Преступления в сфере компьютерной информации
Общая характеристика компьютерных преступлений
Глава 28 "Преступления в сфере компьютерной информации" УК РФ включена в отечественное уголовное законодательство впервые. Необходимость этого решения законодателя объясняется тем, что вслед за распространением в странах Запада посягательств на сохранность информации и ее компьютерных носителей эта тенденция проявилась и в России. Указанные преступления нацелены на жизненно важные интересы личности, общества, государства, связанные с формированием и использованием автоматизированных информационных ресурсов, созданием, сбором, обработкой, накоплением, хранением, поиском, распространением информации; созданием и использованием информационных технологий и средств их обеспечения. Даже локальные посягательства на компьютерную информацию и ее носителей способны вызвать (с учетом места, которое занимает в социальной жизни эксплуатация компьютеров) хаос в финансово-банковских операциях, производстве, образовании, социальной помощи, обороне и т.д., огромные имущественные потери, нарушение конституционных прав.
Согласно международно-правовому определению к компьютерным преступлениям относятся любые деяния, незаконно затрагивающие автоматизированную обработку либо передачу данных.
Федеральный закон от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" дает ряд исходных определений, из которых вытекает, что: 1) информация (данные) - это любые сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления; 2) уголовным законом (как и законодательством вообще) защищается документированная информация, т.е.: а) закрепленная на материальном носителе, б) имеющая реквизиты, позволяющие установить источник получения и передачи; 3) применительно к компьютерной информации речь идет о самостоятельном машинном ее носителе (магнитная лента, магнитный или оптический диск и т.д.) либо о носителе в ЭВМ (жесткий магнитный диск), в ее оперативной памяти, в коммуникациях системы или сети. Указание Закона на способность информации к идентификации означает, что машинная информация, предназначенная для операций в условиях, не дающих возможность установить источник возникновения и передачи, уголовно-правовой защите не подлежит.
Работа с информацией (информационные процессы), охарактеризованная в международно-правовом определении как "обработка, или передача", требует более детализированной классификации ее видов. Уголовный закон, как и акты других отраслей права, защищает законные процессы сбора, обработки, накопления, хранения, поиска, распространения (передачи) информации.
Законность операций с информацией вообще и компьютерной в частности определяется: а) инициативой или согласием собственника или иного частного владельца информации; б) наличием законного допуска к осуществлению операций; в) соблюдением правовых предписаний об операциях с конфиденциальной информацией различных видов; г) соблюдением правовых требований эксплуатации компьютеров, их систем и сетей.
Закон об информации имеет специальную главу о защите информации и прав субъектов, участвующих в работе с ней. Целями защиты провозглашаются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение угроз безопасности личности, общества, государства, в том числе защита конституционных прав граждан, сохранение государственной, служебной, иной тайны, предусмотренной законом; обеспечение прав информационных процессов.
Способы защиты информации и прав субъектов работы с нею различаются "с учетом специфики правонарушений и нанесенного ущерба". Этот критерий использован и при определении границ уголовно-правового регулирования борьбы с преступлениями в сфере компьютерной информации. А именно установление уголовной ответственности предполагает материальные составы, связанные с наличием существенного или тяжкого вреда.
Отсутствие этого признака деяния влечет невозможность признания его преступлением и необходимость использования механизма защиты информации и прав субъекта в работе с нею через арбитражный суд, суд общей юрисдикции в соответствии с гражданским законодательством или законодательством об административных правонарушениях.
Глава о преступлениях в сфере компьютерной информации входит в раздел "Преступления против общественной безопасности и общественного порядка" УК РФ. Тем самым определяется и родовой объект составов преступлений, включенных в рассматриваемую главу.
