УДК 004:343.5:340.5 DOI: 10.12737/jflcl.2022.033
Критическая информационная инфраструктура как предмет посягательства в законодательстве зарубежных стран
Роман Игоревич Дремлюга
Юридическая школа Дальневосточного федерального университета, Владивосток, Россия, [email protected], https://orcid.org/0000-0003-1607-1228
Аннотация. Переход к цифровой экономике и построение в России информационного общества неизбежны. Доверие социума к информационным технологиям и темпы цифровой трансформации зависят от надлежащего функционирования информационной инфраструктуры. Стабильность и безопасность общества и государства зависят в том числе от обеспечения надлежащей правовой охраны основных узлов цифровой инфраструктуры от преступных посягательств.
Цель исследования — анализ норм в сфере ответственности за неправомерное воздействие на критическую информационную инфраструктуру в законодательстве зарубежных стран — лидеров в сфере перехода к цифровой экономике. Их опыт может быть полезен при разработке и модификации российской правовой базы в области регламентации ответственности за неправомерное воздействие на критическую информационную инфраструктуру. Задачи исследования: а) выявить позиции зарубежных стран по вопросам определения объектов критической информационной инфраструктуры и регламентации ответственности за посягательства на них; б) определить нормативную базу, связанную с регулированием отношений по привлечению к ответственности за неправомерное воздействие на критическую информационную инфраструктуру; в) оценить возможность заимствования Россией положительной зарубежной практики регулирования рассматриваемой сферы общественных отношений.
Методы исследования: диалектический метод познания, общенаучные (абстрагирование, анализ и синтез) и специальные юридические (сравнительно-правовой, логико-юридический и др.) методы.
Выводы: согласно большинству рассмотренных нормативных актов и официальных документов национального и международного уровня к критической информационной инфраструктуре относятся компьютерные системы, принадлежащие органам государственной власти или обслуживающие их. Значительное количество национальных нормативных актов определяет критическую информационную инфраструктуру через возможные последствия посягательств на ее объекты.
Ключевые слова: критическая информационная инфраструктура, преступные посягательства, уголовная ответственность, цифровая экономика, киберправо
Благодарности. Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-29-16129.
Для цитирования. Дремлюга Р. И. Критическая информационная инфраструктура как предмет посягательства в законодательстве зарубежных стран // Журнал зарубежного законодательства и сравнительного правоведения. 2022. Т. 18. № 3. С. 27—36. DOI: 10.12737/jflcl.2022.033
Critical Information Infrastructure as a Subject of Encroachment in the Legislation of Foreign Countries
Roman I. Dremliuga
School of Law, Far Eastern Federal University, Vladivostok, Russia, [email protected], https://orcid.org/0000-0003-1607-1228
Abstract. Russia's transition to a digital economy and building information society are inevitable. Society's confidence in information technology and the pace of digital transformation depend on the proper functioning of the information infrastructure. Many countries have realized that the first priority is to ensure legal protection against encroachments of the main nodes of the digital infrastructure. The stability and security of society and the state depend on their operation.
The study aims to analyze the norms in the field of liability for unlawful impact on critical information infrastructure in the legislation of foreign countries. Among the selected countries there are leaders in building the digital economy, so their experience can be useful to develop and modify Russian legislation in the area of liability regulation for wrongful impact on critical information infrastructure. Research objectives are: to determine the regulatory framework related to the regulation of relations on liability for wrongful impact on critical information infrastructure; to identify the position of countries related to issues of definition of objects of critical information infrastructure.
The methodological basis of the study is the dialectical method of knowledge, general scientific methods of abstraction, analysis and synthesis, as well as special legal methods (comparative-legal, logical-legal, etc.).
The analysis shows that according to the majority of the reviewed normative acts and official documents of the national and international level, critical information infrastructure includes computer systems belonging to or serving public authorities. In addition, a significant number of national regulations define critical information infrastructure through the possible consequences of attacks on its objects.
Keywords: critical information infrastructure, criminal offenses, criminal liability, data economy, cyber law
Acknowledgments. The reported study was funded by RFBR, project No. 18-29-16129.
For citation. Dremliuga R. I. Critical Information Infrastructure as a Subject of Encroachment in the Legislation of Foreign Countries. Journal of Foreign Legislation and Comparative Law, 2022, vol. 18, no. 3, pp. 27—36. (In Russ.) DOI: 10.12737/jflcl.2022.033
Введение. Будущее России неизбежно связано с цифровой трансформацией экономики и общества. Как отмечено в Стратегии национальной безопасности Российской Федерации1, обеспечение информационной безопасности России является одним из ключевых стратегических приоритетов государства. Для этого требуется развитие безопасного информационного пространства и защита российского общества от негативного информационного воздействия. Среди основных факторов, определяющих роль России на международной арене в долгосрочной перспективе, в документе называются способность обеспечить технологическое лидерство и перевод экономики на новую технологическую основу.
В новой модели функционирования экономики и общества огромную роль играют объекты информационной инфраструктуры. Данная инфраструктура в любом государстве неоднородна, и прежде всего необходимо обеспечивать безопасность точек, сбой в работе которых способен существенно повлиять на стабильность функционирования общества и государства. Это узлы, которые обеспечивают устойчивую работу всей информационной инфраструктуры. Без поддержания в рабочем состоянии объектов информационной инфраструктуры, от которых зависит безопасность государства и общества, невозможна активная цифровизация. Чаще всего такие ключевые точки информационной инфраструктуры называют критической информационной инфраструктурой (далее — КИИ).
С технической точки зрения объект КИИ — это элемент информационной инфраструктуры, от которого сильно зависят другие составляющие инфраструктуры. Надлежащее функционирование КИИ необходимо для удовлетворения потребностей больших групп людей, критично для обеспечения безопасности общества и государства. Такая инфраструктура может обрабатывать, хранить или передавать огромные объемы компьютерной информации.
