Кібербезпека банківських та комерційних структур
2. Відповідальність за посягання на банківську таємницю
Відповідно до чинного законодавства, за посягання на комерційну та банківську таємниці може наставати кримінальна, цивільна, адміністративна або дисциплінарна відповідальність.
Кримінальна відповідальність може настати за дії , передбачені ст. 231 «Незаконне збирання з метою використання або використання відомостей, що становлять комерційну таємницю» і ст. 232 «Розголошення комерційної таємниці» Кримінального кодексу України.
Під незаконним збиранням з метою використання або використання відомостей, що становлять комерційну таємницю, розуміють умисні дії, спрямовані на отримання відомостей, що становлять комерційну таємницю, з метою розголошення чи іншого використання цих відомостей (комерційне шпигунство), а також незаконне використання таких відомостей, якщо це спричинило істотну шкоду суб´єкту господарської діяльності. Такі дії караються штрафом від 200 до 1000 неоподатковуваних мінімумів доходів громадян, або обмеженням волі на термін до п´яти років, або позбавленням волі на термін до трьох років.
Статтею передбачена відповідальність за такі злочини:
• незаконне збирання з метою використання відомостей, що становлять комерційну таємницю;
• незаконне використання відомостей, що становлять комерційну таємницю, якщо це завдало великої матеріальної шкоди суб´єкту підприємницької діяльності.
Незаконним збиранням відомостей можуть бути активні дії, спрямовані на добування (одержання) таких відомостей у будь-який спосіб: вилучення (викрадення), незаконне ознайомлення, прослуховування телефонних розмов, опитування співробітників, одержання відомостей за плату або через погрози, насильство тощо.
Під незаконним використанням відомостей, що становлять комерційну таємницю, слід розуміти впровадження чужих таємниць у власне виробництво, урахування здобутих відомостей під час планування власної діяльності, продажу, розголошення відомостей тощо.
Обов´язковою ознакою незаконного використання комерційної таємниці є наслідки у вигляді істотної матеріальної шкоди. Оскільки кримінальне покарання настає за незаконне збирання і незаконне використання відомостей, що становлять комерційну таємницю, необхідно визначити критерії законності чи незаконності такого збору. Критеріями законного отримання інформації можуть бути:
• наявність підстав для збирання і використання відомостей, передбачених законом чи договором;
• наявність необхідних повноважень;
• наявність згоди власника таємниці на ознайомлення з нею відповідних осіб.
Умисне розголошення комерційної таємниці без згоди її власника особою, якій ця таємниця відома у зв´язку з професійною або службовою діяльністю, якщо воно вчинене з корисливих чи інших особистих мотивів і завдало істотної шкоди суб´єкту господарської діяльності, карається штрафом від 200 до 500 неоподатковуваних мінімумів доходів громадян з позбавленням права обіймати певні посади чи займатись певною діяльністю на термін до трьох років, або виправними роботами на термін до двох років, або позбавленням волі на той самий термін.
Кримінальній відповідальності за незаконне розголошення комерційної таємниці підлягають лише особи, яким відомості, що становлять комерційну таємницю, стали відомі у зв´язку з їхньою професійною чи службовою діяльністю і які юридично зобов´язані зберігати ці відомості.
Способи розголошення можуть бути різні: повідомлення іншим особам, надання їм для ознайомлення документів, повідомлення закритих відомостей у засобах масової інформації.
Суб’єктом злочину можуть бути працівники банку, яким комерційна таємниця відома у зв´язку із їхньою професійною або службовою діяльністю, а також посадові особи і співробітники правоохоронних органів, органів податкової служби, які у зв´язку зі своїм посадовим становищем чи особливостями професійної діяльності отримують інформацію, що становить комерційну таємницю.
Незаконне втручання в роботу автоматизованих електронно-обчислювальних машин (комп´ютерів), систем та комп´ютерних мереж, якщо це призвело до перекручення чи зни щ ення комп´ютерної інформації або носіїв такої інформації, розповсюдження комп´ютерного вірусу через застосування програмних і технічних засобів, призначених для незаконного проникнення в ці машини, системи чи комп´ютерні мережі, є злочином і карається у порядку, передбаченому кримінальним законодавством. До цього виду злочинів належать і викрадення, привласнення, вимагання комп´ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем, а також порушення правил експлуатації, автоматизованих електронно-обчислювальних систем чи комп´ютерних мереж, коли це спричинило викрадення, перекручення чи знищення комп´ютерної інформації. За перелічені дії відповідальність настає згідно зі ст. 361, 362, 363 Кримінального кодексу України.
Незалежно від вирішення питання про притягнення до кримінальної відповідальності і покарання злочинця зазначені санкції не передбачають відшкодування суб´єкту підприємницької діяльності завданих злочином збитків - їх відшкодування може бути здійснене шляхом використання норм цивільного законодавства.
Цивільна відповідальність ґрунтується на цивільно-правових відносинах, за яких одна сторона зобов´язана відшкодовувати другій збитки, завдані протиправними (і не завжди кримінально караними) діями у зв´язку з посяганням на комерційну (банківську) таємницю.
Згідно з Цивільним кодексом України, збитки — це всі витрати, зроблені кредитором, втрата або пошкодження його майна, у разі порушення умов договорів, також стягнення збитків при виникненні зобов´язань із заподіяння шкоди.
Шкода як збитки, заподіяні протиправним посяганням на комерційну (банківську) таємницю, має місце в обох випадках, але правова природа їх відшкодування залежатиме від виду зобов´язань.
У першому випадку збитки, заподіяні протиправним посяганням на комерційну (банківську) таємницю, відшкодовуються винною стороною згідно із передбаченими угодою (договором) зобов´язаннями.
У другому випадку відшкодування збитків здійснюється не за угодою чи договором, а на загальних підставах і принципах відповідальності за заподіяння шкоди. В основі таких зобов´язань лежить не порушення умов угоди (договору), а факт заподіяння шкоди. При цьому відшкодування збитків здійснюється через подання цивільного позову до суду.
Адміністративна відповідальність за посягання на таємниці банку ґрунтується на положеннях Кодексу України про адміністративні правопорушення. Оскільки посягання на таємниці підприємства, фірми, банку законодавством України віднесено до дій, які кваліфікуються як недобросовісна конкуренція, адміністративну відповідальність за такі дії передбачено у ст. 164.3 Кодексу України про адміністративні правопорушення. Згідно із вказаною статтею, отримання, використання, розголошення комерційної таємниці, а також конфіденційної інформації з метою заподіяння шкоди діловій репутації або майну іншого підприємця тягне за собою накладення штрафу від 9 до 18 неоподатковуваних мінімумів доходів громадян.
Крім того, законодавець передбачив адміністративну відповідальність за посягання безпосередньо на банківську таємницю. Так, згідно зі ст. 164.11 Кодексу України про адміністративні правопорушення, незаконне розголошення або використання інформації, що становить банківську таємницю, особою, якій ця інформація стала відома у зв´язку з виконанням професійних чи службових обов´язків, тягне за собою накладення штрафу від 100 до 200 неоподатковуваних мінімумів доходів громадян.
Дисциплінарна відповідальність за посягання на таємниці банку ґрунтується на положеннях трудового законодавства України та нормативної бази самих банків. Слід зазначити, що в останньому випадку відповідальність можуть нести тільки працівники банку.
Банківські установи повинні впроваджувати, підтримувати та покращувати систему управління інформаційною безпекою відповідно до вимог міжнародного стандарту ISO 27001, а персонал дотримуватись законодавчих вимог та внутрішніх вимог щодо забезпечення інформаційної безпеки.
Відповідно до пункту 1 статті 1076 Цивільного кодексу України, відомості, що складають банківську таємницю, можуть бути надані банком органам державної влади та їх посадовим особам виключно у випадках та в порядку, встановлених законом України «Про банки і банківську діяльність».
Стаття 62 (Порядок розкриття банківської таємниці) Закону України «Про банки і банківську діяльність» передбачає декілька випадків розкриття банками інформації, що становить банківську таємницю, у повному обсязі, а саме:
1) на письмовий запит або з письмового дозволу власника такої інформації;
2) на письмову вимогу суду або за рішенням суду;
3) органам прокуратури України, Служби безпеки України, Міністерства внутрішніх справ України, Антимонопольного комітету України - на їх письмову вимогу стосовно операцій за рахунками конкретної юридичної особи або фізичної особи - суб´єкта підприємницької діяльності за конкретний проміжок часу;
4) органам Державної податкової служби України на їх письмову вимогу з питань оподаткування або валютного контролю стосовно операцій за рахунками конкретної юридичної особи або фізичної особи - суб´єкта підприємницької діяльності за конкретний проміжок часу.
