Законодательство не поспевает за прогрессом

Некоторое время назад мне удалось взять очень интересное интервью. Или, правильнее сказать, обсудить пересечение IT-проблематики с юридическими вопросами. Как выяснилось, компьютерный прогресс вовсе не обеспечен соответствующим законодательством. Более того, использование многих интересных IT-решений в реальном мире попросту незаконно - по крайней мере, в нашей стране (но отнюдь не только в ней).

Моим собеседником был полковник милиции, он же - профессор юриспруденции и весьма высокопоставленный милицейский начальник. Именно по последней причине он и попросил, чтобы его фамилия в газете не называлась. Впрочем, из-за этого интервью менее интересным не стало.

- Итак, первый вопрос. Вот у меня есть смартфон с большим объемом памяти (конкретный Sony Ericsson Vivaz Pro с 16 Гб памяти на борту). А вот - очки со встроенной видеокамерой (YAGA OMV-30) или альтернатива им - крепимая к уху гарнитура с видеокамерой (Looxcie). Оба устройства способны передавать на смартфон видео- и аудиосигнал по Bluetooth. При достойном объеме памяти смартфона появляется возможность попросту "конспектировать", записывать каждый день своей жизни. Проснулся, помылся, оделся, надел очки YAGA OMV-30, положил в карман смартфон, - и понеслась. Валерий Георгиевич, как Вы относитесь к такому решению?

- А для чего это всё?

- Ну, предположим, хватает меня милиция на улице и говорит: "Ты вчера в зоопарке слона из пулемета убил, теперь тебе 100 лет тюрьмы светит!". А у меня - полная видеозапись вчерашнего дня, и там видно, что в зоопарке я не был.

- Ну, с точки зрения закона тут та же самая ситуация, что и с обычным диктофоном. То есть ты можешь вести запись, но ты должен сперва предупредить своего собеседника о том, что ваш разговор записывается, и получить его согласие на запись. И это согласие тоже должно быть зафиксировано, записано.

Конечно, в публичном месте (скажем, в автобусе или в магазине) никого предупреждать не надо. Но если ты пришел в кабинет к чиновнику - ты сперва обязан его предупредить, что ведется запись, и получить согласие. Думаю, ты долго будешь объяснять ему, каким образом и что ты записываешь.

Кроме того, есть ситуации, когда видеозапись вести запрещено. Ну или просто неэтично, если уж на то пошло. И в данном случае, если сотрудник милиции видит, что ты снимаешь происходящее видеокамерой или мобильником, он попросит тебя прекратить. Но по твоим снимающим очкам он ничего не поймет. А значит, ты нарушишь закон, пусть, возможно, и невольно.

В целом же, конечно, обеспечить себе алиби подобным образом вполне реально. Хорошее средство для параноиков XXI века.

- Другая ситуация. Сейчас многие коммерческие организации и даже госструктуры охотно включают в свои локальные компьютерные сети т.н. DLP-системы (Data Leak Prevention), то есть системы автоматического слежения за IT-активностью сотрудников. Такие системы обеспечивают защиту от утечек конфиденциальной информации из информационной системы. DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. В случае попытки украсть данные или иным образом нарушить политику IT-безопасности этот инцидент фиксируется, а соответствующая информация передается службе безопасности. Насколько все это законно?

- Совершенно незаконно. Анализ (пусть даже автоматический) переговоров, переписки сотрудников по электронной почте или ICQ - это вмешательство в их личную жизнь. Ну вот представь: одна сотрудница сообщает другой, скажем, что у нее задерживаются месячные. Но это же совершенно личная информация! И никакой работодатель не вправе ее отслеживать - ни автоматически, ни с участием специальных сотрудников.

- Но иначе, получается, сотрудник сам нарушает правила компании, используя ее имущество и ресурсы в личных целях?!

- Да, это так. Но это уже забота отдела кадров. У них свои методики для определения неправомерного поведения сотрудников. А контроль за личной перепиской, пусть даже в корпоративной сети или в Интернете с использованием служебного ПК и доступа в Интернет, - это нарушение закона, вторжение в личную жизнь. То есть возникает ситуация, когда работник нарушает внутренние правила, а работодатель - закон. Это разные вещи.

Контроль за личной перепиской, пусть даже в корпоративной сети или в Интернете с использованием служебного ПК и доступа в Интернет, - это нарушение закона, вторжение в личную жизнь.

- А если сотрудник действительно воровал секретные данные, и DLP-система это выявила?

- Тогда все еще хуже. Потому что доказательства, собранные незаконным способом, не признаются в суде.

- Третья ситуация. Следственные органы конфискуют компьютер у подозреваемого в киберпреступлениях. Специалист садится и начинает его просматривать в поисках доказательств хакерской деятельности. У меня винчестер в ноутбуке - 250 Гб, просматривать все файлы "вручную" придется минимум неделю.

Однако такой анализ содержимого жесткого диска - это тот же обыск квартиры. А на обыск, как известно, приглашаются понятые. То есть свидетели, которые могут потом подтвердить, что милиционеры ничего не подбросили подозреваемому. Как быть в случае с компьютером? Кто подтвердит, что в милиции не записали ничего на жесткий диск подозреваемого в хакинге? Будут ли найденные хакерские инструменты доказательством в суде, если их нашли на ПК не при свидетелях?

- В данном случае мы попадаем в ситуацию, по-латыни называемую Extra Jus. То есть оказываемся на территории, которая не регулируется правовыми актами. Проще говоря, ныне существующие законы не дают четкого ответа на твой вопрос. Все будет зависеть от конкретных судьи, прокурора и адвоката, от действий следователей и от самого преступления. Думаю, судье на таком судебном процессе придется нелегко. Особенно если со стороны обвиняемого не будет чистосердечного признания, а адвокат у него окажется достаточно сообразительным.

Виктор ДЕМИДОВ