«Авторское право - один из старейших компонентов правового регулирования интеллектуальной собственности. Его зачатки встречаются еще в глубокой древности, ибо человеку творческому всегда было свойственно защищать свое авторство на созданное произведение» . Признаваемые и защищаемые в Российской Федерации объекты авторского права и смежных прав зафиксированы в ст. 1259 ГК РФ: объектами авторских прав являются произведения науки, литературы и искусства независимо от достоинств и назначения произведения, а также способа его выражения.

Правовое регулирование результатов интеллектуальной деятельности в целом и объектов авторского права в частности нацелено не только на регулирование отношений между авторами произведений и иными правообладателями, но и на исключение случаев, когда использование произведений осуществляется неправомерными способами.

Стоит особо отметить, что авторское право обеспечивает охрану произведений - объективно выраженных результатов творческой деятельности авторов[1] [2]. Считается, что в результате бурного развития информационных технологий огромное количество объектов авторского права приобрели электронную объективную форму, поэтому более подробное рассмотрение особенностей электронной формы объектов авторского права и смежных прав представляется необходимым в рамках настоящего исследования.

Классическая материальная форма произведения может быть выражена в виде напечатанной книги, диска с записью концерта, копии программы для ЭВМ или базы данных. Как справедливо отмечает Кобыляцкий Д.А., оригинал или экземпляр произведения может существовать в объективной форме и на носителе информации. Носитель информации используется компьютером для записи, хранения и воспроизведения информации и может представлять собой магнитный или оптический диск, либо запоминающий кристалл. Произведение, выраженное в объективной форме, опосредуется в виде файла либо их совокупности, то есть использование результата творческой деятельности автора, выраженного в электронной форме, организовано с помощью электронной вычислительной

137

машины .

При этом стоит отметить, что сфера распространения электронных произведений значительно шире распространения при использовании облачных технологий. Произведение в электронной форме также может представлять собой объект материального мира. Таким образом, можно сделать вывод о том, что произведение в электронной форме может быть использовано и как объект материальный, и распространяться при использовании облачных технологий.

Важным аспектом использования объектов авторского права является вопрос о неправомерном распространении произведений. Формально подобное использование существует тогда, когда автор или иной правообладатель не предоставил (не передал или не осуществил отчуждение) права на использование РИД третьему лицу на основе соглашения, договора, выраженного согласия или совершения предусмотренных применимым правом действий, а третье лицо при этом использует РИД. Неправомерное использование возникает также тогда, когда третье лицо не соблюдает условий использования интеллектуальной собственности, когда применимое право допускает подобное использование без согласия правообладателя. [3]

В объективной же форме такое использование осуществлялось ранее чаще всего копированием и репродуцированием, то есть тиражированием, воспроизведением, иным распространением объектов авторского права. Иными словами право в сфере интеллектуальной собственности исходило из факта физического воспроизведения произведений. Независимо от форм и способов осуществления подобных действий, именно они в большинстве случаев составляют существо нарушений в сфере права интеллектуальной собственности. Однако развитие информационных технологий изменило способы совершения подобных правонарушений.

По мере того, как совершенствовались технологии копирования и распространения информации, физическое копирование с пугающей быстротой стало уступать место цифровому копированию. В настоящее время легко происходит обмен весьма значительным количеством объектов авторского права, включая передачу на большие расстояния (в том числе, с использованием облачных технологий), где границы стран, а, следовательно, и применимого права, размыты.

Неизбежно встает вопрос о том, насколько допустима подобная передача информации и произведений с точки зрения применимого права. Распространение произведений при использовании облачных технологий ограничено теми же требованиями применимого законодательства, что и при распространении в обычной жизни.

Нельзя сказать, что ситуация в целом была проигнорирована правом. Однако нельзя также сказать, что в праве на сегодняшний день отражены все случаи - особенно, когда используются самые современные технологии, такие как облачные вычислительные технологии.

Специфика и область применения непосредственно влияют на решение вопросов о правовой охране произведений, создаваемых, размещенных, хранящихся или передаваемых с применением облачных технологий.

Указанные выше обстоятельства оказывают прямое влияние на возникновение вопросов об использовании и копировании объектов авторского права в соответствии с применимым правом. В настоящее время эти вопросы сохраняют дискуссионный характер и не имеют окончательного решения.

В общем виде указанную проблему можно обозначить как вопрос правового регулирования распространения РИД при использовании облачных технологий в ряде стран, а именно в США, странах-членах ЕС и Российской Федерации.

В эпоху становления авторского права и иного права, регулирующего интеллектуальную собственность, исходным моментом было то, что правовая охрана РИД должна быть нацелена на недопустимость неправомерного копирования и использования. Неслучайно, что правовое регулирование исключительных прав на произведение получило и до сих пор сохраняет термин «copyright» - (англ.) право на копирование.

Этот термин восходит к первому акту подобного рода - Статуту королевы Анны - акту о поощрении учёности путём наделения авторов и покупателей правами на копирование печатных книг на нижеуказанный период времени .

Статут впервые определил, что «копирование есть «полномочная свобода печатать и перепечатывать» книгу, и эта свобода могла быть нарушена всяким, кто печатал, перепечатывал или импортировал книгу без согласия (правообладателя - прим. автора)» .

