная;
в) по виду носителя – на бумажном носителе, видео- и звуковая, компьютерная информация;
г) по сфере применения – массовая информация, распространяемая через СМИ, Интернет и отраслевая, предназначенная для круга лиц, связанного профессиональными интересами.
Под информацией понимаются: сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Термины «явления» и «процессы» охватывают как конкретные фактографические данные, так и неформализованные знания или заблуждения об окружающем или воображаемом мире.
Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления:
— документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
— безопасность информации – состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, целостность и доступность информации при ее обработке техническими средствами;
— доступ к информации (доступ) – ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации;
— доступность (санкционированная доступность) информации – состояние информации, характеризуемое способностью технических средств и информационных технологий обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия;
— защита информации от несанкционированного доступа или воздействия – деятельность, направленная на получения информации без прав;
— несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами;
— персональные данные – информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность;
— конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Основным документом, содержащим рекомендации по отнесению данных к конфиденциальным является утвержденный Указом Президента РФ № 188 перечень сведений конфиденциального характера.
В нем указано, что к конфиденциальным понятиям следует относить:
— Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
— Сведения, составляющие тайну следствия и судопроизводства.
— Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
— Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
— Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
— Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Как можно заметить, в этом перечне нет упоминания о государственной тайне, хотя, последняя полностью подпадает под определение конфиденциальной информации и является важнейшим информационным звеном, несанкционированный доступ к которому способен нанести ущерб безопасности государства.
В связи с этим становятся немного непонятными мотивации органов государственной власти в связи с таким обособлением государственной тайны от конфиденциальной информации.
Стратегия информационной безопасности и её цели
Проанализировав достаточно большое количество литературы, я не вижу четкого определения ИБ, поэтому сформулировала своё – информационная безопасность это комплекс мер по обеспечению безопасности информационных активов предприятия.
Самое главное в этом определении это то, что ИБ можно обеспечить только в случае комплексного подхода. Разрешение каких-то отдельных вопросов (технических или организационных) не решит проблему ИБ в целом, а вот как раз этого главного принципа большинство сегодняшних руководителей не понимают и вследствие чего являются жертвами злоумышленников.
Стратегия – средство достижения желаемых результатов. Комбинация из запланированных действий и быстрых решений по адаптации фирмы к новым возможностям получения конкурентных преимуществ и новым угрозам ослабления её конкурентных позиций. То есть стратегию информационной безопасности.
(Стратегию информационной безопасности) нужно определять с учетом быстрого реагирования на новые угрозы и возможности.
Среди целей ИБ главными можно выделить следующие:
— Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа.
— Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.
— Целостность – поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации.
Существуют множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные.
Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.
— Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались.
В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.
Административный уровень информационной безопасности
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации (предприятия, фирмы).
Главная цель мер административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности.
Политика безопасности – это совокупность документированных решений, принимаемых руководством организации и направленных на обеспечение информационной безопасности. Политика безопасности отражает подход организации к защите своих информационных активов.
Политику безопасности можно считать стратегией организации (предприятия, фирмы) в области информационной безопасности.
Для выработки такой стратегии и претворения ее в жизнь необходимы, несомненно, политические решения, принимаемые на уровне высшего руководства фирмы.
На основе политики безопасности разрабатывается программа безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения и т. д.
На основе программы безопасности разрабатываются конкретные правила, инструкции, нормативы и рекомендации, касающиеся работы персонала по обеспечению информационной безопасности. Эти правила относятся к процедурному уровню защиты.
Таким образом, в организационном обеспечении информационной безопасности выделяются меры административного уровня (политика и программа безопасности) и меры процедурного уровня.
Интеллектуальная собственность
Авторское право
Государственная тайнаКоммерческая тайна
Коммерческое право
| | Вверх
Публикация
Режим банковской тайны
Российское законодательство не содержит общего определения охраняемой законом информации. Однако ст. 9 Федерального закона от 27.07.06 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» определяются порядок и условия ограничения доступа к информации.
Законодательная трактовка понятия банковской тайны также отсутствует. Вместе с тем согласно ст. 26 Федерального закона от 02.12.90 № 395-1 «О банках и банковской деятельности» (далее — Закон о банках) кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить в тайне указанную информацию , а также данные об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.
