Как проводится аудит лицензий на программное обеспечение в корпоративных компаниях?
Как проводится аудит лицензий на программное обеспечение в корпоративных компаниях?
Как проводится аудит лицензий на программное обеспечение в корпоративных компаниях? Это подробное руководство объясняет защиту компьютерных программ в соответствии с турецким законом об авторском праве (FSEK), риск нарушения лицензии, тройные санкции, уголовную ответственность, управление доказательствами и пошаговый процесс аудита для компаний.
В современном мире, где цифровизация трансформирует корпоративную жизнь, программное обеспечение перестало быть просто техническим инструментом, на который компании полагаются для поддержки; оно стало фундаментальным элементом производства, бухгалтерского учета, управления проектами, отношений с клиентами и потока данных. Поэтому аудит лицензий на программное обеспечение в корпоративных компаниях следует рассматривать не как простой контроль ИТ, а как прямой аспект управления правовыми рисками. В турецком законодательстве компьютерные программы защищены Законом № 5846 об интеллектуальной и художественной ценности, и согласно действующему сводному тексту в WIPO Lex, этот закон остается в силе, включая поправки № 7346 от 21 декабря 2021 года. В этом же тексте указано, что компьютерные программы включены в число охраняемых произведений, а поправка 2021 года конкретно обновила уголовный режим в отношении обхода технологических мер.
Цель проведения аудита лицензий на программное обеспечение в корпоративных компаниях заключается не просто в ответе на вопрос «сколько лицензий существует?». Главная задача — определить, на каком правовом основании используется каждая программа, не превышена ли ее сфера действия, хранятся ли лицензионные документы в порядке, подходящем для аудита, и существуют ли какие-либо юридические и уголовные риски, вытекающие из Закона об интеллектуальной и художественной литературе, в связи с нелицензионным или нецелевым использованием. По данным Министерства культуры и туризма, в случае нарушения авторских прав могут быть возбуждены как гражданские, так и уголовные дела; Министерство также прямо указывает, что такие действия, как несанкционированная обработка, воспроизведение, распространение, публичная передача, коммерческая покупка, импорт, экспорт и хранение, могут повлечь за собой санкции.
Каковы правовые основания для проведения аудита лицензий на корпоративное программное обеспечение?
Правовая основа контроля за лицензированием программного обеспечения — это турецкий закон об авторском праве (FSEK). Статья 1/B закона определяет компьютерные программы; статья 2 гласит, что компьютерные программы и, при определенных условиях, их подготовительные разработки считаются произведениями науки и литературы. В рамках той же системы также указано, что идеи и принципы, лежащие в основе элементов компьютерной программы, не считаются произведениями. Это различие важно, поскольку закон защищает не абстрактную идею, а защищаемую форму выражения программы. Поэтому в процессе контроля недостаточно просто заявить: «Наша компания использует программное обеспечение»; отдельно рассматривается также статус авторского права на используемую версию, копию, установку и модель доступа.
В соответствии с турецким законом об авторском праве (FSEK) право на воспроизведение занимает особое место в контроле. Статья 22 закона предоставляет автору право воспроизводить копии произведения целиком или частично, прямо или косвенно, временно или постоянно. Для компьютерных программ эта сфера воспроизведения не ограничивается классическим копированием; под защиту также подпадают установка, запуск, передача и хранение программы. Поэтому при проведении проверок лицензий на программное обеспечение в корпоративных компаниях проверяются не только физические копии; в проверку также включаются серверные установки, удаленный доступ к рабочему столу, виртуальные машины, облачные учетные записи, пользовательские сессии и использование на нескольких устройствах. Это связано с тем, что юридические риски часто возникают именно в этих областях.
Статья 38 закона предоставляет определенные свободы в отношении законно приобретенных компьютерных программ. Соответственно, если в договоре не указано иное, допускается воспроизведение и обработка, необходимые для предполагаемого использования программы; установка, запуск и исправление ошибок программы не могут быть полностью запрещены договором; и может быть создана резервная копия, если это необходимо для использования. Однако эта свобода распространяется только законно приобретенное программное обеспечение . Поэтому при проведении аудита лицензий на программное обеспечение в корпоративных фирмах наиболее важным является с самого начала четкое разграничение между техническими свободами, предоставляемыми для лицензированного использования, и свободами, не предусмотренными лицензией или выходящими за ее рамки.
Как следует инициировать проверку лицензий на программное обеспечение?
