Преступления в сфере компьютерной информации
Указанная глава появилась вместе с Уголовным кодексом РФ в 1996 г. Изначально осуществить криминализацию "компьютерных преступлений" предполагалось посредством внесения ряда статей в Уголовный кодекс РСФСР [1], в частности:
- ст. 152-3 "Незаконное овладение программами для ЭВМ, файлами и базами данных";
- ст. 152-4 "Фальсификация или уничтожение информации в автоматизированной системе";
- ст. 152-5 "Незаконное проникновение в АИС, совершенное путем незаконного завладения парольно-ключевой информацией, нарушение порядка доступа или обхода механизмов программной защиты информации с целью ее несанкционированного копирования, изменения или уничтожения";
- ст. 152-6 "Внесение или распространение "компьютерного вируса";
- ст. 152-7 "Нарушение правил, обеспечивающих безопасность АИС";
- ст. 152-8 "Промышленный шпионаж с использованием ЭВМ".
Однако переход к совершенно новому Уголовному кодексу стал причиной переработки указанных статей и их сведению к нынешним трем статьям 28-й главы УК РФ.
По нашему мнению, указанное сокращение составов преступлений сказалось на "компьютерной" части уголовного закона отнюдь не лучшим образом. Первоначальный вариант, хотя и не идеальный, более соответствовал реальности и теоретическим положениям информационной безопасности, а также не давал возможности для смешения разных категорий правонарушений.
Современная же формулировка статей 28-й главы УК РФ по сути была морально устаревшей уже в момент ее принятия. И, к большому сожалению, за прошедшие 10 лет она ни разу не подвергалась пересмотру и уточнению. В существующем же виде использование нераскрытых в уголовном законе терминов "информация", "санкционирование", "доступ" часто позволяют необоснованно распространять действие указанных статей на области, явно не предусматривавшиеся законодателем.
Общий правовой анализ статей 272 и 273 УК РФ
Статья 272
Объект преступления. В комментариях [3, 4, 5] в качестве объекта преступления для ст. 272 УК РФ указываются соответственно "охраняемая законом компьютерная информация", "права на информацию ее владельца и третьих лиц", "право на неприкосновенность информации ее владельца и третьих лиц" и "материальные интересы потерпевшего".
Но сама по себе компьютерная информация не может считаться объектом преступления - из теории уголовного права известно, что объектом может быть только один из видов общественных отношений [12]. Правильнее сказать, что объектом являются отношения, связанные с компьютерной информацией. А именно следующие: право лица на безопасное пользование своим компьютером и сетевым соединением, право владельца на доступ к своей информации в ее неизменном виде.
Объективная сторона "выражается в: а) неправомерном доступе к охраняемой законом информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети; б) наступлении неблагоприятных последствий в виде уничтожения, блокирования, модификации, копирования информации, нарушения работы ЭВМ, их системы или сети; в) наличии причинной связи между неправомерным доступом и наступившими последствиями" [5].
Субъект преступления - "вменяемое физическое лицо, достигшее ко времени совершения преступления 16-летнего возраста" [4].
Субъективная сторона. В [3] указывается, что преступления, подпадающие под действие ст. 272 УК РФ, могут совершаться только с прямым умыслом, однако в [4] указывается и на возможность совершения подобных преступлений по неосторожности, а в [5] говорится не только о прямом, но и о косвенном умысле.
С учетом того что информационные системы обладают высокой сложностью и их функционирование зависит от огромного числа параметров, значение многих из которых пользователь не контролирует, следует признать, что неосторожность здесь неприменима. Сложность, слабая предсказуемость и фактическая недетерминированность современных компьютерных систем приводит к тому, что доступ к чужой информации и воздействие на нее происходит не то чтобы часто, но регулярно - в силу ошибок в программах и случайных факторов. Каждый специалист знает об этом и вынужден допускать возможность возникновения таких ошибок, застраховаться от которых невозможно. *(1) Поэтому включение в состав преступления варианта его совершения по неосторожности криминализировало бы всю повседневную работу любых ИТ-специалистов.
Таким образом, неправомерный доступ к охраняемой законом компьютерной информации может совершаться с прямым или косвенным умыслом.
Состав преступления является материальным и предполагает обязательное наступление одного из следующих последствий: уничтожение информации; блокирование информации; модификация информации; копирование информации; нарушение работы ЭВМ, системы ЭВМ или их сети.
Статья 273
Объект преступления. В [4] в качестве объекта преступления называется "безопасность пользования интеллектуальными и вещественными средствами вычислительной техники", в [5] - "безопасность использования информационных ресурсов и электронно-вычислительной техники" и "материальные интересы потерпевших". Так как, с одной стороны, не вполне ясно, что такое "интеллектуальные и вещественные средства вычислительной техники", а с другой стороны, в самой ст. 273 УК РФ ничего не говорится о "безопасности" и "материальных интересах потерпевших", с формулировками из вышеприведенных комментариев нельзя полностью согласиться. По нашему мнению, в данном контексте объектом преступления следует назвать общественные отношения по обеспечению корректной работы вычислительной техники в виде единственной ЭВМ, системы ЭВМ или их сети, т.е. право пользователя на безопасное пользование своим компьютером и сетевым соединением.
