В.В. Воробьёв
Воробьёв Виктор Викторович — кандидат юридических наук, доцент, заведующий кафедрой уголовного права и криминологии
Сыктывкарский государственный университет им. Питирима Сорокина
О проблемах реализации уголовно-правовых запретов в сфере компьютерной информации как следствие недостатков в юридической технике
В Уголовном законодательстве Российской Федерации предусмотрена ответственность за такие виды компьютерных преступлений, как неправомерный доступ к компьютерной информации (ст. 272 УК РФ), создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ) и нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274 УК РФ). Кроме этого в УК РФ имеются такие составы преступления, как мошенничество с использованием платежных карт (ст. 1593), мошенничество в сфере компьютерной информации (ст. 1596), неправомерный оборот средств платежей (ст. 187). Эти составы в России принято относить к преступлениям в сфере информационно-коммуникационных технологий.
Данные судебной статистики в Российской Федерации свидетельствуют о том, что число лиц, осужденных за преступления в сфере компьютерной информации до 2010 года увеличивалось, а начиная с 2011 года стало уменьшаться. Так, в 2003 году за преступления, предусмотренные статьями 272—274 УК РФ число осужденных составило 152 человека, в 2004 — 137, в 2005 — 203, в 2006 — 191, в 2007 — 241, в 2008 — 257, в 2009 — 347, в 2010 — 321, в 2011 — 258, в 2012 — 280, в 2013 — 268, в 2014 — 218, в 2015 — 235, и за первое полугодие 2016 года — 68 человек1.
Такое малое количество осужденных по статьям 272—274 УК РФ можно объяснить тем, что, согласно статистике правоохранительных органов России, в более чем 50% возбужденных уголовных дел отсутствуют подозреваемые. А при расследовании мошенничеств в сфере компьютерной информации (ст. 1596 УК РФ), лишь в 1% возбужденных уголовных дел есть подозреваемые.
Судебная статистика также свидетельствует о том, что российское правосудие относится к компьютерным преступникам достаточно лояльно. Так, в 2015 году к реальному лишению свободы были осуждены лишь 5 человек, из них до 1 года осуждены 4 человека, а до 2 лет — 1 человек. Условно к лишению свободы были осуждены 42 человека. К ограничению свободы — 43, исправительным работам — 5 и к штрафу осуждены 12 человек. При этом по амнистии от наказания за совершение компьютерных преступлений в 2015 году были освобождены 122 осужденных.
Кроме этого, следует отметить и то, что даже когда лица привлечены к уголовной ответственности и им назначается, как видим, достаточно мягкое наказание, вопрос возмещения причиненного преступлением материального вреда остается весьма актуальным. В среднем по данным преступлениям потерпевшим возмещается только 10-20% материального вреда. Это отчасти вызвано как пробелами в законодательстве, так и недоработками правоохранительных органов, для которых первоочередной задачей является раскрытие преступления, а соблюдение материальных прав потерпевшего вторично, а порой совсем не важно.
В законодательстве России вопросы уголовного преследования и вопросы материального возмещения причиненного ущерба в целом разделены. Уголовный суд в основном рассматривает вопросы причастности и виновности лица, вид и размер наказания. И, несмотря на то, что уголовно-процессуальным законодательством Российской Федерации, в целях защиты и восстановления материальных прав потерпевшего предусмотрена процедура рассмотрения гражданского иска в уголовном процессе (ст. 44 УПК РФ), судьи по уголовным делам, не желая рассматривать гражданские иски, направляют пострадавшую сторону в гражданский суд, у которого другое процессуальное законодательство, сроки, порядок обжалования, затраты на юридическую помощь и т. п.
Таким образом, для лиц, склонных и/или способных к совершению компьютерных преступлений создается ситуация практически безнаказанности за совершаемые преступные деяния. А те, кто и были привлечены к такой сравнительно мягкой ответственности, вряд ли исправятся, а лишь будут более изощренными и осторожными при совершении преступлений в будущем.
Анализ составов с точки зрения соблюдения юридической техники хотелось бы начать со статьи 272 УК РФ «Неправомерный доступ к компьютерной информации», который предусматривает ответ-
1 Данные судебной статистики. URL: http://www.cdep.ru/index.php?id=79 (дата обращения: 20.08.2017).
434 --Юридическая техника. 2018. № 12
ственность за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.
Понятие неправомерного доступа к охраняемой законом компьютерной информации в законодательстве, науке и в правоприменительной практике трактуется по-разному, что, конечно же, является недостатком в юридической технике. В связи с этим необходимо пытаться сформулировать унифицированное определение этого понятия, чтобы в дальнейшем закрепить его в законе.
