ОТВЕТСТВЕННОСТЬ ЗА СОЗДАНИЕ, ИСПОЛЬЗОВАНИЕ И РАСПРОСТРАНЕНИЕ ВРЕДОНОСНЫХ КОМПЬЮТЕРНЫХ ПРОГРАММ ПО ДЕЙСТВУЮЩЕМУ УГОЛОВНОМУ ЗАКОНОДАТЕЛЬСТВУ1
А. Ю. КАРАМНОВ
В статье дается характеристика состава преступления, предусмотренного ст. 273 Уголовного кодекса РФ. Приводятся предложения по оптимизации уголовной ответственности за создание, использование и распространение вредоносных компьютерных программ.
Ключевые слова: преступления в сфере компьютерной информации, уголовная ответственность, компьютерная информация, компьютерная программа.
В Уголовный кодекс РФ в 1996 г. была введена статья, предусматривающая ответственность за создание, использование и распространение вредоносных программ для ЭВМ (ст. 273). После ее принятия прошел значительный период времени, в результате которого были выявлены ее недостатки [10]. Принятый 7 декабря 2011 Федеральный закон № 420 «О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации» внес существенные изменения в рассматриваемую статью. В новой редакции она звучит как «Создание, использование и распространение вредоносных компьютерных программ» [6].
Объектом рассматриваемого состава преступления является общественная безопасность и общественный порядок, а также совокупность общественных отношений по безопасному использованию компьютерной информации. В примечании в ст. 272 УК РФ законодатель дает определение «компьютерной информации», существенно сужая формы ее представления - здесь под такой информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. Комитет Госдумы по информационной политике, технологиям и связи высказал замечание о том, что «в предмет-
1 Исследование выполнено при поддержке Министерства образования и науки РФ, соглашение 14.132.21.1062 «Уголовно-правовые и криминологические аспекты преступлений в сфере компьютерной информации: проблемы квалификации, реализации уголовной ответственности, назначение справедливого наказания».
ной дефиниции неясен смысл термина «электрические сигналы» [4].
В общем виде «электрический сигнал» - «это передаваемая соответственно по проводам или без проводов (по радио) электромагнитная энергия, несущая в себе какое-либо сообщение. Слово «сообщение» при этом надо понимать в широком смысле слова» [1]. Нам представляется, что данное определение компьютерной информации не является исчерпывающим. Например, при передаче компьютерной информации по кабельным оптоволоконным каналам связи можно столкнуться со следующей ситуацией: «Оптическое волокно передает сигналы только в одном направлении, поэтому кабель состоит из двух волокон. На передающем конце оптоволоконного кабеля требуется преобразование электрического сигнала в световой, а на приемном конце обратное преобразование» [1, с. 40]. Так что в момент передачи сведений по оптоволокну их, исходя из примечания к ст. 272 УК РФ, нельзя назвать компьютерной информацией, поэтому противоправные действия, совершаемые злоумышленником с использованием в качестве канала передачи данных оптоволокно может, исходя из строгого толкования нормы, препятствовать применению ст. 272 УК РФ.
Еще одним недостатком введенного законодателем определения «компьютерной информации» является противоречие, заключенное в понятии «... представленные в форме электрических сигналов, независимо от средств их хранения.». Дело в том, что «.основу оптических дисков CD, DVD, Blue Ray составляет слой полимера оптиче-
ского качества (поликарбонат), на который нанесен металлический отражающий слой; считывающий слой лазера проходит через материал обложки и отражается от металла. Информация записывается от центра диска вдоль спиральной (или близкой к спиральной) дорожки в виде чередующихся участков с высокой и низкой отражательной способностью; при считывании информации переход от высокого уровня интенсивности отраженного света к низкому или наоборот воспринимается считывающей системой как логическая единица» [2]. Таким образом, в момент записи и чтения сведения, хранимые на оптических дисках, являются компьютерной информацией, так как они находятся «в форме электрических сигналов» в оперативной памяти обрабатывающего информацию устройства, а в период хранения этих дисков (или накопителей такого рода) - нет.
