УДК 343
ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНЫЙ ДОСТУП К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ: УГОЛОВНО-ПРАВОВОЙ И АДМИНИСТРАТИВНО-ПРАВОВОЙ АСПЕКТ
RESPONSIBILITY FOR WRONGFUL ACCESS TO COMPUTER INFORMATION: CRIMINAL AND LEGAL AND ADMINISTRATIVE AND LEGAL ASPECT
А. В. СУСЛОПАРОВ, А. Н. ТАРБАГАЕВ (A. V. SUSLOPAROV, A. N. TARBAGAEV)
Освещаются актуальные вопросы разграничения уголовной и административной ответственности за неправомерный доступ к компьютерной информации в свете последних изменений законодательства.
Ключевые слова: информация, неправомерный доступ к информации, ЭВМ, уголовная
ответственность, административная ответственность.
The article is devoted to topical issues differentiation of criminal and administrative responsibility for unlawful access to computer information in view of recent changes in legislation.
Key words: information, unlawful access to information, computer, criminal responsibility, administrative responsibility.
С развитием информационных технологий и повышением роли информации в жизни общества всё большее значение имеют вопросы обеспечения информационной безопасности, в том числе средствами уголовного права. При этом лишь применение комплексного, междисциплинарного подхода, учитывающего положения теории информации, разрабатываемой философией и другими науками, а также теоретических положений административного и информационного права, способно в полной мере создать условия для защиты личности, общества и государства от многочисленных информационных угроз, которые являются неизбежными спутниками прогресса в области информационных технологий.
Таким образом, при анализе норм об ответственности за компьютерные преступления в каждом случае необходимо учитывать, что компьютерные преступления являются преступлениями информационного характера, обладают всеми чертами, присущими таким преступлениям, следовательно, они должны рассматриваться сквозь призму по-
ложений теории информации и с учётом положений административного и информационного права.
Кроме этого, другой отличительной особенностью компьютерных преступлений является также их транснациональный характер. Это, в свою очередь, означает необходимость унификации правовых норм о компьютерных преступлениях и необходимость постоянного обращения к зарубежному опыту борьбы с компьютерными преступлениями при совершенствовании национальных правовых норм.
Целью настоящей работы является анализ изменений норм об ответственности за неправомерный доступ к компьютерной информации и выработка предложений по совершенствованию уголовного и административного законодательства как с позиций информационного подхода, так и с учётом международно-правового регулирования данного вопроса.
Федеральным законом от 7 декабря 2011 г. № 420-ФЗ были внесены изменения в гл. 28 УК РФ «Преступления в сфере компь-
© Суслопаров А. В., Тарбагаев А. Н., 2012
ютерной информации», в том числе в ст. 272 УК РФ «Неправомерный доступ к компьютерной информации». Данный факт следует оценить, безусловно, позитивно, поскольку с момента принятия УК РФ информационные отношения существенно видоизменились, в то время как нормы об ответственности за компьютерные преступления не менялись. Учёные неоднократно обращали внимание на данный факт, на протяжении долгого времени публиковались работы, посвящённые анализу статей гл. 28 УК РФ с предложениями по её совершенствованию.
Сами изменения также заслуживают в целом позитивной оценки. В новой редакции ст. 272 УК РФ, с одной стороны, были устранены положения, явно не соответствующие современным представлениям об информационных отношениях, с другой стороны, ст. 272 УК РФ приблизилась к международным стандартам, заданным Конвенцией о киберпреступности 2001 г. (далее - Конвенция). К числу наиболее значимых положительных нововведений, на наш взгляд, следует отнести следующие моменты.
1. Определение компьютерной информации было изменено и вынесено в примечание к ст. 272 УК РФ.
Под компьютерной информацией в настоящее время понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
Таким образом, в настоящее время в законодательстве содержится отдельное легальное определение компьютерной информации, что должно повысить эффективность правоприменения. Кроме этого, наличие такого определения снимает ряд теоретических вопросов и служит отправной точкой для дальнейших дискуссий.
