CC BY
73
Пучков Денис Валентинович
Особенности уголовно-правового регулирования применения кибертехнологий
в зарубежных странах
В статье исследуются различные аспекты уголовно-правового регулирования практики внедрения кибертехнологий в ряде государств. Отмечается существование различных подходов к борьбе с киберпреступностью. Автор приходит к выводу, что развитие информационных технологий и их проникновение в различные сферы жизни человека приводят к появлению совершенно новых форм преступных посягательств, которые требуют законодательного регулирования.
Ключевые слова: уголовное право, киберпреступность, кибертехнологии, правовое регулирование, нормативный акт, национальное законодательство.
Features of the criminal law regulation of the implementation of cyber technologies in the countries of the world
The article examines various aspects of the criminal law regulation of the practice of introducing cybertechnology in a number of states. The existence of different approaches to combating cybercrime is noted. The author comes to the conclusion that the development of information technologies and their penetration into various spheres of human life lead to the emergence of completely new forms of criminal encroachments that require legislative regulatory control.
Key words: criminal law, cybercrime, cyber technologies, legal regulation, normative act, national legislation.
При всей значимости борьбы с киберпреступностью законодательство большинства стран имеет в данной сфере очевидные противоречия. Следует заметить, что на уровне национального законодательства противодействие киберпреступности рассматривается как часть борьбы с преступностью в целом. Соответственно, и подходы к правовому регулированию киберпреступности характеризуются определенным разнообразием. При этом процесс развития информационных технологий и их проникновение в различные сферы жизни человека приводят к появлению совершенно новых форм преступных посягательств, что обусловливает необходимость создания эффективных способов и мер борьбы с ними, совершенствования уголовного законодательства, а также принятия новых правовых норм.
Вместе с тем модификация законодательства с целью признания преступлением определенных действий или внедрения новых инструментов расследования не характерна для большинства стран. Государства, как правило, разрабатывают определенную политику, которую можно сравнить со стратегией, предусматривающей различные средства для решения конкретной проблемы.
Однако если принимается решение о необходимости введения в действие законов, то они необязательно должны относиться к
уголовному праву. В них, например, могут содержаться нормы, в которых акцент делается на профилактику преступности. Поэтому разработка национальной политики позволяет государству всесторонне реагировать на ту или иную проблему, т. к. борьба с киберпреступностью не может ограничиваться исключительно принятием законов, а должна предусматривать различные стратегии и меры в рамках существующей уголовной политики.
В то же время в различных подходах, направленных на развитие законодательства о киберпреступности, недостаточно внимания уделяется его интеграции в национальную правовую систему. В результате некоторые страны, принявшие ряд законов о киберпреступ-ности, но не создавшие стратегию борьбы с ней, как и государственную политику по этому вопросу, столкнулись с серьезными трудностями - недостаточной проработанностью мер, направленных на профилактику преступлений данного вида, а также частичным совпадением способов борьбы с ними.
Например, для борьбы с преступлениями, связанными с использованием возможностей, предоставляемых свободой перемещения товаров, услуг, данных и капитала посредством сети Интернет, в 2006 г. США ратифицировали Конвенцию по борьбе с киберпреступностью Совета Европы (Будапештская конвенция) (далее -
21
Конвенция), став 16-ым государством, одобрившим ее [1]. В рамках Конвенции США оказывали поддержку процессам международной гармонизации процессуального законодательства в области борьбы с киберпреступностью, в том числе путем создания неформального канала сбора и обмена информацией среди стран Большой семерки и координации усилий стран-доноров в оказании содействия развивающимся государствам. Кроме того, правоохранительные органы США регулярно сотрудничают с большим количеством стран-партнеров в области ареста и экстрадиции киберпреступ-ников.
