В условиях стремительной информатизации, захватившей практически все стороны жизни нашего общества, роста количества ЭВМ. карманных персональных компьютеров (КПК), мобильных телефонов, смартфонов и др. устройств, используемых в России, недостаточного уровня защищенности информации от противоправных посягательств, не исключено, что в скором времени проблема уголовно-правового регулирования информационной безопасности станет в один ряд с такими глобальными проблемами современности, как экологический кризис, организованная преступность, коррупция, отсталость развивающихся стран и др. Таким образом, защита информации нуждается в ещё более эффективной правовой (в том числе и уголовно-правовой) охране.
Признавая теоретическую значимость подобного рода исследований, отметим, что они пока ещё не привели к формированию целостного научного представления о социально-юридической природе составов незаконного посягательства и не затрагивают проблем эффективности действия норм, содержащихся в статьях 272, 273 и 274 УК РФ.
Важнейшей проблемой уголовно-правовых мер обеспечения информационной безопасности является проблема защиты информации от неправомерного доступа. Наличие данной проблемы заключается в том, что защите от неправомерного доступа подлежит наиболее ценная охраняемая законом информация, а также в том, что неправомерный доступ к охраняемой законом информации влечёт, как правило, значительные общественно опасные последствия, в частности, нарушение её конфиденциальности, целостности и доступности. Вместе с тем, современные уголовно-правовые меры защиты информации от неправомерного доступа основаны на приоритетности защиты информации, находящейся на определённых носителях (компьютерной информации), что, в силу несоответствия данного подхода положениям информационного законодательства, влечёт отсутствие чёткой системы уголовно-правовой защиты информации от неправомерного доступа.[19]
Вышеуказанные обстоятельства выступают причиной необходимости разработки системы противодействия преступлениям в сфере компьютерной информации, одной из составляющих которой должен выступить неправомерный доступ к охраняемой законом информации. При этом степень уголовно-правовой защиты информации должна определяться её содержанием, а не свойствами носителя.
Уголовно-правовая защита компьютерной информации привлекала внимание многих исследователей, в частности, таких как: Ю.М. Батурин, Н.Н. Безруков, СВ. Бородин, Т.А. Бушуева, В.В. Вехов, А.Г. Волеводз, и др. Однако большинство данных исследований носят преимущественно криминалистическую или криминологическую направленность. Уголовно-правовые исследования, как правило, заключаются в рассмотрении основных элементов состава преступления, предусмотренного статьями 272-274 Уголовного кодекса Российской Федерации. Изложенное позволяет говорить о том, что в настоящий момент проблема комплексного уголовно-правового подхода к защите компьютерной информации, независимо от типа носителя, требует детального изучения и возможно внесение соответствующих изменений в действующее законодательство.
Российское уголовное законодательство включает в себя ряд неизвестных ранее составов преступлений, среди которых есть нормы, направленные на защиту компьютерной информации. Такие нормы появились в российском законодательстве впервые. К уголовно-наказуемым отнесены:
1)неправомерный доступ к компьютерной информации (ст. 272 УК РФ);
2) создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ);
3) нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (ст. 274 УК РФ).
Видовым объектом преступлений в сфере компьютерной информации являются информационные отношения, т. е. отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации.
Из этого определения следует, что и информационные отношения стали новым объектом преступления. Конкретно эти преступления направлены против той части установленного порядка общественных отношений, который регулирует изготовление, использование, распространение и защиту компьютерной информации. Необходимость установления уголовной ответственности за причинение вреда в связи с использованием именно компьютерной информации вызвана возрастающим значением и широким применением ЭВМ во многих сферах деятельности и наряду с этим повышенной уязвимостью компьютерной информации по сравнению, скажем, с информацией, зафиксированной на бумаге и хранящейся в сейфе.
Таким образом, необходимость установления уголовно-правовой защиты компьютерной информации вызвана возрастающим значением и широким применением ЭВМ во многих сферах деятельности и наряду с этим повышенной уязвимостью компьютерной информации. Уголовный кодекс РФ в главе 28 впервые в отечественном законодательстве предусмотрел ответственность за совершение преступлений в сфере компьютерной информации. Появление в уголовном законе данной главы - несомненный шаг вперёд не только в борьбе с компьютерной преступностью, но и вообще в сфере борьбы с преступностью в области высоких технологий.[20]
3.1 Неправомерный доступ к компьютерной информации (Статья 272)
Объектом преступления являются отношения в сфере охраны компьютерной информации.
