Впечатления от правовой дискуссии на «Инфофоруме»
Анатолий Стрельцов: «Проблем море, а мы даже не знаем, где оно начинается» |
Что способно объединить участников самых разнообразных дискуссий по вопросам, так или иначе связанным с развитием бизнеса в России? Даже ярые оппоненты обычно сходятся во мнении, что корень всех бед — несовершенство нормативно-правовой базы. От апелляции к этому аргументу становится как-то спокойнее: ведь где-то есть те депутаты, юристы и прочие профессионалы, которым общество делегировало эту головную боль и которые за деньги налогоплательщиков обязаны бороться по меньшей мере за адекватность законов.
При более близком знакомстве с такими специалистами от спокойствия не остается и следа. Выясняется, что не только рядовые граждане смутно представляют себе, как решить, например, проблему информационной безопасности, не породив массы проблем в смежных областях, — юристы тоже не знают, как к ней подступиться. При этом законотворческий энтузиазм в данной области не иссякает, мигрируя от одной инициативной группы, осознавшей бесконечность темы, к другой.
Так называемый «трехглавый» закон «Об информации, информатизации и защите информации» сегодня уже никого не устраивает. И хотя попытка запрячь в одну телегу «коня и трепетную лань» признана неудачной большинством участников рынка, к закону разрабатываются поправки.
Плач по дефинициям
Трехчасовое обсуждение вопросов правового регулирования в сфере информационной безопасности в рамках «Инфофорума-7» оставило неутешительное впечатление. Лучше всего суть происходящего выразил один из ведущих данной секции, начальник департамента аппарата Совета безопасности Анатолий Стрельцов: «Проблем море, а мы до сих пор не знаем даже, где оно начинается, где заканчивается и какой оно глубины».
Для начала нужно хотя бы договориться о терминах: как было отмечено многими докладчиками, главный источник бед — отсутствие понятийного аппарата, который мог бы лечь в основу целостной системы нормативно-правовых актов, регулирующих информационную сферу. Даже обозначить границы этой сферы уже непросто.
Информационная неприкосновенность частной жизни граждан, политический информационный терроризм, компьютерные преступления, межгосударственные информационные конфликты, безопасность электронного бизнеса и защита государственной тайны — нетривиальных вопросов в каждой из вышеперечисленных (а также и неупомянутых) областей гораздо больше, чем ответов. Сторон, заинтересованных в отражении в законе того или иного аспекта информационной безопасности, тоже немало. Центр информационной безопасности ФСБ сетует на отсутствие определения в нормативных актах понятий критической информационной инфраструктуры и кибератаки, а Минюст, где сейчас проходит экспертизу проект закона, регулирующего отношения, связанные с использованием персональных данных, — на отсутствие официального определения таких данных и четких критериев информации, которую надо защищать.
Формулирование дефиниций — самая сложная, неблагодарная часть работы законодателей, результат которой обычно подвергается жесточайшей критике. Но это не должно тормозить движение к принятию новых законов.
«Мы просто обязаны договориться хотя бы о плохой редакции таких понятий, как персональные данные, государственная тайна и прочие, если хотим, чтобы наши ведомства выполняли свои функции», — подчеркнула начальник отдела новой экономики Минэкономразвития РФ Ирина Задирако.
Один из возможных «обходных» путей решения данной проблемы — оперировать при составлении новых российских законов терминами, принятыми в международных тезаурусах.
Между теорией и практикой
Еще один фактор, тормозящий законотворческий прогресс, — нехватка «большой теории» в госструктурах, считает ведущий научный сотрудник Института государства и права РАН Нина Соловяненко. По ее мнению, ученых и практиков, которые сегодня действуют изолированно друг от друга, надо «перемешать» и поставить перед ними общую задачу.
Тем не менее лишенным теории ведомствам приходится заполнять правовые лакуны. Так, МЭРТ готовит проект концепции регулирования отношений в области оборота информации. В рамочном законе, который, по замыслу авторов концепции, должен прийти на смену отработавшему свое «трехглавому», должны быть прописаны категории информации, принципы ее классификации и режимы обращения. Этот закон необходимо подкрепить «информационными регламентами», которые могут представлять собой отдельные нормативные акты по предметным областям, такие как закон о персональных данных или о служебной тайне. Пока что примеры разработанных «регламентов» идут вразрез с принципами концепции и не удовлетворяют министерство. Например, в МЭРТ считают, что в проекте закона «О гарантиях предоставления информации о деятельности и решениях государственных органов власти, органов местного самоуправления», находящемся в достаточно высокой степени готовности, отсутствуют единообразная терминология и единые правовые принципы. А разработчики концепции теряют революционный задор по мере того, как вместо содействия получают палки в колеса, чему очень способствует правовой вакуум, позволяющий чиновникам бездействовать на законных основаниях.
Однако непосредственным исполнителям в лице правоохранительных органов приходится работать с теми законами, которые есть. Они же, как сообщил начальник Управления «К» МВД РФ Евгений Якимович, не дают оснований для проведения оперативно-розыскных мероприятий по таким вопиющим фактам, как, например, торговля крадеными базами данных (если только речь идет не о нарушении авторских прав на рубрикацию такой базы, а о разглашении сведений о частной жизни).
Между тем компьютерные преступления давно утратили романтический ореол, и прежний образ одаренного подростка, хулиганящего в Internet из любопытства, сегодня устарел. Наблюдается тенденция к взрослению киберпреступности, примерно 70% преступников — зрелые люди в возрасте 25-35 лет, основным мотивом которых является корысть, а 11% всех компьютерных преступлений совершается преступными группами. У МВД есть успехи — доведенные до суда дела и прецеденты осуждения спамеров и виновников DoS-атак. Однако успехам правоохранительных органов в данной ситуации радоваться преждевременно. При существующей нормативной вакханалии квалифицированный юрист относительно просто может доказать как состав преступления, так и его отсутствие по одному и тому же эпизоду. Так, «остановившийся в развитии» закон об ЭЦП сегодня служит элементом шантажа: при нежелании выполнять свои обязательства всегда можно пригрозить перспективой признания сделки, заверенной электронно-цифровой подписью, недействительной.
Резюме
На ближайший год Госдуме хватит проблем более насущных, чем защита информационной безопасности. За это время, отметил Стрельцов, надо успеть разобраться, что именно и как нужно защищать, какая информация должна быть общественным достоянием, что должно быть закреплено в законе, а что можно решить на уровне постановлений правительства. Для этого нужны не только инициативы, но и организация, которая бы ими занималась.
«Мы собираемся часто, говорим много, но у нас мало документов на выходе», — отметила Задирако.
Кто же станет коллективным организатором?