16 октября Госдума приняла в первом чтении законопроект №509708-8 «О внесении изменений в статью 1280 части четвёртой Гражданского кодекса Российской Федерации (об использовании программ для ЭВМ и баз данных)». Документ разработан в целях исключения нарушения авторских прав на ПО при осуществлении тестирования защищённости информсистем и направлен на легализацию деятельности исследователей уязвимостей — так называемых «белых» хакеров.
«Как правило, в составе информационных систем используется комплекс программ разных правообладателей на основании отдельных пользовательских соглашений, некоторые из которых прямо запрещают выполнение ряда действий, осуществляемых при анализе защищённости», — говорится в пояснительной записке к законопроекту, подготовленному комитетом Госдумы по государственному строительству и законодательству.
Выполнение тестирования защищённости без разрешений правообладателей может обернуться нарушением их авторских прав и, согласно действующему законодательству, повлечь крупный денежный штраф или привлечение исполнителя к уголовной ответственности.
Поправками предусмотрена возможность изучения, исследования или испытания функционирования программ лицом, правомерно владеющим экземпляром ПО, либо лицом, действующим по его поручению, — в целях выявления его уязвимостей и исправления явных ошибок. При этом указанные действия осуществляются исключительно в отношении экземпляров программ и/или базы данных, функционирующих на технических средствах пользователя.
С целью защиты прав и интересов правообладателей софта законопроектом предусмотрен запрет на передачу информации о выявленных исследователем недостатках третьим лицам, за исключением правообладателя или лица, осуществляющего переработку ПО, базы данных с согласия правообладателя, если иное не установлено законом. Также новая норма обязывает исследователя сообщить правообладателю софта о выявленных уязвимостях в течение пяти рабочих дней со дня их выявления, за исключением случая, если не удалось установить место нахождения, место жительства или адрес для переписки владельца.
Принятие документа позволит проводить анализ уязвимостей в любой форме, без разрешения правообладателей соответствующей программы, в том числе правообладателей инфраструктурных и заимствованных компонентов. Поправки к законопроекту, который готовится ко второму чтению, принимаются до 14 ноября 2024 года.