Вимога відповідного державного органу на отримання інформації, яка містить банківську таємницю, повинна:
1) бути викладена на бланку державного органу встановленої форми;
2) бути надана за підписом керівника державного органу (чи його заступника), скріпленого гербовою печаткою;
3) містити передбачені цим Законом підстави для отримання цієї інформації;
4) містити посилання на норми закону, відповідно до яких державний орган має право на отримання такої інформації.
Довідки по рахунках (вкладах) у разі смерті їх власників надаються банком особам, зазначеним власником рахунку (вкладу) в заповідальному розпорядженні банку, державним нотаріальним конторам або приватним нотаріусам, іноземним консульським установам по справах спадщини за рахунками (вкладами) померлих власників рахунків (вкладів).
Банку забороняється надавати інформацію про клієнтів іншого банку, навіть якщо їх імена зазначені у документах, угодах та операціях клієнта.
Банк має право надавати загальну інформацію, що становить банківську таємницю, іншим банкам в обсягах, необхідних при наданні кредитів, банківських гарантій.
Обмеження стосовно отримання інформації, що містить банківську таємницю, передбачені цією статтею, не поширюються на службовців Національного банку України або уповноважених ними осіб, які в межах повноважень, наданих Законом України "Про Національний банк України", здійснюють функції банківського нагляду або валютного контролю.
Особи, винні в порушенні порядку розкриття та використання банківської таємниці, несуть відповідальність згідно із законами України.
Письмова вимога суду щодо надання інформації, яка містить банківську таємницю, має відповідати нормам частини 2 статті 62 Закону України «Про банки і банківську діяльність».
Подібним чином визначений і правовий режим захисту конфіденційної інформації. Відповідно до ч. 3 ст. 30 Закону України «Про інформацію», власникам конфіденційної інформації надано право самим включати її до категорії конфіденційної, визначати режим доступу до неї і встановлювати систему (способи) її захисту.
Враховуючи, що перелік відомостей, які становлять комерційну таємницю, визначається керівником підприємства (банку), необхідно пам’ятати, що, згідно з Постановою Кабінету Міністрів України № 611 від 9 серпня 1993 р., не можуть бути комерційною таємницею:
• установчі документи, документи, що дозволяють займатися підприємницькою діяльністю та її окремими видами;
• інформація за всіма встановленими формами державної звітності;
• дані, необхідні для перевірки, обчислення і сплати податків та інших обов´язкових платежів;
• інформація про участь посадових осіб підприємства в кооперативах, малих підприємствах, спілках, об´єднаннях та інших організаціях, що є суб´єктами підприємництва;
• документи про платоспроможність;
• інформація про забруднення навколишнього природного середовища, невиконання умов безпеки праці, реалізацію продукції, яка завдала шкоди здоров´ю, а також інші порушення законодавства України і розміри завданих при цьому збитків;
• відомості, які, відповідно до чинного законодавства, підлягають оголошенню (масова інформація та інформація, що публічно поширюється через друковані та аудіовізуальні канали, закони, нормативні акти, що стосуються свобод і законних інтересів громадян та ін.).
Ураховуючи відкритий доступ до зазначеної інформації, необхідно пояснити таке. До форм державної звітності відносять лише форми, установлені (затверджені) Міністерством статистики України. Під документами про платоспроможність і даними, що необхідні для перевірки обчислення податків, не можна розуміти документи і відомості про операції клієнтів банку, оскільки вони, згідно з Законом України «Про банки і банківську діяльність», належать до банківської таємниці. Як відомо, у разі розходження у правових нормах повинен діяти принцип верховенства закону над підзаконним актом.
Банківські установи повинні впроваджувати, підтримувати та покращувати систему управління інформаційною безпекою відповідно до вимог міжнародного стандарту ISO 27001, а персонал дотримуватись законодавчих вимог та внутрішніх вимог щодо забезпечення інформаційної безпеки.