Преступления в сфере компьютерной информации
Характеристика отдельных видов преступлений в сфере компьютерной информации
Неправомерный доступ к компьютерной информации (ст. 272 УК РФ)
Непосредственным объектом рассматриваемого состава преступления являются общественные отношения, обеспечивающие правомерный доступ, создание, хранение, модификацию, использование компьютерной информации.
Предмет данного преступления – компьютерная информация, под которой в соответствии с примечанием 1 к ст. 272 УК РФ понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
Объективная сторона неправомерного доступа к компьютерной информации представляет собой действие, состоящее в неправомерном доступе к охраняемой законом компьютерной информации (информации ограниченного доступа).
Под неправомерным доступом следует понимать незаконное либо не разрешенное собственником или иным ее законным владельцем использование возможности получения компьютерной информации. При этом под доступом понимается проникновение в ее источник с применением средств (вещественных и интеллектуальных) компьютерной техники, позволяющее использовать полученную информацию (копировать, модифицировать, блокировать либо уничтожать ее).
Для признания доступа неправомерным необходимо, чтобы информация была определенным образом защищена собственником, т.е. не находилась в общем доступе. Данный вывод следует из анализа положений п. 4 ст. 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», согласно которому обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить помимо прочего предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации.
Объективная сторона состава преступления, предусмотренного ст. 272 УК РФ, запрещает неправомерный доступ именно к компьютерной информации, а не к носителям, на которых информация содержится. Следовательно, физическое повреждение носителя информации, повлекшее уничтожение информации, хранящейся на нем, не образует состава данного преступления. При наличии оснований такое деяние может быть квалифицировано как умышленное либо неосторожное уничтожение или повреждение имущества.
По конструкции объективной стороны состав рассматриваемого преступления является материальным. Преступление считается оконченным с момента наступления любого из последствий, указанных в ст. 272 УК РФ: уничтожение, блокирование, модификация, копирование компьютерной информации.
Уничтожение информации – это полная физическая ликвидация данной информации либо ликвидация такой ее части, без которой идентифицировать информацию невозможно. В случае когда после действий виновного, направленных на уничтожение информации, остается возможность ее восстановления при помощи программных и технических средств, его действия следует рассматривать как покушение на уничтожение компьютерной информации (ч. 3 ст. 30 и ч. 1 ст. 272 УК РФ).
Уничтожением информации не является переименование файла, где она содержится, а также само по себе автоматическое «вытеснение» старых версий файлов последними по времени.
Блокирование информации – результат воздействия на компьютерную информацию или технику, последствием которого является невозможность в течение некоторого времени или постоянно осуществлять требуемые операции над компьютерной информацией полностью или в требуемом режиме, т.е. совершение действий, приводящих к ограничению или закрытию доступа к компьютерному оборудованию и находящимся на нем ресурсам, целенаправленное затруднение доступа законных пользователей к компьютерной информации, не связанное с ее уничтожением.
Модификация информации – любые не санкционированные владельцем информации ее изменения, которые препятствуют нормальному и своевременному использованию компьютерной информации. В соответствии со ст. 1280 ГК РФ установлены случаи легальной модификации программ (баз данных) лицами, правомерно владеющими этой информацией, в частности: модификация в виде исправления явных ошибок; модификация в виде внесения изменений в программы, базы данных для их функционирования на технических средствах пользователя; модификация в виде частной декомпиляции программы для достижения способности к взаимодействию с другими программами.
Представляется, что модификация информации, которая не влечет за собой изменение содержания документа или препятствий к его использованию (например, изменение кодировки, внешнего вида текста и пр.), не образует состав рассматриваемого преступления.
Копирование информации – создание копии имеющейся информации на другом носителе, т.е. перенос информации на обособленный носитель при сохранении неизменной первоначальной информации, воспроизведение информации в любой материальной форме – от руки, фотографированием текста с экрана дисплея, а также считывания информации путем любого перехвата информации и т.п. При этом ознакомление с охраняемой законом компьютерной информацией путем ее прочтения не является ее копированием, следовательно, такие действия не образуют состава преступления, предусмотренного ст. 272 УК РФ.
