Что возмутило юристов или Замечания к методике проведения внутреннего расследования

Аватар пользователя УЦ Информзащита
Автор: Учебный центр Информзащита, Учебный центр "Информзащита"

В качестве преамбулы к посту нам в очередной раз хотелось бы рассказать немного о наших преподавателях. Наши преподаватели - они ведь не просто преподаватели; они - люди, переживающие за профессию. Они радуются за успехи своих слушателей и расстраиваются, когда коллеги-"безопасники" ведут себя не вполне профессионально. Они готовы помочь в сложном случае, ответить на интересующие вопросы, направить, подсказать, поддержать... Вы, главное, не стесняйтесь обращаться: пишите, звоните, приходите.

Это, конечно же, все присказка, главное - впереди:

"Не верю!"- процитировал Станиславского наш преподаватель Игорь Собецкий, когда прочитал пост Игоря Агурьянова http://bis-expert.ru/blog/4847/45415

Опубликованный Игорем Агурьяновым «Порядок проведения внутреннего расследования» (далее – Порядок) вызывает некоторое недоумение. Предложенная схема внутреннего расследования заставляет сомневаться в достижении конечной цели такого расследования – успешной защите интересов компании. В этой связи не случайно, что «Юристы в состав Комиссии входить отказались» – не всем нравится участие в театрализованном представлении. Попробую коротко описать, что так возмутило юристов.

В ходе расследования обстоятельств разглашения конфиденциальной информации, как представляется юристу, необходимо установить и собрать надлежащие доказательства следующих фактов:

·         некоторая информация на самом деле является конфиденциальной, то есть на нее распространяется режим защиты коммерческой тайны, установленный законом № 98-ФЗ от 29.07.2004 «О коммерческой тайне»;

·         данная информация на самом деле была разглашена, то есть целенаправленно, с прямым умыслом, передана третьим лицам либо к ней был обеспечен доступ неограниченного круга посторонних лиц;

·         предыдущее действие было совершено конкретным работником компании, получившим доступ к данной информации с соблюдением всех процедур, установленных законом № 98- ФЗ.

В рамках описанных в Порядке процедур достичь этих целей не представляется возможным. Во-первых, в перечне документов, которые, по мнению автора, должны быть собраны в ходе служебного расследования, отсутствуют какие-либо документы о режиме коммерческой тайны в организации. В частности, отсутствуют копия приказа генерального директора организации о введении режима коммерческой тайны, положение о коммерческой тайне, перечень сведений, составляющих коммерческую тайну организации, заключение начальника соответствующего подразделения о том, что конкретные разглашенные факты подпадают под такой-то пункт этого перечня. Отсутствуют копии должностных инструкций работников с пунктами о защите коммерческой тайне и любых регламентных документов о практических мерах по защите конфиденциальной информации в организации. При таком положении вещей в случае судебного разбирательства не доказан сам факт существования коммерческой тайны в организации, решение суда в пользу работника практически предопределено.

Во-вторых, в ранее упомянутом перечне документов режет глаз «Экспертное заключение». Условия назначения и производства экспертизы детально прописаны в Гражданском процессуальном кодексе, данное заключение экспертным быть не может по определению. В принципе можно назвать этот документ заключением о результатах служебного расследования или заключением специалиста, с условием, что автор заключения не состоит в штате организации, то есть не находится от нее в служебной или иной зависимости. Если же документ составлен начальником собственного подразделения информационной безопасности, то он просто продублирует – полностью или частично – описанное в Порядке «Заключение Комиссии по результатам расследования».

В-третьих, все служебное расследование, в представлении автора, построено на объяснениях – то есть по сути показаниях – подозреваемого разгласителя коммерческой тайны. Это обстоятельство вызывает навязчивое видение пресловутого сферического коня в вакууме, любимого домашнего животного нерадивых студентов. Просто замечательно, когда личность разгласившего конфиденциальную информацию известна заранее. А если нет? Конечно, если в компанию поступит нотариально заверенное заявление работника, что он разгласил ее коммерческую тайну, или еще лучше, подписанный этим работником договор купли-продажи конфиденциальной информации с распиской в получении денег, то дело в шляпе. Но на практике так бывает далеко не всегда. Между тем в Порядке ничего не говорится о методах установления лица, разгласившего коммерческую тайну организации. Силами начальника подразделения информационной безопасности организации в общем случае выяснение личности разгласителя невозможно.

Разумеется, в некоторых частных случаях факт и виновник разглашения будут очевидными. Например, если работник переслал конфиденциальную информацию по служебной электронной почте прямо из офиса компании. Или огласил информацию, составляющую коммерческую тайну, вслух на какой-либо конференции при большом стечении народа. Тогда выявить виновника будет легко. Но как быть, если ситуация окажется несколько сложнее? В общем случае?

Общий случай – это когда подозреваемый добровольно не признал факта разглашения коммерческой тайны и не оставил исчерпывающих доказательств этого действия. Работник Пупкин неоднократно копировал служебную информацию на flash-накопитель? Да, копировал и носил на другой этаж показать коллеге, тот тоже имеет допуск. Из офиса накопитель не выносил, мамой клянусь! Конфиденциальная информация размещена в сети Интернет на личной страничке работника Хлюпкина? Так он ничего и не знает про эту страницу, это враги ее открыли. В нашей стране авторство т.н. личной странице в социальной сети или блога никак юридически не доказано. Если работник отрицает принадлежность данного информационного ресурса, доказать обратное в рамках гражданского судопроизводства практически невозможно. У комиссии по расследованию может быть один или несколько «подозреваемых», но без их признания что-либо доказать не представляется возможным.

В-четвертых, в Порядке никак не описан механизм получения и закрепления иных доказательств, кроме объяснения чудом выявленного нарушителя и, возможно, других работников организации. Изымать лог-файлы, анализировать журналы средств защиты информации и проч. В рамках заседаний комиссии будет как минимум затруднительно. Кроме того, специалистам организации доступна далеко не вся существенная информация. Многие данные, например, лог-файлы провайдерской компании, невозможно получить без предварительных юридических процедур. Про эти процедуры в Порядке ничего не написано.

В-пятых, при наличии в организации внятного регламента защиты коммерческой тайны, ее разглашение является уголовным преступлением. Ответственность за «незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе» чётко прописана в статье 183 Уголовного кодекса РФ. Причем, в соответствии со статьёй 20 Уголовно-процессуального кодекса РФ, уголовные дела по статье 183 относятся к делам публичного обвинения, то есть должны возбуждаться и расследоваться правоохранительными органами даже при отсутствии заявления потерпевшего. Таким образом, автор Порядка предлагает воистину новое слово в юриспруденции – служебное расследование уголовного преступления. Интересно, можно ли теперь ожидать появления Порядка служебного расследования убийства в офисе или Порядка служебного расследования торговли наркотиками в офисе компании? Разумеется, с непременным увольнением убийц и наркоторговцев из компании. А чего, зачем нам полиция, мы сами с усами!

При таком положении вещей нормальной защитной реакцией любого работника компании, обвиненного в разглашении конфиденциальной информации, будет демонстрация Комиссии по служебному расследованию Уголовного и Уголовно-процессуального кодексов и предложение обратиться в полицию или не отрывать его от работы. Если это предложение будет отклонено, то служебное расследование по факту уголовного преступления немало повеселит суд. Результат судебного разбирательства опять-таки будет предсказуем.

Сформулирую некоторые выводы по результатам анализа Порядка. Увы, далеко не всё в этом мире можно постичь эмпирически, без специальных знаний. Сделать садовую тележку на одной интуиции еще можно, а вот автомобиль уже вряд ли. Поэтому, прежде чем внедрять подобный Порядок в вашей организации, лучше изучить накопленный к настоящему моменту в России опыт правовой защиты интересов компаний. Например, ознакомившись с судебной практикой по этому вопросу, или проконсультировавшись со специалистами-практиками, или пройдя соответствующе обучение. В этом случае результат будет более полезен для вашей компании.

И второе. В российских компаниях часто встречаются попытки подменить российское законодательство внутренними нормативными документами, как бы смешно это ни смотрелось. Такие попытки ни разу не приводили компанию к успеху. Иллюзия рушилась при первом же столкновении с государственными контролирующими либо правоохранительными органами. Обломки же иллюзии больно ранили доверчивых бизнесменов – проигранными процессами, штрафами, в тяжёлых и запущенных случаях даже уголовными делами. Не стоит пополнять ряды сам себе юристов, лучше всё-таки постичь российские законы и действовать в соответствии с ними.

 

Оцените материал:
Total votes: 683
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя aframiy

Коллеги, приглашаю к дискуссии: http://aguryanov.blogspot.ru/2014/10/blog-post_30.html

up
8 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.