Видовым объектом являются общественные отношения, нарушающие формирование и использование автоматизированных информационных ресурсов и средств их обеспечения. По самому своему характеру видовой объект является сложным. В него, в свою очередь, входят несколько объектов, охватывающих права и законные интересы: а) владельцев (в том числе собственников) и пользователей информации, компьютеров, их систем и сетей, средств обеспечения; б) физических и юридических лиц, сведения о которых имеются в автоматизированных информационных ресурсах (банках данных); в) общества и государства, в том числе интересы национальной безопасности. В частности, применительно к гражданам объектом посягательства могут быть здоровье (например, при нарушении правил эксплуатации ЭВМ), имущественные права, право на личную тайну и тайну сообщений, честь и достоинства личности.
Основные составы, сформулированные в ст. 272 - 274 УК РФ, предполагают наличие умысла.
Квалифицированные составы, связанные с созданием, использованием и распространением вредоносных программ или с нарушением правил эксплуатации ЭВМ (систем, сетей), предусматривают неосторожную форму вины в отношении тяжких последствий. Умысел же в отношении тяжких последствий влечет необходимость квалификации деяния по совокупности - по соответствующим статьям о компьютерных преступлениях, чтобы полно охарактеризовать способ совершения деяния и создать возможность для сложения наказания.
Отдельные виды преступлений в сфере компьютерной информации
Неправомерный доступ к компьютерной информации (ст. 272 УК РФ). Базовым понятием в данной норме является термин "доступ". Он взят из профессиональной терминологии; с точки зрения смысловой характеристики точнее было бы говорить о "проникновении". Имеется в виду неправомерное проникновение (вторжение) в охраняемую законом информацию, находящуюся в памяти ЭВМ, в машинном носителе либо циркулирующую по коммуникационным каналам в системе или сети ЭВМ. При определении непосредственного объекта и предмета посягательства важно помнить, что ЭВМ (компьютер) - это вычислительная машина, в которой математические, логические и иные операции осуществляются с очень высокой скоростью автоматическими устройствами, использующими взаимодействие элементарных электрических зарядов - электронов. Отсюда вытекает, что посягательство на информацию (схемы, записи, распечатки и т.д.), предназначенную для формирования компьютерной информации, но еще не перенесенную на машинном языке на носитель, не является преступлением в смысле ст. 272 УК РФ. Другое дело, что эти посягательства могут быть в зависимости от конкретных обстоятельств квалифицированы, например, как нарушение неприкосновенности частной жизни (ст. 137 УК РФ), нарушение авторских, изобретательских, патентных прав (ст. 146, 147 УК РФ), незаконное получение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст. 183 УК РФ), и др.
Неправомерный доступ будет иметь место в случаях, когда лицо, не являясь собственником или иным законным владельцем компьютерной информации, имеет право на работу с ней либо имеет доступ к работе с данным банком информации, но ограничено в объеме операций и вторгается в ту часть банка данных, которая для него закрыта.
Неправомерным проникновением к компьютерной информации будут действия лица, имеющего допуск к операциям соответствующего ранга, если доступ осуществлен с нарушением правил работы с данным компьютером, системой, сетью, обеспечивающими устройствами, например с отключением систем безопасности, с игнорированием физических условий, создавшихся в месте работы (например, высокой температуры), которые заведомо угрожают сохранности информации.
Объективная сторона преступления охватывает любой способ неправомерного проникновения к охраняемой законом компьютерной информации, который всегда связан с совершением определенных действий и может выражаться в проникновении в компьютерную систему путем: использования технических или программных средств, позволяющих преодолеть установленные системы защиты; незаконного использования паролей или кодов для проникновения в компьютер либо совершения иных действий в целях проникновения в систему или сеть под видом законного пользователя; хищения носителей информации при условии, что были приняты меры к их охране, если это деяние повлекло уничтожение или блокирование информации.
Закон указывает на следующие варианты действий виновного, которые повлекли: уничтожение, блокирование, модификацию, копирование информации, нарушение работы ЭВМ, их системы или сети.
Таким образом, неправомерный доступ - сложное понятие, включающее действия по: а) "физическому" проникновению, дающему возможность по своему усмотрению оперировать данным объемом компьютерной информации; б) несанкционированным операциям с компьютерной информацией.
