Юридическая консультация по компьютерной тематике.

[NEL]

Сегодня рядовой пользователь компьютера, находится под угрозой, в любой момент быть обвинённым в уголовном преступлении. Вспомним учителя Поносова, ряд сомнительных судебных дел, за просмотр спутникового телевидения.
Эта тема имеет цель помочь всем пользователям компьютеров избежать неграмотного применения подзаконных актов, двусмысленно толкуемых, представителями милиции и суда.  Познакомиться с действующим уголовным законодательством, с коментариями к статьям Уголовного Кодекса РФ.

Тема носит информационный характер и закрыта для обсуждения. Все вопросы обсуждаются в других, новых темах.

[NEL]

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -
наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -
наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами -
наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, -
наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, -
наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторжности тяжкие последствия, -
наказывается лишением свободы на срок до четырех лет.

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом -
наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев либо лишением свободы на срок до двух лет.
2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, -
наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до трех лет.
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет либо лишением свободы на срок до пяти лет.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, -
наказываются лишением свободы на срок до десяти лет.

Статья 146. Нарушение авторских и смежных прав

1. Присвоение авторства (плагиат), если это деяние причинило крупный ущерб автору или иному правообладателю, -
наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от трех до шести месяцев.
2. Незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо лишением свободы на срок до двух лет.
3. Деяния, предусмотренные частью второй настоящей статьи, если они совершены:
а) утратил силу. - Федеральный закон от 08.12.2003 N 162-ФЗ;
б) группой лиц по предварительному сговору или организованной группой;
в) в особо крупном размере;
г) лицом с использованием своего служебного положения, -
наказываются лишением свободы на срок до шести лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового.
Примечание. Деяния, предусмотренные настоящей статьей, признаются совершенными в крупном размере, если стоимость экземпляров произведений или фонограмм либо стоимость прав на использование объектов авторского права и смежных прав превышают пятьдесят тысяч рублей, а в особо крупном размере - двести пятьдесят тысяч рублей.

[NEL]

Уголовный кодекс РФ
c комментариями

Комментарий к статье 272

1. Уголовно-правовая защита компьютерной информации в российском уголовном законодательстве введена впервые. Ранее, 23 сентября 1992 г., был принят Закон "О правовой охране программ для электронно-вычислительных машин и баз данных" (см. Ведомости РФ, 1992, N 42, ст. 2325) и 20 февраля 1995 г. - Федеральный закон "Об информации, информатизации и защите информации" (см. СЗ РФ, 1995, N 8, ст. 609). В этих законах предусмотрен комплекс мер по защите ЭВМ, баз данных, сетей и в целом компьютерной информации. В ст. 20 Закона от 23 сентября 1992 г. содержалось положение о том, что выпуск под своим именем чужой программы для ЭВМ или базы данных либо незаконное воспроизведение или распространение таких произведений влечет за собой уголовную ответственность в соответствии с законом. Однако соответствующие уголовно-правовые нормы тогда не были приняты. Очевидно, посчитали достаточной ст. 141 УК РСФСР, хотя она ответственности за упомянутые деяния не предусматривала. Эти вопросы, по нашему мнению, решены в ст.ст. 146 и 147 УК (см. комментарии к этим статьям).
2. Включение ст. 272, как и ст.ст. 273 и 274 УК, в раздел о преступлениях, посягающих на общественную безопасность и общественный порядок, определяет объект рассматриваемых преступлений. Но это был бы слишком общий подход. Конкретно эти преступления направлены против той части установленного порядка общественных отношений, который регулирует изготовление, использование, распространение и защиту компьютерной информации. Выяснение данного обстоятельства важно для того, чтобы отграничить преступления, предусмотренные ст.ст. 272 - 274 УК, от других преступлений, связанных с использованием ЭВМ, системы ЭВМ и их сети для совершения других преступлений.
В тех случаях, когда компьютерная аппаратура является предметом преступлений против собственности, соответственно ее хищение, уничтожение или повреждение подлежит квалификации по ст.ст. 158 - 168 УК. Но дело в том, что информационная структура (программы и информация) не может быть предметом преступлений против собственности, поскольку машинная информация не отвечает ни одному из основных критериев предмета преступлений против собственности, в частности не обладает физическим признаком. Что касается компьютера как орудия преступления, то его следует рассматривать в ряду таких средств, как оружие или транспортные средства. В этом смысле использование компьютера имеет прикладное значение при совершении преступления, например хищения денежных средств или сокрытия налогов. Такие действия не рассматриваются в качестве самостоятельных преступлений, а подлежат квалификации по другим статьям УК в соответствии с объектом посягательства (см. подробнее: Новое уголовное право России. Особенная часть. М., 1996, с. 271 - 274).
3. Понятие компьютерной информации определено в комментируемой статье. Предметом компьютерной информации являются информационные ресурсы, которые в ст. 2 Федерального закона от 20 февраля 1995 г. "Об информации, информатизации и защите информации" рассматриваются как отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах, в частности в банках данных. Эти ресурсы согласно ст. 2 Закона содержат сведения о лицах, предметах, событиях, процессах, населении независимо от формы их представления. В законе далее дается полная расшифровка их содержания.
4. Под неправомерным доступом к охраняемой законом компьютерной информации следует понимать самовольное получение информации без разрешения ее собственника или владельца. В связи с тем что речь идет об охраняемой законом информации, неправомерность доступа к ней потребителя характеризуется еще и нарушением установленного порядка доступа к этой информации. Если нарушен установленный порядок доступа к охраняемой законом информации, согласие ее собственника или владельца не исключает, по нашему мнению, неправомерности доступа к ней.
Собственником информационных ресурсов, информационных систем, технологии и средств их обеспечения является субъект, в полном объеме реализующий права владения, пользования, распоряжения указанными объектами.
Владельцем информационных ресурсов, информационных систем, технологий и средств их обеспечения является субъект, осуществляющий владение и пользование указанными объектами и реализующий права распоряжения в пределах, установленных законом.
Пользователем (потребителем) информации является субъект, обращающийся к информации (подробнее о собственниках, владельцах и пользователях компьютерной информации см. Федеральный закон от 20 февраля 1995 г.).
5. Способы неправомерного доступа к компьютерной информации могут быть самыми различными, например, представление фиктивных документов на право доступа к информации, изменение кода или адреса технического устройства, нарушение средств или системы защиты информации, кража носителя информации.
6. Ответственность по ст. 272 УК наступает в том случае, если деяние повлекло указанные в ч. 1 этой статьи последствия.
Под уничтожением информации следует понимать ее утрату при невозможности ее восстановления.
Блокирование информации - это невозможность ее использования при сохранности такой информации.
Модификация информации означает изменение ее содержания по сравнению с той информацией, которая первоначально (до совершения деяния) была в распоряжении собственника или законного пользователя.
Под копированием информации следует понимать ее переписывание, а также иное тиражирование при сохранении оригинала. Представляется, что копирование может означать и ее разглашение.
Нарушение работы ЭВМ, системы ЭВМ или их сети может выразиться в их произвольном отключении, в отказе выдать информацию, в выдаче искаженной информации при сохранении целости ЭВМ, системы ЭВМ или их сети.
7. Неправомерный доступ к компьютерной информации считается оконченным с момента наступления в результате этого неправомерного доступа к ней одного или нескольких из упомянутых последствий.
8. О совершении преступления группой лиц по предварительному сговору или организованной группой см., например, комментарии к ст. ст. 35, 102 УК.
9. Об использовании служебного положения при совершении преступления см., например, комментарии к ст.ст. 136, 201 и 285 УК.
10. Представляется, что к лицам, как указывается в ч. 2 ст. 272 УК, "равно имеющим доступ" к ЭВМ, системе ЭВМ или их сети, положение ч. 1 этой статьи о несанкционированном доступе к компьютерной информации относится в тех случаях, когда они вышли за пределы определенных им обязанностей по работе и вторглись в ту сферу компьютерной информации, на которую их обязанности не распространяются. Полагаем, что о других случаях несанкционированного доступа к компьютерной информации для лиц, уже имеющих доступ, говорить вряд ли можно.
11. С субъективной стороны преступление может быть совершено только с прямым умыслом. Мотивами преступления могут быть корыстные или ****ганские побуждения, месть, зависть и др.
12. Субъектом преступления, предусмотренного ч. 1 ст. 272 УК, а также при совершении его группой лиц могут быть любые лица, достигшие 16 лет. При совершении преступления, предусмотренного ч. 2 этой статьи, при других обстоятельствах, субъектами могут быть лишь лица, занимающие определенное служебное положение или имеющие доступ к ЭВМ, системе ЭВМ или их сети, т. е. субъект специальный.

Комментарий к статье 273

1. В ст. 273 УК речь идет о разработке и распространении компьютерных вирусов путем создания программ для ЭВМ или внесения изменений в существующие программы. Опасность компьютерного вируса состоит в том, что он может привести, как следует из текста комментируемой статьи, к полной дезорганизации системы компьютерной информации и при этом, по мнению специалистов в данной области, может бездействовать достаточно длительное время, затем неожиданно "проснуться" и привести к катастрофе (см. Батурин Ю.М., Жодзишский А.М. Компьютерная преступность и компьютерная безопасность. М., 1991, с. 25 - 30). Вирус может оказаться причиной катастрофы в таких областях использования компьютерной информации, как оборона, космонавтика, государственная безопасность, борьба с преступностью, и т. д.
2. Именно высокой степенью общественной опасности объясняется то, что уголовный закон преследует достаточно строго за сам факт создания программ для ЭВМ или внесения изменений в существующие программы, не оговаривая наступление каких-либо последствий.
3. Преступление, предусмотренное ст. 273 УК, считается оконченным, когда программа создана или внесены изменения в существующую программу, независимо от того, была ли она использована или распространена.
4. О заведомости для виновного возможных последствий при создании вредоносных программ или внесении изменений в существующие программы см., например, комментарии к ст.ст. 63 и 105 УК.
5. Об уничтожении, блокировании, модификации либо копировании информации, нарушении работы ЭВМ, системы ЭВМ или их сети см. комментарий к ст. 272 УК.
6. Под использованием либо распространением вредоносных программ или машинных носителей к ним понимается соответственно введение этих программ в ЭВМ, систему ЭВМ или их сеть, а также продажа, обмен, дарение или безвозмездная передача другим лицам.
7. Представляется, что под распространением вредоносных программ следует понимать и их копирование (см. комментарий к ст. 272 УК).
8. С субъективной стороны преступление может быть совершено как по неосторожности в виде легкомыслия, так и с косвенным умыслом в виде безразличного отношения к возможным последствиям. При установлении прямого умысла в действиях виновного преступление подлежит квалификации в зависимости от цели, которую перед собой ставил виновный, а когда наступили последствия, к достижению которых он стремился, - и в зависимости от наступивших последствий. В этом случае действия, предусмотренные ст. 273 УК, оказываются лишь способом достижения поставленной цели. Совершенное деяние подлежит квалификации по совокупности совершенных преступлений.
9. К тяжким последствиям, наступившим по неосторожности (ч. 2), могут быть отнесены, например, гибель людей, причинение вреда их здоровью, дезорганизация производства на предприятии или в отрасли промышленности, осложнение дипломатических отношений с другим государством, возникновение вооруженного конфликта. При этом необходимо иметь в виду, что наступившие последствия могут привести и к необходимости квалификации данного преступления по совокупности с другими преступлениями в зависимости от характера последствий и отнесения заведомости к легкомыслию или к косвенному умыслу в виде безразличного отношения к последствиям.
10. Субъектом преступления может быть любое лицо, достигшее 16 лет.

[NEL]

Расширительное толкование терминов «вредоносная программа» и «неправомерный доступ»

часть 1

Середа С.А., к.э.н.;
Федотов Н.Н., к.ф-м.н.

Впервые опубликовано в журнале "Закон", N7, 2007.

В статье рассматривается ошибочная практика квалификации по «компьютерным» статьям 272 и 273 УК правонарушений, связанных с авторским правом. В силу схожести терминов и игнорирования понятия объекта преступления работники правоохранительных органов неверно квалифицируют подобные деяния. Эксперты ошибочно признают некоторые программные средства для преодоления технических средств защиты авторских прав вредоносными программами. Сами деяния, имеющие целью подобное преодоление, квалифицируются как неправомерный доступ к компьютерной информации. В ряде случаев это переводит нарушение из административной или гражданской сферы в уголовную.

Авторы подробно анализируют соответствующие составы преступлений, уточняют толкование ключевых терминов, критикуют методы и приёмы экспертизы, а также опровергают расхожие заблуждения, касающиеся вредоносных программ.
Тенденция к использованию статей 272 и 273 УК в отношении правонарушений, связанных с авторским правом

Примерно с 2001 года в практике правоохранительных органов России появилась странная тенденция: добавлять обвинение по статье 272 (неправомерный доступ) или 273 (вредоносные программы) ко всем обвинениям по ч. 2 и 3 статьи 146 (нарушение авторских прав), если только охраняемое произведение было представлено в цифровой форме. По информации авторов, инициатором подобной практики стал один крупный российский правообладатель при технической поддержке им же учреждённой некоммерческой организации.

Причины появления такой «инициативы» достаточно ясны. Для привлечения нарушителя авторских прав по «целевой» статье 146 УК необходимо доказать, что стоимость контрафактных экземпляров была не менее 50 000 рублей. При единичной же установке программного продукта подобная сумма может фигурировать только, если этот продукт очень дорогой, такой, например, как AutoCAD компании AutoDesk (около 106 000 рублей). А большинство популярных отечественных программ существенно дешевле и, как правило, по стоимости не превышают 40 000 рублей. В то же время, львиная доля нарушений осуществляется именно посредством единичных инсталляций программных продуктов.

Соответственно, возникла потребность «найти иные пути» привлечения нарушителей к уголовной ответственности. Именно к уголовной, потому что она оказывает максимальный психологический эффект на потенциальных нарушителей, а также даёт несравненно большие возможности для сбора доказательств. Доказывать нарушения авторских прав в гражданском порядке намного труднее и дороже; при этом невозможны такие действия, как проверочная закупка, обыск, допрос подозреваемого и свидетелей.

Искомую возможность перевода нарушения из гражданской сферы в уголовную предоставили формулировки статей 272 и 273 УК. Речь в них идёт о неправомерном доступе к компьютерной информации и о создании вредоносных программ, заведомо приводящих к модификации, копированию, уничтожению либо блокированию компьютерной информации, нарушению работы ЭВМ, системы ЭВМ или сети. Объект авторского права, программа для ЭВМ, записанная на машинный носитель, очень похожа на «компьютерную информацию» в неюридическом, бытовом значении этого термина. А имущественные авторские права на программу для ЭВМ обозначаются терминами: «воспроизведение», «распространение» и «переработка», которые по своему значению похожи на термины «копирование» и «модификация», используемые в статьях 272 и 273.

Соответственно, с этой точки зрения, «неправомерное воспроизведение объекта авторских прав» и «преодоление технических средств защиты авторских прав» похоже по звучанию на «неправомерный доступ к информации», который подпадает под действие статьи 272. А написание специализированных программ для преодоления технических средств защиты авторских прав похоже на «создание вредоносных программ», подпадающее под действие статьи 273 УК.