Объективная сторона преступления заключается в создании либо модификации одной или более программ для ЭВМ так, чтобы полученные в итоге программы заведомо приводили к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети. Преступлением считается и виновное использование и/или распространение подобных вредоносных программ.
Субъект преступления - "вменяемое физическое лицо, достигшее ко времени совершения преступления 16-летнего возраста" [4].
Субъективная сторона преступления характеризуется только прямым умыслом [3, 4, 5], однако ч. 2 ст. 273 УК РФ предусматривает наступление тяжких последствий по неосторожности [3]. На практике распространение и использование вредоносных программ не всегда считается преступлением - исключением является деятельность разработчиков антивирусных средств, средств обнаружения и предотвращения атак, а также академических исследователей вредоносных программ. Все эти лица действуют, имея умысел на нечто противоположное - на предотвращение распространения таких программ.
Состав преступления является формальным и не требует для квалификации наступления каких-либо последствий.
Следует учитывать, что обсуждаемые комментарии [3, 4, 5] создавались сразу после принятия нового УК РФ. В то время не было никакой практики применения составов из 28-й главы, которые отсутствовали в прежнем Кодексе. Следовательно, комментарии писались исходя из общих соображений, без учета сомнений и неоднозначностей в толковании, которые появились лишь позже. И уж, конечно, без учета такого явления, как технические средства защиты авторских прав, которые начали применяться лишь в последние годы.
Нечеткость определения вредоносной программы
В Уголовном кодексе РФ вредоносная программа определена как "заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети".
Три подчеркнутых термина в этом определении сразу обращают на себя внимание специалиста и вызывают ряд вопросов, четкого ответа на которые в законе не содержится.
1. "Заведомо". Для какого именно субъекта последствия применения программы должны быть "заведомыми", т.е. заранее ведомыми [2]? Варианты такие: (а) для создателя этой программы; (б) для пользователя этой программы, т.е. для запускающего ее лица; (в) для владельца ЭВМ, на которой запускается эта программа; (г) для обладателя копируемой, модифицируемой, уничтожаемой информации; (д) для правообладателя соответствующего произведения.
2. "Информация". Определение информации дано в Федеральном законе от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон об информации) [15]: "Информация - сведения (сообщения, данные) независимо от формы их представления". Должно ли здесь применяться именно это определение либо иное - более широкое или более узкое? Любая ли информация имеется в виду или только "внешняя" по отношению к рассматриваемой программе? Охватываются ли временные технологические копии обрабатываемой информации или имеется в виду лишь информация, доступная для человека?
3. "Несанкционированное". Кто именно должен санкционировать указанные действия над информацией, чтобы они не считались несанкционированными? Варианты: (а) пользователь программы; (б) владелец ЭВМ или носителя информации; (в) обладатель обрабатываемой информации; (г) обладатель исключительных прав на объекты интеллектуальной собственности, представляемые обрабатываемой информацией. *(2)
Авторы предлагают следующее толкование спорных терминов.
1. "Заведомо"
Вредоносность, очевидно, есть свойство самой программы, не зависящее от знаний о ней каких-либо лиц. В противном случае получится, что действия лица квалифицируются в зависимости от свойства программы, которое, в свою очередь, зависит от действий этого же лица.
То есть вредоносность программы - это ее объективное свойство. Следовательно, слово "заведомо" в обсуждаемом определении надо трактовать как "хорошо известно", "несомненно" [6], "определенно", "неслучайно", "в силу свойств самой программы". То есть вредные последствия применения такой программы должны неизбежно следовать из ее устройства, а не быть случайным или побочным эффектом или результатом нецелевого использования.
Все несанкционированные действия должны выполняться вредоносной программой только в автоматическом режиме (независимо от воли и действий оператора ЭВМ, но заведомо для автора). Только при этом условии можно отделить вредоносные от обычных программ, выполняющих аналогичные действия с информацией, но по команде пользователя.
В формулировке ст. 273 УК РФ слово "заведомо" совершенно четко и однозначно связано с процессом создания программ для ЭВМ или внесения изменений в существующие программы [11], что полностью соответствует техническому пониманию сущности вредоносных программ. Многие некорректные трактовки ст. 273 УК РФ строятся так, будто она звучит как "распространение программ для ЭВМ, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети", а не "создание программ для ЭВМ или внесение изменений в существующие программы". Подобные трактовки являются спекулятивными, но, к сожалению, остаются весьма популярными среди представителей правоохранительных органов.
2. "Информация"
Как в комментариях к Кодексу, так и в материалах судебных дел для разъяснения нераскрытых в УК терминов принято обращаться к гражданскому законодательству или даже к нормативно-техническим документам. Полагая это общепринятой практикой, примем, что при трактовке ст. 272 и 273 УК РФ необходимо пользоваться определениями Закона об информации, так как именно этот Закон "регулирует отношения, возникающие при... обеспечении защиты информации" (п. 3 ч. 1 ст. 1 Закона). Так как определение информации в этом законе носит весьма общий характер, следует сделать вывод, что определение вредоносной программы охватывает все виды информации. Более того, в ст. 273 УК РФ говорится не о "компьютерной информации", как в ст. 272, а об информации вообще. Таким образом, программа для ЭВМ, "заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации", скажем, на бумажном носителе (например, вычеркивая часть слов при распечатке текста на принтере, как это делает система защиты документов формата PDF) также будет признана вредоносной.