Как справедливо отмечают некоторые авторы, национальное благополучие зависит от безопасной и устойчивой критической инфраструктуры — тех активов, систем и сетей, которые лежат в основе общества. Защита данных объектов требует определения, что считать критической инфраструктурой2.
В России особыми правовыми мерами охраны объектов КИИ от преступных посягательств являются в том числе меры уголовно-правовой охраны. Первые нормы, регламентирующие уголовную ответствен-
1 Утв. Указом Президента РФ от 2 июля 2021 г. № 400.
2 См.: Трунцевский Ю. В. Понятие критической информа-
ционной инфраструктуры и ее идентификация // Информационное право. 2019. № 1. С. 4.
ность за посягательства на критическую информационную инфраструктуру, в российском законодательстве появились лишь в 2017 г. Понимая ценность защиты критической информационной инфраструктуры, законодатель признал посягательства и неправомерное воздействие на нее уголовно наказуемыми. Федеральным законом от 26 июля 2017 г. № 194-ФЗ были внесены изменения в Уголовный кодекс РФ, в котором появилась ст. 2741 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации».
В Федеральном законе от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» критическая информационная инфраструктура определяется как «объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов». В свою очередь среди объектов КИИ могут быть: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, которые принадлежат либо используются субъектами КИИ.
В связи с относительной молодостью российских уголовно-правовых норм, регламентирующих уголовную ответственность за посягательства на КИИ, анализ зарубежного опыта в этой сфере может существенно помочь в сфере оценки применения и выявления путей развития российского уголовного законодательства.
Выделение критической информационной инфраструктуры в качестве отдельного предмета уголовно-правового посягательства имеет некоторые основания. Во-первых, это соотносится с трендом цифрови-зации экономики и общества. Повсеместное распространение информационных технологий приводит к ситуации, когда стабильность в обществе и государстве зависит от доступности, возможности и качества использования цифровых сервисов, продуктов и коммуникаций. Ключевым звеном для стабильного функционирования экономики, общества, государства являются важные узловые объекты, надлежащая работа которых влияет на качество жизни значительного числа граждан, обороноспособность страны, ее экономические и другие показатели. Таким образом, особо важные узлы информационной инфраструктуры могут выделяться в качестве отдельного предмета уголовно-правовой охраны.
Во-вторых, такой подход позволяет аккумулировать правоохранительные ресурсы в сфере защиты объектов КИИ. Рост киберпреступлений не позволяет охранять все объекты информационной инфраструктуры надлежащим образом. Выделение кри-
тической информационной инфраструктуры в качестве отдельного предмета преступных посягательств позволяет сконцентрировать лучшие правоохранительные и правоприменительные ресурсы в данной сфере. Зарубежный опыт показывает, что нередко защитой объектов КИИ занимаются не правоохранительные органы, а структуры, обеспечивающие государственную безопасность.
В качестве стран, выбранных для исследования, были обозначены государства, лидирующие по одному или нескольким индикаторам в мировых рейтингах конкурентоспособности, подготовленных по эгидой Мирового экономического форума в рамках изданий глобального отчета о конкурентоспособности в 2019 и 2020 гг.3
Одним из лидеров во многих категориях, в том числе в развитии цифрового законодательства (digital legal framework), являются Соединенные Штаты Америки. Также входит в топ-10 по многим критериям цифровизации Сингапур. Среди лидеров цифровиза-ции — Австралия (первая по макроэкономическим показателям цифровой трансформации), Великобритания (топ-10 общей конкурентоспособности в индустрии 4.0, развитии финансовой индустрии 4.0, способности внедрения инноваций), Китай (первый по размеру рынка цифровых услуг), Южная Корея (первая по внедрению ИКТ, топ-10 по внедрению цифровой инфраструктуры, способности внедрения инноваций, макроэкономическим показателям цифровой трансформации), Япония (первая по развитию человеческого капитала, топ-10 общей конкурентоспособности в индустрии 4.0, размеру рынка цифровых услуг, внедрению цифровой инфраструктуры, способности внедрения инноваций), и две страны Европейского Союза: Германия (первая по способности внедрения инноваций, входит в топ-10 общей конкурентоспособности в индустрии 4.0, развитию цифровых компетенций у населения, внедрению цифровой инфраструктуры, размеру рынка цифровых услуг) и Франция (входит в топ-10 по развитию человеческого капитала, размеру рынка цифровых услуг, внедрению цифровой инфраструктуры, способности внедрения инноваций). Таким образом, в качестве стран для нашего анализа были выбраны глобальные лидеры цифровизации.
Соединенные Штаты Америки — абсолютный лидер в развитии «цифрового» законодательства, первыми в мире закрепившие в законе нормы в сфере компьютерной информации.
Нередко критическая информационная структура является предметом уголовно-правовой охраны,
3 The Global Competitiveness Report Insight Report 2019. URL: http://www3.weforum.org/docs/WEF_TheGlobalCompetitivene ssReport2019.pdf; The Global Competitiveness Report Special Edition 2020. URL: http://www3.weforum.org/docs/WEF_TheG lobalCompetitivenessReport2020.pdf.
поэтому в первую очередь обратимся к уголовному законодательству. Все преступления в США подразделяются на федеральные (federal crimes), ответственность за совершение которых предусмотрена федеральным законодательством, и преступления, ответственность за которые установлена законодательством отдельных штатов (state crimes)4. То есть в США уголовное законодательство разрозненно и неоднородно, кроме системы федерального уголовного законодательства, здесь действуют 52 самостоятельные системы, которые могут конкурировать друг с другом: 51 штат и федеральный округ Колумбия, где расположена столица страны. Каждый штат чаще всего имеет свой свод уголовного законодательства, которое может отличаться по формулировкам, признакам состава и санкциям.
