Контроль собственных сотрудников - преступление или обязанность?
М. Ю. Емельянников,
начальник отдела Департамента
безопасности ОАО «Связьинвест»
Правовые проблемы ограничения тайны связи, с которыми так или иначе сталкиваются не только операторы связи, субъекты оперативно-розыскной деятельности, судьи и собственно абоненты связи, но и руководители многих организаций, а также сотрудники их подразделений информационной безопасности и информационных технологий, являются одними из наиболее сложных и трудно регулируемых в российском законодательстве.
И без того непростой вопрос, острота которого обусловлена недомолвками и противоречиями российского законодательства, стал особенно актуален после трагических событий в США 11 сентября. Осознание необходимости активизации борьбы с терроризмом и тех возможностей для неконтролируемого обмена информацией, которые предоставлены глобальными информационными сетями, возрастающей роли информационных сайтов, размещенных в Интернете, в формировании мировоззрения, особенно молодежи, и фактическое отсутствие там какой-либо цензуры заставили многих по новому взглянуть на проблему ограничения свободы частной жизни вообще и личной переписки в частности.
Следствием этих событий и переосмысления роли глобальных
телекоммуникаций стали результаты многочисленных социологических исследований, проведенных после 11 сентября в наиболее
развитых странах Запада. Оказалось, что значительная часть граждан готова поступиться некоторыми личными свободами в обмен на
безопасность, а постулату о примате интересов личности над интересами государства нанесен значительный удар.
Это довольно быстро осознали в органах государственной власти. И вот уже в Лондоне от имени правительства распространено заявление, в котором говорится о том, что спецслужбы вскоре смогут контролировать переписку в Интернете. Речь идет о пересмотре системы мер антитеррористической направленности. Для обеспечения доступа полиции к зашифрованным текстовым файлам предполагается создать центральную правительственную криптографическую библиотеку.
Правительство Франции намеревается провести через парламент законодательные акты относительно расшифровки зашифрованных файлов, а также сохранения информации о подключении пользователей к Сети в качестве срочных мер по борьбе с терроризмом. Премьер-министр Лайонель Жоспен рассказал об основных направлениях этих мер депутатам, заявив, что судьи смогут отныне отслеживать электронные послания и «использование новых технологий коммуникации в преступных целях». Судьи получат доступ к ресурсам национальной обороны и издателям программного обеспечения, чтобы дешифровать электронные сообщения или файлы, обнаруженные на арестованных носителях. Это положение требует внесения изменений в уголовно-процессуальный кодекс Франции. Кроме того, будет определен срок хранения данных по счетам за телефонные переговоры и подключение к Интернету. До сих пор этот срок определялся самими операторами.
Федеральная торговая комиссия США (Federal Trade Commission – FTC) в лице своего председателя Тимоти Мюриса сообщила, что она намерена отказаться от поддержки законопроекта, предполагавшего ужесточения правил хранения и распространения личной информации пользователей, то есть законодательное ужесточение норм privacy. Предложенный Комиссией в прошлом году законопроект предполагал в качестве мер по борьбе за сохранность личной информации, в том числе в Интернете, доскональное информирование пользователя о том, как будет осуществляться сбор и хранение информации о нем и на каких условиях эта информация будет предоставляться третьим лицам. В случае несогласия пользователя с этими способами предусматривалась возможность его отказа от предоставления любой информации. По сведениям CNN, вместо ужесточения законов Мюрис предполагает на 50 процентов увеличить штат сотрудников, которые, в рамках уже существующего законодательства, займутся разбором дел о нарушении privacy. В планы Мюриса входит также ужесточение борьбы со спамом. FTC собирается собрать и обнародовать общеамериканский список компаний, «беспокоящих пользователей несчетным числом нежелательных коммерческих писем». Таким образом, констатирует CNN, эпоха Клинтона с его неустанной борьбой за электронные права потребителя закончилась. По сообщению некоторых источников, Мюрис уже давно планировал отказаться от поддержки законопроекта, родившегося при предыдущем председателе FTC. После террактов в Нью-Йорке и Вашингтоне решение FTC окончательно оформилось. В связи