Финальные шаги по корректировке УК РФ для субъектов КИИ

   Одна из самых популярных заметок блога написана про неоднозначность формулировок ст.274.1 УК РФ https://valerykomarov.blogspot.com/2018/11/blog-post.html.
   Анализу действующей редакции УК РФ, правоприменительной практике в блоге отводилось много внимания. Одновременно шла работа в официальном поле, без публичной огласки.
   И вот финишная прямая. На https://regulation.gov.ru/projects#npa=102094 опубликован законопроект по внесению изменений в ст.274.1 УК РФ. Вариант во многом компромиссный, очень много сторон участвовало с защитой своих интересов. 


ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
к проекту федерального закона «О внесении изменений в статью 274.1 Уголовного кодекса Российской Федерации» Федеральным законом от 26 июля 2017 г. № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» глава 28 Уголовного кодекса Российской Федерации дополнена 
‎статьей 274.1, установившей уголовную ответственность за общественно опасные деяния, связанные с неправомерным воздействием на критическую информационную инфраструктуру Российской Федерации.

  Между тем, нормы, установленные отдельными частями указанной статьи Уголовного кодекса Российской Федерации (далее – УК РФ), не в полной мере обеспечивают уголовно-правовую защиту общественных отношений, связанных с обеспечением безопасности критической информационной инфраструктуры Российской Федерации и ее бесперебойного функционирования. Это обусловлено особенностями использованного понятийного аппарата, применение которого в силу неоднозначной и субъективной трактовки может сформировать спорную правоприменительную практику на всех стадиях уголовного судопроизводства на территории Российской Федерации.

   Представляемым проектом федерального закона «О внесении изменений в статью 274.1  Уголовного кодекса Российской Федерации» (далее – законопроект) в целях повышений эффективности правовой защиты безопасности критической информационной инфраструктуры Российской Федерации и устранения условий формирования неоднозначного правоприменения статьи 274.1 УК РФ предлагается внести изменения в ее части 1-3 с учетом положений Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Закон о КИИ), определяющих задачи системы безопасности значимого объекта критической информационной инфраструктуры (ч. 2 ст. 10 
‎Закона о КИИ) и критерии категорирования объектов критической информационной инфраструктуры (ч. 2 ст. 7 Закона о КИИ).

   Законопроект конкретизирует условия наступления ответственности по указанной статье УК РФ, а также приводит используемую в статье терминологию в соответствие с положениями Закона о КИИ.

   Так, перечень способов неправомерного воздействия на критическую информационную инфраструктуру (далее – КИИ), приведенный в части первой статьи 274.1, предлагается дополнить предоставлением доступа к информации, содержащейся в КИИ, а также завершить данный перечень словами «а равно для иных неправомерных действий в отношении указанной информации». Данная поправка приводит перечень способов неправомерного воздействия на КИИ в соответствие с пунктом 1 части 2 статьи 10 Закона КИИ, согласно которому одной из основных задач системы безопасности значимого объекта критической информационной инфраструктуры является «предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом критической информационной инфраструктуры, уничтожения такой информации, 
‎ее модифицирования, блокирования, копирования, предоставления 
‎и распространения, а также иных неправомерных действий в отношении такой информации». 

   Следует отметить, что в действующей редакции пункта 1 статьи 274.1 УК РФ данный перечень, фактически, является открытым. Таким образом, предложенные 
‎в пункт 1 статьи 274.1 УК РФ поправки имеют технический характер 
‎и предназначены для синхронизации указанных норм и унификации терминологии УК РФ и Закона о КИИ.

   Одновременно предлагается внести изменения в составы преступлений, предусмотренных частями 2 и 3 статьи 274.1 УК РФ. Представляется, что установленный законодателем в качестве обязательного материального признака такой элемент указанных составов преступлений как «наступление вреда» критической информационной инфраструктуре в силу многозначного понятия «вред» недостаточно конкретизирован, чем детерминирует высокую степень субъективности при его толковании и последующем применении. Одновременно негативному правоприменению может способствовать использование в диспозиции указанных норм достаточно широкого понятия «критическая информационная инфраструктура», которая согласно пункту 6 статьи 2 Закона о КИИ включает в себя все объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.

   Действующая редакция частей 2 и 3 статьи 274.1 УК РФ в силу названной широты предмета преступления и отсутствия количественных и качественных характеристик описания вреда как конститутивного признака состава преступления позволяет субъективно оценивать характер и размер вреда и, как следствие, неоднозначно толковать и применять указанные нормы, что может привести ‎к неоправданному расширению круга лиц, подпадающих под их действие 
‎по достаточно формальным основаниям. Для исключения подобных случаев предлагается в частях 2 и 3 статьи 274.1 УК РФ, в которых характеристики «вреда» недостаточно акцентированы, а иные элементы объективной стороны деяния носят достаточно формальный характер, необходимое условие наступления уголовной ответственности – «причинение вреда» заменить на «причинение крупного ущерба».

   В отличие от понятия «причинение вреда», которое допускает расширительное толкование и не имеет единой выработанной расшифровки 
‎в уголовном законодательстве, понятие «причинение крупного ущерба» точно 
‎и однозначно трактуется и широко используется в УК РФ, как связанное 
‎с причинением материально-вредных последствий и, как правило, раскрывается непосредственно в тексте соответствующей статьи или главы УК РФ. Согласно пункту 2 примечания к статье 272 УК РФ («Неправомерный доступ к компьютерной информации») крупным ущербом в статьях главы 28 «Преступления в сфере компьютерной информации» УК РФ признается ущерб, сумма которого превышает один миллион рублей. 

   Таким образом, данная поправка позволит значительно снизить правовую неопределенность относительно условий наступления ответственности по частям 2 и 3 статьи 274.1 УК РФ, установив четко определенный размер имущественного вреда, причинение которого станет основанием для наступления уголовной ответственности.

  Законопроект соответствует положениям Договора о Евразийском экономическом союзе, а также положениям иных международных договоров. 


   Реализация законопроекта не потребует дополнительных расходов, покрываемых за счет федерального бюджета, а будет осуществляться федеральными органами исполнительной власти Российской Федерации за счет и в пределах средств, предусмотренных в бюджете на их текущее содержание.

ФЕДЕРАЛЬНЫЙ ЗАКОН

«О внесении изменений в статью 274.1 Уголовного кодекса Российской Федерации» 

Внести в статью 274.1 Уголовного кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1996, № 25, ст. 2954; 2017, № 31, ст. 4743) следующие изменения:

1) абзац первый части первой изложить в следующей редакции:

«1. Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, в том числе для уничтожения, блокирования, модификации, копирования, предоставления доступа к информации, содержащейся в критической информационной инфраструктуре Российской Федерации, а равно для иных неправомерных действий в отношении указанной информации, или нейтрализации средств защиты указанной информации, -»;

2) абзац первый части второй изложить в следующей редакции:

«2. Неправомерный доступ к охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, или иных вредоносных компьютерных программ, если это повлекло причинение крупного ущерба, -»;

3) абзац первый части третьей изложить в следующей редакции:


«3. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение крупного ущерба, -».

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite