Проблемы обеспечения конфиденциальности и безопасности в сфере осуществления электронной коммерческой деятельности

В глобальной цифровой экономике персональные данные стали движущим фактором значительной части коммерческой деятельности в Интернете. Изо дня в день огромное количество информации передается, хранится и собирается в Интернете благодаря увеличению вычислительной способности и расширению возможностей средств связи. В этой обстановке растущее беспокойство правительств, предприятий и потребителей вызывают вопросы безопасности информации. Резкое развитие облачных услуг, предоставляемых в разных странах, и все большее число случаев утечки данных усугубляют необходимость изыскания адекватных ответных мер политики (UNCTAD, 2013b). Такая обеспокоенность может дополнительно возрастать с учетом ведущейся работы по анализу супермассивов данных с целью понимания поведения потребителей и оказания влияния на него в интересах получения коммерческой прибыли.

Рассмотрим проблемы правового регулирования электронных сделок, электронных платежей, использования электронной подписи, обеспечения конфиденциальности и безопасности в сфере осуществления электронной коммерческой деятельности.

Рассмотрены признаки сделок, осуществляемых с использованием информационно-телекоммуникационных средств на примере такой типичной электронной сделки, как приобретение физическим или юридическим лицом товаров и услуг в режиме «оп-line» через Интернет-магазин. Отмечены особенности фиксации волеизъявления участников. Основная особенность электронных сделок проявляется в способе выражения волеизъявления (в форме сделки). Отмечается специфика внешнеторговых сделок и целесообразность отказа от выделения особых последствий несоблюдения простой письменной формы для внешнеэкономических сделок.

Сделан вывод о том, что целесообразно дополнить классификацию форм сделок такой формой, как сделки, совершаемые с использованием информационно-телекоммуникационных средств, а в общие положения о сделках в ГК РФ включить сделки, осуществляемые с использованием информационно-телекоммуникационных средств.

Рассмотрены вопросы расчетов при осуществлении электронной торговли. При этом отмечено, что при осуществлении электронной торговли сторонами используются электронные формы расчетов. В ГК РФ, в частности в статье 862 «Формы безналичных расчетов», электронные формы расчетов не названы, в связи с этим необходимо законодательное обеспечение в сфере использования новых способов и форм безналичных расчетов (электронных денег, банковских карт). Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе», принятый 29 сентября 2011 года, установил лишь общие правовые и организационные основы национальной платежной системы и не решил указанные проблемы.

Обоснованы предложения по развитию законодательного обеспечения расчетов, осуществляемых с использованием информационнотелекоммуникационных средств.

Отмечено, что юридическая сила электронных документов при совершении сделок в сфере электронной торговли зависит от надлежащего удостоверения электронной подписью. В зарубежной юридической доктрине по данному вопросу преобладает точка зрения, согласно которой в связи с глобальным характером электронной торговли национальное законодательство должно быть сведено к нескольким унифицированным законам. Данная позиция совпадает с основными принципами и подходами, зафиксированнымив Окинавской Хартии Глобального информационного общества, которая ставит перед правительствами государств задачу создания«предсказуемой,транспарентной и недискриминационной политики и нормативной базы, необходимой для информационного общества».

Обращено внимание на проблемы, возникающие в связи с выдачей доверенности, подписанной электронной подписью. Поэтому целесообразно включить в Закон РФ «Об электронной подписи» определение специального квалифицированного сертификата ключа проверки электронной подписи для доверенностей, выдаваемых юридическими лицами. Сделан вывод о целесообразности дополнения п.4 ст. 189 ГК РФ положением о том, что при прекращении доверенности прекращается действие сертификата ключа проверки электронной подписи. А в п.6 ст.14 Закона РФ «Об электронной подписи» к основаниям, по которым сертификат ключа проверки электронной подписи прекращает свое действие, необходимо добавить такое основание, как прекращение сертификата ключа проверки электронной подписи «в связи с прекращением доверенности, увольнением или смертью физического лица, указанного в сертификате ключа проверки электронной подписи юридического лица».