Согласно прежнему определению компьютерной информации она могла быть определена как вид информации, в то время как согласно теории информации и представлениям зарубежных специалистов [1] компьютерная информация (данные) является прежде всего формой представления информации. Действительно, если определять данные как информацию в особом «компьютерном» коде, то более правильным будет говорить о компьютерной информации как определён-
ной форме представления информации, а не о её виде. В этом смысле компьютерная информация представляет собой «оболочку», информацию в электронном коде, в который может быть обращена практически вся другая информация [2].
Законодатель поддержал данную позицию, убрав указание на место хранения компьютерной информации как её отличительного признака и сделав таким отличительным признаком форму существования компьютерной информации.
2. Из ст. 272 УК РФ исчезло упоминание ЭВМ. Данный термин вполне заслуженно вызывал нарекания практически многих специалистов в области компьютерных преступлений, как не соответствующий современным реалиям. Также обоснованно, как устаревший, был исключён термин «машинные носители».
Вместе с тем, несмотря на положительную роль нововведений, ряд существенных вопросов, связанных с формулировками составов ст. 272 УК РФ, до сих пор не нашёл своего решения. К таким вопросам можно отнести следующие.
1. Несмотря на позитивную оценку нового определения компьютерной информации, его, тем не менее, следует подвергнуть критике. Законодатель при указании на форму существования компьютерной информации вводит термин «электрические сигналы». Данный термин практически не употреблялся в работах учёных, занимающихся компьютерными преступлениями. Также он редко встречается и в работах, посвящённых понятию информации, и практически невозможно его найти в действующем законодательстве. Таким образом, необходимо для правильного определения компьютерной информации вводить ещё одно определение «электрических сигналов», что не может быть достоинством новой редакции УК РФ.
Следует заметить также, что в законодательстве иностранных государств наряду с термином «компьютерная информация» чаще используется термин «данные». Легальное определение данных в его западном понимании можно встретить, в частности, в ст. 1 Конвенции. Под ними понимается любое представление фактов, информации или идей в форме, пригодной для обработки в
компьютерной системе, включая программу, предназначенную для функционирования компьютерной системы. Законодательство большинства европейских стран ориентируется на указанное определение и использует его в качестве основы для формулирования определений в национальном законодательстве. Например, ст. 80 quinquies [3] УК Голландии говорит, что термин «данные» может употребляться, чтобы обозначить всякое представление фактов, понятий или инструкций, независимо от того, достигнуто или не достигнуто по ним соглашение, пригодных для передачи, толкования или обработки людьми или компьютерными приборами и системами.
Следовательно, предпочтительным является употребление в тексте уголовного закона вместо термина «компьютерная информация» термина «данные», как акцентирующего внимание на форме представления информации.
В качестве одного из вариантов определения компьютерной информации (данных) предлагается понимать под ней сведения, не имеющие физических характеристик, хранящиеся на материальном носителе и передающиеся между субъектами посредством сигналов в форме электронного кода, пригодного для обработки их компьютерными средствами [4].
Из изложенного выше следует ещё одно важное замечание. Легальное определение информации даётся в ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Под информацией понимаются сведения (сообщения, данные) независимо от формы их представления. Однако представляется не совсем корректным отождествление законодателем информации с данными и предлагается убрать слово «данные» из определения информации в указанной статье закона [5].
2. Из текста ст. 272 УК РФ исчез термин «ЭВМ», однако законодатель не предложил ему замену. Таким образом, в настоящее время в тексте уголовного закона вообще не содержится термина «компьютер», упоминание о компьютерных устройствах можно обнаружить лишь в ст. 274, которая практически не применялась до настоящего вре-
мени. В ней теперь содержится только указание на информационно-телекоммуникационные сети и оконечное оборудование. Такой подход не согласуется в том числе с положениями Конвенции и зарубежным законодательством, где, как правило, имеется определение компьютера.
В настоящее время мы не можем игнорировать наличие огромного числа различных электронных устройств, которые могут быть определены как компьютеры и с помощью которых или против которых возможно совершение противоправных действий. Выходом могло бы стать введение в УК РФ терминов «компьютер (компьютерное устройство), компьютерная система», если понимать под ними любое устройство или группу соединённых или взаимосвязанных устройств, одно или несколько из которых, выполняя программу, осуществляют автоматическую обработку данных [6].