Неотъемлемой составляющей режима банковской тайны является то, что он носит не абсолютный характер, а информация, составляющая банковскую тайну, может быть раскрыта в предусмотренных законом случаях.
КСТАТИ
Режим банковской тайны за рубежом
В отличие от России, во многих зарубежных странах круг информации, относимой к банковской тайне, не ограничен строгим перечнем. Это, в свою очередь, обеспечивает предоставление клиентам большей степень правовой защиты.
К примеру, в Швейцарии правовой охране в качестве банковской тайны согласно Swiss Federal Banking Act 1934 г подлежит любая информация, полученная руководителем, членом органа управления, сотрудником, поверенным, ликвидатором, аудитором банка в связи с его профессиональной деятельностью в качестве, соответственно, руководителя, члена органа управления, сотрудника, поверенного, ликвидатора, аудитора.
Общие условия раскрытия банковской тайны
Как следует из п. 2 ст. 857 ГК РФ, сведения, содержащие банковскую тайну, кредитные организации могут предоставить либо самим клиентам (их представителям), либо госорганам (должностным лицам) или в бюро кредитных историй — на основаниях и в порядке, которые предусмотрены законом.
Перечень госорганов и должностных лиц, которые могут быть допущены к банковской тайне, четко регламентирован. Согласно ст. 26 Закона о банках, получать справки по операциям и счетам юридических лиц и индивидуальных предпринимателей могут суды, Счетная палата, органы принудительного исполнения судебных актов и решений других госорганов, следственные, налоговые и таможенные органы.
Форма предоставления информации. При всем том, что в Законе четко сказано, кому может быть раскрыта информация, содержащая банковскую тайну, о форме ее предоставления говорится весьма неконкретно. Определения понятия «справки по операциям и счетам» к настоящему времени не дано, в связи с чем на практике встречаются различные его трактовки.
К примеру, ФАС Московского округа указав в постановлении от 15.09.08 № КА-А40/8423-08-1,2 на отсутствие законодательно установленной формы справки по операциям и счетам, пришел к выводу, что в качестве данной справки может выступать любой выданный и удостоверенный банком документ, который содержит информацию о наличии в банке счетов юридических лиц, а также о совершаемых операциях принятия и зачисления средств на счет. Таковым, по мнению суда, является приложение № 27 (выписка по лицевому счету) к положению Банка России от 03.10.02 № 2-П «О безналичных расчетах в Российской Федерации».
Вместе с тем, налоговые органы запрашивают у банков справки, составленные по другим формам, утвержденным приказом ФНС России от 30.03.07 № ММ-3-06/178@ . Хотя данный приказ в нарушение п. 3 ст. 86 НК РФ до сих пор не согласован с ЦБ РФ, некоторые суды считают возможным его применение .
Раскрытие информации судам
Статьи 66 АПК РФ и 57 ГПК РФ регламентирует схожие полномочия общегражданских и арбитражных судов по истребованию доказательств по ходатайству лиц, участвующих в деле, либо по собственной инициативе. Поскольку ограничений по виду и объему информации, которую вправе истребовать суды, законодательство не содержит, возможность раскрытия сведений, составляющих банковскую тайну, по судебному запросу определяется общими правилами.
Соответственно, истребование информации, содержащей банковскую тайну, в судебном порядке возможно при соблюдении двух условий:
-
лицо, заявившим соответствующее ходатайство, обосновало невозможность получить информацию самостоятельно и значение этой информации для разрешения дела, а также указало место ее нахождения (конкретный банк)
-
суд признает указанные им причины уважительными, а доказательство — имеющим значение для разрешения дела.
Иначе урегулирован вопрос предоставления информации по судебному запросу в рамках уголовного процесса. УПК РФ прямо не предусматривает полномочия суда по истребованию информации, в том числе составляющую банковскую тайну, в качестве доказательства по делу по ходатайству участников процесса. Однако право судей в силу своего особого статуса запрашивать при осуществлении правосудия информацию и документы у любых лиц (п. 6 ст. 1 Федерального закона от 26.06.92 № 3132-1 «О статусе судей»), никто не отменял. Такая информация может быть также получена путем проведения следственных действий, в числе выемки предметов и документов, содержащих охраняемую законом тайну, для проведения которой обязательно решение суда (п. 7 ч. 2 ст. 29 УПК РФ).
