02.08.2013

Правовой нигилизм нарастает

В последние месяцы обострилась ситуация с нормативным регулированием в области Интернет, ИКТ, информационной безопасности. Принимается множество нормативных и нормативно-правовых актов разного уровня - федеральные законы, постановления правительства, стандарты, приказы и т.п. И разумеется множество людей начинает обсуждать, ругать, критиковать эти законодательные инициативы. И вот в последнее время очень остро стало заметно, что большинство критиков абсолютно ничего не понимают в законодательстве и праве, упирая только на эмоциональную составляющую. "Мне не нравится!" - основной тезис противников многих выпущенных нормативных актов.

С этим, правда, что-то поделать сложно ;-( Эмоции есть эмоции. Но доказывать с пеной у рта, что тот или иной нормативный акт неправильный, не удосужившись даже ознакомиться с основами права... Не комильфо, знаете ли. Не скажу, что я юрист и досконально знаю законодательство и основы права. Но немножко в эту тему погружался и кое-что изучал. Поэтому любой нормативный или нормативно-правовой акт (а это, кстати, два разных понятия) я оцениваю с двух точек зрения - "нравится/не нравится" и "корректно/некорректно". Первое сейчас брать в расчет не буду, а по второму пройдусь немного.

Новость вчерашнего дня. Планируется внести поправки в п.2 статьи 1252 Г, который будет звучать так: "В порядке обеспечения иска по делам о нарушении исключительных прав могут быть приняты обеспечительные меры, установленные процессуальным законодательством, в том числе может быть наложен арест на материальные носители, оборудование и материалы, а также запрет на осуществление действие в информационно-телекоммуникационных сетях, если в отношении таких материальных носителей, оборудования и материалов или в отношении таких действий выдвинуто предположение о нарушении исключительного права на результат интеллектуальной деятельности или на средство индивидуализации" (выделение мое). И началось! Основной тезис противников данной поправки (мне она, кстати, тоже не нравится) простой - у нас презумпция невиновности и пока не доказана вина, никто не может ничего изымать или накладывать арест.

Презумпция невиновности существует. Но в уголовном праве. А речь идет о гражданском. А в нем нет презумпции невиновности! Скорее наоборот. В гражданском судопроизводстве (а речь в данном случае именно о нем идет) речь идет об обязанности надлежащего ответчика выполнить некоторое обязательство и (или) возместить причиненный им вред. При этом изначально предполагается, что лицо, в отношении которого установлено, что оно нарушило обязательства или причинило вред, виновно! Задача истца предъявить достаточные доказательства, что лицо, привлеченное по делу в качестве ответчика, не выполнило обязательств или причинило вред. Если такие доказательства (в данном случае предположения) представлены, то лицо, против которого они выдвинуты, признается надлежащим ответчиком. И именно ответчик (если он не хочет выполнять требования истца) должен доказывать отсутствие вины. А в уголовном судопроизводстве ситуация обратная - там подозреваемое лицо ничего не должно доказывать (как минимум в теории) - это обвинение должно доказать его вину.

Идем дальше. Возьмем PRISM и XKEYSCORE. Хотя нет. Возьмем наш СОРМ. У нас есть Конституция и статья 23-я о тайне переписки, которая все-таки может быть нарушена, но только по решению суда. В США эта схема работала именно так. Не буду сейчас рассматривать вопрос о том, что суд был секретный и отказов на запросы спецслужб почти не было. Схемы была законна (на мой непросвещенный взгляд), хотя и неприятна с точки зрения рядового гражданина. Что у нас? А у нас есть 538-е Постановление Правительства от 27-го августа 2005 года, в котором говорится, что оператор связи обязан предоставлять спецслужбам информацию об абонентах "путем осуществления круглосуточного удаленного доступа к базам данных". Какая Конституция?! Какое решение суда?! Ничего подобного. Если в случае с PRISM ни ЦРУ, ни АНБ формально не имели прямого доступа к данным операторов связи и Интернет-провайдеров (это делалось через шлюз ФБР), то у нас прямой круглосуточный доступ. Что тут можно сказать? Данный НПА нарушает конституционные права граждан! И вновь возникает непонимание норм права. Чтобы нарушение признать, надо обратиться в Конституционный суд, который и должен признавать или не признавать несоответствие нормативно-правового акта Конституции. Кто обращался?

Хочу заметить, что правовой нигилизм - это проблема не только рядовых граждан, но и самих регуляторов (да и судов тоже). Возьмем пресловутое Постановление Правительство №330, которое устанавливает требование обязательной сертификации средств защиты персональных данных. На него регулярно ссылаются во ФСТЭК, да и многие производители продвигая свои поделки с голограммами упирают на обязанность применять только сертифицированные средства защиты. Но у нас есть Конституция (ох уж эта Конституция, мешающая жить), в 15-й статье которой написано, что "Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения". Про то, что это же написано в самом ФЗ-152 и ФЗ-294 я даже и не говорю. И тоже самое касается методических указаний ФСБ по применению шифровальных средств для защиты персданных. Справедливости ради надо сказать, что ФСБ никогда официально и не настаивала на обязательности этих методичек.