Так, Бернская конвенция по охране литературных и художественных произведений от 9 сентября 1886 г. (далее Бернская конвенция) была нацелена на исключение ситуации, когда правообладатель не мог воспрепятствовать публикации его произведения в другой стране, отличной от страны, где он проживал (был гражданином), или где было создано (опубликовано) произведение. [4] [5]

До Бернской конвенции применимое законодательство не препятствовало копированию и распространению произведений в странах, отличных от страны жительства (гражданства) автора или страны создания (публикации), без согласия и выплат автору. Тем самым, издатели могли получать выгоду, фактически пользуясь результатами чужого умственного труда: «До Бернской конвенции произведение, созданное в одной стране, имело правовую защиту только в ней и нигде более. Так что произведение могло быть воспроизведено и распространено в другой стране, и это не являлось бы правонарушением в сфере исключительных прав. Но это больше невозможно для стран-участников (Конвенции - прим. автора)»[6].

Похожая ситуация имела место в отношении промышленной собственности.

Парижская конвенция по охране промышленной собственности от 20 марта 1883 г. ранее похожим образом устранила несправедливость подобного состояния дел. Регистрация товарных знаков, знаков обслуживания, патентная система, а также охрана промышленных образцов и изобретений, фирменных наименований делали копирование или использование подобной интеллектуальной собственности без согласия правообладателя в рамках стран- участников Парижской конвенции незаконной.

В современных условиях РИД - это, зачастую, информация, имеющая особую правовую охрану. Наряду с такой информацией особая защита предоставляется персональным данным и конфиденциальной информации.

Обозначенные нормы применимого права хорошо работают в случаях, когда эта информация выражена на физическом носителе: произведение опубликовано в виде книги, картины, фотокарточки, товарный знак, знак обслуживания нанесен на товар, дизайн и ноу-хау хранятся на материальных носителях и помечены как закрытая для несанкционированного доступа

информация. В новом цифровом мире, когда информация оторвана от носителя, с применением подобных правил возникают проблемы. Это связано также с тем, что в отношении различных объектов интеллектуальной собственности применяются различные правила.

Одной из главных особенностей распространения информации и объектов авторского права при использовании облачных технологий является то, что произведение может быть создано в рамках использования облачного сервиса. Таким образом, можно поделить все объекты на две основные группы: объекты авторского права, созданные без применения облачных технологий и загруженные в «облако» пользователем, и объекты авторского права, созданные при использовании облачных технологий.

Принадлежность информации, создаваемой пользователем или пользователями заказчика в процессе использования облачного сервиса, будет зависеть от типа информации, также как, в определенной степени, и от того, где она была создана. Если мы говорим о праве интеллектуальной собственности, то тип объекта и место его создания могут иметь важное значение. Кристофер Миллард приводит следующий пример[7]: предположим, теоретически, что клиент проживает в Англии и авторы, нанятые клиентом, пишут отчет в Англии (подписавшей Бернскую конвенцию об охране литературных и художественных произведений). Таким образом, отчет попадает под защиту авторских прав как литературная работа во всех странах Бернской конвенции. Так как авторы являются сотрудниками клиента, авторское право на созданное произведение обычно принадлежит клиенту[8].

Авторское право на произведение возникает тогда, когда произведение создано (что в соответствии с Английским законодательством означает «в момент, когда оно записано»[9]). Тем не менее, использование облачных вычислений вносит неясность в то, где произведение было создано. Запись могла быть

осуществлена на одном из серверов провайдера, который вполне может находиться за пределами Англии, или она могла быть изначально создана и записана на мобильном устройстве, используемом одним из сотрудников клиента за пределами Англии. Вероятно, большинство юрисдикций будут считать, что работа создана, когда она впервые записана[10] [11], и если так, вопрос о том, где точно находился автор или создатель, не будет влиять на режим применения авторского

145

права на произведение , хотя это может иметь значение в других ситуациях.

Например, работа может быть создана в юрисдикции, накладывающей требования о формальностях на работы, созданные в такой юрисдикции. Похожий вопрос недавно возник в деле "Moben" против "335 LLC". Графическая работа была загружена на сервер в Германии, с которого она немедленно стала доступна по всему миру. Ответчик предстал перед судом в США и утверждал, что первая публикация была осуществлена в США, в соответствии с чем дело не может быть открыто до того, пока истец не зарегистрирует авторское право на работу в США. Суд счел, что первая публикация произошла на сервере, на который работа была загружена, а этот сервер находился в Германии. Если бы соответствующим критерием было то, была ли работа создана в США, суд, скорее всего, воспользовался бы этим подходом и счел, что она была создана в США.

На первый взгляд трудностей в определении авторства на базу данных не существует. Создатель - английская компания, и если база данных записана на сервере, расположенном в стране-участнице Европейского союза, не возникает вопроса о том, существуют ли авторские права на базу данных, пока такая база данных отвечает другим требованиям по защите[12]. А что, если сервер расположен в США?

База данных состоит из фактологической информации, и если в ее структуре не присутствуют элементы творчества, в соответствии с решением Верховного суда США по делу Feist база данных не охраняется авторским правом в соответствии с законодательством США. Стоит отметить, что, если база данных охраняется авторским правом, это предоставляет правообладателю право судебной защиты во многих случаях несанкционированной выгрузки или повторного использования, имевших место в государстве-участнике Европейского Союза, но, конечно, не предоставляет никакого средства судебной защиты в связи с указанными действиями, если такие действия произошли в США, где база данных не охраняется авторским правом.

Чтобы существовало авторское право на базу данных, Директива 96/6/ЕС Европейского Парламента и Совета «О правовой охране баз данных»[13] [14] [15] должна интерпретироваться следующим образом:

«Создание» происходит в месте физического нахождения создателя, вне зависимости от географического расположения места, в котором происходит запись базы данных. Формулировка статьи 11(3) относительно "созданных в третьих странах" баз данных говорит о том, что у "создания" есть географическое положение. Тем не менее, этот факт не является существенным при принятии решения о том, имеет ли значение местоположение создателя или место записи (при этом маловероятно, что в момент вступления Директивы в силу законодатели предполагали, что эти два места могут не совпадать).