Объективную сторону преступления образует неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Под неправомерным доступом к охраняемой законом компьютерной информации следует понимать самовольное получение информации без разрешения ее собственника или владельца. В связи с тем, что речь идет об охраняемой законом информации, неправомерность доступа к ней потребителя характеризуется еще и нарушением установленного порядка доступа к этой информации. Если нарушен установленный порядок доступа к охраняемой законом информации, согласие ее собственника или владельца не исключает неправомерности доступа к ней. Собственником информационных ресурсов, информационных систем, технологии и средств их обеспечения является субъект, в полном объеме реализующий права владения, пользования распоряжения указанными объектами. Владельцем информационных ресурсов, информационных систем, технологий и средств их обеспечения является субъект, осуществляющий владение и пользование указанными объектами и реализующий права распоряжения в пределах, установленных законом. Пользователем (потребителем) информации является субъект, обращающийся к информации.
Информация (сведения различного характера) содержится в базе данных, которая является объективной формой представления и организации совокупности данных, систематизированных таким образом, чтобы они могли быть найдены и обработаны с помощью ЭВМ. Гибкие диски (дискеты), жесткие диски и компакт-диски позволяют переносить документы и программы с одного компьютера на другой, хранить информацию, не используемую постоянно на компьютере, делать архивные копии информации, содержащейся на жестком диске. [21]
Доступ к информации на машинном носителе имеют законные пользователи, т. е. лица, имеющие разрешение пользоваться компьютерными системами. Такое разрешение может быть дано, например, администратором базы данных.
Неправомерным следует признать доступ в закрытую информационную систему лица, не являющегося законным пользователем либо не имеющего разрешения для работы с данной информацией. Способы такого доступа: использование чужого имени, модификация программного и информационного обеспечения, изменение физических адресов технических устройств в результате системной поломки компьютера, установка аппаратуры записи, подключаемой к каналам передачи данных, и т. п.
Обязательный элемент объективной стороны данного состава - последствия. [22]
Уничтожение информации заключается в удалении файла (поименованной области на диске или другом машинном носителе) без технической возможности восстановления.
Модификация - внесение любых изменений, за исключением необходимых для функционирования программы или базы. данных на конкретных технических средствах пользователя или под управлением его конкретных программ.
Блокирование информации - это создание препятствий к свободному доступу; при этом информация не подвергается уничтожению.
Копирование информации - создание копий файлов и системных областей дисков.
Нарушение работы ЭВМ (систем ЭВМ, их сети) выражается в снижении работоспособности отдельных звеньев ЭВМ, отключении элементов компьютерной сети.
Преступление окончено с момента осуществления неправомерного доступа к информации, повлекшего ее уничтожение, модификацию, блокирование, копирование либо нарушение работы ЭВМ (систем ЭВМ, их сети).
С субъективной стороны преступление характеризуется только умышленной формой, вины. При этом по отношению к действию умысел может быть только прямым, о чем свидетельствует и использование законодателем термина "неправомерный", а к факту наступления последствий - как прямым, так и косвенным.
Субъектом преступления, предусмотренного ч. 1 ст. 272 УК, могут быть лица, достигшие 16 лет, в том числе и законный пользователь, который не имеет разрешения для работы с информацией определенной категории.
Частью 2 ст. 272 УК предусмотрена уголовная ответственность за данное преступление, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети.
Совершение преступления группой лиц по предварительному сговору будет иметь место, когда неправомерный доступ осуществили два лица, заранее договорившиеся о совместном его совершении.[23]
Признак организованной группы вменяется при совершении преступления двумя или более лицами, вне зависимости от формы соучастия - простое (соисполнительство) или сложное (с функциональным распределением ролей); причем действия виновных квалифицируются без ссылки на ст. 33 УК.
Лицо, использующее свое служебное положение или имеющее доступ к ЭВМ, системе ЭВМ, их сети, - это законный пользователь, обладающий правом доступа и обработки определенного рода информации в связи с выполнением своих служебных обязанностей, вытекающих из трудовых отношений (заключенного контракта).
3.2 Создание, использование и распространение вредоносных программ для ЭВМ (Статья 273)
Объектом преступления являются отношения в сфере обеспечения компьютерной безопасности.
Обьективная сторона преступления выражается в: создании программ для ЭВМ или внесении изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети; использовании таких программ; распространении таких программ или машинных носителей с такими программами.
В данной статье речь идет о разработке, распространении компьютерных вирусов путем создание программ для ЭВМ или внесения изменений в существующие программы. Опасность компьютерного вируса состоит в том, что он может привести к полной дезорганизации системы компьютерной информации и при этом, по мнению специалистов в данной области, может бездействовать достаточно длительное время, затем неожиданно «проснуться» и привести к катастрофе. Вирус может оказаться причиной катастрофы в таких областях использования компьютерной информации, как оборона, космонавтика, государственная безопасность, борьба с преступностью и т. д. К тяжким последствиям, наступившим по неосторожности, могут быть отнесены, например, гибель людей, причинение вреда их здоровью, дезорганизация производства на предприятии или отрасли промышленности, осложнение дипломатических отношений с другим государством, возникновение вооруженного конфликта.
