Неправомерный доступ к компьютерной информации: практика правоприменения
(Сизов А. В.) («Информационное право», 2009, N 1)
НЕПРАВОМЕРНЫЙ ДОСТУП К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ: ПРАКТИКА ПРАВОПРИМЕНЕНИЯ
А. В. СИЗОВ
Сизов А. В., преподаватель кафедры уголовного права и процесса юридического факультета Оренбургского государственного аграрного университета.
В статье исследуется проблема отсутствия в уголовном законодательстве определения неправомерного доступа к охраняемой законом компьютерной информации, делается акцент на раскрытии последствий неправомерного доступа (уничтожение, блокирование, модификация либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети). Рассматривается толкование термина «неправомерный доступ» с двух позиций: технической и юридической. Развитие и все более широкое распространение новых орудий труда — информационных и телекоммуникационных технологий, обеспечивающих более эффективное пользование информационными ресурсами, определило необходимость правовой оценки ситуации и разработки организационно-правовых механизмов пресечения общественно опасного поведения в данной области. Так, впервые в отечественном законодательстве в Уголовном кодексе появилась глава, предусматривающая ответственность за преступления в сфере компьютерной информации, содержащая в себе три статьи — неправомерный доступ к компьютерной информации; создание, использование и распространение вредоносных программ для ЭВМ; нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Уголовный кодекс следующим образом определяет неправомерный доступ к компьютерной информации: «Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети». Как мы видим, уголовный закон не дает определения неправомерного доступа к охраняемой законом компьютерной информации, он раскрывает лишь его последствия: уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Неправомерность доступа к информации — обязательный признак, характеризующий рассматриваемое преступление с объективной стороны. Отсутствие законодательного определения неправомерного доступа вызывает трудности при квалификации деяния по ст. 272 УК РФ. Рассмотрим пример из судебной практики. Из материалов уголовного дела следует, что Ф. в рамках договора о совместной деятельности с ООО «Технотрон» получил для осуществления наладки доступа к сети Интернет компьютер гражданина Б. с находящимися в нем именем пользователя и паролем доступа для работы в сети Интернет. 9 сентября 1999 г. Ф. из офиса ООО «Технотрон», использовав компьютер, без ведома и разрешения владельца вышел в глобальную сеть Интернет и произвел несанкционированную модификацию программы публичного поискового сервера Новгородского государственного университета (http://search. novgorod. ru), разместив в одном из разделов данной программы гиперссылку на расположенный по адресу: http://www. novgorod. net/~apache/xxx/image-сайт графический файл eva002.jpg. Данное изображение было признано искусствоведческой экспертизой порнографическим. Ф. был осужден по ст. 242 и ч. 2 ст. 272 УК РФ <1>. ——————————— <1> См.: В суд за ссылку: новгородская версия. URL: http://lenta. ru/internet/2000/02/03/porno/_Printed. htm.
В приговоре суд указал на два эпизода неправомерного доступа: во-первых, Ф. произвел неправомерный доступ к имени пользователя и паролю, выйдя в сеть Интернет; во-вторых, произвел несанкционированную модификацию программы публичного поискового сервера Новгородского государственного университета. В первом случае специалисты, вероятно, не пояснили суду, что для осуществления ремонта в виде отладки доступа в Интернет совершенно официально требуется имя и пароль абонента, а для проверки ремонта требуется непосредственный выход в Интернет. Поэтому совершенно недопустимо говорить, что Ф. без ведома и разрешения владельца вышел в глобальную сеть Интернет, можно лишь предположить, что он пробыл в сети Интернет больше, чем требуется для отладки, тем самым нанеся гражданину Б. некоторый материальный ущерб, который может быть возмещен с помощью гражданского иска. Во втором случае так называемая несанкционированная модификация поисковой программы состояла лишь в том, что Ф. ввел гиперссылку в качестве ключевого слова для поиска, т. е., попросту говоря, нашел адрес своей персональной страницы через поисковую систему НовГУ, что мог сделать любой желающий. Поисковая система НовГУ была устроена так, что публично показывала на своей странице несколько последних запросов. Поэтому адрес сайта Ф. высветился как гиперссылка в этом списке. То есть с технической стороны никакой модификации программы не было, а Ф. лишь использовал возможности публичного поискового сервера Новгородского государственного университета, предоставляемые всем желающим, сама программа продолжала работать в обычном режиме. Таким образом, модификации, а тем более несанкционированной, установить в действиях Ф. нельзя. Итак, можно говорить об отсутствии какого-либо