Читать или не читать? Перлюстрация корпоративной электронной почты::Журнал СА 6.2011
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora

ЭКСПЕРТНАЯ СЕССИЯ 2019


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 1894
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 1936
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1497
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1098
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1667
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

Электронка - 2020!

 Читать или не читать? Перлюстрация корпоративной электронной почты

Архив номеров / 2011 / Выпуск №6 (103) / Читать или не читать? Перлюстрация корпоративной электронной почты

Рубрика: Закон есть закон

Антон Стружков АНТОН СТРУЖКОВ, генеральный директор ООО «Юридический Центр «Глосса»

Читать или не читать?
Перлюстрация корпоративной электронной почты

Не секрет, что во многих компаниях корпоративная электронная почта подвергается перлюстрации – просмотру без ведома отправителя и адресата. Непосредственным исполнителем подобных действий является, как правило, системный администратор, которого не может не волновать вопрос собственной ответственности

Инициатором такой проверки может выступать как непосредственный руководитель организации (в небольших компаниях), так и служба безопасности (в больших компаниях). Работодатель оправдывает такие действия необходимостью соблюдения режима коммерческой тайны или выявления нелояльных компании сотрудников.

Для начала попробуем разобраться в законности подобных действий вообще. Какие нормы закона защищают тайну переписки, и чем она может быть ограничена?

Прежде всего это ч.2 ст.23 Конституции РФ, которая говорит о том, что каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Тайну переписки также гарантирует п.1 ст.63 Федерального закона от 07.07.2003 №126-ФЗ «О связи», конкретизируя, что данная гарантия распространяется в том числе и на сообщения, передаваемые по сетям электросвязи и сетям почтовой связи.

Этот же пункт уточняет, что ограничение права на тайну переписки допускается только в случаях, предусмотренных федеральными законами. Ограничения такого рода установлены в следующих случаях:

  • введение военного положения (п.15 ст.7 Федерального конституционного закона от 30.01.2002 №1-ФКЗ «О военном положении»);
  • контртеррористическая операция (п.4 ст.11 Федерального закона от 06.03.2006 №35-ФЗ «О противодействии терроризму»);
  • контрразведывательные мероприятия (ст.9 Федерального закона от 03.04.1995 №40-ФЗ «О Федеральной службе безопасности»);
  • расследование уголовного дела (ст.13 Уголовно-процессуального кодекса РФ);
  • оперативно-розыскная деятельность (ст.6 Федерального закона от 12.08.1995 №144-ФЗ «Об оперативно-розыскной деятельности»).

Как видно, необходимость соблюдения режима коммерческой тайны и выявление нелояльных компании сотрудников не относятся к случаю, когда гарантия тайны переписки может быть нарушена.

Соответственно единственное, что может ограничить право на тайну переписки, – судебное решение, которое в данном случае не может быть вынесено.

На практике достаточно спорным можно назвать вопрос о том, является ли явная перлюстрация, т.е. перлюстрация, о которой сотрудник заранее извещен, нарушением тайны переписки. С одной стороны, заблаговременное извещение сотрудника или получение его согласия на перлюстрацию корпоративной электронной почты явно дает ему понять, что это не тот канал информации, по которому стоит вести личную переписку.

С другой стороны, гарантия тайны переписки, установленная ч.2 ст.23 Конституции РФ, носит императивный характер, т.е. не может быть изменена ни соглашением между работодателем и работником, ни заблаговременным предупреждением работника о перлюстрации. Кроме того, нельзя быть убежденным в том, что даже предупрежденный о перлюстрации работник не получит по почте письмо, содержащее данные личного характера, защита тайны которых гарантируется.

Ответственность за нарушение тайны переписки предусмотрена ст.138 Уголовного кодекса РФ. Часть 1 этой статьи не предусматривает наказания в виде лишения свободы. Штраф за простое нарушение тайны переписки может составить до 80 000 рублей или в размере заработной платы за срок до шести месяцев. Кроме того, санкция этой нормы предусматривает ответственность в виде обязательных и исправительных работ, которые в настоящий момент практически не применяются.

Часть 2 этой же статьи предусматривает ответственность за нарушение тайны переписки, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации. Такой состав в уголовно-правовых терминах именуется «квалифицированным», т.е. включающим в себя признаки, отягчающие ответственность. Соответственно и санкция за такое преступление серьезнее: лишение свободы на срок до четырех лет или штраф от 100 000 до 300 000 рублей.

Кроме того, часть 3 этой же статьи предусматривает ответственность за незаконные производство, сбыт или приобретение специальных технических средств, предназначенных для негласного получения информации. Наказание за такое преступление в виде лишения свободы может составить до трех лет.

Следует отдельно отметить, что ситуация, в которой нарушение тайны переписки происходит путем выдачи соответствующего распоряжения руководителем или службой безопасности компании системному администратору с дальнейшим совершением администратором соответствующих действий, квалифицируется уголовным законодательством как соучастие. В соответствии со ст.32 УК РФ под соучастием понимается умышленное совместное участие двух или более лиц в совершении умышленного преступления.

