Ответственность за нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (ст. 274 УК РФ)
(Кузнецов А. П.) («Правовые вопросы связи», 2007, N 2)
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПРАВИЛ ЭКСПЛУАТАЦИИ ЭВМ, СИСТЕМ ЭВМ ИЛИ ИХ СЕТИ (СТ. 274 УК РФ)
А. П. КУЗНЕЦОВ
Кузнецов А. П., профессор, заслуженный юрист России, доктор юридических наук.
Статья 274 УК РФ устанавливает ответственность за нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред. Общественная опасность рассматриваемого преступления состоит в том, что в результате его совершения наносится серьезный ущерб функционированию информационных коммуникаций, разрушаются информационные ресурсы, нарушается нормальная работа технологического оборудования. В 1997 г. было зарегистрировано 11 преступлений, в 1998 г. — 1, в 1999 г. — 0, в 2000 г. — 44, в 2001 г. — 119, в 2002 г. — 8, в 2003 г. — 1, в 2004 г. — 11, в 2005 г. — 2 преступления. Непосредственным объектом преступления является общественное отношение, обеспечивающее регламентированный порядок эксплуатации ЭВМ, систем ЭВМ или их сети <1>. ——————————— <1> В отношении определения непосредственного объекта анализируемого преступления у ученых не сложилось единого мнения. Подтверждением этому является полярность в их суждениях в отношении определения непосредственного объекта: установленный порядок эксплуатации ЭВМ, систем ЭВМ или их сети (см.: Витвицкий А. А. Преступления в сфере компьютерной информации // Уголовное право. Особенная часть: Учебник / Под ред. проф. В. Н. Петрашова. М., 1999. С. 433); информационная безопасность (см.: Сандуров Ф. Р. Преступления в сфере компьютерной информации // Комментарий к Уголовному кодексу Российской Федерации: постатейный / Отв. ред. Л. Л. Кругликов. М., 2005. С. 830); заинтересованность владельцев компьютерной сети в ее правильной эксплуатации, т. е. обеспечение безопасности пользования интеллектуальными и вещественными средствами вычислительной техники (см.: Ветров Н. И. Уголовное право. Особенная часть: Учебник для вузов. М., 2000. С. 370); безопасность хранения и оборота информации, представленной в электронном виде в компьютерном оборудовании и компьютерных сетях, а также безопасность и нормальная работа компьютерного оборудования и компьютерных сетей (см.: Есаков Г. А. Комментарий к Уголовному кодексу Российской Федерации / Отв. ред. А. И. Рарог. 4-е изд., перераб. и доп. М., 2006. С. 492); безопасность пользования интеллектуальными и вещественными средствами вычислительной техники (см.: Пашин С. А. Преступления в сфере компьютерной информации // Уголовное право России. Учебник для вузов: В 2 т. Т. 2. Особенная часть / Под ред. проф. А. И. Игнатова, Ю. А. Красикова. М., 1998. С. 602); интерес владельца компьютерной системы или сети относительно правильной эксплуатации системы или сети (см.: Клепицкий И. А. Преступления в сфере компьютерной информации // Уголовное право России. Особенная часть. Учебник / Отв. ред. Б. В. Здравомыслов. М., 1996. С. 357); безопасность использования информационных ресурсов и электронно-вычислительной техники (см.: Бессонов В. А. Комментарий к Уголовному кодексу Российской Федерации / Отв. ред. А. А. Чекалин. 2-е изд., испр. и доп. М., 2004. С. 841); состояние защищенности ЭВМ, систем ЭВМ или их сети от угроз, связанных с нарушением правил их эксплуатации (см.: Малков В. П. Уголовное право России. Часть особенная. Учебник для вузов / Отв. ред. проф. Л. Л. Кругликов. М., 1999. С. 606); отношения в сфере безопасности (см.: Ваулина Т. И. Уголовное право. Особенная часть: Учебник для вузов / Отв. ред. проф. И. Я. Козаченко, З. А. Незнамова, Г. П. Новоселов. М., 1998. С. 559) и др.