Начиная с 2009 г. на каждой сессии Конгресса США рассматривается несколько законопроектов, направленных на борьбу с кибербезопас-ностью, однако лишь немногие из них получили поддержку обеих фракций и стали законами. Одним из них является Акт о кибербезопасно-сти 2015 г. (далее - CSA), который был включен в Акт о консолидированных ассигнованиях на 2016 г. (Consolidated Appropriations Act). CSA регламентирует процесс обмена информацией о киберугрозах между органами государственной власти, а также между ними и бизнес-организациями, выразившими добровольное согласие на участие в данной программе [2].
Следует отметить, что в 2010 г. в США был разработан Национальный план реагирования на киберинциденты (National Cyber Incident Response Plan) (далее - NCIRP). В его проекте были учтены меры реагирования на киберин-циденты, отсутствовавшие в Рамочной концепции национального реагирования (National Response Framework) (далее - NRF) 2008 г. Следовательно, в NCIRP предусмотрено четкое описание ролей, ответственности и порядка действий определенных организаций в случаях различных киберинцидентов на национальном уровне.
В свою очередь, принятие CSA обязало Министерство внутренней безопасности объединить требования NRF и NCIRP, создав на их основе План реагирования на потенциальные угрозы и риски возникновения чрезвычайных ситуаций, которые способны затронуть критически значимые элементы и объекты существующей инфраструктуры.
Принятая в июле 2016 г. директива Президента США № 41 «Координация действий в случае киберинцидентов в США» (United States Cyber Incident Coordination) определила основные принципы деятельности и взаимоотношений органов государственной власти федерального уровня при возникновении критических ситуаций, затрагивающих органы государственного управления или частные ор-
ганизации [3]. Однако, несмотря на четко определенный порядок взаимодействия органов власти и ответственных за оказание помощи субъектам, пострадавшим от кибернападений, принятие данной директивы выявило существенный недостаток - отсутствие возможности для адекватного реагирования на преступную активность в киберсреде.
Основываясь на положениях этого акта, Министерство юстиции и Федеральная торговая комиссия США пришли к выводу, что обмен информацией о киберугрозах с конкурентами не является нарушением антитрастового законодательства. Принимая во внимание то, что данное решение не может устранить все возможные злоупотребления (например, рыночный сговор), в CSA были включены положения о защите от ответственности для определенных видов информации о киберугрозах.
Увеличение объемов производимых данных, огромное число социальных интернет-сервисов в Европе уже не позволяют человеку самостоятельно контролировать обработку своей личной информации, в связи с чем в 1995 г. ЕС утвердил Директиву о защите данных. На ее основе европейские страны могли создавать собственное законодательство в этой области. Вследствие глобализации экономики несколько лет назад сформировался новый тренд -гармонизация подходов государств к защите конфиденциальности частной жизни [4].
Весной 2016 г. Европарламент ратифицировал Общие положения о защите данных (далее -GDPR) [5], вступившие в силу 4 мая 2018 г., направленные на регулирование отношений, связанных с обработкой персональных данных человека государственными структурами и компаниями. Как следует из документа, граждане ЕС могут давать личное согласие на обработку своей информации, а также имеют возможность отзывать его. Регламент вводит серьезное наказание для компаний за несвоевременное разглашение (в течение 72 часов) инцидентов, связанных с утечкой информации. Для нарушителей предусмотрен штраф до 20 млн евро.
GDPR также предусматривает сертификацию технических средств, с помощью которых осуществляется, например, «умное» видеонаблюдение, благодаря которому маркетинговые службы могут среди сотен людей в торговых сетях распознать потенциального потребителя. GDPR содержат особые правила для получения согласия детей на обработку их персональных данных. Несовершеннолетние разбираются в структуре интернет-ресурсов лучше, чем взрослые, но они часто не замечают рисков, которые существуют в Сети [6].
