Новые уголовно-правовые риски в условиях цифровизации
Положения гл. 28 УК РФ требуют корректировки для единообразия судебной практики
Лебедев Илья
Адвокат АП г. Москвы, руководитель уголовной практики юридической группы «ПАРАДИГМА»
31 Октября 2022
Судебная практикаУголовное право и процесс
Внедрение цифровых технологий в различные сферы жизни и переход на новые модели бизнес-процессов и инструменты производства, основанные на информационных технологиях, позволяют в том числе существенно увеличить производительность труда. В то же время развитие цифровизации способствует и росту уголовно-правовых рисков.
Многие общественные отношения, охраняемые УК РФ, могут подвергаться преступному посягательству с помощью инструментов, предоставленных информационными технологиями. Рассмотрим составы преступлений, наиболее тесно связанные с цифровизацией, а именно – касающиеся хранения информации (гл. 28 УК):
- неправомерный доступ к компьютерной информации (ст. 272);
- нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей (ст. 274).
Диспозиция ч. 1 ст. 272 УК изложена следующим образом: «Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации».
Объективная сторона состава преступления включает: действие, состоящее в неправомерном доступе к охраняемой законом компьютерной информации (информации ограниченного доступа); последствие в виде уничтожения, блокирования, модификации либо копирования информации и причинно-следственную связь между действием и любым из указанных последствий.
Понятие доступа к информации содержится в п. 6 ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации): «доступ к информации – возможность получения информации и ее использования»1. Однако в УК это понятие не уточнено.
Согласно прим. 1 к ст. 272 УК под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. Под блокированием следует понимать ограничение доступа к информации иным лицам без ее удаления; под модификацией – любое изменение информации; под копированием – создание копии информации на внешнем носителе или ином компьютере2.
Как указано в апелляционном определении Липецкого областного суда, объективную сторону состава преступления по ст. 272 УК составляет неправомерный доступ к охраняемой законом компьютерной информации. Под доступом к компьютерной информации понимается получение возможности ознакомиться и (или) воспользоваться такими данными. Доступ носит характер совершения определенных действий и может выражаться в проникновении в компьютерную систему с использованием специальных технических или программных средств, позволяющих преодолеть системы защиты, либо путем незаконного применения действующих паролей или кодов, либо совершении иных действий для проникновения в систему или сеть под видом законного пользователя.
Неправомерным признается доступ к компьютерной информации лица, не обладающего правами на получение и работу с данной информацией либо компьютерной системой, в отношении которых приняты специальные меры защиты, ограничивающие круг лиц, имеющих доступ к ней3.
Перечислим основания, по которым суды возвращают уголовные дела по статьям гл. 28 УК прокурору.
В частности, основанием для возвращения дела может послужить неправильное отображение в обвинительном заключении объективной стороны преступления. Например, Московский городской суд в апелляционном постановлении от 18 сентября 2017 г. № 10–15195/2017 согласился с выводом первой инстанции о том, что в описании события инкриминируемого обвиняемому неправомерного доступа к охраняемой законом компьютерной информации не указано, в чем именно выражена неправомерность его действий.
Согласно апелляционному постановлению Липецкого областного суда от 12 января 2021 г. по делу № 22-46/2021 основанием для возвращения дела прокурору стало отсутствие в обвинительном заключении указания, каким законом охраняется компьютерная информация, неправомерный доступ к которой вменен обвиняемому, что является безусловным основанием для возвращения дела. Также апелляция подчеркнула, что ссылка в постановлении о привлечении в качестве обвиняемого на Закон об информации обязательна.
Диспозиция ч. 1 ст. 274 УК ранее предусматривала ответственность за «нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред». В поправках к УК4 она изложена следующим образом: «Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб».
Основной объект преступления – общественные отношения, обеспечивающие безопасность в сфере компьютерной информации. Дополнительный объект преступления, повлекшего причинение существенного вреда, – общественные отношения, обеспечивающие в зависимости от характера последних иные значимые социальные ценности (жизнь человека, здоровье многих людей, собственную безопасность и т.п.).
Предметом данного вида преступления являются средства хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационные сети и оконечное5 оборудование.
Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации. Эти правила должны устанавливаться правомочным лицом. Общих правил эксплуатации, распространяющихся на неограниченный круг пользователей сети Интернет, нет6.
Объективная сторона преступления довольно подробно изложена в судебной практике.
Так, в одном из постановлений суд описывает объективную сторону как умысел на нарушение правил эксплуатации средств хранения, передачи охраняемой компьютерной информации, повлекшее ее копирование лицом, находящимся на своем рабочем месте, «предоставленном ООО <…>, расположенном по адресу: <...> используя средства авторизации (логин и пароль), предоставленные ООО <…> и имея, в силу исполняемых обязанностей, доступ к информационным носителям, на которых содержится охраняемая компьютерная информация, и действуя в нарушение Федерального закона "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г. № 149-ФЗ, ст. 1225 ГК РФ "Охраняемые результаты интеллектуальной деятельности и средства индивидуализации", Указа Президента Российской Федерации от 6 марта 1997 г. № 188 "Перечень сведений конфиденциального характера", соглашения о сохранении служебной и коммерческой тайны, соглашения о конфиденциальности для сотрудников ООО <…>, а также должностной инструкции по должности ведущий системный администратор <…> скопировал на USB – носитель информацию из базы данных ООО <…>, а именно: не менее 40 000 записей, содержащих не прошедших проверку имен, фамилий, никнеймов (имена, которые используются при регистрации на интернет-сайтах), а также адресов электронной почты»7.
