CC BY
16
А.К. Жарова*
О ПРАВОВОМ РЕГУЛИРОВАНИИ ТЕХНОЛОГИЧЕСКОГО ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОГО ВЗАИМОДЕЙСТВИЯ СУБЪЕКТОВ
Люди стали активно применять новые технологии, локальные и глобальные сети, посредством которых получают новые коммуникационные возможности, увеличивают скорость обмена информацией, решают экономические задачи и многое другое. Однако использование технологий не только имеет несомненные плюсы, но и порождает вопросы правового и технологического регулирования. Так, одна из технологических проблем касается взаимодействия систем, источником которой служит использование их производителями различного технологического моделирования и стандартизации. В связи с отсутствием взаимного понимания технологических систем пользователям - участникам отношений приходится использовать технологию одного производителя. В то же время взаимная открытость систем является важнейшей характеристикой информационного общества. Технологически принцип свободного взаимодействия и свойства открытых систем называется «интероперабельность». Интеропе-рабельность представляет собой одно из главных свойств открытых систем и достигается за счет использования согласованных наборов стандартов.
В Международном стандарте ISO1 под интероперабельно-стью понимается способность «двух или более систем или компонентов к обмену информацией и к использованию информации, полученной в результате обмена».
В связи с тем что ст. 13 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»2 относит к
* Старший научный сотрудник Института государства и права РАН, кандидат юридических наук.
1ISO/IEC 2382-1:1993 Information technology--Vocabulary--Part 1: Fundamental terms.
2 СЗ РФ. 2002. № 52 (ч. 1). Ст. 5140. 186 Труды Института государства и права
Российской академии наук № 3/2012
документам в области стандартизации, используемым на территории РФ, в том числе и международные стандарты, региональные стандарты, региональные своды правил, стандарты иностранных государств и своды правил иностранных государств, зарегистрированные в Федеральном информационном фонде технических регламентов и стандартов, определение, данное в международном стандарте ISO, является легальным и на территории РФ.
В законодательстве РФ термин «интероперабельность» не раскрывается, но используется во многих законодательных актах. Например, согласно п. 3.5 постановления Правительства Москвы от 14 июня 2005 г. № 439-1III «О дальнейшем проведении работ по созданию Московского городского портала»3 информационные системы, связанные с эксплуатацией системы городских порталов, должны удовлетворять требованию интероперабельности. Указанное понятие в этом постановлении трактуется, прежде всего, как использование взаимосогласованных механизмов обмена информацией. При этом в качестве основного способа обеспечения инте-роперабельности рассматривается обязательное использование стандартных протоколов и программных интерфейсов в рамках технической реализации всех уровней клиент-серверной модели информационной системы.
Проблема отсутствия интероперабельности в системах стала активно затрагивается не только производителями различных систем, но и мировым информационным сообществом в связи с тем, что ее игнорирование приведет к затруднениям в применении и распространении, а также ограничении в выборе пользователями различных технологических систем, а следовательно, к ограничению конкурентоспособности продуктов информационных технологий (ИТ) и предприятий, что, в свою очередь, породит трудности информационного обмена.
Кроме того, ограничение интероперабельности систем негативно скажется на организации электронного государства в различных странах, поскольку система электронного государственного управления строится в том числе и на применении различ-
3 Вестник Мэра и Правительства Москвы. 2005. № 40.
ных технологий. В течение последних нескольких лет на государственном уровне и уровне ряда ведомств обеспечение инте-роперабельности на основе использования ИКТ-стандартов становится обязательным направлением технической ИКТ-политики. По этому пути идет и Таможенный союз России, Белоруссии и Казахстана.
