четверг, 24 октября 2019 г.

Неправомерный доступ к компьютерной информации


    В свете последних приговоров по ст.274.1 УК РФ, вопрос о квалификации действий пользователя информационной системы выходит на первый план. А учитывая, что ч.3 Ст.274.1 УК РФ в состав преступления относит действия с "охраняемой компьютерной информации", то все еще интереснее.



* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

Е.А. РУССКЕВИЧ

НЕПРАВОМЕРНЫЙ ДОСТУП К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ:

ТЕОРИЯ И СУДЕБНАЯ ПРАКТИКА
Русскевич Евгений Александрович, доцент кафедры уголовного права Московского университета МВД России имени В.Я. Кикотя, кандидат юридических наук.
   Постановка проблемы
   Уголовно-правовая норма об ответственности за неправомерный доступ к компьютерной информации - ст. 272 Уголовного кодекса Российской Федерации <1> (далее - УК РФ) - рассчитана на применение практически к любому случаю незаконного вмешательства в процесс хранения, передачи или обработки компьютерных данных. Однако ее общий характер ставит ряд дискуссионных вопросов, касающихся как содержания ее криминообразующих признаков, так и особенностей применения.
     О неправомерности доступа к компьютерной информации
     В теории уголовного права практически единогласно считается, что доступ к компьютерным данным будет неправомерным, если лицо, осуществляя конкретные действия, не было управомочено на то правообладателем данных. Вместе с тем даже действие в рамках служебных или профессиональных полномочий отнюдь не исключает возможности признания доступа к компьютерной информации неправомерным. Это объясняется тем, что право лица на доступ к информационной базе данных не носит общий характер, а возникает только в связи со строго определенными (нормативно регламентированными) основаниями. Такое расширительное толкование признака неправомерности доступа к защищенным информационным базам находит свою поддержку и на уровне правоприменения. Так, в одном из дел суд отметил, что "действия виновного по внесению заведомо ложных сведений об уплате штрафа, не соответствующих действительности, непосредственно связаны с осуществлением им своих прав и обязанностей, которые не вызывались служебной необходимостью и объективно противоречили как общим задачам и требованиям, предъявляемым к государственному аппарату, так и тем целям и задачам, для достижения которых виновный как должностное лицо был наделен соответствующими должностными полномочиями" <2>.
   В другом решении суд, применив часть 3 ст. 272 УК РФ, обоснованно указал, что наличие у виновного официального доступа к служебной базе данных само по себе не исключает возможности его осуждения по ст. 272 УК РФ, поскольку им совершены незаконные действия, связанные с неправомерным доступом к компьютерной информации и нацеленные на сокрытие ранее совершенного должностного преступления, а также на избежание лицом, совершившим административное правонарушение, исполнения назначенного судебным решением наказания <3>.
   О содержании понятия "охраняемая законом информация"
До настоящего времени нечетким остается содержание такого конструктивного признака ст. 272 УК РФ, как "охраняемая законом информация" <4>. Изначально в теории обосновывалось, что доступ к компьютерной информации является неправомерным при любом обращении к информации вопреки воле ее владельца <5>. Д.Г. Малышенко в связи с этим отмечает, что предметом преступления, предусмотренного ст. 272 УК РФ, является компьютерная информация, собственник которой явным образом объявил об ограничении ее использования <6>.
   Со временем все большее распространение стала получать позиция, согласно которой под охраняемой законом информацией следует понимать лишь закрытую информацию - это государственная, служебная, коммерческая, банковская, врачебная, нотариальная, адвокатская тайны, персональные данные и т.д. <7>. В Методических рекомендациях Генеральной прокуратуры Российской Федерации также указано, что по смыслу ст. 272 УК РФ охраняемой законом информацией являются лишь сведения, в отношении которых установлен специальный режим правовой защиты (например, государственная, служебная и коммерческая тайна, персональные данные и т.д.) <8>.
    Отсутствие общепринятого толкования понятия "охраняемая законом информация" закономерно повлекло отсутствие единообразия в практике применения ст. 272 УК РФ. Отдельные суды, придерживаясь рекомендаций Генеральной прокуратуры Российской Федерации, указывают, что неправомерные манипуляции с открытой (общедоступной) информацией не подпадают под действие данной статьи.
   Так, отменяя обвинительный приговор, вышестоящий суд указал: "По смыслу закона под охраняемой законом понимается информация, для которой установлен специальный режим ее правовой защиты. то есть информация ограниченного доступа. При этом судом сделаны выводы, что указанная информация (новости, советы логопеда, психолога и т.п.) охраняется законом - статьей 6 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации". Однако данные выводы противоречат содержанию вышеуказанных законодательных актов Российской Федерации. Информация на сайте, в редактировании и удалении которой признана виновной К., является общедоступной информацией, к которой относятся общеизвестные сведения и для которой отсутствует необходимость установления специального режима ее правовой защиты. Указанное закреплено и в пунктах 1.7 и 3.2 Положения о сайте МБДОУ "1", утвержденного Приказом заведующей учреждения, согласно которому информационный ресурс сайта является открытым и общедоступным, информация на сайте является открытой и общедоступной, если иное не определено специальными документами. При этом таковых в материалах уголовного дела не имеется" <9>.
    Однако можно найти и многочисленные примеры применения ст. 272 УК РФ при оценке действий, связанных с неправомерным доступом к открытой информации, хранящейся в сети Интернет. Например, именно по данной статье были квалифицированы действия С., который, прекратив свою трудовую деятельность в качестве генерального директора организации и утратив в связи с этим право доступа к учетной записи администратора сайта, принадлежащего организации и используемого в деловых и маркетинговых целях, испытывая неприязненное отношение к руководству, желая опорочить деловую репутацию общества, умышленно уничтожил и модифицировал часть компьютерной информации: изменил изображение слайдера, удалив исходные и добавив новые изображения, порочащие деловую репутацию общества, удалил контактный телефон и сведения об имеющихся сертификатах, изменил сведения о производстве и качестве сырья, удалил информацию о партнерах, экологической безопасности продукции и т.д. <10>.
    Другим примером может послужить дело в отношении А., который, располагая сведениями о логине и пароле администратора сайта образовательного учреждения, из любопытства и желания проверить собственные навыки владения компьютерными программами удалил имеющуюся на указанном сайте информацию, заменив ее графическим изображением черного флага с арабской вязью, т.е. совершил уничтожение и модификацию общедоступной информации на официальной странице организации в сети Интернет <11>.
