Конфедециальность в ИТ-бизнесе

Раздел 9. Конфиденциальность в ИТ-бизнесе

Aвтор раздела:

 

Сергей Дивин, Epam Systems

 

 

Бесплатное использование  е-Пособия допускается исключительно  в учебных, некоммерческих целях  после ознакомления с условиями  лицензионного договора.

 

Копирование, воспроизведение, переработка, распространение, любое  иное использование е-Пособия или  любых его частей, в том числе  для создания учебных программ, учебных  пособий, лекций в учебных учреждениях, допускается исключительно с  предварительного письменного разрешения правообладателя. Любое нарушение  авторских прав будет преследоваться по закону.

 

В сфере информационных технологий, как ни в какой другой области, успешная деятельность компаний зачастую основывается на удачном ноу-хау, новом  технологическом решении, уникальном программном обеспечении или  даже просто на оригинальной идее. Причем ценная информация об этих технологиях, решениях, программном обеспечении  хранится в головах сотрудников  или их личных файлах. Поэтому важно  защищать ценную для компании информацию, не дать возможность потенциальным  конкурентам узнать о ней и  использовать ее в коммерческих целях, например для создания аналогичной  конкурентной разработки. То есть сохранять  конфиденциальность такой информации.

 

Также в результате утечки конфиденциальной информации может  быть причинен значительный экономический  ущерб. Поэтому ограничение доступа  к соответствующей информации является условием успешной деятельности любой компании, работающей в сфере информационных технологий.

 

Основная идея при охране конфиденциальной информации проста –  защищая ценную для вас информацию, вы не даете возможность потенциальным  конкурентам узнать о ней и  использовать ее в коммерческих целях.

 

Соблюдение режима коммерческой тайны должно быть неотъемлемой частью мер по защите интеллектуальной собственности  не только в ИТ-компаниях, но и в  тех компаниях, где используется программное обеспечение, бизнес-процессы, дающие конкурентные преимущества на рынках. Особенно это важно для  тех компаний, в которых внедрено уникальное программное обеспечение  или программное обеспечение, сопровождающее критически важные бизнес-процессы. Необходимо иметь в виду, что довольно большая  часть условий, создающих предпосылки  и возможность неправомерного пользования  конфиденциальной информацией, возникает  из-за элементарных недоработок менеджеров компаний и их сотрудников.

 

Назовем причины, по которым  следует охранять конфиденциальную информацию:

 

конфиденциальность информации является очевидным конкурентным преимуществом  и хорошим аргументом при переговорах  с потенциальным заказчиком о  получении заказа на разработку программного обеспечения;

законодательство большинства  стран СНГ предполагает, что ваши коммерческие секреты будут подлежать  охране только в том случае, если вы предпринимаете разумные меры по защите своих секретов;

в случае, если ваша компания в силу каких-либо соглашений владеет  конфиденциальной информацией других фирм, соглашение о конфиденциальности с вашими сотрудниками позволит вам  соблюдать обязательства перед  ними;

публичное разглашение конфиденциальной информации о вашем изобретении  может свести на нет возможность  его последующего патентования;

если вашей компании когда-либо предстоит выходить на рынок IPO, то есть становится публичной компанией, то законодательства многих стран о  ценных бумагах требует от сотрудников  и особенно топ-менеджеров неразглашения  конфиденциальной информации и введения специальных процедур по ее использованию.

9.1. Охрана коммерческой  тайны в различных государствах

В законодательстве большинства  стран, в частности в гражданском  или торговом праве существуют нормы, связанные с охраной конфиденциальной информации, имеющей ценность для  компаний. Как мы отмечали, имеются  различные терминологические подходы  в наименованиях – коммерческие секреты, секреты производства, торговые секреты, конфиденциальная или нераскрытая  информация. Но в каждом случае речь идет об охране от несанкционированного разглашения информации управленческого, производственного, коммерческого  или иного характера, обладание  которой дает определенные преимущества ее владельцу в его предпринимательской  деятельности.

