| Краткое содержание: | ОСНОВНИЙ ЗМІСТ РОБОТИ
У вступі обґрунтовано актуальність дослідження, розкрито зв’язок роботи з науковими програмами, планами, темами, визначено мету, завдання, об’єкт, предмет та методи дослідження, сформульовано положення, що містять наукову новизну, окреслено практичне значення отриманих результатів дисертації, наведено дані про апробацію результатів дослідження, кількість публікацій та структуру і обсяг роботи.
Розділ 1 «Адміністративно-правові основи інформаційної безпеки України» складається з двох підрозділів і присвячений формулюванню правового підходу до визначення поняття «інформаційна безпека» як об’єкта адміністративно-правового регулювання та здійсненню загальної характеристики інформаційного законодавства України.
Підрозділ 1.1 «Адміністративно-правовий зміст поняття «інформаційна безпека» присвячено аналізу поняття «інформаційна безпека» в адміністративно-правовому аспекті, а також дослідженню ознак та підходів до визначення вказаного поняття.
У сучасних умовах розвитку інформаційного суспільства рівень інформаційної безпеки не повною мірою відповідає потребам суспільства й держави. Головні учасники інформаційного процесу – кінцеві споживачі інформації – не завжди готові стати частиною повноцінного інформаційного суспільства, до якого впевнено рухаються всі високорозвинені країни. У зв’язку з цим головна увага має зосереджуватися не стільки на технічному забезпеченні інформаційної безпеки, скільки на проведенні психологічної, правової та теоретичної підготовки населення до процедури збирання, зберігання, використання й поширення інформації.
При визначенні змісту поняття «інформаційна безпека» виокремлено декілька підходів окреслення сутності цього феномена, зокрема розуміння інформаційної безпеки як: стану захищеності інформаційного простору; процесу управління загрозами та небезпеками, що забезпечує інформаційний суверенітет України; стану захищеності національних інтересів України в інформаційному середовищі; захищеності встановлених законом правил, за якими відбуваються інформаційні процеси в державі; суспільних відносин, пов’язаних із захистом життєво важливих інтересів людини і громадянина, суспільства та держави від реальних та потенційних загроз в інформаційному просторі.
Сформульовано адміністративно-правовий підхід до визначення поняття «інформаційна безпека», за яким інформаційна безпека має визначатися за допомогою окреслення найбільш важливих її сутнісних ознак з урахуванням постійної динаміки інформаційних систем, врахування майбутніх загроз в інформаційній сфері. Інформаційна безпека – це процес, властивість, а також управління загрозами і небезпеками інформаційної системи, що забезпечує обрання оптимального шляху їх усунення і мінімізації негативних наслідків.
Підрозділ 1.2 «Загальна характеристика інформаційного законодавства України» присвячено аналізу сучасного стану інформаційного законодавства України та формулюванню загальних пропозицій, спрямованих на його вдосконалення.
Під сучасним інформаційним законодавством пропонується розуміти комплекс законів, міжнародних договорів і нормативних актів, що регламентують правовідносини в галузі збирання, опрацювання, збереження і використання інформації. Слід констатувати, що чинні закони України та інші нормативні акти, які безпосередньо чи побічно пов’язані з цими питаннями, не охоплюють весь комплекс проблем і поки що не утворюють цілісної системи.
Важливою проблемою в досліджуваній сфері є недоліки в самому законодавстві: частина положень інформаційного законодавства є застарілою, недостатньо розроблені юридичні механізми реалізації і захисту права на інформацію, спостерігається термінологічна невпорядкованість, мають місце суперечності в регулюванні певних суспільних відносин різними законами, що призводить до неоднозначного тлумачення їх норм та створює труднощі для їх застосування.
Реформування інформаційного законодавства пропонується здійснювати поетапно: 1) прийняття нової редакції Закону України «Про інформацію» та внесення відповідних змін до інших законів у цій галузі; 2) систематизація інформаційного законодавства шляхом консолідації, інкорпорації та кодифікації; 3) прийняття Інформаційного кодексу України. Дисертантом детально обґрунтовано необхідність прийняття Інформаційного кодексу України, окреслено його мету, функції та визначено провідні завдання.
