Использование должностными лицами незащищенных каналов связи для обсуждения конфиденциальной информации: правовой анализ
Описанная вами ситуация, когда следователь и сотрудник контролирующего органа обсуждают материалы дела с грифом конфиденциальности через несертифицированное приложение для видеозвонков, является крайне рискованной и создает серьезные правовые риски для обоих должностных лиц. Проведенный анализ предоставленного нормативно-правового контекста позволяет дать следующую юридическую оценку.
1. Правовой режим обсуждаемой информации
Прежде всего, необходимо квалифицировать информацию, которую обсуждают должностные лица. Из вашего описания следует, что это «материалы, имеющие гриф конфиденциальности» и «следственные данные». Согласно российскому законодательству, такая информация относится к категории информации ограниченного доступа.
«1. Ограничение доступа к информации устанавливается федеральными законами и актами Президента Российской Федерации в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. 2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами и актами Президента Российской Федерации.»
(Источник: Федеральный закон «Об информации, информационных технологиях и о защите информации», статья 9)
Данные предварительного расследования имеют особый правовой режим, прямо установленный уголовно-процессуальным законодательством.
«1. Данные предварительного расследования не подлежат разглашению, за исключением случаев, предусмотренных частями второй, четвертой и шестой настоящей статьи.»
(Источник: Уголовно-процессуальный кодекс РФ, статья 161)
Если в обсуждаемых материалах фигурируют сведения, полученные из кредитной организации, на них также распространяется режим банковской тайны.
«Кредитная организация, Банк России ... гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов...»
(Источник: Закон о банках и банковской деятельности, статья 26)
Таким образом, следователь и сотрудник контролирующего органа обсуждают информацию, доступ к которой строго ограничен федеральными законами. Это налагает на них, как на должностных лиц, обязанность обеспечить ее защиту.
2. Нормативные требования к каналам связи для передачи конфиденциальной информации
Закон устанавливает, что использование любых информационно-телекоммуникационных сетей должно соответствовать требованиям законодательства.
«1. На территории Российской Федерации использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства Российской Федерации в области связи, настоящего Федерального закона и иных нормативных правовых актов Российской Федерации.»
(Источник: Федеральный закон «Об информации, информационных технологиях и о защите информации», статья 15)
Обладатель информации (в данном случае государственный орган) обязан принимать меры по ее защите, в том числе предотвращать несанкционированный доступ.
«4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации...»
(Источник: Федеральный закон «Об информации, информационных технологиях и о защите информации», статья 16)
Использование несертифицированных средств связи для передачи информации, для которой предусмотрена обязательная сертификация, образует состав административного правонарушения.
«1. Использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети "Интернет", если законодательством предусмотрена их обязательная сертификация, — влечет наложение административного штрафа... на должностных лиц — от пятнадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств связи либо без таковой...»
(Источник: КоАП РФ, статья 13.6)
Законодатель напрямую связывает возможность использования единой системы межведомственного электронного взаимодействия (СМЭВ) с «соблюдением мер по обеспечению конфиденциальности и безопасности передаваемой информации», что подчеркивает общий принцип защищенного обмена.
«...[Следователь вправе] запрашивать у соответствующих органов и организаций сведения с использованием единой системы межведомственного электронного взаимодействия (при наличии технической возможности и с соблюдением мер по обеспечению конфиденциальности и безопасности передаваемой информации)...»
(Источник: Федеральный закон «О Следственном комитете Российской Федерации» с изменениями)
Таким образом, законодательство прямо требует, чтобы каналы связи, используемые должностными лицами для обсуждения конфиденциальной информации, были защищенными и сертифицированными. Применение общедоступного несертифицированного приложения для видеозвонков этому требованию не соответствует и является нарушением.
3. Оценка устного предупреждения о конфиденциальности
Принятие участниками разговора «вербальных мер по обеспечению конфиденциальности» не имеет никакого правового значения и не освобождает их от ответственности. Более того, УПК РФ устанавливает четкую процедуру предупреждения о неразглашении данных следствия.
«3. Следователь или дознаватель предупреждает участников уголовного судопроизводства о недопустимости разглашения без соответствующего разрешения данных предварительного расследования, о чем у них берется подписка с предупреждением об ответственности в соответствии со статьей 310 Уголовного кодекса Российской Федерации.»