Непосредственно право суда направить запрос о предоставлении информации, составляющей банковскую тайну, предусмотрено для случаев наложения ареста на денежные средства и иные ценности, принадлежащие подозреваемому и обвиняемому, находящиеся на счете, во вкладе или на хранении в банках и иных кредитных организация (п. 7 ст. 115 УПК РФ). Однако запрашиваемая таким образом информация может касаться имущества только физических лиц.
Истребование судом доказательств, находящихся в иностранных государствах (т.е. в иностранных банках) по общему правилу возможно при наличии соответствующих международных соглашений, участником которых является РФ и государство местонахождения банка.
Раскрытие информации Счетной палате
Согласно ст. 13 Федерального закона от 11.01.95 № 4-ФЗ «О Счетной палате РФ» при проведении ревизий и проверок Счетная палата получает от проверяемых предприятий, учреждений, организаций, банков и иных кредитно-финансовых учреждений всю необходимую документацию и информацию по вопросам, входящим в ее компетенцию. По требованию данного ведомства ЦБ РФ, коммерческие банки и иные кредитно-финансовые учреждения обязаны предоставлять ему необходимые документальные подтверждения операций и состояния счетов проверяемых объектов.
Исходя из системного толкования положений данной статьи, можно сделать вывод, что Счетная палата вправе истребовать информацию, составляющую банковскую тайну, но только при проведении ревизий и проверок. При этом информация может быть получена непосредственно у проверяемого субъекта (если проверяется деятельность банка) либо у банка, который участвовал в осуществлении расчетов проверяемого субъекта или в котором открыты его счета.
Раскрытие информации налоговым органам
Действующее законодательство обязывает банки предоставлять налоговым органам информацию о клиентах не только по запросам самых налоговиков, но и по собственной инициативе. Условия и основания раскрытия информации для таких случаев регламентированы НК РФ.
Так, согласно п. 1 ст. 86 НК РФ банк обязан уведомить налоговиков об открытии, закрытии, изменении реквизитов счета организации (индивидуального предпринимателя) . Данные об этом в течение 5 дней предоставляются им на бумажном носителе или в электронном виде в налоговый орган по месту своего нахождения.
Также банк должен сообщить в налоговый орган об остатках денежных средств налогоплательщика-организации на счетах в банке, операции по которым приостановлены, не позднее следующего дня после дня получения решения о приостановлении операций (п. 5 ст. 76 НК РФ).
Что касается данных, затребуемых налоговиками, то банки согласно п. 2 ст. 86 НК РФ в течение 5 дней со дня получения мотивированного запроса от налогового органа обязаны выдавать ему следующие документы:
-
справки о наличии счетов в банке;
-
справки об остатках денежных средств на счетах в банке;
-
выписки по операциям на счетах организаций (индивидуальных предпринимателей) в банке.
Запрашивать данные документы налоговые органы могут при проведении мероприятий налогового контроля у организации (индивидуального предпринимателя), а также в случае принятия решений о приостановлении операций или об отмене приостановления операций по счетам организации (индивидуального предпринимателя).
Порядок направления такого рода запросов утвержден приказом ФНС России от 05.12.06 № САЭ-3-06/829@. Его положения в полноте отражают позицию налоговиков о том, что истребование информации, составляющей банковскую тайну, является самостоятельным мероприятием налогового контроля, проведение которого обязывает банк раскрыть информацию. Однако, если следовать логике ФНС, истребование информации (как отдельное мероприятие налогового контроля) должно указываться в качестве мотива истребования информации. Иначе говоря, юридический факт выступает в качестве правового основания самого себя, чего в действительности быть не может.
Парадоксально, но иногда налоговиков в этом вопросе поддерживают судьи . Впрочем, большинство правоприменителей все же придерживаются обратной точки зрения , считая, что единообразие в судебной практике по этому вопросу должно сложиться на основе правовой позиции ВАС РФ, высказанной в конце прошлого года при рассмотрении трех разных дел.