Федеральные уголовно-правовые нормы за преступления в сфере компьютерной информации в основном собраны в § 1030 разд. 18 Свода законов США. Раздел 18 в американской и отечественной юридической литературе нередко именуется уголовным кодексом5. Параграф 1030 известен также под названием «Закон по борьбе с компьютерным мошенничеством и злоупотреблениями» (The Computer Fraud and Abuse Act (CFAA))6. В нем отсутствуют специальные правовые нормы, регламентирующие уголовную ответственность за посягательства на объекты КИИ.
Определение критической информационной инфраструктуры в разд. 18 Свода законов США не закреплено. Тем не менее подробный анализ текста уголовного закона в части ответственности за преступления в сфере компьютерной информации показывает, что нормы, регламентирующие уголовную ответственность за посягательства на КИИ, в законодательстве США есть. Более того, нормы Закона по борьбе с компьютерным мошенничеством и злоупотреблениями регламентируют уголовную ответственность, прежде всего за неправомерное воздействие на КИИ.
Согласно тексту § 1030 только посягательства на компьютерные системы государственных органов или федеральных агентств расценивается как федеральное преступление. Часть (1)(а) Закона по борьбе с компьютерным мошенничеством и злоупотреблениями устанавливает уголовную ответственность за неправомерные посягательства на компьютерные системы структур национальной безопасности, или институтов, участвующих в международной деятельно-
4 См.: Брославский Л. И. Уголовная ответственность за экологические преступления в области охраны вод в США // Журнал российского права. 2008. № 3(135). C. 124.
5 См.: Петров А. В. Преступление по уголовному праву США // Законность. 2014. № 6(956). С. 56.
6 Title 18 U. S. Code § 1030 — Fraud and related activity in
connection with computers. URL: https://www.law.cornell.edu/
uscode/text/18/1030.
сти, а также объектов атомной энергетики. В части (1)(b) устанавливается уголовная ответственность за посягательства на компьютерные системы и сети финансовых институтов или организаций, выпускающих платежные карты. Часть (1)(с) рассматривает в качестве предмета посягательства компьютерные системы и сети правительственных учреждений7.
Несмотря на то что законодатель в США на федеральном уровне не выделяет преступные посягательства на объекты критической инфраструктуры, федеральным преступлением в сфере компьютерной информации является именно посягательство на особо важные объекты цифровой инфраструктуры, а все остальное находится в полномочиях штатов. К предмету посягательств, перечисленных в статье, относятся компьютерные системы, принадлежащие правительственным структурам, финансовым учреждениям и объектам атомной энергетики. Таким образом, законодатель США явно выделил некоторые объекты КИИ как предмет преступного посягательства.
Согласно анализу, проведенному некоторыми учеными, «использование киберпространства для причинения ущерба стратегическим военным операциям и нанесения урона национальной информационной инфраструктуре» определяется в документах политического характера как стратегическая информационная война8. Такой подход на федеральном уровне сохранился и в настоящее время9. Таким образом, неправомерный доступ или заражение вредоносной программой объектов КИИ, имеющих федеральное значение, скорее расценивается как преступление против основ конституционного строя и безопасности государства, а не как преступление в сфере компьютерной информации.
Как отмечают некоторые авторы, в США нередко используется термин «критическая инфраструктура» (англ. "critical Infrastructure"), куда входят 16 групп объектов, включая "information technology and communications sectors", которые наиболее близки к понятию критической информационной инфраструктуры в Российской Федерации10.
7 См., например: Computer Fraud and Abuse Act (18 USC 1030). URL: https://www.energy.gov/sites/prod/files/cioprod/documents/ ComputerFraud-AbuseAct.pdf (дата обращения: 25.09.2021).
8 См.: Molander R. C., Riddile A. S, Wilson P. A. Strategic Information Warfare: A New Face ofWar. Santa Monica, 1996. P. 1. URL: http://www.rand.org/content/dam/rand/pubs/monograph_ reports/2005/MR661.pdf (дата обращения: 25.09.2020).
9 См.: Бухарин В. В. Сравнительный анализ нормативной базы по обеспечению информационной безопасности в США и РФ (конец ХХ — начало XXI в.) // Вестник Иркутского государственного технического университета. 2016. Т. 20. № 12(119). С. 107.
10 См.: Кузнецов С. А., Куликов И. А., Фоминых А. А. Сравнение КИИ и методов категорирования КИИ в РФ и США //
Защита от атак на критическую инфраструктуру находится в ведении Министерства национальной безопасности США. Данный орган власти определяет критическую информационную инфраструктуру «как любую физическую или виртуальную информационную систему, которая контролирует, обрабатывает, передает, получает или хранит электронную информацию в любой форме, включая данные, голос или видео». Такая система должна обладать одним из признаков:
иметь жизненно важное значение для функционирования критической инфраструктуры;
должна быть настолько важна для США, что неработоспособность или разрушение таких систем будет оказывать ослабляющее воздействие на национальную безопасность, национальную экономическую безопасность или национальное здравоохранение и безопасность;
такая система принадлежит или управляется государством, местным, племенным или территориальным органом власти или от его имени11.
В 2014 г. США провели модернизацию законодательства в сфере кибербезопасности, усилив меры правовой охраны объектов КИИ. Среди принятых нормативных актов — Национальный закон о защите кибербезопасности12, Закон о модернизации информационной безопасности на федеральном уровне13; Закон об оценке персонала, задействованного в сфере кибербезопасности14; Закон об оценке персонала, задействованного в сфере национальной кибербезопасности15; Закон об усовершенствовании кибербезопасности16. Несмотря на то что данные законы не закрепляли уголовно-правовые нормы за посягательство на КИИ, они имели влияние на развитие уголовно-правового законодательства в сфере борьбы с киберпреступностью.