Например, такая организация ЕС, как European Network and Information Security Agency (ENISA), подготовила отчет об инте-роперабельности европейских систем «электронных удостоверений личности» (eID) - Security Issues in Cross-border Electronic Authentication4, где указывается на необходимость скорейшего решения вопроса о соблюдении и европейского, и национального законодательства о защите персональных данных при использовании трансграничных систем аутентификации, а также проблемы, связанной с использованием различными национальными системами иногда несовместимых технологий при трансграничной передаче данных. В отчете указывалось, что данная проблема связана не столько с использованием разных технологий, сколько с различными национальными политиками безопасности и различными уровнями безопасности.
В Российской Федерации уделяется недостаточное внимание данной проблеме, хотя существует немало примеров нормативных актов, которые направлены на ее решение. Так, согласно п. 26 постановления Правительства РФ от 3 октября 2009 г. № 796 «О некоторых мерах по повышению качества предоставления государственных (муниципальных) услуг на базе многофункциональных центров предоставления государственных (муниципальных) услуг»5 применяемые при создании информационной системы центра форматы данных, протоколы передачи данных, регламенты, требования и инструкции являются доступными и документированными в виде, достаточном для их независимого (без обращения к разработчику) использования
4 см.: security issues in cross-border e-authentication // url: http://www.enisa.europa.eu/media/news-items/security-issues-in-cross-border-e-authentication (дата обращения: 09.05.2012).
5 СЗ РФ. 2009. № 41. Ст. 4782. 188
третьими сторонами (имеют открытую структуру и открытый исходный код).
Кроме того, приказом Федерального агентства по техническому регулированию и метрологии от 16 апреля 2010 г. № 1269 «О размещении заказов на выполнение работ в области технического регулирования и стандартизации по Программе разработки национальных стандартов на 2010 год за счет средств федерального бюджета на 2010 год»6 предусмотрена разработка ГОСТ Р при прямом применении КОЛЕС 9834-7:2005 (гармонизация), что должно обеспечить не только взаимопонимание национальных технических систем, но и понимание международных технологий.
Приказом Министерства связи РФ от 5 декабря 2010 г. № 1907 определены технические требования к взаимодействию информационных систем на основании принципа интеропера-бельности.
В общей структуре интероперабельности можно выделить следующие уровни:
1) нормативно-правовой;
2) организационный;
3) семантический;
4) технический.
Особенность правового регулирования интероперабельно-сти заключается в том, что такие отношения относятся к уровню технических норм, т.е. уровню стандартов, которые могут применяться различными лицами в процессе их предпринимательской деятельности. С точки зрения нормативного правового регулирования интероперабельность можно разделить на следующие уровни:
1) глобальный - связан с наличием федеральных законов и иных законов, а также подзаконных актов, в которых данный принцип раскрывается;
6 СПС «Гарант».
7 СПС «Гарант».
2) организационный - наличие локальных нормативных актов организаций, которые принимают на себя обязательство использования ГОСТ;
3) технический - наличие стандартов.
Некоторые авторы, в частности Ю.В. Гуляев, А.Я. Олейников, считают, что в нашей стране отсутствуют национальные стандарты, направленные на обеспечение интероперабельности, особенно семантической8.
В последнее время вопросы интероперабельности начинают включаться в ряд государственных программ и проектов. Так, 1 апреля 2011 г. Правительственная комиссия по высоким технологиям и инновациям утвердила перечень из 27 приоритетных технологических платформ9. Формат технологической платформы позволяет объединить усилия государства, науки, образования, бизнеса вокруг прорывного инновационного проекта10. Были созданы: Национальная программная технологическая платфор-ма11, Национальная суперкомпьютерная технологическая плат-форма12.
Кроме того, разработаны и приняты концептуальные документы: Концепция стандартизации в области нанотехнологий и
8 См.: Гуляев Ю.В., Олейников А.Я. Состояние и перспективы развития работ по обеспечению интероперабельности // Труды пятой всероссийской конференции «Стандартизация информационных технологий и интероперабельность» // URL: http://www.sitopconf.ru/files/sitop2011.pdf (дата обращения: 09.05.2012).
