Спам и тайна связи
Доклад на конференции "Проблема спама и ее решения" 20.10.2004
Николай Николаевич Федотов,
руководитель группы защиты
информации ОАО "РТКомм.РУ"
980-01-70, security@rtcomm.ru
Аннотация
Конституционное право на
тайну связи введено задолго до возникновения Интернета. Новые
информационные технологии и связанные с ними новые социальные явления
(такие как спам) нуждаются в согласовании со старыми, но
«незыблемыми» правами человека. Нарушение оных при
управлении компьютерными сетями (при борьбе со спамом, в частности)
носит характер повсеместный, но, к счастью, незлонамеренный.
Техническим специалистам необходимо «учиться, учиться и учиться
юридическому делу настоящим образом».
1. Введение. Технические специалисты и закон
На нынешнем этапе развития Сети мы
столкнулись с очередным диалектическим противоречием, разрешение
которого выведет нас на новый этап эволюции. Суть противоречия
состоит в неспособности узких технических специалистов управлять
глобальной сетью, на которую завязаны не только технические, но всё
больше «гуманитарные» интересы граждан и организаций –
и финансовые, и нравственные, и политические; словом, интересы
нетехнического свойства.
Современные информационные технологии
очень сложны. Управлять многообразным телекоммуникационным
оборудованием в состоянии лишь специалисты высокой квалификации.
«Высота» неизбежно выливается в «узость».
Нужная квалификация приобретается годами. Обучаясь в своей
технической области, они вынужденно упускают гуманитарную сторону
образования. В результате многие из нас страдают так называемым
техническим варварством.
Односторонне развитый «технарь»
не имеет даже элементарнейших, базовых знаний в области права, не
ориентируется в текущих общественных отношениях и вообще плохо
социализирован. Он эффективно решает чисто технические задачи, но
если столкнётся с проблемой политического, юридического или
нравственного плана, то в лучшем случае не сможет её решить. А в
худшем – станет действовать привычным технократическим методом,
напоминая варвара среди культурных ценностей. Такие
несоциализированные элементы были всегда. Но раньше они были обречены
оставаться на дне общества. В наше время такой тип вполне может
очутиться возле Большой Кнопки. Потому, что только он способен её,
эту кнопку обслуживать.
Неприятные следствия вышеописанного
противоречия между новыми общественными
отношениями в Сети и старыми методами управления Сетью пока
накапливаются. Среди них и проблема спама. Наличие рекламы –
это требование экономики. Неприятности от спама – фактор как
экономического, так и психологического свойства. Разрешить данную
гуманитарную проблему пытаются технические специалисты доступными им
техническими средствами, совершенно игнорируя экономические и
социально-психологические факторы, которые им плохо ведомы.
Естественно, проблема не разрешается. Она лишь усугубляется побочными
последствиями технократических попыток «решения».
В данной работе автор постарается хоть
частично примирить «негуманитарных» сисадминов с
конституционным правом граждан на тайну связи (ТС).
2. Что такое тайна связи?
Тайна связи – это часть вторая
статьи 23 Конституции РФ. Она гласит: «Каждый имеет право на тайну переписки, телефонных
переговоров, почтовых, телеграфных и иных сообщений. Ограничение
этого права допускается только на основании судебного решения»
Подобное положение присутствовало и в
прошлых конституциях (ст.56 Конституции СССР 1977 года; ст.128
Конституции СССР 1936 года), и в конституциях большинства зарубежных
стран. Оно же утверждается в ст.9 «Декларации прав и свобод
человека и гражданина». Можно сказать, что ТС –
общепринятое в мире положение.
Нарушением ТС признаётся ознакомление
с охраняемым сообщением какого-либо лица кроме отправителя и
получателя (его уполномоченного представителя). В некоторых видах
связи, в силу их технических особенностей, допускается ознакомление с
сообщением отдельных работников связи, как, например, при передаче
телеграммы. В таких случаях нарушением ТС будет считаться не
ознакомление, а разглашение содержимого сообщения.
Понятие ТС относится к частной жизни
гражданина – именно о частной жизни говорит 23 статья, да и вся
2 глава Конституции посвящена правам личности. Означает ли это, что
не охраняются сообщения, передаваемые по служебным каналам и
средствам связи? С одной стороны, служебная корреспонденция не имеет
отношения к частной жизни того, кто её отправляет или получает. С
другой стороны, невозможно заведомо утверждать, что любая
корреспонденция, отправляемая через служебные каналы связи, только
служебная. Человек вполне может отправить по этим каналам личное
письмо. Или смешать в одном сообщении личное со служебным.
Ответ на этот вопрос таков. Право на
ТС распространяется на все сообщения, передаваемые по служебным
каналам связи. Кроме тех каналов, которые явно не приспособлены
для охраны сообщений, например, переговоры по радио. Другое
исключение – случай, когда работник дал явное согласие на
ознакомление с его сообщениями. Следует обратить внимание, что
человек не может отказаться от своего права на ТС. Говорят, что это
право неотчуждаемое.
То есть, любой отказ от права будет недействителен.
Разрешение на ознакомление с одним или
несколькими сообщениями – не то же самое, что отказ от права на
ТС. Уведомление работника о том, что служебный канал связи
прослушивается (контролируется) также не является эквивалентом
вышеуказанного разрешения от работника.
Могут возразить, а как же права
собственника канала связи и владельца коммерческой тайны, которая
может «утечь» через неконтролируемый канал связи? Право
личности в данном случае превыше. Среди перечня прав обладателя
информации, составляющей коммерческую тайну,
отсутствует право на ознакомление с передаваемыми сообщениями и
вообще право как-либо мониторить каналы связи с целью проверки режима
коммерческой тайны. Самое большее, на что имеет право
обладатель комтайны – требовать от иных лиц конфиденциальности
и неразглашения.
Существует и иная, ещё более
либеральная точка зрения на данный вопрос.
Согласно ей, ограничение права на ТС может быть единственным –
по судебному решению, а любое разрешение гражданина на ознакомление с
его сообщениями недействительно. Такая точка зрения имеет под собой
серьёзные основания, но она очень далека от нашей российской
практики.
Закон приравнивает сами сообщения
электросвязи и сведения о таких сообщениях. Это лишний раз
подтверждено рядом решением Верховного Суда РФ.
Определено, что для телефонной связи такими «сведениями,
приравненными...» являются данные, фиксируемые биллинговой
системой: время разговора, его продолжительность, номера вызывающего
и вызываемого абонентов. По аналогии можно заключить, что
применительно к электронной почте такими сведениями, подлежащими
охране наравне с самим сообщением, являются: адреса отправителя и
получателя, время отправления или доставки, длина сообщения. То есть,
те данные, которые обычно фиксируются в логе мейл-сервера.
Автор неспроста столь подробно
рассматривает служебную корреспонденцию. Дело в том, что от неё
проще перейти к более актуальному для нас вопросу. Распространяется
ли обсуждаемое право на спам?
Спам рассылается по тем же самым
каналам связи, что и личная корреспонденция граждан. Аналогично
вышеописанному случаю, никто не имеет права проверять все сообщения в
канале связи на том основании, что среди них может попасться
недозволенное (в данном случае спам). С другой стороны, спам
адресован неопределённому кругу лиц, следовательно, он личной
корреспонденцией не является. То есть, аналогично служебной
корреспонденции, спам сам по себе не защищается правом на
ТС, но для его отделения от защищаемой корреспонденции недопустимо
производить перлюстрацию. Иными словами, спам не охраняется, но
охраняется канал связи, по которому спам пересылается.
3. На кого возложена обязанность охранять ТС?
В статье 63 закона «О связи»
сказано как отрезано: «Операторы связи обязаны обеспечить
тайну связи» Понятно, что обеспечить – не то же
самое, что гарантировать. «Обеспечить» – это
означает предпринять все меры в разумных пределах, чтобы ТС была
соблюдена при обычных условиях эксплуатации сети связи. Разумеется,
каждый оператор должен обеспечивать ТС лишь на собственной сети, в
сфере своей ответственности.
В числе этих мер должна быть как защита
ТС от «внешних» угроз, так и от собственных сотрудников.
Ведя борьбу против спама, вирусов,
порнографии и других действительных и мнимых угроз, технические
сотрудники операторов связи очень часто забывают сверить свои
действия с Конституцией и прочим законодательством. Автору даже
приходилось слышать вполне искренние высказывания сисадминов такого
плана: «Какое ещё законодательство? Мы же в Интернете!»
Это и есть одно из проявлений ранее упоминавшегося технического
варварства. Лишь поголовная юридическая неграмотность
пользователей да древние российские традиции право(не)применения
спасают персонал операторов связи от массовых репрессий.
4. Нарушения ТС в различных ситуациях
Давайте проанализируем, в каких случаях
возможно нарушение права на ТС при различных видах обработки
электронной почты.
4.1
Проверка почты на вирусы
Лишь некоторые несведущие в праве лица
допускают утверждения о якобы нарушении ТС, когда антивирус «читает»
сообщения электронной почты. Разумеется, в этом нарушения нет,
поскольку нет ознакомления какого-либо лица с сообщением –
программа субъектом права являться не может. Не происходит нарушения
и в тех случаях, когда заражённое сообщение (целиком или только
заголовки) возвращается отправителю. Бывает, что адрес отправителя
вредоносная программа подменяет, тогда сообщение (или его часть)
попадёт к ненадлежащему лицу. Это, конечно, неправильно, этого
следует избегать, но такое нарушение вполне можно считать
непреднамеренным. Явное и преднамеренное нарушение ТС – это
перенаправление заражённых писем третьему лицу, например,
администратору.
Наиболее «чист» в правовом
отношении следующий алгоритм действий антивируса. Если сообщение
содержит вредоносный код в отчуждаемом виде (например, приложение к
письму), то вредоносный код удаляется, а «очищенное»
письмо пересылается по назначению с соответствующей пометкой. Если
вредоносный код неотделим от сообщения (или вирус сам сгенерировал
несущее его сообщение), то следует справиться в базе данных о том,
склонен ли найденный вирус подменять адрес отправителя. Если да, то
уведомление о вирусе направляется лишь получателю, если нет, то
получателю и отправителю; само вредоносное сообщение при этом
уничтожается.
4.2
Детектирование (разметка) спама
Ситуация с автоматическим
детектированием спама провайдером аналогична автоматической проверке
на вирусы. До тех пор, пока письмо не перенаправляется какому-либо
третьему лицу, ТС не нарушена. Простановка на письмах служебных
пометок, означающих их классификацию (в частности, принадлежность к
спаму) – наиболее безупречный в правовом отношении метод.
У некоторых провайдеров практикуется
автоматическое направление жалоб на спам. Поскольку «жалобная
инстанция» не является ни отправителем, ни получателем
сообщения, такое автоматическое перенаправление незаконно.
Направление жалобы, содержащей заголовки и/или текст спама, допустимо
лишь с согласия получателя.
4.3
Фильтрация спама
Фильтрация предусматривает
детектирование спама тем или иным способом и последующее
автоматическое возвращение либо уничтожение сообщения, если результат
детектирования положительный. ТС, аналогично предыдущему случаю,
здесь не нарушается. Зато нарушается закон «О связи»,
который признаёт лишь за адресатом право получить сообщение или
отказаться от его получения.
В отличие от антивирусного ПО, где
процент ложных срабатываний пренебрежимо низок, антиспамовые средства
могут ошибаться. Причём не просто могут. Процент ложных срабатываний
– это одна из основных характеристик любого антиспамового
средства, у большинства он находится на приличном уровне – 1-3
процента.
Поэтому автоматическая фильтрация спама
допустима лишь с явного разрешения получателя. Давая такое
разрешение, получатель должен быть предупреждён, что антиспамовое ПО
может ошибаться и отвергать (уничтожать) определённый процент
валидной почты. Умалчивание об этом факте является обманом клиента.
Другое дело, что за нарушение ТС
предусмотрена уголовная ответственность,
а за недоставку сообщений возможна лишь гражданско-правовая
ответственность, либо санкции к оператору связи со стороны
лицензирующего органа.
4.4
Комплексный мониторинг интернет-коммуникаций
В некоторых предприятиях и
государственных органах под предлогом мер по обеспечению режима
коммерческой тайны
вводится комплексный мониторинг всех каналов связи, включая
электронную почту. На рынке имеется несколько программных продуктов
для такого комплексного мониторинга.
Как уже отмечалось, обладание
коммерческой тайной даёт предприятию некоторые права, обеспечивающие
её сохранение. Они перечислены в законе «О коммерческой тайне».
Среди этих прав нет права не мониторинг всех служебных сообщений.
Такой мониторинг, если он предусматривает ознакомление человека с
некоторыми сообщениями, незаконен.
Наличие явного разрешения работника на
ознакомление с его сообщениями примиряет систему мониторинга с
законодательством. Впрочем, следует отметить, что эту точку зрения
разделяют не все юристы. Некоторые считают, что разрешение работника
на ознакомление с неопределённым количеством его сообщений –
недействительно в силу неотчуждаемости права на ТС.
