§ 2. Характеристика конкретных видов преступлений в сфере компьютерной информации
§
2. Характеристика конкретных видов преступлений в сфере компьютерной
информации
Неправомерный
доступ к компьютерной информации (ст. 272 УК РФ)
Предметом преступления выступает охраняемая законом компьютерная
информация, то есть, согласно примечанию 1 к настоящей статье – сведения
(сообщения, данные), представленные в форме электрических сигналов, независимо
от средств их хранения, обработки и передачи.
Для признания информации охраняемой законом необходимо соблюдение ряда
условий:
1)
закон или иной нормативный правовой акт обеспечивает защиту данных от
несанкционированного доступа. Например, Указом Президента Российской Федерации
от 6 марта 1997 г. № 188 утвержден Перечень сведений конфиденциального
характера. Особый режим охраны установлен для сведений, составляющих
государственную тайну (Закон РФ от 21 июля 1993 г. № 5485-1 «О
государственной тайне»); возможно отнесение информации к банковской тайне (ст.
857 ГК РФ), тайне завещания (ст. 1123 ГК РФ), тайне связи (Федеральный закон от
17.07.1999 № 176-ФЗ «О почтовой связи») или другим видам.
2)
законный обладатель информации предпринимает меры по ее охране.
Объективная сторона преступления представлена в виде действия –
неправомерного доступа к охраняемой законом компьютерной информации, наступивших
последствий, альтернативно выражающихся в виде уничтожения, блокирования,
модификации либо копирования компьютерной информации и причинной связи между
ними.
Согласно
Федеральному закону №149-ФЗ, доступ к информации - возможность получения
информации и ее использования.
В
соответствии с утвержденными Генеральной прокуратурой Российской Федерации
«Методическими рекомендациями по осуществлению прокурорского надзора за
исполнением законов при расследовании преступлений в сфере компьютерной
информации»[1],
неправомерным считается доступ к конфиденциальной информации или информации,
составляющей государственную тайну, лица, не обладающего необходимыми
полномочиями (без согласия собственника или его законного представителя), при
условии обеспечения специальных средств ее защиты.
Способы
неправомерного доступа к компьютерной информации могут быть самыми
разнообразными и, как правило, не влияют на юридическую оценку поведения
виновного лица. Например, соединение с компьютером, подключенным к сети, путем
автоматического перебора учетных данных, использование чужого имени и пароля,
использование ошибки в логике построения программы или провоцирование ошибок
соединения, выявление слабых мест в защите автоматизированных систем (взлом
системы защиты), использование вслед за законным пользователем и
другие.
Преступление
имеет материальный состав, считается оконченным с момента наступления любого из
указанных в диспозиции последствий:
1)
уничтожение информации - это приведение информации или ее части в непригодное
для использования состояние независимо от возможности ее восстановления.
Уничтожением информации не является переименование файла, где она содержится, а
также само по себе автоматическое «вытеснение» старых версий файлов последними
по времени;
2)
блокирование информации - результат воздействия на компьютерную информацию или
технику, последствием которого является невозможность в течение некоторого
времени или постоянно осуществлять требуемые операции над компьютерной
информацией полностью или в требуемом режиме, т. е. совершение действий,
приводящих к ограничению или закрытию доступа к компьютерному оборудованию и
находящимся на нем ресурсам, целенаправленное затруднение доступа законных
пользователей к компьютерной информации, не связанное с ее
уничтожением;
3)
модификация информации - внесение изменений в компьютерную информацию (или ее
параметры). Законом установлены случаи легальной модификации программ (баз
данных) лицами, правомерно владеющими этой информацией, а именно: модификация в
виде исправления явных ошибок; модификация в виде внесения изменений в
программы, базы данных для их функционирования на технических средствах
пользователя; модификация в виде частной декомпиляции программы для достижения
способности к взаимодействию с другими программами;
4)
копирование информации - создание копии имеющейся информации на другом носителе,
то есть перенос информации на обособленный носитель при сохранении неизменной
первоначальной информации, воспроизведение информации в любой материальной форме
- от руки, фотографированием текста с экрана дисплея, а также считывания
информации путем любого перехвата информации и т.п.
