Конфиденциальность
Конфиденциа́льность (от лат. confidentia — доверие) — необходимость предотвращения разглашения, утечки какой-либо информации.
В информационной безопасности и защите информации специалисты придерживаются следующего определения: конфиденциальность информации — свойство безопасности информации, при котором доступ к ней осуществляют только субъекты доступа, имеющие на него право[1].
В юриспруденции конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя[1].
Конфиденциальная информация — информация, являющаяся конфиденциальной, то есть «доверительной, не подлежащей огласке, секретной»; это понятие равнозначно с понятиями тайны или секрета[2].
Законодательное регулирование
С развитием информационных технологий проблема конфиденциальности и конфиденциальной информации приобретает большую значимость. И в различных областях и различных странах конфиденциальность и информация, относящаяся к конфиденциальной определяется по-разному.
В странах Европейского союза конфиденциальность информации регулируется с помощью ряда соглашений и директив, таких как директива ЕС 95/46/ЕС, 2002/58/ЕС и ETS 108, ETS 181, ETS 185, ETS 189.
Так, конвенция «О преступности в сфере компьютерной информации» (ETS N 185) направлена на сдерживание, в том числе, действий, направленных против конфиденциальности компьютерных данных и компьютерных сетей, систем. Согласно данной конвенции для противодействия преступлениям против конфиденциальности доступности и целостности компьютерных данных и систем каждая сторона принимает законодательные и иные меры, необходимые для того, чтобы квалифицировать в качестве уголовного преступления согласно её внутригосударственному праву:
- Противозаконный доступ
- Неправомерный перехват
- Воздействие на данные
- Воздействие на функционирование системы
- Противозаконное использование устройств[3].
Согласно конвенции «О защите физических лиц при автоматизированной обработке персональных данных» (ETS N 108) стороны должны соблюдать секретность или конфиденциальность при обработке персональных данных, а также в отношении информации сопровождающей ходатайство о помощи[4].
Директива «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (N 95/46/ЕС) затрагивает вопрос конфиденциальности в своей области. Согласно данной директиве, «оператор» — физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и способы обработки персональных данных; когда цели и способы обработки определены законодательством или подзаконными актами на национальном уровне или уровне Сообщества, оператор или конкретные критерии его назначения могут быть установлены национальным законодательством или законодательством Сообщества. А «обработчик» — это физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который обрабатывает персональные данные от имени оператора. Для обеспечения конфиденциальности, любое лицо, действующее под руководством оператора или обработчика, включая самого обработчика, которое имеет доступ к персональным данным, не может их обрабатывать, кроме как по поручению оператора, если оно не обязано это делать по закону[5].
Согласно дополнению к директиве N 95/46/EC, директива 2002/58/ЕС, конфиденциальность относительно обработки персональных данных и защите частной жизни в электронном коммуникационном секторе заключается в запрете просмотра, записи или хранения, а также других способах вмешательства или наблюдения за сообщениями и относящего к ним данным по трафику, осуществляемые лицами или другими пользователями без согласия самого пользователя[6].
В англо-американской традиции различают два основных вида конфиденциальности: добровольную (privacy) и принудительную (secrecy). (См. Эдвард Шилз — The Torment of Secrecy: The Background & Consequences Of American Security Policies (Chicago: Dee 1956) В первом случае имеются в виду прерогативы личности, во втором случае имеется в виду информация для служебного пользования, доступная ограниченному кругу официальных лиц фирмы, корпорации, государственного органа, общественной или политической организации. Хотя privacy и secrecy схожи по значению, на практике они обычно противоречат друг другу: усиление secrecy ведёт к нарушению и уменьшению privacy. В тоталитарных и авторитарных государствах под конфиденциальностью, как правило, имеется в виду только secrecy.
Конфиденциальность в России
На данный момент в российском законодательстве чёткого определения понятия «конфиденциальная информация» нет. В утратившем силу федеральном законе № 24 «Об информации, информатизации и защите информации» говорится, что конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации[7].
Действующий ФЗ «Об информации, информационных технологиях и защите информации» (далее «Об информации») термина «конфиденциальная информация» не содержит. Однако, он описывает понятие «конфиденциальности». «Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя». Согласно этому же закону «информация — сведения (сообщения, данные) независимо от формы их представления»[8].
В Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» к сведениям конфиденциального характера относят:
- Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
- Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты.
- Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
- Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
- Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
- Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них[9].
Таким образом, в Российской Федерации конфиденциальность определяется как обязательное для выполнения лицом, получившим доступ к определённым сведениям (сообщениям, данным) независимо от формы их представления, требование не передавать их третьим лицам, без согласия лица, самостоятельно создавшего информацию либо получившего на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Выше был приведен список сведений которые относят к конфиденциальным. Но закон «Об информации» разрешает обладателю информации наделять её статусом конфиденциальности самостоятельно. Поэтому, список в Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» является примерным[8].
Конфиденциальность в различных областях
Понятие конфиденциальности используется практически во всех областях, как в коммерческих структурах, так и государственных. Когда речь заходит о конфиденциальности на предприятиях, то чаще всего имеется в виду коммерческая или государственная тайна.
Конфиденциальность — обязательство неразглашения информации, полученной от испытуемого (в общем случае, от делового партнера, от участника переговоров, собеседника), или в общем случае ограничение её распространения кругом лиц, о которых испытуемый был заранее извещен[10].
Государственная тайна — защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации[11].
Коммерческая тайна — режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду
Информация, составляющая коммерческую тайну (секрет производства), — сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.
Принятие решений, что относить к коммерческой тайне лежит на лице занимающимся предпринимательской деятельностью, однако есть перечень сведений, на которые подобный режим не может быть наложен:
- Содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
- Содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
- О составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
- О загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
- О численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
- О задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
- О нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
- Об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
- О размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
- О перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
- Обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Основные меры по охране конфиденциальности информации, принимаемые её обладателем, включают:
- Определение перечня информации, составляющей коммерческую тайну;
- Ограничение доступа к информации, составляющей коммерческую тайну, путём установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
- Учёт лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
- Регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- Нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа «Коммерческая тайна» с указанием обладателя такой информации (для юридических лиц — полное наименование и место нахождения, для индивидуальных предпринимателей — фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства)[12].
В психологии конфиденциальность — это одно из основных прав испытуемого. Информация получаемая при обследовании или эксперименте не должна быть доступной третьим лицам в том случае, если это может смутить испытуемого или причинить ему вред. Кроме того, использование полученной информации ограничивается научными целями, о чём испытуемому нужно сообщить до получения информированного согласия[13].
В процессе психологического исследования вопрос конфиденциальности затрагивается во время сбора данных и помещения их на хранение, а также при обнародовании результатов.
В подобных случаях конфиденциальность обеспечивается путём использования кодов вместо имен, или же если речь идет об обнародовании информации, то изменением имен и опускание географической информации[13].
В аудиторской деятельности конфиденциальность является профессиональным этическим принципом.
Конфиденциальность — принцип аудита, заключающийся в том, что аудиторы и аудиторские организации обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудита, и не вправе передавать эти документы или их копии (как полностью, так и частично) каким бы то ни было третьим лицам либо устно разглашать содержащиеся в них сведения без согласия собственника (руководителя) экономического субъекта, за исключением случаев, предусмотренных законодательными актами Российской Федерации. Принцип конфиденциальности должен соблюдаться неукоснительно, невзирая на то, что разглашение или распространение информации об экономическом субъекте не наносит ему по представлениям аудитора материального или иного ущерба. Соблюдение принципа конфиденциальности обязательно вне зависимости от продолжения или прекращения отношений с клиентом и без ограничения по времени[14].
Конфиденциальность в Интернете — вопрос наиболее сложно регулируемый, так как сохранность данных зависит в основном от него самого и от того, как, какую и в каком количестве информацию он предоставляет. Конфиденциальность в этой области регулируется в основном политикой конфиденциальности, которая прописывается на сайтах. В политике объясняется, какие данные о вас собираются на сайте, каким образом они используются, разглашаются и защищаются, а также каким образом можно изменить и удалить эти данные. Однако подобные описания встречаются не на всех сайтах.
Возможности обмена информацией в интернете стремительно развиваются. Так, при посещении, настройки учетной записи, совершении покупок через Интернет, регистрации, принятии участия в опросах, загрузки программного обеспечения собирается личная информация.
Предприятия используют эту информацию для совершения транзакции, чтобы запомнить ваши предпочтения, предложить персонализированное содержимое, сделать специальное предложение или сэкономить ваше время.
Транзакции, такие как регистрация на получение услуги или покупка товаров, связаны с вами, например, с помощью адреса доставки или номера кредитной карты. Однако в большинстве случаев предприятия собирают данные, которые не позволяют идентифицировать вас по имени. На сайтах отслеживается, какие веб-страницы вы посещаете, а также щелчки мышью, но не ваша личная информация[15].
Обычно, подобная информация нигде не публикуется, но с точки зрения закона гарантий нет. Однако, законодательные органы ведут работу в этом направлении. Так в марте 2013 года Советом федерации была одобрена поправка о запрете публикации в Интернете информации о несовершеннолетних жертвах преступлений[16].
См. также
- Доступность информации
- Защита персональных данных
- Информационная безопасность
- Информационное самоопределение
- Получение скрытой информации
- Предотвращение утечек
Примечания
- ↑ 1 2 Хорев А. А. Организация защиты конфиденциальной информации в коммерческой структуре // Защита информации. Инсайд : журнал. — 2015. — № 1. — С. 14—17. — ISSN 2413-3582.
- ↑ Ефремов Алексей. Понятия и виды конфиденциальной информации
- ↑ Совет Европы. Конвенция о преступности в сфере компьютерной информации (ETS N 185)
- ↑ Совет Европы. Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера(ETS N 108)
- ↑ Европейский союз. Директива N 95/46/ЕС Европейского парламента и совета о защите физических лиц при обработке персональных данных и о свободном обращении таких данных
- ↑ Европейский союз. Директива N 2002/58/ЕС Европейского парламента и Совета ЕС в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (директива о конфиденциальности в секторе электронных средств связи
- ↑ федеральный закон № 24 «Об информации информатизации и защите информации»
- ↑ 1 2 Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- ↑ Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера»
- ↑ Психологический толковый словарь. Термин Конфиденциальность -М.: Московский психологический журнал
- ↑ * Закон о государственной тайне
- ↑ Закон о коммерческой тайне
- ↑ 1 2 Скотт Миллер Психология развития: методы исследования. -М.: Питер -С.135.
- ↑ Правило (стандарт)аудиторской деятельности «Цели и основные принципы, связанные с аудитом бухгалтерской деятельности» . Дата обращения: 29 марта 2013. Архивировано из оригинала 30 декабря 2009 года.
- ↑ Конфиденциальность в Интернете
- ↑ «Поправка Кабаевой» одобрена Совфедом: в интернете вводится «детский» запрет
Литература
- Большой юридический словарь. 3-е изд., доп. и перераб. / Под ред. проф. А. Я. Сухарева. — М.: ИНФРА-М, 2007. — VI, 858 с — (Б-ка словарей «ИНФРА-М»)
- Козлов С. Б., Иванов Е. В. Предпринимательство и безопасность. — М.: Универсум, 1991. — С. 507. — ISBN 5-86034-065-6
- Психологический толковый словарь. Термин Конфиденциальность -М.: Московский психологический журнал
- Скотт Миллер Психология развития: методы исследования. -М.: Питер -С.135.
Ссылки
- Указ Президента России о конфиденциальных данных (недоступная ссылка)
- Конфиденциальная информация в российском законодательстве (недоступная ссылка)
- Ефремов Алексей. Понятия и виды конфиденциальной информации
- федеральный закон № 24 «Об информации информатизации и защите информации»
- Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера»
- Совет Европы. Конвенция о преступности в сфере компьютерной информации (ETS N 185)
- Совет Европы. Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера(ETS N 108)
- Европейский союз. Директива N 95/46/ЕС Европейского парламента и совета о защите физических лиц при обработке персональных данных и о свободном обращении таких данных
- Европейский союз. Директива N 2002/58/ЕС Европейского парламента и Совета ЕС в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (директива о конфиденциальности в секторе электронных средств связи
- Правило (стандарт)аудиторской деятельности «Цели и основные принципы, связанные с аудитом бухгалтерской деятельности»
- Конфиденциальность в Интернете
- Закон о государственной тайне
- Закон о коммерческой тайне
- «Поправка Кабаевой» одобрена Совфедом: в интернете вводится «детский» запрет