неправомерного доступа в действиях, инкриминированных Ф. Из вышеописанного анализа уголовного дела можно сделать вывод о недостаточном понимании «неправомерного доступа» как в теории, так и на практике. В диспозиции рассматриваемой статьи указывается на неправомерный доступ именно к компьютерной информации, а не к носителям, на которых информация содержится. На практике же весьма часто именно неправомерный доступ к носителям компьютерной информации квалифицируется по ст. 272 УК РФ. В силу этого положения очевидно, что физическое повреждение компьютера, повлекшее уничтожение информации, хранящейся в нем, не отвечает правовому содержанию общественно опасного действия, присущего преступлению, предусмотренному ст. 272 УК РФ, и, следовательно, не образует основания уголовной ответственности за его совершение. Речь в этом случае может идти об умышленном либо неосторожном уничтожении или повреждении имущества, если умысел виновного не был направлен именно на уничтожение информации. С точки зрения толкования термина «неправомерный доступ» у него имеется двоякий смысл: технический и юридический. В техническом плане неправомерный доступ означает доступ к информации (что включает возможность: ознакомления, копирования, уничтожения и модификации информации), полученный вследствие несанкционированного преодоления программной, аппаратной или комплексной защиты. Такой защитой может быть элементарный пароль на файле документа или вход администратора на сервер с помощью магнитной карты-ключа и ввода усложненного 16-символьного пароля. Несанкционированное преодоление защиты и в первом, и во втором случае будет с компьютерной точки зрения «неправомерным доступом» к защищенной информации. Но если для доступа к информации не предусмотрена защита, то неправомерным такой доступ назвать нельзя. Например, если информация конфиденциального характера расположена на жестком диске компьютера, подключенного к локальной компьютерной сети, и доступ к этому компьютеру открыт с любого компьютера, подключенного к данной сети, то можно смело сказать, что данные общедоступны, а не конфиденциальны. С юридической точки зрения все намного сложнее. Ряд авторов восприняли формулировку, близкую к технической: «…неправомерным признается доступ не обладающего правами на это лица к компьютерной информации, в отношении которой принимаются специальные меры защиты, ограничивающие круг лиц, имеющих доступ» <2>. При этом под доступом к компьютерной информации предлагается понимать «любую форму проникновения в источник информации с использованием средств электронно-вычислительной техники, позволяющую производить манипуляции с полученной компьютерной информацией» <3>. ——————————— <2> Андреев Б. В., Пак П. Н., Хорст В. П. Расследование преступлений в сфере компьютерной информации. М.: ООО «Изд. «Юрлитинформ», 2001. С. 37. —————————————————————— КонсультантПлюс: примечание. Комментарий к Уголовному кодексу Российской Федерации (под ред. Ю. И. Скуратова, В. М. Лебедева) включен в информационный банк согласно публикации — ИНФРА-М-НОРМА, 2000 (издание третье, измененное и дополненное). —————————————————————— <3> Комментарий к Уголовному кодексу Российской Федерации / Под ред. Ю. И. Скуратова, В. М. Лебедева. М.: НОРМА, 2001. С. 698.
Приведенные нами определения содержат больше вопросов, чем ответов. Само слово «проникновение» несет в себе аспект неправомерности, что не укладывается в смысл законного использования информации. А что подразумевается под «источником информации» — человек, документ или жесткий диск компьютера? И последнее, проникновение в источник информации с использованием средств электронно-вычислительной техники можно совершить, например, таким образом: предположим, имеется секретная информация в форме обыкновенного бумажного документа, лежащего на столе в некотором кабинете, дверь которого закрыта на современный электронный замок с цифровым паролем. К двери подходит злоумышленник, вскрывает крышку замка и к определенным проводам подключает микрокомпьютер, с помощью небольшой программы компьютер в считанные минуты подбирает пароль — и вот кабинет открыт. Налицо проникновение с использованием средств электронно-вычислительной техники, осталось сделать два шага к источнику информации. Но приведенный пример никак не образует состав преступления, предусмотренного ст. 272 УК РФ, так как информация не компьютерная, а закрепленная на бумажном носителе и проникновение произведено не в ЭВМ, а в кабинет, хотя и при помощи ЭВМ. Понятие неправомерного доступа неразрывно связано с понятием доступа. Примерное представление законодателя о смысле данного понятия можно найти лишь в ст. 2 Закона Российской Федерации от 21 июля 1993 г. N 5485-1 «О государственной тайне» <4>. Доступ к сведениям, составляющим государственную тайну, — санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну. ——————————— <4> Собрание законодательства Российской Федерации. 1997. N 41. Ст. 4673.
Из приведенного определения мы можем сделать вывод о том, что доступ к информации — это санкционированное владельцем или собственником ознакомление конкретного лица с информацией. Что же понимать тогда под неправомерным доступом? Под неправомерным доступом к охраняемой законом компьютерной информации, полагает профессор С. В. Бородин, следует понимать самовольное получение информации без разрешения собственника или владельца <5>. В связи с тем что речь идет об охраняемой законом информации, неправомерность доступа к ней потребителя характеризуется еще и нарушением установленного порядка доступа к этой информации. Если нарушен установленный порядок доступа к охраняемой законом информации, согласие ее собственника или владельца не исключает неправомерности доступа к ней. ——————————— <5> Комментарий к Уголовному кодексу РФ / Под ред. А. В. Наумова. М.: Гардарика, 2004. С. 663.
Есть еще мнение В. Наумова, который утверждает, что «неправомерным признается доступ к защищенной компьютерной информации лица, не обладающего правами на получение и работу с данной информацией либо компьютерной системой» <6>. Здесь не совсем ясно, в каком смысле информация может быть защищенной — законом или технически — и кто может наделить правами доступа к информации. ——————————— <6> Наумов В. Отечественное законодательство в борьбе с компьютерными преступлениями. URL: http://www. hackzone. ru/articles/a5.html.
Ю. Гульбин считает, что неправомерным является доступ, противоречащий действующим правовым нормам, актам управления, приказам, распоряжениям и иным актам, регулирующим отношения по доступу лиц (группы лиц) к информации <7>. Видится правильным в рамках данного состава не применять к неправомерному доступу связь с нормативными актами. Иначе будет непонятно, как воспринимать не санкционированный владельцем доступ к информации, порядок доступа к которой не урегулирован нормами права, и диспозиция ст. 272 УК РФ будет в этом случае выглядеть непоследовательной. ——————————— <7> См.: Гульбин Ю. Преступления в сфере компьютерной информации // Российская юстиция. 1997. N 10. С. 24 — 25.
С нашей точки зрения, правильным будет избрать подход, основанный на выведенном ранее понятии доступа, и дать следующее промежуточное определение — под неправомерным доступом к компьютерной информации следует понимать несанкционированное собственником информации ознакомление лица с данными, содержащимися на машинных носителях или в ЭВМ. Однако остается один нерешенный вопрос: о необходимости защиты информации собственником. Другими словами, для признания доступа неправомерным требуется ли, чтобы для этого были преодолены некоторые преграды, или можно будет говорить о неправомерности даже тогда, когда информация находится на общедоступном компьютере без средств защиты или предупреждения? Если обратиться к Федеральному закону от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации» <8>, то мы увидим, что позиция законодателя по данному вопросу разъясняется в п. 4 ст. 16: ——————————— <8> Собрание законодательства Российской Федерации. 2006. N 31 (ч. I). Ст. 3448.
Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации. Следовательно, информация должна быть защищена, соответственно, под неправомерным доступом к компьютерной информации следует понимать несанкционированное собственником или владельцем информации ознакомление лица с данными, содержащимися на машинных носителях или в ЭВМ и имеющими уровень защиты в соответствии с законодательством Российской Федерации. Подводя итог всему вышесказанному, мы предлагаем дать следующее определение неправомерного доступа к компьютерной информации и в целях упорядочения правоприменительной практики закрепить его в ч. 1 ст. 272 УК РФ (неправомерный доступ к компьютерной информации): «Неправомерный доступ к компьютерной информации, то есть не санкционированное собственником или владельцем информации ознакомление лица с охраняемыми законом данными, содержащимися на машинных носителях, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети».
——————————————————————