Актуальными для электронной коммерческой деятельности являются вопросы правового обеспечения конфиденциальности персональных данных; полноты и достоверности информации; защиты учетных данных организации; защиты прав на результаты интеллектуальной деятельности. В международной практике сложились принципы в регулировании данной стороны электронной коммерческой деятельности. Так, например,

Организацией экономического сотрудничества и развития (ОЭСР) выработаны соответствующие принципы регулирования исходя из возникающих на практике проблем правового обеспечения конфиденциальности и безопасности. Предложено в современном российском законодательстве учесть данные принципы.

Согласно одному источнику в 2013 году было зарегистрировано более 2 100 инцидентов, в результате которых был допущен несанкционированный доступ к приблизительно 822 млн. записей (RiskBasedSecurity, 2014). В одном из крупных инцидентов была нарушена безопасность записей до 152 млн. имен, идентификаторов покупателей, зашифрованных паролей, номеров дебетовых и кредитных карт и другой информации о заказах клиентов. В 53% случаев объектом атак становился предпринимательский сектор, на втором месте были госуударственные учреждения (19%). В примерно 60% случаев безопасность нарушалась в результате "хакинга"75. С точки зрения географического распределения чаще всего компьютерным атакам подвергались, безусловно, Соединенные Штаты, на которые приходится почти половина известных случаев. Наиболее распространены случаи несанкционированного доступа к таким данным, как пароли, имена, адреса электронной почты и имена пользователей.

По состоянию на ноябрь 2014 года законодательство по обеспечению защиты данных и неприкосновенности частной жизни существует в 105 странах (в том числе в 65 развивающихся странах) (UNCTAD, 2015). Еще в 34 развивающихся странах разработаны законопроекты, которые еще не вступили в силу. В этой области положение в Азии и Африке одинаково, и такое законодательство имеется менее чем в 40% стран.

Компании также должны проводить политику обеспечения безопасности информации, вводить в действие технические защитные средства, разрабатывать планы реагирования в случае нарушения безопасности данных, а также не допускать мошеннической, вводящей в заблуждение и недобросовестной практики. Ввиду того, что в странах Африки к югу от Сахары законодательство по вопросам защиты данных и неприкосновенности частной жизни только зарождается, некоторые компании электронной торговли в инициативном порядке внедряют передовую международную практику и стандарты безопасности (вставка 1). В тех случаях, когда защиту неприкосновенности частной жизни и прав потребителей гарантировать трудно в связи с характером контентной модели, поставщикам услуг, возможно, придется принимать дополнительные меры, чтобы научить покупателей и продавцов распознавать мошенничество и защищаться от него.

Основную международную справочную базу для целей обеспечения

• ⁷⁵    Под "хакингом" в данном случае понимается получение доступа (предусмотренного или непредусмотренного) к компьютеру и просмотр, копирование или создание данных (оставление следа) без намерения уничтожить данные или злоумышленно повредить компьютер.

неприкосновенности частной жизни и защиты данных составляют Руководящие принципы ОЭСР, Директива Европейского союза о защите данных и рамочная основа обеспечения конфиденциальности данных форума Азиатско-Тихоокеанского экономического сотрудничества. При наличии общего согласия по основным принципам нет консенсуса в вопросах их применения. Некоторые режимы защиты данных (так называемые всеобъемлющие режимы) в равной степени распространяются и на обработку персональных данных. В рамках других режимов в отношении конкретных секторов (например, здравоохранения), типов, осуществляющих обработку данных учреждений (например, государственных органов) или категорий данных (например, данных о детях) действуют разные правила. В таких случаях на другие секторы регулирование не распространяется.

Можно провести различие между режимами, которые действуют главным образом через правоприменительные действия отдельных лиц или их представительных групп, и режимами, в рамках которых правоприменительные полномочия передаются специальному контрольному органу, который осуществляет постоянный надзор за практикой тех, кто занимается обработкой персональных данных. Создание регулирующих органов является еще одной проблемой для правительств развивающихся стран.