Первый ответ на вопрос о том, как проводить аудит лицензий на программное обеспечение в корпоративных компаниях, заключается в том, что начинать следует с определения масштаба, а не с паники. Компания должна сначала структурировать аудит как исследование «инвентаризации и сопоставления разрешений». Границы должны быть четко определены с самого начала: какие офисы, серверы, виртуальные машины, группы пользователей и системы, установленные внешними поставщиками услуг, будут включены в аудит. Это необходимо как с юридической, так и с практической точки зрения: в соответствии с Законом об авторском праве, обсуждение нарушений часто основывается не на одном устройстве, а на характере использования. Поэтому, хотя головной офис компании может выглядеть лицензированным, серьезные несовместимости могут быть обнаружены в филиалах, устройствах для удаленной работы или тестовых серверах. Учитывая логику закона в отношении копирования и публичной передачи, узко определенный внутренний аудит может ввести компанию в заблуждение.
В идеале на этом начальном этапе юридический, ИТ, закупочный и финансовый отделы должны работать вместе. Это связано с тем, что проверка лицензии — это не просто вопрос технической установки. Сам факт установки программы в систему является технической информацией; однако для определения того, основана ли эта установка на действующей лицензии, необходимо также изучить юридические и финансовые документы, такие как договоры, счета-фактуры, записи о подписке, переписка о продлении и разрешения пользователей. Заявления Министерства культуры и туризма относительно необязательной регистрации также показывают, что права собственности и использования не всегда принадлежат одной и той же стороне; например, четко указано, что правообладателем компьютерной программы является лицо или лица, написавшие исходный код, в то время как финансовые права могут регулироваться отдельно договором. Такой подход особенно важен при аудите программного обеспечения, разработанного внутри компании.
Инвентаризация является основой аудита
Первым конкретным шагом в аудите программных лицензий в корпоративных компаниях является инвентаризация программного обеспечения. Необходимо определить, какое программное обеспечение установлено на всех настольных компьютерах, ноутбуках, серверах, виртуальных машинах, учетных записях облачных сервисов и терминалах удаленного доступа компании. В этой инвентаризации должны быть указаны не только основное название программы, но и номер версии, дата установки, модель лицензии, количество активных пользователей, количество устройств, тип лицензионного ключа, дата истечения срока действия подписки (если таковая имеется) и отдел, где программа фактически используется. Ведь нарушения лицензий часто возникают не из-за вопроса «существует ли программа или нет», а из-за вопроса «в каком контексте она используется?». Широкое толкование права на воспроизведение в турецком законе об авторском праве также объясняет, почему эти технические детали имеют юридическую силу.
Ключевым аспектом аудита здесь является выявление теневого использования ИТ. Программное обеспечение, установленное вне ИТ-отдела, активированное с помощью личных учетных записей, перенесенное из пробной среды в производственную или незаметно установленное сторонними поставщиками, часто остается вне основного инвентаря. Однако риски, связанные с авторскими правами и лицензированием, наиболее велики именно в этом скрытом слое. В ходе аудита необходимо сделать видимыми все программное обеспечение для проектирования, разработки, бухгалтерского учета, удаленного доступа, баз данных, антивирусное программное обеспечение, офисные приложения и программы управления проектами, установленные на устройствах сотрудников. Это требование имеет непосредственное юридическое значение, поскольку правообладатель может предпринять юридические или уголовные действия в случае нарушения, а несанкционированное воспроизведение, использование и хранение подлежат наказанию.
Как следует проверять лицензионные документы и контракты?
Сама по себе инвентаризация программного обеспечения не является аудитом; второй этап заключается в сопоставлении этой инвентаризации с лицензионными документами. Здесь следует совместно оценивать счета-фактуры компании, лицензионные соглашения, тексты лицензионных соглашений с конечным пользователем (EULA), переписку с дилерами или дистрибьюторами, панели подписки, записи о продлении и соглашения о поддержке. Поскольку покупка программы не означает, что любое ее использование разрешено. Так как турецкое законодательство об авторском праве (FSEK) признает, что финансовые права независимы друг от друга и что использование должно быть в разрешенных пределах, аргумент компании «мы совершили покупку» может быть недостаточным, если объем лицензионного соглашения был превышен. Поэтому аудит не ограничивается поиском документа о покупке; он тщательно изучает, какому пользователю, устройству, местоположению, сроку действия и версии разрешается этот документ.
На данном этапе следует отдельно рассматривать однопользовательские, многопользовательские, корпоративные лицензии, лицензии по подписке, OEM-лицензии, образовательные лицензии и пробные версии, поскольку риск в каждой категории различен. Например, развертывание однопользовательской лицензии на нескольких устройствах и использование пробной версии в коммерческом рабочем процессе создают разные юридические средства защиты, но оба варианта могут привести к нарушению лицензионных прав. Аналогично, особое внимание следует уделять проприетарному программному обеспечению, разработанному сторонними компаниями за плату. Согласно заявлению Министерства, лицо, заказавшее программу, не всегда считается правообладателем; в большинстве случаев признается, что финансовые права используются в рамках договора. Поэтому при проведении аудита лицензий на программное обеспечение в корпоративных компаниях необходимо проверять цепочку договорных прав даже для проприетарного программного обеспечения, которое, по мнению компании, принадлежит ей.
Как определяются зоны повышенного риска?
Третий шаг в решении вопроса о том, как проводить аудит лицензий на программное обеспечение в корпоративных компаниях, — это классификация рисков по весовым коэффициентам. Не все программное обеспечение представляет одинаковую степень юридического риска. Программное обеспечение, непосредственно поддерживающее основную деятельность компании, имеющее высокие лицензионные сборы, используемое многочисленными пользователями, дублирующееся на уровне серверов и сети или используемое для предоставления услуг внешним клиентам, следует считать более рискованным. В частности, к этой категории относятся CAD, BIM, ERP, бухгалтерское программное обеспечение, базы данных, программное обеспечение для обеспечения безопасности, программное обеспечение для медиапроизводства, программное обеспечение для дизайна и отраслевое корпоративное программное обеспечение. Это связано с тем, что несовместимость лицензий в этих программных продуктах может увеличить расчет затрат в соответствии со статьей 68 Закона Турции об авторском праве и усилить акцент на коммерческом использовании в соответствии со статьей 71.
Вторая область высокого риска — это инструменты или решения для взлома, обходящие защиту лицензии. Текущий сводный текст в WIPO Lex указывает на то, что статья 72 Закона об авторском праве Турции с поправкой 2021 года обновила режим в отношении обхода технологических мер. Поэтому инструменты для взлома активации, решения типа генераторов ключей или методы установки, отключающие контроль доступа, создают отдельный уровень, который может привести не только к отсутствию лицензии, но и к риску наложения штрафных санкций. В ходе проверок следует проверять не только наличие лицензии на программу, но и способ ее активации.
Что должна предпринять компания в случае обнаружения несоответствия?
Если аудит выявит несоответствия, первой реакцией компании не должно быть уничтожение улик. Напротив, текущую ситуацию следует документировать контролируемым образом, остановить новые установки, прекратить обмен лицензионными ключами и предотвратить эскалацию нарушений. Причина ясна: статья 76 Закона об интеллектуальной и художественной литературе позволяет суду запрашивать необходимые разрешения и разрешительные документы, а их непредоставление создает презумпцию незаконного использования. В контексте уголовных расследований статья 134 Уголовно-процессуального кодекса допускает обыск, копирование и, при необходимости, изъятие компьютеров, программ и файлов при наличии веских оснований для подозрения, подкрепленных конкретными доказательствами, и невозможности получить доказательства иным способом. Паника и удаление записей компанией могут ослабить ее защиту, а не снизить юридический риск.
В зависимости от характера нарушения компания должна разработать три отдельных плана действий. Первый случай связан с простой лазейкой в лицензировании: модель лицензирования верна, но количество лицензий недостаточно. Второй случай связан с превышением полномочий: например, одна лицензия распространена на множество пользователей, или образовательная версия расширена для коммерческого использования. Третий случай связан с открытым пиратством или нарушением технологических гарантий. Уровень юридического риска в этих трех случаях различен. Однако общим для всех трех является документирование текущего использования, заблаговременное привлечение юридического отдела к процессу и планирование стратегии взаимодействия с правообладателем в случае необходимости. Это связано с тем, что, согласно заявлениям Министерства, в случае нарушения авторских прав возможно возбуждение гражданского или уголовного иска, а денежные требования могут достигать трехкратной суммы первоначальных претензий.
Как работодатель управляет рисками, возникающими в связи с сотрудниками и поставщиками?
В корпоративных компаниях проверка лицензий на программное обеспечение проводится не только для подготовки защиты от внешних правообладателей, но и для изучения внутренней структуры ответственности компании. Кто установил программу, какой отдел запросил её, по какому договору внешняя IT-компания предоставляла услугу, активировал ли сотрудник её с помощью личного аккаунта, неправильно ли подразделение, осуществляющее закупки, истолковало тип лицензии? Все эти вопросы должны быть проверены. Это связано с тем, что статья 66 Закона Турции об авторском праве предусматривает, что если нарушение происходит во время оказания услуги представителями компании или сотрудниками, то против владельца бизнеса может быть подан иск, при этом вина не является обязательным условием для такого иска. Поэтому защита типа «сотрудник установил программу самостоятельно» или «это сделал поставщик» не обеспечивает автоматической защиты компании.
Таким образом, четвертым аспектом аудита является пересмотр внутренней политики. Компании необходимо ограничить права на установку программного обеспечения, предотвратить несанкционированные установки, включить в договоры с внешними ИТ-компаниями четкие положения о соблюдении лицензионных условий и ответственности за возмещение убытков, запретить сотрудникам осуществлять коммерческую деятельность с использованием личных лицензий и ограничить доступ увольняющегося персонала. Хотя такие меры прямо не прописаны в тексте Закона об интеллектуальной и художественной литературе, с учетом финансовых прав, несанкционированного использования и режима доказывания, они являются логичным и необходимым следствием корпоративного управления рисками.
Как следует действовать, если получено уведомление о проверке поставщика или предупредительное письмо?
В крупных компаниях аудит лицензий на программное обеспечение часто проводится по собственной инициативе; однако иногда аудит становится обязательным после получения предупредительного письма, проверки поставщика или жалобы правообладателя. В таком случае компания должна в первую очередь сравнить количество использований и объем лицензии, заявленные другой стороной, со своим собственным внутренним реестром. Как слепое принятие, так и полное отрицание могут быть ошибочными. В некоторых случаях компания-правообладатель могла правильно определить фактическое использование; в других случаях количество пользователей, версия или структура компании могли быть неправильно истолкованы. Обоснованный ответ может быть дан только после проведения технического отчета и анализа контракта. Это связано с тем, что закон об авторском праве открывает как юридические, так и уголовные пути для правообладателя и строго регулирует такие действия, как несанкционированное воспроизведение, распространение и коммерческое хранение.
В этом процессе цель компании должна заключаться не в том, чтобы «скрыть проблему», а в том, чтобы «контролировать юридические риски». Завершение лицензионного соглашения и коммерческое урегулирование могут быть разумными в соответствующих случаях. Однако при стремлении к урегулированию необходимо понимать потенциальный риск утроения затрат, убытков и штрафов по сравнению с предыдущим периодом. Поскольку в заявлении Министерства четко указано, что в случаях нарушения авторских прав могут быть возбуждены гражданские или уголовные дела, переговоры с продавцом или правообладателем — это не просто процесс торга; существует реальная угроза судебного разбирательства.
Заключение
В корпоративных компаниях аудит лицензий на программное обеспечение перестал быть необязательной проверкой ИТ-инфраструктуры; это механизм обеспечения соответствия требованиям, который можно считать обязательным для правовой безопасности компании. Турецкий закон об авторском праве защищает компьютерные программы как произведения; даже установка, запуск и хранение программы подпадают под действие прав на воспроизведение; несанкционированное использование может создавать юридические и уголовные риски; суды могут запрашивать лицензионные документы, и невозможность их предоставления может создать презумпцию незаконного использования; в некоторых случаях могут быть инициированы процессы цифровой экспертизы и изъятия. Поэтому правильная модель аудита должна включать инвентаризацию, сопоставление лицензионных договоров, классификацию рисков, управление несоответствиями, пересмотр внутренней политики и, при необходимости, подготовку к юридической защите.
Вкратце, ответ на вопрос «Как проводится аудит лицензий на программное обеспечение в корпоративных компаниях?» не сводится к одному предложению: сначала обеспечивается прозрачность всего программного обеспечения, затем каждая установка сопоставляется с юридическим разрешением, после чего изолируются области высокого риска, выявляются нарушения, которые устраняются с сохранением доказательств, и, наконец, разрабатывается политика соответствия программного обеспечения требованиям, чтобы предотвратить повторение компанией той же ошибки. Хотя этот процесс занимает время в краткосрочной перспективе, в долгосрочной перспективе он обходится гораздо дешевле, чем столкновение с рисками, связанными с нелицензионным программным обеспечением, которые втрое превышают затраты, компенсации и штрафы.
Об авторе статьи