Субъективная
сторона характеризуется умышленной формой вины в виде прямого или косвенного
умысла. Вопрос о возможности совершения данного преступления по неосторожности
относится к числу дискуссионных.
Субъект
преступления выступает вменяемое физическое лицо, достигшее возраста 16
лет.
Если
в результате неправомерного доступа к компьютерной информации посредством
вмешательства в функционирование средств хранения, обработки или передачи
компьютерной информации или информационно-телекоммуникационных сетей, то есть
целенаправленного воздействия программных и (или) программно-аппаратных средств
на серверы, средства вычислительной техники (компьютеры), в том числе переносные
(портативные) – ноутбуки, планшетные компьютеры, смартфоны, снабженные
соответствующим программным обеспечением, или на
информационно-телекоммуникационные сети, которое нарушает установленный процесс
обработки, хранения, передачи компьютерной информации, лицу удалось незаконно
завладеть чужим имуществом или приобрести право на него, содеянное подлежит
квалификации по совокупности преступлений, предусмотренных ст.ст. 159.6 и 272 УК
РФ.
Если
лицо осуществляет неправомерный доступ к компьютерной информации с применением
насилия (например, силой принуждает пользователя войти в информационную
систему), то содеянное квалифицируется по совокупности преступлений,
предусматривающих ответственность за преступления против личности и
неправомерный доступ к компьютерной информации.
В
тех случаях, когда неправомерный доступ к компьютерной информации выступает
способом совершения другого преступления, а компьютерная техника используется в
качестве орудия для достижения преступной цели, содеянное квалифицируется по
совокупности преступлений. Так, если виновный с целью собирания сведений о
частной жизни лица, составляющих его личную или семейную тайну, подобрал пароль
к компьютеру и скопировал соответствующую информацию, содеянное необходимо
квалифицировать по совокупности преступлений, предусмотренных ст.ст. 137 и 272
УК РФ.
Квалифицирующими
признаками выступают: причинение крупного ущерба, совершение преступления из
корыстной заинтересованности, совершенные группой лиц по предварительному
сговору или организованной группой, лицом с использованием своего служебного
положения, тяжкие последствия или создание угрозы их
наступления.
Крупным ущербом согласно примечанию 2 к ст. 272 УК РФ признается ущерб,
сумма которого превышает один миллион рублей.
Совершение преступления из корыстной заинтересованности применительно к
данному преступлению означает, что лицо совершает преступление с целью изъять и
(или) обратить чужое имущество в свою пользу либо распорядиться указанным
имуществом как своим собственным, в том числе путем передачи его в обладание
других лиц, круг которых не ограничен. Корыстным следует считать и неправомерный
доступ к охраняемой законом компьютерной информации, совершенный лицом по найму,
то есть за вознаграждение.
Совершение преступления группой лиц по предварительному сговору
предполагает, что в нем участвовали лица, заранее договорившиеся о совместном
совершении преступления.
Совершение преступления организованной группой означает, что оно
совершено устойчивой группой лиц, заранее объединившихся для совершения одного
или нескольких преступлений.
Использование лицом своего служебного положения при совершении
преступления предполагает доступ к охраняемой законом компьютерной информации в
силу занимаемого лицом положения по службе. Этот признак имеет место и в том
случае, если действия лица хотя и находились в пределах его служебной
компетенции, но совершались с явным нарушением порядка осуществления своих
функциональных обязанностей, установленных законом или иным нормативным актом. К
лицам, имеющим доступ к охраняемой законом компьютерной информации, относятся
законные пользователи информации, а также лица, в силу характера своей
деятельности имеющие законный доступ к компьютерному оборудованию или
компьютерной сети. В этом случае неправомерный доступ к компьютерной информации
осуществляется посредством превышения лицом своей компетенции, специально
оговоренной законом, иным нормативным актом или трудовым
договором.
Понятие
«тяжкие последствия» является оценочным. К ним можно отнести, например,
причинение вреда тяжкого вреда здоровью или наступление смерти одного или
нескольких лиц, дезорганизацию работы предприятия, повлекшую материальный ущерб,
объекта социальной инфраструктуры, органов власти и местного самоуправления,
причинение вреда окружающей среде.
