За аббревиатурой CIO стоит развитая и очень успешная идеология: повышение эффективности бизнеса за счет грамотного использования возможностей информационной службы.

За аббревиатурой CIO стоит развитая и очень успешная идеология: повышение эффективности бизнеса за счет грамотного использования возможностей информационной службы. Успешность идеологии CIO заставляет многих юристов задумываться над разработкой схожей концепции применительно к своей службе — правовой. Позволит ли разумное использование возможностей правовой службы дать тот же эффект, что и работа ИТ-подразделения? А к чему может привести сотрудничество двух служб?

Вопросы взаимодействия служб тщательно анализировались в теории, в правовой науке. Попробуем понять, как это может происходить на практике.

Для удобства разделим рассматриваемые примеры на две группы: решение задач обеспечения внутренней деятельности организации и задач, возникающих при работе с клиентами и поставщиками.

Внутренняя деятельность организации

Пример первый. Внедрение и использование информационных технологий в больших организациях.

Стараниями работников ИТ-служб нерасположенность сотрудников к внедряемым информационным технологиям давно стала анекдотом. Например, в одном московском экономическом вузе начали внедрять дистанционные системы обучения: электронные учебники, телеконференц-связь с филиалами, электронные форумы преподаватель — студент и т. п. Был создан exchange-сервер и внутренний сайт института, налажен обмен информацией, структурированы массивы учебных заданий и т. п. Проект щедро финансировался руководством и был выполнен лучшими выпускниками этого института.

Параллельно с внедрением технологических средств была разработана программа обучения преподавателей и административного персонала вуза: созданы курсы по отдельным программным продуктам, подготовлены тесты, выработана система оценки и сертификации сотрудников по результатам обучения. Приказом руководства премиальные надбавки сотрудников были напрямую увязаны с получением ими сертификатов и использованием информационных технологий в преподавании курсов.

К сожалению, на практике «внедренные» технологии использовались крайне неэффективно, обучение проводилось во многом формально, сертификаты, с получением которых были напрямую связаны денежные выплаты, стали поводом для роста коррупции в вузе. В итоге, конечно, дистанционные системы обучения начали применяться, но гораздо позже и менее эффективно, чем планировалось изначально.

Здесь просматривается типичный случай управленческой ошибки: не были найдены необходимые средства мотивации и стимулирования сотрудников. Что изменилось бы, если бы решения принимались совместно руководителем ИТ-службы и главным юристом?

Основная задача юриста — сохранение правовыми средствами разумного баланса прав и обязанностей сотрудников. Новые технологии обучения — это дополнительные обязанности работников, которым должны соответствовать дополнительные компенсации и льготы. Ставить существующие привилегии (премии, надбавки и т. п.) в зависимость от выполнения новых обязанностей противозаконно; более того, это лишает мотивации работников.

Кроме поддержания баланса прав и обязанностей применительно к каждому сотруднику, необходимо также обеспечить баланс прав и обязанностей различных сотрудников коллектива. Наделение значительными полномочиями ИТ-службы (проведение обучения, сертификации, контроля) ущемляет интересы основной массы работников, в данном примере — профессорско-преподавательский состав. В качестве ответной реакции сотрудники пользуются своим положением в коллективе для борьбы с нововведениями.

С юридической и технической точек зрения причиной возникновения описанной в примере проблемы явилось нарушение существующих механизмов регулирования в вузе: такого рода решения должны приниматься и контролироваться ученым советом, а не административным персоналом института. В других вузах, где процесс внедрения новых информационно-образовательных технологий проходил при активном участии ученого совета, результативность внедрения была значительно выше.

Пример второй. Обеспечение информационной безопасности компании.

В торговой компании для контроля сотрудников, прежде всего менеджеров по работе с клиентами, использовался широкий набор технических средств. Помимо системы видеонаблюдения, были установлены программы контроля электронной почты и мгновенных сообщений, выборочно фильтровался Internet и даже телефонный трафик. Все указанные мероприятия осуществлялись службой безопасности организации. Сотрудники были уведомлены о том, что их действия постоянно контролируются, но сведения о конкретных мерах не распространялись с целью максимального повышения эффективности таких мер.

Через некоторое время руководство компании обратилось в адвокатский кабинет за консультацией о возможном привлечении к ответственности одного из сотрудников, который, считая необходимым оградить свою деятельность от тотального контроля со стороны руководства, установил на компьютере программу неизвестного происхождения с якобы антишпионскими функциями. В этой программе, однако, были заложены функции сетевого червя, которые теоретически могли дать разработчикам программы доступ ко всем ресурсам сети, но в реальности только привели к выходу из строя части компьютерной сети компании.