Во-первых, был расширен круг объектов, относящихся к критической инфраструктуре, кроме упомя-
Актуальные научные исследования в современном мире.
2021. № 6-1(74). С. 65.
11 Blueprint for a Secure Cyber Future: The Cybersecurity Strategy for the Homeland Security Enterprise. November 2012. P. 10. URL: http://www.dhs.gov/files/publications/blueprint-for-a-secure-cyber-future.shtm.
12 National Cybersecurity Protection Act of 2014, Pub. L. No. 113—282 (2014). URL: https://www.congress.gov/bill/113th-congress/senate-bill/2519 (дата обращения: 15.03.2021).
13 Federal Information Security Modernization Act of 2014, Pub. L. No. 113—283 (2014). URL: https://www. congress.gov/bill/ 113th-congress/senate-bill/2521 (дата обращения: 15.03.2021).
14 Cybersecurity Workforce Assessment Act, Pub. L. No. 113— 246 (2014). URL: https://www.congress.gov/bill/113th-congress/ house-bill/2952/text (дата обращения: 15.03.2021).
15 Homeland Security Workforce Assessment Act of 2014.
16 Cybersecurity Enhancement Act, Pub. L. No. 113—274 (2014). URL: https://www.congress.gov/bill/113thcongress/senate-bill/1353 (дата обращения: 15.03.2021).
нутых в Законе по борьбе с компьютерным мошенничеством и злоупотреблениями видов информационной инфраструктуры, в качестве объектов КИИ стали расценивать и частные компании, обладающие определенными характеристиками. Например, компании, являющиеся крупными операторами персональных данных граждан США или предоставляющие рабочие места значительному числу американцев, а также владеющие объектами интеллектуальной собственности со значительным стоимостным выражением17.
Во-вторых, принятие нормативных актов на федеральном уровне дало импульс развитию уголовного законодательства штатов в данной сфере. Например, на уровне законодательства штатов были приняты нормы, регламентирующие юридическую ответственность за посягательства на отдельные виды объектов критической инфраструктуры. Например, согласно законодательству некоторых штатов (Алабама, Калифорния, Айова, Индиана и др.) отдельной уголовно-правовой охране подлежат информационные структуры, обеспечивающие проведение выборов на уровне штата18.
Многие штаты претворяют в жизнь собственные стратегии в области правовой охраны объектов критической инфраструктуры и повышения ки-берзащищенности, которые нередко включают установление уголовно-правовых мер по защите КИИ19. Штат Вирджиния одним из основных пунктов стратегии штата в сфере кибербезопасности определил модернизацию законодательства штата в сфере ки-берпреступлений (modernize state laws to address cybercrimes)20. Среди таких изменений, например, — выделение состава преступления, совершенного против государственных систем или систем критической инфраструктуры. Если обычное посягательство — это преступление небольшой тяжести или административный поступок (misdemeanor 1 Class), то преступление против критической информационной инфраструктуры подпадает под категорию средней тяжести или тяжкого (felony class 6)21. Таким образом, законодатель Вирджинии определил степень общественной опасности посягательств на
17 См.: TrautmanL. Cybersecurity: What About U. S. Policy? // Journal ofLaw, Technology and Policy. 2015. Vol. 341. P. 357—358.
18 Cybersecurity Legislation 2019. URL: https://www.ncsl. org/research/telecommunications-and-information-technology/ cybersecurity-legislation-2019.aspx (дата обращения: 05.10.2020).
19 Cybersecurity governance publications. URL: https://www. cisa.gov/publication/cybersecurity-governance-publications (дата обращения: 05.10.2020).
20 URL: https://www.cisa.gov/sites/default/files/publications/ Virginia_Cyber_Governance_Case_Study_2.pdf.
21 Cyber Commission Final Report. URL: https://www.cyberva.
virginia.gov/media/governorvirginiagov/cyber-va/documents/
cyber-commission-final-report.pdf (дата обращения: 05.10.2020).
КИИ как более высокую по сравнению с обычными киберпосягательствами.
Анализ стратегий штатов в сфере кибербезопас-ности и отчетов по их реализации показывает, что не каждый законодатель штата выделяет трансформацию локального уголовного законодательства как одно из направлений22. То есть некоторые штаты не считают необходимым принимать отдельные уголовно-правовые нормы, регламентирующие ответственность за посягательства на критическую инфраструктуру или критическую информационную инфраструктуру.
США на федеральном уровне устанавливают уголовную ответственность за посягательства на отдельные виды объектов критической инфраструктуры. При этом штатам дается свобода для самостоятельного определения наиболее важных для них объектов информационной инфраструктуры.
Франция и Германия. Несмотря на наличие международно-правовых актов, регламентирующих унификацию правовой защиты критической информационной инфраструктуры, в Европе нет единых подходов в определении данного термина и в сфере уголовно-правовой охраны таких объектов. Согласно некоторым исследованиям в законодательстве стран Европейского Союза отсутствует единый законодательный подход к уголовно-правовому определению КИИ, а главное — отсутствуют конкретные нормы, которые должны предусматривать уголовную ответственность за неправомерное воздействие на национальные особо важные объекты жизнедеятельности23. Попытки унификации уголовно-правовых норм, регламентирующих ответственность за посягательства на КИИ, не привели к значимым результатам, так как объекты КИИ, подходы к их определению и виды посягательств, определенные в законе, варьируются от государства к государству в рамках ЕС.
Например, в Уголовном кодексе Франции есть нормы, регламентирующие ответственность за посягательства на отдельные виды объектов КИИ и их информации. Например, исходя из текста ст. 323.1— 323.3 УК Франции24 киберпреступники, посягающие на правительственные системы автономной обработки персональных данных, могут получить наказа-
22 Cybersecurity Legislation 2019. URL: https://www.ncsl. org/research/telecommunications-and-information-technology/ cybersecurity-legislation-2019.aspx (дата обращения: 05.10.2020).