Раскрытие информации таможенным органам
Для проведения таможенного контроля таможенные органы вправе получать от банков и иных кредитных организаций справки о связанных с внешнеэкономической деятельностью и уплатой таможенных платежей операциях лиц, указанных в Таможенном кодексе РФ, а также справки об операциях таможенных брокеров, владельцев складов временного хранения, владельцев таможенных складов и таможенных перевозчиков. п. 3 ст. 363 Таможенного кодекса РФ.
В Кодексе предусмотрено 10 форм таможенного контроля (начиная с проверки документов и сведений и заканчивая ревизией). Исходя из толкования его норм, при осуществлении таможенного контроля в любой из предусмотренных форм таможенные органы вправе запросить у банков справки об операциях проверяемых лиц.
Раскрытие информации судебным приставам
Как следует из п. 2 ст. 12 и п. 2 ст. 14 Федерального закона от 21.07.97 № 118-ФЗ «О судебных приставах», при совершении исполнительных действий пристав-исполнитель вправе получать информацию, объяснения и справки в объеме, необходимом для осуществления своих функций. Все указанные данные должны предоставляться приставам по их требованию, причем безвозмездно и в установленный срок.
Согласно п. 9 ст. 69 Федерального закона от 02.10.07 № 229-ФЗ «Об исполнительном производстве» судебные приставы могут запрашивать у банков, иных кредитных организаций, а также у налоговых органов, следующие сведения о должнике:
-
о наименовании, местонахождении банков и иных кредитных организаций, в которых у него открыты счета;
-
о номерах расчетных счетов, количестве и движении денежных средств в рублях и иностранной валюте;
-
о прочих принадлежащих ему ценностях, которые находятся на хранении в банках и иных кредитных организациях.
Обязательным условием получения информации у кредитной организации является письменное разрешение старшего судебного пристава.
Необходимо отметить, что судебная практика в определенной степени ограничила полномочия приставов по запросу информации, составляющей банковскую тайну, трехгодичным сроком давности. Так, ФАС Московского округа в постановлении от 27.08.07 № КА-А40/8260-07 указал, что согласно нормам гражданского законодательства любое взыскание может быть произведено в пределах общего трехгодичного срока исковой давности. Требование пристава, касающееся представления справки о движении денежных средств по счету с момента его открытия, незаконно, ведь счет мог быть открыт много лет назад.
Раскрытие информации органам предварительного следствия
Согласно абз. 2 ст. 26 Закона о банках информация, составляющая банковскую тайну, может быть раскрыта органам предварительного следствия с согласия руководителя следственного органа и только по делам, находящимся в их производстве.
При этом если для расследования требуются оригиналы документов с данными о вкладах и счетах граждан, их выемка в банках производится на основании судебного решения (подп. 7 п. 2 ст. 29, п. 3 ст. 183 УПК РФ).
Конституционный Суд РФ в Определении от 19.01.05. № 10-О сформулировал дополнительные условия законности проведения выемки в кредитных организациях:
-
выемка документов, содержащих информацию о вкладах и счетах в банках и иных кредитных организациях допустима, если эта информация имеет непосредственное отношение к обстоятельствам конкретного уголовного дела
-
выемка документов не должна приводить к получению сводной информации о всех клиентах банка
-
следователь не вправе запрашивать информацию о счетах и вкладах, если такая информация не связана с необходимостью установления обстоятельств, значимых для расследования по конкретному уголовному делу, а кредитные организации, в свою очередь, не обязаны в этих случаях передавать органам следствия соответствующую информацию.
Раскрытие информации органам внутренних дел
Согласно абз. 3 ст. 26 Закона о банках соответствии с законодательством РФ справки по операциям и счетам юридических лиц и индивидуальных предпринимателей выдаются кредитной организацией органам внутренних дел при осуществлении ими функций по выявлению, предупреждению и пресечению налоговых преступлений.
Очевидно, что данное положение противоречит по смыслу абз. 2 ст. 26 Закона. В то время как органам предварительного расследования банковская тайна может быть раскрыта лишь с согласия вышестоящего начальства и суда и только при наличии возбужденного уголовного дела, органы внутренних дел могут получать к ней доступ, по сути, произвольно.
