Уголовная ответственность за неправомерный доступ к конфиденциальной компьютерной информации
(Осипенко А.) («Уголовное право», 2007, N 3)
УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНЫЙ ДОСТУП К КОНФИДЕНЦИАЛЬНОЙ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
А. ОСИПЕНКО
Анатолий Осипенко, начальник отдела Омской академии МВД РФ, кандидат юридических наук, доцент.
Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — Закон «Об информации») <1> определяет конфиденциальность информации как обязанность лица, получившего доступ к определенной информации, не передавать ее третьим лицам без согласия обладателя. В целом свойство конфиденциальности присуще информации, доступ к которой может получать строго определенный круг лиц, установленный ее владельцем. Если такая информация становится известна иным лицам, конфиденциальность утрачивается. Для определенных типов информации конфиденциальность является одним из наиболее важных атрибутов. Например, это относится к данным стратегических исследований, спецификации новых изделий и т. п. Особое значение выполнение требования о конфиденциальности приобретает при обработке в компьютерных системах информации, содержащей один из видов тайн (государственной, коммерческой, банковской, личной и других). ——————————— <1> СЗ РФ. 2006. N 31 (1 ч.). Ст. 3448.
В соответствии со ст. 9 Закона «Об информации» ограничение доступа к ней устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Условия отнесения информации к сведениям, составляющим государственную, коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение устанавливаются соответствующими федеральными законами. Очевидно, что высшую степень защиты от утечки из информационных компьютерных систем должны иметь сведения, отнесенные к государственной тайне <2>. Однако рассматривать особенности их охраны в данной статье не представляется целесообразным, поскольку Указом Президента РФ запрещено осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения, а также для которых установлены особые правила доступа к информационным ресурсам, в состав средств международного информационного обмена, в том числе в международную ассоциацию сетей Интернет <3>. ——————————— <2> Закон РФ от 21 июля 1993 г. N 5485-1 «О государственной тайне» // СЗ РФ. 1997. N 41. Ст. 8220 — 8235; Указ Президента РФ от 11 февраля 2006 г. N 90 «О перечне сведений, отнесенных к государственной тайне» // СЗ РФ. 2006. N 8. Ст. 892. <3> Указ Президента РФ от 12 мая 2004 г. N 611 (ред. от 3 марта 2006 г.) «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена» // СЗ РФ. 2004. N 20. Ст. 1938.
Иные виды защищаемой законом конфиденциальной информации, присутствие которой в подключенных к сети Интернет информационных системах вполне возможно, определяются Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ <4>. Сюда отнесены: сведения о фактах, событиях и обстоятельствах частной жизни гражданина (персональные данные); сведения, составляющие тайну следствия и судопроизводства; служебные сведения, доступ к которым ограничен органами государственной власти (служебная тайна); сведения, связанные с определенными видами профессиональной деятельности (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д.); сведения, связанные с коммерческой деятельностью (коммерческая тайна); сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. ——————————— <4> Указ Президента РФ от 6 марта 1997 г. N 188 (ред. от 23 сентября 2005 г.) «Об утверждении Перечня сведений конфиденциального характера» // СЗ РФ. 1997. N 10. Ст. 1127.
В Уголовном кодексе РФ деяния, связанные с нарушением права собственника вычислительной системы на неприкосновенность информации в ней (в том числе на сохранение конфиденциальности), нашли отражение в ст. 272 «Неправомерный доступ к компьютерной информации». Понятие доступа к информации в Законе «Об информации» определено как возможность получения информации и ее использования. В сложившемся к настоящему моменту понимании контекста ст. 272 УК «неправомерный доступ» охватывает незаконное (самовольное, с нарушением установленных законом и обладателем информации требований) подключение к компьютерной системе (ее части) с последующим неуполномоченным воздействием на ее аппаратные средства, компоненты, сохраненные данные, проходящий через систему трафик <5>. ——————————— <5> В литературе используются различные понятия, по сути обозначающие то же самое деяние: «компьютерный взлом», «хакинг», «компьютерная атака», «компьютерное вторжение» и др.