23 См.: ПыхтинИ. Г. Обеспечение уголовно-правовой охраны национальных объектов критической информационной инфраструктуры Германии, Австрии, Швейцарии и Франции // Известия Юго-Западного государственного университета. Серия: История и право. 2019. Т. 9. № 2(31). С. 109.
24 Penal Code of the French Republic. URL: https://www. legifrance.gouv.fr/codes/texte_lc/LEGITEXT000006070719/ (дата обращения: 17.09.2021).
ние в виде лишения свободы сроком до 10 лет. Это во-многом отражает тенденцию по усилению охраны от посягательств персональных данных, характерную для всей Европы25.
В соответствии со ст. 413.10 УК Франции доступ, уничтожение, изменение или копирование компьютерной информации, которая относится к информации, имеющей секретный характер и значимой для безопасности Франции, наказуемы лишением свободы сроком до семи лет26. Законодатель Франции выделяет в качестве критической информационной инфраструктуры также объекты, хранящие или обрабатывающие компьютерную информацию, значимую для безопасности государства.
В Германии правовые нормы, предусматривающие уголовную ответственность за посягательство на информационную инфраструктуру страны, были приняты после опубликования Национальной стратегии защиты критической инфраструктуры (2009) и Стратегии кибербезопасности для Германии (2011). Германские акты политического характера определяют не понятия КИИ, а только дефиницию «критическая инфраструктура», имеющую более общий характер. В приведенных документах критическая инфраструктура определена как «особо важные национальные, общественные и иные объекты, имеющие большое значение для функционирования современного общества, любой отказ или деградация которых приведет к устойчивым нарушениям и изменениям». Также в приведенных выше стратегиях формулируются критерии отнесения объектов к критической инфраструктуре, среди них — социальная информационная и транспортная значимость объекта27.
Китай. В Законе «О кибербезопасности КНР» дано определение критической информационной инфраструктуры как общественно коммуникационных и информационных служб, информационной инфраструктуры в сферах энергетики, службы контроля транспортного трафика, контроля водных ресурсов, финансовой службы, государственной службы, электронного правительства и других важнейших элементов информационной инфраструктуры, которые (если будут уничтожены, утратят свою функциональность или подвергнутся утечке данных) могут создать серьезную угрозу национальной безопасности, национальному благосостоянию, источникам средств к существованию населения или обществен-
25 См.: De Terwangne C. Council of Europe convention 108+: A modernised international treaty for the protection of personal data // Computer Law and Security Review. 2021. Vol. 40. D01:10/ 1016/J.CLSR.2020.105497.
26 Penal Code of the French Republic. URL: https://www. legifrance.gouv.fr/codes/texte_lc/LEGITEXT000006070719/ (дата обращения: 17.09.2021).
27 См.: ПыхтинИ. Г. Указ. соч. С. 110.
ным интересам (ст. 37)28. Таким образом, законодатель КНР как перечисляет некоторые объекты КИИ, так и вводит критерии, с помощью которых можно определить другие объекты за пределом перечня.
Закон предлагает в основном административные меры для защиты КИИ Китая и лишь иногда допускает уголовно-правовое воздействие29. Среди законодательных норм можно встретить положения, обязующие операторов КИИ сертифицировать средства защиты и придерживаться определенных стандартов. Есть в законодательном акте нормы, регламентирующие хранение данных, генерируемых и поступающих в КИИ. По мнению некоторых авторов, именно такой комплексный подход способен обеспечить безопасное развитие цифровой экономики и защиту информационного суверенитета Китая30. Закон также вводит уголовную ответственность для лиц, совершающих преступления из-за границы против объектов китайской КИИ.
Также в 2017 г. был предложен и вынесен на обсуждение Регламент защиты критической информационной инфраструктуры, который расширил список объектов КИИ как путем включения дополнительных секторов (здравоохранение, образование, социальное обеспечение и защита окружающей среды, научные исследования и производство (оборонная промышленность, машиностроение, нефтехимическая, пищевая и фармацевтическая промышленность), средства массовой информации (радиостанции, телевизионные станции и службы новостей)), так и уточнения видов информационных сетей (радио- и телевизионные сети и Интернет, поставщики услуг, предоставляющие облачные вычисления, big data и другие крупные общедоступные информационные и сетевые услуги)31. Таким образом, в Китае список объектов, которые могут быть признаны относящимися к КИИ, достаточно широк и открыт для включения новых категорий.
Кроме того, в обновленном Уголовном кодексе КНР предусмотрена уголовная ответственность за вмешательство в работу транспортной информационной инфраструктуры. Китай в 2020 г. сделал первые шаги в этом направлении, новые поправки к Уголов-
28 Translation: Cybersecurity Law of the People's Republic of China (Effective June 1, 2017). URL: https://www.chinalawblog. com/2017/06/chinas-new-cybersecurity-law-the-101 .html (дата обращения: 27.09.2020).
29 Там же.
30 См. : Qi A., Shao G., Zheng W. Assessing China's Cybersecurity Law // Computer Law and Security Review. 2018. Vol. 34. No. 6. P. 1353.
31 Подробнее см.: Горян Э. В. Критическая информационная
инфраструктура Китайской Народной Республики: особенно-
сти правового регулирования в аспекте обеспечения информационной безопасности финансово-банковского сектора // Ад-
министративное и муниципальное право. 2020. №№ 4. С. 45—57.
ному кодексу КНР (№ 11), принятые на 24-м заседании Постоянного комитета ВСНП КНР 13-го созыва 26 декабря 2020 г., криминализируют вмешательство в работу транспортных систем, признав преступным не только вмешательство в работу транспортных систем под управлением человека (применение насилия к лицу, управляющему механическим объектом), но и любой другой захват механизма, управления, или помеху нормальному движению транспорта, которые создают угрозу общественной безопасности32.
