Секретная информация

К публичной информации относят сведения, которые уже находятся в открытом доступе или являются общеизвестными. В государственных и частных организациях доступ и предоставление подобной информации могут запрашиваться любым гражданином, зачастую для этого существуют специальные процедуры^[3]. Гласность государственных публичных реестров является важной составляющей государственной прозрачности, отчётности перед гражданами и демократических ценностей^[4]. Публичные реестры также могут содержать информацию об идентифицируемых лицах, которая не считается конфиденциальной, например: данные переписи населения, судебные и криминальные записи, реестр сексуальных преступников, списки избирателей и прочее.

Эта категория включает деловую информацию, не требующую специальной защиты и которая может регулярно передаваться как внутри организации, так и за её пределами.

Конфиденциальная информация — понятие, обозначающее чувствительные сведения, доступ к которым ограничен, и которые могут касаться как отдельных лиц, так и организаций.

Однако существуют ситуации, когда раскрытие персональных данных может нанести вред их владельцу. Например, человек, избегающий преследователя, будет стремиться к дополнительной защите своих личных данных. Также, такие сведения, как номер социального страхования, номера банковских карт и прочая финансовая информация, считаются частными, если их разглашение может привести к совершению преступлений — например, кража личных данных или мошенничество.

Некоторые типы личных данных, включая историю медицинского обслуживания, образования или трудовой деятельности, могут охраняться законами о персональных данных^[5]. Неавторизованное разглашение такой информации может повлечь как гражданско-правовые, так и уголовные санкции.

Хотя термины «персональные данные» и «личная информация» часто используются как синонимы, иногда проводится различие между персональными данными (personally identifiable information) и личной информацией (personal information). Первое позволяет идентифицировать конкретного человека, второе — относится к частной жизни, но не даёт однозначной идентификации личности. Пример личной информации — любимый цвет, подробности бытовой жизни^[6]. При этом личная информация также может быть чувствительной: владелец не желал бы её разглашения, поскольку это может привести к нежелательным последствиям.

Конфиденциальная деловая информация (CBI, от англ. Confidential Business Information) — сведения, разглашение которых способно нанести ущерб компании. Сюда относятся коммерческие тайны, планы по продажам и маркетингу, проекты новых товаров, документы по патентным разработкам, сведения о клиентах и поставщиках, финансовые показатели и другое^[7].

В рамках TSCA CBI определяется как защищённая коммерческая информация, разглашение которой влечёт серьёзные убытки для правообладателя. В США EPA может проводить проверки обоснованности подобных требований^[8].

Засекреченная информация (англ. Classified information) — это сведения, на которые распространяется система государственной охраны по линии национальной безопасности. Раскрытие подобной информации способно нанести ущерб национальным интересам. В большинстве стран существует иерархия уровней секретности: наиболее строгие из них применяются к сведениям, утечка которых представляет наибольшую угрозу для государственных интересов. Доступ к таким данным получают только сотрудники с соответствующим уровнем допуска и необходимостью владения этими сведениями (need to know).

Степень секретности может изменяться: информация по мере необходимости переводится в иной режим или рассекречивается. Кроме того, к засекреченной информации могут добавляться специальные пометки о способах передачи и уровне контроля: например, «Только для чтения Eyes Only», «Только для передачи зашифрованным каналом» и другие подобные ограничения. Некорректное понимание метки «Eyes Only» приводит к необходимости указывать дополнительные ограничения, например, «Не обсуждать в помещениях с окнами»^[9].

Опасения по поводу сохранности конфиденциальности личных данных касаются множества сфер, где такие данные собираются и хранятся: Интернет, медицинские данные, банковская информация, выражение политических взглядов и прочее. В более чем 80 странах мира персональные данные охраняются специализированным законодательством, устанавливающим лимиты на их сбор и обработку государственными и коммерческими структурами. Обычно подобные законы требуют ясного и недвусмысленного информирования граждан о целях и объёме сбора данных, а при согласии — его явного оформления^[10].

Европейский союз в 2016 году принял Общий регламент защиты данных (GDPR), заменивший прежнюю директиву о защите персональных данных. Этот документ начал действовать 25 мая 2018 года и распространяется напрямую на все страны — без необходимости принятия отдельного национального законодательства^[11]. Регламент расширяет действие европейского законодательства о защите персональных данных на все иностранные организации, обрабатывающие данные жителей ЕС, создаёт единые стандарты и существенно усиливает штрафные санкции за нарушения — до 4 % глобального оборота компании^[12]. Также GDPR содержит новый набор цифровых прав граждан ЕС.

В Канаде сбор и обработка персональных данных регулируется законом PIPEDA. Закон действует как на федеральном, так и на провинциальном уровнях (кроме случая, когда провинциальное право признаётся «эквивалентным» федеральному)^[13].

В США система правового регулирования конфиденциальных данных строится по отраслям: отдельные законы охватывают здравоохранение, финансовую сферу, электронную торговлю и образование, на федеральном и штатном уровнях. Законы обычно требуют внедрения специальных процедур по разграничению доступа к данным с учётом ролей — так называемой модели «доменов чувствительных данных»^[14] и обеспечения механизмов их защиты. В ряде отраслей определены стандартизированные модели (например, Safe Harbor по HIPAA)^[15].

Другие страны также стремятся создавать собственные системы нормативной защиты персональных данных, и их количество продолжает расти^[16].

Защита конфиденциальной деловой информации обеспечивается через соглашение о неразглашении (NDA), юридически обязывающий контракт между сторонами с установленными профессиональными отношениями. NDA бывают односторонними (например, между сотрудником и компанией), либо двусторонними — между компаниями. Нарушение NDA может грозить увольнением, судебным иском, крупными штрафами, а в отдельных случаях — уголовным преследованием^[17]. Кроме того, в соглашение может быть включено условие о неконкуренции, ограничивающее переход сотрудника к конкурентам или открытие собственного бизнеса.

В отличие от персональных данных, в мировой практике отсутствует универсальная система защиты коммерческих тайн или даже устоявшееся определение этого понятия^[18]. Законодательство большинства стран предусматривает и уголовную, и гражданскую ответственность за нарушение коммерческой тайны. В США, например, Economic Espionage Act of 1996 устанавливает уголовную ответственность за похищение коммерческой информации с целью передачи зарубежным лицам^[19]. В других странах (например, Великобритания^[20]) соблюдение коммерческой тайны охраняется нормами гражданского права. В некоторых развивающихся странах законы не обеспечивают эффективной защиты подобных данных^[21].

В большинстве государств несанкционированное раскрытие засекреченной информации считается уголовным преступлением: могут применяться штрафы, лишение свободы или даже смертная казнь в зависимости от тяжести нарушения^[22].^[23] Менее серьёзные нарушения влекут дисциплинарные меры: выговор, аннулирование допуска, увольнение^[24].

Оповещение о нарушениях (англ. whistleblowing) — осознанная передача секретных данных третьей стороне с целью раскрытия фактов, воспринимаемых как незаконные, аморальные или опасные^[25]. Многие случаи публичного разоблачения государственной деятельности связаны с подобными практиками, несмотря на строгие уголовные последствия.

Шпионаж — намеренное получение секретной информации без разрешения владельца. Использование разведчиков исторически являлось элементом национальных стратегий большинства государств. В международных отношениях считается негласным правилом тот факт, что страны ведут разведывательную деятельность друг против друга, включая против союзников^[26].

Компьютерная безопасность как подраздел информационной безопасности, связана с защитой электронных данных и телекоммуникаций. Стремительно растущее число угроз связано с тем, что всё больше секретной информации существует в цифровом виде.

На личном уровне востребованы меры противодействия мошенничеству с банковскими картами, интернет-мошенничеству и кражам цифровой идентичности. Обширные электронные базы данных засекреченной информации меняют и политические отношения: кибервойна и киберразведка становятся важнейшими элементами национальной стратегии и безопасности; согласно оценкам, около 120 стран активно работают над развитием подобных технологий^[27].

Интернет-культуры и философии — открытое управление, хактивизм, лозунг «информация хочет быть свободной» — отражают культурные сдвиги по вопросам государственной и политической секретности. Ярким проявлением этого является деятельность WikiLeaks, ставшая вызовом традиционным методам защиты секретной информации^[28].