Сведения, содержащиеся в судебной практике, позволяют убедиться в справедливости вывода Генпрокуратуры о том, что к правилам эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правилам доступа к сетям относятся не только нормативные правовые акты, изданные уполномоченными госорганами с соблюдением регулируемой законом процедуры, но и локальные НПА, принятые правомочным лицом, в распоряжении которого находятся средства хранения, обработки или передачи информации.
Как следует из ст. 274 УК, для признания нарушения правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к сетям, повлекшим уничтожение, блокирование, модификацию либо копирование компьютерной информации, общественно опасным деянием необходимо, чтобы этими действиями был причинен крупный ущерб.
В соответствии с прим. 2 к ст. 272 УК крупным ущербом в статьях гл. 28 Кодекса признается ущерб, сумма которого превышает 1 млн руб.
Из анализа фабулы дела, по которому вынесено процитированное постановление, видно, что в вопросе определения ущерба возникают сложности.
В данном деле оценка ущерба формировалась из затрат правомочного лица, в распоряжении которого находятся средства хранения, обработки или передачи информации, на ликвидацию последствий ущерба, причиненного преступлением, а именно: восстановление доступа к базе данных; проведение комплекса мероприятий, направленных на самостоятельный поиск лица, совершившего преступление; образовавшиеся из-за вынужденного простоя сотрудников затраты; покупку нового оборудования для сотрудников; введение дополнительных средств учета лиц, имеющих доступ к базе данных организации. Полагаем, все эти затраты едва ли можно отнести к ущербу, нанесенному непосредственно преступлением. Это равносильно тому, чтобы включать в ущерб, причиненный кражей, затраты, например, на строительство нового забора, заключение договора с охранным предприятием и – в крайнем случае – на переезд в более безопасный район.
Изложенные суждения, полагаю, вполне обоснованны. Так, суд выносил постановление о возврате данного дела прокурору в связи с тем, что фактическая стоимость скопированной компьютерной информации органами предварительного следствия не устанавливалась, что не отвечает требованиям п. 4 ч. 1 ст. 73 УПК РФ8.
Справедливости ради отметим, что апелляция отменила постановление о возврате дела прокурору, мотивировав тем, что законодатель не устанавливает критериев причиненного ущерба, за исключением его размера (свыше 1 млн руб.), отнеся тем самым его к категории оценочных понятий, зависящих и подлежащих определению в каждом конкретном случае как потерпевшим, так и уполномоченными участниками уголовного судопроизводства с учетом всех обстоятельств дела. Ущерб может быть причинен моральный, материальный, деловой репутации. Также к ущербу могут быть отнесены вынужденные финансовые потери и затраты на восстановление рабочего состояния средств хранения, обработки или передачи охраняемой информации (последнее было указано следователем в фабуле предъявленного обвинения на основании полученной от представителя потерпевшего справки о характере и размере причиненного ущерба)9.
Резюмируя, отметим, что действующая нормативно-правовая база требует корректировки с целью формирования единообразной правоприменительной практики. Кроме того, такие изменения необходимы для повышения юридической грамотности и, как следствие, – для профилактики совершения преступлений в сфере информационных технологий, что прямо отвечает целям и задачам уголовного законодательства.
В качестве предложений по совершенствованию регулирования рассматриваемых правоотношений считаем целесообразным:
- ввести в УК понятие «доступ к информации». Оно должно быть идентичным изложенному в п. 6 ст. 2 Закона об информации;
- установить регулируемую законом процедуру утверждения локальных НПА, принимаемых правомочным лицом, в распоряжении которого находятся средства хранения, обработки или передачи информации;
- установить порядок определения ущерба, причиненного преступлениями, изложенными в ст. 272 и 274 УК, и его критерии.
1 Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации (утв. Генпрокуратурой России).
2 Комментарий к Уголовному кодексу Российской Федерации (постатейный) (9-е издание, переработанное и дополненное) (под ред. Г.А. Есакова). М., 2021.
3Апелляционное постановление Липецкого областного суда от 25 августа 2022 г. по делу № 22-1022/2022.
4 Федеральный закон от 7 декабря 2011 г. № 420-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации».
5 Согласно п. 10 ст. 2 Федерального закона от 7 июля 2003 г. № 126-ФЗ «О связи» пользовательское оборудование (оконечное оборудование) – технические средства для передачи и (или) приема сигналов электросвязи по линиям связи, подключенные к абонентским линиям и находящиеся в пользовании абонентов или предназначенные для таких целей.
6 Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации.
7 Постановление Лефортовского районного суда г. Москвы от 13 января 2015 г. по делу № 1-6/2015(1-401/2014).
8 Постановление Лефортовского районного суда города Москвы от 29 сентября 2014 г. по делу № 1-277/2014.
9 Апелляционное постановление Московского городского суда от 12 ноября 2014 г. по делу № 10-15427.