Последствия такого воздействия могут относиться не только к информации (уничтожение, блокирование, модификация, копирование), но и к программно-аппаратной части информационной системы (нарушение работы ЭВМ, системы ЭВМ или их сети). В этом отношении нельзя признать вполне удачным название ст. 272 УК. Исходя из ее диспозиции, правильнее было бы говорить о неправомерном воздействии на информационную систему. Это вполне согласуется и с введенным ст. 2 Закона «Об информации» понятием информационной системы, определяемой как «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств». Что же касается неправомерного доступа к информации, то здесь стоит отметить следующее. К охраняемой законом относится не вся информация в компьютерной системе, а лишь та, для которой законодателем установлен специальный режим правовой защиты, а обладателем приняты специальные меры защиты. Стоит уточнить, что в соответствии с Законом «Об информации» обладателем последней признается лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект РФ, муниципальное образование. Закон устанавливает, что обладатель информации, в частности, вправе разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа, защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами. Одновременно Закон обязывает обладателя информации принимать меры по ее защите. Выше уже упоминалось, что ст. 272 УК РФ устанавливает наказание за неправомерный доступ к охраняемой законом компьютерной информации при условии, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети <6>. Такой перечень обязательных последствий вполне обоснован. На практике ему соответствует достаточно широкий круг противоправных деяний, направленных на нарушение целостности, доступности и конфиденциальности компьютерной информации. В то же время защиту конфиденциальной компьютерной информации ст. 272 УК, на наш взгляд, обеспечивает не в полной мере. С чем это связано? ——————————— <6> При этом необходимо установить наличие причинной связи между неправомерным доступом и указанными последствиями.
Прежде всего, среди специалистов распространено мнение, что «сам по себе факт вызова или просмотра компьютерной информации, хранящейся на машинном носителе, состава анализируемого преступления не образует. Необходимо по крайней мере установить факт переноса указанной информации на другой машинный носитель» <7>. Действительно, если полученные следствием материалы не подтверждают факта уничтожения, блокирования, модификации или копирования компьютерной информации, то несанкционированное обладателем ознакомление с ней не может служить достаточным основанием к применению ст. 272 УК. Однако совершенно понятно, что на практике в большинстве случаев существенный ущерб обладателю конфиденциальной информации наносит уже само ознакомление с ней постороннего лица. ——————————— <7> Расследование неправомерного доступа к компьютерной информации / Под ред. Н. Г. Шурухнова. М.: Щит-М, 1999. С. 70.
В рассматриваемом аспекте проблема юридической оценки мысленного восприятия информации лицом, осуществляющим неправомерный доступ к ней без ее копирования на машинные носители, является достаточно сложной. По замечанию В. В. Крылова, «если придерживаться понимания термина копирования только как процесса изготовления копии документированной информации в виде физически осязаемого объекта, то все случаи, не связанные с копированием, но приводящие к ознакомлению с информацией независимо от того, какой режим использования информации установил ее собственник, не являются противоправными» <8>. С другой стороны, с учетом технологических особенностей передачи информации в компьютерных сетях (в том числе в Интернете) уже с момента несанкционированного подключения к удаленной системе из нее, строго говоря, происходит копирование информации, так как передаче данных по сети сопутствует перенос их в оперативную память принимающего информацию компьютера. Это обстоятельство учитывалось в отечественной судебной практике. Однако распространение получил подход, при котором лицу, получившему доступ к компьютерной информации, не может быть поставлено в вину ее копирование, обусловленное не зависящим от его воли («автоматическим») действием программных средств. ——————————— <8> Крылов В. В. Криминалистические проблемы оценки преступлений в сфере компьютерной информации // Уголовное право. 1998. N 3. С. 84.
В данном случае мы наблюдаем явное противоречие между содержанием и результатом действий по получению доступа к информации и содержанием нормы закона, по которой эти действия оцениваются. Субъект осуществил неправомерный доступ к конфиденциальной информации, ознакомился с ней (тем самым уже нанес ущерб потерпевшему), в его компьютере обнаружены копии с просмотренных данных. Однако предъявление ему обвинения в преступлении, предусмотренном ст. 272 УК, не представляется возможным, поскольку копии сохранялись системой автоматически без участия подозреваемого. При этом не учитывается позиция некоторых исследователей о «существовании исключительного специфического носителя охраняемых информационных ресурсов — человека, его памяти» <9> и то обстоятельство, что в ряде случаев с запечатленной в памяти информации может быть впоследствии изготовлена копия, в том числе и на машинном носителе. ——————————— <9> Букалерова Л. А. Уголовно-правовая охрана официального информационного оборота. М.: Юрлитинформ, 2006. С. 24.