Как справедливо отмечают некоторые авторы, несмотря на многочисленность существующих и разрабатываемых источников правового регулирования КИИ, нормативный механизм обеспечения ее безопасности характеризуется взаимосвязанностью и отражает общий характер режима цифровой политики Китая. Закон о кибербезопасности КНР устанавливает общие нормы, подзаконные акты — специальные нормы, а стандарты содержат высокотехнологические методические рекомендации, которые могут прояснить возможную неоднозначность общих и специальных норм33.
Австралия. Нередко общее определение критической информационной инфраструктуры непрозрачно и его сложно применять на практике, поэтому некоторые страны законодательно выделяют отдельные объекты КИИ. Так, Австралия определяет в качестве таковой национальную широковещательную цифровую сеть. Несмотря на выделение данного объекта в качестве КИИ, при посягательстве на него применяются обычные уголовно-правовые нормы, регламентирующие уголовную ответственность за преступления в сфере компьютерной информации34. То есть выделение объекта в качестве объекта КИИ не означает особых мер уголовного наказания для лиц, посягающих на такой объект.
Сингапур. Некоторые страны определяют признаки критической информационной инфраструктуры через секторы экономики, в которых стабильная работа компьютерных систем является ключевым фактором. Например, в стратегии кибербезопасности Сингапура выделяются 11 секторов экономики (государственный сектор, услуги экстренных служб, услуги здравоохранения, СМИ, банковские и финансовые услуги, энергетика, водоснабжение, телекоммуникации, наземный
32 Ст. 131-2 УК КНР. Цит. по: Уголовный кодекс Китайской Народной Республики / под общ. ред. А. И. Чучаева, А. И. Ко-робеева. Пер. с кит. Хуан Даосю. 2-е изд. М., 2021.
33 См.: Горян Э. В. Критическая информационная инфраструктура Китайской Народной Республики: особенности правового регулирования в аспекте обеспечения информационной безопасности финансово-банковского сектора. С. 54—55.
34 См.: Wilson N. Australia's National Broadband Network-A cybersecure critical infrastructure? // Computer Law and Security Review. 2014. Vol. 30. Iss. 6. P. 707—708.
транспорт, морской и портовый транспорт, гражданская авиация), сгруппированных в три кластера: услуги, коммунальные службы и транспорт35.
В документе говорится, что кибератаки на критическую информационную инфраструктуру Сингапура могут иметь негативный эффект как на региональном, так и на глобальном уровнях. Будучи международным финансовым, судоходным и авиационным узлом, Сингапур также располагает важнейшими системами, выходящими за рамки национальных границ, такими как глобальные платежные системы, системы портовых операций и системы управления воздушным движением. Нападения на эту наднациональную критическую информационную инфраструктуру могут иметь непропорционально серьезные последствия для торговых и банковских систем за пределами границ Сингапура36. Таким образом, критерием для определения объектов, относящихся к критической инфраструктуре, является не только причастность к одному из секторов, перечисленных в документе, но и возможные последствия за пределами страны. Сингапур имеет высокую степень ци-фровизации, поэтому список объектов, находящихся под особой охраной, достаточно широк.
Как отмечают некоторые исследователи, многие государства определяют критическую информационную инфраструктуру через перечень секторов, которые определяются как важные, необходимые для обеспечения безопасности общества и государственных структур. Например, в качестве ориентира Европейская комиссия определила перечень из 11 важнейших секторов: энергетика, информационно-коммуникационные технологии, водоснабжение, продовольствие, здравоохранение, финансы, общественный порядок и безопасность, гражданская администрация, транспорт, химическая и ядерная промышленность, космос и исследования37. Этот подход в некоторой степени реализует и Россия.
Южная Корея. Несмотря на то что в этой стране правовые нормы, регламентирующие уголовную ответственность за преступления в сфере компьютерной информации, содержатся в «Акте для улучшения использования информации и телекоммуникационной сети, а также защиты информации», в нем отсутствуют специальные нормы, связанные с уголовно-правовой охраной критической информацион-
35 См.: Singapore's Cybersecurity Strategy (announced at the Singapore International Cyber Week on 10 October 2016). URL: https://www.csa.gov. sg/-/media/csa/documents/publications/ singaporecybersecuritystrategy.pdf (дата обращения: 21.09.2021).
36 Там же.
37 См.: Горян Э. В. Институциональные механизмы обеспечения безопасности критической информационной инфраструктуры Российской Федерации и Сингапура: сравнительно-правовой аспект // Административное и муниципальное право. 2018. № 9. С. 49—60.
ной инфраструктуры. В данном нормативном акте отсутствуют даже упоминания об особо важной информационной инфраструктуре38.
Для правовой охраны критической информационной инфраструктуры в Южной Корее был принят нормативный акт — Закон о защите информации и коммуникационной инфраструктуры (The Act on the Protection of Information and Communications Infrastructure). Нормативный акт был принят с целью обеспечения стабильной работы критической информационно-коммуникационной инфраструктуры путем разработки и осуществления мер по защите такой инфраструктуры в порядке подготовки к вторжению с использованием электронных средств39. Закон использует различные меры для поддержания защищенности критической информационной инфраструктуры и защиты ее от посягательств. В том числе упомянутый нормативный правовой акт вводит уголовно-правовые меры по охране КИИ.
Статья 8 вышеупомянутого Закона описывает критерии, по которым выделяется критическая информационная инфраструктура. Среди необходимых характеристик:
национальная и социальная значимость функционала, выполняемого организацией, которая управляет соответствующей информационно-коммуникационной инфраструктурой;
зависимость вышеуказанного функционала от информационно-коммуникационной инфраструктуры;
взаимосвязь с другой информационно-коммуникационной инфраструктурой;
районы и масштабы ущерба национальной безопасности, экономике и обществу, который может быть причинен в результате инцидентов, связанных с кибератакой на данные объекты;
вероятность инцидента и сложность восстановления объекта после атаки.
