Свободное программное обеспечение и информационная безопасность Российской Федерации.
Проведем анализ правового регулирования отношений по обеспечению информационной безопасности Российской Федерации. Особое внимание уделяется оценке новых положений в Федеральном законе "О противодействии коррупции", направленных на установление дополнительных мер противодействия терроризму и обеспечение общественной безопасности в России. Обосновывается вывод о необходимости привлечения государственных структур к задачам поддержки развития свободного программного обеспечения и использования открытых стандартов в России. Открытость программного обеспечения обозначает открытость кодов для массового пользователя, однако объем предоставляемых прав в отношении данных кодов может быть значительно уже. Открытое программное обеспечение нельзя приравнять к свободному программному обеспечению. Обосновывается вывод о том, что невозможно обеспечить информационную безопасность страны путем использования открытого программного обеспечения и снижения зависимости от иностранных разработчиков в ситуации, когда законодательство недостаточно развито, нормативно-правовое регулирование допускает односторонний порядок расторжения договора и имеются определенные противоречия с принятыми в международном сообществе стандартами и дефинициями.
В недавнем прошлом Президент Российской Федерации Владимир Владимирович Путин подписал Федеральный закон "О внесении изменений в Федеральный закон "О противодействии терроризму" и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности", более известный под названием "Пакет Яровой".
Данное событие вызвало бурную реакцию общественности. Большое количество юристов и общественных деятелей дало негативную оценку данному Закону. Мнение противников данного Закона основано прежде всего на беспокойстве, что в результате применения данного Закона экономика России, и без того не совсем здоровая и стабильная, может быть подорвана. Как известно, реализация Закона потребует проведения масштабных инвестиций в телекоммуникационную отрасль, которые, по оценкам специалистов, должны составлять сумму порядка 4 - 5 триллионов рублей <1>. Однако подписанный Закон весьма расплывчато говорит об источниках финансирования и не гарантирует выделения бюджетных средств на проведение реформы. Кроме того, по мнению специалистов, результатом реализации Закона будет снижение информационной безопасности россиян и компаний, осуществляющих свою деятельность на территории Российской Федерации, но при этом внесенные поправки не решают проблемы информационной безопасности Российской Федерации.
<1> Код Яровой: чем грозит антитеррористический закон интернет-пользователям. http://www.rbc.ru/technology_and_media/24/06/2016/576c0a529a79471bc44d2b57.
Полагаю, что данный Закон и его влияние на экономику России, ее инвестиционную привлекательность и развитие информационных технологий еще долго будут являться предметом дискуссий <1>. Я же, как адвокат, предметом специализации которого являются сделки в области информационных технологий и защита интеллектуальной собственности, хочу остановиться лишь на одной части данного Закона - части, касающейся поправок в Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации". Согласно ст. 1 данного Закона он регулирует отношения, возникающие: 1) при осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении защиты информации.
<1> Близнец И.А. Внедрение свободных лицензий: правовая или организационная проблема? / И.А. Близнец, К.Б. Леонтьев // Копирайт. 2011. N 2. С. 61; Савельев А.И. Лицензирование программного обеспечения в России: законодательство и практика: Науч. изд. М.: Инфотропик Медиа, 2012. С. 123.
Таким образом, смею предположить, что основной целью внесения поправок в указанный Закон в рамках "Пакета Яровой" является обеспечение информационной безопасности Российской Федерации. Однако дальнейший анализ данного Закона, в частности, и гражданского законодательства Российской Федерации позволяет сделать вывод о том, что данная поправка не является комплексным решением проблемы информационной безопасности. Чтобы не быть голословной, поделюсь размышлениями, которые привели меня к данному выводу.
Согласно ст. 2 вышеназванного Закона информация - это сведения (независимо от формы их представления), а информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Данный Закон также определяет, что обладателем информации - лицом, самостоятельно создавшим информацию либо получившим на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам, может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование <1>. Согласно ст. 16 этого же Закона обладатель информации обязан обеспечить предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации, недопущение воздействия на технические средства обработки информации, в результате которого нарушается его функционирование, иначе он может быть привлечен к ответственности.
<1> Ст. 6 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
http://base.consultant.ru/cons/cgi/online.cgi?req=doc8sbase=LAW8sn=1830568sfld=1348sdst=1000000001,0&rnd=0.47239753316117006#1.
