Вопросы юристу


Новые уголовно-правовые риски в условиях цифровизации

Положения гл. 28 УК РФ требуют корректировки для единообразия судебной практики

Новые уголовно-правовые риски в условиях цифровизации

Лебедев Илья
Адвокат АП г. Москвы, руководитель уголовной практики юридической группы «ПАРАДИГМА»

31 Октября 2022
Судебная практикаУголовное право и процесс

Внедрение цифровых технологий в различные сферы жизни и переход на новые модели бизнес-процессов и инструменты производства, основанные на информационных технологиях, позволяют в том числе существенно увеличить производительность труда. В то же время развитие цифровизации способствует и росту уголовно-правовых рисков.

Многие общественные отношения, охраняемые УК РФ, могут подвергаться преступному посягательству с помощью инструментов, предоставленных информационными технологиями. Рассмотрим составы преступлений, наиболее тесно связанные с цифровизацией, а именно – касающиеся хранения информации (гл. 28 УК):

  • неправомерный доступ к компьютерной информации (ст. 272);
  • нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274).

Диспозиция ч. 1 ст. 272 УК изложена следующим образом: «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации».

Объективная сторона состава преступления включает: действие, состоящее в неправомерном доступе к охраняемой законом компьютерной информации (информации ограниченного доступа); последствие в виде уничтожения, блокирования, модификации либо копирования информации и причинно-следственную связь между действием и любым из указанных последствий.

Понятие доступа к информации содержится в п. 6 ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации): «доступ к информации – возможность получения информации и ее использования»1. Однако в УК это понятие не уточнено.

Согласно прим. 1 к ст. 272 УК под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. Под блокированием следует понимать ограничение доступа к информации иным лицам без ее удаления; под модификацией – любое изменение информации; под копированием – создание копии информации на внешнем носителе или ином компьютере2.

Как указано в апелляционном определении Липецкого областного суда, объективную сторону состава преступления по ст. 272 УК составляет неправомерный доступ к охраняемой законом компьютерной информации. Под доступом к компьютерной информации понимается получение возможности ознакомиться и (или) воспользоваться такими данными. Доступ носит характер совершения определенных действий и может выражаться в проникновении в компьютерную систему с использованием специальных технических или программных средств, позволяющих преодолеть системы защиты, либо путем незаконного применения действующих паролей или кодов, либо совершении иных действий для проникновения в систему или сеть под видом законного пользователя.

Неправомерным признается доступ к компьютерной информации лица, не обладающего правами на получение и работу с данной информацией либо компьютерной системой, в отношении которых приняты специальные меры защиты, ограничивающие круг лиц, имеющих доступ к ней3.

Перечислим основания, по которым суды возвращают уголовные дела по статьям гл. 28 УК прокурору.

В частности, основанием для возвращения дела может послужить неправильное отображение в обвинительном заключении объективной стороны преступления. Например, Московский городской суд в апелляционном постановлении от 18 сентября 2017 г. № 10–15195/2017 согласился с выводом первой инстанции о том, что в описании события инкриминируемого обвиняемому неправомерного доступа к охраняемой законом компьютерной информации не указано, в чем именно выражена неправомерность его действий.

Согласно апелляционному постановлению Липецкого областного суда от 12 января 2021 г. по делу № 22-46/2021 основанием для возвращения дела прокурору стало отсутствие в обвинительном заключении указания, каким законом охраняется компьютерная информация, неправомерный доступ к которой вменен обвиняемому, что является безусловным основанием для возвращения дела. Также апелляция подчеркнула, что ссылка в постановлении о привлечении в качестве обвиняемого на Закон об информации обязательна.

Диспозиция ч. 1 ст. 274 УК ранее предусматривала ответственность за «нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред». В поправках к УК4 она изложена следующим образом: «Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб».

Основной объект преступления – общественные отношения, обеспечивающие безопасность в сфере компьютерной информации. Дополнительный объект преступления, повлекшего причинение существенного вреда, – общественные отношения, обеспечивающие в зависимости от характера последних иные значимые социальные ценности (жизнь человека, здоровье многих людей, собственную безопасность и т.п.).

Предметом данного вида преступления являются средства хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационные сети и оконечное5 оборудование.

Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации. Эти правила должны устанавливаться правомочным лицом. Общих правил эксплуатации, распространяющихся на неограниченный круг пользователей сети Интернет, нет6.

Объективная сторона преступления довольно подробно изложена в судебной практике.

Так, в одном из постановлений суд описывает объективную сторону как умысел на нарушение правил эксплуатации средств хранения, передачи охраняемой компьютерной информации, повлекшее ее копирование лицом, находящимся на своем рабочем месте, «предоставленном ООО <…>, расположенном по адресу: <...> используя средства авторизации (логин и пароль), предоставленные ООО <…> и имея, в силу исполняемых обязанностей, доступ к информационным носителям, на которых содержится охраняемая компьютерная информация, и действуя в нарушение Федерального закона "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г. № 149-ФЗ, ст. 1225 ГК РФ "Охраняемые результаты интеллектуальной деятельности и средства индивидуализации", Указа Президента Российской Федерации от 6 марта 1997 г. № 188 "Перечень сведений конфиденциального характера", соглашения о сохранении служебной и коммерческой тайны, соглашения о конфиденциальности для сотрудников ООО <…>, а также должностной инструкции по должности ведущий системный администратор <…> скопировал на USB – носитель информацию из базы данных ООО <…>, а именно: не менее 40 000 записей, содержащих не прошедших проверку имен, фамилий, никнеймов (имена, которые используются при регистрации на интернет-сайтах), а также адресов электронной почты»7.