4.5
Жалобы на спам
При направлении жалоб на спам
полагается приводить служебные заголовки сообщения или всё сообщение
целиком. То и другое подпадает под ТС, поэтому только адресат
сообщения имеет законное право передавать такое сообщение третьему
лицу вместе с жалобой.
Последующее рассмотрение жалобы,
переданной адресатом спама (а равно хранение, анализ и публикация
таких жалоб), не нарушает права на ТС.
4.6
Изучение логов мейлсервера
Как указывалось ранее, сведения о
сообщении электронной почты охраняются так же, как и само сообщение.
Казалось бы, ознакомление администратора с логами мейлсервера должно
считаться нарушением ТС. Но это не так. Запрет на ознакомление всегда
ограничен техническими особенностями системы связи. Когда
ознакомление персонала требуется для корректной работы связи, оно
допустимо – как в случае с передачей телеграмм. Для поддержания
должной работы мейлсервера администратор должен в некоторых случаях
обращаться к логам – это непреодолимая техническая особенность.
В данном случае запрет на ознакомление с логом касается всех
остальных работников оператора связи, а в отношении администратора
действует запрет на разглашение полученных из лог-файла сведений.
4.7
Другие ситуации
Нарушает ли сам спамер ТС? Как правило,
нет. Но некоторые методы сбора адресов, применяемые спамерами, явно
противозаконны. Так, например, были сообщения о применении перехвата
почтового трафика с целью сбора адресов.
Может ли спамер воспользоваться ТС в
своих целях и запретить получателю знакомить кого-либо с полученным
спамовым сообщением (его заголовками)? Ответ также отрицательный.
Законный получатель сообщения вправе распоряжаться этим сообщением по
своему усмотрению за исключением отдельных случаев, которые к нашей
теме не относятся.
5. Иные нарушения законодательства при борьбе со
спамом
Кроме права на ТС гражданин также имеет
право на получение сообщения электросвязи и отказ от его получения
(ст.62 ЗоС). В этом смысле разметка электронной почты не нарушает
прав абонента, а фильтрация сообщений – напротив, нарушает.
Фильтрация (то есть, недоставка некоторых сообщений) может
производиться только с явного согласия абонента, который был
предварительно информирован о возможности ложных срабатываний
фильтра.
6. Прецеденты ответственности за нарушение ТС
За нарушение права на ТС в России
предусмотрена уголовная ответственность – согласно статье 138
УК. Эта статья так и называется – «Нарушение тайны
переписки, телефонных переговоров, почтовых, телеграфных или иных
сообщений». В ней три части: первая и вторая говорят собственно
о нарушении ТС, а часть третья – о производстве и сбыте
специальных технических средств, предназначенных для нарушений ТС.
Статистика сообщает, что уголовные дела
по данной статье время от времени возбуждаются и даже иногда доходят
до суда. Наиболее популярна часть третья, но и по первым двум частям
прецеденты тоже есть. В большинстве случаев 138-я статья идёт не
самостоятельно, а «в довесок» к таким преступлениям как
мошенничество, незаконное предпринимательство, превышение полномочий
охранных или детективных служб, злоупотребление должностными
полномочиями, шпионаж и т.п.
Следует констатировать, что практика
применения ответственности за нарушение ТС на сегодняшний день
недостаточная. Данное преступление небольшой тяжести блёкнет перед
лицом огромных хищений, террористических актов и множественных
бытовых убийств. Надо признать, что сегодня для лица, совершающего
данное преступление, риск подвергнуться уголовной ответственности за
него весьма невелик. Если, конечно, не найдётся заинтересованного
лица.
7. Выводы
Как видно из проведённого рассмотрения,
организация работы с электронной почтой изобилует различными
юридическими «тонкостями», которые не могут быть известны
техническим специалистам. И это – лишь стандартные ситуации, а
сколько возможно нестандартных?
«Технари» не в состоянии
справиться с решением всех этих вопросов. Но и юристы не в состоянии
их решить в силу непонимания технических особенностей работы
Интернета и электронной. Если нет специалиста, достаточно
компетентного в обеих областях, надо создать условия, чтобы юрист и
сисадмин смогли достичь понимания и договориться, как сделать
правильно.
Главный вывод из настоящей работы таков.
Управление электронной почтой вообще
и противодействие спаму в частности недопустимо поручать только
техническим специалистам. Также недопустимо оставлять эти вопросы
на усмотрение юристам. Необходимо взаимодействие «технарей»
с «гуманитариями», желательно под общим руководством
финансиста или управленца.