Закон о защите информации и коммуникационной инфраструктуры содержит специальные уголовно-правовые нормы, регламентирующие ответственность за посягательство на критическую информационную инфраструктуру. Так, п. 1 ст. 12 запрещен доступ к КИИ любым лицом, не имеющим на это прав, также запрещается манипулирование, уничтожение, сокрытие либо утечка данных. Пунктом 2 данной статьи запрещено «уничтожение данных критической информационной и телекоммуникацион-
38 Act on promotion of information and communications network utilization and information protection // Korean Legislation Research Institute. URL: https://elaw.klri.re.kr/eng_service/lawView. do?hseq=38422&lang=ENG (дата обращения: 21.09.2021).
39 См.: Yang J. Y., Kim S. J., Oh Luke I. S. Analysis on south Korean cybersecurity readiness regarding North Korean cyber capabilities // Lecture Notes in Computer Science (including
subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics). 2017. Vol. 10144. P. 109.
ной инфраструктуры, а также использование таких программ, как компьютерные вирусы и логические бомбы с намерением препятствовать работе критической информационной и телекоммуникационной инфраструктуры». Пунктом 3 признается незаконной одновременная отправка большого количества сигналов с намерением воспрепятствовать функционированию критически важной информационно-коммуникационной инфраструктуры или вызвать ошибочную обработку информации с помощью таких средств, как провоцирование неправильного порядка обработки (запрет атак для отказа оборудования, англ. — Denial of Service attack). Таким образом, законодательством Южной Кореи охватывается достаточно широкий спектр посягательств на КИИ: от неправомерного доступа и распространения вредоносных программ до атак «отказа обслуживания».
Согласно ст. 28 если вышеперечисленные посягательства привели к нарушению работы, остановке или разрушению критически важной информационно-коммуникационной инфраструктуры, наказание может быть определено в виде лишения свободы сроком до 10 лет. Кроме того, в соответствии с п. 2 данной статьи наказуемо и покушение на совершение данного деяния, которое может привести к значительным последствиям в работе КИИ.
Япония. В этой стране за последнее десятилетие было принято несколько заменяющих друг друга стратегических документов, касающихся охраны КИИ и информационных систем. В 2017 г. была принята Политика в сфере кибербезопасности для защиты критической информационной инфраструктуры40, в нее вносилось несколько изменений, в том числе связанных с подготовкой к олимпиаде в Японии. Данный документ заменил действовавшие ранее Основы политики в сфере защиты критической информационной инфраструктуры (Basic Policy of Critical Information Infrastructure Protection).
Заключение. При характеристике зарубежного законодательства прослеживается отсутствие унифицированного подхода к определению критериев и признаков критической информационной инфраструктуры и посягательств на нее. Во многом нормативное определение КИИ связано с понятиями национальной кибербезопасности и ее приоритетами. В некоторых странах КИИ понимается как информационная инфраструктура традиционной критической инфраструктуры. В то же время развивается понимание того, что узлы информационной инфраструктуры, не связанной с какими-либо объектами традиционной критической инфраструктуры, также могут иметь критическое значение в условиях перехода к цифровой экономике и информационному обществу.
40 The Cybersecurity Policy for Critical Infrastructure Protection (4th ed.). URL: https://www.nisc.go.jp/eng/pdf/cs_policy_cip_eng_ v4_r2.pdf (дата обращения: 23.09.2021).
Согласно большинству рассмотренных нормативных актов и официальных документов национального и международного уровня к КИИ относятся компьютерные системы, принадлежащие к органам государственной власти или обслуживающие их. Кроме того, значительно количество национальных нормативных актов определяет КИИ через возможные последствия посягательств на ее объекты. Чаще всего в качестве рисков указано создание угрозы безопасности государства и общества. Если от надлежащего функционирования такой инфраструктуры зависит безопасность, уровень жизни людей и другие важные характеристики функционирования государства и общества, то такая инфраструктура будет признана критической.
Некоторые страны и штаты Америки выделяют в качестве предмета посягательств отдельные объекты критической инфраструктуры, которые имеют для них наибольшую значимость. Так, законодательство территорий, где на выборах распространено использование электронных систем голосования, относит такие системы к КИИ.
В качестве действия, характеризующего объективную сторону посягательства, чаще всего указывается
неправомерный доступ, повлекший последствия, связанные с работоспособностью критической информационной инфраструктуры, либо повреждение ее различными способами. В некоторых странах неправомерный доступ КИИ является квалифицированным составом неправомерного доступа.
Как показал анализ, в отличие от российского законодательства преступные посягательства на КИИ характеризуются умышленной формой вины. Лишь в нескольких случаях уголовная ответственность согласно зарубежному законодательству наступает за неумышленные деяния против КИИ.
Киберпреступность — явление глобальное, и отсутствие унификации в данном вопросе может сказаться на эффективности уголовно-правовой борьбы с посягательствами на КИИ. Разрозненность национальных подходов требует обсуждения единого международного нормативного документа, который бы закрепил дефиницию критической информационной инфраструктуры. Принятие подобного международно-правового акта повысило бы результативность мер борьбы с посягательствами на ключевые точки национальной информационной инфраструктуры.
Список литературы
De Terwangne C. Council of Europe convention 108+: A modernised international treaty for the protection of personal data // Computer Law and Security Review. 2021. Vol. 40. D0I:10/1016/J.CLSR.2020.105497.
Molander R. C., Riddile A. S., Wilson P. A. Strategic Information Warfare: A New Face of War. Santa Monica, 1996. URL: http:// www.rand.org/content/dam/rand/pubs/monograph_reports/2005/MR661.pdf (дата обращения: 25.09.2020).