Розділ 2 «Загальноправова характеристика адміністративної відповідальності за правопорушення у сфері інформаційної безпеки України» складається з двох підрозділів і присвячений дослідженню змісту адміністративної відповідальності за правопорушення у сфері інформаційної безпеки України та визначенню складу адміністративних правопорушень у сфері інформаційної безпеки.
У підрозділі 2.1 «Підстави адміністративної відповідальності за правопорушення у сфері інформаційної безпеки України» проаналізовано нормативні підстави настання адміністративної відповідальності та визначено види адміністративних стягнень за вчинення правопорушень у сфері інформаційної безпеки.
Адміністративна відповідальність у сфері інформаційної безпеки – законодавчо встановлений примусовий захід, що застосовується державними органами або за їх дорученням іншими компетентними органами до особи за скоєння адміністративного правопорушення у сфері інформаційної безпеки, з метою зазнати нею відповідних негативних наслідків різноманітного характеру, які визначені чинним адміністративним законодавством. Детально окреслено зміст даного поняття, наведено ознаки, до яких слід віднести такі, що властиві йому як виду юридичної відповідальності.
Визначено, що норми КУпАП, що встановлюють відповідальність у сфері інформаційної безпеки, дублюються нормами інших нормативно-правових актів, які, у свою чергу, інколи навіть прямо суперечать його нормам.
Дисертантом зроблено висновок про те, що більшість складів адміністративних проступків у сфері інформаційної безпеки передбачають альтернативну санкцію. Загалом за вчинення адміністративних правопорушень у сфері інформаційної безпеки України передбачено такі адміністративні стягнення, як попередження, штраф, конфіскація засобів вчинення правопорушення чи продукції, отриманої внаслідок порушення вітчизняних норм права, виправні роботи.
Вибір міри адміністративної відповідальності чи її меж залежить від підготовки конкретних суб’єктів адміністративної юрисдикції, які перебувають у постійній динаміці (реорганізуються, змінюються їх повноваження). У зв’язку з цим пропонується внести зміни до глави 17 КУпАП з метою чіткого розмежування юрисдикційних повноважень суб’єктів, наділених правом накладення адміністративних стягнень за правопорушення у сфері інформаційної безпеки.
Підрозділ 2.2 «Склад адміністративних правопорушень у сфері інформаційної безпеки» присвячено дослідженню поняття «адміністративне правопорушення» та розкриттю змісту складу адміністративних правопорушень у сфері інформаційної безпеки.
Дисертантом запропоновано власне визначення поняття «адміністративне правопорушення у сфері інформаційної безпеки», під яким пропонується розуміти суспільно небезпечне протиправне винне каране діяння, що посягає на суспільні відносини, врегульовані інформаційним законодавством, за вчинення якого передбачена адміністративна відповідальність.
Дослідження адміністративних правопорушень у сфері інформаційної безпеки дає змогу дійти висновку про наявність неоднозначного використання понятійно-категорійного апарату законодавцем у статтях КУпАП. Так, ст. 1669 передбачає розголошення інформації; ст. 18511 – розголошення відомостей; ст. 2126 – здійснення незаконного доступу до інформації, яка зберігається, обробляється чи передається в інформаційних (автоматизованих) системах; ст. 532 – перекручення даних. Не менш проблематичним є також визначення виду інформації, зокрема: у статтях 827, 831, 1885, 18811, 18815, 18818, 18819 передбачені адміністративні проступки з приводу неправдивої інформації; у статтях 914, 96, 164, 18814 – недостовірної інформації; у ст. 18813 – неправдивих відомостей; у статтях 1651, 1654 – недостовірних відомостей; у ст. 2123 – інформації, що не відповідає дійсності тощо. Така ситуація ускладнює правозастосовний процес через можливість довільного суб’єктивного тлумачення категорій «інформація», «дані», «відомості» чи їх видів – «недостовірна», «неправдива», «неточна» тощо.
Запропоновано внести зміни до КУпАП через виокремлення глави, в якій містилися би склади адміністративних правопорушень у сфері інформаційної безпеки. При цьому пропонується поділити всі адміністративні правопорушення залежно від того, яке право порушується, а саме, адміністративні правопорушення, що посягають на суспільні відносини у сфері: збирання інформації; зберігання інформації; використання інформації; поширення інформації.