Поскольку толкование терминов «сообщения» и «данные» законодателем не дано, правоприменителю будет необходимо в каждом случае индивидуально разрешать вопрос об их признании компьютерной информацией. Например, с точки зрения физики любой сигнал или последовательность сигналов являются сообщением [8], поэтому при рассмотрении данного понятия в контексте определения «компьютерной информации» под ней можно понимать абсолютно любую последовательность байтов, хранимую или обрабатываемую на устройстве. В то же время, если рассматривать сообщения и сведения с позиции принадлежности определенному субъекту, то вполне можно использовать дефиницию «персональных данных», содержащуюся в ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [7]. Думается, что законодателю необходимо дать пояснения относительно значения данных терминов для исключения многозначности их толкования.
Под компьютерной программой понимается «совокупность данных и команд в объективной форме, предназначенных для функционирования ЭВМ и других компьютерных устройств, в целях получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения» [3]. Новеллой рассматриваемой статьи является введение понятия «вредоносная компьютерная информация». Данный вид компьютерной информации не является самостоятельной компьютерной программой,
но при взаимодействии с ними негативно влияет на их работу (вызывает уничтожение, блокирование, модификацию, копирование компьютерной информации). Новшеством предмета преступления является такая его характеристика, как «заведомо предназначенного» для причинения указанных в статье последствий; а также отнесение к вредным последствиям нейтрализации средств защиты компьютерной информации [5]. Стоит отметить, что в диспозиции статьи законодатель не включил признак «охраняемости» компьютерной информации.
Высокая степень общественной опасности создания, использования и распространения вредоносных программ и компьютерной информации обусловливает формирование законодателем данного состава преступления как формального, когда сам факт создания компьютерного вируса либо совершения иного из указанных в ч. 1 ст. 273 УК РФ действий, составляющих объективную сторону этого состава, является вполне достаточным для привлечения лица к уголовной ответственности. Наступления общественно опасных последствий (уничтожение, блокирование, модификация, копирование компьютерной информации или нейтрализация ее средств защиты) в данном случае значения для квалификации не имеет. Кроме того, объективная сторона включает следующие действия:
- создание вредоносной программы или иной компьютерной информации. Создание программы заключается в написании самостоятельного кода или во внесении изменений в существующий. По мнению авторов, модификации могут подвергаться как «полезные» программы, так и вредоносные. Из определения компьютерной информации следует, что под созданием компьютерной информации следует понимать создание данных и придании им формы электрических сигналов;
- использование вредоносной компьютерной программы или компьютерной информации;
- распространение вредоносной программы или компьютерной информации. Оно может быть выражено в виде передачи компьютерной информации по сетям передачи данных или передаче носителя такой информации от одного лица другому [5].
Таким образом, ст. 273 УК РФ, устанавливающая ответственность за создание, распространение или использование компьютерных программ либо компьютерной информации, подвергалась достаточно серьезному изменению. Так в прежней редакции ст. 273 УК РФ для квалифика-
ции преступления по ней признавалось « ... создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ.», что, как нам представляется, существо сужало круг потенциальных преступников, так как для совершения деяний данного типа необходимо было обладать некоторыми специфичными и профессиональными навыками. Теперь же под потенциального злоумышленника попадает достаточно широкий круг пользователей, так как для квалификации деяния как преступления по ст. 273 необходимо и достаточно лишь установить факт наличия нелицензионного незаконно модифицированного программного обеспечения или даже дистрибутива. Это следует из обновленной диспозиции статьи, которая причислила к вредоносной компьютерной информации компьютерные программы, предназначенные для нейтрализации средств защиты компьютерной информации, такие как cracks (программа для обхода защиты), keygens (программы для создания и использования «лицензионного» ключа).
В отличие от прежней редакции рассматриваемой статьи, содержащей всего две части, новая включает в себя три части. В разряд особо квалифицированных переведен признак причинения тяжких последствий созданием угрозы их наступления.
Не всегда действия, озвученные в диспозиции рассматриваемой статьи, являются противозаконными. Например, антивирусные компании в своей деятельности вынуждены производить «противоправные» действия с компьютерной информацией: изучать вредоносную компьютерную информацию (модификация, нейтрализация средств защиты компьютерной информации), обмениваться между собой (распространение), производить оценку последствий использования вредоносной компьютерной информации (фактически использование). По мнению автора, данные действия имеют признаками, указанными в ст. 273 УК РФ, но согласно ст. 14 УК РФ преступными являться не могут, так как не содержат общие условия, такие как общественная опасность (действия сотрудников антивирусных компаний заведомо направлены на минимизацию и предотвращения ущерба, вызванного вредоносной компьютерной информацией) и вина.
Стоит отметить, что применение ст. 273 УК РФ при распространении компьютерной информации, попадающей под действие диспозиции
статьи, в пиринговых сетях [9], например, посредством сетевого протокола ВйТоггей, может быть затруднительно. Суть распространения заключается в том, что на самом сервере (трекере) в сети Интернет не содержится противоправной компьютерной информации, а только файл с Ш-адресами пользователей, у которых данная компьютерная информация имеется. Перед началом скачивания специальная компьютерная программа (клиент) подсоединяется к трекеру по Ш-адресу, указанному в торрент-файле, сообщает ему свой Ш-адрес, на что в ответ клиент получает адреса других клиентов, скачивающих или раздающих этот же файл. Далее клиент периодически информирует трекер о ходе процесса и получает обновленный список адресов. Клиенты соединяются друг с другом и обмениваются сегментами файлов без непосредственного участия трекера, который лишь хранит информацию, полученную от подключенных к обмену клиентов, список самих клиентов и другую статистическую информацию [10]. Несмотря на то, что торрент-трекер может распространять компьютерную информацию и компьютерные программы, заведомо предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования или нейтрализации средств защиты компьютерной информации, фактически эту компьютерную информацию он не содержит, а содержит и отсылает пользователям списки адресов, у кого есть данная компьютерная информация полностью или фрагментами. Кроме того, торрент-трекеры данного вида в основном физически находятся за пределами территории РФ. Таким образом, привлечение организаторов торрент-трекера к уголовной ответственности является затруднительным.
Руководствуясь последними разъяснениями Верховного суда РФ по вопросу нарушения авторских прав [11], можно утверждать, что распространителями вредоносной компьютерной информации и компьютерных программ с нейтрали-зированными средствами защиты будут считаться лица, оказывающие содействие в их распространении, например, путем размещения ссылки на ресурс, где осуществляется физическое хранение файлов, распространение в p2p-сетях и т. д.
Литература
1. Васильев К. К., Глушков В. А., Дормидон-тов А. В., Нестеренко А. Г. Теория электрической связи: учеб. пособие / под общ. ред. К. К Васильева. Ульяновск, 2008.
2. Вемиаминов А. В., Михайлов В. Н. Оптические системы записи, хранения и отображения информации: учеб. пособие. Спб., 2009.
3. Гражданский кодекс Российской Федерации. М., 2012. Ст. 1261.
4. Дорохов Р. Уголовный кодекс изменили в помощь хакерам. URL: http://www.vedomosti.ru
5. Комментарий к Уголовному кодексу Российской Федерации (постатейный) / под. ред. А. И. Чучае-ва. М., 2012.
6. О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовнопроцессуального кодекса Российской Федерации: федер. закон Рос. Федерации 7 декабря 2011 г. № 419-ФЗ // Парламентская газета. 2011. № 55-56. 16-22 дек. С. 37-43.
7. О персональных данных: федер. закон Рос. Федерации 27 июля 2006 г. № 152-ФЗ // Собр. законодательства Рос. Федерации от 31 июля 2006 г. № 31 (часть I). Ст. 3451 ФЗ-157.
8. Определение информации. URL: http:// ru. wi-kipedia.org
9. Определение пиринговых сетей. URL: http:// wiki.rnet.ru
10. Определение сетевого протокола BitTorrent. URL: http://ru.wikipedia.org
11. О практике рассмотрения судами уголовных дел о нарушении авторских, смежных, изобретательских и патентных прав, а также о незаконном исполь-
зовании товарного знака: Постановление Пленума Верховного Суда Рос. Федерации от 26 апреля 2007 г. № 14 // Федеральный выпуск. 2007. № 4358. 5 мая.
* * *
RESPONSIBILITY FOR CREATION, USE AND DISTRIBUTION OF HARMFUL COMPUTER PROGRAMS BY THE EXISTING CRIMINAL LEGISLATION
A. Yu. Karamnov
In article the characteristic of structure of the crime provided by article 273 of the Criminal code of the Russian Federation is given. Offers on optimization of criminal liability for creation, use and distribution of harmful computer programs are provided.
Key words: crimes in the sphere of computer information, criminal liability, computer information, computer program.