Правовой нигилизм нарастает

Правовой нигилизм нарастает
В последние месяцы обострилась ситуация с нормативным регулированием в области Интернет, ИКТ, информационной безопасности. Принимается множество нормативных и нормативно-правовых актов разного уровня - федеральные законы, постановления правительства, стандарты, приказы и т.п. И разумеется множество людей начинает обсуждать, ругать, критиковать эти законодательные инициативы. И вот в последнее время очень остро стало заметно, что большинство критиков абсолютно ничего не понимают в законодательстве и праве, упирая только на эмоциональную составляющую. "Мне не нравится!" - основной тезис противников многих выпущенных нормативных актов.

С этим, правда, что-то поделать сложно ;-( Эмоции есть эмоции. Но доказывать с пеной у рта, что тот или иной нормативный акт неправильный, не удосужившись даже ознакомиться с основами права... Не комильфо, знаете ли. Не скажу, что я юрист и досконально знаю законодательство и основы права. Но немножко в эту тему погружался и кое-что изучал. Поэтому любой нормативный или нормативно-правовой акт (а это, кстати, два разных понятия) я оцениваю с двух точек зрения - "нравится/не нравится" и "корректно/некорректно". Первое сейчас брать в расчет не буду, а по второму пройдусь немного.

Новость вчерашнего дня. Планируется внести поправки в п.2 статьи 1252 Г, который будет звучать так: "В порядке обеспечения иска по делам о нарушении исключительных прав могут быть приняты обеспечительные меры, установленные процессуальным законодательством, в том числе может быть наложен арест на материальные носители, оборудование и материалы, а также запрет на осуществление действие в информационно-телекоммуникационных сетях, если в отношении таких материальных носителей, оборудования и материалов или в отношении таких действий выдвинуто предположение о нарушении исключительного права на результат интеллектуальной деятельности или на средство индивидуализации" (выделение мое). И началось! Основной тезис противников данной поправки (мне она, кстати, тоже не нравится) простой - у нас презумпция невиновности и пока не доказана вина, никто не может ничего изымать или накладывать арест.

Презумпция невиновности существует. Но в уголовном праве. А речь идет о гражданском. А в нем нет презумпции невиновности! Скорее наоборот. В гражданском судопроизводстве (а речь в данном случае именно о нем идет) речь идет об обязанности надлежащего ответчика выполнить некоторое обязательство и (или) возместить причиненный им вред. При этом изначально предполагается, что лицо, в отношении которого установлено, что оно нарушило обязательства или причинило вред, виновно! Задача истца предъявить достаточные доказательства, что лицо, привлеченное по делу в качестве ответчика, не выполнило обязательств или причинило вред. Если такие доказательства (в данном случае предположения) представлены, то лицо, против которого они выдвинуты, признается надлежащим ответчиком. И именно ответчик (если он не хочет выполнять требования истца) должен доказывать отсутствие вины. А в уголовном судопроизводстве ситуация обратная - там подозреваемое лицо ничего не должно доказывать (как минимум в теории) - это обвинение должно доказать его вину.

Идем дальше. Возьмем PRISM и XKEYSCORE. Хотя нет. Возьмем наш СОРМ. У нас есть Конституция и статья 23-я о тайне переписки, которая все-таки может быть нарушена, но только по решению суда. В США эта схема работала именно так. Не буду сейчас рассматривать вопрос о том, что суд был секретный и отказов на запросы спецслужб почти не было. Схемы была законна (на мой непросвещенный взгляд), хотя и неприятна с точки зрения рядового гражданина. Что у нас? А у нас есть 538-е Постановление Правительства от 27-го августа 2005 года, в котором говорится, что оператор связи обязан предоставлять спецслужбам информацию об абонентах "путем осуществления круглосуточного удаленного доступа к базам данных". Какая Конституция?! Какое решение суда?! Ничего подобного. Если в случае с PRISM ни ЦРУ, ни АНБ формально не имели прямого доступа к данным операторов связи и Интернет-провайдеров (это делалось через шлюз ФБР), то у нас прямой круглосуточный доступ. Что тут можно сказать? Данный НПА нарушает конституционные права граждан! И вновь возникает непонимание норм права. Чтобы нарушение признать, надо обратиться в Конституционный суд, который и должен признавать или не признавать несоответствие нормативно-правового акта Конституции. Кто обращался?