Дополнительным запутывающим фактором здесь служит и непродуманное использование законодателем одного и того же термина «модификация», как в федеральном законе «О правовой охране программ для электронных вычислительных машин и баз данных» [14], так и в указанных статьях Уголовного кодекса. Такое «совпадение» приводит к тому, что даже в правовых работах известных специалистов всерьёз исследуется вопрос, чем отличается «модификация компьютерной информации» от её «адаптации». Хотя термин «адаптация» применяется лишь в отношении программ для ЭВМ как объектов авторского права и не приложим к информации.

Со своей стороны, представители правоохранительных органов охотно приняли «на вооружение» этот подход, так как он позволяет как наказать «виновных» лиц, неподсудных (из-за установленного «порога» по стоимости) по статье 146, так и поднять показатели раскрываемости преступлений в области компьютерной информации. Практика вменения состава преступления по статьям 272 и 273 УК изначально распространилась в регионах, в настоящее же время она начала внедряться и в столице.

По мнению авторов настоящей статьи, во-первых, эта практика нарушает существующее законодательство Российской Федерации, криминализируя большинство пользователей ЭВМ в нашей стране (согласно данным международной организации Business Software Alliance, 87% установленного программного обеспечения в России – контрафактное). Во-вторых, такая практика предоставляет правообладателям дополнительные, изначально не предусмотренные законом возможности для защиты их прав. И тем самым сильно перекашивает баланс между интересами авторов, пользователей и общества в целом, в то время как именно баланс прав и является целью законодательства об интеллектуальной собственности.

Разумеется, утверждение о неправомерности применения статей 272 и 273 УК к случаям нарушения авторских прав на программы для ЭВМ нуждается в доказательствах его верности. Ниже мы попробуем проанализировать указанные статьи и область их применения и сформулировать необходимые доказательства.
Преступления в сфере компьютерной информации

Указанная глава появилась, вместе с Уголовным кодексом Российской Федерации, в 1996 году. Изначально, осуществить криминализацию «компьютерных преступлений» предполагалось посредством внесения ряда статей в Уголовный кодекс РСФСР [1], в частности:

    * статья 152-3. «Незаконное овладение программами для ЭВМ, файлами и базами данных»;
    * статья 152-4. «Фальсификация или уничтожение информации в автоматизированной системе»;
    * статья 152-5. «Незаконное проникновение в АИС, совершенное путем незаконного завладения парольно–ключевой информацией, нарушение порядка доступа или обхода механизмов программной защиты информации с целью ее несанкционированного копирования, изменения или уничтожения»;
    * статья 152-6. «Внесение или распространение «компьютерного вируса»;
    * статья 152-7. «Нарушение правил, обеспечивающих безопасность АИС»;
    * статья 152-8. «Промышленный шпионаж с использованием ЭВМ».

Однако переход к совершенно новому Уголовному кодексу стал причиной переработки указанных статей и их сведению к нынешним трём статьям 28-й главы УК.

По нашему мнению, указанное сокращение составов преступлений сказалось на «компьютерной» части уголовного закона отнюдь не лучшим образом. Первоначальный вариант, хотя и не идеальный, более соответствовал реальности и теоретическим положениям информационной безопасности, а также не давал возможности для смешения разных категорий правонарушений.

Современная же формулировка статей 28-й главы УК, по сути, была морально устаревшей уже в момент её принятия. И, к большому сожалению, за прошедшие 10 лет она ни разу не подвергалась пересмотру и уточнению. В существующем же виде использование не раскрытых в уголовном законе терминов «информация», «санкционирование», «доступ» часто позволяют необоснованно распространять действие указанных статей на области, явно не предусматривавшиеся законодателем.

Общий правовой анализ статей 272 и 273

Статья 272

Объект преступления. В комментариях [3, 4, 5] в качестве объекта преступления для статьи 272 указываются соответственно: «охраняемая законом компьютерная информация»; «права на информацию ее владельца и третьих лиц»; «право на неприкосновенность информации ее владельца и третьих лиц» и «материальные интересы потерпевшего».

Но сама по себе компьютерная информация не может считаться объектом преступления – из теории уголовного права известно, что объектом может быть только один из видов общественных отношений [12]. Правильнее сказать, что объектом являются отношения, связанные с компьютерной информацией. А именно, следующие: право лица на безопасное пользование своим компьютером и сетевым соединением, право владельца на доступ к своей информации в её неизменном виде.

Объективная сторона «выражается в: а) неправомерном доступе к охраняемой законом информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети; б) наступлении неблагоприятных последствий в виде уничтожения, блокирования, модификации, копирования информации, нарушения работы ЭВМ, их системы или сети; в) наличии причинной связи между неправомерным доступом и наступившими последствиями» [5].

Субъект преступления – «вменяемое физическое лицо, достигшее ко времени совершения преступления 16-летнего возраста» [4].

Субъективная сторона. В [3] указывается, что преступления, подпадающие под действие статьи 272, могут совершаться только с прямым умыслом, однако в [4] указывается и на возможность совершения подобных преступлений по неосторожности, а в [5] говорится не только о прямом, но и о косвенном умысле.

С учетом того, что информационные системы обладают высокой сложностью, и их функционирование зависит от огромного числа параметров, значение многих из которых пользователь не контролирует, следует признать, что неосторожность здесь неприменима. Сложность, слабая предсказуемость и фактическая недетерминированность современных компьютерных систем приводит к тому, что доступ к чужой информации и воздействие на неё происходит не то чтобы часто, но регулярно – в силу ошибок в программах и случайных факторов. Каждый специалист знает об этом и вынужден допускать возможность возникновения таких ошибок, застраховаться от которых невозможно.1 Поэтому включение в состав преступления варианта его совершения по неосторожности криминализировало бы всю повседневную работу любых ИТ-специалистов.

Таким образом, неправомерный доступ к охраняемой законом компьютерной информации может совершаться с прямым или косвенным умыслом.

Состав преступления является материальным и предполагает обязательное наступление одного из следующих последствий: уничтожение информации; блокирование информации; модификация информации; копирование информации; нарушение работы ЭВМ, системы ЭВМ или их сети.

[NEL]

часть 2

Статья 273

Объект преступления. В [4] в качестве объекта преступления называется «безопасность пользования интеллектуальными и вещественными средствами вычислительной техники», в [5] – «безопасность использования информационных ресурсов и электронно-вычислительной техники» и «материальные интересы потерпевших». Так как, с одной стороны, не вполне ясно, что такое «интеллектуальные и вещественные средства вычислительной техники», а, с другой стороны, в самой статье 273 ничего не говорится о «безопасности» и «материальных интересах потерпевших», с формулировками из вышеприведённых комментариев нельзя полностью согласиться. По нашему мнению, в данном контексте объектом преступления следует назвать общественные отношения по обеспечению корректной работы вычислительной техники в виде единственной ЭВМ, системы ЭВМ или их сети, то есть, право пользователя на безопасное пользование своим компьютером и сетевым соединением.

Объективная сторона преступления заключается в создании либо модификации одной или более программ для ЭВМ так, чтобы полученные в итоге программы заведомо приводили к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети. Преступлением считается и виновное использование и/или распространение подобных вредоносных программ.

Субъект преступления – «вменяемое физическое лицо, достигшее ко времени совершения преступления 16-летнего возраста» [4].

Субъективная сторона преступления характеризуется только прямым умыслом [3, 4, 5], однако часть 2 статьи 273 предусматривает наступление тяжких последствий по неосторожности [3]. На практике распространение и использование вредоносных программ не всегда считается преступлением – исключением является деятельность разработчиков антивирусных средств, средств обнаружения и предотвращения атак, а также академических исследователей вредоносных программ. Все эти лица действуют, имея умысел на нечто противоположное – на предотвращение распространения таких программ.

Состав преступления является формальным и не требует для квалификации наступления каких-либо последствий.