При условии, что место, в котором происходит "создание", не имеет юридического значения, остается вопрос: является ли создатель гражданином или постоянным резидентом государства-участника Европейского Союза в соответствии со статьей 11 (1) и (2). Этот подход мог бы привести к

возникновению, в некотором роде, неожиданных последствий, например: гражданин Великобритании, проживавший несколько лет в качестве постоянного резидента в Китае и создавший базу данных, получит преимущество от авторского права на базу данных в случае, если несанкционированная выгрузка или повторное использование будет иметь место в стране Европейского союза. В соответствии с формулировкой Статьи 11 (3) можно было бы предположить, что эта интерпретация не подразумевалась, а статья 11(3) применима только к взаимному признанию эквивалентных прав, предоставленных третьими странами, и, таким образом, географическая формулировка могла бы относиться только к этому разделу.

До того, как этот вопрос дойдет до рассмотрения судами, если дойдет вообще, будет существовать неопределенность относительно того, получает ли база данных, записанная на сервер вне Европейского союза, какую-либо защиту авторских прав, и возникают ли у ее создателя авторское право и смежные права.

Сложные географические вопросы и вопросы относительно юрисдикции возникают и в случае с автоматическим отчетом о финансовой деятельности, так как не существует единого международного мнения насчет того, получают ли такие отчеты охрану. Английское законодательство, безусловно, защищает отчет как литературную работу. Скорее всего, она будет приравнена к авторской работе на основании того, что английский клиент использовал бухгалтерское программное обеспечение как инструмент для создания отчета. Такой ход размышлений был использован в деле "Express Newspapers pic" против "Liverpool Daily Post & Echo plc",[16] когда суд постановил, что автором сетки букв, использовавшихся для розыгрыша призов, был программист, написавший программное обеспечение, используемое для создания этой сетки. В этом случае автор действительно написал и использовал программное обеспечение, тогда как в нашем примере клиент просто изменил бы настройки программного обеспечения для установки дат, в которые должны создаваться отчеты, а также информацию, которую они должны будут содержать - соответственно, программное обеспечение

будет продолжать создавать отчеты, пока не будут изменены настройки. Этот вклад в процесс настолько мал, что суд может затрудниться определить элемент труда, навыка или усилия, требуемые английским законодательством для установления авторства.

В таком случае английское законодательство все же будет защищать отчет как созданную компьютером работу в соответствии с разделом 9 (3) Закона о защите авторских и патентных прав, а также прав в области конструкторских изобретений 1988 г. Автором будет «человек, осуществивший подготовительные мероприятия, необходимые для создания работы». Хотя провайдер осуществил многое из необходимой подготовительной работы, предоставив доступ в облако и программное обеспечение, мы полагаем, что английский суд определил бы деятельность клиента по настраиванию программного обеспечения как окончательный, и, таким образом, необходимый шаг, хотя этот вопрос пока не доходил до рассмотрения суда.

В большинстве юрисдикций не существует понятия работы (произведения), созданного компьютером, а значит, решение о том, применимо ли авторское право к отчету, будет зависеть от мнения местного суда в отношении того, является ли клиент автором, всего лишь использующим программное обеспечение как инструмент. Даже если это является авторством в одной конкретной юрисдикции, авторские права на отчет все же могут не подлежать защите, так как в нем недостаточно творчества, чтобы быть признанным самостоятельной работой.

К сожалению, договорное право не проясняет такие неопределенности. В Условиях предоставления услуг может утверждаться, что некоторые категории созданной клиентом информации защищены авторским правом или правом на базы данных. К сожалению, сюда не будут включены права на интеллектуальную собственность - с правовой точки зрения они не присущи информации. Такой термин в договоре будет, безусловно, обязательным для исполнения поставщиком и клиентом, но его правовое значение останется неопределенным. В соответствии с применимым законодательством этот термин может быть сформулирован как

обещание относиться к информации клиента, как если бы заявленные права на интеллектуальную собственность существовали, а в таком случае провайдер, не выполнивший обещание, нарушил бы договор. В ином случае, термин мог бы использоваться для лишения второй стороны права оспаривать какие-либо факты, не позволяя провайдеру отрицать факт существования интеллектуальных прав, но этого может быть недостаточно для того, чтобы клиент получил право подавать иск против провайдера[17].

По мере того, как развивались соответствующие технологии, в применимом праве находили отражение правила о недопустимости обхода технических средств защиты, которые нацелены на искоренение неправомерного копирования и использования объектов авторского права, баз данных, компьютерных программ и установление ответственности за подобные действия. Наиболее детально этот вопрос решен в авторском праве.

Необходимо отметить, что обход технических способов защиты может являться как первичным нарушением прав (англ. direct infringement), так и ведущим к такому нарушению (англ. inducing) или вторичным нарушением (англ. Secondary infringement) исключительных прав. Эта типология распространена в правовой системе США, однако она также отражена и в континентальном праве.

Как следует из статьи 11 Договора ВОИС об авторском праве от 20 декабря 1996 года («Обязательства в отношении технических мер») (далее также Договор), участники Договора «предусматривают соответствующую правовую охрану и эффективные средства правовой защиты от обхода существующих технических средств, используемых авторами в связи с осуществлением их прав по настоящему Договору или по Бернской конвенции и ограничивающих действия в отношении их произведений, которые не разрешены авторами или не допускаются законом».