3. При формулировании ст. 272 УК РФ законодатель по-прежнему не полностью учёл положительный международный опыт.
Данная статья по-прежнему соединяет в одном составе несколько деяний, являющихся самостоятельными преступлениями в зарубежном уголовном законодательстве. Речь идёт о незаконном доступе к компьютеру (компьютерной системе) и о вмешательстве в систему или данные (ст. 2, 4 и 5 Конвенции). Ещё до принятия Конвенции некоторые зарубежные страны разграничили три указанных преступления. В частности, ответственность за незаконный доступ предусмотрена в ст. 138a УК Голландии и ст. 197 УК Испании в главе против преступлений, посягающих на общественный порядок и неприкосновенность частной жизни; случаи вмешательства в систему (логического/компьютерного саботажа по УК Голландии) по голландскому УК и УК Испании отнесены в главу о причинении вреда.
Многие лица, получающие доступ к компьютерным системам и сетям, убеждены, что они не делают ничего противозаконного и уголовно наказуемого (а если исходить из действующего уголовного кодекса, то так оно и есть), даже если им приходится нарушать системы защиты, установленные пользователем. Однако для нормального функционирования компьютерных систем и обеспечения
безопасности хранения и передачи информации уголовный закон должен защищать компьютер любого пользователя, пользующегося средствами защиты [7]. Не случайно поэтому во многих зарубежных правопорядках незаконный доступ к компьютеру защищается наравне с незаконным проникновением в жилище, поскольку и в том и в другом случае преступник посягает на конституционные права граждан: на неприкосновенность жилища (ст. 25 Конституции РФ) и на неприкосновенность частной жизни, личную и семейную тайну (ч. 1 ст. 23 Конституции РФ). Такой подход представляется оправданным, если учитывать роль компьютеров в жизни современного человека, когда в них может храниться большой объём сведений о человеке, касающихся разных сфер его жизни.
В том случае, если компьютеры находятся не во владении частных лиц, а во владении каких-либо организаций, то и тогда сам факт доступа к ним может иметь негативные последствия. Как отмечает А. Г. Шипков, электронные вычислительные машины и их информационное содержание широко применяются в вооруженных силах, космонавтике, атомной энергетике, в наземных, морских, воздушных транспортировках и т. д. Неправомерный доступ в компьютерное обеспечение такой деятельности может причинить ущерб обороноспособности страны, повлечь аварийные ситуации, экологические катастрофы, гибель людей и многое другое [8].
В связи с изложенным хотелось бы специально выделить обстоятельство, на которое российскими учёными обычно не обращается внимание. Согласно УК РФ наказуемым является доступ к компьютерной информации, в то время как Конвенция и УК многих зарубежных стран, в частности Голландии, речь ведут о незаконном доступе к компьютерной системе в целом или её части. Конечно, и в том и в другом случае предметом уголовно-правовой охраны будет неприкосновенность хранящихся в компьютере данных, однако представляется, что зарубежная формулировка является более удачной, поскольку она акцентирует внимание на том, что запрещённым является доступ прежде всего к компьютеру как к устройству, потенциально хранящему конфиденциаль-
ную информацию. То есть в таком случае уголовно-правовой барьер переносится на более раннюю стадию незаконного доступа. В принципе можно представить ситуацию, когда в компьютере не содержится никакой иной информации, кроме обеспечивающей работу операционной системы. В таком случае лицо, незаконно проникнувшее в компьютер, не будет подлежать ответственности за незаконный доступ к информации, поскольку данная информация не является конфиденциальной и не охраняется законом. В то же время, если уголовно-правовой запрет будет касаться незаконного доступа к устройству, то действия лица будут уголовно наказуемы. Второй вариант криминализации представляется более предпочтительным.