Следует учитывать, что обсуждаемые комментарии [3, 4, 5] создавались сразу после принятия нового УК. В то время не было никакой практики применения составов из 28 главы, которые отсутствовали в прежнем кодексе. Следовательно, комментарии писались, исходя из общих соображений, без учёта сомнений и неоднозначностей в толковании, которые появились лишь позже. И уж конечно, без учёта такого явления, как технические средства защиты авторских прав, которые начали применяться лишь в последние годы.
Нечёткость определения вредоносной программы

В Уголовном кодексе РФ вредоносная программа определена как «заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети»

Три подчёркнутых термина в этом определении сразу обращают на себя внимание специалиста и вызывают ряд вопросов, чёткого ответа на которые в законе не содержится.

1. «Заведомо» Для какого именно субъекта последствия применения программы должны быть «заведомые», то есть, заранее ведомые [2]? Варианты такие: (а) для создателя этой программы; (б) для пользователя этой программы, то есть, для запускающего её лица; (в) для владельца ЭВМ, на которой запускается эта программа; (г) для обладателя копируемой, модифицируемой, уничтожаемой информации; (д) для правообладателя соответствующего произведения.

2. «Информация» Определение информации дано в законе «Об информации...» [15]: «информация – сведения (сообщения, данные) независимо от формы их представления». Должно ли здесь применяться именно это определение, либо иное – более широкое или более узкое? Любая ли информация имеется в виду или только «внешняя» по отношению к рассматриваемой программе? Охватываются ли временные технологические копии обрабатываемой информации, или имеется в виду лишь информация, доступная для человека?

3. «Несанкционированное» Кто именно должен санкционировать указанные действия над информацией, чтобы они не считались несанкционированными? Варианты: (а) пользователь программы; (б) владелец ЭВМ или носителя информации; (в) обладатель обрабатываемой информации; (г) обладатель исключительных прав на объекты интеллектуальной собственности, представляемые обрабатываемой информацией.2

Авторы предлагают следующее толкование спорных терминов.

1. «Заведомо»

Вредоносность, очевидно, есть свойство самой программы, не зависящее от знаний о ней каких-либо лиц. В противном случае получится, что действия лица квалифицируются в зависимости от свойства программы, которое, в свою очередь, зависит от действий этого же лица.

То есть, вредоносность программы – это её объективное свойство. Следовательно, слово «заведомо» в обсуждаемом определении надо трактовать как «хорошо известно», «несомненно» [6], «определённо», «неслучайно», «в силу свойств самой программы». То есть, вредные последствия применения такой программы должны неизбежно следовать из её устройства, а не быть случайным или побочным эффектом или результатом нецелевого использования.

Все несанкционированные действия должны выполняться вредоносной программой только в автоматическом режиме (независимо от воли и действий оператора ЭВМ, но заведомо для автора). Только при этом условии можно отделить вредоносные от обычных программ, выполняющих аналогичные действия с информацией, но по команде пользователя.

В формулировке статьи 273 УК РФ слово «заведомо» совершенно четко и однозначно связано с процессом создания программ для ЭВМ или внесения изменений в существующие программы [11], что полностью соответствует техническому пониманию сущности вредоносных программ. Многие некорректные трактовки статьи 273 УК РФ строятся так, будто она звучит как «распространение программ для ЭВМ, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети…», а не «создание программ для ЭВМ или внесение изменений в существующие программы…». Подобные трактовки являются спекулятивными, но, к сожалению, остаются весьма популярными среди представителей правоохранительных органов.

2. «Информация»

Как в комментариях к Кодексу, так и в материалах судебных дел для разъяснения не раскрытых в УК терминов принято обращаться к гражданскому законодательству или даже к нормативно-техническим документам. Полагая это общепринятой практикой, примем, что при трактовке статей 272 и 273 УК РФ необходимо пользоваться определениями ФЗ «Об информации...», так как именно этот закон «регулирует отношения, возникающие при… обеспечении защиты информации» (п. 3 части 1, ст. 1 ФЗ). Так как определение информации в этом законе носит весьма общий характер, следует сделать вывод, что определение вредоносной программы охватывает все виды информации. Более того, в статье 273 говорится не о «компьютерной информации», как в статье 272, а об информации вообще. Таким образом, программа для ЭВМ, «заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации», скажем, на бумажном носителе (например, вычеркивая часть слов при распечатке текста на принтере, как это делает система защиты документов формата PDF) также будет признана вредоносной.

3. «Несанкционированное»

Кто может санкционировать действия над информацией? Согласно закону «Об информации…», право осуществлять различные действия над информацией и разрешать осуществление таких действий принадлежит обладателю этой информации (ч. 3 ст. 6). Следовательно, санкция на модификацию, копирование, уничтожение и блокирование информации должна исходить от обладателя информации.

Кроме этого, в статье УК говорится и о нарушении работы ЭВМ, системы ЭВМ или их сети. Не вполне понятно, относится ли слово «несанкционированное» к далее перечисленным действиям «нарушение работы ЭВМ...». Бывает ли нарушение работы санкционированным? В принципе, бывает. Тогда кто может санкционировать нарушение работы ЭВМ? В силу ч. 6 ст. 13 [15], такими правами наделён оператор информационной системы (ибо ЭВМ, система ЭВМ, сеть ЭВМ – это всё информационная система в терминах указанного закона).

Таким образом, уничтожение, блокирование, модификация либо копирование информации являются несанкционированными, если на их осуществление нет разрешения обладателя обрабатываемой информации, а нарушение работы ЭВМ, системы ЭВМ или их сети являются несанкционированными, если на их осуществление нет разрешения оператора информационной системы. Как ясно видно, в числе субъектов, санкционирующих действия с информацией, ЭВМ, системой ЭВМ или их сетью, никаких правообладателей объектов интеллектуальной собственности нет.

Но давайте, всё-таки, предположим, что правообладатель находится в числе субъектов, могущих санкционировать действия над информацией. Из этого вытекает, что вредоносность не есть имманентное свойство самой программы, а зависит от обстоятельств. Ведь действие без санкции со стороны обладателя информации или оператора информационной системы (пользователя) – это конструктивная особенность программы. Она не запрашивает в диалоговом режиме согласия на проводимые операции либо запускается скрытно от пользователя либо замаскирована под программу другого типа. Это всё признаки самой программы, выявляемые в ходе компьютерно-технической экспертизы. Отсутствие же санкции правообладателя – это не свойство программы, а часть отношений между ним и пользователем. Правообладатель может дать или не дать разрешение, программа же от этого не изменится. Программа «не знает» об условиях договора между пользователем и правообладателем.

Более того, законодательством предусмотрены случаи, когда разрешения (санкции) правообладателя не требуется для использования произведения. То есть, санкции нет, а действия правомерные. Например, исправление явных ошибок в компьютерной программе, или её адаптация. В отношении же обладателя информации или оператора информационной системы таких случаев не бывает. Там связь однозначная: есть санкция – правомерно, нет санкции – неправомерно.

То есть, если предположить, что правообладатель входит в число дающих «санкцию» на действия с информацией, то одна и та же программа будет вредоносной и не вредоносной в разных случаях. Как же тогда эксперт сможет оценить её? Вредоносность – технический факт. А сделанное предположение превратило бы его в факт юридический, судить о котором эксперт не уполномочен [8]. Мы пришли к противоречию. В этих условиях следует признать, что правообладатель объекта интеллектуальной собственности не вправе санкционировать действия с информацией.

Таким образом, авторы предлагают следующее разъяснение термина «вредоносная программа».

Вредоносной следует считать программу для ЭВМ, объективным свойством которой является её способность осуществлять неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или неразрешённые оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причём, те и другие действия – без участия и без предварительного уведомления вышеуказанных субъектов.

Данное разъяснение ни в чём не противоречит формулировке УК и положениям закона «Об информации...» и в то же время снимает упомянутые выше неясности в толковании применяемых терминов.