Присутствие в норме формулировки «в соответствии с законодательством РФ» как ограничения, по сути, бессмысленно. Ни Закон РФ от 18.04.91 № 1026-1 «О милиции», ни Федеральный закон от 12.08.95 № 144-ФЗ «Об оперативно-розыскной деятельности», ни иные федеральные законы указаний на права органов внутренних дел по получению доступа к банковской тайне, не содержат.
Между тем, суды встают на сторону органов внутренних дел, не вдаваясь в тонкости упомянутой формулировки.
Так, Девятый арбитражный апелляционный суд в постановлении от 16.10.07 по делу № А40-19940/07-29-162 указал, что ответчик (банк) правомерно предоставил Департаменту по борьбе с организованной преступностью МВД России на основании его письменного запроса информацию об открытии счетов, отражающих движение денежных средств по счетам, отражающих внесение на счета и получение со счета наличных денежных средств.
Раскрытие информации Росфинмониторингу
Как следует из абз. 6 ст. 26 Закона о банках, информацию по операциям юридических лиц, индивидуальных предпринимателей и граждан у кредитных организаций может запросить уполномоченный орган, осуществляющий меры по противодействию легализации доходов, полученных преступным путем (таким органом в соответствии с Постановлением Правительства РФ от 23.06.04 № 307 является Росфинмониторинг).
Случаи, порядок и объем предоставления Росфинмониторингу такой информации регламентированы Федеральным законом 07.08.01 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем». Следуя требованиям ст. 6 и 7 Закона, банк самостоятельно передает уполномоченному органу данные об совершенной лицом операции, если она относится к операциям, подлежащим обязательному контролю, либо если вызывает подозрения у банка.
Кроме того, передача такой информации возможна по письменному запросу Росфинмониторинга (подп. 5 п. 1 ст. 7 Закона).
В свою очередь, Росфинмониторинг наделен полномочиями по предоставлению информации правоохранительным органам РФ в соответствии с их компетенцией (ст. 8 Закона), а также компетентным органам иностранных государств по их запросам или по собственной инициативе в порядке и на основаниях, которые предусмотрены международными договорами РФ (ст. 10).
Раскрытие информации бюро кредитных историй
Как следует из абз. 12 ст. 26 Закона о банках информация по операциям юридических лиц, предпринимателей и граждан с их согласия представляется банками в бюро кредитных историй в порядке и на условиях, которые предусмотрены заключенным с бюро договором.
Ключевыми моментами раскрытия информации по данному основанию являются: обязательное согласие на предоставление такой информации со стороны субъекта кредитной истории и ограниченный объем сведений, касающихся его заемных обязательств.
Последствия разглашения банковской тайны
Если раскрытие конфиденциальной информации о клиентах представляет собой обеспечение доступа к ней при определенных условиях и санкционировано законом, то ее разглашение — противоправное предание огласке этих сведений, передача их другому лицу (лицам), не допущенным к обладанию ими, или неограниченному кругу лиц.
Часть 10 ст. 26 Закона о банках предусматривает ответственность владельцев и пользователей банковской тайны за ее разглашение. В частности, ответственность несут ЦБ РФ, Агентство по страхованию вкладов, Росфинмониторинг, кредитные, аудиторские и иные организации, а также их должностные лица и их работники.
Ответственность других органов и их должностных лиц, которые могут иметь доступ к банковской тайне (например, инспекторов Счетной палаты, таможенных органов), установлена в законах, регламентирующих их профессиональную деятельность.
За разглашение банковской тайны законодательством РФ предусмотрена гражданско-правовая, административная и уголовная ответственность.
Гражданско-правовая ответственность
Согласно п. 3 ст. 857 ГК РФ в случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков. Механизм привлечения к гражданско-правовой ответственности включает в себя необходимость обращение в арбитражный суд, что, в свою очередь, влечет необходимость доказывать факт разглашения банковской тайны, факт причинения убытков и причинно-следственную связь между ними, что в подавляющем большинстве случаев представляется маловероятным.
Административная ответственность
Непосредственно за разглашение банковской тайны административная ответственность не предусмотрена. Теоретически совершение подобных действий сотрудниками банка можно квалифицировать по п. 2 ст. 15.26 «Нарушение кредитной организацией установленных Банком России нормативов и иных обязательных требований» КоАП РФ. Однако проведенный нами анализ показал, что практика применения указанной нормы подобным образом отсутствует.
