Мудрый Юрист

О возможном решении проблемы неполноты главы 28 УК РФ

Амелин Р.В., заместитель заведующего кафедрой прикладной информатики механико-математического факультета Саратовского государственного университета им. Н.Г. Чернышевского.

Глава 28 Уголовного кодекса Российской Федерации называется "Преступления в сфере компьютерной информации" и включает в себя три статьи: ст. 272 "Неправомерный доступ к компьютерной информации", ст. 273 "Создание, использование и распространение вредоносных программ для ЭВМ" и ст. 274 "Нарушение правил эксплуатации ЭВМ, системы ЭВМ и их сети".

Появление данной главы в УК РФ в 1996 г. было крайне обоснованным и весьма своевременным в связи с интенсивным развитием информационных технологий. В то же время в силу относительной новизны регулируемых данной главой правоотношений она страдает многочисленными недостатками - главным образом в понятийной сфере, начиная от отсутствия нормативной дефиниции самого понятия компьютерной информации и заканчивая множеством спорных моментов, связанных с объективной частью каждой из включенных в нее статей.

Так, в частности, общественно опасные последствия преступлений в сфере компьютерной информации заключаются в уничтожении, блокировании, модификации или копировании информации, а также нарушении работы ЭВМ, их систем или сети. Нормативно-правовое закрепление этих понятий отсутствует, хотя авторы комментариев к УК РФ и другие исследователи уголовного законодательства принципиальных разногласий по поводу их определения не имеют. Например, в Комментарии к УК РФ под редакцией Л.Л. Кругликова предлагаются следующие дефиниции: "Уничтожение информации заключается в удалении ее с носителя. Блокирование - это создание препятствий правомерному доступу к ней. Модификация информации предполагает любое ее изменение. Копирование - воспроизведение указанной информации на другом носителе. При этом не имеет значения, воспроизводится ли она с помощью технических средств либо вручную. Нарушение работы ЭВМ, их систем или сети означает, что они в результате этого не могут выполнять свои функции, выполнять их на должном уровне, когда значительно уменьшается их производительность" <1>.

<1> Комментарий к Уголовному кодексу Российской Федерации (постатейный) / В.К. Дуюнов и др.; Отв. ред. Л.Л. Кругликов. М.: Волтерс Клувер, 2005.

Проблемы понятийного аппарата 28 главы УК РФ многократно затрагивались в трудах отечественных юристов <2>. В настоящей работе хотелось бы затронуть более глубокую проблему, а именно проблему неполноты объективной части ст. 272, 273 и 274 УК РФ.

<2> См., напр.: Нехорошев А.Б. Компьютерные преступления: квалификация, расследование, экспертиза. Ч. 1 / Под ред. В.Н. Черкасова. Саратов: СЮИ МВД России, 2003; Преступления в сфере компьютерной информации: квалификация и доказывание: Учеб. пособие / Под ред. Ю.В. Гаврилина. М.: ЮИ МВД РФ, 2003; Вехов В.Б., Попова В.В., Илюшин Д.А. Тактические особенности расследования преступлений в сфере компьютерной информации: Науч.-практ. пособие. Изд. 2-е, доп. и испр. М.: ЛексЭст, 2004.

В 28-й главе УК РФ используется общий для УК РФ подход, при котором в основу классификации преступлений положена их объективная сторона. Угрозы компьютерной информации рассматриваются не с точки зрения ее свойств, которые нарушаются в результате неправомерных действий (бездействия), а с точки зрения самих этих действий. Однако исчерпывающе указать перечень действий, угрожающих правоотношениям в сфере компьютерной информации, достаточно затруднительно, тем более в условиях непрерывного развития информационных технологий, средств и способов обработки данных и доступа к ним. Практически невозможно, на наш взгляд, составить и исчерпывающий перечень общественно опасных последствий, которые могут наступить в результате неправомерных действий.

Так, например, формально чтение информации с экрана монитора не подпадает ни под одно из перечисленных выше понятий (уничтожение, блокирование, копирование, модификация), однако нарушает права владельца информации (например, если эта информация составляет личную или коммерческую тайну) <3>.

<3> См., напр.: Расследование неправомерного доступа к компьютерной информации: Учебное пособие. Изд-е 2-е, доп. и перераб. / Под ред. д.ю.н., проф. Н.Г. Шурухнова. М.: Московский университет МВД России, 2004. С. 95.