Більшість адміністративних правопорушень у сфері інформаційної безпеки можуть вчинятися виключно завдяки активній поведінці особи. Низка адміністративних правопорушень у сфері інформаційної безпеки передбачає неоднозначне розуміння об’єктивної сторони. Так, статті 1863, 18813, 2116, 1881 КУпАП передбачають «неподання» інформації. Щодо інших складів проступків у цій сфері, то вони можуть здійснюватись шляхом «ненадання» (статті 413, 827, 1885, 18811, 18815, 18818 КУпАП). «Несвоєчасне подання» інформації передбачено в статті 1664, 1669 КУпАП, а «неповідомлення, несвоєчасне повідомлення відомостей» міститься у ст. 1634 КУпАП. Така полісемія негативно впливає на правозастосовний процес та потребує вдосконалення.
Пропонується закріпити на законодавчому рівні право особи, що притягається до адміністративної відповідальності, оспорювати свою вину з причини незнання закону в двох аспектах: 1) через неможливість ознайомитися із законом або іншим нормативно-правовим актом; 2) за фактом неправильного використання норми в тих випадках, коли відповідна норма викладена таким чином, що дає підстави для неоднозначного її тлумачення.
Розділ 3 «Напрями вдосконалення адміністративної відповідальності у сфері інформаційної безпеки України» складається з трьох підрозділів і присвячений дослідженню тенденцій адміністративної відповідальності у сфері інформаційної безпеки, а також проблемним питанням застосування адміністративної відповідальності за правопорушення у сфері захисту державної таємниці та охорони конфіденційної інформації.
У підрозділі 3.1 «Тенденції застосування адміністративної відповідальності у сфері інформаційної безпеки» виділено основні тенденції адміністративної відповідальності у сфері інформаційної безпеки України та особливості застосування адміністративної відповідальності за вчинювані правопорушення у зазначеній сфері.
Класифікацію всього масиву складів адміністративних правопорушень чинного КУпАП законодавець здійснив на основі таких критеріїв, які зумовили те, що правопорушення, котрі посягають на єдиний родовий об’єкт, опинилися в різних главах. Нами запропоновано об’єднати статті, що передбачають адміністративну відповідальність за порушення окремих аспектів інформаційної безпеки (статті 145, 146, 147, 1481, 1482, 1483, 1484, 1485, 1646, 1647, 1648, 1649, 1842, 1857, 18511, 1863, 1866, 18825, 1955, 2122, 2123, 2125, 2126 КУпАП) в окремий розділ «Адміністративні правопорушення у сфері інформаційної безпеки України» Особливої частини КУпАП.
При дослідженні тенденцій інституту адміністративної відповідальності у сфері інформаційної безпеки встановлено необхідність розширення кола її суб’єктів шляхом притягнення до відповідальності юридичних осіб.
Однією з важливих тенденцій адміністративної відповідальності також є збільшення кількості таких складів адміністративних проступків, суб’єктом порушення яких є посадова особа. Важливою нормою КУпАП в цьому контексті є ч. 1 ст. 15 КУпАП, згідно з якою військовослужбовці і призвані на збори військовозобов’язані, а також особи рядового і начальницького складу органів внутрішніх справ за незаконне придбання або зберігання спеціальних технічних засобів для зняття інформації з каналів зв’язку, інших засобів негласного отримання інформації, за порушення законодавства про державну таємницю несуть адміністративну відповідальність на загальних підставах.
Окрема увага в роботі приділена розгляду міжнародного досвіду протидії правопорушенням інформаційного характеру в країнах-членах ЄС. Це кібербулінг (кіберхуліганства); фітинг – використання інтернет-технологій з метою отримання доступу до конфіденційної інформації про користувачів (паролів, логінів, фінансової інформації тощо); грумінг – використання інтернет-технологій задля входження в довіру до дитини з метою схилити її до якоїсь неналежної поведінки, в тому числі й сексуального характеру.