Примечательно, что самостоятельно выработанная авторами статьи позиция по трактовке вредоносности программ во многом совпала с мнением, высказанным в [4]: «Вредоносность или полезность соответствующих программ для ЭВМ определяется не в зависимости от их назначения, способности уничтожать, блокировать, модифицировать, копировать информацию (это – вполне типичные функции абсолютно легальных программ), а в связи с тем, предполагает ли их действие, во-первых, предварительное уведомление собственника компьютерной информации или другого добросовестного пользователя о характере действия программы, а во-вторых, получение его согласия (санкции) на реализацию программой своего назначения. Нарушение одного из этих требований делает программу для ЭВМ вредоносной».

Аналогичная позиция высказывается и в [5]: «В качестве наиболее важных особенностей подобных компьютерных программ принято выделять несанкционированность их действия и способность уничтожить, блокировать, копировать или модифицировать информацию… Несанкционированность вредоносной программы означает, что ее запись, хранение в ЭВМ или на машинном носителе и последующая активизация происходят помимо воли правомерного владельца информационного ресурса. Это проявляется в отсутствии предварительного оповещения пользователя о появлении вредоносной программы и последующем игнорировании его возможного запрета на действие такой программы».
Отделение защиты информации от охраны авторских прав

В законе «Об информации...» определяются термины «информация» и «обладатель информации» («владелец информации» по старой редакции закона), но в этом законе ничего не говорится о произведениях и правообладателях. Более того, здесь же прямо указывается, что положения закона «не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации» (ч. 2 ст. 1) [15]. Следовательно, определяемый этим законом термин «информация» не может применяться к отношениям с интеллектуальной собственностью.

В законе «Об авторском праве...», напротив, не используются термины «информация» и «обладатель информации». Вместо этого там говорится о «произведении» и «правообладателе». Также, в этом законе говорится, что авторское право не распространяется на «сообщения о событиях и фактах, имеющие информационный характер» [13].

То есть, законодатель намеренно разделяет различные виды информационных отношений – разделяет их и при помощи терминологии, и иными способами. В одном случае объект регулирования именуется «информацией», а в другом случае «произведением».

Программа для ЭВМ является произведением. И одновременно она является компьютерной информацией. Эти две характеристики применяются при разных общественных отношениях, которые, регулируются разными нормативными актами и, как это указано, не пересекаются друг с другом. Программа-произведение охраняется законом, и программа-информация охраняется законом, но другим. Но при анализе одного вида охраны недопустимо переносить выводы на другой вид охраны. Одно и то же физическое лицо может являться автором и обладать авторскими правами. Одновременно то же лицо может являться потребителем и обладать соответствующими правами потребителя. Однако недопустимо при нарушении авторских прав применять санкции за нарушение прав потребителя и наоборот, хотя лицо – одно и то же в обоих правоотношениях.

Для окончательного разделения понятий «информация» и «произведение» законодатель ввёл в закон «Об авторском праве...» статью 48.1, говорящую о технических средствах защиты авторских прав (ТСЗАП) и соответствующих нарушениях. Понятно, что внесение этих положений было бы бессмысленно, если бы преодоление ТСЗАП являлось бы «доступом к информации», а средства такого преодоления – вредоносными программами.

В главе 28 УК, как и в законе «Об информации…» используется термин «информация», но отсутствуют термины «произведение» и «правообладатель». В статье 146 УК, как и в законе «Об авторском праве…», напротив, не употребл@ются термины «информация» и «обладатель информации», так как они не предназначены для описания правоотношений, связанных с интеллектуальной собственностью.

Таким образом, отношения, возникающие при обеспечении защиты информации, существуют независимо от отношений, возникающих при правовой охране результатов интеллектуальной деятельности.

Как известно [12], статьи в особенной части УК сгруппированы в главы по признакам родового объекта преступления. Объектом преступления во всех составах 28 главы УК (ст. 272-274) являются общественные отношения, связанные с безопасным использованием информационных систем. Не компьютерная информация как таковая, а именно отношения. Как неправомерный доступ, так и использование вредоносных программ посягают не на компьютерную информацию как таковую, а на интересы пользователя (оператора, в терминах закона «Об информации...») и владельца информационных систем. Следовательно, санкция именно этих лиц имеет значение для квалификации деяния.

Объектом преступления, предусмотренного статьёй 146 УК, являются интересы правообладателя. Следовательно, санкция правообладателя имеет значение для квалификации деяния по этой статье.

Как легко видеть, для рассматриваемых составов не совпадают объекты преступления. Как следствие, не совпадают и лица, уполномоченные давать санкцию на соответствующие действия (например, модификацию компьютерной информации и воспроизведение произведения).

Главная ошибка в обсуждаемой практике состоит в том, что (то ли намеренно, то ли из-за похожести терминов) при трактовке статей 272, 273 УК РФ подставляются иные общественные отношения – совсем не те, что являются объектом преступления.

Кроме того, если предположить, что доступ к информации санкционируется не её обладателем, а правообладателем объекта интеллектуальной собственности (что требуется признать, чтобы распространить действия статей 272 и 273 УК РФ на объекты авторского права), то следует сделать однозначный вывод о том, что на информацию как таковую распространяется авторское право. А это уже явно противоречит как упомянутым выше законам «Об авторском праве…» и «Об информации…», так и Конституции, гарантирующей гражданам свободу сбора и обмена информацией.
Применение статей 272 и 273 УК РФ по совокупности в делах о «взломе» программ

Нередко статьи 272 и 273 УК вменяются лицам, осуществившим преодоление технических средств защиты авторских прав (ТСЗАП), по совокупности. При этом в обвинении указывается, что под состав преступления, предусмотренный статьёй 273, подпадает использование «вредоносной программы», отключающей систему защиты, а под состав статьи 272 подпадает само отключение системы защиты, так как оно «является результатом неправомерного доступа к охраняемой законом компьютерной информации».

[NEL]

часть 3

Однако такое использование статей 272 и 273 приводит к логическому противоречию.

Если верно обвинение в деянии, соответствующем составу ч. 1 ст. 272, то тогда нельзя признать программу-«взломщик» вредоносной, так как отсутствует заведомость несанкционированного уничтожения, блокирования, модификации либо копирования информации, заложенная в эту программу для ЭВМ. Ведь «неправомерный доступ к компьютерной информации» происходит по умыслу того, кто этой программой пользуется, а не по умыслу автора используемой программы.

Если же верно обвинение в деянии, соответствующем составу ч. 1 ст. 273, то несанкционированное уничтожение, блокирование, модификация либо копирование информации, происходит в силу их заведомости, то есть, эти последствия заложены в программу для ЭВМ её автором и не зависят от воли пользователя. В таком случае лицо, использующее вредоносную программу, не виновно в неправомерном доступе к компьютерной информации, а виновно лишь в использовании вредоносного программного обеспечения.

Также, здесь, скорее всего, можно сослаться и на ч. 2 ст. 6 УК РФ, согласно которой «никто не может нести уголовную ответственность дважды за одно и то же преступление».

В то же время, составы статей 272 и 273 не являются взаимоисключающими вообще. Разумеется, злоумышленник может сперва атаковать систему, осуществив к ней неправомерный доступ, а потом запустить в неё вирус или, наоборот, сперва запустить в систему вредоносную программу, которая даст возможность осуществить неправомерный доступ, и, затем, «взломать» систему. В указанных случаях никаких противоречий при совокупном вменении обеих стаей не возникнет. Однако в описанном выше контексте, составы статей исключают возможность их совместного применения.

Технические средства защиты авторских прав

Средства преодоления технических средств защиты авторских прав (ТСЗАП) включают в себя почти три десятка классов программ для ЭВМ [9]. Практически все они относятся к обычному пользовательскому или системному программному обеспечению. В контексте настоящей статьи мы рассмотрим только «средства поиска и замены текстовых и двоичных последовательностей», «средства редактирования "ресурсов" объектных модулей», «средства загрузки объектных модулей и/или их динамической модификации в ОЗУ» и «программы эмуляции аппаратных средств».