Еще одна статья КоАП РФ, которая теоретически могла бы применяться в отношении недобросовестных банковских служащих (ст. 13.14), устанавливает ответственность за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда это влечет уголовную ответственность), лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей.
Однако практика применения ст. 13.14 КоАП к лицам, разгласившим банковскую тайну, также отсутствует. Во многом это объясняется тем, что большинство случаев разглашения банковской тайны охватывается составом ч. 2, 3 и 4 ст. 183 УК РФ (незаконные разглашение или использование сведений, составляющих банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе).
Уголовная ответственность
Незаконное разглашение или использование сведений, составляющих банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, предусмотрена ч. 2, 3 и 4 ст. 183 УК РФ.
Указанная статья предусматривает максимально возможное наказание по ч. 2 (без отягчающих обстоятельств) – лишение свободы на срок до 3 лет, по ч. 3 (квалифицированный состав – при наличии крупного ущерба, т.е. ущерба в размере 250 000 руб., либо корыстной заинтересованности) – лишение свободы на срок до пяти лет, а по ч. 4 (при наличии тяжких последствий) – лишение свободы на срок до десяти лет.
Однако по понятным причинам (относительно узкий круг общественных отношений, т.е. банковская сфера, достаточно высокая латентность и трудности доказывания) практика привлечения к ответственности по ст. 183 пока наработана слабо. Так, по данным статистики Судебного департамента при Верховном Суде РФ, всего по ч. 2–4 ст. 183 УК РФ (незаконные разглашение и использование банковской, коммерческой или налоговой тайны) в 2008 г. было осуждено 14 человек, из них 7 — к лишению свободы условно, в I полугодии 2009 г. — соответственно, 8 и 4.
►В качестве одного из свежих примеров можно привести приговор Тюменского областного суда, вынесенный в августе этого года 15 участникам организованной преступной группы. Суд признал их виновными в мошенничестве, совершенном организованной группой, в особо крупном размере (ч. 4 ст. 159 УК РФ) и незаконном получении и разглашении сведений, составляющих банковскую тайну (ч. 3 ст. 183).
Как установило следствие, в марте 2006 г. руководитель преступной группы и его ранее судимые знакомые разработали схему хищения денег, основанную на особенностях использования банковских кредитных карт.
Завербовав сотрудников ряда почтовых отделений г. Тюмени, а также трудоустроив в одно из отделений почтамта г. Омска участницу группировки, преступники перехватывали заказные письма с конфиденциальной информацией о заключении договоров на кредитное обслуживание по картам, которые банк «Русский Стандарт» высылал своим клиентам. Кроме того, доступ аферистов к анкетным данным кредитополучателей обеспечивали продавец-консультант одного из магазинов сотовой связи г. Екатеринбурга и кредитный эксперт.
Используя эти сведения, менеджеры представительств ЗАО «Банк Русский Стандарт» в г. Тюмени и в г. Омске, также вовлеченные в деятельность криминальной группировки, вносили в электронную клиентскую базу банка ложные данные о личности кредиторов.
После этого другие члены группы под видом клиентов банка получали секретные коды доступа для активации кредитных карт. После этого они снимали денежные средства с банковских счетов граждан через банкоматы в Тюменской, Свердловской, Омской и Курганской областях. Всего таким образом участники организованной преступной группы похитили свыше 10 млн руб.
Лидеры преступной группы и ее наиболее активные участники были осуждены к лишению свободы на сроки от 5,5 до 8 лет. Остальные члены группы получили от 2 до 5,5 лет лишения свободы условно. Кроме того, с членов преступной группы взыскан ущерб, причиненный ЗАО «Банк Русский Стандарт».◄
Выводы
Институт банковской тайны в последнее время подвергается значительному давлению со стороны мирового сообщества и властей отдельных государств под флагом борьбы с финансовым кризисом и уклонением от уплаты налогов. Однако по сей день информация, составляющая банковскую тайну, защищена от произвольного доступа со стороны третьих лиц, в том числе, государственных органов и международных организаций.