В наибольшей защите нуждается личная финансовая информация и медицинские данные, алгоритмы обработки которых не всегда прозрачны. В то же время люди готовы делиться предпочтениями в сфере покупок в интересах маркетинга. При этом они признаются в том, что сами, как правило, не читают пользовательские соглашения о защите персональных данных. Поэтому, помимо совместимости подходов в защите информации, необходимо решить проблему независимости надзорных органов в выражении своей позиции, а также добиться единообразия в обеспечении локализации данных на территориях разных государств. Равномерное распределение интернет-ресурсов в мире и стабильное хранение информации позволят увеличить число безопасных услуг в Сети и снизить возможности внедрения вирусного программного обеспечения.
Так, в Германии существует закон о персональных данных, который обязывает телекоммуникационные компании хранить операторский трафик в стране (такое же положение есть и в российском законодательстве), а облачные провайдеры при участии в государственных проектах должны заключать договоры о неразглашении [6].
Во Франции 3 мая 2016 г. также был принят закон (Digital Bill - «Цифровой билль»), который включает в себя положения, регламентирующие локализацию данных. Аналогичная правовая ответственность за противоправные действия в киберпространстве была закреплена и в законодательстве других стран. Например, в Нидерландах «любое лицо, которое умышленно и незаконно перехватывает и записывает с помощью технического устройства данные, не предназначенные для него, и обрабатывает или передает посредством радиосвязи либо с помощью компьютерного устройства или системы, подлежит тюремному заключению на срок не более одного года или штрафу (section 139с)» [7].
Первым нормативным актом Соединенного Королевства, направленным на борьбу с противоправными деяниями, совершаемыми с использованием кибернетических технологий, является Computer Misuse Act (Закон о неправомерном использовании компьютерных технологий) 1990 г. Данный закон позволил в рамках существующего законодательства противодействовать хакерам. Прецедент возник при невынесении судом обвинительного заключения в рамках рассмотрения дела С. Го-улда и Р. Шифрина, которым удалось получить в 1984 г. несанкционированный доступ к сервису Prestel, принадлежавшему компании British
Telecom. Государство выдвинуло против них обвинение на основании положений Закона о подлоге и подделках 1981 г. В апелляционном суде данные лица были признаны невиновными, а впоследствии состоялось утверждение оправдательного приговора Палатой лордов [8].
Согласно Computer Misuse Act преступлением считается использование компьютера при работе на нем для получения доступа к программам или данным, которые хранятся на другом компьютере, в случае, если такой доступ является противоправным, а лицо, осуществляющее подобные действия, осведомлено об этом (sect. 1 (1) Computer Misuse Act) [8]. За совершение такого преступления установлено уголовное наказание - штраф или заключение под стражу на срок до 6 месяцев. При этом, учитывая важность киберугроз, в законодательстве нашли отражение и вопросы применения компьютерных систем террористическими организациями (Закон о терроризме 2000 г.). В соответствии с этим нормативным актом правоохранительным органам предоставляется право расценивать в качестве террористических любые действия, которые «вмешиваются или серьезно нарушают работу какой-либо электронной системы» [9, c. 32].
Закон о неправомерном использовании компьютерных технологий выделяет три основных вида преступлений, сопряженных с незаконным использованием компьютерных технологий посредством:
несанкционированного доступа к компьютерным базам данных с намерением совершения или обеспечения совершения дальнейших противоправных деяний;
несанкционированного доступа к компьютерным базам данных;
несанкционированного изменения самих компьютерных данных.