Аналіз вітчизняного адміністративного законодавства дає змогу дійти висновку про відсутність статті, в якій було б передбачено адміністративну відповідальність за вчинення кіберхуліганства. Враховуючи актуальність проблеми кіберхуліганства, вважаємо за доцільне доповнити КУпАП статтею відповідного змісту.
У підрозділі 3.2 «Особливості застосування адміністративної відповідальності за правопорушення у сфері захисту державної таємниці» наголошується, що державна таємниця існує в усіх країнах світу і є невід’ємною складовою суверенітету і системи управління.
Розглядаючи зміст поняття «державна таємниця» (секретна інформація) в адміністративно-правовому аспекті, дисертант здійснив аналіз положень Закону України «Про державну таємницю» від 21 січня 1994 року та визначення вказаного поняття в законодавстві Французької Республіки, США, Російської Федерації, Республіки Словенія, Угорщини, Республіки Білорусь, Грузії, Естонської Республіки, Республіки Азербайджан та Республіки Вірменія.
При здійсненні аналізу складу адміністративного правопорушення за порушення законодавства про державну таємницю, передбаченого ст. 2122 КУпАП, особлива увага зверталася на визначення родового об’єкта правопорушення та його об’єктивної сторони. Зроблено висновок про те, що найбільш поширеним адміністративним правопорушенням у сфері державної таємниці є склад правопорушення, передбаченого п. 6 ч. 1. ст. 2122 КУпАП.
У результаті розгляду питання щодо кваліфікації порушень законодавства про державну таємницю зроблено висновок про наявність неузгодженості нормативно-правових актів, що регулюють суспільні відносини в інформаційній сфері стосовно визначення термінів «криптографічний захист секретної інформації» та «технічний захист секретної інформації», що містяться в Законі України «Про державну таємницю» та Законі України «Про захист інформації в інформаційно-телекомунікаційних системах».
Доволі складним завданням у правозастосовній практиці є кваліфікація діяння за п. 2, 3 ст. 2122 КУпАП, оскільки поняття «засекречування інформації», а тим більше «безпідставне засекречування інформації» не визначено в нормативно-правових актах. Наявність таких колізій обумовлює неефективність адміністративно-правового регулювання суспільних відносин у сфері державної таємниці, а тому потребує узгодження та внесення відповідних поправок до чинного законодавства. У зв’язку з цим конструктивною є пропозиція щодо необхідності заміни в п. 2 та 3 ч. 1 ст. 2122 КУпАП словосполучення «засекречування інформації» на словосполучення «надання грифа секретності матеріальним носіям інформації».
Дисертантом наголошується на існуванні проблеми, коли надання грифа секретності матеріальним носіям конфіденційної або іншої таємної інформації, яка не становить державної таємниці (п. 4 ч. 1 ст. 2122 КУпАП), є окремим складом проступку, хоча в п. 3. ч. 1. ст. 2122 КУпАП передбачено адміністративну відповідальність за безпідставне засекречування інформації.
Дискусійним з точки зору кваліфікації правопорушення за порушення законодавства про державну таємницю є питання щодо об’єктивної сторони складу делікту, відповідальність за вчинення якого встановлено п. 9 ч. 1 ст. 2122 КУпАП – невиконання норм і вимог криптографічного та технічного захисту секретної інформації, внаслідок чого виникає реальна загроза порушення цілісності цієї інформації або просочування її технічними каналами. Проблема полягає у визначенні моменту, з якого слід вважати наявність реальної чи потенціальної загрози інформації.
Зазначаючи, що суб’єктом правопорушення, передбаченого ст. 2122 КУпАП, може бути не лише громадянин України, а й іноземці та особи без громадянства, дисертант вказує на наявність протиріччя між зазначеною нормою та ст. 28 Закону України «Про державну таємницю», в якій вже закріплено обов’язки тільки громадянина щодо збереження державної таємниці. Тому пропонується встановити відповідальність іноземців та осіб без громадянства за порушення законодавства про державну таємницю, доступ до державної таємниці яким надається у виняткових випадках на підставі міжнародних договорів України, згода на обов’язковість яких надана Верховною Радою України.
