Правовые отношения в сфере создания и использования государственных информационных систем

Публикация подготовлена в рамках поддержанного РФФИ научного проекта № 17-03-00082

В настоящее время значительную роль во всех сферах государственного управления играют государственные информационные системы (ГИС). Между тем, правовой режим таких информационных систем, правовая природа возникающих в данной сфере правоотношений недостаточно изучены в теоретическом плане, что зачастую приводит к пробелам и противоречиям в их правовом регулировании. Целью настоящей статьи является исследование соответствующих правоотношений, анализ их состава, выделение существенных характеристик.

Понятие правоотношения (правового отношения) относится к наиболее устоявшимся и изученным в теории права. С. С. Алексеев определяет правоотношение как возникающую на основе норм права индивидуализированную общественную связь между лицами, характеризуемую наличием субъективных юридических прав и обязанностей и поддерживаемую (гарантируемую) принудительной силой государства ^{[1, с. 82]}. Правоотношения характеризуются сложным составом и состоят из трех элементов: субъектов (участники правоотношений), объектов (социальные блага, по поводу которых возникает общественное отношение) и содержания отношений (субъективных прав и обязанностей, которые выражают связь между субъектами и определяют их поведение) ^{[2, c. 299; 3, с. 377]}. Наиболее дискуссионным является вопрос об объекте правоотношения. Здесь преобладают две концепции. Монистическая концепция утверждает, что объектом правоотношения могут выступать только действия субъектов, поскольку именно на них направлено правовое регулирование) ^[4]. Согласно плюралистической концепции, к социальным благам, ради которых субъекты вступают в правоотношения, относятся как действия (поведение) людей, так и объекты имущественных отношений (блага, ценности, вещи) ^{[5, с. 530–531]}.

Существует два основных подхода к выделению информационных правоотношений. Согласно первому из них, информационное правоотношение – это правоотношение, урегулированное нормами информационного права. Например, в учебнике под редакцией И. М. Рассолова указано: «информационное правоотношение – реально существующее общественное отношение, урегулированное нормами информационного права, участники которого являются носителями субъективных прав и обязанностей, охраняемых и гарантируемых государством» ^{[6, c. 108; 7, с. 131; 8, с. 44]}. Второй подход основан на анализе состава правоотношения. Так, согласно А. Б. Венгерову, информационными отношениями выступают социальные отношения, имеющие техническо-организационную сторону и социальное содержание; отношения, которые складываются в сфере управления народным хозяйством между работниками, их коллективами в процессе регистрации, сбора, передачи, хранения и обработки информации ^[9].

Большинство исследователей считают основным критерием для идентификации информационных правоотношений их объект. Д. В. Огородов предлагает считать объектом правовых отношений в информационной сфере определенную информацию либо непосредственно связанный с информацией результат поведения участника правоотношения (предоставление, получение, неразглашение информации и др.) ^[10]. П. У. Кузнецов указывает, что «предметом информационного права является комплекс общественных отношений, возникающий по поводу информации и связанных с нею объектов и систем (информационная сфера человеческой деятельности)» ^{[11, c. 117]}. По мнению И.Л. Бачило, «предметом, формирующим специальную отрасль отношений, условно называемых информационными, является совокупность реально существующих материализованных результатов творчества и труда, воплощенных в: 1) информации при разнообразии форм ее проявления и формируемых на этой основе информационных ресурсах; 2) средствах и технологиях работы с информацией (информационных технологиях); 3) средствах и технологиях передачи информации по сетям связи» ^{[12, с. 25]}. В новом учебнике под редакцией того же автора предлагается более лаконичное определение предмета информационного правоотношения – «информация, документированная информация, информационные продукты и услуги» ^{[13, с. 63]}.

Распространена и другая точка зрения, согласно которой информация считается главным, но не единственным объектом информационных правоотношений. Она отражена в ряде работ И.Л. Бачило, трудах И. М. Рассолова, утверждающего, что объектом информационного правоотношения являются в том числе информационные ресурсы, информационные системы, компьютеры, средства связи и т.д., а также определенные действия, поведение, воздержание от отдельных поступков ^[14], других ученых.

Для определения правовой природы правоотношений, связанных с государственными информационными системами, необходимо прежде всего проанализировать их состав.

Анализ всего многообразия таких правоотношений позволяет выделить две основные группы:

1) Отношения, возникающие по поводу информационной системы.

2) Отношения, возникающие в процессе использования ИС.

В правоотношениях первой группы информационная система выступает непосредственным объектом. Обобщенно эту группу обозначают как «отношения, возникающие при разработке (создании) информационных систем» ^{[15, c. 174; 16]}. И.Л. Бачило, В.Н. Лопатин, М.А. Федоров выделили в ней общественные отношения, связанные: а) с правом на разработку информационных систем и их отдельных объектов; б) с правом авторства на объекты информационной системы и систему в целом; в) с правом собственности в отношении объектов информационной системы и системы в целом и ограничением этого права; г) с ограничением права на разработку и применение информационных систем; д) с обязанностями по созданию надежных и безопасных информационных систем; е) с ответственностью за создание информационных систем, в том числе не удовлетворяющих стандартам и требованиям безопасности ^{[15, c. 174]}. Спустя более 15 лет данная классификация нуждается в пересмотре. Во-первых, некоторые права и обязанности, выделенные авторами, могут входить в состав одного правоотношения. Во-вторых, классификация не охватывает весь перечень отношений, возникающих в процессе разработки современных информационных систем, на что справедливо указывает В. М. Жернова ^{[17, c. 63]}.

Мы предлагаем выделять правоотношения, связанные с созданием (в узком смысле), внедрением (вводом в эксплуатацию), модернизацией (развитием), эксплуатацией, сопровождением и выводом из эксплуатации государственной информационной системы, а также правоотношения, связанные с возникновением, передачей и прекращением прав на информационные системы и их компоненты.

Дадим краткую характеристику указанных правоотношений.

1. Создание (разработка).

Основными субъектами правоотношений по созданию государственных информационных систем являются государственные заказчики и разработчики ^{[7, с. 66]}.

Основная обязанность разработчика – создать информационную систему надлежащего качества и в установленные сроки в соответствии с техническим заданием на разработку. Государственный заказчик обязан принять работу, осуществить контроль качества (в том числе в сфере защиты информации), оплатить работу.

В соответствии с ч. 2 Постановления Правительства РФ от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации», основанием для создания ГИС является а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами; б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий.

Таким образом, «право на разработку государственных информационных систем и их отдельных объектов» принципиально отличается от аналогичного права в частноправовых отношениях по созданию ИС, поскольку государственные органы не вправе организовывать разработку ИС или воздержаться от этого, руководствуясь собственной волей, но обязаны действовать строго в рамках требований законодательных актов и установленных полномочий.

Правоотношения между государственным заказчиком и разработчиком информационной системы возникают на основании государственного контракта, который заключается с разработчиком по результатам конкурса, аукциона или иных процедур определения поставщиков в соответствии с законодательством о контрактной системе в сфере закупок.

Порядок создания информационной системы включает ряд этапов. Постановлением Правительства № 676 установлены их состав и последовательность реализации (ч. 5):

а) разработка документации на систему и ее части;

б) разработка рабочей документации на систему и ее части;

в) разработка или адаптация программного обеспечения;

г) пусконаладочные работы;

д) проведение предварительных испытаний системы;

е) проведение опытной эксплуатации системы;

ж) проведение приемочных испытаний системы.

Разработку технического задания на создание системы (также может выполняться на основе государственного контракта), определение поставщиков (разработчиков) также отнесем к этапам создания ГИС, предшествующим вышеперечисленным.

На разных этапах создания системы могут участвовать различные субъекты. На практике нередко имеет место как смена разработчика в процессе создания системы (в том числе объявление конкурса лишь на отдельные этапы разработки), так и смена государственных органов, ответственных за создание ГИС ^[18]. Для целей теоретико-правового анализа, проводимого в рамках настоящего исследования, представляется нецелесообразным углубляться в детализацию на уровень этапов. Таким образом, правоотношение по созданию информационной системы для наших целей может рассматриваться как сложное длящееся правоотношение с множественными субъектами.

Общие права и обязанности государственного заказчика и разработчика закрепляются в нормативных правовых актах, устанавливающих ключевые рамки процесса создания государственных информационных систем. Помимо Закона об информации и уже упомянутого Постановления Правительства № 676, обязанности государственного заказчика установлены Приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», Приказом ФСТЭК России от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», а также правовыми актами. К общим обязанностям разработчика относится, в частности, обязательность получения лицензии для осуществления деятельности в области защиты конфиденциальной информации, соблюдение условий, предусмотренных лицензией, использование сертифицированных средств защиты информации (п. 1–5 ст. 12 Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», Постановление Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»). Статья 13.12 КоАП РФ предусматривает административную ответственность за нарушение правил защиты информации.

