Обзор норм юридической ответственности и коллизий в сфере защиты информации в платежных системах
Юридическая ответственность в случае нарушения требований Федеральный закон «О национальной платежной системе» в отношении обеспечения защиты информации в платежной системе или принятых в соответствии с ним нормативных актов Банка России
Согласно ч.11 ст.34 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее – 161-ФЗ) Банк России привлекает поднадзорную организацию и ее должностных лиц к административной ответственности в соответствии с Кодексом Российской Федерации об административных правонарушениях:
ч.2 ст.13.12. Нарушение правил защиты информации
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
ст.13.14. Разглашение информации с ограниченным доступом
Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса, - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.
ч.2 ст.15.26. Нарушение законодательства о банках и банковской деятельности
Нарушение кредитной организацией установленных Банком России нормативов и иных обязательных требований - влечет предупреждение или наложение административного штрафа в размере от десяти тысяч до тридцати тысяч рублей.
ст.15.36. Неисполнение предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе
Повторное в течение года неисполнение оператором платежной системы, операционным центром, платежным клиринговым центром предписания Банка России, направленного им при осуществлении надзора в национальной платежной системе, влечет наложение административного штрафа на должностных лиц в размере от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до пятисот тысяч рублей.
Обзор коллизий действующего законодательства
Особое внимание следует обратить на конкуренцию норм 161-ФЗ и иных федеральных законов. Согласно ч.ч. 1 и 3 ст. 27 161-ФЗ операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту:
1. информации о средствах и методах обеспечения информационной безопасности, персональных данных;
2. информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации;
3. информации при осуществлении переводов денежных средств.
При этом в отношении второй категории информации режимы обеспечения безопасности информации в платежной системе 161-ФЗ и иных федеральных законов пересекаются между собой. В частности, существует пересечение между 161-ФЗ и:
– Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» в отношении информации, составляющей персональные данные;
– Федеральным законом от 02.12.1990 № 395-1 «О банках и банковской деятельности» в отношении информации, составляющей банковскую тайну;
– Федеральным законом от 29.07.2004 № 98-ФЗ «О коммерческой тайне» в отношении информации, составляющей коммерческую тайну.
Стоит отметить, что режимы обеспечения безопасности информации, установленные вышеуказанными федеральными законами, могут существенно отличатся друг от друга как в отношении юридических, организационных и технических требований, так и в отношении механизмов выполнения данных требований. Таким образом, операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры поставлены перед дилеммой соблюдения в отношении одной и той же информации сразу нескольких режимов обеспечения безопасности.
Учитывая, что 161-ФЗ регламентирует правоотношения в сфере организации и функционирования платежных систем, то данный Федеральный закон является специальным в отношении Федеральных законов ФЗ «О персональных данных», «О банках и банковской деятельности» и «О коммерческой тайне». В подобной ситуации представляется уместным применение общего принципа права «lex specialis derogat generali» (лат. «специальный закон отменяет общий закон»). Суть этого принципа сводится к тому, что в случае конкуренции норм общего (generalis) и специального (specialis) характера предпочтение при толковании и применении должно отдаваться специальным нормам.