Довольно примечательная статья от региональных юристов. Недостатки правового характера в ст.274.1 УК РФ, "подсвеченные" в 2019 году, уже проявили себя в судебной практике в 2020-2021 годах. Здесь и широкая трактовка судами "нанесенного вреда КИИ" и обвинения в применение вредоносных программ, "заведомо предназначенных для нанесения вреда КИИ". И неоднозначность квалификации преступлений, когда за одни и те же преступные действия вменяют разные статьи УК РФ, с четко выраженным региональными и ведомственными особенностями.
К сожалению, инициатива Минэкономразвития по внесению изменений в ст.274.1 УК РФ в части устранения подобных недостатков затормозилась. https://www.economy.gov.ru/material/news/minekonomrazvitiya_predlagaet_dekriminalizovat_neznachitelnyy_ushcherb_kriticheskoy_informacionnoy_infrastrukture.html
Судебную практику по ст.274.1 УК РФ в первом квартале 2021 подвел - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/sudebnaia-praktika-po-st-2741-uk-rf-itogi-za-1-kvartal-2021-goda-609d8fc0d4b3a241538eccc8
Технико-юридический анализ нормы о неправомерном воздействии на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК РФ)
Бражник Сергей Дмитриевич, кандидат юридических наук, доцент Ярославский государственный университет им. П.Г. Демидова Пилясов Иван Алексеевич, научный консультант АНО «Ярославское правовое научно-исследовательское общество»
Журнал "ЕВРАЗИЙСКОЕ НАУЧНОЕ ОБЪЕДИНЕНИЕ" 2019 г.
Состояние информационной безопасности является одной из составляющих национальной безопасности и характеризуется постоянным повышением сложности, увеличением масштабов и ростом скоординированности компьютерных атак в том числе и на объекты критической информационной инфраструктуры (КИИ)1, количество кибератак на объекты КИИ увеличивается с каждым годом. В связи с нарастанием угроз применения информационных технологий и в целях безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры законодатель в 2017 году криминализировал неправомерное воздействие на КИИ РФ (ст. 274.1 УК). Ключевые слова: преступление, уголовная ответственность, информационная среда, компьютерная безопасность, неправомерный доступ, информация, уничтожение, блокирование, модификация, копирование, нейтрализация средств защиты. Первый и основной недостаток исследуемой нормы «вытекает» из «ущербной» уголовной политики, которая чаще всего сводится к попыткам совершенствовать уголовный закон преимущественно за счет неоправданной криминализации все новых и новых форм общественно опасного поведения, путем выделения специальных норм. Такие предложения подкупают простотой решения вопроса и, на первый взгляд, привлекают внешне надежными способами усиления охраны соответствующего объекта (в данном случае КИИ). Вместе с тем должно быть очевидно, что практическая реализация подобных идей способна объективно снизить безопасность охраняемого объекта, породить серьезные проблемы, например, с квалификацией преступлений. Об одном из печальных опытов выделения специальных видов мошенничества было написано достаточно. Однако законодатель, с завидной настойчивостью продолжает эту серию экспериментов. Думается, что конструирование специальных норм имеет смысл тогда, когда вновь создаваемые составы существенно отличаются (в т.ч. по степени общественной опасности) от «основного» состава, в связи с чем необходима дифференциация ответственности. В данном конкретном случае мы такого не наблюдаем. Законодатель мог бы избежать множества проблем, пойди он по пути углубления дифференциации уголовной ответственности за преступления в сфере компьютерной информации, наполнив соответствующие составы особо квалифицирующими признаками «в отношении объектов критической информационной инфраструктуры». Законодателем в ст. 274.1 УК РФ не исполняется одно из основных правил законодательной техники, согласно которому в каждой статье Уголовного кодекса должна быть изложена самостоятельная норма, чтобы различные по своему содержанию нормы, несмотря на их органическую связь, на взаимообусловленность и дополняемость, формулировались в различных статьях закона. Пожалуй, следующим из существенных недостатков ст. 274.1 УК является то, что характеристика наиболее важного признака - объективной стороны состава преступления перегружена узкоспециальными техническими терминами и оценочными категориями. Введение законодателем специальных составов, которые фактически представляет собой объединение трех традиционных для отечественного законодательства форм преступного посягательства в сфере компьютерной информации (неправомерный доступ; оборот вредоносных компьютерных программ; нарушение правил эксплуатации) законодатель создает конкуренцию уголовно-правовых норм и проблемы для правоприменителя (при квалификации преступлений). Учитывая специфику объектов посягательства, следует отметить, что совершение компьютерных атак на КИИ транспорта, с очевидностью содержат признаки преступлений, предусмотренных ст. 167, 267 и 205 УК, тогда как взрыв объектов КИИ (здания в котором осуществляется оборот соответствующей информации, электрических сетей, сетей электросвязи) - как 274.1 УК; неправомерное воздействие на коммуникации КИИ в целях подрыва экономической безопасности – ст. 281 УК; передача иностранному государству информации, отнесенной к КИИ – ст. 275 и 276 УК; разглашение сведений, содержащих государственную тайну – ст. 283, 283.1 УК, воздействие на соответствующую