с расследованием террактов спецслужбы уже получили почти неограниченный доступ к любой электронной информации. Ни банки, ни порталы в настоящее время не могут гарантировать своим пользователям полную конфиденциальность их личных данных. Как выразился один из консультантов по вопросам privacy, Лэрри Понемон, если бы такой доклад был озвучен 10 сентября, у правозащитных организаций была бы надежда получить широкую поддержку общественности и, возможно, правительства, однако теперь на это рассчитывать не приходится. По сведениям Понемона, в настоящее время многие организации, в основном авиакомпании и фирмы по прокату автомобилей, сами активно и добровольно выдают властям личную информацию своих клиентов, деятельность которых кажется им подозрительной, открыто нарушая, таким образом, собственную политику в отношении хранения личной информации. Понемон также отметил, что в ходе избирательной компании нынешний президент США много говорил о том, что приложит все возможные усилия для ужесточения законодательства в области privacy, для большей сохранности личной информации граждан. Однако за время своего президентства Буш не сделал еще ни одного шага в этом направлении и, видимо, уже не сделает.
Но все это предпринимается государственными органами, и к тому же на Западе. Мы же хотим разобраться в том, что может сделать с точки зрения контроля использования средств коммуникации, в частности, электронной почтой и доступом в Интернет, руководитель организации, оперативно-розыскной деятельностью вовсе не занимающейся.
Конституцией Российской Федерации (ст. 23) определяется, что «каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени» и «каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения». Обычно на эту статью Конституции и ссылаются, когда говорят о возможности или невозможности контроля за электронными отправлениями граждан, посещениями ими тех или иных сайтов в глобальной сети, ведением телефонных переговоров. Законодательство Российской Федерации никаких особых прав руководителям в плане вмешательства в переписку и переговоры сотрудников не дает, возможностей ограничения ими тайны связи не предусматривает. Более того, ст. 138 Уголовного кодекса РФ, устанавливающая ответственность за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, определяет, что совершение указанных деяний лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, является отягчающим обстоятельством и ведет к ужесточению наказания.
Однако такой подход применительно не к частным лицам, а сотрудникам тех или иных организаций представляется в значительной степени упрощенным, не учитывающим особенности взаимоотношений работника и работодателя.
Служебный телефон, компьютер с доступом к электронной почте и сети Интернет являются рабочими инструментами, предоставленными работодателем своему сотруднику для выполнения служебных обязанностей, а вовсе не для использования в личных целях. Скажем, абонентом телефонной сети является организация – юридическое лицо, или ее структурное подразделение, а вовсе не каждый конкретный сотрудник, этим телефоном пользующийся. Аналогично и почтовые ящики сотрудников принадлежат не им, а организации, предоставившей средства электронной почты. Ни у кого не вызывает сомнений правомерность требования об отправке служебной корреспонденции только через канцелярию (делопроизводство, секретариат и т. д., не в названии суть). При том четко определяется, каким должностным лицам предоставлено право ведения переписки, право подписи документов, часто – и с указанием, в какие именно инстанции и по каким конкретно вопросам. При этом вся входящая и исходящая переписка вычитывается соответствующими сотрудниками канцелярии на предмет соответствия установленному регламенту документооборота, требованиям по оформлению документов и просто грамматическим нормам. В большинстве случаев служебные документы проходят процедуру согласования с другими должностными лицами и структурными подразделениями. Ни у кого такой порядок недоумения не вызывает, а требование о централизованной отправке документов не рассматривается как ограничения права на тайну почтовых сообщений.
При обсуждении же правомерности контроля работодателя за использованием электронной почты тональность резко меняется. Электронный почтовый ящик, обычно жестко связанный с конкретным сотрудником, многие склонны уже рассматривать как элемент его личной, частной жизни, а не как инструмент для решения служебных задач. Примерна такая же ситуация и со служебным телефоном.
Мне кажется, подобные проблемы часто связаны с распространенной по сегодняшний день ошибкой руководителей, связанной с отсутствием четко определенного и доведенного до сотрудников регламента использования средств коммуникации и доступа в Интернет.
Указанный регламент (правила, инструкция) должен быть таким же неотъемлемым элементом нормативно-правовой базы организации, как и положения о структурных подразделениях и должностных лицах, должностные обязанности сотрудников, правила ведения служебной переписки или документооборота в целом. Во избежание возможных недоразумений указанные документы должны вводиться в действие решением соответствующего должностного лица, имеющего необходимые полномочия, доводиться до всех сотрудников под расписку. Представляется совершенно не лишним, если во всех должностных инструкциях (функциональных обязанностях) будет оговорено обязательство сотрудника соблюдать установленные правила пользования средствами коммуникации, ответственность за невыполнение их (вплоть до увольнения, расторжения контракта, договора), соответствующие возможности будут внесены в положение о премировании (депремировании).
Несколько слов о содержании упоминавшихся правил пользования средствами коммуникации и доступа в Интернет. Первое и безусловное требование – использование телефона, факса, электронной почты, доступа в Интернет только для выполнения служебных задач. Конечно, эта мера не обеспечит сама по себе правильного использования принадлежащего организации оборудования, но поможет оградить руководство и подразделения безопасности от обвинений в преднамеренном вмешательстве в частную жизнь.
Следующий важный момент – предупреждение о наличии установленного регламента использования электронной почты, то есть допустимого объема передаваемых сообщений, видов файлов, разрешенных (запрещенных) к передаче, порядка рассылки многоадресных, рекламных и политических материалов и т. п., а также о том, что организация оставляет за собой право ведения мониторинга отправляемых сообщений как с вмешательством соответствующих должностных лиц, так и в автоматическом режиме, с использованием специальных программных средств. Это вовсе не означает стопроцентного просмотра сообщений, но ясно дает понять, что контроль возможен за каждым отправлением сотрудника с рабочего места.
Далее. Запрет на рассылку материалов непристойного, угрожающего, оскорбительного или противозаконного характера, посещения web-сайтов экстремистского, порнографического, развлекательного и т. п. характера.
Следующий, и в рамках отведенного объема публикации, наверное, последний вопрос – запрет на рассылку по незащищенным каналам конфиденциальной информации, как принадлежащей организации, так и полученной ею от других физических и юридических лиц. При этом незащищенным следует считать любой канал, где отсутствуют средства защиты информации, принятые на эксплуатацию данной конкретной организацией.
Зарубежный опыт показывает, что наиболее благоприятным для работодателя является вариант, когда в указанном документе четко оговорены исключительные права фирмы на используемые средства коммуникации, указано на то, что сотрудник не может рассчитывать на конфиденциальность своих сообщений и отправлений, а согласие на мониторинг является добровольным.
Еще два замечания.
1. Технический контроль использования электронной почты, выполняемый без вмешательства человека с использованием специальных программных средств и направленный на предотвращение пересылки сообщений, не соответствующих принятым правилам (объем, тип, адреса и т. п.), блокирование доступа к определенным узлам, сайтам, запрет использования портов, сервисов и протоколов вообще не может рассматриваться как ограничение тайны связи или вмешательство в частную жизнь.
2. Сведения о доступе к узлам, сайтам, страницам не подпадают под определение тайны связи, данное в законах о связи и о почтовой связи, и, соответственно, под действие упоминавшейся статьи уголовного кодекса. В лучшем случае, получение и разглашение информации о таком доступе может рассматриваться как вмешательство в частную жизнь (сведения о религиозных, политических убеждениях, увлечениях, пристрастиях и т. п.).
Еще раз обратимся к зарубежному опыту, теперь – за конкретными примерами. Аналогичные прецеденты в российской практике если и существуют, то мне, к сожалению, не известны.
Во время семинара по вопросам применения электронной почты, проводимого компанией «Ниссан Моторс», администратор, проводивший занятия, выбрал в качестве иллюстрации одно из реальных отправлений с почтового сервера компании. К общему изумлению, оно оказалась недвусмысленно сексуального характера. После проверки, проведенной во всей почтовой системе по указанию управляющего, несколько сотрудников были уволены за рассылку материалов «неуместного» характера. Иск сотрудников в суд по поводу нарушения тайны переписки был оставлен без удовлетворения.
В феврале 1995 года корпорация «Шеврон» выплатила по иску группы своих сотрудниц компенсацию в размере 2,2 млн долл. Иск был основан на том, что дочерняя компания не препятствовала рассылке по внутренней электронной почте сексуально оскорбительных сообщений, в частности материала под заголовком «25 причин, по которым пиво лучше женщин».
В Лос-Аламосском национальном исследовательском институте (штат Нью-Мексико) в начале 1997 года четверо сотрудников были уволены за просмотр в рабочее время порнографических web-сайтов, а еще 10 – получили дисциплинарные взыскания за посещение электронных магазинов.
Согласно данным опроса 200 американских ведущих компаний, проведенного журналом PC World, в каждой пятой фирме имели место случаи наказания сотрудников за использование сети Интернет не по назначению. Треть опрошенных компаний следит за тем, какие узлы посещают сотрудники, еще 12 % планируют организовать мониторинг в течение года. При этом крупные фирмы с числом сотрудников более 1000 практикуют мониторинг вдвое чаще, чем мелкие и средние.
Причиной судебных исков может стать и использование электронной почты для передачи материалов конфиденциального характера. Так, обнаруженные в исходящем ящике вице-президента компании «Борланд» электронные отправления в адрес компании «Симантек», содержащие коммерческие секреты, стали причиной обвинения ее в недобросовестной конкуренции после того, как указанный вице-президент стал сотрудником «Симантека».
А вот пример другого характера. Компания «Атлантик Ричфилд» продала одной из дочерних фирм «Сименса» технологию использованию солнечной энергии. После заключения сделки в электронной почте «Атлантика» были обнаружены сообщения, недвусмысленно указывающие на то, что компания продавала заведомо бесперспективную технологию. «Сименс» обратился в суд, обвинив партнера по сделке в искажении фактов.
Но причины, вынуждающие фирмы организовывать мониторинг, не сводятся к рассмотренным. Упоминавшийся опрос PC World показал, что нерациональное использование рабочего времени беспокоит 58 % работодателей, 47 % таким образом пытаются предотвратить загрузку из сети пиратских программ, 33 % надеются добиться разгрузки каналов доступа к сети. Значительная часть работодателей озабочена возможными нарушениями авторских и иных смежных прав при использовании глобальной сети, а также потенциальной ответственностью за использование сети ее сотрудниками в преступных целях.
Интересно, что еще до сентябрьских событий 65 % респондентов журнала PC World считали, что наниматель имеет право на мониторинг работы сотрудников, при этом 94 % настаивали на том, что они должны быть об этом предварительно оповещены.
Таким образом, подводя итог сказанному, можно сделать вывод о том, что под желанием работодателя контролировать использование электронной почты и доступа в Интернет есть достаточно веские основания, и зарубежный опыт говорит, что при правильной политике и информировании сотрудников наниматель вправе рассчитывать и на судебную поддержку. Однако непроработанность российского законодательства, рассматривающего абонента связи лишь как частное лицо, не позволяет дать однозначный ответ на вопрос о правах работодателя и порядке организации такого мониторинга. Принятие нормативного акта, аналогичного американскому Акту об охране электронных коммуникаций (Electronic Communication Privacy Act), в котором бы оговаривались процедура и допустимые масштабы вмешательства, могло бы способствовать переводу этой деятельности, необходимой с точки зрения защиты экономических интересов организации, в цивилизованное русло.
«Защита информации. Конфидент», №3, 2003, с. 28-31