Статья 12 Договора также устанавливает, что участники Договора «предусматривают соответствующие и эффективные средства правовой защиты в

отношении любого лица, намеренно осуществляющего любое из следующих действий, зная или, в связи с применением гражданско-правовых средств защиты, имея достаточные основания знать, что такое действие будет побуждать, позволять, способствовать или скрывать нарушение любого права, предусмотренного настоящим Договором или Бернской конвенцией:

устранение или изменение любой электронной информации об управлении правами без разрешения;

распространение, импорт с целью распространения, передачу в эфир или сообщение для всеобщего сведения без разрешения произведений или экземпляров произведений, зная, что в них без разрешения была устранена или изменена электронная информация об управлении правами (информацию, которая идентифицирует произведение, автора произведения, обладателя какого-либо права на произведение или информацию об условиях использования произведения, а также иную информацию, которая связана с распространением

152

экземпляра произведения или его распространением в публичном доступе)»

Положения Договора нашли свое отражение и в национальном законодательстве. Так, часть 4 Гражданского кодекса Российской Федерации воспроизвела формулировки Договора с рядом уточнений. В частности, дается определение технических средств защиты (ст. 1299 ГК РФ): «Техническими средствами защиты авторских прав признаются любые технологии, технические устройства или их компоненты, контролирующие доступ к произведению, предотвращающие либо ограничивающие осуществление действий, которые не разрешены автором или иным правообладателем в отношении произведения».

Пункт 2 ст. 1299 и ст. 1300 ГК РФ устанавливают следующие запреты на:

осуществление без разрешения автора или иного правообладателя действий, направленных на то, чтобы устранить ограничения использования произведения, установленные путем применения технических средств защиты авторских прав; [18]

изготовление, распространение, сдача в прокат, предоставление во временное безвозмездное пользование, импорт, реклама любой технологии, любого технического устройства или их компонентов, использование таких технических средств в целях получения прибыли либо оказание соответствующих услуг, если в результате таких действий становится невозможным использование технических средств защиты авторских прав либо эти технические средства не смогут обеспечить надлежащую защиту указанных прав;

удаление или изменение без разрешения автора или иного правообладателя информации об авторском праве;

воспроизведение, распространение, импорт в целях распространения, публичное исполнение, сообщение в эфир или по кабелю, доведение до всеобщего сведения произведений, в отношении которых без разрешения автора или иного правообладателя была удалена или изменена информация об авторском праве.

Схожие положения предусмотрены и в отношении объектов смежных прав, например, баз данных (ст. 1309, 1310 ГК РФ). Исходя из формулировок ГК РФ, почти во всех случаях обход технических средств защиты объектов авторских и смежных прав по ГК РФ является правонарушением и не допускается.

Впрочем, ГК РФ не определяет, что устройства по обходу технической защиты, направленные на копирование, являются недопустимыми. Представляется, что по общему смыслу нормы ГК РФ нацелены на недопущение оборота незаконно полученных или изготовленных экземпляров, поэтому правомерное копирование допускается.

Как следует из Директивы «О гармонизации некоторых аспектов авторских и смежных прав в информационном обществе» 2001/29/ЕС (т.н.

Директива InfoSoc, далее Директива), п.3 ст. 6, под технологическими мерами следует понимать любую технологию, устройство или компонент, который в [19] нормальном своем использовании предназначен для предотвращения или недопущения действий в отношении произведений, в отношении которых (действий) в соответствии с законодательством требуется разрешение правообладателя.

ГК РФ содержит аналогичное пункту 1 ст. 7 Директивы правило о том, что недопустимо:

удаление или изменение без разрешения автора или иного правообладателя информации об авторском праве;

воспроизведение, распространение, импорт в целях распространения, публичное исполнение, сообщение в эфир или по кабелю, доведение до всеобщего сведения произведений, в отношении которых без разрешения автора или иного правообладателя была удалена или изменена информация об авторском праве.

Кроме того, статья 1299 ГК РФ предусматривает ответственность за обход технических средств защиты авторских прав, а статья 1309 ГК РФ - технические средства защиты смежных прав.

Однако в отличие от ГК РФ указанный пункт Директивы содержит правило стандарта вины, которое гласит, что подобные действия недопустимы, когда лицо, их осуществляющее, «знает или имеет разумные основания, чтобы знать, что такими действиями оно вызывает, допускает, исполняет или маскирует нарушение авторских и исключительных прав».

Директива ЕС прямо запрещает обход технических средств защиты, связанных как с доступом к произведению, так и с его копированием.

В США Закон о копирайте (Copyright Act, United States Code/Title 17)[20] был дополнен Законом об авторском праве в цифровую эпоху (Digital Millennium Copyright Act, DMCA, далее Закон)[21]. В соответствии с ним к техническим средствам защиты относятся средства защиты доступа и средства защиты от копирования.

Закон запрещает по общему правилу обход средств доступа, устанавливая за него гражданско-правовые меры ответственности. Однако подобный обход допустим, когда необходимо обеспечить работоспособность своей программы (декомпиляция), проверить эту защиту (с согласия оператора) или защиту компьютера на ошибки, установить, не собирает ли программа сведения о частной жизни, и в ряде иных случаев, в том числе устанавливаемых ведомством по копирайту.

Похожие правила также содержатся в пункте 1 статьи 95а немецкого Закона об авторском праве: «не должны обходиться примененные технологические способы защиты произведения (иного охраняемого объекта), охраняемой по настоящему Закону без согласия правообладателя, когда такой обход совершается лицом в знании или на основе разумного предположения, что такой обход осуществляется с целью доступа к произведению (иному охраняемому объекту, в частности, базы данных) или для его использования»[22].