информацию на объектах атомной энергетики – ст. 215 УК. Так фантазировать можно долго. Приняв подобную норму законодатель просто открывает «ящик Пандоры», который закрыть будет непросто. Говоря о предмете данного преступлений в сфере компьютерной информации, большинство исследователей пишущих на эту тему немало не задумываясь указывают, что предметом преступлений в сфере компьютерной информации является компьютерная информация, средства хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационные сети, оконечное оборудование, а также КИИ РФ. И это правильно. Но, что же такое КИИ РФ? Исходя из буквального толкования уголовного закона – это, прежде всего, компьютерная информация и компьютерные программы, представляющие особую важность, ограниченные в обороте, находящиеся в обороте субъектов, определенных законом и другими нормативными актами. Именно на основании этих отличительных признаков законодатель и выделяет ст. 274.1 УК. Имея в виду то, что каждый предмет преступления должен характеризоваться определенными качественными и количественными признаками, зададимся вопросом: Чем же предмет ст. 274.1 УК принципиально отличается от предмета ст.ст. 272- 274 УК? Похоже ничем, за исключением сферы оборота данной информации! В ситуации когда объекты и субъекты КИИ РФ, надлежащим образом не определены; соответствующего Реестра информации и программ, представляющих особую важность нет; режим оборота подобной информации не организован [2]; пределы наказуемости составов (ст.ст. 272-274УК и ст. 274.1 УК) – существенно не отличаются и, соответственно, не свидетельствуют об особой важности предмета, предусмотренного ст. 274.1 УК, несложно спрогнозировать проблемы квалификации исследуемых составов. Не понятно, чем руководствовался законодатель формулируя принципиально разные подходы в избрании конструкции основных составов ст. 274.1 УК. Например, ч. 1 по конструкции состава является формальным (вред не конкретизирован), тогда как в ч. 2 и 3 – материальным (необходимо наступление причинение вреда КИИ РФ). Говорить о повышенной/пониженной опасности указанных составов – не приходится. Пределы наказуемости, также - вполне сопоставимы. Принципиальным отличием от санкций, предусмотренных в ст. 272-274 УК? Так и здесь нет принципиальных различий. Существенным, на наш взгляд, признаком исследуемого состава преступления, является признак «заведомости». Законодатель более 130 раз использует термин «заведомость» в качестве криминообразующего и квалифицирующего признака в УК РФ. Во многих словарях русского языка слово «заведомый» определяется как «хорошо известный», «несомненный». Относительно признака «заведомости», в преступлениях против личности, собственности правоприменительная и судебная практика устоялась и не представляет особых проблем, чего нельзя сказать о преступлениях в сфере компьютерной информации. Следует заметить, что ранее уже было высказано сомнение в целесообразности использования признака «заведомости» в преступлениях в сфере компьютерной информации. Например, нами еще в 2002 году обращалось внимание на это обстоятельство [2, С. 95, 105-106] и предлагалось признак «заведомости» исключить из диспозиции ст. 273 УК. Не изменилась эта позиция сейчас, применительно к ст. 274.1 УК. Конструкция объективной стороны исследуемого преступления такова, что предполагает «хорошо известное»/«несомненное» знание виновным вредоносных качеств компьютерной программы или компьютерной информации, предназначенных для неправомерного воздействия именно на КИИ РФ, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или для нейтрализации средств защиты указанной информации. В настоящее время, когда уровень развития компьютерной техники столь высок, а программы достигли чрезвычайной сложности, одни и те же действия часто приводят к разным последствиям (в зависимости от состояния ЭВМ, степени её надежности и защищенности) – воздействие на КИИ, а равно ее уничтожение, блокирование, модификация или копирование может произойти по самой непредсказуемой причине. В подобной ситуации, как нам представляется, презумпция знания закона («хорошо известное»/«несомненное» знание виновным вредоносных качеств компьютерной программы или компьютерной информации) оказывается вполне опровержимой. Исходя из изложенного, представляется целесообразным исключить из диспозиций ст. 273 и ч. 1, 2 ст. 274.1 УК указание на «заведомость», чтобы избежать проблем при квалификации указанных деяний, которые с неизбежностью будут возникать у правоприменителя. Аксиомой в уголовном праве является положение о том, что те или иные признаки состава преступления и в т.ч. квалифицирующие признаки состава должны и могут осознаваться виновным. В нашем случае – все с большой натяжкой. Например, исходя из положений ФЗ «О КИИ», под последним понимается объект, нарушение функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению экономики страны, субъекта РФ либо административно-территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок. Может ли виновный, осуществляя свои неправомерные действия, осознавать важность этого объекта, предвидеть столь серьезные последствия? Сомнительно. Во всех без исключения составах преступлений в сфере компьютерной информации предусмотрен квалифицирующий признак совершение деяния, «повлекшего тяжкие последствия». Определения указанной дефиниции не содержится ни в Уголовном кодексе, ни в информационном законодательстве, ни в разъяснениях Верховного Суда РФ, что не лучшим образом сказывается на правоприменении. До сих пор уголовно-правовой наукой не сформирована единая позиция по отношению к «тяжкому вреду» в информационных преступлениях. Остаются без ответов вопросы: чему или кому должен быть причинен вред? В чем должен состоять вред: жизни, здоровью или информации (в данном случае содержащейся в КИИ), бизнесу, репутации? А, может быть, сведен к определенному ущербу? Изучение юридической литературы показало, что в оценке «тяжких последствий» применительно к исследуемым составам сложились несколько подходов. Первый из них, понимает «гибель людей, причинение вреда здоровью, дезорганизация производства на предприятии или в отрасли промышленности и т.