(Источник: Уголовно-процессуальный кодекс РФ, статья 161)
Устное предупреждение между должностными лицами не может заменить установленную законом процедуру получения подписки. Наличие грифа конфиденциальности на документе говорит о статусе информации, но не о способе ее передачи. Сам по себе гриф и устное предписание «хранить молчание» не превращают незащищенный канал в защищенный и не предотвращают утечку информации. Таким образом, такие действия являются неадекватной и юридически ничтожной мерой защиты.
4. Правовые последствия
Для должностных лиц, допустивших такое обсуждение, могут наступить следующие виды ответственности:
-
Административная ответственность:
- За использование несертифицированных средств. Прямо предусмотрена статьей 13.6. КоАП РФ, процитированной выше. Должностное лицо может быть оштрафовано.
- За нарушение правил защиты информации. Если используемое приложение будет квалифицировано как «информационная система», применяется статья 13.12 КоАП РФ.
«2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации... влечет наложение административного штрафа... на должностных лиц - от десяти тысяч до пятидесяти тысяч рублей...»
(Источник: КоАП РФ, статья 13.12)
А также за общее нарушение требований о защите информации (часть 6 той же статьи).
- За разглашение информации с ограниченным доступом. В случае, если в результате такой «беседы» произойдет утечка информации, может быть применена статья 13.14 КоАП РФ.
«Разглашение информации, доступ к которой ограничен федеральным законом ... лицом, получившим доступ к такой информации в связи с исполнением служебных ... обязанностей, ... влечет наложение административного штрафа ... на должностных лиц - от сорока тысяч до пятидесяти тысяч рублей или дисквалификацию на срок до трех лет...»
(Источник: КоАП РФ, статья 13.14)
-
Дисциплинарная ответственность: Нарушение должностных инструкций, регламентов межведомственного взаимодействия и режима секретности может повлечь дисциплинарное взыскание вплоть до увольнения. Это относится и к сотруднику контролирующего органа, который также обязан хранить служебную и банковскую тайну.
-
Дисциплинарная ответственность: Нарушение должностных инструкций и требований по защите информации, установленных его ведомством, может повлечь дисциплинарное взыскание вплоть до увольнения.
-
Уголовно-процессуальные последствия: Если в результате использования незащищенного канала произойдет утечка данных и это повлияет на допустимость доказательств, полученные сведения могут быть признаны недопустимыми.
«3. Нарушение норм настоящего Кодекса судом, прокурором, следователем... в ходе уголовного судопроизводства влечет за собой признание недопустимыми полученных таким путем доказательств.»
(Источник: Уголовно-процессуальный кодекс РФ, статья 7)
Хотя сама беседа не является доказательством, компрометация источника информации или утечка данных, ставящая под сомнение законность их получения, может разрушить доказательственную базу.
Выводы и рекомендации
Ситуация, которую вы описали, с высокой долей вероятности является нарушением действующего законодательства о защите информации и уголовно-процессуального законодательства.
Выводы:
- Обсуждение конфиденциальной следственной информации через незащищенное приложение нарушает требования статей 15 и 16 Федерального закона «Об информации», а также подрывает режим защиты данных, установленный статьей 161 УПК РФ.
- Действия обоих должностных лиц содержат признаки административного правонарушения, предусмотренного статьей 13.6 КоАП РФ (использование несертифицированных средств связи), и/или статьей 13.12 КоАП РФ (нарушение правил защиты информации).
- Устные предупреждения о конфиденциальности не соответствуют процессуальной форме, установленной УПК РФ, и являются юридически бесполезной мерой, не способной легитимизировать обсуждение в незащищенном канале.
- При наступлении общественно опасных последствий в виде утечки информации действия должностных лиц могут быть квалифицированы по статье 13.14 КоАП РФ (разглашение информации с ограниченным доступом).
Рекомендация:
Если вам стало известно о таком факте, это может свидетельствовать о грубом нарушении служебных обязанностей со стороны указанных лиц и создает риски для законности всего расследования. Я бы настоятельно рекомендовал обратиться за консультацией к адвокату, специализирующемуся на уголовно-процессуальном праве и вопросах защиты информации, для выработки дальнейшей правовой позиции и возможного обжалования действий должностных лиц.
