Ук 272 и 273

Статьи 272, 273, 274 УК РФ о преступлениях в сфере компьютерной информации

Глава 28. Преступления в сфере компьтерной информации.

Статья 272. Неправомерный доступ к компьютерной информации.

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
(в ред. Федерального закона от 08.12.2003 N 162-ФЗ)

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
(в ред. Федерального закона от 08.12.2003 N 162-ФЗ)

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами — наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
(в ред. Федерального закона от 08.12.2003 N 162-ФЗ)

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, —
наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, — наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, — наказывается лишением свободы на срок до четырех лет.

Постановление Правительства РФ №470 от 23 июля 2007 г. Об утверждении положения о регистрации и применении контрольно-кассовой техники, использкемой организациями и индивидуальными предпринимателями.

Комментарии к Постановлению Правительства РФ от 23.07.2007 №470

Приказ от 5 сентября 2007 г. №351 об утверждении образца марки-пломбы контрольно-кассовой техники.

Приказ от 18 декабря 2007 г. №135н об утверждении образца знака «сервисное обслуживание».

Наказание за неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, — наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, — наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Комментарий к статье 272

1. Уголовно-правовая защита компьютерной информации в российском уголовном законодательстве введена впервые. Ранее, 23 сентября 1992 г., был принят Закон «О правовой охране программ для электронно-вычислительных машин и баз данных» (см. Ведомости РФ, 1992, N 42, ст. 2325) и 20 февраля 1995 г. — Федеральный закон «Об информации, информатизации и защите информации» (см. СЗ РФ, 1995, N 8, ст. 609). В этих законах предусмотрен комплекс мер по защите ЭВМ, баз данных, сетей и в целом компьютерной информации. В ст. 20 Закона от 23 сентября 1992 г. содержалось положение о том, что выпуск под своим именем чужой программы для ЭВМ или базы данных либо незаконное воспроизведение или распространение таких произведений влечет за собой уголовную ответственность в соответствии с законом. Однако соответствующие уголовно-правовые нормы тогда не были приняты. Очевидно, посчитали достаточной ст. 141 УК РСФСР, хотя она ответственности за упомянутые деяния не предусматривала. Эти вопросы, по нашему мнению, решены в ст.ст. 146 и 147 УК (см. комментарии к этим статьям).

2. Включение ст. 272, как и ст.ст. 273 и 274 УК, в раздел о преступлениях, посягающих на общественную безопасность и общественный порядок, определяет объект рассматриваемых преступлений. Но это был бы слишком общий подход. Конкретно эти преступления направлены против той части установленного порядка общественных отношений, который регулирует изготовление, использование, распространение и защиту компьютерной информации. Выяснение данного обстоятельства важно для того, чтобы отграничить преступления, предусмотренные ст. 272 — 274 УК, от других преступлений, связанных с использованием ЭВМ, системы ЭВМ и их сети для совершения других преступлений.

В тех случаях, когда компьютерная аппаратура является предметом преступлений против собственности, соответственно ее хищение, уничтожение или повреждение подлежит квалификации по ст.ст. 158 — 168 УК. Но дело в том, что информационная структура (программы и информация) не может быть предметом преступлений против собственности, поскольку машинная информация не отвечает ни одному из основных критериев предмета преступлений против собственности, в частности не обладает физическим признаком. Что касается компьютера как орудия преступления, то его следует рассматривать в ряду таких средств, как оружие или транспортные средства. В этом смысле использование компьютера имеет прикладное значение при совершении преступления, например хищения денежных средств или сокрытия налогов. Такие действия не рассматриваются в качестве самостоятельных преступлений, а подлежат квалификации по другим статьям УК в соответствии с объектом посягательства (см. подробнее: Новое уголовное право России. Особенная часть. М., 1996, с. 271 — 274).

