Дослідження змісту категорій інформації з обмеженим доступом відповідно до чинного законодавства Укр

Прокоф'єва Д.М.
20.05.2005 | 14:06
Захист інформації з обмеженим доступом є одним з першочергових завдань забезпечення інформаційної безпеки. Однак його ефективна реалізація, принаймні на правовому рівні, значно ускладнюється відсутністю єдиного розуміння понять "інформація з обмеженим доступом", "конфіденційна інформація", "таємна інформація". Оскільки положення з цього приводу містяться переважно в актах неінформаційного характеру і є доволі суперечливими, для з'ясування суті вищезазначених термінів слід проаналізувати зміст відповідних правових норм.

Згідно ст. 30 "Інформація з обмеженим доступом" Закону України "Про інформацію", інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденціальну (конфіденційна - це більш вдалий і широко вживаний термін) і таємну.

Конфіденціальна (конфіденційна) інформація - це, відповідно до Закону, відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їхнім бажанням відповідно до передбачених ними умов. Громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або такою, яка є предметом їхнього професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї систем (способів) захисту. Виняток становить інформація комерційного та банківського характеру [20], а також інформація, правовий режим якої встановлено Верховною Радою України за поданням Кабінету Міністрів України (з питань статистики, екології, банківських операцій, податків тощо), та інформація, приховування якої є загрозою для життя і здоров'я людей. До таємної належить інформація, що містить відомості, які становлять державну або іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі.

Ч. 2 ст. 30 Закону України "Про інформацію", перераховуючи повноваження, суб'єкт яких може визначати режим доступу до інформації, містить сполучник "або", який вказує на те, що інформація може вважатися конфіденційною не тільки з волі власника (право власності передбачає право володіння, користування та розпорядження), а й з волі особи, якій належить окреме повноваження щодо інформації. Оскільки Закон не містить зауважень відносно опосередкування волі такої особи щодо встановлення режиму доступу до інформації волею власника, у відповідності з нормою статті 30, до категорії конфіденційної інформацію може відносити як особа, не уповноважена на це власником (якщо, наприклад, власник інформації уповноважив таку особу тільки на користування), так і нетитульний володілець. Фактично це є порушенням права власності на інформацію, оскільки власник, від якого інформація фактично не виходить, здійснюючи свої повноваження, порушує режим обмеженого доступу до інформації, встановлений іншою особою згідно ст. 30. Те ж саме слід зазначити і щодо ч. 3 ст. 30. Інформація може бути предметом певного інтересу для будь-якої особи. Цей інтерес може бути і негативним, тобто мати протиправну спрямованість. Протиправний характер інтересу не виключає можливості придбання особою інформації на власні кошти. Таким чином, ч. 3 ст. 30 також не передбачає умовою для встановлення режиму доступу до інформації законність права власності або делегованих власником повноважень.

Відповідно до змісту ч. 2 ст. 30, конфіденційною інформацією з волі вповноваженої особи може бути визнана будь-яка інформація. Однак ч. 4 статті 28 Закону передбачає, що не підлягає необгрунтоване її віднесення до категорії інформації з обмеженим доступом. Оскільки інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну (конфіденціальну) і таємну, згідно ст. 28 не допускається необгрунтоване (чим?) віднесення інформації до конфіденційної, що суперечить ст. 30. Встановлення ж умов обгрунтованого віднесення інформації до категорії конфіденційної, які б зумовили вичерпність переліку видів конфіденційної інформації, навряд чи доцільно у зв'язку зі змістом цього інституту і його відмінності від інституту таємної інформації. Це однак не повинно означати відсутності загальних принципів законності віднесення інформації до категорії конфіденційності (про такі принципи мова буде йти нижче).

Згідно тексту ч. 4 ст. 30 Закону України "Про інформацію", інформація (будь-яка!) комерційного та банківського характеру не може бути визнана конфіденційною, тому в цій частині ст. 30 потребує коригування.

Ст. 30 Закону України "Про інформацію" фактично не розмежовує конфіденційну та таємну інформацію, що негативно відбивається й на інших нормах чинного інформаційного законодавства.