Можно провести грубую аналогию с традиционными составами преступлений. Согласно ч. 1 ст. 158 УК РФ кража имущества запрещена. Кража с незаконным проникновением в хранилище указана в ч. 2 ст. 158, а само нарушение неприкосновенности жилища - в ст. 139 УК РФ. Таким образом, мы видим, что уголовный закон в равной степени охраняет как неприкосновенность жилища, так и имущество, которое может в нём находиться. Если выделить в самостоятельный формальный состав незаконный доступ, то он условно будет корреспондировать ст. 139 УК РФ. При этом незаконное копирование данных будет корреспондировать ч. 1 ст. 158 УК, а незаконный доступ, повлекший незаконное копирование, - ч. 2 ст. 158 УК РФ. Данная аналогия не кажется такой уж нелепой, если вспомнить вышеупомянутые положения зарубежного законодательства.
Следует отметить, что не все специалисты поддерживают предложение о разделении ст. 272 УК РФ на несколько самостоятельных составов. По мнению Е. В. Краснен-ковой, которое не подкреплено ссылками на авторов других работ, диспозицией ст. 272 УК РФ охватываются и изменение (модификация), и стирание, и подавление компьютерных данных (информации) или программ, и несанкционированный доступ к компьютерной информации, поэтому введение в УК РФ новых составов преступлений является нецелесообразным. Это будет способствовать тому, что в УК РФ появится довольно значительное количество статей, содержа-
щих однотипные составы преступлений, которые в практической деятельности специалисту довольно сложно применять [9].
Тезис исследователя о том, что ст. 272 УК РФ уже объединяет в себе несколько составов и поэтому не нуждается в изменениях, несостоятелен. Выше уже было показано, что такое объединение является, скорее, минусом ст. 272, а не её плюсом. На основе многолетнего опыта борьбы с компьютерными преступлениями за рубежом пришли к выводу о необходимости формулировки самостоятельных составов доступа и саботажа и где в связи с этим практические работники не испытывают каких-либо проблем. Проблема, скорее, будет лежать в плоскости достаточной профессиональной квалификации правоприменителей, а не в особой сложности формулировок УК РФ.
Сказанное свидетельствует о стремлении зарубежных стран, во-первых, унифицировать своё законодательство о компьютерных преступлениях, а во-вторых, в равной мере защитить компьютерные системы от доступа к ним и от вмешательства в хранящиеся там данные и в работу системы.
На данный недостаток обращают внимание также другие российские исследователи. В частности, С. Д. Бражник отмечает, что российский законодатель в 1996 г. ввёл в УК РФ минимальное количество статьей о преступлениях в сфере компьютерной информации вопреки правилу, согласно которому одна статья УК должна быть посвящена одному составу. При этом была сделана попытка объединить различные по своему характеру деяния в одну статью. Возможно, подобное объединение было оправданным на первом этапе, при небольшом количестве и разнообразии преступлений данного вида, но в настоящее время требуется расширение круга уголовнонаказуемых деяний гл. 28 УК РФ [10].
Как отмечается в литературе [11], последствием принятого законодателем подхода в криминализации рассматриваемого деяния может быть то, что если информация была скопирована, то все признаки состава преступления есть, а если она была просто прочитана, то нет. Как справедливо отмечает Т. Л. Тропина, чтение информации не менее опасно, чем её копирование. В некоторых случаях злоумышленнику достаточно уви-
деть и прочитать информацию, и она теряет свою ценность или может быть применена им в дальнейшем безо всякого копирования. Кроме того, существуют иные способы сохранения данных для дальнейшего использования - например, фотографирование экрана компьютера. Данное утверждение Т. Л. Тро-пиной с позиций теории информации представляется не совсем корректным, поскольку фотографирование также должно являться частным случаем копирования информации в рамках ст. 272 УК, поскольку осуществляется с использованием технических средств. А. М. Доронин в связи с этим предлагает свою редакцию ст. 272 УК РФ, которая в числе прочих негативных последствий неправомерного доступа включает визуальное ознакомление с информацией [12]. Однако данное предложение, хотя и повышает эффективность рассматриваемой нормы, всё же является недостаточным.