Таким образом, можно сделать вывод, что Российская Федерация является лицом, ответственным за информационную безопасность, и, соответственно, должна предпринимать все необходимые меры для ее обеспечения.
Можем ли мы говорить о том, что это обязанность, возложенная на наше государство действующим законодательством, исправно выполняется и принятие "Пакета Яровой" было последним и необходимым шагом на пути к обеспечению информационной безопасности России? Для того чтобы попытаться ответить на данный вопрос, мы можем проанализировать лишь один аспект создания государственных информационных систем - использование открытых ресурсов при создании государственных баз данных.
Началом активного обсуждения и последующего использования открытых ресурсов при разработке программного обеспечения, используемого государственными структурами, послужило выступление депутата Виктора Алксниса 11 октября 2007 г., который высказал свои опасения по поводу того, что Россия "не в состоянии защититься от кибератак со стороны Соединенных Штатов Америки", в чем, по его мнению, можно было убедиться 24 августа 2007 г., когда корпорация Microsoft осуществила массовый несанкционированный доступ в десятки миллионов компьютеров по всему миру, подключенных к Сети, включая и компьютеры российских пользователей <1>.
<1> Свободное программное обеспечение. http://archive.is/bYrD5.
Сразу после этого, в 2007 году, Центром ИТ-исследования и экспертизы Академии народного хозяйства при Правительстве РФ было проведено исследование вопроса использования свободного программного обеспечения и использования открытых стандартов, по результатам которого был опубликован сборник материалов <1>.
<1> http://www.ifap.ru/library/book370.pdf
Задачей данного исследования являлось привлечение внимания государственных структур к задачам поддержки развития свободного программного обеспечения и использования открытых стандартов в России. Одним из разделов указанного исследования являлся анализ преимуществ и недостатков использования открытых лицензий в государственных информационных системах.
Среди преимуществ были перечислены такие, как простота интеграции и высокая совместимость; создание независимости пользователя от конкретного поставщика; снижение стоимости, инвестиционных рисков и самое главное - отсутствие правовых рисков, связанных с изменением лицензии. Кроме того, был сделан достаточно категоричный вывод о том, что использование открытых стандартов позволит избежать риска полной потери контроля над данными в результате прекращения поддержки какой-либо технологии поставщиком. Необходимо обратить внимание на тот факт, что Министерство экономического развития Российской Федерации согласилось с данными выводами и приняло решение об использовании открытого стандарта электронного документа ISO/IEC 26300:2006, уже принятого в качестве национального стандарта в ряде стран, работу с которым в настоящее время поддерживают более трех десятков популярных в мире наименований свободного программного обеспечения.
Для того чтобы понять, насколько данные выводы были обоснованы, необходимо прежде всего определиться с понятийным аппаратом и понять, что подразумевается под свободным программным обеспечением, открытым программным обеспечением и открытыми стандартами.
Прежде всего необходимо отметить, что, по мнению организации Free Software Foundation, созданной с целью развития и распространения свободного программного обеспечения, понятия свободного и открытого программного обеспечения имеют значительные сходства, но не являются идентичными <1>. Согласно данному ими определению free software, или свободное программное обеспечение, происходит от слова "свобода" и означает свободу его использования, копирования, распространения, изучения, изменения и улучшения. Похожее определение свободному программному обеспечению дает Министерство экономического развития РФ. По мнению Министерства, свободное программное обеспечение (СПО, FOSS, FLOSS, free software) - программное обеспечение (программы для ЭВМ), распространяемое на условиях свободного, в отдельных случаях также наследуемого, лицензионного договора. Свободный лицензионный договор о предоставлении права использования программы для ЭВМ (свободная лицензия) - простая (неисключительная) лицензия, на основании которой пользователь получает право:
- использовать программу для ЭВМ в любых не запрещенных законом целях;
- получать доступ к исходным текстам (кодам) программы как в целях изучения и адаптации, так и в целях переработки программы для ЭВМ;
- распространять программу (бесплатно или за плату, по своему усмотрению);
- вносить изменения в программу для ЭВМ (перерабатывать) и распространять экземпляры измененной (переработанной) программы с учетом возможных требований наследования лицензии <2>.
<1> The word "open" never refers to freedom. What is free software? The free software definition. https://www.gnu.org/gnu/about-gnu.html.
<2> Глоссарий концепции развития разработки и использования свободного программного обеспечения в Российской Федерации. http://archive.is/bYrD5#selection-435.0-478.0.