Следует отметить, что в отношении объектов авторского права (включая базы данных и компьютерные программы) право Германии, если и не играет на опережение, устанавливая ответственность за попытку или факт обхода технологической защиты не меньшую, чем за незаконное копирование или использование, то, по крайней мере, не отстает от технологического развития.

Поэтому вопросы хранения или распространения указанных объектов посредством облачных технологий в силу указанных правил имеют больше возможностей для ответа на различные вопросы, связанные с таким хранением или распространением. И именно поэтому разрозненная практика, связанная с использованием облачных технологий, возникает именно в сфере споров, связанных с незаконным использованием данных объектов.

В США, например, в соответствии с Унифицированным актом о секретах производства, к ненадлежащим способам получения доступа к секретам производства относится «шпионаж посредством электронных средств» (espionage by electronic means) . Гражданское законодательство США никак не освещает вопрос применения технических средств защиты и ответственности за их обход в отношении ноу-хау.

Особое внимание необходимо уделить такому виду РИД, как ноу-хау (секреты производства). Ноу-хау как результат интеллектуальной деятельности не имеет регистрационной защиты. Оно охраняется, прежде всего, самим обладателем ноу-хау. Допуск к секретам производства осуществляется с ведома правообладателя на основе соответствующих соглашений или в соответствии с законом.

Для определения правонарушения важно доказать неправомерное получение (или получение недопустимыми способами) указанной информации и соответствующий умысел на такое получение информации (в случаях, когда законодательство это учитывает). Таким образом, на сегодняшний день с точки зрения доказывания по гражданскому делу технические аспекты доступа к ноу- хау имеют мало значения.

В частности, в России установлены следующие правила. В Федеральном законе № 98-ФЗ от 29.07.2004. г. «О коммерческой тайне» (далее Закон о коммерческой тайне) режим коммерческой тайны устанавливается при соблюдении определенных мер (ч.1 ст. 10). При этом меры носят общий характер и никак не связаны с необходимостью применения технических средств защиты, хотя на сегодняшний день большая часть коммерческой и конфиденциальной информации создается, обрабатывается, хранится и передается с использованием информационных технологий, включая, безусловно, облачные технологии.

^Унифицированный акт о секретах производства, англ. - Uniform Trade Secret Act [Электронный ресурс] / Режим доступа: http://www.uniformlaws.org/shared/docs/trade%20secrets/utsa_final_85.pdf (Дата обращения: 13.08.2015)

В то же самое время ч. 4 ст. 10 Закона о коммерческой тайне указывает на возможность применения обладателем сведений, составляющих коммерческую тайну, средств и методов технической защиты.

ГК РФ в нормах, посвященных ноу-хау, не содержит упоминания о влиянии технологий или технологических средств на вопросы ответственности.

Как видно, российское законодательство в отношении ноу-хау устанавливает минимальные правила охраны. Это связано с тем, что подобная информация определяется самим обладателем ноу-хау, а, следовательно, не может быть окончательно установлена законодательно. Однако, учитывая масштаб использования облачных технологий для создания, обработки и хранения секретов производства, а также ценность ноу-хау для экономического развития и безопасности страны, представляется необходимым внести в ГК РФ изменения в части введения ответственности за использования технологий, направленных на обход средств технической защиты секретов производства.

Таким образом, представляется целесообразным дополнить ГК РФ статьей

«Технические средства защиты секрета производства (ноу-хау)» следующего содержания:

«1. Техническими средствами защиты секрета производства признаются любые технологии, технические устройства или их компоненты, контролирующие осуществление действий, которые не разрешены обладателем исключительного права на секрет производства в отношении секрета производства.

В отношении секрета производства без письменного разрешения обладателя исключительных прав на секрет производства или иного правообладателя не допускается осуществление действий, направленных на устранение ограничений использования секрета производства, установленных путем применения технических средств защиты секрета производства.

В случае нарушения положений, предусмотренных пунктом 2 настоящей статьи, обладатель исключительных прав на секрет производства вправе требовать от нарушителя возмещения убытков, причиненных таким нарушением, если иная ответственность не предусмотрена законом или договором».

Внесение указанных выше изменений является одним из важнейших составляющих развития экономики и обеспечения безопасности страны. В настоящее время «в теории и практике информационной безопасности уже начинают выкристаллизовываться два направления, которые можно определить как информационно-психологическая безопасность и защита информации» . На сегодняшний день защита информации в целом, РИД и ноу-хау в частности являются самой приоритетной задачей не только для частных компаний, но и для государства. Обеспечение безопасности только организационно-техническими методами невозможно, рано или поздно этот вопрос необходимо будет разрешать в правовом поле. В этой связи введение ответственности за обход технических средств защиты секрета производства позволит всем пользователям облачных технологий чувствовать себя более защищенными с правовой точки зрения.

Одним из важнейших аспектов использования облачных технологий сегодня является проблема обработки и защиты персональных данных граждан Российской Федерации при использовании облачных технологий, поэтому крайне важно рассмотреть этот аспект регулирования отношений в сфере облачных технологий в настоящем исследовании.

Нельзя отрицать, что в настоящее время огромный массив персональных данных обрабатывается с применением облачных технологий на самых различных уровнях, начиная с обработки в социальных сетях, заканчивая дистанционным обучением. Персональные данные заполняются при осуществлении платежей, в социальных сетях, почтовых сервисах, при регистрации практически на любом облачном сервисе, не говоря уже о том, что большое количество организаций используют облачные сервисы для ведения бизнеса, организации расчета заработной платы, обработки клиентских данных в CRM системах и во многих других случаях.