А. Е. Шарков также обоснованно полагает, что достаточным для криминализации является совершение самого незаконного доступа к специально охраняемой законом компьютерной информации. В связи с этим им предлагалось исключить из диспозиции ч. 1 ст. 272 УК РФ указание на необходимость наступления последствий в виде уничтожения, блокирования, модификации либо копирования информации. Соответственно, перечисленные последствия, по мнению учёного, должны влечь более строгую ответственность и могут быть сформулированы в качестве отягчающих обстоятельств [13]. Следует отметить, что по подобной схеме построена ст. 138а УК Голландии, ч. 1 которой предусматривает уголовную ответственность за незаконный доступ, а ч. 2 - за незаконный доступ, если впоследствии информация была скопирована или записана. Однако последствия незаконного доступа в виде уничтожения, блокирования и модификации не включены голландским законодателем в
ч. 2 ст. 138а. Думается, связано это с тем, что за рубежом юристы проводят более чёткую грань между незаконным доступом и вмешательством в данные. С позиции теории информации такой подход представляется более эффективным, чем «наслоение» на основной состав в качестве квалифицирующего признака другого самостоятельного состава.
Вместе с тем в тексте диспозиции ч. 1 ст. 272 УК представляется необходимым оставить указание на копирование информации или на совершение другого преступления как последствия незаконного доступа, убрав уничтожение, блокирование или модификацию информации. Без копирования информации или совершения иного преступления сам факт незаконного доступа в нынешних российских условиях не обладает большой общественной опасностью.
Кроме этого, на практике незаконный доступ совершается, как правило, с целью получения какой-либо информации или совершения с его помощью иного преступления. Так, в 2005 г. Красноярский краевой суд вынес обвинительный приговор в отношении А. и Б., которые совершили неправомерный доступ к охраняемой законом компьютерной информации информационных центров УВД г. Красноярска и ГУВД Красноярского края, повлекший копирование информации [14]. В 2002 г. Сосновоборский городской суд Красноярского края вынес приговор по уголовному делу в отношении А., который, осознавая, что логин и пароль являются незаконно полученными, предвидя возможность наступления общественно опасных последствий в виде блокирования работы ЭВМ законного пользователя, а также причинения материального ущерба и имея безразличное отношение к наступлению последних, неоднократно осуществил без оплаты от себя лично выход в Интернет, при этом блокируя работу ЭВМ медицинского училища [15].
В последнем случае мы имеем дело с незаконным доступом к компьютерной информации, повлекшим наступление двух последствий. Как признают сотрудники отдела «К» ГУ МВД РФ по Красноярскому краю, они сами не могут дать точного определения термину «блокирование» информации. На практике данное понятие было истолковано как создание препятствий законному пользователю воспользоваться своим правом на распоряжение информацией применительно к случаям, аналогичным вышеизложенному. Представляется однако, что отсутствие правовой квалификации данного явления и изъятие из текста УК РФ термина «блокирование информации» не помешает квалифицировать незаконный доступ как преступление,
если последствием его будет копирование информации или совершение иного преступления. Отсутствие в уголовном законе рассматриваемого термина позволит сделать УК РФ в этой части более понятным, лаконичным и соответствующим международноправовым тенденциям борьбы с компьютерными преступлениями.
В связи с изложенным предлагается следующая редакция ст. 272 УК РФ:
«Статья 272. Незаконный доступ к компьютеру (компьютерной системе)
1. Умышленный незаконный доступ к компьютеру (компьютерной системе) в обход средств защиты, установленных законным пользователем компьютера (компьютерной системы), если это деяние повлекло незаконное копирование данных или совершение другого преступления, -
наказывается ...
2. То же деяние, совершённое группой лиц по предварительному сговору или организованной группой, -
наказывается .».
Как видно из приведённой выше редакции ст. 272 УК РФ, общественно опасным предлагается считать незаконный доступ к компьютеру (компьютерной системе), повлекший наступление определённых последствий. Вместе с тем распространённость различных компьютерных устройств в настоящее время настолько велика, что достаточно просто представить ситуацию, когда кто-либо без ведома законного владельца получает доступ к компьютерному устройству без наступления общественно опасных последствий, указанных в ст. 272 УК РФ. Такие действия не влекут наступление уголовной или административной ответственности, если они не связаны с нарушением неприкосновенности частной жизни (ст. 137 УК РФ) или нарушением тайны сообщений (ст. 138 УК РФ).