Между тем в рамках научной дисциплины "Информационная безопасность" ("Защита информации") выработаны три свойства информации, являющиеся центральными для этой дисциплины: конфиденциальность, целостность и доступность <4>. Их принципиальное отличие от всех остальных свойств заключается в том, что они не присущи информации как таковой, а появляются лишь в результате принятия мер иного организационного характера. Более того, после того как определенная информация (или компьютерная информация) обрела эти свойства, она может их и лишиться в результате внешних воздействий. Эти воздействия могут явиться как результатом события (например, в результате стихийного бедствия был уничтожен банк данных - потеря целостности и доступности), так и действия. В свою очередь, действия могут быть правомерные и неправомерные. Учитывая, что информация, обладающая указанными свойствами (всеми тремя или двумя последними), имеет гораздо большую ценность, чем информация, такими свойствами не обладающая, неправомерные деяния, их нарушающие, наносят значительный ущерб собственнику информации, а значит, и общественным отношениям в данной области. По сути, глава 28 УК РФ обеспечивает уголовно-правовую защиту именно этих свойств. Заметим, что остальные многочисленные свойства информации не нуждаются в защите такого рода. Часть из них неотъемлема по самой природе информации (идеальность, неисчерпаемость), другими же, такими, как достоверность или объективность, информация может либо обладать, либо не обладать, но их изменение невозможно - это будет уже другая информация.

<4> См.: Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире. СПб.: Питер, 2003; Соколов А.В., Степанюк О.М. Защита от компьютерного терроризма. СПб.: БХВ-Петербург, 2002; Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. СПб.: НиТ, 2004.

Рассмотрим три названных свойства более подробно.

Конфиденциальность информации означает, что с ней может ознакомиться только строго ограниченный круг лиц, определенный ее владельцем. Если доступ к информации получает неуполномоченное лицо, происходит утрата конфиденциальности. Для некоторых типов информации конфиденциальность является одним из наиболее важных атрибутов (например, данные стратегических исследований, сведения медицинских учреждений о состоянии здоровья пациентов, спецификации новых изделий и т.п.). Понятие конфиденциальности конкретизируется в российском законодательстве в виде институтов государственной, служебной и коммерческой тайны, тайны частной жизни, персональных данных и т.д.

Целостность информации подразумевает, что только уполномоченные лица могут вносить в эту информацию изменения. Если информация искажается в результате ошибки оператора, сбоя системы или действия неуполномоченного лица, происходит потеря целостности. Показателен пример, когда злоумышленник вторгся в компьютерную систему исследовательской лаборатории ядерной физики в Швейцарии и изменил один знак в значении числа "пи", в результате чего из-за ошибок в расчетах был сорван важный эксперимент, а организация понесла миллионные убытки <5>. Целостность особенно важна для данных, связанных с функционированием объектов критических инфраструктур (например, управления воздушным движением, энергоснабжения и т.д.), финансовых данных.

<5> Осипенко А.Л. Борьба с преступностью в глобальных компьютерных сетях: международный опыт: Монография. М.: Норма, 2004. С. 21.

Доступность информации означает наличие своевременного беспрепятственного доступа к информации для субъектов, обладающих соответствующими полномочиями.

Анализ статей главы 28 УК РФ показывает, как было отмечено выше, что именно перечисленные три свойства охраняются этими статьями. Так, копирование компьютерной информации является нарушением конфиденциальности, модификация - нарушением целостности, а блокирование и уничтожение - нарушением доступности. Проблема в том, что существуют и другие способы нарушения этих свойств. В частности, конфиденциальность нарушается путем просмотра информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств, путем перехвата электромагнитных излучений и виброакустических сигналов; конфиденциальность и доступность - путем хищения технических средств с хранящейся в них информацией или отдельных носителей информации и т.д. <6>.

<6> См., напр., о возможных каналах утечки информации руководящий документ Государственной технической комиссии при Президенте РФ "Защита от несанкционированного доступа к информации" // Справочно-правовая система "КонсультантПлюс".

Более того, помимо несанкционированного доступа к компьютерной информации и использования вредоносных программ существуют (и появляются новые) способы копирования, уничтожения, блокирования и модификации информации. Таковым является, например, социальный инжиниринг, когда злоумышленник путем обмана побуждает оператора ЭВМ выложить конфиденциальную информацию в открытый доступ. Действия оператора при этом в принципе могут быть квалифицированы по ст. 274 УК РФ, а вот квалифицировать действия злоумышленника по ст. 272 УК РФ на практике будет крайне затруднительно.

На наш взгляд, разумнее было бы использовать подход, устанавливающий уголовную ответственность за нарушение конфиденциальности, целостности и доступности информации (с учетом равной значимости всех трех свойств ответственность могла бы быть единой), независимо от способа совершения преступления. Отдельные способы, такие, как создание или распространение вредоносных программ, в силу их особой общественной опасности могли бы выступить в качестве квалифицирующего признака. Такой подход гарантированно закрыл бы "дыры" в уголовном законодательстве, поскольку угрозы компьютерной информации исчерпываются тремя названными свойствами.