Ст. 30 у визначенні таємної інформації передбачає, що її розголошення завдає шкоди особі, суспільству і державі. Але власник встановлює для інформації режим обмеженого доступу, відносячи її до категорії конфіденційної також з урахування того, що повідомлення такої інформації третім особам може завдати йому (його інтересам) шкоди. Так само і державні юридичні особи, що володіють інформацією на праві повного господарського відання або оперативного управління (як і іншою державною власністю), тобто титульні володільці згідно змісту ст. 30 можуть відносити таку інформацію до категорії конфіденційної, якщо її розголошення може зашкодити державі. Крім того заподіяння шкоди окремому суб'єкту правовідносин одночасно є заподіянням шкоди правопорядку в цілому, тобто шкода завдається не лише окремій особі, а й суспільству та державі. Таким чином, завдання розголошення інформації шкоди певним інтересам не може вважатися підставою для класифікації інформації. Однак такі підстави мають бути виявлені і зазначені в законі.

Закон охороняє як таємну, так і конфіденційну інформацію, тому неможливо говорити про захист першої за допомогою закону, а іншої - засобами власника. Разом з тим слід зазначити, що суб'єкти встановлення режиму обмеженого доступу для цих категорій інформації є різними. Належність інформації до категорії конфіденційної встановлюють фізичні та юридичні особи з метою захисту власних інтересів (ця інформація за загальним правилом є відкритою, і може такою залишатися, але фізичним та юридичним особам в межах їх компетенції надано право обмежувати доступ до такої інформації), а належність інформації до категорії таємної - держава в публічних інтересах. Для визнання інформації конфіденційною необхідно мати певне право на таку інформацію. Держава ж, визнаючи інформацію таємною, керується своїми повноваженнями щодо захисту публічних інтересів, а не правом на інформацію. Звісно, можна зазначити, що встановлення в законі можливості віднесення інформації до категорії конфіденційної також захищає публічні інтереси, тобто всіх, а не окремої особи. Однак норми щодо віднесення інформації до категорії конфіденційної є диспозитивними (особа може, але не зобов'язана відносити інформацію до категорії конфіденційної навіть тоді, коли в законі зазначений характер відомостей - комерційні або ін.), що ж стосується віднесення інформації до категорії таємної, тут мають місце імперативні норми - держава наказує визнавати таємною інформацію певного характеру. Різним є також момент отримання інформацією рівня захисту згідно режиму обмеженого доступу: таємною інформація визнається з моменту свого виникнення (якщо її визнання таємною вимагає закон), конфіденційною ж - з моменту відповідного рішення власника.

Віднесення інформації до категорії конфіденційної є реалізацією повноважень власника, тобто права власності як абсолютного (ніхто не повинен посягати на власність незалежно від того, чи вжив власник заходів щодо її збереження, а їх вжиття в межах абсолютного права не порушує і не обмежує прав інших осіб). У той же час визнання інформації таємною являє собою безпосереднє виключення з права на інформацію, передбаченого чинним Законом та Конституцією [1]. Виходячи з цього, закон має передбачати вичерпний перелік видів інформації, що становить "іншу, передбачену законом таємницю", оскільки невстановлення в законі та віднесення до компетенції "відповідних державних органів" визначення порядку її обігу та захисту призводить до незаконних обмежень права на інформацію. Такий перелік, як і принципи "обгрунтованого віднесення" до інформації з обмеженим доступом, зокрема до категорії конфіденційної, є необхідним. Що стосується конфіденційної інформації, встановлення вичерпного переліку її видів є неможливим, оскільки власник, згідно закону, уповноважений відносити до категорії конфіденційної будь-яку інформацію, крім встановлених законом обмежень (тобто інформацію, яка за загальним правилом може бути й відкритою). Але якщо закон встановить окремі види конфіденційної інформації та характер відомостей, що до них належать (наприклад, комерційна таємниця), з метою визначення порядку її обігу та функціонування, це не означатиме вичерпності видів такої інформації та порушення диспозитивності норми (наприклад, якщо інформація не відповідає визначенню комерційної таємниці, це не означає, що вона не може бути визнана конфіденційною взагалі). До того ж неможливою є конфіденційність а priori, тобто вимога держави на рівні закону щодо обов'язковості визнання певної інформації конфіденційною.