В 2006 г. в Великобритании принят Закон о полиции и юстиции, включающий в себя ряд поправок, вносимых в Computer Misuse Act. В частности, произошло увеличение максимального срока лишения свободы за преступления, подпадавшие под положения разд. 1 первой редакции данного нормативного акта. В разделе 3 формулировка «несанкционированного изменения компьютерных материалов» изменена на «несанкционированные действия, которые умышленно или по неосторожности препятствуют нормальной работе компьютера...». В данном случае изменился и размер ответственности по данной статье - увеличен до 10 лет лишения свободы [8]. В Computer Misuse Act появился новый раздел, регламентирующий «изготовление, предоставление или
23
приобретение товаров для использования в правонарушениях, связанных с неправомерным применением компьютерных технологий», установлением уголовной ответственности за эти деяния и предполагающий лишение свободы на срок до двух лет. В свою очередь, принятие в 2003 г. Положения о частной информации и электронной связи (Privacy and Electronic Communications Regulations (EC Directive) 2003) [10] явилось следствием реализации в Соединенном Королевстве европейской директивы № 2002/58/EC. При этом администрация уполномоченного по информации (Information Commissioner's Office) выступала в качестве независимого органа Соединенного Королевства, созданного с целью обеспечения защиты личных данных граждан и облегчения их доступа к публичной информации [11].
В марте 2005 г. в Бельгии организована рабочая группа по проблемам киберпреступ-ности, что явилось следствием реализации Плана действий по борьбе с радикализмом, который был утвержден Правительственным комитетом разведки и безопасности (Ministerial Intelligence and Security Committee) [12, c. 119]. Одним из итогов реализации этого документа стало включение в уголовное законодательство Бельгии таких составов преступлений, как компьютерное мошенничество, компьютерный подлог, преступления против конфиденциальности, доступности и целостности компьютерных систем, а также данных, которые хранятся или обрабатываются либо передаются ими.
Следует отметить, что Эстония, серьезно пострадавшая от широкомасштабных кибератак в 2007 г., также занимается разработкой защитных мер в этой сфере [12 c. 161].
Вместе с тем сегодня многие государства особое внимание уделяют не только правовой, но и технологической защите данных. Например, создание информационных систем (далее - ИС) и их обслуживание в Азербайджане с марта 2016 г. могут осуществляться только после получения лицензии. Оператором государственного реестра ИС выступает специальный регулятор.
Однако наличие недостаточной согласованности при использовании норм и положений законодательства, фрагментарность и непоследовательность деятельности органов законодательной власти по его развитию и совершенствованию, противоречивость действующих правовых норм во многом снижают эффективность мер правового обеспечения деятельности по борьбе с киберпреступностью, в совокупности создавая серьезную угрозу информационной безопасности страны, которая, в частности,
в содержании Уголовного кодекса Республики Казахстан не имеет статуса самостоятельного объекта уголовно-правовой охраны.
В свою очередь, уголовное законодательство Узбекистана относит состав такого преступления, как нарушение правил информатизации (ст. 174 УК Узбекистана), к преступлениям против собственности, включенным в главу «Хищение чужого имущества» [13]. В Уголовном кодексе Республики Беларусь в настоящее время уголовная ответственность за подобные преступления предусмотрена в разделе XII «Преступления против информационной безопасности». Они регулируются главой 31 «Преступления против информационной безопасности» (ст. 349 «Несанкционированный доступ к компьютерной информации»).
Следует указать на существование в уголовном законодательстве стран СНГ и некоторых государств постсоветского пространства различных подходов к определению родового объекта киберпреступлений. В частности, в уголовных кодексах Азербайджана (глава 30, ст. 271-273), Армении (раздел 9, глава 24, ст. 251-257), Кыргызстана (глава 28, ст. 289-291), Российской Федерации (глава 28, ст. 272-274), Туркменистана (глава 33, ст. 333-335) и Эстонии (гл. «Преступления в сфере компьютерной информации», ст. 268-274) в отдельные главы объединены положения, определяющие составы преступлений применительно к сфере компьютерной информации. В свою очередь, уголовные законы Республики Беларусь (разд. XII, гл. 31, ст. 349-355) и Таджикистана (разд. XII, ст. 298-304) в качестве родового объекта киберпреступлений предусматривают обеспечение информационной безопасности, объединяя общественно опасные деяния в главу «Преступления против информационной безопасности».
