ВС разъяснит практику по делам о преступлениях в сфере компьютерной информации
Пленум ВС отправил на доработку проект постановления о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей
Эксперты «АГ» прокомментировали самые интересные, с их точки зрения, разъяснения проекта документа.
8 ноября Пленум Верховного Суда РФ рассмотрел и отправил на доработку проект постановления «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть “Интернет”».
Старший партнер АБ «Нянькин и партнеры» Алексей Нянькин считает, что такие разъяснения давно назрели: «Причем их значимость настолько велика, что хочется надеяться на то, что на стадии проверки сообщений заявителей органам следствия станет проще устанавливать состав преступления».
Адвокат назвал важным достаточно широкое, но точное толкование действий, каждое из которых должно быть признано уголовно наказуемым. «При этом ряд аспектов квалификации действий, формально неправомерных в сфере защиты компьютерной информации, но не влекущих уголовную ответственность, по-прежнему отданы на “откуп” судейскому усмотрению», – полагает Алексей Нянькин.
Юрист АБ «Забейда и партнеры» Дарья Горошилова отметила, что вопросы квалификации компьютерных преступлений в судебной практике до сих пор неразрешимы ввиду отсутствия разъясняющего документа Пленума ВС РФ, как это уже сделано по большинству глав Уголовного кодекса, поэтому единственное, на что может опираться правоприменитель при вынесении решений – это сложившаяся устойчивая судебная практика.
«Многие спорные выводы по вопросам, возникающим в связи с рассмотрением составов компьютерных преступлений, не были рассмотрены в предлагаемом проекте постановления Пленума ВС РФ. Ряд положений комментируемого документа уже был ранее изложен при квалификации по совокупности преступлений. В частности, еще раз отмечено, что совокупность ст. 159.6 и 272 УК РФ будет в том случае, если мошенничество в сфере компьютерной информации совершено посредством указанных в ст. 272 УК РФ способов. Поэтому каких-либо глобальных перемен в правоприменительной практике после утверждения данного проекта постановления Пленума Суда не произойдет», – полагает эксперт.
Преступления в сфере компьютерной информации
В п. 1 проекта отмечено, что при рассмотрении уголовных дел по ст. 272, 273, 274 и 274.1 УК РФ судам нужно руководствоваться положениями федеральных законов, которые, в частности, регламентируют вопросы создания, распространения, передачи, защиты информации и применения информационных технологий, подзаконных актов, госстандартов, а также ратифицированных Россией международных договоров и соглашений, посвященных вопросам и борьбе с преступлениями в сфере компьютерной информации.
Как следует из п. 2, по смыслу примечания 1 к ст. 272 УК РФ под компьютерной информацией понимаются любые сведения (сообщения, данные), представленные в виде электрических сигналов, независимо от средств их хранения, обработки и передачи. Такие сведения могут находиться в запоминающем устройстве ЭВМ и в других компьютерных устройствах либо на любых внешних электронных носителях в форме, доступной восприятию компьютерного устройства, или передаваться по каналам электрической связи. При этом к числу компьютерных устройств могут быть отнесены любые электронные устройства, способные выполнять функции по приему, обработке, хранению и передаче информации, закодированной в форме электрических сигналов, произведенные или переделанные промышленным либо кустарным способом.
В п. 3 документа разъяснено, что по смыслу ч. 1 ст. 272 УК РФ под охраняемой законом компьютерной информацией следует понимать как информацию, для которой законом установлен специальный режим правовой защиты, ограничен доступ, введены условия отнесения ее к сведениям, составляющим государственную, коммерческую, служебную, личную, семейную или иную тайну (в том числе персональные данные), установлена обязательность соблюдения конфиденциальности такой информации и ответственность за ее разглашение, так и информацию, для которой правообладателем установлены средства ее защиты, направленные на обеспечение ее целостности и (или) доступности.
Дарья Горошилова отметила, что, хоть Пленум ВС РФ и дает определение «охраняемой законом компьютерной информации», им не были разъяснены правила квалификации воздействия на информацию в электронном виде, составляющую тайну личной или семейной жизни.
В п. 4 указано, что следует понимать в рамках главы 28 УК РФ под компьютерной программой; уничтожением, блокированием, модификацией, копированием компьютерной информации; нейтрализацией средств защиты компьютерной информации.