Исходя из вышеперечисленных определений использование свободного программного обеспечения имеет большое количество преимуществ и может обеспечить независимость формирования и обслуживания государственных баз данных. Однако при этом необходимо обратить внимание на тот факт, что все вышеперечисленные определения были сформированы под влиянием или на основе законодательства США и, соответственно, могут быть применены на территории Российской Федерации только в случае, если законодательство Российской Федерации, регулирующее защиту прав интеллектуальной собственности и порядок заключения договоров, находится в полном соответствии с вышеперечисленными принципами использования открытого программного обеспечения и порядка его лицензирования <1>.
<1> Свиридова Е.А. Открытая лицензия как правомерное действие правообладателя по установлению пределов свободного использования произведения // Новый юридический журнал. 2014. N 4. С. 63; Соболь И.А. Свободные лицензии в авторском праве России: Монография. М.: Юстицинформ, 2014. С. 204.
Четвертая часть ГК РФ регулирует порядок установления и защиты прав на интеллектуальную собственность, однако такие понятия, как "свободное программное обеспечение" или "свободная лицензия", в нем отсутствуют. Ст. 1286.1 ГК РФ, введенная Федеральным законом от 12.03.2014, ввела понятие "открытая лицензия на использование произведения науки, литературы и искусства". Однако данное понятие ни по своему наименованию, ни по своему содержанию не соответствует вышеприведенным определениям открытой лицензии. Справедливости ради надо отметить, что даже согласно определению Free Software Foundation "термин "открытый" не имеет никакого отношения к термину "свободный" (перевод автора) <1>. Открытость программного обеспечения обозначает открытость кодов для массового пользователя, однако объем прав в отношении данных кодов может быть значительно уже. Подобную ситуацию мы видим в российском законодательстве. Согласно положениям вышеназванной статьи Гражданского кодекса Российской Федерации лицензиар, то есть правообладатель, вправе в одностороннем порядке полностью или частично отказаться от договора лицензирования, если лицензиат будет предоставлять третьим лицам права на принадлежащие лицензиару произведения либо на использование нового результата интеллектуальной деятельности, созданного лицензиатом на основе этого произведения, за пределами прав открытой лицензии. Иными словами, в России отсутствует законодательство, регулирующее лицензирование свободного программного обеспечения. Регулирование же прав лицензиара на распространение программы в открытом лицензионном договоре, созданной на основе предмета лицензионного договора, осуществляется таким образом, что оно может быть существенно ограничено или вообще прекращено.
<1> The word "open" never refers to freedom. What is free software? The free software definition. https://www.gnu.org/gnu/about-gnu.html.
Что касается понятия "открытый стандарт", которое также активно используется при обсуждении вопроса диверсификации информационных рисков, то в вышеназванном мной сборнике материалов по результатам исследования он определен как технологическая спецификация, которая разрабатывается, поддерживается и распространяется в соответствии с определенными требованиями. Судя по перечисленным критериям и требованиям, автор имел в виду стандарты, применяемые Open Source Initiative. Данный вид сертификации подтверждает, что лицензия на сертифицированный программный продукт не накладывает ограничений на копирование, использование и изменение для пользования в личных целях. Однако коммерческое распространение продукта должно производиться с определенными ограничениями <1>. Таким образом, открытое программное обеспечение нельзя приравнять к свободному программному обеспечению. Кроме того, на основании изложенного можно сделать вывод, что смешение данных понятий и отсутствие четких законодательных дефиниций могут повлечь за собой негативные последствия для участников таких правоотношений.
<1> https://opensource.org/osd
По результатам данного краткого анализа возникает вопрос, можем ли мы говорить об обеспечении информационной безопасности страны путем использования открытого программного обеспечения и снижения зависимости от иностранных разработчиков в ситуации, когда законодательство недостаточно развито, нормативно-правовое регулирование допускает односторонний порядок расторжения договора и существуют определенные противоречия с принятыми в международном сообществе стандартами и дефинициями.
На мой взгляд, нет. Согласно Википедии системный подход к описанию информационной безопасности предлагает выделение ряда составляющих. Законодательная, нормативно-правовая и научная база являются первыми составляющими в списке <1>. В отсутствие первого и основополагающего элемента говорить о том, что вопросы решены и внесение поправок в Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" было завершающим штрихом или хотя бы логическим продолжением построения системы информационной безопасности, нельзя.