Особенность
квалифицированного вида преступления, предусмотренного ч. 4 ст. 272 УК РФ,
заключается в том, что оно характеризуется умыслом относительно неправомерного
доступа к охраняемой законом компьютерной информации и неосторожностью
(легкомыслием либо небрежностью) относительно наступления тяжких последствий.
Таким образом, причинение тяжких последствий не охватывается умыслом виновного.
Однако лицо предвидит возможность их наступления, но без достаточных к тому
оснований самонадеянно рассчитывает на их предотвращение либо не предвидит, хотя
должно было и могло предвидеть возможность наступления тяжких последствий. Если
же лицо посредством неправомерного доступа к охраняемой законом компьютерной
информации желало достичь наступления определенного тяжкого последствия, то
подобные действия должны квалифицироваться по совокупности с соответствующими
статьями УК РФ, например, ст. 281 УК РФ.
Ответственность
по ч. 4 ст. 272 УК РФ предусматривается не только при наступлении тяжких
последствий, но и при создании угрозы их наступления. Угроза наступления тяжких
последствий считается созданной, если она была реальной, и тяжкие последствия не
наступили лишь вследствие обстоятельств, не зависящих от воли
виновного.
Создание,
использование и распространение вредоносных компьютерных программ (ст. 273 УК
РФ)
Предметом
преступления являются вредоносные компьютерные программы.
Объективная
сторона преступления включает альтернативные действия, состоящие: 1) в создании
программ, заведомо предназначенных для несанкционированного уничтожения,
блокирования, модификации, копирования компьютерной информации или нейтрализации
средств ее защиты; 2) в распространении таких программ или машинных носителей с
такими программами; 3) в использовании таких программ или носителей с
ними.
Согласно
ст. 1261 Гражданского кодекса Российской Федерации, программой для ЭВМ является
представленная в объективной форме совокупность данных и команд, предназначенных
для функционирования ЭВМ и других компьютерных устройств в целях получения
определенного результата, включая подготовительные материалы, полученные в ходе
разработки программы для ЭВМ, и порождаемые ею аудиовизуальные
отображения.
Базовая
модель угроз безопасности персональных данных при их обработке в информационных
системах персональных данных, утвержденная ФСТЭК РФ 15.02.2008, определяет
вредоносную программу как программу, предназначенную для осуществления
несанкционированного доступа и (или) воздействия на персональные данные или
ресурсы информационной системы персональных данных, а вирус (компьютерный,
программный) как исполняемый программный код или интерпретируемый набор
инструкций, обладающий свойствами несанкционированного распространения и
самовоспроизведения.
Постановление
Правительства РФ от 31.12.2021 №2607 «Об утверждении Правил оказания
телематических услуг связи» дает определение «вредоносное программное
обеспечение» - это программное обеспечение, целенаправленно приводящее к
нарушению законных прав абонента и (или) пользователя, в том числе к сбору,
обработке или передаче с абонентского терминала информации без согласия абонента
и (или) пользователя, либо к ухудшению параметров функционирования абонентского
терминала или сети связи.
Иная
вредоносная компьютерная информация – это информация, которая, не обладая
качеством программ, способна негативно воздействовать на компьютерную
информацию.
Создание
программ представляет собой деятельность, направленную на разработку, подготовку
программ, способных несанкционированно уничтожать, блокировать, модифицировать,
копировать компьютерную информацию или нейтрализовать средства защиты
компьютерной информации, а равно модификацию существующих программ с целью
придания им вредоносных свойств.
Под
распространением таких программ понимается предоставление доступа к ним
неограниченном кругу лиц, а также передачу носителя с подобной программой любым
из возможных способов, включая продажу, прокат, дарение, мену, то есть любые
действия по предоставлению доступа к программе сетевым или иным
способом.
Использование
вредоносной программы - это работа с программой, применение ее по назначению и
иные действия по введению ее в оборот в изначальной или модифицированной форме с
целью реализации её вредоносных свойств и качеств.
Состав
преступления формальный. Преступление окончено с момента создания, использования
или распространения таких программ или информации, создающих угрозу наступления
указанных в законе последствий, вне зависимости от того, наступили реально эти
последствия или нет.
Субъективная
сторона характеризуется виной в форме прямого умысла.
Субъект
преступления выступает вменяемое физическое лицо, достигшее возраста 16
лет.