Комментарии адвоката сводились к следующему. Конечно, привлечение данного сотрудника к ответственности возможно. Но гораздо более вероятно привлечение к ответственности (уголовной) самого руководства компании за нарушение целого ряда конституционных прав работников, прежде всего права на тайну переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ст. 138 Уголовного кодекса РФ).

Исключение из процесса обеспечения информационной безопасности компании юридической и ИТ-служб может сказаться на результативности принимаемых мер. Ведь основными принципами обеспечения информационной безопасности являются, во-первых, соблюдение прав и законных интересов сотрудников, во-вторых, комплексность принимаемых мер по обеспечению информационной безопасности.

Совместная работа юридической и ИТ-служб при обеспечении информационной безопасности должна заключаться прежде всего в оценке возможных рисков и в их нейтрализации. Как ни странно, при обеспечении информационной безопасности угроза нарушения собственно информационной безопасности является не самым серьезным риском. Гораздо важнее нейтрализовать риск нарушения экономической безопасности организации, который складывается из возможной чрезмерности расходов на информационную безопасность, привлечения к ответственности за нарушение законодательства, снижения эффективности деятельности работников, ограниченных в своих действиях, последствий намеренных действий по обходу мер обеспечения информационной безопасности.

Задачей ИТ-службы является определение комплекса мер, разумно достаточных для нейтрализации основных угроз информационной безопасности. Задача правовой службы — предотвращение нарушений законодательства при принятии таких мер, закрепление и легализация принимаемых мер во внутренних документах организации, фиксация прав и обязанностей сотрудников применительно к обеспечению информационной безопасности в трудовых договорах и должностных инструкциях. Необходимо помнить, что технические и организационные меры обеспечения информационной безопасности эффективны только тогда, когда они основаны на правовых нормах: лишь в этом случае возможны привлечение нарушителей к ответственности и компенсация причиненных убытков.

Отношения организации с поставщиками и клиентами

Пример третий. Услуги системной интеграции.

Российский банк, входящий в ТОП 50 по размерам остатков на счетах, поручил создание комплексной информационной системы на базе SAP одной из небольших российских компаний-интеграторов. Поводом для обращения именно в эту компанию явился успешный опыт внедрения аналогичной системы на одном из предприятий — клиентов банка.

После заключения договора и выполнения первых двух этапов стало ясно, что проводимые работы по настройке программных компонентов не соответствуют тем потребностям, которые существуют у банка. Однако заключенный договор не давал возможности заставить под угрозой ответственности компанию-интегратора выполнить настройки в соответствии с этими потребностями, так как техническое задание было сформулировано в довольно общем виде. Более того, у банка не было возможности отказаться от дальнейшего продолжения работ, так как формально договор не нарушался, все работы были выполнены полностью и в срок, пусть и не устраивали банк по качеству.

Завершив сотрудничество с данной компанией и оплатив ей все работы, банк был вынужден обратиться в другую компанию, чтобы привести созданную систему в соответствие с реальными потребностями своей деятельности. Однако, узнав об этом, руководство первой компании направило руководству банка письменную претензию с указанием на то, что любая модификация произведенных настроек и созданных скриптов будет нарушать авторское право данной компании, а потому третьи компании не могут привлекаться для доработки системы без согласия ее первоначального разработчика.

Стоит отметить, что здесь речь не идет о злонамеренных действиях в отношении банка. Компания-интегратор определяла цену и планировала свои работы исходя из тех условий, которые были изначально согласованы в договоре и техническом задании. Когда же впоследствии выяснилось, что реально требуемый объем работ оказался больше планировавшегося и компания может из-за недовольства клиента не получить оставшихся сумм по договору, она была вынуждена использовать условия договора для защиты своих интересов. Привлечение же банком сторонней компании для доработки информационной системы также серьезно нарушало интересы компании-разработчика, так как фактически передавало результаты ее работ конкуренту.

Следовательно, все проблемы в описанном примере возникли из-за просчетов собственных юристов и ИТ-специалистов банка, которые неправильно определили требования к компании-интегратору, а также не сформировали механизмы, обеспечивающие строгое соблюдение таких требований.

Правовая и ИТ-службы при привлечении сторонних подрядчиков должны решить как минимум три основные задачи. Во-первых, необходимо обеспечить правильное составление технического задания. Во многих случаях можно рекомендовать заключать отдельный договор на проведение обследования и составление технического задания: если на этой стадии обнаружится нецелесообразность проведения дальнейших работ или некомпетентность подрядчика, то можно безболезненно прекратить дальнейшие отношения. Кроме того, работы по проведению обследования и составлению технического задания требуют особых условий конфиденциальности и ответственности за надлежащее качество работ. Задача как юристов, так и ИТ-специалистов — внимательная оценка деятельности подрядчика, обеспечение его всей необходимой информацией, оценка рисков, связанных с деятельностью привлекаемого подрядчика.