    Рассматривая подобные дела, суды, как правило, ссылаются на то обстоятельство, что виновное лицо осуществило неправомерное уничтожение, модификацию или блокирование общедоступной информации, охраняемой Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" <12> (далее - Закон об информации).
    Согласно ст. 16 данного Закона, защита информации представляет собой принятие правовых, организационных и технических мер, направленных: 1) на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации. При этом в соответствии с частью 3 ст. 6 Закона обладатель информации, если иное не предусмотрено федеральными законами, вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа.
     Нельзя не отметить, что данные положения в целом корреспондируют с Рекомендациями по стандартизации, разработанными Государственным научно-исследовательским испытательным институтом проблем технической защиты информации Гостехкомиссии России, определяющим безопасность информации как состояние защищенности информации, при котором обеспечивается ее конфиденциальность, доступность и целостность <13>.
    Общедоступная информация отнюдь не является незащищаемой. Положения об обязательности технологической и программной защиты общедоступной информации, размещаемой в сети Интернет, содержатся во многих подзаконных нормативно-правовых актах. Так, в соответствии с Приказом Минкомсвязи России от 27 июня 2013 г. N 149 "Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами и местного самоуправления в сети Интернет в форме открытых данных, а также для обеспечения ее использования" <14> общедоступная информация, размещаемая на сайте в форме открытых данных, должна быть защищена от уничтожения, модификации, блокирования, а также от иных неправомерных действий в отношении такой информации. Аналогичное требование регламентировано Постановлением Правительства Российской Федерации от 10 июля 2013 г. N 582 "Об утверждении Правил размещения на официальном сайте образовательной организации информационно-телекоммуникационной сети Интернет и обновления информации об образовательной организации" <15>.
   Таким образом, положения ст. ст. 6 и 16 Закона об информации в их системном толковании позволяют сделать вывод, что по смыслу ст. 272 УК РФ к охраняемой законом информации следует относить: 1) информацию ограниченного доступа; 2) общедоступную информацию, обладателем которой приняты меры по ее защите от несанкционированного уничтожения, модификации или блокирования.
    О моменте окончания неправомерного доступа к компьютерной информации
    Момент окончания преступления, предусмотренного ст. 272 УК РФ, в теории уголовного права традиционно определяется моментом наступления последствий в виде уничтожения, блокирования, модификации или копирования охраняемой законом компьютерной информации <16>. Учитывая, что указанные последствия не связаны между собой и являются взаимозаменяемыми признаками анализируемого состава преступления, неправомерный доступ следует считать оконченным и тогда, когда фактически наступило лишь одно из них (например, копирование) <17>.
   Специалисты отмечают, что в ряде случаев современные технические средства позволяют восстановить утраченную информацию полностью или хотя бы частично. Однако, как полагают исследователи, это не освобождает от уголовной ответственности по части 1 ст. 272 УК РФ такое лицо, которое осуществило неправомерный доступ к охраняемой законом компьютерной информации и затем попыталось ее уничтожить, поскольку преступная цель оказалась не реализована по не зависящим от лица обстоятельствам. В связи с этим подобные действия следует оценивать как покушение на уничтожение охраняемой законом компьютерной информации по части 3 ст. 30, части 1 ст. 272 УК РФ <18>.
      Следует заметить, что наличие или отсутствие у потерпевшего системы архивного копирования и аварийного восстановления данных вряд ли может однозначно предрешать вопрос о назначении уголовной ответственности, единственным основанием наступления которой служит описанное в уголовном законе деяние, содержащее признаки состава преступления. А потому ссылка на то, что предусмотренные ст. 272 УК РФ последствия не наступили, может быть оценена критически.
      Юридический и фактический моменты окончания неправомерного доступа к компьютерной информации могут не совпадать. Копирование и модификация информации, как правило, не осуществляются одновременно. Процесс копирования значительных объемов компьютерных данных может потребовать несколько десятков минут, а иногда и часов. Тем не менее даже если лицо по независящим от него обстоятельствам не смогло скопировать или модифицировать заранее определенный объем информации (например, целиком заполучить интересующую его базу данных), содеянное все равно образует оконченное преступление. То, что умысел лица не был реализован в полном объеме, свидетельствует лишь о фактической незавершенности деяния, в юридическом же смысле оно было окончено с момента копирования или модификации первого файла. Копирование (модификацию) информации в данном случае следует оценивать как процесс, направленный на определенный результат (получение полного объема данных или их видоизменение). Однако этот результат (преступная цель) лежит за рамками состава преступления, предусмотренного ст. 272 УК РФ. А потому, с учетом предписаний уголовного закона, оценивать следует сам процесс, рассматривая его как юридически завершенный преступный акт с момента его начала.
    При этом действия лица по установке специального оборудования, предназначенного для скрытого копирования охраняемой законом информации, нужно оценивать как покушение на неправомерный доступ к ней.
    В правоприменительной практике подобная квалификация наиболее часто встречается по делам об установке так называемых скиммеров <19> на банкоматы.
    Неправомерный доступ к охраняемой законом компьютерной информации, осуществляемый под скрытым контролем сотрудников правоохранительных органов, следует квалифицировать как покушение на преступление, предусмотренное ст. 272 УК РФ.
     Так, З. был осужден по части 3 ст. 30, части 1 ст. 272 УК РФ за покушение на неправомерный доступ к охраняемой законом компьютерной информации в целях ее модификации. Согласно приговору, З., находясь на рабочем месте в мастерской по ремонту мобильных телефонов, действуя умышленно, из корыстных побуждений, в рамках оперативно-разыскного мероприятия ("проверочная закупка"), за вознаграждение в размере 200 рублей принял заказ от лица, выступавшего в роли закупщика, на смену международного идентификатора оборудования мобильного телефона (IMEI), являющегося уникальным параметром, не подлежащим изменению и позволяющим операторам компаний сотовой связи обнаружить и идентифицировать аппарат в случае его утери либо хищения. В результате преступных действий З. в мобильном телефоне был изменен IMEI-номер. Квалифицируя действия подсудимого, суд учел, что неправомерный доступ к охраняемой законом компьютерной информации, повлекший ее модификацию, происходил под контролем правоохранительных органов в ходе оперативно-разыскного мероприятия, проводимого представителями правоохранительных органов в соответствии с Федеральным законом от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности" <20>, в результате чего реального ущерба для компании не наступило по независящим от З. обстоятельствам <21>.