Индивидуальные (в рамках конкретного правоотношения) права и обязанности регулируются условиями договора, государственного контракта. На практике обычно используется форма договора на выполнение работ (оказание услуг), договора подряда или договора о выполнении научно-исследовательских и опытно-конструкторских работ. К дополнительным работам по созданию информационной системы могут быть отнесены: приведение имеющейся информации к виду, пригодному для обработки с помощью ИС, наполнение информационной базы данных, первичная конфигурация системы, разработка или адаптация иного программного обеспечения, взаимодействующего с системой, заполнение различных справочников и т.д.

Кроме того, индивидуальные права и обязанности государственного заказчика могут быть установлены правовыми актами, регулирующими правовой режим конкретной ГИС. Например, при создании Единой государственной информационной системы социального обеспечения государственный заказчик (оператор информационной системы) взаимодействует с оператором инфраструктуры для согласования технических параметров ЕГИССО в порядке, установленным Приказом Минкомсвязи России ^[19], после чего организует выбор исполнителя работ по предоставлению услуг технической инфраструктуры.

Техническое задание на создание информационной системы может содержать отсылки к ГОСТам и другим техническим регламентам, требованиями которых разработчик обязан руководствоваться при создании системы. Кроме того, документы, разработанные на ранних этапах создания ИС (техническое задание, модель угроз безопасности информации, рабочая документация), устанавливают требования, обязательные для следующих этапов (независимо от того, является ли исполнителем разработчик этих документов или иное лицо). При этом необходимо отметить, что такие документы имеют неправовой характер. Это технико-технологические документы, которые содержат технические нормы, определяющие технологические процессы системы, и вследствие этого не являются юридическими ^{[20, c. 343–344]}.

Разработчик государственной информационной системы несет ответственность за недоброкачественность созданной продукции, нарушение сроков исполнения договора, другие нарушения. Эта ответственность носит гражданско-правовой характер. В частности, заказчик может требовать за свой счет и в разумные сроки устранить недостатки системы, обеспечить ее работоспособность. При этом если заказчик принял систему, не соответствующую требованиям законодательства (в том числе по обеспечению защиты информации), ответственность ложится уже на него.

По нашему мнению, разработчик ГИС должен нести ответственность в случаях намеренного неисполнения нормативно установленных требований к ИС, утаивания ее недостатков или внедрения скрытых функциональных возможностей (в том числе если на функционале, противоречащем действующему законодательству, настаивает государственный заказчик). В этих случаях в законодательстве должна быть предусмотрена ответственность разработчика, в том числе уголовная, если разработчик умышленно внедряет в систему функциональные возможности, заведомо предназначенные для обхода мер защиты информации, фальсификации сведений в системе или создающие возможности для совершения коррупционных правонарушений (например, введение «белых списков» автомобильных номеров, которые игнорирует система автоматической обработки информации о нарушениях в области безопасности дорожного движения, и т. п.)

2. Ввод в эксплуатацию (внедрение).

Суть внедрения информационной системы заключается в переходе от «статического состояния», в котором система представляет собой структурно организованную совокупность баз данных, технических и программных средств к «динамическому состоянию», в котором система непрерывно функционирует и выполняет возложенные на нее задачи. Важнейшие задачи, которые при этом решаются: обучение сотрудников, организация информационных потоков, адаптация рабочих процессов ^[21].

Субъектами правоотношений по вводу в эксплуатацию государственной информационной системы являются государственный заказчик, поставщик ИС, контролирующие органы. К внедрению привлекается также оператор (если он определен таковым к этому моменту и не является заказчиком данной информационной системы ^[22]).

Основанием для ввода системы в эксплуатацию является правовой акт органа исполнительной власти о вводе системы в эксплуатацию, определяющий перечень мероприятий по обеспечению ввода системы в эксплуатацию и устанавливающий срок начала эксплуатации. Эти мероприятия должны включать: а) разработку и утверждение организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы; б) аттестацию системы по требованиям защиты информации; в) подготовку органа исполнительной власти (оператора) к эксплуатации системы; г) подготовку должностных лиц оператора к эксплуатации системы (ч. 13, 14 Постановления Правительства № 676).

В обязанности заказчика входит организация ввода ИС в эксплуатацию, в том числе внедрение системы защиты информации. В случаях приобретения типовой информационной системы (например, для организации электронного документооборота в региональных органах исполнительной власти, как правило, используются решения крупных российских разработчиков, такие как система ДЕЛО (Электронные офисные системы), Евфрат (Cognitive Technologies), DocsVision, LanDocs (Ланит), а также множество решений мелких компаний ^[23]) заказчик организует привлечение внешних исполнителей (поставщиков ИС) в соответствии с законодательством о контрактной системе. Если же создается новая уникальная ИС, то в договоре на ее создание обычно сразу предусматриваются обязанности разработчика и на стадии ввода в эксплуатацию.