Приведем примеры толкования термина «доступ к информации» в различных нормативных актах российского законодательства:
1. Так, согласно пункту 6 статьи 2 Федерального закона «Об информации, информационных технологиях и о защите информации» доступ к информации — это возможность получения информации и ее использования1.
2. Закон РФ «О государственной тайне» доступ к сведениям, составляющим государственную тайну, трактует как санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну (ст. 2)2.
3. Федеральный закон «О коммерческой тайне» доступ к информации, составляющей коммерческую тайну, определяет как ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации (п. 5 ст. 3)3.
4. В Соглашении о сотрудничестве государств — участников СНГ в борьбе с преступлениями в сфере компьютерной информации понятие «неправомерный доступ» сформулировано как «несанкционированное обращение к компьютерной информации»4.
В российской науке также наблюдаются разные подходы к определению этого понятия. Однако весь спектр точек зрения российских ученых-правоведов можно свести к двум принципиальным позициям: первая заключается в том, что под доступом следует понимать получение возможности манипулировать информацией (копировать, модифицировать, уничтожать и т. п.)5; вторая — под доступом следует понимать не только получение возможности манипулировать информацией, но и простое ознакомление с ней без всякого воздействия6.
С учетом представленных точек зрения и положений нормативных актов, под неправомерным доступом к компьютерной информации предлагается понимать несанкционированное получение или обращение к компьютерной информации, позволяющее использовать эту информацию (в том числе и после ознакомления с ней) или воздействовать на нее (уничтожать, блокировать, модифицировать). Однако принятие данного определения за основу требует внесения изменений в диспозицию статьи 272 УК РФ. Здесь следует согласиться с А.Л. Осипенко7 и к числу альтернативных последствий добавить «ознакомление с информацией».
Кроме этого, диспозицию статьи 272 УК РФ следует дополнить таким последствием, как «распространение охраняемой законом информации». Можно предположить, что распространение информации охватывается понятием «копирование». Действительно, эти понятия во многом связаны, однако не являются одним и тем же. Так, копирование предполагает процесс создания дубликата информации, но никак по своему смыслу не охватывает ее распространение. Распространение может быть осуществлено как путем копирования с последующим тиражированием, так и без копирования информации. Например, предоставление беспрепятственного доступа к охраняемой законом информации путем нейтрализации системы защиты этой информации или нахождением прорех в защите. Злоумышленник может сообщить неограниченному или определенному кругу лиц лишь ссылку в Интернете на эту информацию либо дать инструкцию по обходу системы защиты.
1 Об информации, информационных технологиях и о защите информации: федеральный закон от 27 июля 2006 г. № 149-ФЗ (ред. от 29.07.2017) // Российская газета. 2006. 29 июля.
2 О государственной тайне: закон РФ от 21 июля 1993 г. № 5485-1 (ред. от 08.03.2015) // Российская газета. 1993. 21 сентября.
3 О коммерческой тайне: федеральный закон от 29 июля 2004 г. № 98-ФЗ (ред. от 12.03.2014) // Российская газета. 2004. 5 августа.
4 Соглашение о сотрудничестве государств — участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации (заключено в г. Минске 01.06.2001). Соглашение вступило в силу для России 17.10.2008 // Собрание законодательства РФ. 2009. № 13, ст. 1460.
5 Панфилова Е.И., Попов А.С. Компьютерные преступления. Серия «Современные стандарты в уголовном праве и уголовном процессе» / под ред. Б.В. Волженкина. СПб., 1998. С. 28.
6 Числин В.П. Уголовно-правовые меры защиты информации от неправомерного доступа: автореф. ... канд. юрид. наук. М., 2004. С. 13—14; Крылов В.В. Криминалистические проблемы оценки преступлений в сфере компьютерной информации // Уголовное право. 1998. № 3. С. 84; Богомолов М.В. Уголовная ответственность за неправомерный доступ к охраняемой законом компьютерной информации. Красноярск, 2002. С. 68; Сизов А.В. Неправомерный доступ к компьютерной информации: практика правоприменения // Информационное право. 2009. № 1. С. 32—35.
7 Осипенко А. Уголовная ответственность за неправомерный доступ к конфиденциальной компьютерной информации // Уголовное право. 2007. № 3. С. 43—47.
В составе статьи 273 УК РФ законодатель установил ответственность за создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
Понятие «вредоносная программа» является ключевым в диспозиции статьи 273 УК РФ. Этот термин имеет как доктринальное, так и нормативное толкование. В российском уголовном праве наблюдается некоторая разница во мнениях по определению этого понятия, однако принципиально отличающихся точек зрения не встречается. Аналогичная ситуация складывается и в нормативно-правовом толковании этого понятия.
Так, в Соглашении о сотрудничестве государств — участников Содружества Независимых Государств (СНГ) в борьбе с преступлениями в сфере компьютерной информации указано, что вредоносная программа — это созданная или существующая программа со специально внесенными изменениями, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети1.
Однако данное легальное определение уже не соответствует действующей редакции Уголовного кодекса РФ, так как термины «ЭВМ», «система ЭВМ» и их «сеть» исключены из диспозиции ст. 273 УК РФ, а такая цель создания вредоносной программы, как нейтрализация средств защиты информации, дополнила эту статью.
Дискуссионным остается еще один вопрос — с какого момента считать создание вредоносной программы оконченным преступлением? Когда программа находится в электронном виде и способна осуществлять вредоносные функции, или же возможно признавать вредоносной программой и текст программы, представленный в любой материальной форме, в том числе в виде записи на бумажном носителе?
В статье 1261 Гражданского кодекса РФ установлено, что программой для ЭВМ является представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения2.
Таким образом, возникает ситуация, при которой норма Гражданского кодекса РФ не соответствует основным положениям уголовного законодательства РФ. Противоречие состоит в том, что в уголовном праве России есть такие понятия, как «приготовление к преступлению» и «покушение на преступление» (ст. 30 УК РФ). Учитывая содержание этих понятий, создание исходных подготовительных материалов в ходе разработки программы следует квалифицировать как покушение на преступление (покушение на создание вредоносной программы). В связи с этим подготовительные материалы, полученные в ходе разработки компьютерной программы, и порождаемые ею аудиовизуальные отображения в контексте данного преступления не могут признаваться компьютерной программой.
Следует пояснить, что положения статьи 1261 Гражданского кодекса РФ не оспариваются, так как эта норма регулирует вопросы защиты авторских прав на компьютерные программы, в связи, с чем такое определение компьютерной программы вполне оправданно, однако применение его по аналогии, как предлагается некоторыми авторами3, в этом случае было бы неверным.
Следует отметить, что распространение исходных кодов (текстов) вредоносных компьютерных программ, несомненно, имеет общественную опасность и поэтому, наряду с распространением вредоносных программ, статья должна быть дополнена таким самостоятельным деянием, как «распространение исходных кодов (текстов) вредоносных программ». Под исходным кодом компьютерной программы (source code) следует понимать компьютерную программу, составленную в пригодной для чтения человеком форме (на соответствующем языке программирования), которую необходимо перевести в машиночитаемую форму, прежде чем она может быть исполнена компьютером4.
Вышеизложенное приводит нас к выводу о необходимости закрепления в примечании к статье 273 УК РФ определения такого понятия как «вредоносная компьютерная программа». Так, под вредоносной компьютерной программой предлагается понимать компьютерную программу, заведомо предназначенную для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации, ознакомления с ней или нейтрализации средств защиты компьютерной информации и способную к выполнению этих функций.
1 Соглашение о сотрудничестве государств — участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации (заключено в г. Минске 01.06.2001). Соглашение вступило в силу для России 17.10.2008 // Собрание законодательства РФ. 2009. № 13, ст. 1460.
2 Гражданский кодекс Российской Федерации (часть четвертая) от 18 декабря 2006 г. № 230-ФЗ (ред. от 03.07.2016) // Российская газета. 2006. 22 декабря.
3 См.: Энгельгардт А.А. Уголовно-правовая оценка создания, использования и распространения вредоносных компьютерных программ (информации) // Lex Russica. 2014. № 11. С. 1316—1325.
4 Об утверждении Правил надлежащей лабораторной практики Евразийского экономического союза в сфере обращения лекарственных средств: решение Совета Евразийской экономической комиссии от 3 ноября 2016 г. № 81. URL: http://www.eaeunion.org (дата обращения: 04.09.2017).
Ранее отмечалось, что вредоносная программа не является предметом преступления, так как именно она оказывает на него вредоносное воздействие. В связи с этим представляется, что вредоносная компьютерная программа не является факультативным признаком объекта преступления состава ст. 273 УК РФ, а выступает в качестве продукта преступной деятельности, который следует относить к объективной стороне состава преступления1.
По своей конструкции состав является формальным, и преступление признается оконченным в момент создания, распространения или использования вредоносной компьютерной программы независимо от момента наступления последствий.
В Уголовном кодексе РФ отсутствует ответственность за приобретение и/или хранение вредоносных программ с целью их использования и/или распространения. В связи с чем представляется необходимым, наряду с имеющимся перечнем деяний, дополнить данную статью такими действиями, как приобретение и/или хранение вредоносной компьютерной программы или ее исходных текстов с целью окончательного создания, использования и/или распространения этой программы.