Qi A., Shao G., Zheng W. Assessing China's Cybersecurity Law // Computer Law and Security Review. 2018. Vol. 34. No. 6.
Trautman L. Cybersecurity: What About U. S. Policy? // Journal of Law, Technology and Policy. 2015. Vol. 341.
Wilson N. Australia's National Broadband Network-A cybersecure critical infrastructure? // Computer Law and Security Review. 2014. Vol. 30. Iss. 6.
Yang J. Y., Kim S. J., Oh Luke I. S. Analysis on south Korean cybersecurity readiness regarding North Korean cyber capabilities // Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics). 2017. Vol. 10144.
Брославский Л. И. Уголовная ответственность за экологические преступления в области охраны вод в США // Журнал российского права. 2008. № 3(135).
Бухарин В. В. Сравнительный анализ нормативной базы по обеспечению информационной безопасности в США и РФ (конец ХХ — начало XXI в.) // Вестник Иркутского государственного технического университета. 2016. Т. 20. № 12(119).
Горян Э. В. Институциональные механизмы обеспечения безопасности критической информационной инфраструктуры Российской Федерации и Сингапура: сравнительно-правовой аспект // Административное и муниципальное право. 2018. № 9.
Горян Э. В. Критическая информационная инфраструктура Китайской Народной Республики: особенности правового регулирования в аспекте обеспечения информационной безопасности финансово-банковского сектора // Административное и муниципальное право. 2020. № 4.
Кузнецов С. А., Куликов И. А., Фоминых А. А. Cравнение КИИ и методов категорирования КИИ в РФ и США // Актуальные научные исследования в современном мире. 2021. № 6-1(74).
Петров А. В. Преступление по уголовному праву США // Законность. 2014. № 6(956).
Пыхтин И. Г. Обеспечение уголовно-правовой охраны национальных объектов критической информационной инфраструктуры Германии, Австрии, Швейцарии и Франции // Известия Юго-Западного государственного университета. Серия: История и право. 2019. Т. 9. № 2(31).
Трунцевский Ю. В. Понятие критической информационной инфраструктуры и ее идентификация // Информационное право. 2019. № 1.
Уголовный кодекс Китайской Народной Республики / под общ. ред. А. И. Чучаева, А. И. Коробеева. Пер. с кит. Хуан Дао-сю. 2-е изд. М., 2021.
References
Broslavsky L. I. Liability for ecological crimes in the field of protection of waters in the USA. Journal of Russian Law, 2008, no. 3(135), pp. 124—134. (In Russ.)
Bukharin V. V. Comparative analysis of the regulatory framework ensuring information security in the USA and the Russian Federation (late XX — early XXI century). Proceedings of Irkutsk State Technical University, 2016, vol, 20, no. 12, pp. 101—108. (In Russ.)
Criminal Code of the People's Republic of China. Ed. by A. I. Chuchaeva, A. I. Korobeeva; translated by Khuan Daosyu. 2nd ed. Moscow, 2021. 312 p. (In Russ.)
De Terwangne C. Council of Europe convention 108+: A modernised international treaty for the protection of personal data. Computer Law and Security Review, 2021, vol. 40. DOI: 10/1016/J.CLSR.2020.105497.
Gorian E. V. Critical information infrastructure of the Peoples Republic of China: peculiarities of legal regulation in the area of ensuring information security of the financial-banking sector. Administrativnoe i munitsipal'noe pravo, 2020, no. 4, pp. 45—57. (In Russ.)
Gorian E. V. Institutional mechanisms for ensuring the security of the critical information infrastructure of the Russian Federation and Singapore: a comparative legal aspect. Administrativnoe i munitsipal'noe pravo, 2018, no. 9, pp. 49—60. (In Russ.)
Kuznetsov S. A., Kulikov I. A., Fominykh A. A. Comparison of critical infrastructure and methods of categoring critical infrastructure in Russian Federation and USA. Aktual 'nye nauchnye issledovaniya v sovremennom mire, 2021, no. 6-1(74), pp. 63—68. (In Russ.)
Molander R. C., Riddile A. S., Wilson P. A. Strategic Information Warfare: A New Face of War. Santa Monica, 1996. Available at: http://www.rand.org/content/dam/rand/pubs/monograph_reports/2005/MR661.pdf (accessed 25.09.2020). Petrov A. V. Crime under the US criminal law. Zakonnost', 2014, no. 6(956), pp. 56—61. (In Russ.)
Pykhtin I. G. Securing the criminal-legal protection of national objects of critical information infrastructure of Germany, Austria, Switzerland and France. Izvestiya Yugo-Zapadnogo gosudarstvennogo universiteta. Seriya: Istoriya i pravo, 2019, vol. 9, no. 2(31), pp. 108—115. (In Russ.)
Qi A., Shao G., Zheng W. Assessing China's Cybersecurity Law. Computer Law and Security Review, 2018, vol. 34, no. 6, pp. 1342— 1354.
Trautman L. Cybersecurity: What About U. S. Policy? Journal of Law, Technology and Policy, 2015, vol. 341. Truntsevskiy Yu. V. The concept and identification of critical information infrastructure. Informatsionnoe pravo, 2019, no. 1, pp. 4—8. (In Russ.)
Wilson N. Australia's National Broadband Network-A cybersecure critical infrastructure? Computer Law and Security Review, 2014, vol. 30, iss. 6, pp. 699—709.
Yang J. Y., Kim S. J., Oh Luke I. S. Analysis on south Korean cybersecurity readiness regarding North Korean cyber capabilities. Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics), 2017, vol. 10144, pp. 102—111.
Информация об авторе
Р. И. Дремлюга, заместитель директора по развитию, доцент Юридической школы Дальневосточного федерального университета, кандидат юридических наук. Researcher ID: Q-4348-2016; U-9979-2019
♦