Щодо співвідношення інформації, яка захищається за допомогою законодавства про інтелектуальну власність, та конфіденційної інформації [7, 9-12], то воно виглядає наступним чином: конфіденційна інформація не обов'язково є об'єктом інтелектуальної власності, однак інформація, яка захищається за допомогою законодавства про інтелектуальну власність, може бути визнана конфіденційною. Таке визнання і відповідне застосування норм законодавства щодо інформації з обмеженим доступом не є перешкодою до застосування відповідних норм законодавства щодо інтелектуальної власності. В окремих випадках норми законодавства щодо інформації з обмеженим доступом є єдиним правовим засобом захисту вищезазначеної інформації в Україні (наприклад, ноу-хау). Що ж до таємної інформації, то норми законодавства щодо інформації з обмеженим доступом мають перевагу у застосуванні порівняно з нормами законодавства про інтелектуальну власність.

Як уже зазначалося, існує багато окреслених у законодавстві видів інформації, в назві яких фігурує слово "таємниця" (види інформації, в яких спостерігаються спільні ознаки, в переліку позначені однаковим шрифтом):
  • державна таємниця;
  • службова таємниця;
  • військова таємниця;
  • медична таємниця;
  • таємниця нарадчої кімнати;
  • професійна таємниця;
  • банківська таємниця;
  • таємниця страхування;
  • таємниця вчинюваних нотаріальних дій;
  • комерційна таємниця;
  • таємниця попереднього слідства;
  • таємниця усиновлення;
  • адвокатська таємниця;
  • таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції.

Однак чи кожен з цих видів інформації належить до категорії таємної? Наявність у складі назви слова "таємниця" вочевидь не є визначальним моментом для безумовного розгляду зазначених видів як належних до категорії таємної інформації. Наприклад, у складі інформаційних ресурсів Російської Федерації також є наявними комерційна, банківська, службова, адвокатська та інші вищезазначені "таємниці". Однак, оскільки відповідно до законодавства Російської Федерації [21], інформація з обмеженим доступом поділяється на державну таємницю та конфіденційну інформацію, всі вищезазначені "таємниці", а також персональні дані належать до конфіденційної інформації (в той же час і термін "конфіденційна інформація" застосовується в дещо іншому значенні, ніж це має місце у відповідності із законодавством України). Слово "таємниця", таким чином, є синонімом до вислову "інформація з обмеженим доступом". Це є справедливим і для законодавства України, тому щодо кожної з "таємниць" має бути доведена її змістовна відповідність закріпленим законі України "Про інформацію" визначенням таємної, або ж конфіденційної інформації.

Держава законодавчо зобов'язує не розголошувати всі види, крім комерційної та таємниці попереднього слідства (згідно Кримінального Кодексу України - таємниця попереднього слідства та дізнання) вже в силу існування інформації певного характеру або в силу знаходження інформації в певних суб'єктів.

Щодо комерційної таємниці та таємниці попереднього слідства , то закон передбачає можливість обмеженого доступу до інформації певного характеру, якщо на це є воля власника (щодо попереднього слідства, власниками слід вважати осіб, з волі та внаслідок діяльності яких інформація попереднього слідства виникає як особливий об'єкт, тобто органи та посадових осіб, що здійснюють попереднє слідство). Закон, таким чином, не вимагає таємності інформації в будь-якому разі, тобто вже в силу її існування і обмеження доступу встановлюється з моменту прийняття власником рішення про це. Тобто зазначена інформація є конфіденційною. Разом з тим вважаємо, що таке становище таємниці попереднього слідства є недоречним з міркувань забезпечення безпеки зазначеної інформації з обмеженим доступом та інтересів слідства і має бути законодавчо змінено.

Державна, службова, військова, медична таємниці, таємниця нарадчої кімнати є, безперечно, таємною інформацією. Як вже зазначалося, держава в обов'язковому порядку вимагає таємності таких відомостей. Державна [13,17], службова, військова таємниці [17] є загальнообов'язковими, в тому числі і для власника.