Проблема киберпреступности все острее стоит в странах на всех уровнях развития, затрагивая как покупателей, так и продавцов. В 2012 году из -за интернет-мошенничества потери выручки поставщиков составили примерно 3,5 млрд. долл. (CyberSource, 2013). В Европе сообщения, поступающие в Сеть европейских потребительских центров, чаще всего касаются мошеннических веб-сайтов, продажи в Интернете подержанных автомобилей и контрафактной продукции. Все эти формы мошенничества роднит то, что потребителей заманивают рекламой дешевых или бесплатных товаров и что в качестве способа оплаты мошенники предпочитают денежные переводы. В развивающихся странах масштабы мошенничества также значительно возросли. В Латинской Америке, например, объемы мошенничества в сфере электронной торговли составляют в общей сложности 430 млн. долл.76, в то время как в Африке ущерб от киберпреступности для экономики Кении, Нигерии и Южной Африки оценивается соответственно в 36 млн. долл., 200 млн. долл. и 573 млн. долл. (InternationalGroupDataConnect, 2012).

Такие инциденты наглядно показывают, с какими трудностями сталкиваются потребители в Интернете. Хотя некоторые преступления, совершаемые в Интернете, уже существуют в течение многих лет, их масштабы быстро расширяется и в количественном плане, и с географической точки зрения. Компьютерное преступление может быть

• ⁷⁶       См.   http://prensa.lacnic.net/news/en/feb2014_en/study-on-cybercrime-in-the-lac-region-e-   commerce-

  fraud-doubles( сайтпосещался 7 января 2015 года).

совершено в отношении нескольких лиц во многих странах, причем преступнику даже не придется выходить из дома. Например, злоумышленники могут направлять свои сообщения через местные телефонные компании, операторов междугородной связи, интернет -провайдеров и через беспроводные и спутниковые сети, проходя, скажем, через цепочку разных компьютеров, расположенных в разных странах, и только потом атаковать определенную систему. Данные могут быть сохранены на компьютере не в той стране, откуда было совершено преступное деяние.

Объектом киберпреступлений становятся ноутбуки, планшеты, мобильные телефоны и целые сети. Сообщается, что самые большие потери от мошенничества в процентах от выручки среди всех торговых сегментов несут торговые фирмы, осуществляющие свою деятельность на базе мобильной связи (LexisNexis, 2013). Особые трудности это создает для развивающихся стран, в которых мобильные телефоны служат основным инструментом для электронной торговли и осуществления связанных с ней платежей. Кроме того, развивающиеся страны все чаще используются киберпреступниками в первую очередь из-за недостаточно строгого соблюдения властями действующего законодательства. По данным одного исследования в пятерку горячих точек киберпреступности вошли, во-первых, Российская Федерация, за которой следуют Китай, Бразилия, Нигерия и Вьетнам ( Time, 2014).

Законы о киберпреступности вводятся в действие стремительными темпами. По состоянию на ноябрь 2014 года такое законодательство было принято в 117 стран (в том числе в 82 развивающихся странах и странах с переходной экономикой) и еще в 26 странах велась работа по составлению соответствующих законопроектов (UNCTAD, 2015). Вместе с тем более чем в 30 странах законодательства о борьбе с киберпреступностью не было. Регионом, где больше всего стран, которым еще предстоит принять такие законы, является Африка.

Наиболее значимым международным документом в данной области является Конвенция Совета Европы о киберпреступности (2001 года). Ее придерживаются во многих развивающихся регионах, в том числе посредством применения Типового закона Содружества о компьютерных и связанных с компьютерами преступлениях (2002 года) и Конвенции Африканского союза о кибербезопасности и защите персональных данных, которая была принята в июне 2014 года. Реализуются также инициативы на европейском уровне77.

Перед развивающимися странами встает ряд проблем, включая

• ⁷⁷    См. OECD(2002) и директиву 2013/40/EUЕвропейского парламента и Совета Европы от 12 августа 2013 года о защите данных информационных систем, имеется в Интернете по адрес уhttp://eur- сайт посещался 8 января 2015 года).

недостаточное развитие потенциала и инфраструктуры для эффективного реагирования на кибератаки. В связи с киберпреступлениями возникают сложные проблемы в области трансграничного правоприменения и юрисдикции. Особые усилия необходимы в сфере правоприменительной деятельности и укрепления потенциала компьютерных групп экстренного реагирования. В этой связи крайне важную роль играют координация усилий и сотрудничество на международном уровне в целях создания безопасной бизнес -среды, способствующей более оперативному принятию ответных мер и обмену информацией, в результате чего у стран появится возможность быстро и эффективно реагировать в борьбе с киберпреступностью.