Анализ судебной практики свидетельствует о том, что подавляющее большинство раскрытых преступлений, предусмотренных статьей 273 УК РФ, были совершены не профессиональными хакерами или программистами, а обычными пользователями компьютеров. Наиболее типичными преступлениями этого типа являются: копирование и использование вредоносных программ, блокирующих работу веб-ресурсов (как правило, государственных учреждений) или отдельных компьютеров, принадлежащих гражданам; копирование и использование вредоносных программ, перехватывающих трафик и собирающих такие данные, как логины и пароли; копирование, использование и распространение вредоносных программ, предназначенных для активации контрафактных программных продуктов путем нейтрализации средств их защиты.
Намного реже привлекаются лица, обладающие навыками программирования и самостоятельно создающие вредоносные компьютерные программы.
Чаще всего эти преступления совершаются из хулиганских или корыстных побуждений, и, как правило, квалифицируются по совокупности со статьей 146 УК РФ «Нарушение авторских и смежных прав», реже со статьей 1596 «Мошенничество в сфере компьютерной информации».
Статьей 274 УК РФ предусмотрена ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, если это причинило кому-либо крупный ущерб.
Основной проблемой применения данной нормы является отсутствие какой-либо официальной системы правил и инструкций в компьютерной сфере, и поэтому на протяжении последних двадцати лет действия Уголовного кодекса РФ эта норма практически не применялась.
Серьезным шагом на пути борьбы с компьютерными преступлениями явилось принятие Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», который вступит в силу с 1 января 2018 года2. В связи с принятием этого закона в Уголовный кодекс РФ была введена новая статья 2741 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации», которая также вступит в силу с указанного срока3.
Данная статья предусматривает ответственность:
— за создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации (ч. 1 ст. 2741 УК РФ);
— за неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации (ч. 2 ст. 2741 УК РФ);
— за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации (ч. 3 ст. 2741 УК РФ).
Максимальное наказание за эти преступления составляет до 6 лет лишения свободы, а при наступлении тяжких последствий — до 10 лет лишения свободы.
1 Воробьев В.В. Вредоносные компьютерные программы в уголовном законодательстве Российской Федерации // Путеводитель предпринимателя: сборник научных трудов / под науч. ред. Л.А. Булочниковой. М., 2015. Вып. XXVI. С. 92—100.
2 О безопасности критической информационной инфраструктуры Российской Федерации: федеральный закон от 26 июля 2017 г. № 187-ФЗ (вступ. в силу с 01.01.2018) // Российская газета. 2017. 31 июля.
3 О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса
Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной
инфраструктуры Российской Федерации»: федеральный закон от 26 июля 2017 г. № 194-ФЗ // Российская газета.
2017. 31 июля.
Представляется, что российский законодатель мог бы обойтись внесением соответствующих дополнений в статьи 272—274 УК РФ, так как новая статья 2741 УК РФ практически их дублирует с одним лишь дополнением «информации, содержащейся в критической информационной инфраструктуре Российской Федерации». Достаточно было бы закрепить этот признак в качестве квалифицирующих обстоятельств в статьях 272—273 УКРФ.
Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации» определены субъекты критической информационной инфраструктуры — государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей (п. 8 ст. 2).
В связи с участившимися случаями компьютерных атак на государственные учреждения, крупные корпорации и банки необходимость принятия этих изменений в законодательстве России давно назрела, а об их эффективности можно будет судить лишь спустя некоторое время.
Участие России в международно-правовом механизме борьбы с киберпреступностью носит региональный, а не глобальный характер. Россия активно участвует в формировании международного законодательства в рамках СНГ, однако не участвует в единственном на сегодняшний день глобальном международном соглашении о противодействии киберугрозам — Конвенции Совета Европы о преступности в сфере компьютерной информации (ETS № 185), заключенной в г. Будапеште в 2001 году.
Этому, конечно, есть объяснения. Первое — Конвенция не решает вопросов юрисдикции расследования трансграничных киберпреступлений того или иного государства, ограничиваясь общими положениями. По-прежнему не урегулированы уголовно-процессуальные вопросы. Этому способствует и то, что до настоящего времени идут дискуссии о критериях определения места совершения компьютерного преступлений, когда затронуты несколько государств. Второе — Конвенция содержит нормы, противоречащие, по мнению России, ее интересам. Так Конвенция, позволяет правоохранительным органам, с добровольного согласия лица, имеющего полномочия раскрыть информацию, получать доступ к компьютерным данным, находящимся на территории другого государства, без согласования с компетентными властями государства, что ограничивает действие принципа национального суверенитета при расследовании преступлений.
Таким образом, низкий уровень борьбы с компьютерными преступлениями в Российской Федерации во многом связан с несовершенством национального законодательства, вызванным недостатками в юридической технике, а также с имеющимися противоречиями в международных отношениях, которые необходимо оперативно, но вдумчиво устранять.