В заключение следует отметить, что нормативно-правовое регулирование отношений, возникающих в сфере реализации кибернетических технологий, с точки зрения уголовно-правовой сферы отстает от уровня развития кибернетических технологий. Установленная в настоящее время уголовная ответственность за совершение киберпреступлений не способна в полной мере отразить динамику технологических перемен и возможностей, вызванных ускоренными темпами информационного развития общества. Поэтому совершенствование уголовного законодательства должно соответствовать уровню социального и технологического прогресса современного общества, вследствие чего станет возможной реализация его охранительной и предупредительной функций.
24
1. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 1981 г.). Доступ из справ. правовой системы «КосультантПлюс».
2. URL: https://analytica.digital.report/wp-content/ uploads/2017/05/CRI-USA-RU.pdf
3. URL: https://obamawhitehouse.archives.gov/ the-press-office/2016/07/26/presidential-policy-directive-united-states-cyber-incident
4. URL: https://pd.rkn.gov.ru/docs/
5. URL: https://www.eugdpr.org/
6. Право на privacy. URL: https://www.rspectr. com/articles/324/pravo-na-privacy
7. Criminal Code of the Netherlands//The European Judicial Training Network (EJTN) URL: http://www. ejtn.eu/PageFiles/6533/2014%20seminars/0msenie/ WetboekvanStrafrecht_ENG_PV.pdf
8. URL: https://securelist.ru/kiberprestupnost-i-zakon-obzor-polo/1315
9. Громов Е.В. Развитие уголовного законодательства о преступлениях в сфере компьютерной информации в зарубежных странах (США, Великобритании, Нидерландах, Польше) // Вестн. Томск. гос. педагогического ун-та. 2006. № 11.
10. URL: https://ico.org.uk/for-organisations/ guide-to-pecr/
11. URL: https://www.linguee.ru
12. Cyberterrorism - the use of Internet for terrorist purposes. Council of Europe, December 2007.
13. URL:http://law.edu.ru/norm/norm.asp?normID= 1242643&sub
1. Convention on the protection of individuals in the automated processing of personal data (Strasbourg, 1981). Access from legal reference system «ConsultantPlus».
2. URL: https://analytica.digital.report/wp-content/ uploads/2017/05/CRI-USA-RU.pdf
3. URL: https://obamawhitehouse.archives.gov/ the-press-office/2016/07/26/presidential-policy-directive-united-states-cyber-incident
4. URL: https://pd.rkn.gov.ru/docs/
5. URL: https://www.eugdpr.org/
6. The right to privacy. URL: https://www. rspectr.com/articles/324/pravo-na-privacy
7. Criminal Code of the Netherlands //The European Judicial Training Network (EJTN) URL: http://www. ejtn.eu/PageFiles/6533/2014%20seminars/0msenie/ WetboekvanStrafrecht_ENG_PV.pdf
8. URL: https://securelist.ru/kiberprestupnost-i-zakon-obzor-polo/1315
9. Gromov E. V. The development of criminal legislation on crimes in the field of computer information in foreign countries (USA, UK, the Netherlands, Poland) // Bull. of Tomsk. State Pedagogical University. 2006. № 11.
10. URL: https://ico.org.uk/for-organisations/ guide-to-pecr/
11. URL: https://www.linguee.ru
12. Cyberterrorism - the use of Internet for terrorist purposes. Council of Europe, December 2007.
13. URL:http://law.edu.ru/norm/norm.asp?normID= 1242643&sub
СВЕДЕНИЯ ОБ АВТОРЕ
Пучков Денис Валентинович, кандидат юридических наук, доцент кафедры уголовного права Уральского государственного юридического университета; e-mail: puchkov@puchkovpartners.ru
INFORMATION ABOUT AUTHOR
D.V. Puchkov, Candidate of Law, Assistant Professor of the Chair of of Criminal Law of the Ural State Law University; e-mail: puchkov@puchkovpartners.ru
25