Использование
вредоносных компьютерных программ либо иной компьютерной информации с целью
завладения чужим имуществом или приобретением права на него подлежит
квалификации по совокупности преступлений, предусмотренных ст.ст. 159.6 и 273 УК
РФ, если вредоносная программа создается или используется с целью устранения
установленных правообладателем средств индивидуальной защиты компьютерной
программы, ответственность наступает по соответствующим частям ст.ст. 146 и 273
УК РФ
Квалифицирующие
признаки преступления аналогичны квалифицирующим признакам деяния,
предусмотренного ст. 272 УК РФ.
Нарушение
правил эксплуатации средств хранения, обработки или передачи компьютерной
информации и информационно-телекоммуникационных сетей (ст. 274 УК
РФ)
Предметом
преступления выступают средства хранения, обработки или передачи охраняемой
компьютерной информации либо информационно-телекоммуникационные сети и оконечное
оборудования.
Под
хранением информации понимается её запись на различных носителях и поддержание
ее сохранности для последующего использования. Обработка информации заключается
в ее преобразовании с помощью компьютера в целях получения определенного
результата. Передача информации – перемещение информации из одного места
хранения в другое.
Средствами
хранении, обработки или передачи охраняемой компьютерной информации являются
различные компьютеры (серверы, рабочие станции, настольные компьютеры, ноутбуки,
планшетные компьютеры, карманные компьютеры, смартфоны, сотовые телефоны и др.)
и компьютерные комплектующие, выполняющие роль накопителей для хранения данных
(жесткие диски, твердотельные накопители, приводы оптических дисков,
флэш-накопители и другие).
Понятие
компьютерной информации рассмотрено ранее.
В
соответствии с Федеральным законом №149-ФЗ информационно-телекоммуникационная
сеть – технологическая система, предназначенная для передачи по линиям связи
информации, доступ к которой осуществляется с использованием средств
вычислительной техники.
Согласно
Федеральному закону от 07.07.2003 № 126-ФЗ (в редакции от 30.12.2021) «О
связи», пользовательское оборудование (оконечное оборудование) – технические
средства для передачи и (или) приема сигналов электросвязи по линиям связи,
подключенные к абонентским линиям и находящиеся в пользовании абонентов или
предназначенные для таких целей. При этом абонентом является пользователь
услугами связи, с которым заключен договор об оказании таких услуг при выделении
для этих целей абонентского номера или уникального кода
идентификации.
Объективная
сторона преступления состоит из трех обязательных признаков: 1) деяния в виде
нарушения указанных в диспозиции статьи правил 2) негативных последствий и 3)
причинной связи между ними.
Нарушение
правил эксплуатации средств хранения, обработки или передачи охраняемой
компьютерной информации либо информационно-телекоммуникационных сетей и
оконечного оборудования, а также правил доступа к
информационно-телекоммуникационным сетям может быть совершено как путем
действия, так и бездействия и может выражаться в эксплуатации компьютера не по
прямому назначению, предоставлении посторонним лицам доступа к средствам
хранения, обработки или передачи охраняемой компьютерной информации,
несанкционированном разглашении логина или пароля законного пользователя,
неправильном подключении компьютера к источникам питания, использовании
нелицензионного программного обеспечения, несанкционированной замене
программного обеспечения, отключении средств противовирусной защиты, ином
игнорировании соблюдения установленных правил, обеспечивающих должную работу
средств хранения, обработки или передачи охраняемой компьютерной информации.
Негативные
последствия в диспозиции данной статьи подразделяются на две категории -
первичные (уничтожение, блокирование, модификацию либо копирование компьютерной
информации) и конечные (причинение крупного ущерба). Данные последствия
рассмотрены нами ранее.
Причинная
связь в данном преступлении должна соединять нарушение правил не только с
первичными, но и с конечными негативными последствиями.
Состав
преступления материальный – оно окончено с момента наступления конечных
негативных последствий (причинения крупного ущерба).
Субъективная
сторона данного деяния характеризуется как умышленной, так и неосторожной формой
вины. Мотивы преступления и его цели не являются необходимыми признаками
субъективной стороны и на квалификацию не влияют.