д.». Второй из них, подразумевает потерю «исключительно важной информации», «незаменимой информации», необходимую для функционирования физического или юридического лица; информацию, которая может быть заменена, но это связано с большими затратами и трудностями». Третий подход, сформировавшийся с принятием исследуемой нормы (ст. 274.1 УК), под которой понимают неправомерное воздействие на информационные ресурсы стратегического значения, связанные с обеспечением общественной и государственной безопасности. В юридической литературе не раз отмечалась законодательная линия на уточнение содержания так называемых оценочных признаков состава преступления. Представляется, что именно законодатель обязан устранять пробелы законодательства (в соответствии с принципом законности). Однако этот идеал далеко не всегда реализуем. Один из способов решения указанной проблемы, хотя и не самый удачный, видится в раскрытии содержания указанных оценочных понятий путем формулирования примерного перечня в самом законе, который поможет правоприменителю правильно понять смысл того или иного правового установления. Например, «повлекшее по неосторожности причинение тяжкого вреда здоровью потерпевшей, заражение ее ВИЧинфекцией или иные тяжкие последствия» (ч. 3 ст. 131 УК); «повлекли по неосторожности смерть человека или иные тяжкие последствия» (ч. 3 ст. 211 УК); «деяние, повлекшее по неосторожности смерть человека, радиоактивное заражение окружающей среды или иные тяжкие последствия» (ч. 2 ст. 215 УК). Приведение законодателем в качестве ориентира отдельных видов тяжких последствий, конечно же, полезно для практики, однако оно не заменяет соответствующей дефиниции и как итог, не снимает сложностей в правоприменительной практике [3, С. 38]. Думается, что подобная законодательная конструкция могла бы послужить промежуточным этапом к последующей полной конкретизации исследуемого квалифицирующего признака. При этом приходится признать, что недостатком указанного способа является определенное увеличение объема законодательного материала в норме. По степени реализации общественно опасные последствия, как известно, подразделяется на реальный ущерб (вред) и угрозу или опасность их причинения. В трех из четырех случаях главы 28 УК, законодатель предусмотрел в качестве особо отягчающего обстоятельства наступление «тяжких последствий или создание угрозы их наступления» (ст. 272- 274 УК). В этих случаях, достаточно угрозы наступления тяжких последствий. Составы угрозы причинения вреда конструируются законодателем обычно в случаях посягательств на особо ценные объекты (ст. 205. Террористический акт; ч.2 ст. 225. Ненадлежащее исполнение обязанностей по охране ядерного, химического или других видов оружия массового поражения; ст. 247. Нарушение правил обращения экологически опасных веществ и отходов и др.). Анализ исследуемого состава дает основание утверждать, что законодатель крайне небрежно подошел к формулированию особо квалифицированных признаков ч. 5 ст. 274.1 УК, не использовав, устоявшуюся в законодательной практике формулу «если оно (т.е. деяние) повлекло тяжкие последствия или создало угрозу их наступления». Вполне обосновано, на наш взгляд, законодатель использует данную конструкцию «создающих опасность» в составах ст. 272-274 УК, тогда как при охране более значимого объекта (ст. 274.1 УК) законодатель попросту ее игнорирует. Представляется, что в процессе развития уголовного законодательства эта ошибка должна быть исправлена. В заключение остается напомнить старую истину о том, что ошибки, допущенные в процессе правотворчества, приводят к снижению качества действующего уголовного законодательства, дефектам правового регулирования, что, в свою очередь, может породить ошибки в правоприменительной деятельности, а это прямой путь к нарушениям прав и законных интересов субъектов правоотношений. Выявленные недостатки законодательной техники при построении уголовно-правовой нормы, закрепленной ст. 274.1 УК РФ, должны быть устранены.
Литература: 1. Захарова Л. За год на Россию было совершено более четырех миллиардов кибератак [Электронный ресурс]. URL: https://rg.ru/2018/12/12/za-god-na-rossiiu-bylo-soversheno-bolee-chetyreh-milliardov-kiberatak.html (дата обращения: 25.06.2019). 2. Бражник С.Д. Преступления в сфере компьютерной информации: проблемы законодательной техники [Текст]: дис. …канд. юрид. наук: 12.00.08 / - Ижевск, 2002. - 189 с. 3. Кругликов Л.Л. Тяжкие последствия в уголовном праве: объективные и субъективные признаки [Текст] / Л.Л. Кругликов // Уголовное право. - 2010. - № 5. - С. 38-46.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
Дааа, ужжжж....
ОтветитьУдалить