Конституция РФ, являясь главным законом страны, содержит норму, согласно которой «сбор, хранение и распространение информации о частной [23]

жизни лица без его согласия не допускается»[24]. Сегодня такое положение Конституции носит основополагающий, системообразующий характер и должно определять содержание большого числа нормативно-правовых актов разного уровня, оперирующих категориями «частная жизнь» и «персональные данные».

Положения Конституции Российской Федерации свидетельствуют о том, что в демократическом обществе главной ценностью является человек. Осознавая необходимость усиления защиты прав и основных свобод каждого человека, включая право на неприкосновенность частной жизни, Российская Федерация ратифицировала в 2005 году Конвенцию Совета Европы «Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера»[25]. Защита частной жизни человека и гражданина сегодня является одним из важнейших вопросов не только на государственном уровне, но и в рамках отдельно взятой компании.

Выделить категорию «персональные данные» из более общей категории «частная жизнь» можно, «связав это понятие с распространением автоматизированных систем обработки и хранения информации, прежде всего, компьютерных баз данных, к которым возможен удаленный доступ через технические каналы связи»[26]. Именно развитие информационных технологий, изменившее процессы структурирования, хранения и поиска информации и данных, сделало вызов всем тем, кто пытается сохранить конфиденциальность данных.

Примечательными и заслуживающими особого внимания нормативноправовыми актами являются: Федеральный закон «Об информации, информационных технологиях и защите информации», Федеральный закон «Об участии в международном информационном обмене», Глава 14 Трудового

кодекса Российской Федерации, международные стандарты по информационной безопасности и по управлению документацией, и, конечно же, Федеральный закон РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных». В целом нормативноправовая база в области защиты персональных данных основывается на Конституции РФ, международных договорах Российской Федерации, и собственно Федеральном законе РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее по тексту «закон о персональных данных»), а также других отраслевых нормативных актов, инструкций и требований регуляторов.

После ратификации Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, а именно 27 июля 2006 года был принят закон о персональных данных. Стоит отметить, что, несмотря на благую цель Закона о персональных данных - обеспечение защиты прав и свобод человека - соблюдение Закона о персональных данных в первоначальной редакции совместно с Постановлением Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"[27] было невозможно как с технической, так и с экономической точки зрения.

С момента принятия закона о персональных данных до сегодняшнего было внесено значительное количество и значимые по качеству изменения. Изменения вносились в 2009 году, дважды в 2010 году, в 2011 году, дважды в 2013, и наконец, самые известные и обсуждаемые изменения, принятые в 2014 году и вступившие в силу в сентябре 2015 года.

Считается необходимым рассмотреть основные постулаты и понятия закона о персональных данных. Так. персональные данные определяются как «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование,

профессия, доходы, другая информация», «обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных», а автоматизированная обработка данных - «обработка персональных данных с помощью средств вычислительной техники»[28].

Основной концепцией закона можно назвать положения ст. 5 («Принципы обработки персональных данных»), ст.6 («Условия обработки персональных данных») и ст.7 («Конфиденциальность персональных данных»), в этой связи считается целесообразным рассмотреть нормы закона о персональных данных более детально.

В соответствии со ст. 5 закона о персональных данных обработка персональных данных граждан Российской Федерации должна осуществляться на «законной и справедливой основе» и должна «ограничиваться достижением конкретных, заранее определенных и законных целей». Ключевое слово конечно «цель», оператор персональных данных, то есть по сути каждое юридическое лицо, индивидуальный предприниматель, государственный орган обязаны собирать и обрабатывать персональные данные граждан с определенной целью, которая должна быть заранее определена и при сборе персональных данных донесена до субъекта, более того, собирать данных больше, чем необходимо для достижения конкретной цели, запрещается.

Статья 6 закона о персональных данных определяет базовое условие обработки персональных данных - согласие субъекта, то есть гражданина, на обработку персональных данных последнего. Наличие согласия субъекта, причем согласие должно быть «конкретным, информированным и сознательным», является общим правилом, из которого есть ряд исключений, а именно: без согласия субъекта можно обрабатывать общедоступные данные, в случаях, когда обработка осуществляется на основании договора между оператором и субъектом, а также обработка для достижения целей, предусмотренных законом, иные исключения. Согласно второму, «обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи».

Считается необходимым отметить, что закон также предусматривает возможности аутсорсинга обработки персональной информации, а именно «оператор персональных данных вправе поручить обработку персональных данных другому лицу с согласия субъекта» на основании договора, при этом в поручении оператора на обработку персональных данных в обязательном порядке необходимо указывать «перечень действий (операций), которые будут совершаться..., цели обработки..., обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке».

В свою очередь ст. 7 закона о персональных данных определяет, что «операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, к защите таких данных предъявляются иные требования.

В рамках настоящего исследования необходимо особо отметить условия трансграничной передачи персональных данных граждан Российской Федерации, что при использовании облачных технологий является более чем актуально. Статья 12 закона о персональных данных говорит, что «трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.» А в случае, если оператор передает персональные данные в страны, не обеспечивающие адекватную защиту персональных данных ( к таким, например, согласно мнению Роскомнадзора относятся США), то он обязан выполнить ряд дополнительных требований.

Считается необходимым отметить, что в согласии на обработку персональных данных обязательно указываются цель обработки персональных данных, перечень самих данных и действий, которые оператор будет осуществлять с ними, а также срок, в течение которого действует согласие и порядок его отзыва. Кроме того, если субъект дает согласие на обработку персональных данных какой-нибудь американской компании, например, на получение скидочкой или клубной карты, и такая компания обрабатывает данные клиентов при использовании облачного сервиса с хостингом на территории США, что чаще всего и происходит, субъект обязан заполнить полные данные своего паспорта, включая адрес регистрации по месту жительства.

Предполагается, что сложно убедить человека, покупающего пару рубашек в магазине, написать полные данные своего паспорта на бумажке, которую потом сотрудники магазина даже не унесут в сейф, и вряд ли получится найти такой магазин, который пытается собирать правильные по форме и содержанию согласия на обработку персональных данных. Безусловно, найдутся специалисты, которые встанут на защиту добросовестных представителей бизнеса, ибо соблюдать закон в этой части представляется очень сложно и дорого, но кто защитит простых граждан, получающих бесконечное количество рекламных рассылок от неизвестных магазинов и компаний, предлагающих бессчетное число услуг.

Принимая во внимание вышесказанное, можно выделить ряд основных требований закона о персональных данных:

соблюдение интересов субъектов персональных данных при их обработке;

защита персональных данных от несанкционированного доступа к персональным данным, в т.ч. при передаче персональных данных, включая трансграничную передачу данных;

уведомление регулирующего органа об осуществлении обработки и об условиях такой обработки;

постоянный контроль за обеспечением защищенности персональных данных и соблюдением правил обработки персональных данных.

В случае несоблюдения требований законодательства в вопросах корректной обработки и защиты персональных данных, лицо, нарушившее закон, столкнется с рядом негативных последствий. Риски можно разделить на юридические, репутационные и бизнес-риски. За нарушение законодательства Российской Федерации в сфере обработки и защиты персональных данных предусматривается не только административно-правовая ответственность, но и уголовная. Так, за нарушение неприкосновенности частной жизни предусматривается штраф до 300000 рублей или исправительные работы сроком до 1 года.

Отдельного внимания заслуживают изменения в законодательстве Российской Федерации, принятые Федеральным законом от 21.07.2014 № 242-ФЗ (в редакции от 31.12.2014) «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Указанный федеральный закон вносит изменения и уточнения в три существующих закона: закона о персональных данных, закона об информатизации[29] и закона о защите прав юридических лиц и индивидуальных предпринимателей[30]. Стоит особо отметить, что изменения, внесенные обсуждаемым законом, напрямую влияют на условия и собственно возможность использования глобальных облачных сервисов.

Представляется целесообразным проанализировать все внесенные изменения последовательно. В первую очередь стоит отметить изменения в закон о персональных данных, которые обсуждались и до сих пор обсуждаются на самых разных уровнях и вызвали бурю недовольства и непонимания прежде всего у представителей бизнеса и общественности. Изменение коснулось статьи 18 закона о персональных данных «Обязанности оператора при сборе персональных данных», а именно - статью дополнили пунктом 5 следующего содержания: «при сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона». Относительно исключений хочется сразу подчеркнуть, что они касаются только случаев исполнения международных договоров Российской Федерации, исполнения правосудия, осуществления органами исполнительной власти своих функций и для осуществления профессиональной деятельности журналистов и законной деятельности СМИ, либо научной, литературной и творческой деятельности, и составляют лишь небольшой процент от всех случаев сбора персональных данных граждан Российской Федерации.

В различных СМИ изменения в закон о персональных данных трактовали совершенно по-разному, большинство комментариев и выводов были, мягко говоря, непрофессиональными. Далее представлены цитаты, максимально приближенные к сути изменений, так, например, существуют следующие мнения: «закон, обязывающий хранить персональные данные россиян на серверах в России»[31], внесли «поправки к закону "О персональных данных", которые требуют локализации персональных данных на территории России»[32], «закон обязывает сбор персональных данных россиян, в том числе и в интернете, организовать таким образом, чтобы дальнейшая их обработка осуществлялась с использованием баз данных, находящихся на территории Российской Федерации, т.е. с веб-формы сайта бронирования Аэрофлота они попадали не в облако компании Sabre, находящееся неизвестно где и в юрисдикции США, а прямо в дата-центр на территории России»[33].

Таким образом, большинство представителей бизнеса и СМИ считают, что закон обязывает не только собирать персональные данные российских граждан при использовании баз данных, находящихся на территории РФ, но и осуществлять любую дальнейшую их обработку на тех же условиях. Если мы обратимся непосредственно к тексту статьи, то там четко написано, что «при сборе ... оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных.», предполагается, что этот пункт можно толковать так: все перечисленные действия необходимо совершать с использованием баз данных, находящихся на территории РФ только в момент сбора, а как только нажимается кнопка «сохранить», процесс сбора завершен, а последующая обработка данных должна происходить в соответствии с действующим законодательством РФ, включая возможность трансграничной передачи данных для последующей обработки.

С одной стороны, такие уточнения не избавляют бизнес от существующих трудностей, и очень сложно представить ситуацию, когда сервер аэропорта в Лос- Анджелесе или Париже, куда попадают данные о регистрации российских граждан на рейс Париж-Москва, будет находиться на территории Российской Федерации или даже отправлять реплику таких данных.

Споры по поводу толкования закона идут до сих пор и единственным на сегодняшний день серьезным пояснением пусть и неполномочного органа являются разъяснения Министерства связи и массовых коммуникаций Российской Федерации (далее по тексту Минкомсвязь), которые доступны на официальном сайте[34]. Разъяснения Минкомсвязи затрагивают одно из важнейших препятствий нормальной работы интернациональных компаний, международного сотрудничества в экономической сфере и затрагивает тему возможности законного использования облачных технологий.