Субъект
преступления специальный. Им может быть вменяемое физическое лицо, достигшее к
моменту совершения преступления возраста 16 лет, которое в силу характера
выполняемой трудовой, профессиональной или иной деятельности, имеет
беспрепятственный доступ к средствам хранения, обработки или передачи охраняемой
компьютерной информации либо информационно-телекоммуникационным сетям и
оконечному оборудованию и на которое, в силу закона, иного нормативного акта или
договора, возложено соблюдение соответствующих правил эксплуатации или
доступа.
Квалифицирующими
признаками преступления являются наступление тяжких последствий или создание
угрозы их наступления. Понятие тяжких последствий рассмотрено
выше.
Неправомерное
воздействие на критическую информационную инфраструктуру Российской Федерации
(ст. 274.1 УК РФ)
Предметом
преступления выступают компьютерная информация или компьютерные программы,
заведомо предназначенные для совершения компьютерных атак на объекты критической
информационной инфраструктуры, а также объекты критической информационной
инфраструктуры.
В
соответствии с Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности
критической информационной инфраструктуры Российской Федерации» к критической
информационной инфраструктуре относятся объекты критической информационной
инфраструктуры, а также сети электросвязи, используемые для организации
взаимодействия таких объектов.
Объектами
критической информационной инфраструктуры являются информационные системы,
информационно-телекоммуникационные сети, автоматизированные системы управления
субъектов критической информационной инфраструктуры.
Субъектами
критической информационной инфраструктуры выступают государственные органы,
государственные учреждения, российские юридические лица и (или) индивидуальные
предприниматели, которым на праве собственности, аренды или на ином законном
основании принадлежат информационные системы, информационно-телекоммуникационные
сети, автоматизированные системы управления, функционирующие в сфере
здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных
сферах финансового рынка, топливно-энергетического комплекса, в области атомной
энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и
химической промышленности, российские юридические лица и (или) индивидуальные
предприниматели, которые обеспечивают взаимодействие указанных систем или
сетей.
С
объективной стороны преступление может выражаться в:
1)
создании, распространении и (или) использовании компьютерных программ либо иной
компьютерной информации, заведомо предназначенной для неправомерного воздействия
на критическую информационную инфраструктуру Российской Федерации (ч. 1 ст.
274.1 УК РФ);
2)
неправомерном доступе к охраняемой компьютерной информации, содержащейся в
критической информационной инфраструктуре Российской Федерации (ч. 2 ст. 274.1
УК РФ);
3)
нарушении правил эксплуатации средств хранения, обработки или передачи
охраняемой компьютерной информации, содержащейся в критической информационной
инфраструктуре Российской Федерации, или информационных систем,
информационно-телекоммуникационных сетей, автоматизированных систем управления,
сетей электросвязи, относящихся к критической информационной инфраструктуре
Российской Федерации, либо правил доступа к указанным информации, информационным
системам, информационно-телекоммуникационным сетям, автоматизированным системам
управления, сетям электросвязи.
По
сути, ст. 274.1 УК РФ представляет собой объединение трех закрепленных в главе
28 УК РФ форм преступного посягательства в сфере компьютерной
информации:
1)
неправомерный доступ,
2)
создание и распространение вредоносного контента,
3)
нарушение правил эксплуатации средств хранения, обработки или передачи
компьютерной информации.
По
смыслу ст. 274.1 УК РФ все эти деяния имеют специфический предмет посягательства
и должны быть направлены против объектов критической информационной
инфраструктуры. При этом объективные признаки настоящего деяния практически
полностью совпадают с рассмотренными ранее. Таким образом, эта норма конкурирует
и является специальной к трем другим статьям 28 главы УК
РФ.
Субъективная
сторона деяний, предусмотренных ч.ч. 1, 2 и 4 ст. 274.1 УК РФ характеризуется
умыслом, преступление, предусмотренные ч. 3 ст. 274.1 УК РФ – неосторожной
формой вины.
Субъект
преступления общий – вменяемое физическое лицо, достигшее возраста 16 лет, за
исключением случаев, предусмотренных ч. 3 ст. 274 где субъект специальный –
лицо, обязанное выполнять определённые правила.
Квалифицирующие
признаки деяния совпадают с квалифицирующими признаками других преступлений,
предусмотренных главой 28 УК РФ.