Состав преступления - материальный. Для квалификации деяния как оконченного необходимо, чтобы наступило хотя бы одно из последствий, упомянутых в исчерпывающем перечне, который дается в ч. 1 данной статьи: уничтожение, блокирование, модификация, копирование информации либо нарушение работы с ней.
Уничтожение - это приведение информации в негодность; блокирование - исключение доступа законного пользователя к информации; модификация - внесение изменений в программы, базы данных; копирование - перенос информации на другой машинный носитель для ее последующего использования без согласия собственника или иного законного владельца; нарушение работы с информацией - длительное прекращение действий ЭВМ, их системы или сети, прекращение действия некоторых коммуникаций, сбои в выполнении команд и т.д. На применение рассматриваемой статьи распространяется положение ч. 2 ст. 14 УК РФ о том, что не является преступлением действие (бездействие), хотя формально и содержащее признаки какого-либо деяния, предусмотренного УК РФ, но в силу малозначительности не представляющее общественной опасности.
Субъективная сторона преступления предполагает обязательное наличие прямого или косвенного умысла. Необходимо устанавливать мотив и цель деяния. Они влияют не только на наказание, но и на решение вопроса о том, необходимо ли квалифицировать деяние по совокупности преступлений.
Рассматриваемая статья имеет не только основной, но и квалифицированный состав. Последний включает дополнительные признаки, связанные с совершением деяния группой по предварительному сговору или организованной группой либо лицом, использующим служебное положение, а равно имеющим доступ к ЭВМ, их системе или сети.
Понятие группы по предварительному сговору и организованной группы разъяснялось ранее.
Отметим лишь, что последнее понятие предполагает в данном случае и преступное сообщество.
Под использованием служебного положения законодатель имеет более узкий смысл этого понятия, когда должностное лицо (служащий) вправе беспрепятственно иметь доступ к компьютерной информации, ее носителям в силу своего служебного статуса. Говоря о наличии доступа, закон подразумевает лиц, которые имеют возможность находиться в соответствующем помещении и вступать в физический контакт с пультами управления ЭВМ, их системами и сетями, в силу того что их непосредственные трудовые обязанности связаны с обслуживанием компьютеров или поддержанием необходимых условий для их работы (операторы, охранники, уборщики и т.д.).
Субъектом рассматриваемых преступлений может быть любое лицо, достигшее шестнадцати лет.
Субъект квалифицированного состава - специальный.
Создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ). Под вредоносными программами понимаются те из них, которые специально созданы для нарушения нормального функционирования компьютерных систем и программ.
Программа для ЭВМ - это совокупность данных и команд на машинном языке, предназначенных для решения определенной задачи; алгоритм решения. Поэтому оконченным рассматриваемое преступление считается лишь с момента создания такой программы, которая может быть введена в ЭВМ. Предшествующие этапы разработки могут квалифицироваться как приготовление или покушение на преступление. Вредоносность программ определяется в ст. 273 УК РФ как способность несанкционированного уничтожения, блокирования, модификации, копирования информации, а также нарушения работы ЭВМ, их системы или сети. Это тот же "набор" последствий, который является частью объективной стороны деяния, описанного в ст. 272 УК РФ. Но там должны обязательно наступить эти последствия, а в преступлении, предусмотренном ст. 273 УК РФ, достаточно реальной угрозы их, создаваемой самим фактом наличия вредоносной программы.
Таким образом, понятие вредоносной программы, использованное уголовным законодательством, шире, нежели бытовое употребление понятия "компьютерный вирус". Законодатель имеет в виду вредоносные программы, связанные не только с полным или частичным уничтожением информации в банке данных, на который распространяется их действие, но и с копированием информации или созданием условий для такого копирования.