Согласно п. 5, для целей ст. 272 УК РФ неправомерным доступом к компьютерной информации является получение или использование такой информации без согласия собственника или иного ее законного владельца (обладателя информации) неуполномоченным лицом либо в нарушение установленного НПА порядка независимо от формы такого доступа – путем проникновения к источнику хранения информации в компьютерном устройстве, принадлежащем другому лицу, непосредственно либо путем удаленного доступа. По словам Дарьи Горошиловой, в судебной практике существовало несколько подходов к пониманию неправомерного доступа к компьютерной информации, однако фактически Пленум ВС РФ подтвердил ранее существовавшее в доктрине понимание неправомерного доступа.
Исходя из разъяснения, предложенного в п. 6 проекта, преступления, предусмотренные ст. 272 и 274 УК РФ, признаются оконченными, когда указанные в первых частях этих статей деяния повлекли наступление общественно опасных последствий (одного или нескольких) в виде уничтожения, блокирования, модификации либо копирования такой информации, а по ст. 274 УК РФ также в виде причинения крупного ущерба. В ходе рассмотрения каждого дела о таком преступлении подлежит установлению и доказыванию не только совершение неправомерного доступа к компьютерной информации или нарушение соответствующих правил, но и наличие или отсутствие причинной связи между этими действиями и наступившими последствиями. Когда наступление одних общественно опасных последствий повлекло наступление других (например, модификация информации в виде изменения пароля к учетной записи повлекла блокирование информации – ограничение доступа пользователя к этой записи), все такие последствия указываются в приговоре.
В п. 7 отмечено, что преступление, предусмотренное ст. 272 УК РФ, считается оконченным с момента наступления хотя бы одного из последствий, указанных в ч. 1 этой статьи, независимо от длительности неправомерного доступа, причин, по которым он прекратился, а также объема информации, которая была скопирована, модифицирована или уничтожена. Если лицо, намереваясь осуществить уничтожение, блокирование, модификацию или копирование охраняемой законом компьютерной информации, выполнило все действия, необходимые для неправомерного доступа к компьютерной информации, либо осуществило такой доступ, однако ни одно из последствий, предусмотренных ч. 1 ст. 272 УК РФ, не наступило по не зависящим от него обстоятельствам, такие действия квалифицируются как покушение на совершение этого преступления.
Согласно п. 8 ст. 273 УК РФ к иной компьютерной информации, предназначенной для несанкционированных блокирования, модификации, копирования компьютерной информации или нейтрализации средств ее защиты, могут быть отнесены любые сведения, которые, не являясь в совокупности компьютерной программой, позволяют обеспечить достижение целей, перечисленных в ч. 1 этой статьи. Уголовную ответственность по ст. 273 УК РФ влекут действия по созданию, распространению или использованию только вредоносных компьютерных программ либо иной компьютерной информации, то есть заведомо для лица, совершающего указанные действия, предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
В п. 9 проекта указано, что объективная сторона преступления, предусмотренного ст. 273 УК РФ, состоит в выполнении одного или нескольких перечисленных в ней действий. Создание вредоносных компьютерных программ или иной вредоносной компьютерной информации – это деятельность, направленная на разработку, подготовку программ (в том числе путем внесения изменений в существующие программы) или иной компьютерной информации, предназначенных для несанкционированного доступа, то есть совершаемая без согласия собственника или иного ее законного владельца, неуполномоченным лицом либо в нарушение установленного НПА порядка уничтожения, блокирования, модифицирования, копирования компьютерной информации или нейтрализации средств ее защиты.
В следующем пункте разъяснено, что для квалификации действий лица по ч. 1 ст. 273 УК РФ как оконченного преступления достаточно установить создание части (фрагмента) кода вредоносной компьютерной программы, позволяющего осуществить неправомерный доступ к компьютерной информации. Если создание вредоносной компьютерной программы не было завершено, действия лица квалифицируются как создание иной вредоносной компьютерной информации.