Слід відзначити, що питання про зміст службової таємниці є дискусійним. Цивільне законодавство Російської Федерації [24], наприклад, окремими нормами здійснює спільне регулювання "службової та комерційної таємниць", тобто службова таємниця розглядається як така, що за змістом співпадає з комерційною, однак відрізняється від останньої за суб'єктами. Таке визначення службової таємниці обмежує права державних органів, підприємств, установ та організацій на конфіденційну інформацію (комерційну таємницю), або зумовлює конфіденційний характер службової таємниці, що суперечить нормам кримінального законодавства України. Не слід вважати вдалою також пропозицію доктрини про визнання службовою таємницею будь-якої інформації, одержаної внаслідок виконання професійних або службових обов'язків, оскільки не вся зазначена інформація потребує встановлення обмеження доступу до неї, а інформація тих видів, що належать до категорії таємної, має різний характер, особливості обігу, суб'єктний склад. Головним недоліком вищенаведених визначень службової таємниці є те, що вона, таким чином, залишатиме без захисту інформацію у найбільш важливих сферах життєдіяльності суспільства та держави, яка не може бути визнана державною таємницею відповідно до законодавства України, хоча саме така інформація становить зміст службової таємниці, якщо встановлювати його з негативного визначення, що міститься в чинному Кримінальному Кодексі України, та розміщення в Кодексі відповідної статті. Тобто вважаємо за необхідне закріпити визначення службової таємниці як "маленької державної таємниці" на рівні закону.

Від службової слід відрізняти професійну таємницю [16]. Вона визначається не змістом конкретних відомостей, а їх наявністю у віданні визначених законом державних органів внаслідок виконання ними своїх функцій. Визначальне значення виконання зазначеної діяльності обумовлює строковий характер професійної таємниці - обмеження доступу скасовуються після закінчення такої діяльності органами державної влади. Для інформації, що становить професійну таємницю, може бути характерним перехід до категорії таємної з категорії конфіденційної (якщо до моменту передачі у відання відповідних органів власник визнав зазначену інформацію конфіденційною). В такому випадку скасування обмеження доступу до неї як до таємної інформації не скасовує її належності до категорії конфіденційної. Такий перехід може відбуватися й щодо інших видів таємної інформації.

Таємниця нарадчої кімнати [18] є обов'язковою для присутніх суддів з приводу міркувань, які ними висловлюються. Щодо медичної таємниці [5], вона є обов'язковою лише для спеціального суб'єкта, а не для власника (особи, відомості про яку становлять зміст медичної таємниці) та інших осіб. Однак воля власника не може змінити режим доступу до такої інформації - суб'єкт має зберігати її в таємниці. В зазначених випадках, таким чином, ознаки конфіденційності повністю відсутні - диспозитивність та керівна воля власника.

Разом з тим інформація, яка становить медичну таємницю, може бути використана в навчальному процесі, науково-дослідній роботі, в тому числі у випадках її публікації у спеціальній літературі, але за умови обов'язкового забезпечення анонімності пацієнта (тобто, згідно ст. 40 "Основ законодавства про охорону здоров'я", таке використання не скасовує таємного характеру інформації, оскільки значення має не збереження в таємниці власне відомостей, але особи, якої такі відомості стосуються. Збереження анонімності особи визначає зміст і деяких інших "таємниць", наприклад адвокатської).

Згідно ст. 31 Конституції України [1], кожному гарантується таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції. Винятки можуть бути встановлені лише судом у випадках, передбачених законом, з метою запобігти злочинові чи з*ясувати істину під час розслідування кримінальної справи, якщо іншими способами одержати інформацію неможливо. Тобто обмеження доступу до такої інформації імперативно вимагається законом, і зобов'язаний суб'єкт має зберігати таємницю такої інформації незалежно від волі власника. Це, таким чином, також таємна інформація.

