Учебник по уголовному праву.
Особенная часть

§ 1. Понятие и общая характеристика преступлений в сфере компьютерной информации

 

Преступления в сфере компьютерной информации впервые в отечественном уголовном праве введены в Уголовный кодекс Российской Федерации в составе отдельной главы в 1996 году под влиянием все более широкого использования электронно-вычислительных машин в жизни общества.

Уже в середине 1980-х годов прошлого века преступления, связанные с компьютерами, стали представлять существенную угрозу, требующую принятия решительных мер. Одной из первых попыток формирования единого подхода к решению проблемы компьютерных преступлений предпринята Организацией экономического сотрудничества и развития (ОЭСР), подготовившей в 1986 году отчет по результатам изучения данной проблематики, за которым последовала разработка Руководящих принципов по безопасности информационных систем. Позднее Комитет министров Совета Европы в Рекомендации № R 89 (9) «О преступлениях, связанных с компьютерами» от 13 сентября 1989 г. дал оценку явлению компьютерной преступности и представил руководящие указания для криминализации противоправных деяний в законодательстве стран-участниц.

К минимально необходимым преступлениям отнесены:

1. Компьютерное мошенничество, которое определяется как ввод, изменение или удаление данных или программ компьютера или иное вмешательство в процессы обработки данных, влияющее на итоги обработки данных, которое причиняет экономический ущерб или приводит к уничтожению собственности другого лица, совершаемое с целью получения незаконным путем экономической выгоды для себя или для другого лица.

2. Компьютерный подлог, т. е. ввод, изменение или удаление данных (программ) компьютера либо другое вмешательство в процесс обработки данных, совершенное способом или при условиях, установленных нормами национального законодательства, которыми эти деяния квалифицируются как подлог, и совершены в отношении традиционного объекта правонарушения.

3. Причинение ущерба компьютерным данным или компьютерным программам, т. е. незаконное удаление, причинение ущерба или ухудшение качества данных или программ компьютера.

4. Компьютерный саботаж: ввод, изменение или удаление данных или программ компьютера, или создание помех компьютерным системам с целью воспрепятствования работе компьютера или телекоммуникационной системы.

5. Несанкционированный доступ, представляющий неправомочный доступ к системе или компьютерной сети путем нарушения мер охраны.

6. Несанкционированный перехват, т. е. неправомерный и осуществленный с применением технических средств перехват сообщений, направленных в систему или сеть компьютеров, исходящих из системы или сети компьютеров и передаваемых в рамках системы или сети компьютеров.

7. Несанкционированное воспроизведение компьютерной программы, охраняемой авторским правом. Под ним понимается совершенное неправомерно распространение, воспроизведение или передача в общественное пользование компьютерной программы, охраняемой законом.

8. Несанкционированное воспроизведение микросхемы, т. е. совершенное неправомерно воспроизведение микросхемы изделия на полупроводниках, если она охраняется законом, либо неправомерное использование или импорт в коммерческих целях микросхемы или изготовленного с ее применением изделия на полупроводниках.

Дополнительный перечень правонарушений в соответствии с Отчетом включает в себя следующие составы противоправных деяний:

1. Неправомерное изменение данных или программ в компьютере.

2. Компьютерный шпионаж, который в соответствии с Рекомендацией определен как получение незаконными способами или раскрытие, передача или использование торговой или коммерческой тайны лицом, не имеющим на это прав или какого-либо иного законного основания, с целью причинения экономического ущерба лицу, имеющему доступ к этой тайне, или получения незаконной экономической выгоды для себя или третьего лица.

3. Несанкционированное использование компьютера - это незаконное использование системы или сети компьютеров, которое совершается: а) лицом, которое имеет право использовать систему, с осознанием того, что действия этого лица увеличивают риск причинения ущерба системе или ее функционированию либо причиняют такой ущерб; б) любым лицом с целью причинения ущерба управомоченному пользователю системы, функционированию системы или самой системе; в) любым лицом с фактическим причинением ущерба системе в целом, функционированию системы или управомоченному пользователю системы.

4. Несанкционированное использование компьютерной программы, охраняемой законодательством: неправомерное использование охраняемой законом компьютерной программы либо воспроизведение без права на это, совершаемые с целью получения незаконной прибыли для злоумышленника или третьих лиц либо причинения правообладателю ущерба.

В 1991 г. Интерпол ввел в обиход кодификатор компьютерных преступлений и способов их совершения.

В 2001 году в Минске заключено «Соглашение о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации», в соответствии с которым в качестве уголовно наказуемых признаны следующие деяния:

а) осуществление неправомерного доступа к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети;

б) создание, использование или распространение вредоносных программ;

в) нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред или тяжкие последствия;

г) незаконное использование программ для ЭВМ и баз данных, являющихся объектами авторского права, а равно присвоение авторства, если это деяние причинило существенный ущерб.

