Форум ''Интернет и Право''

Уважаемые коллеги,

Ситуация:

Крупная международная коммерческая финансовая организация, имеющая офисы по всему миру, включая Москву (ЗАО со 100% иностранных инвестиций). Отношения к гос.тайне, гос.заказам не имеет.

IT головного офиса (иностранного) разработало корпоративное решение для шифрования ноутбуков на основе продукта SafeBoot Device Encryption (http://www.safeboot.com) – Нидерланды.

Из поддерживаемых алгоритмов шифрования (AES 256 bit, AES 256bit (certified), DES 56bit, RC5 32-12-1024, RC5 32,18,1024) скорее всего, будет использоваться AES.

Вопрос 1:

Сотрудник, скажем, Лондонского офиса приезжает в командировку в Москву и пересекает границу. На каких юр. основаниях он может провезти с собой и использовать свой корпоративный ноутбук в России? Могут ли на границе ему правомерно задать вопрос "Установлены ли на ноутбуке криптосредства?" и нужны ли разрешительные документы, чтобы ввезти такой ноутбук? Если да, то какие?

Вопрос 2:

Может ли сотрудник Московского офиса использовать в работе в России ноутбук с таким крипто-инстументом? Выезжать с ним за границу? Нужны ли Московскому офису компании, как юр. лицу, разрешительные документы для этого? Нужна ли сертификация криптосредства?

Вопрос 3:

Сам продукт (инсталяционный образ ноутбука, включая описанное криптосредство) попадет в Россию по электронным каналам (Intranet) и будет локально храниться на distribution-сервере. Как это выглядит с точки зрения таможенного законодательства?

Заранее благодарен за ответы/комментарии

На первый вопрос ответить не готов.

Использовать может, вывозить за границу, если имеется в виду официальный 100% законный механизм - теоретически да, а вот что для этого может потребоваться - не знаю. Юр.лицу понадобится лицензия на ввоз, выдаваемая Минэкономразвития по разрешению ФСБ, и лицензия на тех.обслуживание, выдаваемая самим ФСБ. Для внутрикорпоративного использования у западной организации проблем быть не должно - по впечатлению от своего общения, основная задача данного отдела не бороться со шпионами и преступниками, а обеспечивать протекционизм местным производителям аналогичной продукции. Учитывая что safeboot обеспечивает возможность централизованного управления всяческими политиками, паролями и т.п., аналогичное российское средство, полностью совместимое с вашим корпоративным стандартом, думаю не существует и полноценной заменой интересующему продукту служить не сможет. Сертификация не нужна да и не возможна - ФСБ сертифицирует только средства, реализующие ГОСТ, которого в safeboot'e естественно нет.

По третьему вопросу мнения противоречивые. Одна весьма уважаемая юридическая компания дала заключение, что для электронного ввоза разрешения не требуется. ФСБ с этим мнением категорически не согласно, возражая примерно в следующем духе - было там, стало здесь, значит было ввезено, значит извольте получить наше разрешение, про таможенную границу ничего не знаем, это к таможне, а у нас своя граница - государственная. Поскольку лицензия все равно формально нужна, не думаю, что с этим имеет смысл спорить, на общем процессе это практически не отражается. От вас в случае электронного ввоза потребуют направить уведомление в ФСБ, когда факт ввоза состоится и предоставить для целей контроля копию того, что вы ввезли. Минэкономики по поводу лицензии на ввоз в электронном виде пребывает в некотором недоумении, но при наличии разрешения ФСБ, направит вам в ответ на запрос письмо, о том, что лицензия не нужна. ФСБ, скорее всего потребует вести учет установок и раз в квартал предоставлять список установленных комплектов. На указанные в законах и инструкциях сроки прохождения я бы не сильно рассчитывал, организация большая и бюрократическая, внутренняя почта с фельдегерем между офисами в Москве ездит неделями. Мы не пытаясь как-то ускорить процесс прошли его за полгода.

