NDA у defence-проєктах: чи достатньо стандартної моделі?

В умовах збройної агресії проти України та зростання глобальної напруженості у світі стрімко підвищується попит на військові технології. Проєкти в оборонній сфері активно запускаються та розвиваються, залучаючи різноманітних суб’єктів: від держави до приватних компаній та фізичних осіб.

Співпраця в defence-проєктах передбачає постійний обмін інформацією, серед якої надзвичайно високий обсяг та важливість даних з обмеженим доступом. Це прямо зачіпає не тільки інтереси бізнесу у недопущенні несанкціонованого доступу до власних розробок, а й обороноздатність держави чи навіть міждержавних утворень. У зв’язку з цим питання щодо коректності формулювання положень договору про нерозголошення є критично важливим для суб’єктів оборонних проєктів. 

У цій статті пропонуємо розібратися, чи покриває стандартний NDA потреби оборонних проєктів та  які основні моменти слід враховувати при формулюванні умов договору про нерозголошення у defence-галузі.

Чому NDA зі стандартними положеннями може не спрацювати? 

Базові угоди про нерозголошення, що використовуються у “цивільних” індустріях, як-от електронна комерція, IT, маркетинг, фінанси,  орієнтуються на захист від витоку чи свідомого розголошення внутрішньої службової інформації, персональних даних та комерційної таємниці відповідної компанії. Водночас проєкти у сфері оборонних технологій, навіть якщо на перший погляд можуть видаватися схожими на звичну технологічну/IT-співпрацю, мають справу з потенційно ще більш чутливими даними, що потребують суворого обмеження доступу до них.  Так, мова йде про секретну інформацію державного значення та потенційну державну таємницю, у сфері яких в дію можуть вступати специфічні законодавчі акти, включно з Кримінальним кодексом України. 

Саме фактичне існування додаткового рівня “секретності” порівняно зі звичайним NDA породжує необхідність запровадження низки як суто правових, так і фактичних захисних заходів при обміні інформацією в defence-проєкті, що об’єктивно не може бути враховано в стандартній угоді про нерозголошення. Не слід також забувати про можливих специфічних третіх сторін у вигляді іноземних держав, державних органів, підприємств, військових формувань тощо. Далі пропонуємо більш детально розглянути, які особливості співпраці в оборонних проєктах слід відобразити в угоді про нерозголошення. 

Обсяг та види захищеної інформації 

Фундамент будь-якого дієвого договору про нерозголошення — деталізований перелік конфіденційної інформації. Він покликаний забезпечити одночасно:

• належне інформування іншої сторони угоди про ті види даних, що вона бажає захистити від несанкціонованого розголошення чи витоків, та 
• повноту оформлення предмета NDA для підвищення шансів успішного примусового його застосування (накладення санкцій чи встановлення заборон в судовому порядку).  

Враховуючи особливу цінність та захищеність інформації у defence-проєктах, критично важливим є надання повноцінного переліку конфіденційної інформації. У класичних NDA сторони часто використовують загальні формулювання, додаючи фразу «та будь-яка інша інформація, яку сторона визначає як конфіденційну» або «вся інформація, що може бути отримана у рамках співпраці». Вважаємо, що такий підхід є вкрай небажаним для defence-проєкту, де саме специфічна чутлива інформація, що потенційно може набувати особливого статусу захисту на державному рівні, має бути чітко ідентифікована та не залишена поза увагою.  

Як передбачити перелік інформації, що покривається NDA? 

Тож умовно предмет NDA для defence-проєкту в частині переліку інформації, що захищається, може бути дворівневим:

(і) стандартизований обсяг, покликаний захищати внутрішню інформацію сторони;

та (іі) особливо чутливі дані оборонної сфери.

Пропонуємо наочно розглянути ці два блоки даних на прикладі умовної угоди про нерозголошення зі стартапом, що розробляє програмне забезпечення для безпілотних літальних апаратів. 

Загальноприйнятий обсяг захищеної інформації, куди можуть входити дані про:	Специфічна особливо чутлива інформація, defence-tech дані про:
бізнес-плани, маркетингові та PR-стратегії;	вихідний код та архітектура програмного забезпечення, алгоритми керування та автономної навігації
фінансові звіти, моделі ціноутворення, умови залучення інвестицій, взаєморозрахунки;	методи обходу систем РЕБ, робочі частоти, протоколи шифрування та захисту каналів зв’язку.
персональні дані, умови договорів з працівниками/підрядниками, розмір та умови виплати винагороди;	технічні специфікації програмного забезпечення, звіти про його тестування
партнерів, підрядників, постачальників, замовників;	результати закритих випробувань, записи польотів;
UI/UX дизайн вебсайту чи додатків (що не належать до другої категорії), рекламні матеріали;	координати виробництв та тестових майданчиків;
корпоративні політики, зміст комунікацій між сторонами.	конкретні військові підрозділи, оборонні контракти, специфічні запити з фронту.
будь-яка інша інформація, що може бути визначена стороною як конфіденційна.	—

При зміні обсягу співпраці варто обов’язково також переглядати NDA, розширюючи список інформації, що захищається, для максимального захисту інтересів задіяних суб’єктів.   

Особливі заходи із захисту інформації

Як правило, стандартні комерційні угоди про нерозголошення зазвичай не встановлюють деталізованого порядку чи суворих обмежень у питаннях обміну даними чи їх зберігання. Так, часто можна зустріти, наприклад, загальні формулювання на кшталт того, що сторони зобов’язуються забезпечувати належний захист отриманої інформації та запобігати її втраті чи розголошенню. Цього об’єктивно недостатньо, коли мова йде про дані, що потенційно відносяться до інтересів оборони держави, отримання доступу до яких ворожими суб’єктами може спричинити загрозу чи призвести до серйозних наслідків.