Первые три класса программ позволяют вносить изменения в двоичный код программ для ЭВМ (в том числе, и с целью преодоления ТСЗАП), записанных в оперативной или внешней памяти ЭВМ. Большая их часть работает в режиме диалога с пользователем, либо требует предварительной настройки или предоставления необходимых дополнительных данных. Указанные программы загружаются для исполнения процессором только самим пользователем и работают в соответствии с его командами, предоставленными данными или выполненными им настройками. Таким образом, любые действия, осуществляемые этими программами с информацией, являются санкционированными оператором информационной системы, так как выполняются по его воле. При этом никак нельзя говорить о том, что подобные программы заведомо приводят к каким бы то ни было последствиям, так как все осуществляемые действия с компьютерной информацией полностью зависят от пользователя, управляющего программой.

Вместе с тем, есть генераторы специализированных программ для ЭВМ. Сгенерированные ими программы в соответствии с заранее заданными настройками выполняют модификацию единственного чётко определённого файла (как правило, он идентифицируется по имени). Такую программу может сгенерировать (то есть, настроить) один пользователь, а использовать – совсем другой. Таким образом, подобная программа, действительно, заведомо приводит к определённым действиям с компьютерной информацией. В то же время, этого ещё не достаточно для признания таких программ вредоносными, так как указанные действия санкционированы пользователем, загружающим программу в оперативную память для исполнения процессором. Предполагается, что пользователю известно предназначение подобных программ и результат их работы. Если это так, ответственность за последствия запуска программы несёт пользователь, а не автор программы (то есть, «вредоносным» в такой ситуации будет действие пользователя, а не программа сама по себе).

Что касается программ эмуляции аппаратных средств с целью обхода ТСЗАП, они применяются для выполнения (подмены) функций электронных ключей защиты, ключевых дискет или защищённых от копирования дисков. Программы этого класса реализованы в виде системных драйверов, их применение не предусматривает (за редкими исключениями) никаких действий с кодом защищённой программы для ЭВМ. Оператор информационной системы вправе изменять конфигурацию операционной системы своей ЭВМ по своему усмотрению, в частности, устанавливать, удалять и заменять одни системные драйверы другими. Если не признавать за ним такого права, будут считаться незаконными действия сразу всех операторов информационных систем.
Отделение средств преодоления ТСЗАП от вредоносных программ

С технической точки зрения, средства преодоления технических средств защиты авторских прав выполняют функцию, прямо противоположную выполняемой вредоносными программами. Деактивируя защиту от копирования или от запуска, эти средства превращают неработоспособные программы для ЭВМ в работоспособные. Целью же вредоносных программ является обратная операция – преобразование работоспособных программ в неработоспособные или вредоносные. В этом смысле ТСЗАП намного ближе ко вредоносным программам (кстати говоря, часто они используют технологии, впервые реализованные именно в вирусах).

Таким образом, признать средства преодоления технических средств защиты авторских прав вредоносными программами никак нельзя.

Технически возможно «скрестить» первые со вторыми и написать компьютерный вирус, который, распространяясь, будет вопреки воле пользователя модифицировать установленные в системе программы для ЭВМ таким образом, что используемые в них технические средства защиты авторских прав будут отключаться. Лишь в этом случае такой вирус можно будет признать вредоносной программой, но только лишь по той причине, что указанные действия он будет выполнять без санкции оператора информационной системы.

Ещё одно доказательство того, что программы, позволяющие отключить ТСЗАП, не могут относиться ко вредоносным, существует на уровне делового оборота. Средства модификации программного кода и эмуляции аппаратных средств официально распространяются на мировом рынке программного обеспечения многими компаниями, и никто не пытается привлекать их представителей к уголовной ответственности за создание и распространение вредоносного программного обеспечения.

Даже сама компания «1С» разрешает своим легальным пользователям отключать технические средства защиты авторских прав на продукты линейки «1С:Предприятие» при помощи программы «Sable» [7], которую сама же объявила «вредоносной».

Ниже приведена цитата из указанной статьи.

А.Н.Яковлев: «...в течение двух последних лет на специализированных семинарах юристы фирмы "1С" доводят до сведения заинтересованных лиц, что фирма разрешает пользователям, легально приобретающим программы "1С", использовать программу "Sable". Эта программа позволяет работать с программой "1С" без электронного ключа аппаратной защиты, используется всеми нелегальными пользователями программы "1С", за что ее разработчик Сергей Давыдюк в 2005 году был приговорен судом к двум годам лишения свободы условно. Несмотря на это, использование программы "Sable" легальными пользователями программы "1С" расценивается фирмой "1С" как адаптация программы "1С"»

Из этого факта, кстати, следует одно из двух: либо программа «Sable» не является вредоносной (т.к. одна и та же программа для ЭВМ не может быть в одной ситуации вредоносной, а в другой – нет), либо компания «1С» поощряет использование вредоносной программы, а, следовательно, отдельные её сотрудники могут быть привлечены к уголовной ответственности за соучастие.

Аргументы за отнесение средств преодоления ТСЗАП ко вредоносным программам и их критика

Одним из аргументов тех, кто относит программные средства преодоления ТСЗАП ко вредоносным программам, является то, что такие средства приводят к модификации компьютерной информации, которая не санкционирована правообладателем. А если она не санкционирована правообладателем, значит, она «несанкционированная». Логическая ошибка здесь состоит в применении «правообладателя» к «информации». Как указывалось выше, это термины из различных видов отношений. У «информации» бывает лишь «обладатель». А «правообладатель» бывает лишь у «произведения». Это всё равно, что путать интеллектуальную собственность с собственностью вещной – непростительно для юриста.

Другой аргумент наших оппонентов опровергнуть простой логикой не получится. Аргумент состоит в том, что в каждом конкретном уголовном деле эксперт признавал то или иное средство преодоления ТСЗАП вредоносной программой. Опровергнуть же заключение эксперта может лишь другой эксперт, да и то лишь, если у суда появятся сомнения.

Против такого можно спорить лишь в каждом конкретном случае. Авторы готовы это делать и делали неоднократно. В распоряжении авторов имеются материалы множества уголовных дел описанного типа с весьма спорными заключениями экспертов. Чаще всего такие спорные экспертизы проводились в организациях, тесно связанных с правообладателями.

В одних случаях экспертиза, сделавшая вывод о вредоносности, не была компьютерно-технической. Эксперты называют экспертизу «автороведческой», «криминалистической» и даже просто «экспертизой». Но вывод о свойствах программы для ЭВМ может сделать только компьютерно-техническая (программно-техническая) экспертиза. Автороведческая экспертиза такого вывода сделать не может. Настоящих экспертов по вредоносным программам, то есть, специалистов из ЗАО «Лаборатории Касперского» и ООО «Санкт-Петербургская антивирусная лаборатория Данилова» (товарный знак «Доктор Веб») к подобным экспертизам почему-то не привлекают.

В других случаях утверждение о вредоносности программы содержалось уже в формулировке вопросов, поставленных следователем перед экспертом. Понятно, что следователь не может вместо эксперта решать, является ли программа вредоносной. Все такие решения являются неправомерными.

В некоторых случаях и вопросы поставлены корректно, и эксперт формально соответствовал требованиям. Однако вывод эксперта «представленная программа является вредоносной, поскольку приводит к несанкционированной модификации информации» был попросту неверным в силу высказанных ранее аргументов – указанную модификацию санкционирует пользователь (оператор ИС).

Есть даже почти анекдотический прецедент, когда эксперт признал вредоносной программой генератор ключей активации. Такая программа вообще никакой информации не изменяет, не копирует и, тем более, не уничтожает. Генератор из неких входных данных, вводимых пользователем, вычисляет некие выходные данные. Из трёх обязательных признаков вредоносной программы (заведомость, изменение информации и отсутствие санкции) генератор ключей не обладает ни одним.