Идем дальше. Есть такой правовой принцип lex speciali derogat legi generali. Он понятен и прост - если есть специальный закон, то общий не применяется. Возьмем к примеру вопросы оценки соответствия. В ФЗ-149 нет требований по оценке соответствия средств защиты для негосударственных информационных систем. Значит ли это, что можно выбирать любые из них? Нет. Т.к. ФЗ-149 - это общая норма, а тот же ФЗ-152 - норма частная. И он имеет право установить свои требования по оценке соответствия средств защиты персональных данных, что он и делает (но по оценке соответствия, а не по сертификации). Или другой пример. Как защищать персональные данные в рамках НПС? По требованиям ФСТЭК/ФСБ (21-й приказ ФСТЭК и готовящийся приказ ФСБ) или по требованиям ЦБ? Регуляторы спорят, а юристы давно дают ответ - по требованиям ЦБ, т.к. ФЗ-161 и разработанное во его исполнение 382-П - это частная норма права, устанавливающая особенности обработки (и защиты) персональных данных "не вообще", а только в Национальной платежной системе.

Вернемся к оценке соответствия в контексте частных и общих норм права.  При наличии общей нормы закона подзаконные нормативные акты применяются тогда, когда общий закон прямо предусматривает установление специальных норм именно в подзаконных актах – например, в постановлениях правительства. В ФЗ-152, что средства защиты ПДн должны пройти оценку соответствия. Чтобы поставить знак равенства между оценкой соответствия и сертификацией ФЗ-152 должен был явно это указать или дать право (именно в данном вопросе) установить специальные нормы на уровне подзаконных актов. Такого права нет. Поэтому и в ПП-1119 и в 21-м приказе нет требования по сертификации средств защиты, но есть общее требование по оценке соответствия.

Еще один пример, который уже скоро год как регулярно всплывает на поверхность. Действует или нет "приказ трех" по классификации ИСПДн? Роскомнадзор да и многие другие органы госвласти считают, что раз явно этот приказ никто не отменял, то его надо по-прежнему выполнять. И поэтому в уведомлении в РКН надо по-прежнему указывать класс ИСПДн, а не уровень защищенности. Но "приказ трех" никто и не будет явно отменять, т.к. по общему правилу он уже отменен. Ведь отменено Постановление Правительства №781, во исполнение которого и разрабатывался "приказ трех". Отменили вышестоящий акт - автоматом отменяются и все нижестоящие, если нет явных исключений (а их нет).

Ну и напоследок. Вспомним, что у нас есть разные отрасли права - частное (гражданское), публичное (конституционное, административное, уголовное, процессуальное) и международное. В частном праве основополагающим принципом является "все, что не запрещено, разрешено" (диспозитивная норма). А в административном  (у госорганов) принцип прямо противоположный - "все, что не разрешено, запрещено" (императивная норма). И госорган действует только в рамках своей компетенции прямо установленной нормативными актами. По этой причине, ни ФСТЭК, ни ФСБ никогда не дадут официального ответа на вопрос "кто определяет актуальность типов угроз ПДн?". Не уполномочены они разъяснять действие Постановлений Правительства и федерального законодательства. И не стоит от них этого ждать. Они могут высказать свое мнение или позицию, но не установить обязательное к исполнению требование.

Я не призываю прекращать критиковать нормативные акты, выпускаемые в России. Ни в коем случае (я и сам регулярно это делаю). Просто критикуя надо... нет не предлагать (хотя это само собой), а понимать основы, на базе которых появляются те или иные нормативные документы. И далеко не всегда они выполнены в соответствие с логикой рядового гражданина. И далеко не всегда нормы, по которым живут граждане или частные компании, применимы к действиям госорганов (и наоборот). Это, как мне кажется, является очень важным и этому надо учить как в ВУЗах (а то и в старших классах школы), так и на курсах повышения квалификации; и не только по вопросам информационной безопасности.

ЗЫ. Некоторые основы в части именно ИБ я расписывал в презентации, которую уже выкладывал в блоге.

8 коммент.:

Михаил Новокрещенов комментирует...

Я не юрист поэтому не утверждаю, но высказываю сомнение. Насколько 15 статья конституции про свободы и обязанности человека и гражданина может иметь отношение к НПА об обработке и защите ПД? Ведь все требования в них предъявляются к оператору, а не гражданину. Именно поэтому требования о публичности НПА, как мне кажется, и были отдельно указаны в ФЗ-152.
А вообще статья хорошая, знание основ нормативного права в ИБ уже просто необходимость.