9 См.: Протокол №. 2 заседания Правительственной комиссии по высоким технологиям и инновациям 1 апреля 2011 г. // URL: http://www.hpc-platform.ru/tiki-download_file.php?fileId=38 (дата обращения: 09.05.2012).
10 См.: там же.
11 Автономная некоммерческая организация содействия развитию индустрии программного обеспечения «Национальная программная платформа» (АНО «Н1 II I») образована в соответствии с Планом мер по развитию технологических платформ на 2011 год. См.: URL: http://tpnpp.ru/index.php?option=com_content&view=category&id=67&Ite mid=145 (дата обращения: 09.05.2012).
12 URL: // http://www.hpc-platform.ru/tiki-download_file.php?fileId=38 (дата обращения: 09.05.12)
наносистем13; Концепция создания единой государственной информационной системы в сфере здравоохранения14. Можно привести и другие примеры реализации принципа интероперабель-ности15.
В то же время, несмотря на наличие нормативной базы, различного рода платформ, существует проблема реализации и разработки программного обеспечения (далее - ПО) на основе принципа интероперабельности. Так, в настоящее время вопрос о том, принимать ли на себя обязательство использования стандартов, решается в добровольном порядке самими организациями. Согласно ст. 12 Закона «О техническом регулировании» стандартизация осуществляется в соответствии с указанными в ней принципами, в том числе принципом добровольного применения документов в области стандартизации.
По мнению Т.А. Гусевой и Л.Е Чапкевич, для некоторых отраслей сформировалась ситуация, при которой термин «добровольность» трактуется как необязательность соблюдения каких-либо требований соответствующих стандартов, когда можно по своему усмотрению или исходя из складывающейся обстановки использовать эти стандарты16.
13 Утверждена руководством ГК Роснано. См.: СПС «Гарант».
14 Утверждена приказом Минздравсоцразвития России от 28 апреля 2011 г. № 364 // СПС «КонсультантПлюс».
15 Национальный стандарт РФ ГОСТ Р ИСО/ТС 18308-2008 «Информатизация здоровья. Требования к архитектуре электронного учета здоровья» (утв. приказом Федерального агентства по техническому регулированию и метрологии от 11 марта 2008 г. № 44-ст). ; Государственный стандарт РФ ГОСТ Р ИСО 7498-2-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации» (принят и введен в действие постановлением Госстандарта РФ от 18 марта 1999 г. № 77); «Рекомендации по стандартизации. Информационные технологии. Руководство по проектированию профилей среды открытой системы организации-пользователя» Р50.1.041-2002.
16 См.: Гусева Т.А., Чапкевич Л.Е. Постатейный комментарий к Федеральному закону «О техническом регулировании». М., 2008.
Между тем в практике западных стран «добровольность» интерпретируется как необходимость и даже обязанность поставщика добровольно возлагать на себя ответственность за соблюдение требований, изложенных в национальных или отраслевых стандартах на продукцию, процесс или услугу. Каждый участник цивилизованного рынка знает, что без этого невозможны не только успешная деятельность, но и само существование организации. Разница между трактовками указанного термина, как видим, существенная.
По логике законодательства, добровольно принимая стандарт, субъект определенной деятельности тем самым демонстрирует потребителю безопасность своего производства, что дает ему определенное преимущество в конкуренции.
В то же время, следуя добровольности стандартизации в области аппаратно-программного комплекса, можно предположить, что на рынок выйдут различные продукты, содержащие ошибки, вследствие чего информация может оказаться доступной третьим лицам. Что же тогда?
Так, в нормах гл. 19 КоАП РФ предусматривается административная ответственность только за нарушения требований технических регламентов, обязательных требований государственных стандартов, правил обязательной сертификации, нарушение требований нормативных документов по обеспечению единства измерений, в которые аппаратно-программные комплексы общего назначения не попадают.