За результатами аналізу положень ст. 2122 КУпАП зроблено висновок, що суб’єктивна сторона даного правопорушення не може характеризуватися необережною формою вини, а характеризується лише умисною формою вини.
У підрозділі 3.3 «Особливості застосування адміністративної відповідальності за правопорушення у сфері охорони конфіденційної інформації» зазначається, що законодавче закріплення поняття «конфіденційна інформація» знайшло в Законі України «Про інформацію». Так, у ст. 30 конфіденційна інформація визначається як відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених умов.
Зі змісту даного визначення можна дійти висновку, що держава не є суб’єктом правовідносин у сфері конфіденційної інформації. Такий підхід суперечить вимогам українського законодавства, яким встановлено, що суб’єктом права власності є і держава. На основі аналізу змісту ст. 30 Закону України «Про інформацію» можна класифікувати конфіденційну інформацію за суб’єктом її володіння, користування або розпорядження на державну та недержавну.
Дисертант наголошує, що доволі дискусійним є положення Закону України «Про інформацію», згідно з яким інформація з обмеженим доступом може бути поширена без згоди її власника, якщо ця інформація є суспільно значимою і якщо право громадськості знати цю інформацію переважає над правом її власника на її захист. Поняття «суспільно значима інформація» не має нормативного закріплення в жодному нормативно-правовому акті. Більше того, низка нормативно-правових актів містить інше поняття: зокрема, в ст. 37 Закону України «Про телебачення й радіомовлення» на телерадіоорганізації покладено обов’язок не розголошувати інформацію про приватне життя громадянина без його згоди за умови, якщо ця інформація не є суспільно необхідною. Отже, використовується інше поняття – «суспільно необхідна інформація», що також не знайшло нормативного закріплення, а тому в подальшому може слугувати зловживанню державних інституцій.
Адміністративна відповідальність за правопорушення у сфері конфіденційної інформації була встановлена Законом України «Про внесення змін до деяких законодавчих актів України» від 11 травня 2004 року, який надав правове підґрунтя для встановлення адміністративної відповідальності за вчинення ряду правопорушень у сфері інформаційної безпеки, зокрема: ст. 1955, 2125 та ст. 2126 КУпАП.
Ст. 47 Закону України «Про інформацію» передбачає, що відповідальність за порушення законодавства про інформацію несуть особи, винні у вчиненні необґрунтованого віднесення окремих видів інформації до категорії відомостей з обмеженим доступом. Якщо в КУпАП є стаття, що передбачає адміністративну відповідальність за безпідставне засекречування інформації (ст. 2122), то за безпідставне надання грифу «Для службового користування» адміністративна відповідальність не встановлена. У зв’язку з цим дисертант у роботі детально зупинився на процедурі надання інформації вищезазначеного статусу.
Важливою ознакою складу адміністративного правопорушення є суб’єкт. Суб’єктом правопорушення, передбаченого ст. 2122 і ст. 2125 КУпАП, може бути посадова особа і громадянин.
Якщо Законом України «Про інформацію» визначено низку вимог до громадян України, яким надається допуск чи доступ до державної таємниці, то законодавчого закріплення вимог до громадян, яким надається допуск чи доступ до конфіденційної інформації, що є власністю держави, на сьогодні чітко не встановлено. Так, відповідно до п. 28 Постанови Кабінету Міністрів України № 1893 від 27 листопада 1998 року ознайомлення представників засобів масової інформації з документами з грифом «Для службового користування» та надання їм таким матеріалів допускається в кожному конкретному випадку за письмовими дозволами керівників організацій, які мають право затверджувати переліки відомостей з конфіденційною інформацією, що є власністю держави.
Здебільшого суб’єктом більшості порушень, передбачених ст. 2125 КУпАП, є посадова особа. Саме тому діяння, передбачене ст. 2125 КУпАП, може здійснюватись у формі дії чи бездіяльності.
Чинне законодавство про адміністративні правопорушення у сфері конфіденційної інформації потребує вдосконалення, оскільки в Кодексі України про адміністративні правопорушення не передбачено юридичної відповідальності за порушення службової, військової, медичної, адвокатської, нотаріальної, професійної таємниці, а також таємниці попереднього слідства й особистого життя. |