3. "Несанкционированное"
Кто может санкционировать действия над информацией? Согласно Закону об информации право осуществлять различные действия над информацией и разрешать осуществление таких действий принадлежит обладателю этой информации (ч. 3 ст. 6). Следовательно, санкция на модификацию, копирование, уничтожение и блокирование информации должна исходить от обладателя информации.
Кроме этого, в статье УК РФ говорится и о нарушении работы ЭВМ, системы ЭВМ или их сети. Не вполне понятно, относится ли слово "несанкционированное" к далее перечисленным действиям по "нарушению работы ЭВМ". Бывает ли нарушение работы санкционированным? В принципе бывает. Тогда кто может санкционировать нарушение работы ЭВМ? В силу ч. 6 ст. 13 [15] такими правами наделен оператор информационной системы (ибо ЭВМ, система ЭВМ, сеть ЭВМ - это все информационная система в терминах указанного Закона).
Таким образом, уничтожение, блокирование, модификация либо копирование информации являются несанкционированными, если на их осуществление нет разрешения обладателя обрабатываемой информации, а нарушение работы ЭВМ, системы ЭВМ или их сети являются несанкционированными, если на их осуществление нет разрешения оператора информационной системы. Как ясно видно, в числе субъектов, санкционирующих действия с информацией, ЭВМ, системой ЭВМ или их сетью, никаких правообладателей объектов интеллектуальной собственности нет.
Но давайте все-таки предположим, что правообладатель находится в числе субъектов, могущих санкционировать действия над информацией. Из этого вытекает, что вредоносность не есть имманентное свойство самой программы, а зависит от обстоятельств. Ведь действие без санкции со стороны обладателя информации или оператора информационной системы (пользователя) - это конструктивная особенность программы. Она не запрашивает в диалоговом режиме согласия на проводимые операции, либо запускается скрытно от пользователя, либо замаскирована под программу другого типа. Это все признаки самой программы, выявляемые в ходе компьютерно-технической экспертизы. Отсутствие же санкции правообладателя - это не свойство программы, а часть отношений между ним и пользователем. Правообладатель может дать или не дать разрешение, программа же от этого не изменится. Программа "не знает" об условиях договора между пользователем и правообладателем.
Более того, законодательством предусмотрены случаи, когда разрешения (санкции) правообладателя не требуется для использования произведения. То есть санкции нет, а действия правомерные. Например, исправление явных ошибок в компьютерной программе или ее адаптация. В отношении же обладателя информации или оператора информационной системы таких случаев не бывает. Там связь однозначная: есть санкция - правомерно, нет санкции - неправомерно.
То есть если предположить, что правообладатель входит в число дающих "санкцию" на действия с информацией, то одна и та же программа будет вредоносной и невредоносной в разных случаях. Как же тогда эксперт сможет оценить ее? Вредоносность - технический факт. А сделанное предположение превратило бы его в факт юридический, судить о котором эксперт не уполномочен [8]. Мы пришли к противоречию. В этих условиях следует признать, что правообладатель объекта интеллектуальной собственности не вправе санкционировать действия с информацией.
Таким образом, авторы предлагают следующее разъяснение термина "вредоносная программа". Вредоносной следует считать программу для ЭВМ, объективным свойством которой является ее способность осуществлять не разрешенные обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или не разрешенные оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причем те и другие действия - без участия и без предварительного уведомления вышеуказанных субъектов.
Данное разъяснение ни в чем не противоречит формулировке УК РФ и положениям Закона об информации и в то же время снимает упомянутые выше неясности в толковании применяемых терминов.
Примечательно, что самостоятельно выработанная авторами статьи позиция по трактовке вредоносности программ во многом совпала с мнением, высказанным в [4]: "Вредоносность или полезность соответствующих программ для ЭВМ определяется не в зависимости от их назначения, способности уничтожать, блокировать, модифицировать, копировать информацию (это - вполне типичные функции абсолютно легальных программ), а в связи с тем, предполагает ли их действие, во-первых, предварительное уведомление собственника компьютерной информации или другого добросовестного пользователя о характере действия программы, а во-вторых, получение его согласия (санкции) на реализацию программой своего назначения. Нарушение одного из этих требований делает программу для ЭВМ вредоносной".
Аналогичная позиция высказывается и в [5]: "В качестве наиболее важных особенностей подобных компьютерных программ принято выделять несанкционированность их действия и способность уничтожить, блокировать, копировать или модифицировать информацию... Несанкционированность вредоносной программы означает, что ее запись, хранение в ЭВМ или на машинном носителе и последующая активизация происходят помимо воли правомерного владельца информационного ресурса. Это проявляется в отсутствии предварительного оповещения пользователя о появлении вредоносной программы и последующем игнорировании его возможного запрета на действие такой программы".