Сведения, содержащиеся в судебной практике, позволяют убедиться в справедливости вывода Генпрокуратуры о том, что к правилам эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правилам доступа к сетям относятся не только нормативные правовые акты, изданные уполномоченными госорганами с соблюдением регулируемой законом процедуры, но и локальные НПА, принятые правомочным лицом, в распоряжении которого находятся средства хранения, обработки или передачи информации.

Как следует из ст. 274 УК, для признания нарушения правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к сетям, повлекшим уничтожение, блокирование, модификацию либо копирование компьютерной информации, общественно опасным деянием необходимо, чтобы этими действиями был причинен крупный ущерб.

В соответствии с прим. 2 к ст. 272 УК крупным ущербом в статьях гл. 28 Кодекса признается ущерб, сумма которого превышает 1 млн руб.

Из анализа фабулы дела, по которому вынесено процитированное постановление, видно, что в вопросе определения ущерба возникают сложности.

В данном деле оценка ущерба формировалась из затрат правомочного лица, в распоряжении которого находятся средства хранения, обработки или передачи информации, на ликвидацию последствий ущерба, причиненного преступлением, а именно: восстановление доступа к базе данных; проведение комплекса мероприятий, направленных на самостоятельный поиск лица, совершившего преступление; образовавшиеся из-за вынужденного простоя сотрудников затраты; покупку нового оборудования для сотрудников; введение дополнительных средств учета лиц, имеющих доступ к базе данных организации. Полагаем, все эти затраты едва ли можно отнести к ущербу, нанесенному непосредственно преступлением. Это равносильно тому, чтобы включать в ущерб, причиненный кражей, затраты, например, на строительство нового забора, заключение договора с охранным предприятием и – в крайнем случае – на переезд в более безопасный район.

Изложенные суждения, полагаю, вполне обоснованны. Так, суд выносил постановление о возврате данного дела прокурору в связи с тем, что фактическая стоимость скопированной компьютерной информации органами предварительного следствия не устанавливалась, что не отвечает требованиям п. 4 ч. 1 ст. 73 УПК РФ8.

Справедливости ради отметим, что апелляция отменила постановление о возврате дела прокурору, мотивировав тем, что законодатель не устанавливает критериев причиненного ущерба, за исключением его размера (свыше 1 млн руб.), отнеся тем самым его к категории оценочных понятий, зависящих и подлежащих определению в каждом конкретном случае как потерпевшим, так и уполномоченными участниками уголовного судопроизводства с учетом всех обстоятельств дела. Ущерб может быть причинен моральный, материальный, деловой репутации. Также к ущербу могут быть отнесены вынужденные финансовые потери и затраты на восстановление рабочего состояния средств хранения, обработки или передачи охраняемой информации (последнее было указано следователем в фабуле предъявленного обвинения на основании полученной от представителя потерпевшего справки о характере и размере причиненного ущерба)9.

Резюмируя, отметим, что действующая нормативно-правовая база требует корректировки с целью формирования единообразной правоприменительной практики. Кроме того, такие изменения необходимы для повышения юридической грамотности и, как следствие, – для профилактики совершения преступлений в сфере информационных технологий, что прямо отвечает целям и задачам уголовного законодательства.

В качестве предложений по совершенствованию регулирования рассматриваемых правоотношений считаем целесообразным:

  • ввести в УК понятие «доступ к информации». Оно должно быть идентичным изложенному в п. 6 ст. 2 Закона об информации;
  • установить регулируемую законом процедуру утверждения локальных НПА, принимаемых правомочным лицом, в распоряжении которого находятся средства хранения, обработки или передачи информации;
  • установить порядок определения ущерба, причиненного преступлениями, изложенными в ст. 272 и 274 УК, и его критерии.

1 Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации (утв. Генпрокуратурой России).

2 Комментарий к Уголовному кодексу Российской Федерации (постатейный) (9-е издание, переработанное и дополненное) (под ред. Г.А. Есакова). М., 2021.

3Апелляционное постановление Липецкого областного суда от 25 августа 2022 г. по делу № 22-1022/2022.

4 Федеральный закон от 7 декабря 2011 г. № 420-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации».

5 Согласно п. 10 ст. 2 Федерального закона от 7 июля 2003 г. № 126-ФЗ «О связи» пользовательское оборудование (оконечное оборудование) – технические средства для передачи и (или) приема сигналов электросвязи по линиям связи, подключенные к абонентским линиям и находящиеся в пользовании абонентов или предназначенные для таких целей.

6 Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации.

7 Постановление Лефортовского районного суда г. Москвы от 13 января 2015 г. по делу № 1-6/2015(1-401/2014).

8 Постановление Лефортовского районного суда города Москвы от 29 сентября 2014 г. по делу № 1-277/2014.

9 Апелляционное постановление Московского городского суда от 12 ноября 2014 г. по делу № 10-15427.

Метки записи:   ,

Оставить комментарий

avatar
  
smilegrinwinkmrgreenneutraltwistedarrowshockunamusedcooleviloopsrazzrollcryeeklolmadsadexclamationquestionideahmmbegwhewchucklesillyenvyshutmouth
  Подписаться  
Уведомление о