Самый простой способ узнать мнение ФСБ по заданным вопросам - направить на Лубянку, 2 в Центра по лицензированию, сертификации и защите государственной тайны ФСБ России запрос, с просьбой разъяснить позицию ФСБ по указанным вопросам. В Памятке соискателю лицензии написано, что консультации по вопросам лицензирования можно получить по телефонам 1495728, 1411504, по вопросам ввоза-вывоза - по телефону 1413396.

Мы, марксисты, твёрдо знаем, что критерий истины - практика. А практика такова. Подобных иностранных фирм-представительств в Москве - в количестве. Их можно разделить на две группы.

Первые делают в Москве всё как в других филиалах, ставят то же ПО с теми же настройками, а ответами на перечисленные вопросы попросту не интересуются. И наши органы этим не интересуются. И никогда не заинтересуются (если только ввезённую криптографию не продавать).

Вторые с целью дать заработать своим юристам (и эта цель - единственная) заказывают экспертизу по вышеперечисленным вопросам, получают толстенный отчёт, потом оформляют в ФСБ кучу бумажек, запирают их в сейф и забывают до того момента, пока юристы фирмы снова не проголодаются. Тогда процесс повторяется.

Следует учитывать не только законодательство России но и той страны откуда будут поставлены криптосредства. Так как совершенные действия можно подвести под экспорт технологий. В ряде западных стран на них существуют жесткие ограничения (тем более у Вас , фактически, идет поставка криптосистемы). Если Российским спецслужбам наплевать на то , что Вы ввозите - это вовсе не означает, что спецслужбе той страны откуда будут вывезены криптосредства будет все-равно.

Банки, ввозившие хоть раз для собственных нужд аппаратуру Swift или банкоматы и прочие причандалы для подключения к платежным системам Visa, Mastercard и пр., боюсь с вами не согласятся и расскажут многое про интерес органов. Но есть и иные ситуации. Мы как-то были вынуждены расстаться с достаточно крупным клиентом, расставание вышло конфликтным, клиент должен был денег, которые платить отказывался, дошло до суда, где противоположная сторона подняла вопрос о том, что мерзкая империалистическая компания дурит родное государство и вообще занимется незаконным предпринимательством, поскольку не имеет всех необходимых для работы разрешений и лицензий. Параллельно эта же кляуза была запущена в контролирующие органы, одним из которых было на тот момент ФАПСИ, а вторым Госсвязьнадзор. И хотя все претензии были достаточно надуманными и к спору вообще отношения не имели, усилий на разборки пришлось потратить немало, причем в ФАПСИ довольно быстро все поняли, а вот с Госсвязьнадзором пришлось бодаться достаточно долго, с юристами. И это при том, что поднятые вопросы не были для нас неожиданными, слава богу, мы сами года за три до этого занимались разбором этой ситуации и пришли к выводу, что никаких дополнительных лицензий и разрешений нам не нужно.

Процесс получения лицензии ФАПСИ и разрешения на ввоз имел место в конце позапрошлого - начале прошлого года. Консультации с внешними юристами имели место в самом начале и были достаточно ограниченными, в основном ограничились использованием внутренних резервов. На этот этап было потрачено не более 2000 у.е., весь дальнейший процесс обшелся компании в 200 руб., если не путаю, за подачу заявления и в 1000 руб за выдачу лицензии. Могу сказать, что это много меньше, чем суммы фигурировавшие в описанном выше случае.

В области защиты информации не специалист, потому выскажусь лишь по тому вопросу, который знаю.
Если "ввозить электронно", твердо знаю, что привлечь малореально, потому что никакого отношения к ввозу такая передача информации по каналам Интернет не имеет. Выложите этот самый образ под паролем на общедоступном дисковом пространстве, заведите страницу или ftp-сервер на каком-нибудь .kz, скачать и установить любой софт из сети ввозом называть с точки зрения юриспруденции неверно.

Соглашусь, что вопрос может быть достаточно спорным, но, ИМХО, все дело в трактовке слова "ввоз", и позиция ФСБ не кажется мне однозначно надуманной и притянутой за уши - на подконтрольной нам территории такого материального объекта раньше не было, теперь есть. Откуда он тут взялся? За исключением случая неисповедимых путей святого духа, мне представляются возможным два варианта - был ввезен или был изготовлен. Вам второй вариант кажется совсем анекдотичным? Зря, хотя прецедент, конечно, не российский и из несколько иной области права.

http://www.masons.com/pdf/R%20v%20Bowden.pdf (http://www.masons.com/pdf/R%20v%20Bowden.pdf)

The Court did not accept that s.1 was ambiguous or obscure, nor that the natural interpretation led to an absurdity. It agreed with the respondent's counsel that "A person who either downloads images onto a disk or who prints them off is making them.[/u] The Act is not only concerned with the original creation of images, but also their proliferation. Photographs or pseudo-photographs found on the Internet may have originated from outside the United Kingdom; to download or print within the jurisdiction is to create new material which hitherto may not have existed therein."

Какого материального объекта, Дмитрий?

В упоминавшемся уголовном деле - записанный на материальном носителе файл, содержащий данные фотографического изображения. Применительно к данной ветке - записанный на материальном носителе файл(ы), содержащий данные и комманды, скачанного из сети ПО.

обратите внимание на выделенный фрагмент. Это не я сказал.

Хмм, на провайдера импорт повесим? Я правильно намек понял?

Нет, Дмитрий, неправильно.
Поясняю. НЕ "ввезенного с территории иностранного государства",а  "скачанного из сети". Есть же разница. Проблему юрисдикции пока не решили, кроме того, ПО первоначально можно положить на narod.ru, который доступен из любой точки планеты, и потом кто угодно может доказывать, что положили ее злобные империалисты туда, а не простой колхозник Сеня Пупкин, в порыве безделья написавший программу большим пальцем левой ноги.

ОК. Я боюсь, что мы сейчас можем по которому разу начать рассуждения по поводу материальных объектов, возникающих при передаче информации. Дело не в этом, при получении лицензии, процесс получения разрешения на ввоз ни создает никаких существенных дополнительных проблем, и затевать спор просто "из принципа", ИМХО, не совсем рационально. Альтернативные подходы скорее всего тоже не лишены проблем (скорее всего тоже решаемых), так в предложенном вами варианте может встать вопрос об использовании контрафактного коммерческого программного обеспечения, полученного то ли от колхозника, то ли от кого еще.
А вот проблема юрисдикции как раз в решении английского суда затрагивалась.

Всякий раз, когда я читаю эту тему, у меня на экране поверх текста появляется табличка следующего содержания:
"You are (IP моего компа)! Your ISP is kht. ru! You are running on Windows XP and using IE 6! Be Smart! Someone is alwais watching you!"
Табличку я перевела. Что вы посоветуете мне сделать в этой ситуации?

 ;D

Быть осторожной в общении с участником форума - "Dmitry". Исходя из его подписи - он слишком много знает...
P.S. Dmitry, а не привлечь ли Вас к ответственности за сбор и распространение персональных данных? Сможете ли Вы доказать, что вы этого _не_ делаете?  ;)

Похоже на ситуацию с верблюдом
Картинка весит по адресу http://www.danasoft.com/sig/190120051.jpg
Доказать связь сложно :)

Так там же все написано... Be smart!
А вот поверх текста это изображение показываться не должно. Должно быть под текстом.

Так, а вот детей мной попрошу не пугать... :D
Ээээ. Мне кажется обязанности расписаны не правильно, это не я должен суметь доказать, а тот, кто захочет привлечь, должен доказать обратное ... А потом, какие из перечисленных данных позволяют идентифицировать личность?  :D

посылая сообщение, посылаем и информацию о своем IP,
ИМХО ничего криминального здесь нет, правда запрос на danasoft.com  без моего ведома идет, но это вроде не криминал?