В случае если у руководителя, выдающего распоряжение, и у системного администратора имеется одинаковый умысел, направленный на нарушение тайны переписки, то роль руководителя именуется как «организатор преступления», а роль системного администратора именуется как «исполнитель преступления».

Очевидно, что в случае привлечения системного администратора к уголовной ответственности за нарушение тайны переписки, одновременно с ним должно быть привлечено лицо, которое в явном и однозначном виде потребовало от системного администратора совершения соответствующих действий.

С учетом вышесказанного системный администратор, получивший распоряжение о проверке корпоративной почты сотрудников компании, может попытаться обезопасить себя следующими инструментами:

  • Обязательно убедиться в том, что почтовый ящик сотрудника, почту с которого требуется перлюстрировать, не является его личным ящиком.
  • Убедиться в том, что о перлюстрации корпоративной электронной почты предупреждены работники, чья переписка будет просматриваться. Соответствующее предупреждение может быть выражено в отдельном документе (с которым можно попросить ознакомиться и по возможности снять копию), в тексте трудового договора или в локальном нормативном акте (о содержании которого работники должны быть осведомлены – с распиской об ознакомлении также стоит ознакомиться).
  • Получить от лица, дающего распоряжение на перлюстрацию, письменное подтверждение о выдаче такого распоряжения, содержащее информацию о том, переписку с какого почтового ящика и за какой период необходимо перлюстрировать, за кем из работников закреплен этот почтовый ящик, извещен ли данный работник о том, что корпоративная почта подлежит просмотру, и о запрете использовать ее для личных нужд, с подписью лица, выдающего такое распоряжение, и расшифровкой подписи. Данный документ в дальнейшем позволит доказать, что перлюстрация не производилась системным администратором по собственной инициативе и не имела своей целью нарушение тайны переписки.
  • Желательно составление отчета и предоставление его лицу, выдавшему распоряжение о перлюстрации, из содержания которого следует, какие именно письма были перлюстрированы, и что именно обнаружилось при перлюстрации. Отчет должен быть передан лицу, выдавшему распоряжение о перлюстрации, под расписку (например, составлен в двух экземплярах, на одном из которых проставляется отметка о получении – этот экземпляр остается на руках у системного администратора).

Письменное распоряжение может выглядеть следующим образом:

«Распоряжение.

В целях реализации режима коммерческой тайны, действующей в ______________ , осуществить проверку входящей и исходящей корпоративной электронной почты за пе-риод с «___»______20___г. по «___»______20___г. по следующим адресам электронной почты:

______@_______.__ (почтовый ящик закреплен за ___________________);

______@_______.__ (почтовый ящик закреплен за ___________________);

______@_______.__ (почтовый ящик закреплен за ___________________).

Вышеуказанные лица предупреждены о возможности проверки корпоративной электронной почты посредством ____________________________________.

Обязанность по выполнению настоящего распоряжения возложить на _____________________.

Отчет о произведенных проверочных мероприятиях представить не позднее «___»________20____г.

Число, подпись, расшифровка подписи».

Таким образом, следует констатировать, что перлюстрация корпоративной электронной почты в любом случае незаконна, если отсутствует предупреждение работника об этом. Лица, виновные в нарушении тайны переписки, могут быть привлечены к ответственности.

Предупреждение работника о перлюстрации, оформленное в виде отдельного документа с подписью работника, включенное в текст трудового договора или приложения к нему либо явно выраженное в правилах трудового распорядка или ином локальном нормативном акте (как правило, совместно с запретом на использование корпоративной почты в личных целях), в некотором смысле снимает с лиц, осуществивших перлюстрацию, ответственность за нарушение тайны переписки.

Тем не менее данный вопрос до сих пор не нашел однозначного решения ни в законодательстве, ни в судебной практике.


Комментарии
 
  09.06.2011 - 11:09 |  Сергей

Поскольку корпоративная почта предоставляется сотруднику для выполнения его непосредственных обязанностей, о каком нарушении тайны может идти речь? На работе у сотрудника нет ничего "его",кроме кружки и фотографии на рабочем столе. К сожалению есть масса хитрозадых сотрудников, которые пересылают ту или иную конфиденциальную информацию на "личные" ящики (свои или знакомых), а потом пытаются визжать о нарушении тайны переписки. Повторюсь: придя на работу помните: вы зарабатываете деньги для работодателя. Он дал вам орудия труда ( компьютер, интернет, электронную почту, телефон и т.д) которые являются ЕГО собственностью. И он вправе знать, используете ли вы их по назначению, или в СВОИХ, личных целях.

  10.06.2011 - 07:51 |  Гость

"Повторюсь: придя на работу помните: вы зарабатываете деньги для работодателя. Он дал вам орудия труда ( компьютер, интернет, электронную почту, телефон и т.д) которые являются ЕГО собственностью. И он вправе знать, используете ли вы их по назначению, или в СВОИХ, личных целях."

Сергей, Вы не правы. Так можно легко и до крепостного права скатиться. Там тоже помещик давал землю, угодья, которые были ЕГО собственностью...
Если, к примеру, Вам выдают спецодежду, то никто вправе Вас раздеть догола, чтобы проверить, насколько бережно Вы ею пользуетесь. Надеюсь, аналогия понятна.
Не забывайте, что человеку на почтовый ящик может прийти конфиденциальная информация другого плана: восстановление пароля от аккаунта в банк-клиенте и т.д. и т.п. Вправе ли технический специалист или руководство собирать и анализировать подобную информацию?
Другое дело, когда на совершение некоторых действий имеются веские основания. Например, сотрудник постоянно жалуется на то, что почта к нему письма от начальника не доходят, или доходят без вложений, а у начальства и коллег есть подозрения, что человек пытается просто таким образом "откосить" от работы. Тогда да, на лицо явная проблема технического характера и копирование почты с целью анализа наличия тех же вложений - всего лишь один из немногих методов диагностики.
Кстати, любой антиспам, с функцией копирования почты в отдельный каталог уже по сути нарушение тайны переписки. Другое дело, что от антиспама сейчас мало какая организация откажется.

  27.06.2011 - 08:36 |  vchikarin

Позвольте с вами не согласиться.
ч.2 статьи 23 имеет в виду тайну личной переписки, а статья ст.63 126-ФЗ гарантирует неприкосновенность переписки в процессе передачи от отправителя до получателя по каналам связи.
Однако в случае корпоративной электронной почты отправителем является не Иванов Иван Иванович, а сотрудник компании "Рога и Копыта" и соответственно сама компания. Также и получателем является не конкретно Иванов Иван Иванович, а непосредственно сотрудник этой компании.

  27.06.2011 - 08:38 |  vchikarin

Хотя формулировка ч.2 статьи 23 не указывает явно на именно личную переписку, но если рассматривать ее вместе с ч.1, то именно это и имеется в виду.

  27.06.2011 - 11:59 |  Alex

>> Однако в случае корпоративной электронной почты отправителем является не Иванов Иван Иванович, а сотрудник компании "Рога и Копыта" и соответственно сама компания.
Сотрудник компании "Рога и Копыта" Иванов Иван Иванович - это и есть Иванов Иван Иванович. И его ящик i.i.ivanov@roga-i-kopyta.ru - это ЕГО ящик.

В случае, если Иванов Иван Иванович совершит правонарушение с использованием ящика i.i.ivanov@roga-i-kopyta.ru, работая в компании, например, нахамит кому-нибудь, начнет клеветать или призывать к сверженияю государственного строя, то отвечать будет именно, Иванов Иван Иванович на том простом основании, что это был ЕГО ящик, если не доказан факт взлома. Если же ему удается доказать в суде, что к его ящику имел доступ еще кто-то, то ответственность с него может быть переложена на того, кто этот доступ осуществлял и/или предоставлял.

Другое дело, если речь идет о неких ОБЩИХ ящиках, например, postmaster, hr, support, куда имеют доступ НЕСКОЛЬКО сотрудников. Вот тут да, я с Вами соглашусь, это средство корпоративного общения в чистом виде и о личных таинствах речи быть не может.

  14.07.2011 - 10:35 |  zAlex

>> И его ящик i.i.ivanov@roga-i-kopyta.ru - это ЕГО ящик.
>>неких ОБЩИХ ящиках, например, postmaster, hr, support, куда имеют доступ НЕСКОЛЬКО сотрудников

А почему несколько сотрудников не могут иметь доступ к почтовому ящику "i.i.ivanov@roga-i-kopyta.ru"? Это вполне нормальное явление, например, Иванов Иван Иванович работник отдела продаж и этим ящиком пользуются его заместители, сотрудники, коллеги, секретарь и т.д.
Это тоже ОБЩИЙ ящик!
Или - Я директор компании - сегодня этим ящиком пользуется Иванов, а завтра Петров, а послезавтра - Иванов, Петров и Сидоров.
Для тайны переписки - используйте личные почтовые ящики.
Ведь написав почтовое письмо на ОТКРЫТОЙ открытке не в конверте, вы кому-то будете выдвигать претензии - почему вы читаете мою ЛИЧНУЮ почту? Смешно.

  18.07.2011 - 02:14 |  beralex

Вообще-то это совсем не нормальное явление. У заместителей, коллег, секретарей и т.д. должны быть соответствующие ящики на корпоративном почтовом сервере. Когда пользователи знают пароли от корпоративных почтовых ящиков своих коллег, а в случае, с тем же Exchange - от чужих учеток в AD - это совсем не нормально, и Вы прекрасно это понимаете.

Я смотрю, здесь начинается спор ради спора. Хочу напомнить, что сайт модерируется, и попытки потроллить будут пресекаться.

  07.09.2011 - 08:53 |  Алексей

На мой взгляд все это из-за несовершенства законов.
Антон, согласно Вашему комментарию закон о персональных данных действовать не может! Пользователь передает по почте ПД о клиентах и проверить это нельзя по Вашему?

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru