Разглашение конфиденциальной информации

Что включает понятие «разглашение»

С точки зрения практики выделяют четыре способа разглашения:

Прямая передача сведений. Принимающая сторона сообщает третьему лицу конфиденциальные данные устно, письменно, по электронной почте, в мессенджере, через файловый обмен. Самый очевидный и легко доказуемый формат — особенно при наличии электронной переписки.

Использование сведений в собственных интересах. Принимающая сторона не сообщает данные другим, но использует их для своей выгоды — копирует клиентскую базу для запуска конкурирующего бизнеса, применяет ноу-хау в собственном продукте, инвестирует на основе инсайдерской информации. Закон рассматривает это как разглашение, потому что нарушается право раскрывающей стороны на эксклюзивный контроль над информацией.

Бездействие, повлёкшее доступ третьих лиц. Принимающая сторона не приняла достаточных мер защиты: оставила документы в незапертом ящике, не настроила пароль на корпоративном ноутбуке, не ограничила доступ сотрудников по принципу служебной необходимости. Если в результате информация утекла — это тоже разглашение, даже если умысла на передачу не было.

Публикация в открытых источниках. Размещение конфиденциальных сведений на сайтах, в блогах, в социальных сетях, на профильных форумах. Особенно опасны ситуации, когда сотрудник «хвастается» внутренней информацией компании в LinkedIn или в личной переписке, попавшей в открытый доступ.

Что НЕ является разглашением

Закон и сложившаяся судебная практика выделяют несколько случаев, в которых раскрытие сведений не считается нарушением:

• Информация была известна принимающей стороне законным образом до её получения от раскрывающей стороны. Это требует подтверждения — собственными более ранними документами, перепиской, патентами.
• Информация без ограничений раскрыта самой раскрывающей стороной третьим лицам — например, опубликована в годовом отчёте, на сайте компании, в рекламных материалах.
• Имеется письменное разрешение раскрывающей стороны на раскрытие конкретным лицам или для конкретных целей.
• Информация стала общедоступной на момент подписания NDA или после — без участия принимающей стороны.
• Раскрытие обязательно в силу закона — по запросу налогового органа, по решению суда, по требованию правоохранительных органов в рамках их полномочий, при выполнении обязанностей публично-правового характера.
• Раскрытие профессиональным консультантам (юристам, аудиторам, банкам — при кредитовании) под их собственными обязательствами о конфиденциальности.

Эти исключения должны быть прямо перечислены в соглашении о конфиденциальности — иначе принимающая сторона рискует понести ответственность даже за разумные действия. Хороший шаблон NDA всегда содержит блок «Исключения из режима конфиденциальности».

Ответственность за разглашение

Разглашение конфиденциальной информации может повлечь сразу несколько видов ответственности, действующих параллельно.

Гражданская ответственность по договору

Соглашение о конфиденциальности (NDA) обычно содержит ясные финансовые санкции:

• Штраф (неустойка) — фиксированная сумма за каждый факт разглашения (от 100 тыс. до десятков млн ₽ — в зависимости от значимости информации) либо процент от оборота сторон. Размер должен быть соразмерным защищаемой информации, иначе суд снизит его по ст. 333 ГК РФ.
• Возмещение убытков — реальный ущерб (затраты на расследование утечки, восстановление коммерческого положения) и упущенная выгода (доход, который раскрывающая сторона могла бы получить, если бы информация осталась конфиденциальной). Доказывание упущенной выгоды — самая сложная часть.
• Возмещение неосновательного обогащения — если принимающая сторона использовала информацию в своих интересах и получила доход, раскрывающая сторона вправе требовать передачи этого дохода (ст. 1102 ГК РФ).
• Запрет на использование — судебное предписание прекратить дальнейшее использование информации, уничтожить копии, отозвать публикации.

В соглашениях между крупными компаниями стандарт — фиксированный штраф 1-10 млн ₽ за каждое нарушение плюс возмещение убытков сверх штрафа.

Дисциплинарная ответственность по ТК РФ

Если разгласил сотрудник, к нему применяется дисциплинарное взыскание, вплоть до увольнения. Подпункт «в» п. 6 ч. 1 ст. 81 ТК РФ прямо называет разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника, основанием для увольнения по инициативе работодателя.

Для увольнения по этому основанию работодатель должен доказать:

1. В компании был установлен режим коммерческой тайны в соответствии с ФЗ-98 — приказ, положение, перечень сведений, грифы.
2. Работник был ознакомлен с режимом и взял обязательство о его соблюдении.
3. Конкретные сведения действительно входят в перечень охраняемых.
4. Факт разглашения подтверждается доказательствами (электронная переписка, видеозаписи, свидетельские показания, экспертиза изъятых устройств).

Без хотя бы одного из этих элементов увольнение признаётся незаконным и работник восстанавливается на работе с выплатой среднего заработка за время вынужденного прогула.

Административная и уголовная ответственность

Административная — ст. 13.14 КоАП РФ «Разглашение информации с ограниченным доступом». Штраф для граждан — 1 000-3 000 ₽, для должностных лиц — 5 000-15 000 ₽. Применяется к случаям, когда нет состава уголовного преступления.

Уголовная — ст. 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»:

• сбор сведений путём похищения документов, подкупа, угроз, иного незаконного способа — штраф до 500 000 ₽ или лишение свободы до 2 лет;
• незаконное разглашение или использование без согласия владельца — штраф до 1 млн ₽ или лишение свободы до 3 лет;
• те же деяния, причинившие крупный ущерб (свыше 2,25 млн ₽ — с учётом индексации) или совершённые из корыстных побуждений — лишение свободы до 5 лет;
• те же деяния, причинившие особо крупный ущерб (свыше 9 млн ₽) или повлёкшие тяжкие последствия — лишение свободы до 7 лет.

Параллельно может применяться ст. 272 УК РФ «Неправомерный доступ к компьютерной информации» — если утечка произошла через несанкционированный доступ к информационной системе.

Как доказать разглашение

Доказывание утечки — самая сложная часть спора. Раскрывающая сторона должна показать:

1. Информация была конфиденциальной — введён режим коммерческой тайны (для юрлиц), есть подписанное NDA, помечены грифом «Конфиденциально» соответствующие документы.
2. Получатель был ознакомлен с обязательством о конфиденциальности и подписал его.
3. Произошла передача сведений третьему лицу — фиксируется электронной перепиской, скриншотами, метаданными переданных файлов, свидетельскими показаниями.
4. Принимающая сторона — источник утечки — это ключевой и самый трудный пункт. Помогают: уникальные «маркеры» в файлах (вотермарки, специальные опечатки, поддельные строки в базе), статистика доступа к информационной системе, лог-файлы, технические экспертизы.

В крупных корпоративных спорах применяются специализированные DLP-системы (Data Loss Prevention), которые фиксируют все исходящие потоки данных и позволяют доказать конкретный канал утечки. Без такой инфраструктуры доказывание сводится к косвенным уликам, что снижает шансы на выигрыш.

Практические меры по предотвращению разглашения

• Ввести режим коммерческой тайны в полном соответствии со ст. 10 ФЗ-98: приказ руководителя, перечень сведений, гриф «Коммерческая тайна» на документах, ограничение доступа, учёт лиц с доступом, обязательства работников и контрагентов.
• Подписать NDA со всеми работниками, имеющими доступ к чувствительной информации, и с каждым контрагентом, который её получает. Шаблон соглашения о конфиденциальности (NDA) есть на сайте.
• Технические меры: разграничение доступа в информационных системах, двухфакторная аутентификация, шифрование носителей, DLP-системы для крупных компаний, политика BYOD для личных устройств сотрудников.
• Организационные меры: обучение персонала, регулярные напоминания о режиме, аудит доступа, увольнение по правильной процедуре (с напоминанием об обязательствах и подписью «об ознакомлении»).
• При утечке — немедленно зафиксировать факт (акт, показания свидетелей, копии переписки), уведомить юридический отдел, подготовить и направить претензию виновной стороне, в случае персональных данных — уведомить Роскомнадзор в установленный срок (24 часа с момента обнаружения).

Смежные понятия

Стоит чётко различать связанные понятия:

• Конфиденциальная информация — общее понятие сведений с ограниченным доступом. Включает коммерческую тайну, персональные данные, банковскую тайну, налоговую тайну, и др.
• Коммерческая тайна — отдельный режим в рамках ФЗ-98. Только конфиденциальная информация, имеющая коммерческую ценность, в отношении которой введён режим (приказ, гриф, ограничение доступа).
• Персональные данные — отдельный режим в рамках ФЗ-152. Защищаются по другим правилам, с другой ответственностью.
• Ноу-хау (секрет производства) — близкое к коммерческой тайне, регулируется главой 75 ГК РФ. Включает технические, организационные, коммерческие сведения, имеющие ценность благодаря неизвестности третьим лицам.

Для системного выстраивания режима конфиденциальности используйте чек-лист по защите коммерческой тайны и шаблоны NDA для разных ситуаций — между юрлицами, между работодателем и работником, для разовой передачи сведений.