Указанную неоднозначность, на наш взгляд, все же следует устранить путем уточнения диспозиции ст. 272 УК, включив в состав данного преступления необходимых альтернативных последствий неправомерного доступа к компьютерной информации и «несанкционированное обладателем ознакомление лица с информацией ограниченного доступа» <10>. ——————————— <10> Сочетание «информация ограниченного доступа» использовано законодателем, например, в ст. 17 ФЗ «Об информации», а в ст. 9 этого Закона определены цели ограничения доступа к информации, устанавливаемого федеральными законами.
Согласно судебной практике, наиболее распространена ситуация, когда неправомерный доступ к информации осуществляется неуполномоченным субъектом с использованием реквизитов доступа (имя, пароль), принадлежащих законным пользователям информационной системы. В этом случае при решении вопроса о квалификации преступления по ст. 272 УК РФ требуется установить обстоятельства получения таких реквизитов. Нередко эти сведения становятся практически общедоступными в результате беспечности их владельца, который добровольно сообщает их третьим лицам. Получение не только реквизитов доступа, но и значительных объемов конфиденциальной информации часто связано с применением «шпионских программ» (например, программы типа «троянский конь»). Действия по установке на компьютерах системы вредоносных программ дают основания для дополнительной их квалификации по ст. 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ». Объективная сторона этого преступления, наряду с иными альтернативными действиями (создание вредоносных программ, их распространение, внесение изменений в существующие программы), характеризуется использованием вредоносных программ, которое в рассматриваемой ситуации выражается в несанкционированном размещении программы в компьютерной системе. Кроме того, состав ст. 273 УК РФ сконструирован как формальный и преступление признается оконченным с момента совершения указанных действий (внедрения программы в систему) независимо от наступивших последствий. В то же время последствия могут наступить в виде передачи скопированной конфиденциальной информации по каналам сети Интернет на заданный адрес электронной почты. Поскольку неправомерное копирование информации при этом осуществляется в автоматическом режиме, здесь опять возникает вопрос о допустимости вменения ст. 272 УК. Представляется, что в данном случае ответ на него должен быть положительным, если будет установлено, что внедрение вредоносной программы преследовало цель неправомерного получения информации. К этому стоит добавить, что вредоносные программы указанного типа имеются в свободном доступе в Интернете и часть из них может попасть в компьютер потерпевшего опять-таки в результате его самостоятельных и беспечных с точки зрения компьютерной безопасности действий (например, при копировании программ из сети Интернет, просмотре подозрительных вложений в сообщения электронной почты, использовании систем обмена файлами, посещении сайтов сомнительного содержания и т. п.). Установление источника появления программ в компьютерной системе потерпевшего чаще всего представляет серьезную проблему для следствия. Достаточно часто неправомерный доступ к конфиденциальной компьютерной информации с использованием сети Интернет предпринимается при подготовке к совершению иного преступления. Например, взлом информационной системы интернет-магазина может выполняться для размещения в системе магазина фальсифицированного заказа с целью мошенничества (ст. 159 УК). Нередко получение несанкционированного доступа к компьютерным системам крупных компаний сопровождается попытками вымогательства у них крупных денежных средств под угрозой разглашения незаконно полученных конфиденциальных сведений (ст. 163 УК) <11>. ——————————— <11> В качестве примера можно упомянуть деятельность российских граждан А. Иванова и В. Горшкова, осуществивших в 2001 г. взлом компьютерных систем нескольких международных компаний (в частности Western Union и PayPal). Преступники похитили номера около 16 тыс. кредитных карт и пытались вымогать значительные денежные средства, однако были задержаны ФБР США. См.: Press Release of U. S. Department of Justice. 2001. August, 16.