Во-вторых, необходимо наладить контроль деятельности подрядчика. С точки зрения ИТ-службы это требует постоянной проверки реализуемых решений на соответствие требованиям заказчика, своевременного уточнения требований и определения перечня необходимых доработок. Задача правовой службы — закрепить правовые механизмы, позволяющие уточнять эти требования, контролировать их исполнение, а также оперативное проведение необходимых доработок. Кроме того, в договоре должен быть обязательно предусмотрен механизм одностороннего отказа от исполнения обязательств заказчиком, причем на таких условиях, которые не нарушали бы прав ни одной из сторон.

В-третьих, это закрепление прав на результаты работ. В связи с тем что привлечение сторонних подрядчиков для проведения работ по информатизации и системной интеграции обычно связано с необходимостью решения крайне специфических задач, правовая служба зачастую не может точно определить, какие именно охраноспособные результаты работ возникают и какие права на них необходимо сохранить за заказчиком. Соответственно, необходимо сотрудничество правовой и ИТ-службы в определении перечня сохраняемых за заказчиком результатов работ и конкретного объема прав на них, исходя из планируемого в дальнейшем использования таких объектов.

Еще одним моментом, на который следует обратить внимание, говоря о правовых вопросах работы с привлекаемыми подрядчиками, является лицензирование. Далеко не все организации имеют набор лицензий, сертификатов и прочих разрешений, необходимых для выполнения той работы, на которую они подряжаются. Более того, не всегда бывает понятно в начале проекта, какие точно лицензии потребуются. И здесь также необходима совместная работа технических специалистов и юристов для определения характера планируемых работ и перечня тех разрешений, которыми должен обладать привлекаемый подрядчик.

Пример четвертый. Продажа нестандартного продукта.

В результате усилий менеджеров одной из компаний — разработчиков программного обеспечения для сетевого оборудования (АТС, маршрутизаторов и т. п.) была достигнута договоренность о том, что эта компания будет поставлять свое ПО для крупного международного производителя такого рода оборудования. При этом в силу специфики продукции ПО должно предустанавливаться на оборудование и распространяться под именем компании — производителя оборудования.

Однако при подготовке детального соглашения возник ряд проблем. Во-первых, две компании фактически являлись конкурентами и, во-вторых, компания-разработчик сама планировала далее использовать и дорабатывать данное ПО, которое являлось одним из наиболее успешных ее продуктов. Появилась необходимость каким-либо образом разграничить сферы интересов двух компаний.

С правовой стороны задача имеет довольно простое решение. Необходимо создать специальную версию ПО, доработанную для целей данного клиента. Такая версия ПО будет отдельным объектом авторского права, который можно распространять и модифицировать независимо от первоначальной версии ПО.

Однако при решении задачи с использованием такого механизма крайне важно максимально точно определить передаваемые объекты и объем прав на них. Специальная версия ПО должна в достаточной степени отличаться от изначальной, чтобы представлять собой отдельный объект авторского права, но при этом все-таки не быть совершенно самостоятельным объектом, так как в этом случае ее разработчик потеряет возможность контроля использования такого ПО. Кроме того, необходимо распределить права таким образом, чтобы приобретение специальной версии ПО было коммерчески интересно для клиента, но не давало ему возможности конкурировать с разработчиком такого ПО.

Здесь также необходимо тесное взаимодействие юридической и ИТ-службы, и строиться оно должно по той же модели, что и в ранее описанных примерах. Юристы должны искать подходящие правовые средства и механизмы и закреплять с их помощью те модели, которые определяет ИТ-служба.

Впрочем, это не означает, что правовая служба должна всегда быть ведомой в паре с ИТ. Не только юристы должны искать решения для задач, возникающих при внедрении современных информационных технологий, но и ИТ-специалисты должны работать над механизмами соблюдения прав и свобод субъектов, норм законодательства. Если это удается, то оказывается, что большая часть проблем ИТ-службы может быть решена правовыми средствами, и, наоборот, многие правовые проблемы снимаются при использовании современных информационных технологий.

Вместе с тем работа юристов в сфере ИТ требует творческого подхода. Правом за тысячи лет выработаны и многократно проверены самые различные механизмы, но типовые решения для осуществления возможностей, предоставляемых современными технологиями, к сожалению, не всегда приемлемы. Творческая работа юристов, как и специалистов ИТ-службы, необходима для эффективного и безопасного решения задач, стоящих перед их компанией.

Литература
  1. Пугинский Б. И. Гражданско-правовые средства в хозяйственных отношениях.М., 1984.
  2. Алексеев С. С. Механизм правового регулирования в социалистическом государстве. М., 1966.
  3. Мирошникова Н. И. Механизм осуществления субъективных гражданских прав. Ярославль, 1989.

Николай Дмитрик, юрист, Park Media Consulting, dmitric@parkmedia.ru