Для защиты непубличных данных компании используют разные инструменты — от классических NDA до полноценного режима коммерческой тайны. При этом эксперты отмечают, что юридических мер недостаточно. Нужен комплексный подход, в который входят технические средства защиты, обучение сотрудников и процессы работы с конфиденциальными данными. Грядущее повышение штрафов до 5 млн руб. не поможет исправить ситуацию, но потенциально стимулирует компании вкладываться в средства защиты информации.
Когда бизнес использует режим коммерческой тайны
Российские компании могут защищать режимом коммерческой тайны практически любые сведения, у которых есть ценность. Советник «Пепеляев Групп» Наталия Балекина указывает, что закон не устанавливает исчерпывающий перечень информации для защиты. Бизнес сам выбирает, какие данные нуждаются в особой охране.
Компании чаще всего защищают режимом коммерческой тайны бизнес-планы, финансовую информацию, технологические решения, клиентские базы и внутренние отчеты о продажах.
На практике режим коммерческой тайны используют две основные группы, рассказывает руководитель проектов адвокатского бюро S&K Вертикаль Борис Романов. Первыми стали IT-компании и организации, которые работают с интеллектуальной собственностью. Вторая группа — компании с развитыми производственными процессами, которые дают преимущество на рынке. Советник АЛРУД Анастасия Петрова добавляет, что производственные компании защищают ноу-хау, технологии и сведения об особенностях используемого сырья. А разработчики берегут информацию о программном коде, алгоритмах и формулах.
Руководитель коммерческой практики ALUMNI Partners Александр Муравин подчеркивает важный момент: не любую информацию можно отнести к коммерческой тайне. «Не могут составлять коммерческую тайну сведения из учредительных документов, данные о численности сотрудников и зарплатах, информация о задолженностях по выплатам», — поясняет Муравин.
Петрова добавляет, что стандартной практикой для компаний из разных отраслей стала защита коммерческой информации о клиентах, партнерах, планах развития и условиях работы с контрагентами. Советник юрфирмы «Томашевская и партнеры» Елена Жигаева подтверждает этот тезис: «Как правило, компании защищают режимом коммерческой тайны практически весь спектр своих финансовых документов, включая бизнес-планы и стратегии развития».
Как защитить информацию: технические и юридические инструменты
Эксперты сходятся во мнении, что мало только юридически оформить режим коммерческой тайны . Жигаева напоминает: информационную безопасность бизнеса обеспечивают прежде всего технические средства — от антивирусов до систем шифрования данных и механизмов подавления записывающих устройств. Петрова указывает, что нужно использовать защищенные системы электронного документооборота: «Компаниям важно принимать меры для защиты информации, включая технологические решения для оперативного реагирования на утечки».
Романов рассказывает о практических мерах контроля: «В организациях издают приказы о допуске работников к сведениям, составляющим коммерческую тайну. В некоторых случаях даже печать документов требует оформления служебной записки и согласования с руководством». По словам Романова, такие методы могут показаться излишне строгими, но они помогают минимизировать число утечек. «Наиболее эффективные инструменты контроля за разглашением коммерческой тайны — ограничение круга лиц с доступом к данным и минимизация каналов распространения информации», — отмечает Романов. Жигаева добавляет, что важно использовать соответствующие договорные конструкции, например соглашения о неразглашении с контрагентами и включение оговорок в трудовые договоры.
По мнению Муравина, залог успеха — это продуманный процесс охраны информации. «Нужно определить список лиц с доступом, обеспечить контроль через архивное хранение и технические ограничения копирования, провести инструктаж сотрудников о последствиях разглашения», — поясняет эксперт. По его словам, нередко причиной утечек становится небрежное отношение к данным, которые формально защищают, но в реальности делают доступными широкому кругу лиц.
В связи с этим Балекина рекомендует применять комплексный подход: сочетать правовые, технические и организационные меры, включая регулярное обучение работников правилам безопасной работы с информацией.