Основные обязанности поставщика ИС, устанавливаемые в договоре, включают, как правило, обучение сотрудников заказчика, настройку и при необходимости доработку отдельных систем, миграцию данных и т.д. ^[21]

Именно с момента ввода в эксплуатацию информационной системы начинается возникновение и реализация правоотношений, связанных с ее использованием. По этой причине крайне важно, чтобы ИС соответствовала всем законодательно установленным требованиям и обладала необходимым функционалом. Государственный заказчик несет ответственность в случае ввода в эксплуатацию информационной системы, не соответствующей установленным требованиям, в частности, при несоблюдении требований по защите информации ответственность наступает по ст. 13.12 КоАП РФ.

Так, Постановлением начальника подразделения Управления ФСБ России по Оренбургской области от 29.07.2016 года Государственное казенное учреждение «Центр информационных технологий Оренбургской области» признано виновным в совершении административного правонарушения, предусмотренного ч.6 ст. 13.12 КоАП РФ и подвергнуто административному штрафу в размере 10 000 рублей, в связи с тем, что ГКУ «ЦИТ» не проведены мероприятия по защите информации, а именно: не разработаны документы, регламентирующие порядок администрирования системы защиты информации ИС Интернет-портал, ИС Электронная почта, а также мониторинга за обеспечением защищенности; применяемые в информационных системах программные средства защиты информации, за исключением средств антивирусной защиты, не сертифицированы по требованиям безопасности информации; хранение и передача данных аутентификации допускалось и открытом виде. Ленинский суд г. Оренбурга рассмотрев жалобу на данное постановление, оставил ее без удовлетворения, определив, что информационные системы «Интернет-портал органов государственной власти Оренбургской области» и «Электронная почта органов государственной власти Оренбургской области» имеют признаки государственных информационных систем и должны соответствовать требованиям по защите информации, установленным для ГИС (в частности, ст. 16 Закона об информации) ^[24].

Контролирующие органы осуществляют контроль за размещением на территории Российской Федерации технических средств государственных информационных систем, формирование и ведение реестра территориального размещения объектов контроля ^[25].

3. Модернизация (развитие, доработка, модификация).

Под модернизацией (развитием) информационной системы понимается такой этап эксплуатации, на котором производится изменение серийных изделий данной системы, направленное на расширение ее возможностей по целевому применению, снижению затрат на эксплуатацию, повышению технико-экономических показателей ^{[26, с. 266]}.

Необходимость осуществить модернизацию ГИС системы возникает в связи с изменением законодательства, регулирующего правоотношения в сфере использования такой системы. Мы придерживаемся убеждения в необходимости законодательного закрепления обязанности оператора информационной системы своевременно организовать проведение модернизации в этом случае.

Вопрос об объекте данного правоотношения является дискуссионным в следующем аспекте: является ли результатом модернизации изменение характеристик существующей информационной системы или появление новой?

Для частноправовых отношений, возникающих по поводу информационных систем, значение поставленного вопроса сводится к возникновению самостоятельного результата интеллектуальной деятельности в результате модернизации ИС. В качестве такого РИД может выступать как программа для ЭВМ, так и база данных, но актуализация и пополнение базы данных информационной системы происходит непрерывно в процессе ее эксплуатации и не привязано к модернизации. Что касается программы для ЭВМ, то полную определенность в этом вопросе дает ч. 9 ст. 1270 ГК РФ, согласно которой под переработкой (модификацией) программы для ЭВМ или базы данных понимаются любые их изменения за исключением адаптации. По мнению А.И. Савельева, за правообладателем сохраняется право решать, когда то или иное изменение (обновление) относится к исходной программе, а когда оно носит настолько существенный характер, что позволяет говорить о новой версии программы (производной программы) ^[27].

Для государственных информационных систем поставленный вопрос носит более глубокий характер, поскольку такие информационные системы используются для реализации полномочий государственных органов, органов местного самоуправления, оказания государственных и муниципальных услуг, обеспечения реализации информационных прав и обязанностей, а также в других правоотношениях. В связи с этим на содержание правоотношений по модернизации ИС накладываются следующие требования:

– модернизированная информационная система должна полностью соответствовать актуальным требованиям, закрепленным в правовых актах, устанавливающий правовой режим ГИС;

– система безопасности модернизированной информационной системы должна соответствовать актуальной модели угроз, доработанной с учетом новых возможностей и характеристик ГИС.

С учетом указанных требований модернизация ГИС должна осуществляться в том же порядке, что и создание новой информационной системы с тем лишь принципиальным отличием, что она осуществляется без остановки процесса эксплуатации системы ^{[28, c. 108–109]} и, соответственно, не оказывает негативного влияния на правоотношения, связанные с ее использованием. Соответствующая норма отражена в п. 17 Постановления Правительства № 676 – мероприятия по развитию системы осуществляются в соответствии с требованиями, установленными для создания системы. Субъектами правоотношения являются оператор ИС (заказчик), разработчик, контролирующие органы.

В общем случае модернизированную информационную систему следует рассматривать как новую ИС, если модернизация затронула ее программное обеспечение или архитектуру информационных ресурсов (баз данных).

4. Эксплуатация (обеспечение функционирования, администрирование).

Эксплуатация понимается как этап жизненного цикла информационной системы, на котором происходит ее использование в информационных процессах и как деятельность, связанную с использованием информационной системы. При этом эксплуатация может пониматься как в широком смысле (деятельность всех субъектов информационных правоотношений, связанных с использованием системы), так и в узком – деятельность оператора ИС по обеспечению функционирования системы в штатном режиме. Закон об информации использует последний подход, определяя оператора ИС как гражданина или юридическое лицо, осуществляющее деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных (п. 12 ст. 2).

Эта деятельность, урегулированная нормами права, образует правоотношения по эксплуатации ГИС. Как правило, обязанности оператора по эксплуатации системы устанавливаются подзаконными правовыми актами, закрепляющими правовой режим определенной ГИС ^{[29, 30]}. Общие нормы затрагивают лишь вопросы организации защиты информации в процессе эксплуатации.

Эксплуатация информационной системы может предусматривать, в частности, следующие обязанности оператора:

– регистрация пользователей;

– организация консультационной поддержки пользователей;

– закупка комплектующих, запасных частей для компьютерного оборудования, продление и (или) расширение гарантийных обязательств на оборудование, входящее в состав информационной системы;

– сервисное обслуживание, обновление и адаптация программного обеспечения, используемого в информационной системе;

– методическое обеспечение деятельности поставщиков информации по внесению информации, включая разъяснения по заполнению форм представления информации;

– разграничение прав доступа пользователей и поставщиков информации к системе и т.д.

Некоторые из этих обязанностей могут быть делегированы внешним исполнителям, выполняющим работы по сопровождению ГИС.

5. Сопровождение (обслуживание, поддержка).

Сопровождение информационной системы – деятельность, осуществляемая специальным субъектом – сопроводителем (в качестве которого обычно выступает разработчик или поставщик системы) на договорной основе на этапе эксплуатации. Согласно ГОСТ 34.601-90, эта деятельность включает этапы «выполнение работ в соответствии с гарантийными обязательствами» и «послегарантийное обслуживание» ^[31].

Обязанности сопроводителя обычно включают техническую поддержку аппаратного и программного обеспечения ИС, его настройку, решение возникающих проблем, а также некоторые обязанности оператора, которые могут быть делегированы на основании договора.

Стоит отметить, что ГОСТ Р ИСО/МЭК 12207-99 сближает понятия сопровождения и модернизации информационной системы: «Данный процесс реализуется при изменениях (модификациях) программных средств ИС и соответствующей документации… Целью процесса является изменение существующего программного продукта при сохранении его целостности» ^[32]. Основное отличие заключается в том, что сопровождение – это деятельность, непрерывно осуществляемая на протяжении всего периода эксплуатации ИС, а отношения по модернизации завершаются при достижении установленных целей.

6. Вывод из эксплуатации.

Вывод информационной системы из эксплуатации – последняя стадия жизненного цикла, после завершения которой правоотношения по поводу информационной системы прекращаются, информационная система перестает существовать как объект права (но таковыми остаются ее элементы: программное обеспечение, информационные ресурсы, технические средства).

Для информационных систем, находящихся в эксплуатации федеральных органов исполнительной власти, п. 20 Постановления Правительства РФ № 676 установлены основания вывода ИС из эксплуатации: завершение срока эксплуатации, установленного правовым актом о вводе системы в эксплуатацию; нецелесообразность дальнейшей эксплуатации, в том числе вследствие изменения правового регулирования; финансово-экономическая неэффективности эксплуатации. Вывод системы из эксплуатации не должен нарушить права пользователей, в том числе право на доступ к информации. Соответственно, оператор ГИС (иной уполномоченный орган) обязан:

– обеспечить хранение информации в течение срока, не меньшего сроков хранения бумажных документов, содержащих такую информацию (если нормативными правовыми актами Российской Федерации не установлено иное), обеспечивать защиту и доступ к ней;