Соответственно получается, что возникновение любой ошибки не может быть поставлено в вину правообладателю, разработчику ПО и, следовательно, не влечет ответственности. Однако ошибки ошибкам рознь. В случае простого сбоя работы системы на компьютере пользователя и дальнейшей перезагрузки в принципе ничего не происходит, за что бы мог понести ответственность разработчик ПО, но если этот сбой привел к гибели людей, например вследствие отключения медицинского оборудования, то в таком случае разработчик должен понести ответственность, поскольку это произошло по его вине.
Согласно законодательству РФ, если программа причинит вред лицензиату и будет установлено, что это произошло по
вине лицензиара и «не охватывается конструкцией лицензионного договора», то лицензиар должен будет возместить его в полном объеме (ст. 15 ГК РФ) в силу ст. 1064 ГК РФ.
Соответственно в случае применения ПО и отсутствия стандартов на ПО возникает вопрос об ответственности за вред, причиненный третьим лицам, причем работоспособность программы должна являться существенным условием договора.
Отсюда следует, что для того, чтобы обеспечить нормальный оборот ПО, необходимо подтвердить, что разработанное ПО прошло тестирование. В то же время успешное прохождение тестирования еще не означает, что в программе нет ошибок, в том числе препятствующих ее нормальному использованию.
По общему положению нет вины, если соблюдено все, что требовалось. А вот что именно требовалось и где это фиксируется, чтобы добропорядочные разработчики смогли, основываясь на нормах законодательства, обеспечить соответствующую реализацию своей продукции на территории РФ?
Доктрина информационной безопасности Российской Федерации17 (п. 5) определяет, что организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются, в частности, разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения. КоАП РФ предусматривает ответственность за нарушение правил защиты информации (ст. 13.12). В ст. 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»18 определяется, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копиро-
17 Утверждена Президентом РФ от 9 сентября 2000 г. № Пр-1895 // Российская газета. 2000. 28 сент.
18 СЗ РФ. 2006. № 31 (1 ч.). Ст. 3448.
вания, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
Несмотря на закрепление в нормативных актах необходимости обеспечения защиты информации, а также ответственности за неправомерные действия, покупая продукцию аппаратно-программного комплекса, потребитель должен быть уверен, что в них отсутствуют ошибки. Однако в связи с добровольностью принятия организацией стандарта такой уверенности у него нет. Кроме того, это связано и с тем, что административная ответственность изготовителя продукции за недостоверное декларирование соответствия ГОСТу продукции, в том числе впервые выпускаемой в обращение продукции, в КоАП РФ не установлена.
Еще в 2009 г. Еврокомиссией был разработан законопроект о защите потребителей ПО от ошибок, заложенных в нем. В нем, в частности, предусмотрена ответственность поставщиков ПО за недостатки программного продукта и возмещение ущерба, нанесенного потребителю в результате его использования. 5 мая 2009 г. Европейская комиссия открыла сайте YouGuide19, онлайновое руководство по защите цифровых прав граждан Евросою-20 за .
В Российской Федерации, если стандарт принят и организация взяла на себя обязательство использовать его, неизбежно возникает вопрос об ответственности за неисполнение либо неправильное исполнение положений, установленных в нем. Статья 19.19 КоАП РФ предусматривает ответственность за нарушение требований технических регламентов, обязательных требований государственных стандартов, правил обязательной сертификации, требований нормативных документов по обеспече-
19 См.: URL:
http://ec.europa.eu/information_society/eyouguide/index_en.htm (дата обращения: 09.05.2012).
20 URL: http://www.info-foss.ru/comments/2009/05/25/ec_vendors_liability (дата обращения: 09.05.12).
нию единства измерений. Каким же образом согласуются принцип добровольности стандарта и ответственность за нарушение его требований?