При рассмотрении неправомерного доступа к информации в сети Интернет нельзя не учитывать статьи УК, направленные в основном на защиту конкретных видов конфиденциальной информации. Проникновение в компьютерные системы и перехват электронной корреспонденции могут выступать в качестве одной из стадий совершения таких преступлений, как нарушение неприкосновенности частной жизни (ст. 137 УК), нарушение тайны переписки (ст. 138 УК), незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст. 183 УК). Такие преступления, совершаемые с использованием сети Интернет, в последнее время часто называют «компьютерным шпионажем». За незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, предусмотрена уголовная ответственность (ст. 137 УК). При этом собирание предусматривает любые действия, направленные на приобретение указанных сведений, в том числе и доступ к компьютерной информации потерпевшего лица, содержащей конфиденциальные данные о его личных связях, состоянии здоровья, фактах из жизни, привычках, наклонностях, интересах, интимных отношениях и т. п. Часть таких сведений может быть отнесена и к иным видам тайн (врачебная, нотариальная, адвокатская и др.). Незаконность собирания сведений о частной жизни связывается с отсутствием согласия потерпевшего и использованием запрещенных законом методов и средств (в рассматриваемом случае — неправомерного доступа к компьютерной информации). Стоит учитывать, что потерпевшими по указанному в них составу преступления могут быть только физические лица. Защита прав на неприкосновенность частной жизни, личную и семейную тайну также определена в качестве цели нового Федерального закона «О персональных данных», регламентирующего принципы и условия сбора и обработки персональных данных, в том числе с использованием информационных систем <12>. Не все из положений данного Закона представляются абсолютно бесспорными, и время покажет, насколько же они соответствуют потребностям практики. ——————————— <12> Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» // СЗ РФ. 2006. N 31 (1 ч.). Ст. 3451.
Уголовная ответственность предусмотрена и за действия, в результате которых нарушается тайна сообщений, передаваемых с использованием каналов сети Интернет (ст. 138 УК). Неправомерность таких действий возникает в случае, если они производятся без согласия владельца информации, без решения суда или наличия иных правовых оснований. Сюда, в частности, может быть отнесен неправомерный доступ к содержимому электронной почты, в результате которого содержание посланий становится известным виновному лицу. В определенных ситуациях нарушение тайны электронной корреспонденции может сочетаться с собиранием сведений о частной жизни граждан, что вызывает необходимость квалификации содеянного по совокупности составов преступлений, предусмотренных ст. 137, 138, 272 УК РФ. Неправомерный доступ к компьютерной информации может осуществляться с целью получения сведений, составляющих коммерческую, налоговую или банковскую тайну, и тем самым подпадать под действие ст. 183 УК РФ. Данная статья, в частности, устанавливает уголовную ответственность за собирание указанных сведений незаконным способом. Здесь важно установить, осуществлялось ли получение информации с умышленным преодолением принятых обладателем мер по охране ее конфиденциальности и знало ли получающее эту информацию лицо (или имело достаточные основания полагать), что эта информация составляет указанные виды тайн. Понятие коммерческой тайны дано в Федеральном законе «О коммерческой тайне» <13> и ст. 139 Гражданского кодекса РФ. ——————————— <13> Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» // СЗ РФ. 2004. N 32. Ст. 3283.
Закон «О коммерческой тайне» (ст. 3) связывает коммерческую тайну с конфиденциальностью информации, позволяющей ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. При этом к информации, составляющей коммерческую тайну, отнесена научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны. В части 1 ст. 4 Закона «О коммерческой тайне» устанавливается право обладателя информации на отнесение ее к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации. В рассматриваемой ситуации важно учитывать, что информация, составляющая коммерческую тайну, считается полученной незаконно, если доступ к ней осуществлялся с умышленным преодолением принятых ее обладателем мер по охране конфиденциальности этой информации, а также если получающее эту информацию лицо знало или имело достаточные основания полагать, что эта информация составляет коммерческую тайну, обладателем которой является другое лицо. Права на коммерческую тайну действуют, пока соблюдаются условия ее защиты. По общему правилу степень защиты конфиденциальной информации должна соответствовать уровню ее ценности для обладателя. Перечень обязательных мер по охране конфиденциальности информации, принимаемых ее обладателем (ст. 10 Закона «О коммерческой тайне»), в частности, включает: ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за его соблюдением. При этом меры по охране конфиденциальности коммерческой тайны признаются разумно достаточными, если исключается доступ к коммерческой тайне любых лиц без согласия ее обладателя. Подчеркнем, что обладатель компьютерной информации должен принимать не только организационные и юридические меры к охране конфиденциальности информации, но и специальные технические, затрудняющие доступ третьих лиц к ней в компьютерной системе.
——————————————————————