Субъект преступления общий – вменяемое лицо, достигшее шестнадцати лет. Квалифицированный состав преступления (ч. 3 ст. 272 УК РФ) предусматривает уголовную ответственность за действия, совершенные специальным субъектом – лицом с использованием своего служебного положения.
Субъективная сторона рассматриваемого преступления характеризуется умышленной формой вины.
Квалифицирующими признаками рассматриваемого состава преступления являются: причинение крупного ущерба (согласно примечанию 2 к ст. 272 УК РФ – ущерб, сумма которого превышает один миллион рублей), совершение деяния из корыстной заинтересованности (ч. 2 ст. 272 УК РФ); совершение деяния группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения (ч. 3 ст. 272 УК РФ); совершение деяния, если оно повлекло тяжкие последствия или создало угрозу их наступления (ч. 4 ст. 272 УК РФ).
Создание, использование и распространение вредоносных компьютерных программ (ст. 273 УК РФ)
Непосредственным объектом рассматриваемого состава преступления являются общественные отношения, обеспечивающие безопасность компьютерной информации.
Предмет данного преступления – вредоносная компьютерная программа или иная компьютерная информация. Исходя из легального определения программы для ЭВМ, которое содержится в ст. 1261 ГК РФ, вредоносную компьютерную программу можно определить как представленную в объективной форме совокупность данных и команд, предназначенных для функционирования компьютерного устройства с целью несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации. К вредоносным компьютерным программам относятся, в частности, компьютерные вирусы, троянские кони, логические бомбы, сетевые черви.
Под иной компьютерной информацией следует понимать, например, базы данных, файлы с командами, направленные на указанные выше цели.
Объективная сторона преступления характеризуется следующими альтернативными действиями: а) создание программ, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств ее защиты; б) распространение таких программ или машинных носителей с такими программами; в) использование таких программ или машинных носителей с ними.
Создание программ представляет собой целенаправленную деятельность для разработки, подготовки программ, способных несанкционированно уничтожать, блокировать, модифицировать, копировать компьютерную информацию или нейтрализовать средства защиты компьютерной информации. Следует иметь в виду, что ст. 273 УК РФ устанавливает ответственность за незаконные действия с компьютерными программами, записанными не только на машинных, но и на иных носителях, в том числе на бумаге. Это обусловлено тем, что процесс создания компьютерной программы может начаться с написания ее текста с последующим введением его в компьютер или без такового. С учетом этого, несмотря на то, что такой текст сам по себе не причиняет вреда, наличие исходных текстов вредоносных компьютерных программ уже является основанием для привлечения к ответственности по ст. 273 УК РФ. Однако использование вредоносной компьютерной программы без намерения ее использования в противоправных целях (например, для уничтожения собственной компьютерной информации) ненаказуемо.
В случае если действие вредоносной программы являлось способом совершения другого преступления, содеянное подлежит квалификации по совокупности преступлений. К примеру, согласно правовой позиции, изложенной в п. 20 постановления Пленума Верховного Суда РФ от 30.11.2017 № 48 «О судебной практике по делам о мошенничестве, присвоении и растрате», мошенничество в сфере компьютерной информации, совершенное посредством неправомерного доступа к компьютерной информации или посредством создания, использования и распространения вредоносных компьютерных программ, требует дополнительной квалификации по ст. 272, 273 или 274.1 УК РФ.
Под распространением таких программ понимается предоставление доступа к ним любому постороннему лицу любым из возможных способов, включая продажу, прокат, бесплатную рассылку по электронной сети, т.е. любые действия по предоставлению доступа к программе сетевым или иным способом.
Использование программы – это работа с программой, применение ее по назначению и иные действия по введению ее в хозяйственный оборот в изначальной или модифицированной форме.
Под использованием вредоносных программ понимается их применение (любым лицом), при котором активизируются их вредные свойства.
По конструкции объективной стороны состав рассматриваемого преступления является формальным. Преступление считается оконченным с момента создания, использования или распространения компьютерных программ или информации, создающих угрозу уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации вне зависимости от наступления указанных последствий.