Кроме того, законодатель оперирует термином «государственный стандарт» (ст. 19.19 КоАП РФ), а в Законе «О техническом регулировании» (ст. 13) используется понятие «национальный стандарт», в силу чего возникает неопределенность при защите прав потребителей в суде. Как отмечает А.С. Феофилак-тов, это касается соотношения составов административных нарушений прав потребителей с обязательными государственными стандартами и правилами сертификации. Автор приводит пример судебного решения дела об иске Территориального отдела (инспекция) по Московской области Центрального межрегионального территориального управления Федерального агентства по техническому регулированию и метрологии к ООО «Производственно-коммерческая фирма «Янтарь» о привлечении к административной ответственности по ч. 1 и 2 ст. 19.19 КоАП РФ21.
Относительно ответственности за нарушение правил стандартов можно отметить следующее: вопрос о соотношении принципа добровольности с нормами КоАП РФ остается открытым.
Вместе с тем в Российской Федерации активную деятельность в области стандартизации осуществляет Комитет по стандартизации «Информационные технологии». В настоящее время благодаря его усилиям отечественным специалистам предоставлена возможность работы в международной организации в области ИТ-стандартизации - объединенного технического комитета IS0/IEC JTC1 «Information technologies», его подкомитетов и рабочих групп с правом голосования по разрабатываемым стандартам.
21 См.: Феофилактов А.С. Административная ответственность субъектов предпринимательской деятельности за нарушение прав потребителей: проблемы судебно-арбитражной практики // Административное право. 2009. № 1.
В отличие от России в ЕС за последние время было реализовано несколько проектов, направленных на обмен опытом и совместную выработку объективных подходов к отбору технологий. Так, начиная с 1993 г. ЕС в рамках программы CAMSS разрабатывал последовательно в целях развития информационного общества такие проекты, как IDA, IDAI, IDAII, IDABC, ISA22 .
CAMSS была инициирована программой Еврокомиссии «Совместимость в предоставлении европейских услуг электронного правительства органам власти, организациям и гражданам». В июне 2008 г. Европейская комиссия опубликовала наиболее законные результаты первой фазы CAMSS23.
В рамках CAMSS был проведен анализ текущей практики ряда государств и международных организаций в области выработки критериев отбора стандартов и технологий, в частности, было выявлено, что в практике Бельгии, Гонконга, Дании, Канады, Нидерландов, Новой Зеландии и США выработаны определенные критерии отбора стандартов и спецификаций, в документах Германии указываются лишь минимальные требования к открытым стандартам, а в Дании разработан документ, в котором предлагается метод проверки спецификаций по критерию их соответствия требованиям, предъявляемым к открытым стандартам. В отношении других стран - членов ЕС найти информацию о существовании критериев отбора стандартов и спецификаций не удалось.
Таким образом, результаты анализа свидетельствуют, что в настоящее время подобные критерии существуют далеко не во всех странах ЕС, а каждая страна, где они применяются, зачастую вырабатывает собственные подходы, которые не всегда четко формали-
22 См.: ISA Work Programme SECTION I // URL: http://www.epractice.eu/files/Interoperability%20Solutions%20for%20Euro pe-
an%20Public%20Administrations%20(ISA)%20Work%20Programme.pdf (дата обращения: 09.05.2012).
23 См.: Законодательство ЕС // URL: http://eur-lex.europa.eu (дата обращения: 09.05.2012).
зуются в публикуемых документах. Общепринятая объективная методика выработки критериев пока отсутствует.
CAMSS были также учтены обобщения в отношении процедур отбора стандартов, сделанные на основе сопоставления ряда национальных отраслевых документов.
Целями проекта IDABC (Interoperable Delivery of European e-Government Services to public Administrations, Businesses and Citizens)24 являются разработка общих подходов к оценке и отбору стандартов и спецификаций для совместимости государственных информационных систем, использования электронной цифровой подписи, электронных закупок, публикация исследований и рекомендаций в области межсистемной совместимости, использования ПО с открытым кодом, а также разработка методов обмена информацией между заинтересованными странами-участницами. IDABC внес вклад в программный документ ЕС i201025_модернизации европейского общественного сектора.