3. Понятие компьютерной информации определено в комментируемой статье. Предметом компьютерной информации являются информационные ресурсы, которые в ст. 2 Федерального закона от 20 февраля 1995 г. «Об информации, информатизации и защите информации» рассматриваются как отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах, в частности в банках данных. Эти ресурсы согласно ст. 2 Закона содержат сведения о лицах, предметах, событиях, процессах, населении независимо от формы их представления. В законе далее дается полная расшифровка их содержания.

4. Под неправомерным доступом к охраняемой законом компьютерной информации следует понимать самовольное получение информации без разрешения ее собственника или владельца. В связи с тем что речь идет об охраняемой законом информации, неправомерность доступа к ней потребителя характеризуется еще и нарушением установленного порядка доступа к этой информации. Если нарушен установленный порядок доступа к охраняемой законом информации, согласие ее собственника или владельца не исключает, по нашему мнению, неправомерности доступа к ней.

Собственником информационных ресурсов, информационных систем, технологии и средств их обеспечения является субъект, в полном объеме реализующий права владения, пользования, распоряжения указанными объектами.

Владельцем информационных ресурсов, информационных систем, технологий и средств их обеспечения является субъект, осуществляющий владение и пользование указанными объектами и реализующий права распоряжения в пределах, установленных законом.

Пользователем (потребителем) информации является субъект, обращающийся к информации (подробнее о собственниках, владельцах и пользователях компьютерной информации см. Федеральный закон от 20 февраля 1995 г.).

5. Способы неправомерного доступа к компьютерной информации могут быть самыми различными, например, представление фиктивных документов на право доступа к информации, изменение кода или адреса технического устройства, нарушение средств или системы защиты информации, кража носителя информации.

6. Ответственность по ст. 272 УК наступает в том случае, если деяние повлекло указанные в ч. 1 этой статьи последствия.

Под уничтожением информации следует понимать ее утрату при невозможности ее восстановления.

Блокирование информации — это невозможность ее использования при сохранности такой информации.

Модификация информации означает изменение ее содержания по сравнению с той информацией, которая первоначально (до совершения деяния) была в распоряжении собственника или законного пользователя.

Под копированием информации следует понимать ее переписывание, а также иное тиражирование при сохранении оригинала. Представляется, что копирование может означать и ее разглашение.

Нарушение работы ЭВМ, системы ЭВМ или их сети может выразиться в их произвольном отключении, в отказе выдать информацию, в выдаче искаженной информации при сохранении целости ЭВМ, системы ЭВМ или их сети.

7. Неправомерный доступ к компьютерной информации считается оконченным с момента наступления в результате этого неправомерного доступа к ней одного или нескольких из упомянутых последствий.

8. О совершении преступления группой лиц по предварительному сговору или организованной группой см., например, комментарии к ст. ст. 35, 102 УК.

9. Об использовании служебного положения при совершении преступления см., например, комментарии к ст.ст. 136, 201 и 285 УК.

10. Представляется, что к лицам, как указывается в ч. 2 ст. 272 УК, «равно имеющим доступ» к ЭВМ, системе ЭВМ или их сети, положение ч. 1 этой статьи о несанкционированном доступе к компьютерной информации относится в тех случаях, когда они вышли за пределы определенных им обязанностей по работе и вторглись в ту сферу компьютерной информации, на которую их обязанности не распространяются. Полагаем, что о других случаях несанкционированного доступа к компьютерной информации для лиц, уже имеющих доступ, говорить вряд ли можно.

11. С субъективной стороны преступление может быть совершено только с прямым умыслом. Мотивами преступления могут быть корыстные или хулиганские побуждения, месть, зависть и др.

12. Субъектом преступления, предусмотренного ч. 1 ст. 272 УК, а также при совершении его группой лиц могут быть любые лица, достигшие 16 лет. При совершении преступления, предусмотренного ч. 2 этой статьи, при других обстоятельствах, субъектами могут быть лишь лица, занимающие определенное служебное положение или имеющие доступ к ЭВМ, системе ЭВМ или их сети, т. е. субъект специальный.