Впоследствии данное Соглашение заменено на «Соглашение о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере информационных технологий», заключенное в г. Душанбе 28.09.2018 (далее – Соглашение). В новом соглашении, вступившем в силу 12 марта 2020 года, определены основные термины и расширен перечень уголовно наказуемых деяний в сфере информационных технологий, к которым отнесены:

а) уничтожение, блокирование, модификация либо копирование информации, нарушение работы информационной (компьютерной) системы путем несанкционированного доступа к охраняемой законом компьютерной информации;

б) создание, использование или распространение вредоносных программ;

в) нарушение правил эксплуатации компьютерной системы лицом, имеющим к ней доступ, повлекшее уничтожение, блокирование или модификацию охраняемой законом компьютерной информации, если это деяние причинило существенный вред или тяжкие последствия;

г) хищение имущества путем изменения информации, обрабатываемой в компьютерной системе, хранящейся на машинных носителях или передаваемой по сетям передачи данных, либо путем введения в компьютерную систему ложной информации, либо сопряженное с несанкционированным доступом к охраняемой законом компьютерной информации;

д) распространение с использованием информационно-телекоммуникационной сети «Интернет» или иных каналов электрической связи порнографических материалов или предметов порнографического характера с изображением несовершеннолетнего;

е) изготовление в целях сбыта либо сбыт специальных программных или аппаратных средств получения несанкционированного доступа к защищенной компьютерной системе или сети;

ж) незаконное использование программ для компьютерных систем и баз данных, являющихся объектами авторского права, а равно присвоение авторства, если это деяние причинило существенный ущерб;

з) распространение с использованием информационно-телекоммуникационной сети «Интернет» или иных каналов электрической связи материалов, признанных в установленном порядке экстремистскими или содержащих призывы к осуществлению террористической деятельности или оправданию терроризма.

В 2001 году советом Европы принята «Конвенция о преступности в сфере компьютерной информации» (ETS № 185) (г. Будапешт) которая разделила преступления на четыре группы:

- преступления против конфиденциальности, целостности и доступности компьютерных данных и систем: 1) противозаконный доступ; 2) противозаконный перехват; 3) воздействие на данные; 4) воздействие на функционирование системы; 5) противозаконное использование устройств;

- правонарушения, связанные с использованием компьютерных средств: 1) подлог с использованием компьютерных технологий; 2) мошенничество с использованием компьютерных технологий;

- правонарушения, связанные с содержанием данных: преступления, связанные с детской порнографией;

- правонарушения, связанные с нарушением авторского права и смежных прав.

Несмотря на то, что Российская Федерация не присоединилась к данной конвенции, наиболее существенные её положения фактически содержатся в отечественном уголовном законе.

Очевидно, что конвенция трактует понятие преступности в сфере компьютерной информации шире, чем предусмотрено главой 28 Уголовного кодекса Российской Федерации. В российском уголовном праве следует избегать отождествления понятий «преступлений сфере компьютерной информации» и «компьютерные преступления». Компьютерные преступления шире по объему, так как включают разного рода посягательства, в которых компьютер выступает исключительно средством или орудием преступления, например, при распространении порнографических материалов с участием несовершеннолетних. Понятие «преступлений в сфере компьютерной информации» уже понятия «компьютерные преступления», отличие между ними в специфических объекте и предмете посягательства.

Таким образом, преступления в сфере компьютерной информации это предусмотренные уголовным законом виновные общественно опасные деяния, причиняющие вред или создающие угрозу причинения вреда отношениям в сфере производства, хранения, использования и распространения компьютерной информации.

Родовым объектом преступлений в сфере компьютерной информации выступает общественная безопасность и общественный порядок сообразно разделу, содержащему главу 28 Уголовного кодекса Российской Федерации.

Видовым объектом выступают общественные отношения в сфере обеспечения безопасности компьютерной информации. Безопасность компьютерной информации распространяет свое действие на информацию в компьютерных устройствах и может быть рассмотрена как элемент информационной безопасности.

Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента Российской Федерации от 5 декабря 2016 г. № 646, определяет информационную безопасность Российской Федерации как состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства.

Таким образом, безопасность компьютерной информации можно определить как существующую в обществе совокупность отношений, подразумевающих достаточную степень защиты процессов производства, накопления, сохранения, передачи и применения (использования) компьютерной информации, в которые вовлечены лица, являющиеся собственниками, владельцами или пользователями данной информации.

При этом под компьютерной информацией согласно примечанию 1 к ст. 272 УК РФ понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

В Соглашении также дано определение понятию «компьютерная информация» — это информация, находящаяся в памяти компьютерной системы, на машинных или на иных носителях в форме, доступной восприятию компьютерной системы, или передающаяся по каналам связи.