Дещо схожий характер має банківська таємниця [2] - закон зобов'язує службовців банків зберігати таємницю по операціях, рахунках і вкладах банку його клієнтів та респондентів незалежно від волі останніх, однак зазначає випадки, коли вказана інформація може надаватися державним органам та посадовим особам з метою забезпечення виконання покладених на них обов'язків ( закон України "Про банки та банківську діяльність"). Від останніх, разом з тим, не вимагається подальшого збереження таємності інформації, що становить предмет банківської таємниці (цей недолік має бути усунено!). Це ж саме стосується і таємниці страхування, [15] таємниці вчинюваних нотаріальних дій [8].

У законодавстві Німеччини [22] аналогічний медичній таємниці характер має і адвокатська таємниця. Адвокат, незалежно від волі клієнта, зобов'язаний зберігати її протягом 5 років після закінчення виконання доручення клієнта, якого стосується така інформація. В Україні [6] закон покладає на адвоката обов'язок тримати в таємниці інформацію, що стала йому відома у зв'язку з виконанням ним своїх обов'язків (з цих питань він не може бути допитаний як свідок). Що стосується документованої інформації, пов'язаної в виконанням адвокатом доручення (ч.2. ст.10 закону України "Про адвокатуру"), - очевидно, власником якої є адвокат - вона підлягає оглядові та розголошенню лише за згодою адвоката. Тобто наявна у віданні адвоката інформація може бути як таємною, так і конфіденційною (разом з тим, чинне законодавство не містить критеріїв такого розподілу зазначеної інформації).

Особливість має також і таємниця усиновлення [19] - закон встановлює обмеження доступу, а власник може змінювати порядок доступу та розповсюдження інформації на свій розсуд. Відповідальність за розголошення такої інформації настає лише в разі розголошення проти волі власника, так само, як і щодо комерційної таємниці. Але остання стає інформацією з обмеженим доступом після акту волевиявлення власника, а таємниця усиновлення є такою a priori.

Разом з тим, стаття 46 закону України "Про інформацію", визначаючи, яка інформація не підлягає розголошенню, відмежовує державну та "іншу передбачену законом таємницю" від лікарської таємниці, таємниці грошових вкладів, прибутків від підприємницької діяльності, усиновлення, листування, телефонних розмов і телеграфних повідомлень, очевидно, не вважаючи зазначені "таємниці" таємною інформацією. Ці непорозуміння мають бути ліквідовані шляхом чіткого окреслення меж та критеріїв різних категорій інформації з обмеженим доступом.

Також необхідно встановити, до якої категорії інформації з обмеженим доступом належать персональні дані (відповідно до Конституції - інформація про особу) [1, 4]. Крім того, необхідно визначити власника таких відомостей - особу, якої стосуються такі відомості, або відповідні органи (останніх доречніше вважати володільцями, а не власниками), визначити кількість інформації про громадян, яка може бути одержана законним шляхом.

В іноземних державах [23] на державні органи покладений обов'язок зберігати інформацію, яка носить характер персональних даних, у таємниці незалежно від волі власника, оскільки вона (інформація) збирається також незалежно від його волі, тобто такі персональні дані вважаються таємною інформацією. Щодо збирання інформації недержавними органами, ця інформація визнається конфіденційною і поширюється згідно до передбачених власником умов.

Разом з тим, згідно ст.32 Конституції України, персональні дані можуть і не вважатися захищеною законом таємницею (ч.3). Ч.2 ст.32 передбачає, що не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, i лише в інтересах національної безпеки, економічного добробуту та прав людини. Тобто, якщо випадки збирання персональних даних державними органами є такими винятками (за ст.32), то персональні дані є конфіденційною інформацією (а якщо не допускається здійснення інформаційних процесів щодо конфіденційної інформації про особу, вони, очевидно, дозволені щодо відкритої інформації - тобто, за статтею 32 Конституції, можливе і її існування). Що ж стосується тієї інформації, яка була зібрана "у випадках, визначених законом" державними органами, законодавство (зокрема Конституція України) не визначає її подальшої долі, тобто не встановлює, чи належить зазначена інформація до категорії таємної. До того ж ч. 3 ст. 32 встановлює, що громадяни не можуть знайомитись з відомостями про себе, які є не тільки державною, а й "іншою передбаченою законом таємницею" (тобто за змістом цієї норми персональні дані, зокрема відомості, що становлять зміст медичної та банківської таємниць, не можуть належати до таємної інформації, або ж особа, якої стосуються зазначені відомості, не може знайомитись з ними) - тому всі ці питання потребують уточнення на рівні закону.