Отличие неправомерного доступа к компьютерной информации от смежных составов преступлений (статья)

При квалификации неправомерного доступа к компьютерной информации возникает ряд вопросов, касающихся отграничения данного преступления от иных видов преступных посягательств, связанных с уничтожением, блокированием, модификацией либо копированием информации, нарушением работы ЭВМ, системы ЭВМ или их сети, а равно преступлений, предметом которых является компьютерная информация. К числу таких преступлений можно отнести:

— преступления в сфере компьютерной информации: создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ);

— иные преступления, предметом которых может являться компьютерная информация, содержащаяся на машинном носителе, в ЭВМ, системе ЭВМ или их сети: нарушение авторских и смежных прав (ст. 146 УК РФ), незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну (ст. 183 УК РФ) и некоторые другие.

Для выяснения признаков неправомерного доступа к компьютерной информации и отграничения его от смежных преступлений сотрудникам правоохранительных органов необходимо использовать метод юридического анализа, позволяющий исследовать конкретное преступление с различных сторон и раскрыть его конструктивные признаки.

При этом важно установить:

— на что посягает данное деяние, чему оно причиняет вред или создает угрозу причинения вреда;

— объективную (внешнюю) сторону преступления, характеризующую само деяние (действие или бездействие), наступившие последствия и причинную связь между ними;

— субъективную (внутреннюю) сторону преступления, определяющую представление о психическом отношении лица к содеянному и его последствиям — умысел (прямой и косвенный), неосторожность (небрежность или легкомыслие), мотив поведенческого акта субъекта и его цель; характеристику самого субъекта преступного посягательства.

Особого внимания заслуживает вопрос об отграничении неправомерного доступа к компьютерной информации от создания, использования и распространения вредоносных программ для ЭВМ. Сложность этого вопроса заключается в том, что и неправомерный доступ к компьютерной информации, и создание, использование и распространение вредоносных программ для ЭВМ ведут к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети. Причем создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к указанным выше вредным последствиям, вполне могут сочетаться с неправомерным доступом к компьютерной информации, что еще раз свидетельствует о прикладном характере разграничения этих преступлений.

Во-первых, предметом преступления, предусмотренного ст. 272 УК РФ, является только та информация, которая охраняется законом. Напротив, предметом создания, использования и распространения вредоносных программ для ЭВМ является любая информация (как охраняемая законом, так и не охраняемая), содержащаяся на машинном носителе, в ЭВМ, системе ЭВМ или их сети.

По соответствующей части ст. 273 УК РФ следует квалифицировать действия виновного, совершившего неправомерный доступ к программе для ЭВМ, не имеющей специального правового статуса (т. е. не охраняемой законом), если это деяние было связано с ее модификацией, заведомо приводящей к вредным последствиям, указанным в диспозиции статьи УК РФ. Признаки состава неправомерного доступа к компьютерной информации в этом случае отсутствуют.

Вторым критерием, позволяющим разграничить неправомерный доступ к компьютерной информации от создания, использования и распространения вредоносных программ для ЭВМ, является содержание (объективная сторона) общественно опасного деяния.

Последнее из указанных преступлений предполагает совершение хотя бы одного из следующих действий:

— создание вредоносной программы (вредоносных программ) для ЭВМ;

— внесение изменений в существующие программы для ЭВМ, с доведением их до качества вредоносных;

— использование вредоносных программ для ЭВМ;

— использование машинных носителей, содержащих вредоносные программы для ЭВМ;

— распространение вредоносных программ для ЭВМ;

— распространение машинных носителей, содержащих вредоносные программы для ЭВМ.

При этом следует обратить внимание на то, что, согласно букве и смыслу закона, состав преступления, предусмотренный ч. 1 ст. 273 УК РФ, сконструирован как формальный.