Потерпевшим от преступлений данной главы Уголовного кодекса Российской Федерации выступает обладатель информации. В соответствии с положениями Федерального закона от 27.07.2006 № 149-ФЗ (в редакции от 30.12.2021) «Об информации, информационных технологиях и о защите информации» (далее - Федеральный закон №149-ФЗ), обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Согласно ст. 6 данного закона, обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование. От имени Российской Федерации, субъекта Российской Федерации, муниципального образования правомочия обладателя информации осуществляются соответственно государственными органами и органами местного самоуправления в пределах их полномочий, установленных соответствующими нормативными правовыми актами.

Обладатель информации, если иное не предусмотрено федеральными законами, вправе:

1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

2) использовать информацию, в том числе распространять ее, по своему усмотрению;

3) передавать информацию другим лицам по договору или на ином установленном законом основании;

4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

5) осуществлять иные действия с информацией или разрешать осуществление таких действий.

Обладатель информации при осуществлении своих прав обязан:

1) соблюдать права и законные интересы иных лиц;

2) принимать меры по защите информации;

3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Конституционный Суд Российской Федерации в Постановлении от 26.10.2017 №25-П «По делу о проверке конституционности пункта 5 статьи 2 Федерального закона «Об информации, информационных технологиях и о защите информации» в связи с жалобой гражданина А.И. Сушкова» указал, что цель, которую преследовал федеральный законодатель, вводя понятие «обладатель информации», заключается в описании - по аналогии с гражданско-правовыми категориями «собственник», «титульный владелец», но с учетом особенностей информации как нематериального объекта - правового статуса лица, правомочного в отношении конкретной информации решать вопрос о ее получении другими лицами и о способах ее использования как им самим, так и другими лицами. Как следует из положений Федерального закона № 149-ФЗ, вопрос о том, становится ли конкретное лицо обладателем определенной информации, т. е. приобретает ли оно применительно к этой информации права и обязанности, вытекающие из правового статуса обладателя информации, должен решаться исходя из существа правоотношений, связанных с ее получением, передачей, производством и распространением. При этом само по себе наличие у конкретного лица доступа к информации не означает, что данное лицо становится ее обладателем по смыслу данного закона, т. е. что оно вправе совершать в отношении этой информации действия, являющиеся прерогативой обладателя информации.

Объективная сторона преступлений в сфере компьютерной информации может проявляться как в действии, так и в бездействии. В основном данные деяния совершаются путем действий. Однако нарушение эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям (ст.ст. 274, 274.1 УК РФ) возможно также путем бездействия.

Большинство деяний, предусмотренных главной 28 УК РФ, сконструированы по типу материальных составов и предусматривают наличие описанных в диспозиции статьи деяний, последствий в виде уничтожения, блокирования, модификации либо копирования компьютерной информации, причинения крупного ущерба, наступления тяжких последствий или создания угрозы их наступления и причинной связи между ними. Исключения составляют деяния, предусмотренные ч. 1 ст. 273 и ч. 1 ст. 274.1 УК РФ, сконструированные по типу формальных составов.

Обстоятельства места и времени совершения преступлений особо не оговорены в диспозициях норм настоящей главы. При этом существуют проблемы с определением места совершения преступления. Значимая часть преступлений в сфере компьютерной информации совершается в компьютерных сетях. Это подразумевает, что место совершения противоправного деяния и место наступления общественно опасных последствий могут отделяться друг от друга многими километрами и даже находиться на территории разных государств.

В большинстве случаев местом совершения преступления может признаваться как место совершения деяния, так и место, в котором деяние окончено либо пресечено, либо место наступления общественно опасных последствий.

Наибольшие трудности представляет определение места совершения преступления в случае совершения действий, образующих состав преступления в сфере компьютерной информации на территории одного государства, когда последствия этих действий наступают на территории другого государства. Наглядным примером может служить дело В. Левина, который с помощью компьютера, находящегося в офисе фирмы в Санкт-Петербурге, вводил ложные данные в систему банка «Ситибанк», расположенного в США, в результате чего со счетов вкладчиков было похищено более 10 миллионов долларов США. Левин скрывался от следствия и был задержан и осужден в Лондоне. При этом Великобритания отказала в выдаче преступника США и России, мотивируя это тем, что законодательство страны не регламентирует ситуацию, когда преступление совершено на территории одного государства, а последствия наступили на территории другого.

Субъективная сторона рассматриваемых деяний может характеризоваться как умышленной, так и неосторожной формами вины. Среди мотивов, характерных для всех компьютерных преступлений, преобладают два основных: корысть и «интеллектуальный вызов», т. е. стремление продемонстрировать собственный профессионализм.

Субъект преступления общий – вменяемое физическое лицо, достигшее возраста 16 лет, за исключением случаев нарушения правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, совершаемых специальным субъектами – лицами, но которых возложены обязанности по соблюдению указанных правил (ст.ст. 274, 274.1 УК РФ).

Федеральным законом от 14.07.2022 № 260-ФЗ глава 28 была дополнена ст. 274.2 УК РФ, устанавливающей уголовную ответственность за нарушение правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети "Интернет" и сети связи общего пользования.