В России перечень госорганов, которым может быть раскрыта конфиденциальная информация, касающаяся клиентов банка, довольно широкий. При этом наряду с «классическими» основаниями для раскрытия информации (по решению суда, по запросу органа финансовой разведки.) имеются и такие, которые вряд ли можно считать отвечающими балансу частных и публичных интересов в сфере банковской тайны (например, фактически произвольное право органов внутренних дел на получение банковской информации либо уже ставшее привычным и молчаливо одобряемое властями расширительное толкование налоговыми органами своих полномочий).
Департамент бюджетной методологии и финансовой отчетности в государственном секторе Министерства финансов Российской Федерации (далее — Департамент) рассмотрел обращение по вопросу представления налоговым органом бюджетной отчетности в части составления формы 0503169 «Сведения по дебиторской и кредиторской задолженности» и сообщает.
В соответствии со статьей 2 Налогового кодекса Российской Федерации (далее — Налоговый кодекс) налоговая тайна не подлежит разглашению налоговыми органами, органами внутренних дел, следственными органами, органами государственных внебюджетных фондов и таможенными органами, их должностными лицами и привлекаемыми специалистами, экспертами, за исключением случаев, предусмотренных федеральным законом. К разглашению налоговой тайны относится, в частности, использование или передача другому лицу информации, составляющей коммерческую тайну (секрет производства) налогоплательщика и ставшей известной должностному лицу налогового органа, органа внутренних дел, следственного органа, органа государственного внебюджетного фонда или таможенного органа, привлеченному специалисту или эксперту при исполнении ими своих обязанностей.
При этом согласно статье 3 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне», информацией, составляющей коммерческую тайну, являются сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
В соответствии с Федеральным законом от 06.12.2011 N 402-ФЗ «О бухгалтерском учете» годовая бухгалтерская (финансовая) отчетность экономических субъектов состоит из бухгалтерского баланса, отчета о финансовых результатах и приложений к ним. Приказ Минфина России от 02.07.2010 N 66н «О формах бухгалтерской отчетности организаций», в числе прочих, включает формы 0710005 пояснений к бухгалтерскому балансу и отчету о финансовых результатах, включающих расшифровку дебиторской и кредиторской задолженности, в том числе, просроченных.
Таким образом, законодательством определено раскрытие информации о дебиторской и кредиторской задолженности коммерческими и некоммерческими организациями в рамках формирования бухгалтерской (финансовой) отчетности.
Статьей 11 Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете» установлено, что в отношении бухгалтерской (финансовой) отчетности не может быть установлен режим коммерческой тайны.
Бюджетная отчетность Федеральной налоговой службы составляется в соответствии с Инструкцией о порядке составления и представления годовой, квартальной и месячной отчетности об исполнении бюджетов бюджетной системы Российской Федерации, утвержденной приказом Министерства финансов Российской Федерации от 28.12.2010 N 191н, предусматривающей оформление в составе Пояснительной записки (ф. 0503160) Сведений по дебиторской и кредиторской задолженности (ф. 0503169), в том числе разделов 5.2. Просроченная дебиторская задолженность и 5.4. Просроченная кредиторская задолженность.
При заполнении главными администраторами средств федерального бюджета раздела 2 формы 0503169 «Сведения по дебиторской и кредиторской задолженности» указывается сумма просроченной задолженности на основании аналитической информации о просроченной дебиторской (кредиторской) задолженности, содержащейся в бухгалтерской (финансовой) отчетности контрагентов.
Таким образом, информация о дебиторской и кредиторской задолженности коммерческих организаций перед бюджетом, раскрываемая как в отчетности самих налогоплательщиков, так и в отчетности контрагентов, не относится коммерческой тайне, и, следовательно, не может быть отнесена к налоговой тайне.
Кроме того, обращаем внимание, что особенности формирования показателей формы 0503169 в квартальной бюджетной отчетности 2016 года определены в письмах Минфина России и Федерального казначейства от 04.07.2016 N 02-07-07/39110 и N 07-04-05/02-493 «Об отдельных вопросах составления и представления месячной и квартальной бюджетной отчетности, квартальной сводной бухгалтерской отчетности государственных (муниципальных) бюджетных и автономных учреждений в 2016 году» с приложениями, а также в письме Минфина России от 18.07.2016 N 02-06-07/41975.
| Директор Департамента бюджетной методологии и финансовой отчетности в государственном секторе | С.В. Романов |