Непосредственным объектом создания, использования, распространения вредоносных программ являются общественные отношения, обеспечивающие неприкосновенность защищаемой законом информации, имущественные и иные права собственника и других законных владельцев информации, безопасность личности, общества и государства. В число предметов посягательства входят и носители компьютерной информации, могущие быть выведенными из строя.
Предметом преступления, как и применительно к ст. 272 УК РФ, является охраняемая законом компьютерная информация, находящаяся на машинном носителе, в ЭВМ, сети ЭВМ.
Объективную сторону преступления составляет факт создания программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящие к уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или носителей с такими программами.
Данный состав преступления формальный и не требует наступления каких-либо последствий.
Уголовная ответственность наступает в результате создания программы независимо от того, использовалась эта программа или нет.
Наличие исходных текстов вирусных программ является основанием для привлечения к ответственности.
Субъективная сторона преступления характеризуется прямым или косвенным умыслом. Часть 1 ст. 273 УК РФ может быть совершена только с прямым умыслом. Как и при других компьютерных преступлениях необходимо устанавливать мотив и цель. Они не обозначены в качестве признаков данного состава, но их знание необходимо не только для индивидуализации наказания, но и для квалификации деяний по совокупности, например как умышленное уничтожение или повреждение имущества, хулиганство, фальсификация доказательств и даже государственная измена или диверсия.
Часть 2 ст. 273 УК РФ в качестве квалифицирующего признака предусматривает наступление тяжких последствий по неосторожности. Если эти последствия наступили в результате неосторожной вины по отношению к ним, вопрос о квалификации по совокупности может встать в случаях, когда специальные составы, например ст. 247, 263 УК РФ, предусматривают возможность более строгого наказания виновного, нежели рассматриваемая статья. Если же по отношению к последствиям устанавливается хотя бы косвенный умысел, квалификация по совокупности, т.е. по ч. 1 ст. 273 и статьям УК РФ об ответственности за умышленное причинение тяжкого вреда правоохраняемым объектам, является обязательной.
Субъект рассматриваемого преступления - общий, лицо, достигшее шестнадцати лет. Достаточную распространенность имеет создание, использование, распространение вредоносных программ "вундеркиндами", не достигшими указанного возраста. Эти действия нельзя оставлять безнаказанными.
При доказанности умысла в отношении последствий необходимо рассматривать вопрос о квалификации содеянного по одной из статей, перечисленных в ч. 2 ст. 20 УК РФ, по которым ответственность наступает с четырнадцати лет, если характер последствий охватывается соответствующими статьями, например ч. 2 ст. 167 УК РФ - умышленное уничтожение или повреждение имущества, ч. 2 ст. 213 УК РФ - хулиганство и др. Если такая возможность отсутствует, необходимо применять меры воздействия, предусмотренные законодательством о комиссиях по делам несовершеннолетних.
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ).
Непосредственный объект рассматриваемого преступления - совокупность общественных отношений, обеспечивающих эксплуатацию ЭВМ, их систем или сети (включая подготовку к действию по обслуживанию после окончания действия) таким образом, что сохраняется их исправность и не создается угроз безопасности правоохраняемым объектам, в том числе компьютерной информации.
Объективная сторона преступления может реализовываться как действием, так и бездействием, направленным на нарушение правил эксплуатации ЭВМ, системы или сети, повлекших уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ при условии, что в результате этих действий был причинен существенный вред. Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь и доказано, что наступившие последствия являются результатом нарушения правил эксплуатации. Существенный вред устанавливается судом в каждом конкретном случае, исходя из обстоятельств дела, однако этот вред должен быть не менее значительным, чем тяжкие последствия.
Субъективная сторона преступления характеризуется прямым или косвенным умыслом, направленным на нарушение правил эксплуатации ЭВМ. В случае наступления тяжких последствий ответственность по данной статье наступает только в случае неосторожных действий.
Субъект рассматриваемого преступления специальный. Он определяется не только возрастом (шестнадцать лет), но и наличием у виновного доступа к ЭВМ, системе ЭВМ или их сети.