Реализация этого проекта началась в январе 2008 г., а в конце июня был завершен его первый этап, в ходе которого была осуществлена систематизация существующих лучших практик отбора стандартов.
К числу наиболее значимых результатов программы IDABC относится создание Европейского свода требований по совместимости (European Interoperability Framework), а также разработка Публичной лицензии Европейского союза (European Union Public License), предназначенной для публикации ПО, разработанного европейскими учреждениями публичного сектора.
Проект ISA был принят решением Европейского парламента и Совета Европейского союза № 922/2009/EC «Об интероперабельных решениях для европейских органов власти на 20102015 гг.» (Interoperability Solutions for European Public
24 См.: EU IDABS // URL: http://ec.europa.eu/idabc/ (дата обращения: 09.05.2012).
25 URL: http ://ec.europa.eu/information_society/eeurope/i2010/index_en. htm (дата обращения: 09.05.2012).
Administrations (ISA) Programme 2010-2015)26. В нем предусмотрен план действий по развитию и содействию росту устойчивого и инновационного электронного правительства. Данный проект направлен на обеспечение эффективности публичных услуг для европейских граждан и бизнеса.
Решения, принимаемые при реализации проекта ISA, обеспечивают эффективное трансграничное и межведомственное электронное сотрудничество европейских государственных органов, предоставление электронных публичных услуг и гарантируют реализацию политики Европейского сообщества.
Согласно вышеупомянутому решению до конца 2015 г. Ев-рокомиссия потратит 3,344 млн евро на поддержку ныне действующих проектов в области ПО с открытым кодом и интеро-перабельности: OSOR.eu и SEMIC.eu. Кроме того, еще 8,8 млн евро предусмотрено на финансирование проектов, связанных с формированием тематических сообществ в сфере электронного правительства, в том числе, по вопросам, связанным с созданием ПО с открытым кодом.
В решении Европейской комиссии от 28 ноября 2011 г. «Создание европейской многосторонней платформs в области стандартизации ИКТ 2011» предусмотрено создание Европейской многосторонней платформы в области стандартизации информационных и коммуникационных технологий (ИКТ) в целях улучшения стандартов в области ИКТ для обеспечения интер-операбельности ИКТ, товаров и услуг и поощрение инновационной деятельности и конкуренции, а также разработки системы стандартов, которая будет удовлетворять интересам участников рынка и европейских органов государственной власти.
В то же время, несмотря на активную работу организаций и различного рода программ ЕС, в данной сфере все еще существует ряд нерешенных проблем. В частности, это касается отсутствия единой политики безопасности, которая должна отражаться в национальном законодательстве стран - членов ЕС и единых соответствующих стандартов; невозможности предо-
26 URL: http://ec.europa.eu/isa/actions/index_en.htm (дата обращения:
09.05.2012).
ставления услуг бизнесу и гражданам европейским электронным правительством, государственными администрациями на основе интероперабельных технологий.
В нашей стране первоочередной задачей в области реализации информационного общения, в том числе предоставления государственных услуг, и развития электронного государства является создание основного документа - стандарта по интеропе-рабльности, в котором были бы зафиксированы терминология, эталонная модель и порядок достижения интероперабельности. Кроме того, масштаб деятельности в этой сфере несопоставим с работой, проводимой в ЕС. Многими зарубежными организациями активно ведутся исследования для систем различных классов, разрабатываются концептуальные документы, содержащие многоуровневую модель интероперабельности и предусматривающие последовательность действий для достижения интер-операбельности.
На основании вышеизложенного можно утверждать, что общемировая проблема интероперабельности еще далека от своего решения. В частности, требуется уточнение термина «инте-роперабельность»; классификация видов и моделей интеропера-бельности; выбора объектов стандартизации.