Ещё один аргумент наших оппонентов состоит в том, что одна и та же программа может являться вредоносной или не являться таковой в зависимости от способа её использования. То есть, если у подозреваемого был умысел на уничтожение, модификацию и т.д. информации, то программа является «заведомо приводящей к…», то есть, вредоносной. Указанная логика очень быстро приводит к противоречию. Как известно, подавляющее большинство программ имеют штатные функции для уничтожения и (или) модификации тех или иных данных. Следуя логике наших оппонентов, практически любая существующая программа для ЭВМ будет признана вредоносной при соответствующих условиях её использования. А как же ответственность за создание вредоносных программ? Программируя функцию стирания файла, автор программы знал, что её использование «заведомо приводит» к уничтожению информации, в том числе, охраняемой законом. Следовательно, почти все авторы существующих на сегодняшний день программ для ЭВМ могут (неожиданно для самих себя) стать создателями вредоносной программы.

Кроме того, если допустить справедливость вышеуказанного утверждения, то вредоносность программы не может устанавливаться в ходе экспертизы. Ведь эксперт не может оценить знания и намерения подозреваемого в конкретных условиях применения программы.

C прецедентами уголовных дел обсуждаемой категории можно ознакомиться на веб-странице.
Выводы

Проведённый выше анализ и предъявленные доказательства верности позиции авторов позволяют говорить о том, что сложившаяся на сегодняшний день практика, допускающая привлечение к уголовной ответственности по статьям 272 и 273 УК за деяния, заключающиеся в нарушении авторских прав на программы для ЭВМ, не соответствует закону. Указанные статьи уголовного закона ошибочно применяются к правоотношениям, не входящим в сферу действия 28-й главы УК. Фактически, люди, осуждённые по этим статьям, невиновны в неправомерном доступе к компьютерной информации или использовании вредоносных программ для ЭВМ. Следовательно, можно даже поднимать вопрос о фактах привлечения к уголовной ответственности заведомо невиновных лиц.

Действия представителей правоохранительных органов можно объяснить недостаточным уровнем их «компьютерной грамотности», в то время как упрекнуть в этом юристов компаний-правообладателей нельзя. Следовательно, существует принципиальная возможность подачи индивидуальных или коллективных исков от имени осужденных по статьям 272 и 273 «пиратов» о возмещении нанесённого им материального и морального ущерба.

Что касается мер по исправлению сложившейся ситуации, можно предложить следующее:

    * инициировать рассмотрение одного из судебных дел с вменением состава преступления по статьям 272 и (или) 273 нарушителям авторских прав Верховным Судом РФ с целью получения соответствующего постановления;
    * инициировать публикацию Верховным Судом России разъяснений терминов, используемых в статьях 272 и 273 УК РФ;
    * проводить разъяснительную работу (например, посредством публикации соответствующих материалов) среди представителей правоохранительных органов, а также среди потенциальных нарушителей авторских прав (системных администраторов, программистов, «настройщиков» вычислительной техники и программного обеспечения);
    * разработать и ввести в действие новую редакцию 28-й главы УК, соответствующую текущей практике информационной безопасности и современному уровню техники (например, на базе уголовного законодательства развитых зарубежных стран).


Литература
   1. Богомолов М.В. Уголовная ответственность за неправомерный доступ к охраняемой законом компьютерной информации. – Красноярск, 2002, Гл. 2, §4.
   2. Даль В.И. Толковый словарь живого великорусского языка. – М., Государственное издательство иностранных и национальных словарей, 1955.
   3. Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий. / Отв. ред. В.М. Лебедев. – М.: «Юрайт-М», 2001. – 736 с.
   4. Комментарий к Уголовному кодексу Российской Федерации. Особенная часть / Под общей редакцией Генерального прокурора Российской Федерации, профессора Ю.И. Скуратова и Председателя Верховного Суда Российской Федерации В.М. Лебедева. – М., Издательская группа «ИНФРА-М-НОРМА», 1996. – 592 с.
   5. Комментарий к Уголовному кодексу Российской Федерации / Отв. ред. А.А. Чекалин; под ред. В.Т. Томина, B.C. Устинова, В.В. Сверчкова. – М.: «Юрайт-Издат», 2002. – 1015 с.
   6. Ожегов С.И. Словарь русского языка. – М., «Русский язык», 1978.
   7. "Охота" на контрафакт. // Газета «Компьютерные решения», № 84, 2006.
   8. Постановление Пленума Верховного Суда Российской Федерации № 15 от 19 июня 2006 г. «О вопросах, возникших у судов при рассмотрении гражданских дел, связанных с применением законодательства об авторском праве и смежных правах»; пункт 15.
   9. Середа С.А. Анализ средств преодоления систем защиты программного обеспечения // ИНФОРМОСТ: Радиоэлектроника и Телекоммуникации. - 2002. №; 4 (22).
  10. Середа С.А. Новые виды компьютерных злоупотреблений и 28 глава Уголовного кодекса Российской Федерации. / Тез. конф. «Право и Интернет», Москва, 2005.
  11. Уголовный Кодекс Российской Федерации от 13.06.1996 №; 63-ФЗ.
  12. Уголовное право: учебник. / Под. ред. проф. Л.Д. Гаухмана – Москва, «Юриспруденция», 1999.
  13. Федеральный закон «Об авторском праве и смежных правах» от 9 июля 1993 г. № 5351-I (с изменениями от 19 июля 1995 г., 20 июля 2004 г.)
  14. Федеральный закон «О правовой охране программ для электронных вычислительных машин и баз данных» от 23 сентября 1992 г. № 3523-1.  
  15. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ.
  16. Фролов А.В. Глоссарий терминов и определений по теме информационной безопасности. 2005.

[NEL]

Квалификация преступлений в сфере компьютерной информации

 

Статистика свидетельствует о тенденции устойчивого роста числа преступлений в сфере компьютерной информации на протяжении 2001 - 2005 гг.: в 2001 г. зарегистрировано 2001 преступление, в 2002 г. - 4050, в 2003 г. - 7541, в 2004 г. - 8739, в 2005 г. - 10216, в первом полугодии 2006 г. - 5998.
Количество зарегистрированных преступлений в сфере компьютерной информации за 2005 отчетный год в 5,1 раза превышает аналогичные показатели за 2001 г. при среднегодовом показателе роста в 155,34%. При этом число осужденных за тот же период возросло значительно меньше - со 109 до 260 человек, т.е. в 2,4 раза.
Исключение - преступления, связанные с нарушением правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК). Так, за период 2001 - 2005 гг. их было зарегистрировано 140, а осужден только 1 человек.
Как показывает практика, квалификация преступлений, совершаемых в сфере компьютерной информации, представляет определенные трудности. Особенно при оценке неправомерного доступа к компьютерной информации как самого распространенного общественно опасного деяния в рассматриваемой сфере (78,3% от общего числа "компьютерных" преступлений за 2001 г., 91,8% - за 2002 г., 90,7% - 2003 г., 88,2% - 2004 г., 79,3% - за первое полугодие 2005 г.).
Объективная сторона преступления, предусмотренного ст. 272 УК, выражается в "неправомерном доступе к охраняемой законом компьютерной информации". Представляется, что неправомерным доступом следует считать также и доступ к информационным ресурсам сети Интернет без согласия собственника или иного законного владельца информации, если это привело к уничтожению, блокированию, модификации или копированию информации, при обязательном условии отсутствия у лица права доступа к ней.
Однако, по нашему мнению, неправильно квалифицировать действия лица как неправомерный доступ к информации, если оно использует чужое сетевое имя и пароль доступа, поскольку основной массив информации в глобальной сети носит открытый характер, информация не запрещена к копированию. Таким образом, уголовно наказуемым данное деяние будет только при условии доступа к информации, охраняемой законом.
Например, нормы ст. 183 УК должны применяться, если виновный, имея умысел на собирание сведений, составляющих коммерческую тайну, при помощи незаконно полученных реквизитов доступа осуществляет копирование информации (баз данных, служебной документации и т.п.) с внутренней локальной сети коммерческой организации. При этом собирание сведений, составляющих коммерческую тайну, должно быть совершено с прямым умыслом, т.е. виновный знает, что его действия направлены на получение сведений, составляющих коммерческую тайну, что искомая информация заведомо обладает всеми признаками коммерческой тайны и желает собрать именно такую информацию. Для обоснования сказанного обратимся к примеру.
Органы предварительного следствия предъявили обвинение по ч. 1 ст. 272, ч. 1 ст. 273 и ч. 1 ст. 183 УК инженеру-электронщику завода "Электроприбор" К., в служебные обязанности которого входила настройка серверов, подключение рабочих станций к локальной сети и регистрация пользователей.
Согласно материалам дела, К. совершил неправомерный доступ к компьютерной информации, не имея соответствующего разрешения для работы с ней, посредством служебной ЭВМ, получив доступ к файловым системам в локальной сети, осуществил несанкционированное копирование на ЭВМ файлов, содержащих информацию об именах пользователей и паролях локальной сети завода.
К. имел право использовать только сетевые ресурсы, предоставленные ему для выполнения служебных обязанностей. Доступ же к базам данных отдела кадров, экономического отдела был ограничен четко определенным кругом лиц, к которому К. не относился, т.е. доступа на законных основаниях к указанной информации не имел.
Приговором суда К. был признан виновным по ч. 1 ст. 272 и ч. 1 ст. 273 УК. Суд счел ч. 1 ст. 183 вмененной излишне, исключил ее из обвинения и оправдал К. по ней за отсутствием в действиях состава преступления, поскольку умысел К. на сбор информации, составляющей коммерческую тайну, в ходе судебного следствия подтверждения не нашел.
Поскольку современные информационные системы характеризуются четким разграничением права доступа к содержащимся в них данным, то пользователи, имеющие правомерный доступ к компьютерной информации, подразделяются в зависимости от тех операций, которые им разрешено совершать, - от просмотра информации до права вносить изменения в массивы данных или даже непосредственно в программу. Некоторые данные доступны исключительно для определенной группы пользователей.
Неправомерный доступ к компьютерной информации должен вменяться в вину наряду с теми преступлениями, ради совершения которых такой доступ осуществляется. Поэтому, если лицо осуществляет неправомерный доступ к информации, а также собирание информации с целью ее последующего разглашения либо незаконного использования, его действия квалифицируются по совокупности ч. 1 ст. 272 и ч. 1 ст. 183 УК. В этой связи представляется целесообразным дополнить ст. 183, расширив перечень способов совершения данного преступления. В новой редакции ее ч. 1 могла бы выглядеть следующим образом:
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, путем перехвата в средствах связи, незаконного доступа к охраняемой законом компьютерной информации, использования специальных технических средств, а равно иным незаконным способом - наказывается...".
Квалифицировать содеянное по совокупности ст. ст. 272 и 165 УК необходимо, если лицо путем обмана, имея умысел на причинение имущественного ущерба собственнику или иному владельцу информации, совершило неправомерный доступ к охраняемой законом информации. Например, в целях безвозмездного использования под чужими реквизитами осуществляет несанкционированные подключения к сети Интернет, достоверно зная, что пользование ресурсами и услугами информационной сети платное.
Стоимость работы автоматически относится на счет легального пользователя, которому блокируется доступ к компьютерной информации, содержащейся в сети, так как работу в сети в одно и то же время с одними и теми же реквизитами может осуществлять лишь один пользователь. Кроме того, искажается информация в базе учетно-статистических данных абонентов (информация о времени начала и продолжительности работы), т.е. причиняется материальный ущерб.
Законный пользователь заключает договор с фирмой-поставщиком интернет-услуг, поэтому реквизиты доступа (сетевое имя и пароль) в силу договора, а также п. 5 Перечня сведений конфиденциального характера, утвержденного Указом Президента РФ от 6 марта 1997 г. N 188, и ст. 139 ГК РФ являются конфиденциальной информацией. Лицо, копируя реквизиты доступа законного пользователя, осуществляет тем самым неправомерный доступ к охраняемой законом компьютерной информации и причиняет собственнику материальный ущерб.
Если же виновный для того, чтобы осуществить неправомерный доступ, использует специальные программы, позволяющие копировать из сети Интернет файлы, содержащие пароли и логины законных пользователей, получая при этом реквизиты доступа в сеть, то содеянное следует квалифицировать также и по соответствующей части ст. 273 УК, предусматривающей уголовную ответственность за использование вредоносных программ для ЭВМ.
Однако, как показывает анализ судебной практики, существует несколько подходов к квалификации рассматриваемых деяний. Так, действия виновного, использующего вредоносную программу для "взлома" паролей доступа в сеть Интернет, а затем совершающего неправомерные выходы в сеть, судами квалифицируются по-разному. Чаще всего - по совокупности ст. ст. 272 и 165 УК (80% приговоров); в 20% случаев, кроме указанных преступлений, виновные осуждены еще и по соответствующим частям ст. ст. 273 и 183.
Действия лица, которое неправомерно работает в сети Интернет под незаконно полученными реквизитами, образуют идеальную совокупность преступлений в сфере компьютерной информации и преступлений против собственности, предусмотренных ст. ст. 272 и 165 УК. Однако квалификация действий виновного при незаконном доступе в сеть Интернет по ч. 1 ст. 165 УК, предусматривающей уголовную ответственность за причинение имущественного ущерба собственнику или иному владельцу путем обмана или злоупотребления доверием при отсутствии признаков хищения, весьма спорная. Например, в рамках одного уголовного дела одни и те же действия виновного квалифицированы судом как по ч. 1 ст. 272, так и по совокупности ч. 1 ст. 272 и ч. 1 ст. 165 УК. Встречаются и уголовные дела, где суд в описательно-мотивировочной части приговора наряду с обстоятельствами неправомерного доступа устанавливает также факт причинения имущественного ущерба собственнику информации, определяет его размер, а в резолютивной части действия подсудимого квалифицирует лишь по соответствующей части ст. 272 УК, фактически исключая ст. 165 из объема предъявленного органами предварительного следствия обвинения.
Таким образом, единообразия в судебно-следственной практике при квалификации неправомерного доступа к охраняемой законом компьютерной информации не прослеживается. В качестве одного из решений образовавшейся проблемы в правоприменении уголовного закона считаем целесообразным внести изменения в ст. 165 УК, изложив ее следующим образом:
"Статья 165. Причинение имущественного ущерба путем обмана, злоупотребления доверием или модификации охраняемой законом компьютерной информации
1. Причинение имущественного ущерба собственнику или иному владельцу имущества путем обмана или злоупотребления доверием либо путем модификации охраняемой законом компьютерной информации, при отсутствии признаков хищения или иного завладения чужим имуществом - наказывается...".
Необходимо отметить, что наиболее спорны в системе "компьютерных" преступлений нормы, содержащиеся в ст. 274 УК, предусматривающей ответственность за нарушение правил эксплуатации ЭВМ. Поскольку сегодня нет единых нормативных правил, определяющих порядок защиты информации, которые служили бы правовой основой для правильной квалификации содеянного, то она является "неработоспособной" (за 2001 - 2005 гг. осужден только 1 человек).
В качестве одного из решений предлагается определение примерного перечня правил эксплуатации ЭВМ, системы ЭВМ или их сети на уровне постановления Пленума Верховного Суда РФ. Полагаю, что подобные правила должны носить характер подзаконного нормативно-правового акта, издаваемого Правительством РФ, как, например, Правила дорожного движения РФ, которые утверждены Постановлением Правительства РФ.