 

Нормы о необходимости  охраны конфиденциальной информации содержатся в Соглашении по торговым аспектам прав интеллектуальной собственности (Соглашение ТРИПС). В соответствии с Соглашением ТРИПС государства  – члены ВТО должны предоставлять  компаниям и физическим лицам  возможность предотвращать раскрытие  принадлежащей им информации, при  условии, что эта информация отвечает следующим критериям:

 

информация является секретной, в том смысле, что эта информация сама по себе или определенный подбор ее компонентов не являются общеизвестными или доступными для третьих лиц, обычно работающих с такого рода информацией;

имеет коммерческую ценность в силу своей секретности;

владелец информации предпринимает  необходимые и достаточные меры по сохранению ее секретности.

Эти критерии взяты в качестве базовых в большинстве стран  СНГ при регулировании защиты коммерческой тайны. Само понятие коммерческой тайны в законодательстве западных стран, как правило, имеет более  широкую трактовку.

 

В Германии, к примеру, сотрудник  не вправе предоставлять третьим  лицам любую информацию, которая  может нанести ущерб репутации  или финансовому положению работодателя, причем даже в том случае, если распространяемые работником сведения основаны на реальных фактах. В этой связи приходят на память многочисленные скандалы, вызванные  «разоблачениями» бывших работодателей  уволенными или ушедшими по собственной  воле в период кризиса 2009 года сотрудниками ИТ-компаний.

 

9.1.1. Ограничения на распространение  данных из Евросоюза

Если компания желает получить заказ на разработку программного обеспечения  у заказчика, резидента страны –  члена Евросоюза, то следует иметь  в виду, что, согласно Директиве ЕС 95/46/EC о защите данных, передача персональных данных из стран – членов ЕС в  третьи страны может осуществляться только в случае предоставления третьей  страной надлежащего уровня защиты. Таким образом, компаниям-разработчикам  в странах СНГ необходимо внедрять у себя корпоративные правила  по защите конфиденциальной информация и использовать, так называемые, «Стандартные контрактные условия», предусмотренные указанной Директивой ЕС.

 

Чтобы обеспечить этот надлежащий уровень защиты информации, в рамках Директивы разработаны «Стандартные контрактные условия», которые должны регулировать отношения между заказчиком программного обеспечения и разработчиком, который не является резидентом одной  из стран ЕС. Исключения из этого  правила сделаны для разработчиков (импортеров данных) Швейцарии, Канады, Аргентины, британских территории Гернси, Острова Мэн и для использования  при передаче данных американским организациям, придерживающимся принципов Safe Harbor Privacy, утвержденными Министерством торговли США.

 

 

 

9.1.2. Охрана секретов производства  в США

Поскольку большую долю рынка  в разработках в области информационных технологий, ИТ-аутсорсинге составляют проекты с участием заказчиков из США, остановимся более подробно на охране секретов производства в  этой стране. В США термин «секрет  производства» звучит и как «trade secret», и как «know-how». Американские патентоведы, говоря «ноу-хау», подразумевают  «секрет производства». Но в США  термин «ноу-хау» не имеет официального статуса, в отличие от понятия  «секреты производства».

 

Американские суды практически  повсеместно признают и руководствуются  «Сводом (первый) права о деликтах» (Restatement (First) of Torts), определяющим, что  «секрет производства может состоять из любой формулы, образца, устройства или компиляции информации, используемой в чьем-либо бизнесе и предоставляющей  ему возможность получения преимущества над конкурентами, которые ее не знают или не используют». Это  может быть формула химического  вещества, технология обработки... или  список потребителей». Секрет производства является процессом или устройством  для постоянного использования  при осуществлении коммерческой деятельности.

 

Еще одна интересная норма, которая  пока не применяется в СНГ, но применяется  в США: раскрытие информации лицам, имеющим обязательства о соблюдении конфиденциальности, не считается утратой  конфиденциальности соответствующего секрета производства. Но раскрытие  такой же информации лицам, не подписавшим  обязательств в отношении конфиденциальности, исчерпывает право собственности  на секрет производства.

 

В США для сохранения секретности  владелец секрета производства не должен оставаться пассивным. Прилагаемые  усилия, считающиеся разумными, варьируются  в зависимости от ценности секрета  производства и финансовых возможностей компании. При этом разумные усилия как минимум должны включать следующее:

 

ограниченный доступ (по принципу «лишь тот, кому необходимо») к секретам производства;

подписание сотрудниками соглашений о неразглашении информации;

предупреждение об информации, составляющей, по мнению компании, секрет производства (например, путем уведомления  о конфиденциальности в электронных  письмах).

Конфиденциальность информации о секрете производства охраняется. Ее нельзя добывать, используя незаконные методы или нарушая доверие (breach of confidence). Нарушение секретов производства считается одним из видов недобросовестной конкуренции. В судах США при  рассмотрении дел о нарушении  секретов производства наиболее важны  следующие два вопроса:

 

является ли данная информация ценной и секретной;

применял ли ответчик незаконные методы для ее получения.

В отличие от других форм интеллектуальной собственности ответственность  за нарушение секретов производства наступает не в результате факта  копирования или использования  охраняемой информации, а вследствие применения незаконных способов ее получения.

 

9.1.3. Регулирование коммерческой  тайны в СНГ

В законодательстве стран  СНГ правовые нормы, посвященные  охране коммерческой тайны, как правило, объединяются в рамках специальных  законов. Законы о коммерческой тайне  приняты в Российской Федерации, Азербайджанской Республике, Республике Кыргызстан, Республике Молдова, Республике Таджикистан и Республике Туркменистан. Разработка проекта Закона «О коммерческой тайне» ведется в Беларуси и на Украине.

 

В этих странах применяется  похожий подход к определению  коммерческой тайны как особого  правового режима определенного  круга сведений производственно-технического, управленческого, организационного характера. Некоторые различия существуют в  критериях, позволяющих решить вопрос о распространении на такую информацию режима коммерческой тайны.

 

9.2. Правовое регулирование  конфиденциальной информации в  Беларуси

В мировой практике и в  юридическом лексиконе используются различные термины для характеристики конфиденциальной информации. Например, «торговые секреты», «секреты производства», «ноу-хау», «секреты промысла». В Беларуси в нормативных актах можно  также встретить такие понятия, как «нераскрытая информация», «охраняемая  информация», «коммерческая тайна», «служебная тайна», «сведения, носящие  конфиденциальный характер», «иные  охраняемые законодательством сведения», «иная охраняемая законом тайна», «информация, предоставление которой  ограничено или запрещено законодательством».

 

Несмотря на некоторые  различия и противоречия между указанными терминами, по существу, речь идет об одних  и тех же правах и механизме  их возникновения. Можно долго спорить  о том, удачно ли сформулированы эти  термины, но тем не менее они зафиксированы  в законодательстве, и, поскольку  учебное пособие посвящено практическим аспектам, мы будем руководствоваться  именно ими. Чтобы не запутать вас  в дальнейшем, мы будем использовать лишь те термины, которые имеют практический смысл для деятельности ИТ-компаний.

 

9.2.1. Развитие белорусского  законодательства о конфиденциальной  информации

На данный момент базовые  отношения, связанные с охраной  конфиденциальной информации, регулируются нормами ГК РБ, Постановлением № 670, а также различными нормами иных актов законодательства. К сожалению, они не согласованы между собой, а положения ГК РБ несут в себе внутренние противоречия.

 

Подготовлен проект Закона «О коммерческой тайне», который:

 

предусматривает меры, необходимые  и достаточные для введения режима коммерческой тайны;

уточняет категории сведений, в отношении которых не может  введен режим коммерческой тайны;

определяет содержание режима коммерческой тайны, порядок его  введения, формы распоряжения коммерческой тайной;

устанавливает круг лиц, имеющих  право требовать от владельца  коммерческой тайны доступа к  конфиденциальной информации, а также  права и обязанности лиц, получающим доступ к ней;

предусматривает обязательства  работников по соблюдению конфиденциальной информации нанимателя и третьих  лиц. Основанием возникновения таких  обязательств будет являться обязательство  о неразглашении между нанимателем  и работником;

определяет, что имеется  в виду под разглашением коммерческой тайны (действие или бездействие, в  результате которых сведения, составляющие коммерческую тайну, в любой возможной  форме (устной, письменной, иной форме, в том числе с использованием техсредств) становятся известными третьим  лицам без согласия владельца  коммерческой тайны либо иного законного  основания).

Будем надеяться, что новый  законопроект в скором времени заполнит недостающие пробелы и устранит существующие коллизии.

 

9.2.2. Коммерческая тайна  в Республике Беларусь

Постановление Совета Министров  Республики Беларусь от 06.11.1992 № 670 «Об  утверждении Положения о коммерческой тайне» (далее – Постановление  № 670) дает следующее определение  коммерческой тайны: «Коммерческую  тайну составляют преднамеренно  скрываемые экономические интересы и информация о различных сторонах и сферах производственно-хозяйственной, управленческой, научно-технической, финансовой деятельности субъекта хозяйствования, охрана которых обусловлена интересами конкуренции и возможной угрозой экономической безопасности субъекта хозяйствования».

 

Статья 140 Гражданского кодекса  Республики Беларусь (далее – ГК РБ) определяет информацию, составляющую коммерческую тайну через условия, которым она должна одновременно соответствовать, а именно:

 

такая информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам;

к этой информации нет свободного доступа на законном основании;

обладатель (владелец) информации принимает меры к охране ее конфиденциальности.

 

9.2.3. Нераскрытая информация, секреты производства и ноу-хау 

Согласно п. 1 ст. 1010 ГК РБ, нераскрытая информация – это  техническая, организационная или  коммерческая информация, в том числе  секреты производства (ноу-хау), не известные  третьим лицам, защищаемые законом  от незаконного использования до тех пор, пока соблюдаются три  названных ранее условия. То есть, по сути, в отношении нераскрытой  информации должен быть введен режим  коммерческой тайны.

 

То есть отечественный  законодатель отождествляет понятия  «ноу-хау» и «секреты производства», объединяя их родовым термином «нераскрытая информация».

 

В соответствии со ст. 998 ГК РБ нераскрытая информация отнесена к  объектам промышленной собственности (наряду с изобретениями, товарными  знаками и пр.). В Республике Беларусь право на нераскрытую информацию возникает в связи с фактом ее создания и не требует осуществления  каких-либо формальностей: регистрации, получения свидетельств и т.п.

 

9.2.4. Соотношение нераскрытой  информации и коммерческой тайны

Можно сказать, что в Беларуси термины «нераскрытая информация»  и «коммерческая тайна» описывают  одни и те же отношения, но применяются  в разных ситуациях. Понятие «нераскрытая информация», включая секреты производства и ноу-хау используется, когда  речь идет об интеллектуальной собственности.

 

Термин «коммерческая  тайна» применяется в организационных  отношениях субъектов хозяйствования.

 

9.2.5. Режим коммерческой  тайны

Это понятие не раскрывается в действующем законодательстве, но, по нашему мнению, является ключевым в понимании механизма осуществления  охраны конфиденциальной информации.

 

Под режимом коммерческой тайны понимаются правовые, организационные, технические и иные меры, принимаемые  владельцем коммерческой тайны в  целях обеспечения конфиденциальности сведений, составляющих коммерческую тайну.

 

Прежде чем информация могла считаться коммерческой тайной, внутри ИТ-компании должна быть установлена  процедура введения правовой охраны в отношении сведений, признаваемых коммерческой тайной. Эта процедура, в частности, должна включать:

 

определение состава и  объема сведений, составляющих коммерческую тайну;

порядок допуска работников владельца, а также лиц, привлекаемых к его деятельности, к сведениям, составляющим коммерческую тайну, и  контроль за соблюдением такого порядка; учет лиц, получивших доступ к сведениям, составляющим коммерческую тайну, и (или) лиц, которым такие сведения были предоставлены или переданы;

возложение ответственности  за обеспечение сохранности коммерческой тайны на должностное лицо владельца;

организацию контроля порядка  использования, учета, хранения и маркировки документов и иных материальных носителей  информации, содержащих сведения, составляющие коммерческую тайну.

Внешним атрибутом предоставления информации статуса коммерческой тайны  станет нанесение грифа «Коммерческая  тайна» на документы и иные материальные носители информации, содержащие сведения, составляющие коммерческую тайну, с  указанием владельца этой информации.

 

Следовательно, как для  юридического лица, так и для индивидуального  предпринимателя необходимо соответствующее  оформление режима коммерческой тайны, поскольку он не возникает автоматически.

 

Более подробно о мерах  по охране конфиденциальной информации вы сможете узнать ниже – в главе 6.2.7. «Установление режима коммерческой тайны. Практические шаги». При этом реализация этих мер по стоимости  должна быть адекватной, иначе чрезмерные расходы на обеспечение конфиденциальности могут лишить коммерческого смысла саму вашу разработку в сфере информационных технологий.

 

9.2.6. Условия правовой охраны  конфиденциальной информации

И ГК РБ и постановление  № 670 определяют требования, которые  позволяют рассматривать ту или  иную информацию как сведения, содержащие коммерческую тайну.

 

В совокупности выделяются следующие  требования:

 

наличие у информации действительной или потенциальной коммерческой ценности для компании;

неизвестность ее третьим  лицам;

отсутствие к ней свободного доступа на законном основании третьих  лиц;

принятие обладателем  мер к охране ее конфиденциальности через систему классификации  информации как коммерческой тайны, разработки внутренних правил засекречивания, введения соответствующей маркировки документов и иных носителей информации, организации;

не являться государственным  секретом;

не касаться негативной деятельности субъекта хозяйствования, способной  нанести ущерб интересам государства.

Теперь остановимся подробнее  на этих требованиях.

 

9.2.6.1. Наличие у информации  действительной или потенциальной  коммерческой ценности для компании

Иными словами, вряд ли можно  отнести к коммерческой тайне  информацию о меню в корпоративном  буфете, если только это меню не позволяет  повысить эффективность работы ИТ-специалистов в несколько раз :).

 

Коммерчески ценная информация – это сведения, обладающие способностью приносить доход в случае их возмездной передачи другим лицам или использования, а также способностью приносить  ущерб в результате их разглашения  или использования иными лицами без соответствующих законных оснований. Имеется в виду как действительная, так и потенциальная коммерческая ценность.

 

Указание на возможность  наличия лишь «потенциальной коммерческой ценности» означает, что не требуется  доказывать существующую востребованность данной информации на рынке. В частности, если речь идет о принципиально новой  ИТ-разработке, то вполне понятно, что  уже сложившегося спроса на такую  разработку на момент выхода с ней  на рынок может и не быть. Важно  лишь, чтобы данные сведения в принципе могли кого-то заинтересовать. При этом в расчет должны приниматься только коммерческая ценность сведений и их использование в коммерческой сфере, а не научная, социальная и тому подобная ценность. Следует также заметить, что коммерческая ценность объекта не обязательно отражает достоинства результата интеллектуальной деятельности, и поэтому реальная эффективность, прогрессивность и тому подобные характеристики найденного решения не имеют значения для возникновения права на него как на секрет производства.

 

Характер информации, составляющей содержание секрета производства, правового  значения не имеет. Это могут быть производственные, технические, экономические, организационные и другие сведения, в том числе о результатах  интеллектуальной деятельности в научно-технической  сфере. Действительная или потенциальная  коммерческая ценность означает возможность  использования информации при осуществлении  предпринимательской деятельности. При этом научная, социальная ценность не являются обязательными требованиями признания информации служебной  или коммерческой тайной.

 

Применительно к оценке стоимости  информации, составляющей коммерческую тайну, можно говорить лишь о доходах, которые еще не получены.

 

9.2.6.2. Отсутствие свободного  доступа третьих лиц к информации  на законном основании 

Отсутствие к информации свободного доступа на законном основании  означает невозможность свободного получения такой информации любым  заинтересованным лицом.

 

К информации, которая является общедоступной, можно отнести, например, сведения, содержащиеся в Едином государственном  регистре юридических лиц и индивидуальных предпринимателей и являющиеся открытыми  и доступными для всеобщего ознакомления (за исключением сведений, составляющих государственные секреты, банковскую, служебную и коммерческую тайну), сведения о покупателе и дате реализации конкретного бланка первичного учетного документа и(или) контрольного знака, которые могут быть предоставлены пользователям электронного банка данных об изготовленных и реализованных бланках первичных учетных документов и контрольных знаках через Интернет или через компетентные органы.

 

9.2.6.3. Неизвестность информации  третьим лицам

Это не означает, что такая  неизвестность должна быть абсолютной, когда информацией владеет лишь одно лицо. Более того, закон прямо  предусматривает ситуацию, когда  разные лица независимо обладают одними и теми же сведениями, составляющими  коммерческую тайну, и такое положение  не приводит к прекращению права  каждого из этих лиц на эту тайну. При использовании коммерческой тайны также может потребоваться  предоставление доступа к соответствующим  сведениям другим лицам (консультантам, работникам и т.д.), и если они будут  сохранять информацию в тайне, то право на секрет производства не прекратится. В связи с этим важно позаботиться о том, чтобы с такими лицами были заключены соглашения о конфиденциальности. То есть необходимо, чтобы соответствующие  сведения не стали общедоступными.

 

9.2.6.4. Информация не является  государственным секретом

Государственные секреты  подразделяются на две категории: государственная  тайна и служебная тайна (ст. 17 Закона Республики Беларусь «О государственных  секретах»). Служебная тайна –  государственные секреты, разглашение  или утрата которых могут причинить  существенный вред национальной безопасности Республики Беларусь, а также конституционным  правам и свободам граждан. Сведения, составляющие служебную тайну, имеют  характер отдельных данных, входящих в состав сведений, составляющих государственную  тайну и не раскрывающих ее в целом.

 

Отличие коммерческой тайны  от государственных секретов прежде всего в том, что сведения, составляющие государственные секреты, установлены  соответствующим перечнем, который  пересматривается не реже чем через  каждые пять лет. Причем сроки действия степени секретности сведений, составляющих государственные секреты, устанавливаются  и изменяются законодательством. Коммерческая тайна перечнем не определена, поскольку применительно к разным субъектам хозяйствования всегда различна. Срок неразглашения коммерческой тайны определяется в каждом конкретном случае руководителем субъекта хозяйствования.

 

9.2.6.5. Информация не несет  ущерб интересам государства

К сведениям, сокрытие которых  противоречит интересам государства  и общества, можно отнести сведения о:

 

нерациональном природопользовании;

чрезмерном загрязнении  окружающей среды;

несоблюдении техники  безопасности на производстве, представляющей реальную угрозу жизни и здоровью людей;

нарушении специального законодательства, регулирующего деятельность организации;

занятии деятельностью, запрещенной  законодательством;

злоупотреблениях и недобросовестности руководителей и работников организации;

фактах проявления недобросовестной конкуренции;

возможностях и реальных случаях уклонения от правильной уплаты налогов.

9.2.7. Установление режима  коммерческой тайны. Практические  шаги

Итак, после того как вы убедились, что ваша информация отвечает всем вышеперечисленным критериям, вам необходимо выполнить последнее  условие – принять меры к охране ее конфиденциальности через систему  классификации информации как коммерческой тайны, разработки внутренних правил засекречивания, введения соответствующей маркировки документов и иных носителей информации, организации.

 

То есть, по сути, следует  установить режим коммерческой тайны. Только в этом случае и с этого  момента вы сможете рассчитывать на защиту вашей коммерческой тайны со стороны государства и его правовых механизмов. При этом не стоит задача превратить ваш офис в непреступный военный лагерь и написать десяток объемных локальных документов. Необходимо лишь принять разумные меры и ограничения для охраны ваших секретов. Это должны быть разные по объему и затратам меры для крупных или небольших компаний.

 

Итак, переходим к практическим шагам по соблюдению предусмотренных  законодательством мер по охране конфиденциальной информации.

 

9.2.7.1. Формирование перечня  сведений, составляющих коммерческую  тайну

Первой мерой, которую  необходимо реализовать, является определение  круга сведений, составляющих коммерческую тайну. Его наличие носит принципиальный характер, поскольку невозможно требовать  от работников неразглашения абстрактной  конфиденциальной информации. Защищается только документированная информация, следовательно, необходимо как можно  конкретнее описать все виды конфиденциальной информации.

 

Рекомендуется распределить сведения по категориям важности в  зависимости от их ценности для компании, характера и размера ущерба, который  может быть нанесен при разглашении  этих сведений. К решению этой проблемы следует подходить особенно внимательно. Если какие-либо данные, прямые или  косвенные, будут упущены из виду, все принимаемые меры могут оказаться  неэффективными. С другой стороны, излишние меры по ограничению доступа к  информации осложнят работу и приведут к неоправданным экономическим  издержкам. Нет большого смысла очень  детально описывать каждый вид документов. Иногда проще записать общий критерий. Например, «Все документы, относящиеся  к проекту «Новая операционная система  Беларусь 3000» или «Разработка  нового белорусского мобильного коммуникатора». Правильная организация выделения  и защиты коммерческой тайны не должна мешать эффективной работе компании.