Хочу заметить, что правовой нигилизм - это проблема не только рядовых граждан, но и самих регуляторов (да и судов тоже). Возьмем пресловутое Постановление Правительство №330, которое устанавливает требование обязательной сертификации средств защиты персональных данных. На него регулярно ссылаются во ФСТЭК, да и многие производители продвигая свои поделки с голограммами упирают на обязанность применять только сертифицированные средства защиты. Но у нас есть Конституция (ох уж эта Конституция, мешающая жить), в 15-й статье которой написано, что "Любые нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, не могут применяться, если они не опубликованы официально для всеобщего сведения". Про то, что это же написано в самом ФЗ-152 и ФЗ-294 я даже и не говорю. И тоже самое касается методических указаний ФСБ по применению шифровальных средств для защиты персданных. Справедливости ради надо сказать, что ФСБ никогда официально и не настаивала на обязательности этих методичек.

Идем дальше. Есть такой правовой принцип lex speciali derogat legi generali. Он понятен и прост - если есть специальный закон, то общий не применяется. Возьмем к примеру вопросы оценки соответствия. В ФЗ-149 нет требований по оценке соответствия средств защиты для негосударственных информационных систем. Значит ли это, что можно выбирать любые из них? Нет. Т.к. ФЗ-149 - это общая норма, а тот же ФЗ-152 - норма частная. И он имеет право установить свои требования по оценке соответствия средств защиты персональных данных, что он и делает (но по оценке соответствия, а не по сертификации). Или другой пример. Как защищать персональные данные в рамках НПС? По требованиям ФСТЭК/ФСБ (21-й приказ ФСТЭК и готовящийся приказ ФСБ) или по требованиям ЦБ? Регуляторы спорят, а юристы давно дают ответ - по требованиям ЦБ, т.к. ФЗ-161 и разработанное во его исполнение 382-П - это частная норма права, устанавливающая особенности обработки (и защиты) персональных данных "не вообще", а только в Национальной платежной системе.

Вернемся к оценке соответствия в контексте частных и общих норм права.  При наличии общей нормы закона подзаконные нормативные акты применяются тогда, когда общий закон прямо предусматривает установление специальных норм именно в подзаконных актах – например, в постановлениях правительства. В ФЗ-152, что средства защиты ПДн должны пройти оценку соответствия. Чтобы поставить знак равенства между оценкой соответствия и сертификацией ФЗ-152 должен был явно это указать или дать право (именно в данном вопросе) установить специальные нормы на уровне подзаконных актов. Такого права нет. Поэтому и в ПП-1119 и в 21-м приказе нет требования по сертификации средств защиты, но есть общее требование по оценке соответствия.

Еще один пример, который уже скоро год как регулярно всплывает на поверхность. Действует или нет "приказ трех" по классификации ИСПДн? Роскомнадзор да и многие другие органы госвласти считают, что раз явно этот приказ никто не отменял, то его надо по-прежнему выполнять. И поэтому в уведомлении в РКН надо по-прежнему указывать класс ИСПДн, а не уровень защищенности. Но "приказ трех" никто и не будет явно отменять, т.к. по общему правилу он уже отменен. Ведь отменено Постановление Правительства №781, во исполнение которого и разрабатывался "приказ трех". Отменили вышестоящий акт - автоматом отменяются и все нижестоящие, если нет явных исключений (а их нет).

Ну и напоследок. Вспомним, что у нас есть разные отрасли права - частное (гражданское), публичное (конституционное, административное, уголовное, процессуальное) и международное. В частном праве основополагающим принципом является "все, что не запрещено, разрешено" (диспозитивная норма). А в административном  (у госорганов) принцип прямо противоположный - "все, что не разрешено, запрещено" (императивная норма). И госорган действует только в рамках своей компетенции прямо установленной нормативными актами. По этой причине, ни ФСТЭК, ни ФСБ никогда не дадут официального ответа на вопрос "кто определяет актуальность типов угроз ПДн?". Не уполномочены они разъяснять действие Постановлений Правительства и федерального законодательства. И не стоит от них этого ждать. Они могут высказать свое мнение или позицию, но не установить обязательное к исполнению требование.

Я не призываю прекращать критиковать нормативные акты, выпускаемые в России. Ни в коем случае (я и сам регулярно это делаю). Просто критикуя надо... нет не предлагать (хотя это само собой), а понимать основы, на базе которых появляются те или иные нормативные документы. И далеко не всегда они выполнены в соответствие с логикой рядового гражданина. И далеко не всегда нормы, по которым живут граждане или частные компании, применимы к действиям госорганов (и наоборот). Это, как мне кажется, является очень важным и этому надо учить как в ВУЗах (а то и в старших классах школы), так и на курсах повышения квалификации; и не только по вопросам информационной безопасности.

ЗЫ. Некоторые основы в части именно ИБ я расписывал в презентации, которую уже выкладывал  в блоге.
законодательство тенденции
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь