Юридические риски в электронной коммерции
Непрерывное развитие новых технологий и способов коммуникации в коммерческой и иных видах деятельности привело к появлению одного из важнейших видов деятельности в указанной области – электронной коммерции («electronic commerce»). По своей сути электронная коммерция (или «e-commerce») представляет собой сферу экономики, функционирующую в электронной форме при помощи компьютерных сетей (в первую очередь – Интернета). Расскажем, какие риски могут возникнуть у организации, которая ведет предпринимательскую деятельность через Интернет.
В юридическом смысле под электронной коммерцией принято понимать правоотношения возникающие в результате заключения в электронной форме целого ряда договоров, таких как, например: купля-продажа, поставка, страхование, банковские договоры, перевозка, лицензионные договоры, а также иные, связанные с промышленным и деловым сотрудничеством [1] . Также в рамки указанной сферы входят отношения по установлению и соблюдению исключительных прав, предотвращение плагиата и пиратства, правила работы с персональными данными, осуществление электронных платежей, распространение недостоверной или ненадлежащей рекламы и др.
В связи с интенсивно развивающимся направлением e-commerce – увеличивается и их правовое регулирование. С точки зрения защиты прав участников это является положительным моментом. С другой стороны регулирование несколько усложняет взаимодействие для участников.
Давайте разберемся, какие могут быть риски при реализации бизнеса в интернете с точки зрения практики.
Что такое риск
В первую очередь стоит обратить внимание, на само понятие риска. Для этого обратимся к Википедии.
В обывательском понимании: риск – это сочетание вероятности и последствий наступления неблагоприятных событий. Риск также можно определить как некое событие или условие, которое в случае возникновения имеет позитивное или негативное воздействие на репутацию компании, приводит к приобретениям или потерям в денежном выражении.
С правовой точки зрения риск — это наступление неблагоприятных последствий из-за нарушения действующих норм законодательства.
В электронной коммерции, как и в общем бизнесе, в принципе, риски одинаковы и однотипны.
На наш взгляд, можно выделить следующие наиболее частые нарушения:
– нарушения исключительных прав в Интернете (незаконное использование результатов интеллектуальной деятельности, плагиат, пиратство и иные);
– нарушения при работе с персональными данными (порядок сбора, обработки, использования и хранения);
– нарушения в сфере электронных платежей.
Разумеется, этот перечень не является исчерпывающими. Расскажем о каждом из выделенных рисков.
Незаконное использование объектов интеллектуальной собственности
Наиболее частыми нарушениями в сфере исключительных прав в Интернете являются:
– коммерческое использование чужих фото и видео произведений, изображений, а также художественных произведений;
– использование чужого контента и чужих картинок;
– использование доменного имени схожего до степени смешения с чужими зарегистрированными товарными знаками.
Указанные нарушения, кроме нарушений связанных с использованием чужих товарных знаков, регулируются главой 70 ГК РФ «Авторское право».
Напомним, что в силу п. 1 ст. 1229 ГК РФ правообладатель может по своему усмотрению разрешать или запрещать другим лицам использование результата интеллектуальной деятельности или средства индивидуализации. Отсутствие запрета не считается согласием (разрешением). Использование результата интеллектуальной деятельности или средства индивидуализации, без согласия правообладателя, является незаконным.
Согласно п. 2 ст. 1270 ГК РФ, использованием произведения независимо от того, совершаются ли соответствующие действия в целях извлечения прибыли или без такой цели, считается, в частности:
– воспроизведение произведения (то есть изготовление одного и более экземпляра произведения или его части в любой материальной форме);
– распространение произведения путем продажи или иного отчуждения его оригинала или экземпляров.
Давайте задумаемся: как часто сотрудники компании с целью продвижения продукции используют Интернет в качестве основного ресурса для черпания идей. Полагаем, что ответ будет часто. А кто и как при этом осуществляет поиск автора и (или) правообладателя того или иного изображения с целью заключить лицензионное соглашение с ним на право использования произведения, изображения или их частей? В любом случае это происходит реже, чем использование объектов интеллектуальной собственности.
При таких неосмотрительных действиях возникает риск привлечения компании к ответственности через иск о возмещении убытков или о выплате автору/правообладателю компенсации по ст. 1301 ГК РФ. Ее сумма может составлять:
– от 10 000 руб. до 5 000 00 руб. (определятся по усмотрению суда);
– двукратный размер стоимости экземпляров произведения;
– двукратный размер стоимости права использования произведения, определяемой исходя из цены, которая при сравнимых обстоятельствах обычно взимается за правомерное использование произведения.
Кстати, судебные акты подтверждают такую возможность (см., например, постановление ФАС Северо-Западного округа от 11.07.2012 по делу № А56-37959/2011; Девятого Арбитражного апелляционного суда от 16.04.2014 № 09АП-10170/2014; определения Московского Городского суда от 20.05.2013 по делу № 11-13029; и от 18.02.2013 по делу № 11-5506).
Однако справедливости ради стоит отметить, что в некоторых случаях такое использование не будет признано нарушением, если истец по каким либо причинам не сможет доказать наличие исключительного права на произведение (постановления ФАС Московского округа от 30.07.2013 по делу № А40-5416/12-19-50 и от 10.09.2012 по делу № А40-83853/11-51-730).
Что же касается таких нарушений как плагиат и пиратство, то они влекут уже уголовное наказание.
Работа с персональными данными в Интернете
Правила сбора, сбора обработки, хранения и предоставления персональных данных установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
Персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В частности это ФИО, сведения определяющие конкретное лицо (паспортные данные), сведения об имущественном положении, трудовой деятельности, образовании, поле, возрасте, национальности, физическом состоянии и пр.
Для сферы электронной коммерции наиболее распространенными и сложными являются следующие вопросы:
– работает ли ресурс с персональными данными и когда оператор должен направлять уведомление о начале их обработки в Роскомнадзор?
– какой момент признается началом обработки персональных данных?
– как подтвердить факт получения согласия субъекта на обработку его персональных данных?
– какая ответственность и при каких обстоятельствах наступает для интернет-сервиса?
– какие документы должны быть размещены на интернет-сайте?
– если интернет-сайт размещен на иностранном сервере, то какие условия необходимо дополнительно включить в текст соглашения об обработке персональных данных?
Уведомление Роскомнадзора
Считается, что ресурс работает с персональными данными, и в силу ст. 22 Закона № 152-ФЗ, должен разработать определенный перечень документов и подать в Роскомнадзор уведомление о начале обработки персональных данных, если он осуществляет сбор следующей информации о своих пользователях:
– фамилии, имена, отчества, номера телефонов, паспортные данные (в совокупности);
– иные данные явно определяющих конкретное лицо в любой форме (в рамках программы лояльности, регистрации на сайте, опроса или т.п.).
При этом в ряде случаев законодатель позволяет обрабатывать персональных данных без предварительного уведомления Роскомнадзора. Перечислим их (ч. 2 ст. 22 Закона № 152-ФЗ):
1) получение в соответствии с трудовым законодательством;
2) сбор и обработка в связи исполнением договора (но при условии, что персональные данные будут использоваться оператором исключительно для исполнения договора и не будут передаваться третьим лицам без согласия субъекта);
3) обработка объединениями или религиозные организациями, если:
– они обрабатывают только данные своих членов (участников) для достижения целей, предусмотренных их учредительными документами;
– персональные субъектов данные не будут распространяются без их письменного согласия;
4) оператор обрабатывает только персональные данные, которые субъект сделал общедоступными;
5) оператор обрабатывает данные, содержащие только фамилии, имена и отчества субъектов. Так, например, если ресторан, резервируя столики за посетителями, просит у граждан сообщить их фамилию, имя и отчество, то такая обработка данных может осуществляться без уведомления Роскомнадзора;
6) в целях однократного пропуска субъекта персональных данных на определенную территорию, на которой находится оператор (например, в гостиницу), или в иных аналогичных целях (например, при выдаче гражданину пропуска для разового посещения организации) уведомлять уполномоченный орган также не нужно;
7) персональные данные включены в:
– информационные системы, имеющие статус федеральных автоматизированных;
– в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка;
8) обработка осуществляется без средств автоматизации;
9) обработка осуществляется в соответствии с законодательством о транспортной безопасности.
Согласие на обработку
В силу положений ст. 9 Закона № 152-ФЗ обработка персональных данных осуществляется только с письменного согласия субъекта. Равнозначным собственноручной подписи субъекта на бумажном носителе признается согласия в форме электронного документа, подписанного электронной подписью. Кроме того, в ст. 9 Закона № 152-ФЗ сказано, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
По мнению судов, письменным согласием могут быть признаны конклюдентные действия субъекта персональных данных (заполнение и направление анкеты, регистрационной формы) при условии установления связи между направлением заполненной формы и возможностью осуществления следующих действий. Проще говоря, это проставление web-метки о последующей возможности осуществления каких-либо действий на сайте (выбор и заказ товаров, размещение информации и пр.). Такие выводы можно сделать, например, из определения Московского городского суда от 14.02.2011 по делу № 33-2064.
Документы
Нельзя не сказать о документах, которые оператор должен разметить на своем сайте и довести их до своего пользователя. На наш взгляд документы можно разделить на две группы:
– для публичного доступа;
– регулирующие порядок сбора, обработки и хранения персональных данных у самого оператора (локальные акты).
К первой группе относятся: правила обработки (политика работы оператора с персональными данными) и форма согласия субъекта на сбор, обработку и хранение его данных. Эта форма должна включать положения прямо предусмотренные п. 4 ст. 9 Закона № 152-ФЗ.
Хранение собранных персональных данные на сервере за пределами России, признается трансграничной передачей. Согласие на обработку персональных данных в таком случае должно в обязательно содержать и согласие на такую передачу. Его отсутствие является нарушением законодательства.
Второй группой документов – локальными актами оператора – должен быть урегулирована технический и автоматизированный порядок сбора, хранения и обработки персональных данных.
К таким документам в том числе относятся:
– План мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных с формированием перечня должностей и третьих лиц, допущенных к обработке персональных данных;
– Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данных и приказ о ее назначении;
– Положение по обработке персональных данных;
– форма Обязательства о неразглашении персональных данных;
– форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку;
– форма Согласия на обработку персональных данных;
– уведомление об обработке персональных данных;
– Инструкция пользователя информационных систем персональных данных и приказ о ее утверждении;
– Регламент по учету, хранению и уничтожению носителей персональных данных;
– Регламент по допуску лиц к обработке персональных данных;
– Регламент по реагированию на запросы субъектов персональных данных;
– Регламент по учету средств криптографической защиты информации;
– Регламент по взаимодействию с органами государственной власти в области персональных данных;
– Регламент по резервному копированию персональных данных;
– Регламент по реагированию на инциденты информационной безопасности.
Ответственность
На сегодня ответственность за нарушение правил работы с персональными данными закреплена ст. 13.11 КоАП РФ. Причем законодательная формулировка нарушения крайне широка. Ответственность предусмотрена за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Наиболее часто операторов привлекают к ответственности за отсутствие согласия субъекта на сбор и обработку его персональных данных.
Надо сказать, что штраф по ст. 13.11 КоАП РФ относительно небольшой:
– для должностных лиц – от 500 до 1000 руб.;
– для компаний – от 5000 до 10 000 руб.
Однако еще с 2012 года обсуждается инициатива об увеличении штрафа до 500 000 руб.
Нарушение порядка работы с электронными платежами
Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее – Закон № 161-ФЗ), впервые законодательно отрегулировавший вопросы электронных платежей действует с сентября 2011 года. Несмотря на это вопросы о работе с электронными средствами платежа и электронными деньгами все еще остаются самими сложными для субъектов электронной торговли (пожалуй, за исключением кредитных организаций).