В первую очередь Минкомсвязь поднимает важнейший вопрос законности работы иностранных компаний, так или иначе собирающих и обрабатывающих данные российских граждан и поясняет, что в связи с трансграничным характером сети Интернет, обеспечивающей возможность приобретения товаров и услуг у иностранных лиц, возникает вопрос, при каких условиях требования измененной статьи 18 закона о персональных данных распространяются на иностранные организации, не имеющие физического присутствия на территории Российской Федерации. И поскольку закон не содержит специальных положений, регламентирующих сферу его действия по территории и кругу лиц, для решения вопроса необходимо обратиться к положениям иных законов. Так, в соответствии с ч. 1 ст. 15 ФЗ «Об информации, информационных технологиях и защите информации» на территории Российской Федерации использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства в области связи, закона об информатизации и иных нормативных правовых актов. Таким образом, действие российских законов, включая ФЗ «О персональных данных», по общему правилу, ограничено территорией Российской Федерации. Однако при осуществлении деятельности с использованием информационно-телекоммуникационной сети Интернет, которая в силу своего трансграничного, децентрализованного и виртуального характера не позволяет четко обозначить географические границы осуществления такой деятельности, необходимо установление специальных критериев, при которых она может быть отнесена к деятельности, осуществляемой на территории Российской Федерации .

В связи с этим в международном частном праве и законодательстве о защите прав потребителей[35] [36] , с которым тесно связано законодательство о персональных данных, был выработан критерий направленности деятельности лица на территорию Российской Федерации как условия применения законодательства Российской Федерации к отношениям с иностранным субъектом. Минкосвязи обозначает критерии, по которым можно определить наличие направленности деятельности на территорию Российской Федерации. К таким критериям относятся: 1) использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ш, .рф., .su, .москва., moscow и т.п.) и (или) 2) наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом (использование на сайте или самим пользователем плагинов, предоставляющих функционал автоматизированных переводчиков с различных языков не должно приниматься во внимание), а также возможности осуществления расчетов в российских рублях; возможности исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России), использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту, или

иных обстоятельств, явно свидетельствующих о намерении владельца интернет-

172

сайта включить российский рынок в свою бизнес-стратегию .

При этом Минкомсвязь в разделе «Ответы на часто задаваемые вопросы» поясняет ряд спорных моментов по толкованию закона для авиаперевозчиков и заказ товаров и услуг с использованием иностранных сайтов. Стоит ещё раз отметить, что это мнение министерства, полномочия которого - толковать применение закона о персональных данных - являются спорными, и формулировка «Считаем, что изменения <...>, не препятствуют гражданам Российской Федерации получать за пределами Российской Федерации услуги, в случае, если в их рамках обрабатываются персональные данные граждан Российской Федерации за пределами территории Российской Федерации, в соответствии с международным договором или в соответствии с федеральным законом, либо в рамках иных исключений, на которые не распространяется норма части 5 статьи 18 152-ФЗ.» вряд ли является ответом на вопрос «Смогут ли граждане РФ размещать свои ПД в удобном для них формате и пользоваться услугами, предлагаемыми на мировом рынке товаров, работ, услуг (например: туризм (бронирование), заказ товаров, банковские услуги и т.п.)?»

Еще один важный вопрос, который необходимо осветить в связи с внесением изменений в закон о персональных данных - это конфликт норм закона с ратифицированной Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года . Так, например, части 2 ст.12 предусматривает, что присоединившиеся к Конвенции страны не будут запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны Конвенции, а ст. 25 запрещает любые оговорки в отношении Конвенции. Минкомсвязь пытается освещать и этот вопрос, считая, что из совокупности норм закона о персональных данных «следует, что обработка персональных данных в [37] [38] целях и в соответствии с требованиями, установленными ратифицированной Российской Федерацией Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера не противоречит законодательству Российской Федерации, регулирующему отношения в области защиты персональных данных»[39] [40].

С одной стороны, закон о персональных данных в новой редакции способствует развитию облачных сервисов российского происхождения, строительству национальных дата-центров, развитию инфраструктуры. Так, Оливье Кессон, коммерческий директор Orange Business Services в России и СНГ, говорит, что «в последние месяцы более 85% обращений в Orange Business Services в России по размещению данных в «облаках» связаны с новым законом. Таким образом, количество обращений по сравнению с прошлым годом увеличилось приблизительно на 70%» . Но с другой стороны, закон

препятствует работе большинства компаний, предоставляющий облачный сервис в России и вводит в замешательство простых граждан, которые не понимают и не могут оценить - надежно ли бронировать авиабилеты на сайте авиакомпании в сети Интернет, оплачивать гостиницу или пользоваться любым облачным сервисом.

Во вторую очередь стоит отметить изменения в закон об информатизации, а именно добавление статьи 15.5 о создании автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных" с целю «ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных», статья устанавливает основания включения в реестр нарушителей, данные, включаемые в реестр, устанавливает право субъекта обратиться в орган исполнительной власти «с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, на основании вступившего в законную силу судебного акта»[41] [42]. Порядок внесения нарушителей в реестр выглядит не очень жизнеспособным.

Третий федеральный закон, которого коснулись изменения - это закон о защите прав юридических лиц и индивидуальных предпринимателей. Так, ст. 3 Федерального закона от 21.07.2014 № 242-ФЗ вносит дополнение в ч. 3.1. ст. 1 закона о защите прав юридических лиц и предпринимателей, что означает, что положения федерального закона от 26 декабря 2008 года N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" не применяются в случаях «контроля за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети "Интернет"» и «контроля и надзора за обработкой персональных данных» . А в этом случае получается, что участники рынка не предоставили даже официального токования закона и правил его соблюдения, но при этом контролирующие органы наделены правом проводить проверки абсолютно по любому поводу.