Следовательно, для признания преступления оконченным не требуется реального наступления вредных последствий в виде уничтожения, блокирования, модификации либо копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети.

Достаточно установить сам факт совершения общественно опасного деяния, если оно создавало реальную угрозу наступления альтернативно перечисленных выше вредных последствий.

Для преступления, предусмотренного ст. 272 УК РФ, суть общественно опасного деяния заключается в неправомерном доступе к компьютерной информации. Причем состав неправомерного доступа к компьютерной информации в отличие от создания, использования и распространения вредоносных программ для ЭВМ сконструирован как материальный. Оконченным это преступление будет только тогда, когда наступят вредные последствия, лежащие в причинной связи с поведенческим актом виновного.

В том случае, когда виновный умышленно создает вредоносную программу для ЭВМ или вносит изменения в существующую программу, доводя ее до качества вредоносной, а равно использует либо распространяет такие программы или машинные носители с такими программами и при этом не совершает неправомерного доступа к охраняемой законом компьютерной информации, то его действия подлежат квалификации по ст. 273 УК РФ.

В практике могут быть случаи, когда виновный в целях создания вредоносной программы для ЭВМ неправомерно вызывает существующую программу, являющуюся, скажем, объектом авторского права, а значит, охраняемую законом, и вносит в нее соответствующие изменения (например, добавляет или удаляет отдельные фрагменты программы, перерабатывает набор данных посредством их обновления и т. д.), иными словами, модифицирует компьютерную информацию. В этом случае налицо совокупность преступлений, предусмотренных ст. ст. 272 и 273 УК РФ. Объясняется это тем, что диспозиция ст. 273 УК РФ, говоря о создании программ для ЭВМ, внесении изменений в существующие программы, использовании либо распространении таких программ или машинных носителей с такими программами, не охватывает своим содержанием факт не правомерного доступа к охраняемой законом компьютерной информации.

Следовательно, деяние виновного подлежит дополнительной квалификации по ст. 272 УК РФ.

Как покушение на создание, использование и распространение вредоносных программ для ЭВМ и оконченный состав неправомерного доступа к компьютерной информации следует оценивать поведение лица, которое, неправомерно вызвав существующую программу для ЭВМ и внеся в нее ряд изменений, не сумело в силу различного рода причин, выходящих за рамки сознания и воли виновного, довести эту программу до качества вредоносной.

Если же действия виновного были пресечены на более ранней стадии, например, в момент неправомерного доступа к информации, и не были связаны с ее модификацией (внесением изменений), налицо приготовление к созданию, использованию и распространению вредоносных программ для ЭВМ и покушение на неправомерный доступ к компьютерной информации.

Наконец, с субъективной стороны преступление, предусмотренное ч. 1 ст. 273 УК РФ, характеризуется виной в форме прямого умысла, о чем, в частности, свидетельствует четкое указание законодателя на заведомый характер деятельности виновного.

Неправомерный же доступ к компьютерной информации может быть совершен не только с прямым, но и с косвенным (эвентуальным) умыслом, что, безусловно, расширяет границы психического отношения лица к деянию и его последствиям.

Итак, отличие неправомерного доступа к компьютерной информации от создания, использования и распространения вредоносных программ для ЭВМ следует искать в юридической характеристике предмета преступного посягательства, содержании общественно опасных действий, приводящих к вредным последствиям, и субъективной стороне, дающей представление об отношении субъекта к содеянному и его последствиям.

Неправомерный доступ к компьютерной информации необходимо отличать от преступления, предусмотренного ст. 274 УК РФ. Указанная статья устанавливает ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред (ч. 1 ст. 274 УК РФ) или повлекло по неосторожности тяжкие последствия (ч. 2 ст. 274 УК РФ).

Основные различия между этими преступлениями состоят в том, что:

— при неправомерном доступе к компьютерной информации виновный не имеет права вызывать информацию, знакомиться с ней и распоряжаться ею, иными словами, действует несанкционированно.