Выводы
    Под неправомерным доступом следует понимать совершение любых (как высокотехнологичных, так и примитивно-бытовых) действий, предоставляющих лицу возможность распоряжения информацией (ее уничтожения, модификации, блокирования, копирования) по собственному усмотрению без согласия на то законного владельца.
    Предметом преступления, предусмотренного ст. 272 УК РФ, является как конфиденциальная компьютерная информация, так и открытая информация, правообладателем которой установлены программно-технические средства защиты, направленные на обеспечение ее целостности и доступности.
   Момент окончания преступления, предусмотренного ст. 272 УК РФ, определяется моментом наступления последствий в виде уничтожения, блокирования, модификации или копирования охраняемой законом компьютерной информации. Учитывая, что указанные последствия не связаны между собой и являются взаимозаменяемыми признаками анализируемого состава преступления, неправомерный доступ следует считать оконченным и тогда, когда фактически наступило лишь одно из них. При этом юридический и фактический моменты окончания неправомерного доступа к компьютерной информации могут не совпадать.

6 комментариев:

  1. Да, в нашей стране и общедоступная информация подлежит защите: в отношении неё применяются меры защиты информации, направленные на обеспечение ее целостности и доступности.
    Кстати, в каком-то комментарии к другому посту я об этом уже говорил.

    ОтветитьУдалить
  2. Доступ к информации не может считаться неправомерным, если ее владелец (оператор) не принял мер по ограничению доступа к ней, или, как минимум, действий по информированию о разрешенных действиях с данной информацией.

    ОтветитьУдалить
  3. Достаточно дверь закрывать на ключ и будет считаться мерой от нсд

    ОтветитьУдалить
  4. Вот именно, если "дверь стоит и замок весит"), а вот если свободный доступ к значимой информации ничем не ограничен, нет никаких предупреждающих сообщений, в этом случае, вероятно, вся ответственность на владельце (операторе). Не так ли?

    ОтветитьУдалить
  5. Информация либо защищается по требованию конкретного закона, либо по решению владельца. Ответственность у всех разная. У владельца административная по ст. 13.12 коап, у хакера уголовная.

    ОтветитьУдалить
  6. Мне кажется, что ещё есть проблема по разделению «охраняемой информации» и «защищаемой информации». Есть ли разница?

    ОтветитьУдалить