Александр комментирует...

Немного хочу подискутировать с Вами, Алексей, насчет третьего абзаца:
"Презумпция невиновности существует. Но в уголовном праве. А речь идет о гражданском. А в нем нет презумпции невиновности! "
Это заявление, на мой взгляд, не совсем верно. Статья 49 Конституции РФ не ссылается прямо на какой-либо кодекс или вид права гражданина.
А в Кодексе об административных правонарушениях даже существует статья 1.5 «Презумция невиновности». В соответствии, с которой административная ответственность возлагается на лицо, только если в его отношении установлена вина.
В ч. 2 указанной выше статьи под защитой закона от возможного необоснованного обвинения находится лицо, в отношении которого ведется производство по делу об административном правонарушении. Именно это лицо считается невиновным до того, как наступят условия, приведенные в этой части статьи.

Также есть похожее понятие и в Трудовом Кодексе РФ, прямым текстом презумпция невиновности в нем не выражена, но есть пояснения Пленума Верховного Суда РФ от 17.03.2004 N 2 "О применении судами Российской Федерации Трудового кодекса Российской Федерации" (ред. от 28.09.2010), которые предписывают смещать бремя доказывания в пользу работника: работодателю необходимо представить доказательства, свидетельствующие не только о том, что работник совершил дисциплинарный проступок, но и о том, что при наложении взыскания учитывались тяжесть этого проступка и обстоятельства, при которых он был совершен (часть пятая статьи 192 ТК РФ), а также предшествующее поведение работника, его отношение к труду (п. 53), то есть сотрудник не может быть привлечен к ответственности только на основании факта совершения дисциплинарного проступка, работодателю также необходимо доказать и вину работника, а до этого момента работник считается невиновным.

Евгений Родыгин комментирует...

"в 21-м приказе нет требования по сертификации средств защиты, но есть общее требование по оценке соответствия"

Но мы же с тобой вычитали в последнем абзаце 12 статьи обязательность ;)

arkanoid комментирует...

Есть нюанс.

В США приоритет выстроен просто:
Конституция
Федеральное законодательство
Законы штата
Местные и ведомственные регуляции

и оно так и работает! именно в этом порядке -- ткнул в конституцию и наплевать, что у этого попки написал другой дурак в должностную инструкцию!

У нас строго наоборот -- де факто приоритеты идут снизу вверх по убыванию.

Oleg Vinokourov комментирует...

То Родыгин:
Если читать пункт 12 Приказа 21 полностью, то ИМХО упрощенно он звучит так: Если вы используете серт. СрЗИ, то они должны быть сертифицированы по определенным требованиям. Это касается и последнего абзаца про НДВ.
Даже если считать, что требования сертификации по НДВ не относятся ко всему остальному п. 12, то есть прямое противоречие с п. 4 самого Приказа 21 и с п. 13г 1119-ПП (уровнем выше!).
Инф. сообщение ФСТЭК (п. 7) ясности в этот вопрос не внес.
Вопрос:
1) Могу ли я, прочитав 1119-ПП, утверждать, что сертификация СЗИ, включая НДВ, необходима для всех уровней только при условии актуальности угроз?
2) Могу ли я , прочитав только Приказ 21, утверждать, что сертификация вообще необязательна (в п. 4 в формулировке "в том числе" нет явного требования), и ничему не противоречит использование несерт. СЗИ, если они закрывают акт. угрозы по моей МУ. Тогда сертификация по НДВ также является необязательной для любого уровня, несмотря на п. 12?
3) Если даже считать обязательным для выполнения последний абзац п. 12 Приказа 21, могу ли я считать, что фраза "в информационных системах, для которых к актуальным отнесены угрозы 2-го типа" относится и к 1-му, и ко 2-му, и также к 3-му уровню, а не только к 3-му, как кому-то вдруг может показаться?

Vadim комментирует...

To arcanoid: Именно для того, чтобы "попка" не написал нечто в должностную инструкцию, у нас имеется механизм согласования ведомственных НПА с Минюстом

Борис Мерзляков комментирует...

Напишите что-нибудь про юридические адреса, очень интересно было бы почитать мнение специалиста

Евгений комментирует...

Хотел оставить это тут:
newsru.ru/finance/09aug2013/rustandardsonsale.html
Простите за ссылку. "Прокуроры уличили Росстандарт в продаже бесплатной услуги" речь в статье идет про то, что госты продавались, а не предоставлялись бесплатно. Может быть дело сдвинется с мертвой точки, и дял получения лицензий, наконец-то, не нужно будет покупать ГОСТы...