Состав же нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, напротив, предполагает, что виновный, в силу занимаемого служебного положения или выполнения функциональных обязанностей, вызывает информацию правомерно, т. е. действует в этом плане на законных основаниях.

Таким образом, в отличие от неправомерного доступа к компьютерной информации субъект преступного посягательства, предусмотренного ст. 274 УК РФ — законный пользователь информации;

— неправомерный доступ к компьютерной информации — преступление, совершаемое только путем активных действий, тогда как нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети может быть совершено и бездействием (например, виновный не включает систему защиты ин- формации от несанкционированного доступа к ней, оставляет без присмотра свое рабочее место и т. д.);

— необходимым признаком объективной стороны анализируемых преступлений выступают общественно опасные последствия, которые, однако, по своему содержанию и объему неравнозначны.

Ответственность по ст. 274 УК РФ наступает только в том случае, если уничтожение, блокирование или модификация охраняемой законом информации ЭВМ причинило существенный вред потерпевшему.

Для привлечения к ответственности по ст. 272 УК РФ причинение существенного вреда не требуется. Достаточно установить сам факт уничтожения, блокирования, модификации или копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети.

Кроме того, закон не предусматривает ответственности за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети, если это деяние повлекло копирование информации, даже причинившее существенный вред. Указанное положение свидетельствует о неравнозначном подходе законодателя к объему преступных последствий, выступающих в качестве обязательных признаков для составов преступлений, предусмотренных ст. 272 и ст. 274 УК РФ.

Как указывалось выше, в УК РФ предусмотрена довольно большая группа преступлений, совершение которых может быть связано не только с воздействием на компьютерную информацию, но и повлечь вредные последствия в виде уничтожения, блокирования, модификации либо копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети.

Особого внимания заслуживает вопрос об отграничении неправомерного доступа к компьютерной информации от нарушения авторских и смежных прав (ст. 146 УК РФ). Такие случаи приобретают особую актуальность тогда, когда преступник получает доступ к компьютерной программе, являющейся, в свою очередь, объектом авторского права и вопреки закону и согласию на то автора использует эту программу в своих преступных целях (например, воспроизводит программу для ЭВМ).

Во-первых, отличие анализируемых преступлений заключается в основном объекте посягательства. Объектом преступления, предусмотренного ст. 272 УК РФ, являются общественные отношения по обеспечению безопасности компьютерной информации и нормальной работы ЭВМ, системы ЭВМ или их сети. Нарушение же авторских и смежных прав посягает на провозглашенную Конституцией РФ охрану интеллектуальной собственности. Следовательно, объектом преступления, предусмотренного ст. 146 УК РФ, являются общественные отношения, обеспечивающие авторские и смежные права, регулируемые нормами гражданского и международного права.

Из этого положения вытекает второй критерий, позволяющий разграничить неправомерный доступ к компьютерной информации от нарушения авторских и смежных прав, а именно объем предмета посягательства. Предметом первого из указанных преступлений является компьютерная информация, охраняемая законом.

Предметом же последнего преступления — только объекты авторского права, к которым действующее законодательство России относит, в частности, программы для ЭВМ и базы данных.

В-третьих, потерпевшим от неправомерного доступа к компьютерной информации может быть любое физическое или юридическое лицо, общество и государство, тогда как потерпевшим от преступного нарушения авторских и смежных прав признается только автор (физическое лицо или группа физических лиц) того или иного объекта авторского права.

В-четвертых, объективная сторона нарушения авторских и смежных прав в качестве необходимого признака включает наступление общественно опасных последствий в виде причинения крупного ущерба автору объекта авторского права в форме упущенной выгоды или морального вреда. Указанный признак не является обязательным для привлечения виновного к уголовной ответственности по ст. 272 УК РФ. В последнем случае достаточно установить реально объективированные последствия в виде уничтожения, блокирования, модификации либо копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети.