Предметом рассматриваемого преступления являются электронно-вычислительные машины, системы электронно-вычислительных машин или их сети. С объективной стороны преступление выражается в нарушении правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системам ЭВМ или их сети, повлекшем уничтожение, блокирование или модификацию охраняемой законом информации, если это деяние причинило существенный вред. При описании криминообразующих признаков законодатель использовал прием бланкетности, в соответствии с которым действие (бездействие) в диспозиции излагается в обобщенном виде — «нарушение правил». Конкретное содержание правил эксплуатации электронно-вычислительной техники устанавливается соответствующими нормативными актами государственных органов, непосредственно производителями ЭВМ, разработчиками программ, владельцами компьютерной системы. Такие правила также содержатся в международных договорах и соглашениях, заключенных РФ, нормативно-правовых актах РФ и субъектов РФ (законах, подзаконных актах). Эти правила могут быть предусмотрены: в общих требованиях по технике безопасности и эксплуатации оборудования либо специальных правилах, регламентирующих особые условия; в инструкциях по работе с ЭВМ, их периферийными устройствами и машинными носителями информации, разрабатываемых производителями; в соответствующих правилах, устанавливаемых собственником. Для правильного определения признаков объективной стороны преступления необходимо установление конкретных нормативно-правовых актов, в которых регламентированы технические предписания (правила). В частности, под такими правилами понимают: гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организации работы; техническая документация на приобретаемые компьютеры; конкретные, принимаемые в конкретном учреждении или организации, оформленные нормативно и подлежащие доведению до сведения соответствующих работников правила внутреннего распорядка; требование по сертификации компьютерных сетей и оборудования; должностные инструкции конкретных сотрудников; правила пользования компьютерными сетями <2>. ——————————— <2> См.: Преступления в сфере компьютерной информации: квалификация и доказывание: Учебное пособие. М., 2003. С. 47.
Положение о сертификации средств защиты информации, утвержденное Постановлением Правительства РФ от 26 июня 1995 г. N 608 <3>, регламентирует порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. В соответствии с ним технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации. ——————————— <3> В ред. Постановлений Правительства РФ от 29 марта 1999 г. N 342, от 17 декабря 2004 г. N 808, от 23 апреля 1996 г. N 509.
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется — система сертификации). Системы сертификации создаются Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации (далее именуются — федеральные органы по сертификации). Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции. Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны (далее именуется — Межведомственная комиссия). В каждой системе сертификации разрабатывается и согласовывается с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять. Изготовители производят (реализуют) средства защиты информации только при наличии сертификата; извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации; маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации; указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя; применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации; обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации; обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации; прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены. Изготовители должны иметь лицензию на соответствующий вид деятельности. Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации. Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости — решение о проведении и сроках предварительной проверки производства средств защиты информации. Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных. Основные схемы проведения сертификации средств защиты информации: для единичных образцов средств защиты информации — проведение испытаний этих образцов на соответствие требованиям по защите информации; для серийного производства средств защиты информации — проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе. Срок действия сертификата не может превышать пяти лет. Нарушение правил эксплуатации ЭВМ могут выражаться в двух формах: в несоблюдении установленных правил эксплуатации аппаратного обеспечения ЭВМ, систем ЭВМ или их сети либо в нарушении правил эксплуатации программного обеспечения, предусмотренного для работы ЭВМ, системы ЭВМ или их сети. Так, например, нарушения правил эксплуатации ЭВМ могут заключаться: в несоблюдении сроков технического обслуживания узлов и агрегатов; в некачественном проведении профилактических работ по обслуживанию ЭВМ и программ ЭВМ; в использовании несертифицированных программных средств; в ошибочных подключениях устройств, оборудования ЭВМ и т. д. Обязательным признаком объективной стороны рассматриваемого преступления является наступление определенных последствий — нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети в виде уничтожения, блокирования или модификации охраняемой законом компьютерной информации, если это причинило существенный вред. Между фактом нарушения и наступившим существенным вредом должна быть установлена причинная связь и доказано, что именно наступление последствий является результатом нарушений правил эксплуатации, а не программной ошибкой либо действиями, предусмотренными ст. 272, 273 УК <4>. Такая юридико-техническая конструкция объективной стороны анализируемого преступления объясняется тем, что законодатель стремился выделить направленность действий определенных последствий. Уничтожение, блокирование, модификация информации будут признаваться противоправными в уголовно-правовом смысле только лишь в случаях реального причинения существенного вреда. По мнению профессора В. С. Комиссарова, данная законодательная конструкция объективной стороны считается неудачной <5>. ——————————— —————————————————————— КонсультантПлюс: примечание. Комментарий к Уголовному кодексу Российской Федерации (отв. ред. В. М. Лебедев) включен в информационный банк согласно публикации — Юрайт-Издат, 2005 (издание 5-е, дополненное и исправленное). —————————————————————— <4> См.: Карелина М. М. Преступления в сфере компьютерной информации // Комментарий к Уголовному кодексу Российской Федерации: Научно-практический комментарий / Отв. ред. В. М. Лебедев. М., 2001. С. 274. <5> См.: Комиссаров В. С. Преступления в сфере компьютерной информации // Российское уголовное право: в 2 т. Т. 2. Особенная часть / Под ред. проф. А. И. Рарога. М., 2001. С. 621.
Существенный вред — понятие оценочное, его наличие устанавливается в каждом конкретном случае с учетом всех обстоятельств дела. Оценка существенного вреда зависит от значимости (важности) компьютерной информации, степени нарушения тех или иных информационных, производственных, технологических, управленческих процессов, его объема, продолжительности времени, которое потребовалось для устранения негативных последствий, количества пострадавших пользователей, степени дезорганизации деятельности организации (учреждения), величины материального или физического вреда и любых других обстоятельств, которые могут быть признаны судебно-следственными органами существенными <6>. ——————————— <6> См.: Комиссаров В. С. Указ. работа. С. 621.
Существенный вред может быть причинен как собственнику или владельцу ЭВМ либо самому пользователю, так и третьим лицам и определяется с учетом имущественного положения и организационных возможностей собственника или владельца ЭВМ. Следует иметь в виду, что наступившие последствия не должны быть тяжкими. В противном случае речь должна идти о квалифицированном составе, предусмотренном в ч. 2 анализируемой статьи. Состав преступления по конструкции объективной стороны материальный и считается оконченным с момента наступления указанных в законе последствий — причинение существенного вреда. Субъектом рассматриваемого преступления является вменяемое физическое лицо, достигшее 16-летнего возраста, имеющее доступ к ЭВМ, системе ЭВМ и (или) их сети. Под имеющим доступ к ЭВМ, системе ЭВМ или их сети понимается лицо, которое с разрешения собственника информационной сети, по характеру выполняемых обязанностей (эксплуатация, техническое обслуживание ЭВМ) может беспрепятственно пользоваться указанными техническими средствами. Субъективная сторона состава преступления по ч. 1 характеризуется только умышленной формой вины. Лицо осознает общественно опасный характер нарушения правил эксплуатации ЭВМ, систем ЭВМ или их сети, предвидит возможность или неизбежность наступления последствий в результате уничтожения, блокирования или модификации охраняемой законом информации, которые повлекут за собой причинение существенного вреда, и желает этого (прямой умысел) либо не желает, но сознательно допускает эти последствия или относится к ним безразлично (косвенный умысел). Мотив и цель противоправного поведения виновного на квалификацию преступления влияния не оказывают, но должны учитываться при назначении наказания. Квалифицированный состав преступления предусмотрен в ч. 2 ст. 274 УК — причинение по неосторожности тяжких последствий. В данном случае тяжкие последствия — оценочное понятие, содержание которого необходимо устанавливать применительно к каждой конкретной ситуации в зависимости от фактического обстоятельства дела. Тяжкие последствия могут выражаться в различных формах: дезорганизации деятельности предприятия или учреждения; безвозмездной утрате ценной компьютерной информации; уничтожении системы ЭВМ или их сети; выходе из строя важных технических средств, обеспечивающих обороноспособность страны, безопасность жизни и здоровья граждан; создании опасности технологической, военной, экологической или иной катастрофы; осложнении межгосударственных отношений — возникновении (провоцировании) вооруженных конфликтов. Субъективная сторона состава преступления по ч. 2 анализируемой статьи характеризуется двойной формой вины: умыслом по отношению к нарушению правил и неосторожностью — к наступившим тяжким последствиям. Деяния, предусмотренные в ч. 1 ст. 274 УК, наказываются лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет (преступления небольшой тяжести). Те же деяния, предусмотренные в ч. 2 ст. 274 УК, наказываются лишением свободы на срок до четырех лет (преступления средней тяжести).
——————————————————————