Субъект преступления общий – вменяемое физическое лицо, достигшее шестнадцати лет.
Субъективная сторона рассматриваемого состава преступления характеризуется виной в виде прямого умысла. При этом виновный должен осознавать, что создаваемые или используемые им программы заведомо приведут к указанным в законе общественно опасным последствиям. Мотив и цель не влияют на квалификацию преступления.
Квалифицирующие признаки рассматриваемого состава преступления аналогичны квалифицирующим признакам неправомерного доступа к компьютерной информации (ст. 272 УК РФ).
Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274 УК РФ)
Непосредственный объект рассматриваемого преступления – общественные отношения, обеспечивающие безопасность в сфере эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также доступа к информационно-телекоммуникационным сетям.
Предметом данного преступления является компьютерная информация.
Объективная сторона преступления состоит в нарушении правил хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям.
Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации. Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах. При этом общих правил эксплуатации, распространяющихся на неограниченный круг пользователей глобальной сети Интернет, не существует.
К средствам хранения, обработки или передачи компьютерной информации можно отнести любые информационно-телекоммуникационные устройства, в которых хранится компьютерная информация (например, карты памяти, USB-флеш-накопители и т.п.).
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» определяет информационно-телекоммуникационную сеть как технологическую систему, предназначенную для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. Под данное определение попадает фактически любая компьютерная сеть, включая Интернет и локальные сети, как правило, создаваемые поставщиками услуг доступа в Интернет по территориальному принципу.
В соответствии с п. 10 ст. 2 Федерального закона от 07.07.2003 № 126-ФЗ «О связи» пользовательское оборудование (оконечное оборудование) – технические средства для передачи и (или) приема сигналов электросвязи по линиям связи, подключенные к абонентским линиям и находящиеся в пользовании абонентов или предназначенные для таких целей.
По конструкции объективной стороны состав рассматриваемого преступления является материальным. Преступление считается оконченным с момента наступления любого из последствий, указанных в ст. 274 УК РФ: уничтожение, блокирование, модификация, копирование компьютерной информации, крупный ущерб.
Субъект преступления – специальный. Им может быть лицо, которое в силу должностных обязанностей имеет доступ к средствам хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационным сетям и оконечному оборудованию, а также к информационнотелекоммуникационным сетям.
Субъективная сторона рассматриваемого состава преступления характеризуется виной как в форме умысла, так и неосторожности.
В ч. 2 ст. 274 УК РФ содержится один квалифицирующий признак – тяжкие последствия или создание угрозы их наступления.
Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК РФ)
Установление правового регулирования общественных отношений в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак (в связи с принятием Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации») обусловило и необходимость установления повышенной уголовно-правовой охраны данных отношений путем дополнения Уголовного кодекса РФ специальными составами преступлений.
Непосредственный объект рассматриваемых преступлений – общественные отношения, обеспечивающие безопасность критической информационной инфраструктуры, которая согласно п. 2 ст. 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» понимается как состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении нее компьютерных атак.
В свою очередь согласно п. 1, 6–8 названного Федерального закона:
- критическая информационная инфраструктура – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов (п. 6);
- объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры (п. 7);
- автоматизированная система управления – комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами (п. 1);
- субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей (п. 8).
В ст. 274.1 УК РФ закреплено три самостоятельных состава преступления, являющихся специальными по отношению к составам преступлений, закрепленных в ст. 272–274 УК РФ:
1. Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации (специальный состав по отношению к преступлению, предусмотренному ст. 273 УК РФ).
2. Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если он повлек причинение вреда критической информационной инфраструктуре Российской Федерации (специальный состав по отношению к преступлению, предусмотренному ст. 272 УК РФ).
3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационнотелекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, ин- формационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации (специальный состав по отношению к преступлению, предусмотренному ст. 274 УК РФ).
Характеристика всех элементов специальных составов преступлений совпадает с элементами рассмотренных ранее общих составов преступлений.