В-пятых, нарушение авторских и смежных прав связано либо с присвоением авторства, либо с незаконным использованием объектов авторского права (например, распространением программы для ЭВМ, внесением изменений в обозначение имени автора программы и т.д.). При неправомерном доступе к компьютерной информации ее дальнейшее использование виновным не обязательно. Однако на практике возможны ситуации, когда виновный, желая нарушить охраняемые законом права автора, вызывает компьютерную программу, копирует ее и воспроизведенные копии незаконно использует в своих преступных целях. В этом случае содеянное виновным подлежит квалификации по совокупности ст. 146 и 272 УК РФ, если, разумеется, законному автору программы был причинен крупный ущерб. Это объясняется тем обстоятельством, что диспозиция ст. 272 УК РФ не охватывает своим содержанием факт незаконного использования объектов авторского права или присвоение авторства, равно как и диспозиция ст. 146 УК РФ — факт неправомерного доступа к охраняемой законом компьютерной информации.

В судебной и следственной практике могут возникнуть вопросы, связанные с отграничением неправомерного доступа к компьютерной информации от такого преступления, как, например, нарушение неприкосновенности частной жизни (ст. 137 УК РФ).

Объектом этого преступления выступает неприкосновенность личного суверенитета человека, сфера его частной жизни и личных отношений. Между тем трудно не признать, что неправомерный доступ к компьютерной информации, содержащей сведения о частной жизни лица, составляющие его личную или семейную тайну, представляет собой ни что иное, как специфическую разновидность сбора этих сведений — иными словами, совершение действий, образующих оконченный состав нарушения неприкосновенности частной жизни. Поэтому неправомерный доступ к компьютерной информации, содержащей сведения о частной жизни лица, совершенный с прямым умыслом и из корыстной или иной личной заинтересованности, при условии причинения вреда правам и законным интересам граждан, квалифицируется по совокупности со ст. 137 УК РФ. Об этом, в частности, свидетельствует то обстоятельство, что виновный наряду с неприкосновенностью частной жизни посягает и на общественные отношения по обеспечению безопасности компьютерной информации и нормальной работы ЭВМ, системы ЭВМ или их сети.

Кроме того, санкция ст. 137 УК РФ гораздо мягче санкции, предусмотренной ст. 272 УК РФ, что, безусловно, свидетельствует о необходимости квалифицировать подобное проявление преступной деятельности виновного по совокупности преступлений.

Ук 272 и 273

Все события вымышлены, мысли и предложения — фантазия, совпадения — случайны.
Статья представляет собой субъективные вольные измышления об имеющимся несоответствии в реальности сферы ИТ и применения к ней некоторых элементов соответствующей статьи Уголовного кодекса РФ. За этот «эпос» меня может быть осудят товарищи, но, так или иначе, на затрагиваемые в статье вопросы необходима реакция, любая. Статья разбита на 3 части, по количеству Причин.

К написанию настоящей статьи меня сподвигли несколько причин:

Причина Первая

Каждый раз когда я сталкиваюсь с очередным Инцидентом информационной безопасности, тем я лучше понимаю, что я ничего не знаю, даже наверно нет, не так категорично, каждый раз понимаю, что с новым Инцидентом постоянно не хватает какого-то нового кирпичика, мелочи, но, в независимости от того, где не хватает этого элемента, в «фундаменте» или с краю в «трубе на крыше», все сложнее и сложнее строить логические пути, связи, плести паутину, которая бы симметрично и логично склеивала бы объективную реальность, отразившуюся в Инциденте, и Наши законы. Тем удручающе, до введения на грань депрессии, я понимаю как в принципе легко развалить объединенный результат трудов экспертов, специалистов, оперуполномоченных, следователей. Наши законы, это и Уголовный кодекс, и закон «об ОРД», и УПК, и обязательно не забыть остальные, имеющие отношение к «информационной» тематике федеральные законы. Причем, на мой взгляд, если очень педантично разбирать каждый случай, многие инциденты вообще никак нельзя связать, «подвести» под какую-либо статью УК. Кодекс об административных правонарушениях вообще не рассматриваю, я считаю, что для сфер «связь», «информация» — его фактически не существует. Поэтому, первой причиной написания статьи выступает желание довести до Хабр сообщества свое виденье обстановки в этой сфере, краем затянуть читателей в свой многолетний когнитивный диссонанс. Поэтому в этой части будет краткий поверхностный юридический ликбез по статье 272 УК РФ (ст.273 и 274 УК РФ рассматривать не буду, дабы не усложнять и так тяжелый для осмысленного понимания текст).