Таким чином слід зазначити, що регулювання суспільних відносин, які виникають з приводу інформації з обмеженим доступом, що не становить державної таємниці, є "білою плямою" в законодавстві України. Це зумовлено не лише відсутністю чіткого розмежування конфіденційної та таємної інформації, але й безсистемним та недбалим викладенням положень, які стосуються будь-якої інформації з обмеженим доступом, якщо вона не становить державної таємниці, непридатністю відповідних норм до практичного застосування. Усунення зазначених недоліків є обов'язковою передумовою розвитку інформаційного законодавства України, в тому числі й законодавчих основ системи захисту інформації.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
  1. Конституція України // Закони України. - К., 1997. -Т.10.
  2. Про банки та банківську діяльність: Закон України від 20.03.1991 р.// Закони України.-К., 1996. -Т.1.
  3. Про підприємства в Українi: Закон України від 27.03.1991 р.// Закони України. -К., 1996. -Т.1.
  4. Про інформацію: Закон України від 02.10.1992 р. // Закони України. -К., 1996. Т.4.
  5. Основі законодавства України про охорону здоров'я: Закон України від 19.11.1992 р. // Закони України. -К., 1996. -Т.4.
  6. Про адвокатуру: Закон України від 19.12.1992 р. //Закони України. -К., 1996. -Т.4.
  7. Про науково-технічну інформацію: Закон України від 25.06.1993 р. //Закони України. -К., 1996. -Т.5.
  8. Про нотаріат: Закон України від 02.09.1993 р. //Закони України. -К., 1996. -Т.3.
  9. Про охорону прав на винаходи та корисні моделі: Закон України від 15.12.1993 р. //Закони України. -К., 1996. -Т.6.
  10. Про охорону прав на знаки для товарів та послуг: Закон України від 15.12.1993 р. //Закони України. -К., 1996. -Т.6.
  11. Про охорону прав на промислові зразки: Закон України від 15.12.1993 р. //Закони України. -К., 1996. -Т.6.
  12. Про авторське право i суміжні права: Закон України від 23.12.1993 р. //Закони України. -К., 1996. -Т.6.
  13. Про державну таємницю: Закон України від 21.01.1994 р. //Закони України. -К., 1997. -Т.7.
  14. Про захист інформації в автоматизованих системах: Закон України від 5.07.1994 р. //Закони України. -К., 1997.- Т.7.
  15. страхування: Закон України від 7.03.1996 р. //Закони України. -К., 1997.- Т.10.
  16. Про рахункову палату: Закон України від 11.07.1996 р. //Закони України. -К., 1997. -Т.11.
  17. Науково-практичний коментар кримінального кодексу України. -К.: Юрінком, 1997.
  18. Науково-практичний коментар кримінально-процесуального кодексу України.- К.: Юрінком Інтер, 1997.
  19. Кодекс про шлюб та сім'ю України // Право України. - №7-8.- 1994.
  20. Про перелік відомостей, що не становлять комерційної таємниці: Постанова КМ України від 9.08.1993 р. № 611.
  21. Об информации, информатизации и защите информации: Федеральный закон Российской Федерации от 20.02.1995 г. № 24-ФЗ.
  22. Святоцький О.Д., Медведчук В.В. Адвокатура: історія і сучасність. -К.: Ін Юре, 1997.
  23. The Protection of Personal Information. Building Canada's Information Economy and Society. Task Forse on Electronic Commerse Industry Canada, Justice Canada, January 1998.
  24. ГК Российской Федерации от 30.11.1994г. № 51-ФЗ// Собрание законодательства РФ.1994.№32.


ISBN 966-95343-1-3

©Авторський колектив, 1998
© "Інформаційні технології та захист інформації", 1998
©Запорізький юридичний інститут, 1998