Враховуючи це, NDA у defence-проєкті має передбачити ряд додаткових заходів, направлених на дотримання необхідного рівня секретності. Звісно, що їх обсяг та зміст можуть варіюватися пропорційно ступеню стратегічної важливості проєкту чи важливості інформації та мають визначатися, виходячи з об’єктивних умов. Для прикладу, наступні особливі заходи можуть передбачатися в угоді про нерозголошення для проєкту в сфері оборони.

1. Специфічні засоби комунікації. 

Не секрет, що звичайні засоби зв’язку, як-от електронна пошта в звичайних доменах, месенджери, телефонний зв’язок, не вважаються захищеними, коли мова йде про обмін особливо чутливими даними в діяльності суб’єктів, залучених до оборонної сфери.  Тому, зокрема, використання електронних засобів комунікації у defence-проєкті може обмежуватися специфічними зашифрованими каналами чи правилами/процедурами використання, що обов’язково має бути чітко визначено в тексті угоди. Разом із цим, можливо також передбачати перелік заборонених засобів/способів зв’язку. За потреби, можливо, також встановити обов’язок маркування конфіденційної інформації при її викладенні на носіях чи у повідомленнях. 

2. Збереження/знищення даних.

У контексті оборонних інновацій питання локалізації даних виходить далеко за межі використання стандартних загальнодоступних хмарних сховищ (як-от звичайні Google Drive чи Dropbox). NDA має містити суворі вимоги щодо фізичної та кібербезпеки серверів, де акумулюється інформація. Наприклад, вимога зберігання вихідного коду виключно на локальних серверах з обмеженим доступом або у спеціалізованих захищених середовищах.

Не менш критичним є етап завершення співпраці. Угода повинна чітко регламентувати процедуру повернення або безповоротного знищення всіх носіїв інформації, алгоритмів та робочих матеріалів, включаючи резервні копії. Зазвичай це супроводжується обов’язковим наданням офіційного документального підтвердження (акта про знищення та видалення даних) від сторони, що їх отримувала.

3. Правила передачі третім особам.

Специфіка розробки military-tech продуктів часто передбачає залучення ланцюга підрядників: профільних технічних спеціалістів, сторонніх розробників, тестувальників, виробників компонентів тощо. Оскільки кожен додатковий учасник проєкту кратно збільшує ризик витоку, базового формулювання про «заборону розголошення» недостатньо. Договір має встановлювати жорсткий механізм каскадної відповідальності. Це означає, що розкриття конфіденційної інформації будь-якому субпідряднику чи консультанту можливе виключно за попередньою письмовою згодою власника інформації та з одночасним підписанням індивідуального, аналогічного за рівнем суворості NDA ще до моменту отримання навіть часткового доступу до технології.

Додаткові правові механізми посилення захисту інформації 

Крім переліченого вище, існують також юридичні моменти, що слід враховувати при формулюванні положень угоди про нерозголошення для mil-tech проєкту. Враховуючи специфіку інформації, що є предметом такого договору, доречним є зміщення балансу у правах та обов’язках на користь розкривача defence-tech даних. 

Оскільки витік в оборонній діяльності може містити ознаки кримінального правопорушення, важливо забезпечити максимально суворі превентивні заходи та дієві штрафні механізми. Так, доцільно розглянути встановлення значних сум штрафних санкцій, їх диференціацію залежно від вчиненого чи його наслідків. Для забезпечення превентивних заходів, наприклад, можна передбачити окрему відповідальність за порушення умов збереження/передання/захисту інформації, що не призвело до витоку. У цьому контексті також доречним буде передбачення права розкривача інформації проводити періодичний аудит дотримання вимог захисту даних відповідно до політики безпеки та відповідний обов’язок іншої сторони надавати всі необхідні доступи та сприяти перевірці.   

Ще однією особливістю defence-tech NDA може стати встановлення довшого строку дії зобов’язань зі збереження конфіденційної інформації. Враховуючи те, що об’єктивна необхідність збереження конфіденційності оборонних технологій   може вимірюватися десятиліттями, слід враховувати таку її особливість при встановленні строку дії зобов’язань. Варто диференціювати строки збереження для різних типів інформації пропорційно до її важливості/цінності з очевидним подовженим строком для стратегічних даних. 

Висновки

Отже, стандартна модель NDA не враховує всіх нюансів та специфіки defence-проєктів. Така угода є критично важливим правовим інструментом, що забезпечує захист особливо важливих технологій та безпосередньо впливає на обороноздатність держави. Для ефективного функціонування NDA вимагається ретельна підготовка, починаючи з відмови від стандартних шаблонів у певних ключових аспектах та запровадження додаткових заходів безпеки, що є необхідною умовою для запобігання витоку секретної інформації.

Для забезпечення посиленого захисту конфіденційних даних доцільно структурувати предмет договору так, щоб стандартний набір бізнес-даних, віднесених до конфіденційної інформації, був відокремленим від специфічних defence-tech даних. Такий підхід у комбінації з жорсткими правилами щодо захищених засобів комунікації, каскадною відповідальністю при передачі даних субпідрядникам та диференційованими строками дії зобов’язань забезпечить максимальний рівень секретності та створить дієвий превентивний механізм проти порушень.

Якщо ви бажаєте отримати професійну допомогу з розробки з нуля чи аналізу на предмет можливих покращень вашої угоди про нерозголошення та іншої юридичної документації для оборонних проєктів, звертайтеся до Legal IT Group. Ми допоможемо забезпечити повний правовий захист ваших розробок і мінімізувати критичні ризики для вашого military-tech бізнесу.