Электронные платежи и электронные средства платежа на текущий момент для правоохранительных органов являются объектов постоянного и пристального внимания, поскольку могут служить инструментом расчетов за совершенные преступления или являться отдельным объектом преступления. В том числе с этим связано внесение изменений Закон № 161-ФЗ, а также иные акты, регулирующий электронные платежи. Так последний пакет изменений был принят вместе с так называемым «третьим пакетом антитеррористических актов» в апреле 2014 г.
Пожалуй, самый спорный на текущей момент вопрос – выпуск электронных средств платежей и приравнивание к ним бонусных карт, подарочных сертификатов и иных инструментов ранее выпускаемых и используемых в торговле как в он-лайне, так и офф-лайне.
В информационном письме Центрального банка РФ от 28 февраля 2013 г. (без номера) сказано, что выпуск юридическими лицами, не являющимися кредитными организациями, карт (в том числе подарочных, накопительных, дисконтных, бонусных) для их использования физическими лицами для расчетов с поставщиками услуг (товаров, работ), отличными от эмитентов карт, является незаконным.
Весь прошедший год сфера электронной коммерции активно обсуждала данный вопрос (как в Интернете, так и на профильных мероприятиях). В итоге в закон № 161-ФЗбылт внесены изменения (см. Федеральный закон от 28.12.2013 № 403-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»). Нововведения вступят в силу 1 августа 2014 г.
В соответствии с внесенными изменениями Закон № 161-ФЗ дополнен понятием «предоплаченная карта» – это платежная карта, предоставляемая клиенту (физическому лицу) оператором электронных денежных средств, используемая в том числе для перевода электронных денежных средств.
Регламентирован и порядок использования данной карты. Установлено, например, что перевод электронных денежных средств с ее использованием осуществляется в срок не более трех рабочих дней после принятия оператором электронных денежных средств распоряжения клиента (если более короткий срок не предусмотрен договором либо правилами платежной системы).
Таким образом, все предоплаченные карты, обращающиеся сейчас на рынке, с 1 августа 2014 г. получают статус электронного средства платежа. Такие карты могут выпускаться только через кредитную организацию. Всем компаниям, обладающим подобными картами (выпустившими и принимающими к оплате или к расчетам предоплаченные карты других эмитентов), в срок до 1 августа 2014 г. необходимо будет привести свою деятельность в соответствие с законодательством.
Выходы у компаний могут быть следующие:
– если компания предполагает и далее выпускать собственные предоплаченные карты, которые могут быть приняты к расчетам в других организациях, необходимо, необходимо получить статус кредитной организации. А для этого нужно получить соответствующую лицензию и уведомить Банк России о начале деятельности по осуществлению перевода электронных денежных средств;
– если у компания нет желания или возможности стать кредитной организацией, она сможет обратиться в кредитную организацию, уведомившую Банк России о начале деятельности по осуществлению перевода электронных денежных средств [2]. В таком случае компания приобретет статус банковского агента для возможности реализации таких карт и далее;
– отказаться от партнерских сетей. Тогда придется выпускать и принимать к оплате предоплаченные карты исключительно в своем магазине. Обращаем внимание, что сетевые магазины смогут работать с собственными картами, если такие магазины будут принадлежать одному юридическому лицу. Если компания работает по системе франчайзинга, необходимо будет выбрать один ранее описанных вариантов.
– отказаться от использования предоплаченных карт раз и навсегда.
Внесенными поправками предусматривается также повышение лимита остатка электронных денежных средств по персонифицированным картам со 100 до 600 тысяч рублей.
***
Подводя итог, можно сказать, что на текущий момент электронная коммерция, как и любая другая сфера, сопряжена не только с коммерческими рисками, но и рисками, связанными с применением отдельных норм законодательства.
На наш взгляд любой как начинающий, так и действующий бизнес должен быть сопровожден квалифицированной юридической помощью. Это позволит минимизировать возможные правовые риски, которые могут повлечь большие финансовые потери.
1. Правовые условия для электронной коммерции. к.ю.н. Н.И. Соловяненко // Институт государства и права Российской Академии Наук.
2. Полный список таких кредитных организаций можно найти здесь: www.cbr.ru/today/print.aspx?file=/today/payment_system/oper_zip/operator_list.html&pid=oper_zip&sid=ITM_41091