Программа для ЭВМ - это объективная форма представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения определенного результата. Под программой подразумеваются также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения.
Под созданием и распространением вредоносных программ для ЭВМ следует понимать воздействие вирусов, т. е. программ, преднамеренно и без санкции соответствующих лиц изменяющих хранящиеся в компьютере данные или программы.
Под использованием программы понимается воспроизведение, распространение (предоставление экземпляров программы неопределенному кругу лиц) и иные действия по ее введению в оборот.
Распространением программы признается предоставление доступа к воспроизведенной в любой материальной форме программе, в том числе сетевым и иным способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы, включая импорт для любой из этих целей.
Окончено это преступление с момента совершения действий, указанных в диспозиции статьи.
С субъективной стороны преступление может быть совершенно как по неосторожности в виде легкомыслия, так и с косвенным умыслом в виде безразличного отношения к возможным последствиям. При установлении прямого умысла в действиях виновного преступление подлежит квалификации в зависимости от цели, которую перед собой ставил виновный, а когда наступили последствия, к достижению которых он стремился, - и зависимости от наступивших последствий. Лицо сознает, что создает программу, зараженную "вирусом", либо внедряет "вирус" в чужую программу или распространяет и использует его, и желает совершить эти действия. В этом случае действия, предусмотренные ст. 273 УК, оказываются лишь способом достижения поставленной цели. Совершенное деяние подлежит квалификации по совокупности совершенных преступлений.
Субъект преступления - лицо, достигшее 16 лет. Квалифицирующим обстоятельством данного преступления является наступление тяжких последствий (ч. 2 ст. 273 УК). При фиксации последствий в данном составе преступления законодатель использует оценочное понятие. Следовательно, их тяжесть должна определяться с учетом конкретных обстоятельств дела: имущественный ущерб, сопряженный с восстановлением информации; упущенная выгода при срыве заключения крупного контракта или соглашения; дезорганизация работы предприятий или учреждений и т. п. Форма вины по отношению к тяжким последствиям может быть только неосторожной.
3.3 Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (Статья 274)
Объектом преступления являются отношения в сфере обеспечения безопасности. Объективную сторону преступления образует нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это причинило существенный вред.
К такого вида нарушениям можно отнести несоблюдение общих средств защиты информации, а также нарушение режима эксплуатации ЭВМ. Выделяют два основных средства защиты: копирование информации и ограничение доступа к информации. Нарушение режима эксплуатации ЭВМ образуют, например, несанкционированные изменение, уничтожение или передача информации. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети состоит в несоблюдении правил режима их работы, предусмотренных инструкциями, исходящими из технических характеристик, правил внутреннего распорядка, а также правил обращения с компьютерной информацией, установленных собственником или владельцем информации либо законом или иным нормативным актом. Под охраняемой законом информацией следует понимать информацию, изъятую из публичного оборота на основании закона, других нормативных актов, а также правил внутреннего распорядка, основанных на упомянутых нормативных документах. По общему правилу такая информация имеет гриф ограниченного пользования. Представляется, что частные фирмы, включая коммерческие банки, вправе устанавливать ограничительные грифы в целях сохранения коммерческой или банковской тайны. [24]
Под существенным вредом (оценочное понятие) следует понимать причинение как материального, так и нематериального вреда.
Обязательным признаком объективной стороны преступления является наличие прямой (непосредственнной) причинной связи между уничтожением, модификацией или блокированием охраняемой законом информации и наступлением последствий в виде причинения существенного вреда.
С субъективной стороны преступление может быть совершено как умышленно, так и по неосторожности в виде как небрежности, так и легкомыслия. При установлении умысла на нарушение правил эксплуатации ЭВМ, системы ЭВМ и сети деяние, предусмотренное ст. 274 УК, становится лишь способом совершения преступления. Преступление в этом случае подлежит квалификации по наступившим последствиям, которые предвидел виновный, по совокупности с преступлением, предусмотренным данной статьей УК.
Субъект преступления специальный - лицо, имеющее законный доступ к эксплуатации упомянутых технических средств, достигший 16 лет. Это могут быть программисты, операторы ЭВМ, техники-наладчики и другие лица, имеющие к ним доступ по работе. О тяжких последствиях, наступивших по неосторожности, сказано выше в ст. 273
Квалифицирующим признаком ч. 2 ст. 274 УК является наступление тяжких последствий, а субъективная сторона характеризуется неосторожной формой вины по отношению к этим последствиям.[25]