Повысят штрафы — пропадут утечки? Нет
Минфин предложил ужесточить наказание за разглашение коммерческой тайны. Ведомство разработало законопроект об увеличении размера максимального штрафа с 1,5 до 5 млн руб. Поправки уже ждут рассмотрения в Госдуме (законопроект № 825103-8). Изменения могут коснуться и других видов наказания. Так, за разглашение налоговой и коммерческой тайны предлагают назначать штраф вместе с лишением свободы на срок от двух лет. А если нарушение привело к тяжким последствиям — лишать свободы на срок от трех до семи лет со штрафом от 1 до 5 млн руб.
В Минфине инициативу объясняют ростом числа утечек данных. Ведомство выявило уже 65 ресурсов, которые раскрывают информацию из баз данных таможенных органов. Особую тревогу у чиновников вызывает защита данных о схемах ввоза подсанкционных товаров и сохранение производственно-технологических цепочек.
Эксперты считают эту меру полезной, но недостаточной для полной защиты конфиденциальных данных.
Петрова уверена: повышение штрафов вынудит компании внимательнее относиться к вопросам наделения должностных лиц полномочиями и предоставления им доступа к информации. А Жигаева полагает, что для крупных компаний с большими ресурсами более действенной мерой мог бы стать оборотный штраф или определение его размера в процентах от стоимости активов.
Повышение штрафов должно привести к более внимательному отношению лиц к вопросам обращения с информацией, что сократит количество случайных и ненамеренных разглашений. При этом нет ожиданий, что повышение сильно повлияет на действия злоумышленников.
Муравин тоже указывает на ограниченность влияния штрафов. «Повышение санкций может стимулировать предпринимателей тщательнее подходить к защите данных. Но на вероятность эксцесса исполнителя, случаи промышленного шпионажа или хакерских атак повышение штрафов не повлияет», — объясняет он.
NDA или режим коммерческой тайны: что выбрать бизнесу
Бизнес часто путает понятия «режим коммерческой тайны» и «режим конфиденциальности», используя их как взаимозаменяемые. Но требования и правовые последствия у этих режимов разные. Муравин поясняет, что для установления режима коммерческой тайны нужно нанести на документ специальный гриф, указав название компании и адрес, ограничить доступ к нему и создать условия хранения.
«NDA (соглашение о неразглашении) можно заключить в обход строгих процедур по установлению режима коммерческой тайны. Но за нарушение режима коммерческой тайны предусмотрены более строгие меры ответственности», — говорит Жигаева.
Петрова подтверждает, что соглашение о коммерческой тайне эффективнее для защиты информации. «За ее нарушение можно применять более широкий перечень санкций, включая полную материальную ответственность для работников, дисциплинарную ответственность в виде немедленного увольнения, административную и уголовную», — поясняет Петрова.
При этом NDA тоже имеет преимущества. По словам Романова, такое соглашение позволяет зафиксировать обязанность любых лиц сохранять конфиденциальность сведений. «На практике привлечь нарушителя NDA к ответственности сложнее, чем нарушителя режима коммерческой тайны, поскольку труднее доказать, что он виноват в распространении конфиденциальной информации», — отмечает Романов.
По словам Балекиной, выбор варианта соглашения зависит от типа информации. NDA подходит для защиты любой конфиденциальной информации, а соглашение о коммерческой тайне регулирует работу только с данными, в которых есть коммерческая ценность. «NDA часто используется в рамках разовых проектов или для защиты информации при переговорах. А соглашение о коммерческой тайне применяется для долгосрочной защиты важной для бизнеса информации», — резюмирует Жигаева.
В целом же эксперты сходятся во мнении, что режим коммерческой тайны предпочтительнее в контексте крупных долгосрочных и дорогостоящих проектов. NDA проще внедрить, но сложнее использовать, чтобы привлечь нарушителей к ответственности.