В п. 11 предложено разъяснение о том, что понимать под распространением и использованием вредоносных компьютерных программ. Если действия виновного лица содержат в себе элементы как распространения, так и использования вредоносной компьютерной программы или иной вредоносной компьютерной информации, оба эти действия должны быть указаны в приговоре. Не образует состава преступления использование такой программы или информации лицом на принадлежащих ему устройствах, не преследующее цели неправомерного доступа к охраняемой законом компьютерной информации и не повлекшее уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств ее защиты (например, в целях проверки уязвимости средств защиты компьютерной информации, к которым у такого лица имеется правомерный доступ, либо в образовательных целях).
В п. 12 подчеркнуто, что при квалификации действий лица по ст. 274 УК РФ судам необходимо установить, какие именно правила из перечисленных в ч. 1 этой статьи были нарушены, а также возложена ли на это лицо обязанность соблюдать указанные правила.
Как следует из п. 13 проекта, для квалификации действий лица по ч. 1 ст. 274.1 УК РФ суду нужно установить, что компьютерные программы или иная компьютерная информация предназначены для незаконного воздействия именно на критическую информационную инфраструктуру РФ, определение понятия которой содержится в ст. 2 Закона о безопасности критической информационной инфраструктуры РФ. В ином случае действия лица при наличии на то оснований могут быть квалифицированы по ст. 273 УК РФ. При этом следует учитывать, что использование вредоносных компьютерных программ для неправомерного воздействия на отечественную критическую информационную инфраструктуру (в том числе в случае, когда осуществляется распространение этих программ на объекты критической информационной инфраструктуры исключительно для их последующего использования) полностью охватывается ч. 2 ст. 274.1 УК РФ и дополнительной квалификации по ст. 273 УК РФ не требует.
В п. 14 разъяснено, что понимать под тяжкими последствиями как квалифицирующим признаком в ст. 272–274.1 УК РФ. Когда подсудимому вменяется признак создания угрозы наступления тяжких последствий, суду необходимо установить реальность такой угрозы.
Алексей Нянькин отметил, что разъяснения относительно применения квалифицирующего признака «тяжкие последствия» в ст. 272–274.1 УК РФ создают неопределенность из-за возможностей расширительного толкования приведенных в документе примеров: «Так, вновь не ясно, что считать длительной приостановкой работы предприятия при оценке тяжких последствий. И по каким признакам суд будет устанавливать реальность угрозы наступления таких последствий».
Как отмечено в п. 15, когда вредоносная программа использовалась для осуществления неправомерного доступа к компьютерной информации и это повлекло наступление последствий, предусмотренных ч. 1 ст. 272 УК РФ, действия лица квалифицируются по совокупности преступлений, предусмотренных соответствующими частями ст. 272 и 273 УК РФ.
Согласно п. 16, если действия, предусмотренные ст. 272–274.1 УК РФ, выступали способом совершения иных преступлений, они подлежат квалификации по совокупности с преступлениями, предусмотренными соответствующими статьями УК РФ. В частности, мошенничество в сфере компьютерной информации (ст. 159.6 УК РФ), совершенное посредством неправомерного доступа к компьютерной информации или путем создания, использования и распространения вредоносных компьютерных программ, требует дополнительной квалификации по ст. 272, 273 или 274.1 УК РФ.
Преступления, совершенные с использованием Сети
В п. 17 разъяснено, что понимать под информационно-телекоммуникационной сетью в соответствующих статьях Особенной части УК РФ. Для целей уголовного законодательства понятия электронных и информационно-телекоммуникационных сетей не разграничиваются. Под сетью «Интернет» понимается всеобщая информационно-телекоммуникационная сеть, объединяющая информационные системы и сети электросвязи различных стран и предоставляющая возможность реализации различных форм связи между пользователями, в том числе размещения информации, доступной для неограниченного круга лиц. Для признания наличия в действиях подсудимого признака совершения преступления с использованием электронных или информационно-телекоммуникационных сетей не имеют значения количество устройств, входящих в такую систему, подключение к ней ограниченного количества пользователей или неопределенного круга лиц, а также другие ее характеристики.
В п. 18 отмечено, что при квалификации действий, совершенных с использованием сети «Интернет», под интернет-сайтом понимается совокупность программ для компьютерных устройств и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством сети «Интернет» по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать такие сайты. Страница сайта в сети «Интернет» – это часть сайта, доступ к которой осуществляется по указателю, состоящему из доменного имени и символов, определенных владельцем сайта в сети «Интернет», и посредством специальных программ – браузеров либо иных программ – приложений.
Как следует из п. 19, при определении места совершения преступлений с использованием электронных или информационно-телекоммуникационных сетей, в том числе сети «Интернет», и, соответственно, территориальной подсудности уголовного дела судам нужно учитывать, что доступ к данной сети может осуществляться с помощью различных электронных устройств, в том числе переносных (мобильных). Местом совершения такого преступления является место выполнения лицом действий, входящих в объективную сторону состава преступления. Например, при публичных призывах к осуществлению экстремистской деятельности – территория, на которой лицом использовалось электронное устройство для направления другому лицу электронного сообщения, содержащего такие призывы, независимо от места нахождения другого лица, или использовалось электронное устройство для размещения в Интернете информации, содержащей призывы к осуществлению экстремистской деятельности.
Алексей Нянькин назвал обоснованным разъяснение о правилах определения территориальной подсудности, которая привязана к месту нахождения подозреваемого в момент использования компьютерных или иных устройств для исполнения действий, входящих в объективную сторону преступления.
В п. 20, в частности, отмечено, что преступление квалифицируется как совершенное с использованием электронных или информационно-телекоммуникационных сетей, включая Интернет, независимо от стадии совершения, если для выполнения хотя бы одного из умышленных действий, создающих условия для совершения соответствующего преступления или входящих в его объективную сторону, лицо использовало такие сети.
В п. 21 разъяснено, что доступ к электронным или информационно-телекоммуникационным сетям может осуществляться с различных устройств, технологически предназначенных для этого, с использованием программ, имеющих разнообразные функции (браузеров, программ, предназначенных для обмена сообщениями, – мессенджеров, специальных приложений социальных сетей, онлайн-игр, других программ и приложений). При квалификации действий лиц как совершенных с использованием этих сетей нужно установить, какие именно устройства и программы использовались и какие действия были совершены с их помощью.
В п. 22 приведены особенности квалификации отдельных действий, предусмотренных ст. 242 и 242.1 УК РФ, в случаях, когда они совершаются с использованием электронных или информационно-телекоммуникационных сетей. В частности, отмечено, что под распространением порнографических материалов в этих статьях понимается незаконное предоставление конкретным лицам либо неопределенному кругу лиц возможности их использования. Оно может совершаться путем направления в личном сообщении конкретному лицу (по электронной почте либо с использованием социальных сетей, мессенджеров или иных приложений), рассылки определенному или неопределенному кругу лиц (в группу в социальной сети или в чат в мессенджере).
Как следует из п. 23, при квалификации преступлений, совершаемых с использованием электронных или информационно-телекоммуникационных сетей, нужно установить, что такие деяния осуществлены лицом умышленно, с осознанием содержания и общественной опасности соответствующих действий, включая характер распространяемой, рекламируемой или демонстрируемой информации, предоставление доступа к ней широкого круга лиц и другие обстоятельства, имеющие значение для юридической оценки содеянного. В связи с этим не могут признаваться преступными действия лица, которые хотя объективно и являются распространением, демонстрацией или рекламированием определенной информации, но совершены им невиновно из-за отсутствия у него необходимых технических или иных знаний, например относительно особенностей сохранения и передачи изображений или иных материалов с помощью специальной программы обмена данными между пользователями сети в автоматическом режиме («торрент-трекера»).
Алексей Нянькин полагает, что это разъяснение внешне содержит позитивные для защиты тезисы. «Однако не совсем понятно, как в условиях, когда презумпция невиновности продолжает оставаться фикцией для большинства обвинителей, будут устанавливаться обстоятельства, свидетельствующие об отсутствии у проверяемого лица технических навыков и знаний, позволяющих выполнить объективную сторону преступления в сфере защиты компьютерной информации?» – задался вопросом адвокат.
В п. 24 указано, что при возникновении в ходе рассмотрения уголовных дел о преступлениях, предусмотренных ст. 272, 273, 274 и 274.1 УК РФ, об иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, сомнений в том, относится ли, например, та или иная информация к компьютерной либо является ли технологическая система, использованная лицом при совершении преступления, электронной или информационно-телекоммуникационной сетью, а также для разъяснения технических терминов и других сложных вопросов, требующих специальных знаний, судьи должны привлекать к участию в судебном разбирательстве соответствующих специалистов.
Зинаида Павлова