В связи с изложенным полагаем, что назрела необходимость рассмотреть вопрос о включении в КоАП РФ состава административного правонарушения, предусматривающего ответственность за незаконный доступ к компьютеру (компьютерной системе) или по аналогии с действующей редакцией ст. 272 за неправомерный доступ к компьютерной информации.
Исходным положением при реализации данного предложения будет выступать необходимость включения в КоАП РФ состава административного правонарушения, смежного по отношению к составу ст. 272 УК РФ. Таким образом, данный состав административного правонарушения должен быть сформулирован аналогично действующему составу ст. 272 УК РФ, но без указания на наступление общественно опасных последствий.
Подводя итог изложенному, можно прийти к следующим выводам. Несомненно, позитивным является тот факт что, впервые за 14 лет существования УК РФ в гл. 28 были внесены изменения. Данные изменения позволили снять наиболее острые вопросы к формулировкам составов компьютерных преступлений, в частности, к формулировке ст. 272 УК РФ, и несколько приблизить УК РФ в данной части к международным нормам. Кроме этого, назрела необходимость включения в КоАП РФ смежного состава правонарушения, предусматривающего ответственность за неправомерный доступ к компьютерной информации или к компьютеру (компьютерной системе) без наступления общественно опасных последствий.
1. См., напр.: Computer Crimes and Other Crimes against Information Technology in Canada. National Report by Donald K. Piragoff // International Review of Penal Law. Computer Crime and Other Crimes against Information Technology. Preparatory colloquium. Section 1. Wurzbuerg (Germany). October 5-8, 1992. -Toulouse. - 1993. - P. 210.
2. Мицкевич А. Ф., Суслопаров А. В. Понятие компьютерной информации по российскому и зарубежному уголовному праву // Пробелы в российском законодательстве. - 2010. -№ 2. - С. 206-209.
3. «Quinquies» обозначает порядковый номер статьи 80 в голландском УК. См.: Уголовный кодекс Голландии / науч. ред. Б. В. Волжен-кин ; пер. с англ. И. В. Мироновой. - СПб. :
Юридический центр Пресс, 2001. - С. 228. В УК РФ в аналогичных случаях используются цифровые символы, как, например, при обозначении ст. 80.1 «Освобождение от наказания в связи с изменением обстановки».
4. Мицкевич А. Ф., Суслопаров А. В. Понятие компьютерной информации по российскому и зарубежному уголовному праву // Пробелы в российском законодательстве. - 2010. -№ 2. - С. 206-209.
5. Там же.
6. См.: Мицкевич А. Ф., Суслопаров А. В. Понятие компьютера (ЭВМ) по российскому и зарубежному уголовному праву // Актуальные проблемы борьбы с преступностью в Сибирском регионе : сб. материалов междунар. на-уч.-практ. конф. (18-19 февраля 2010 г.) : в 3 ч. - Ч. 1 / отв. ред. Д. Д. Невирко. - Красноярск : Сибирский юридический институт МВД России, 2010. - С. 106-111.
7. Тропина Т. Л. Киберпреступность: понятие, состояние, уголовно-правовые меры борьбы : дис. ... канд. юрид. наук. - Владивосток, 2005. - С. 177.
8. Криминология : учебник для вузов / под общ. ред. д-ра юрид. наук, проф. А. И. Долговой. -М., 2001. - С. 680 (автор главы - А. Г. Шип-ков).
9. Красненкова Е. В. Обеспечение информационной безопасности в Российской Федерации уголовно-правовыми средствами : дис. . канд. юрид. наук. - М., 2006. - С. 118.
10. Тропина Т. Л. Указ. соч. - С. 175.
11. Там же. - С. 176-177.
12. Доронин А. М. Уголовная ответственность за неправомерный доступ к компьютерной информации : дис. ... канд. юрид. наук. - М., 2003. - С. 135.
13. Шарков А. Е. Неправомерный доступ к компьютерной информации: преступность деяния и проблемы квалификации : дис. . канд. юрид. наук. - Ставрополь, 2004. - С. 9.
14. Уголовное дело № 9001599, приговор по которому вынесен в отношении А. и Б. Красноярским краевым судом 18.05.2005.
15. Уголовное дело, приговор по которому вынесен в отношении А. Сосновоборским городским судом Красноярского края 13.06.2002.