Размышления о статье 272 УК РФ

Рассмотрим часть 1 статьи 272 УК РФ «Неправомерный доступ к компьютерной информации»

Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

Самое важное — это два элемента статьи: к чему осуществлен неправомерный доступ — к охраняемой законом информации, и второй момент, наступление последствий в виде уничтожения, блокирования, модификации либо копирования (Примечание: причем Законодатель не указал прямо в последствиях «охраняемой законом», но, видимо, нам как бы понятно, что доступ к информации и последствия— это все в отношении одной и той же информации, или как?). Правомерность или нет такой — рассматривать не будем, конечно, бывают нюансы, но они не основные, мне кажется, понятно, что есть что, и при каких технических и правовых условиях.

Что же это такое — охраняемая законом информация, те немногие здравомыслящие мои знакомые следователи, опираясь на законодательство РФ, хотят и считают так: предмет посягательства — охраняемая законом компьютерная информация, под информацией понимается — сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. Информация признается охраняемой при соблюдении двух условий: закон ставит под защиту данные от несанкционированного доступа. Так, Указом Президента РФ от 06.03.1997 № 188 утвержден Перечень сведений конфиденциального характера. К ним относятся персональные данные, кроме установленных законом случаев, тайна следствия и судопроизводства, сведения о защищаемых лицах и мерах государственной защиты, применяемых в отношении потерпевших, свидетелей или иных участников уголовного судопроизводства, служебная тайна, врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т. д., коммерческая тайна, сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них. В соответствии с ФЗ «О персональных данных» от 27.07.2006 г. № 152-ФЗ, под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемого физическому лицу (субъекту персональных данных). И это не все, я почти забыл указать о государственной тайне.

Более того, законный обладатель информации должен предпринимать меры по ее охране.
Обратите внимание, еще раз какая информация охраняется. Теперь вопрос — введен ли на Вашем предприятии, в Вашей организации, небольшой команде разработчиков, например, режим коммерческой тайны? Если кратко, то обладатель информации имеет право отнести ее к коммерческой тайне. Чтобы информация получила статус коммерческой тайны, ее обладатель должен исполнить установленные законом «О коммерческой тайне» процедуры. После получения статуса коммерческой тайны, введения режима — информация начинает охраняться законом. «Задним числом», при «разборе полетов» по Инциденту, эти процедуры увы навряд ли получиться осуществить (хотя почему бы нет, но выглядеть будет крайне криво). Примитивно, но, если кто-то каким либо образом осуществит проникновение в вашу сеть к серверам и наступят последствия в отношении информации, которую вы по наитию считаете коммерческой тайной, но в отношении ее не введен режим — увы, следователь вправе утверждать, что состав преступления отсутствует. И так, в принципе, с каждой «охраняемой информацией», по каждой из указанного перечня есть свои режимы, правила, нормы, что считать, что нет и так далее.
Теперь о том, что «законный обладатель информации должен предпринимать меры по ее охране». Что это? Это комплекс мероприятий правового, организационного, технического и прочих характеров. Всяческие более или менее серьезные организации по обеспечении Информационной безопасности и правовой поддержки «съели на этом не одну собаку», распечатали ни одну коробку бумаги, заработали ни один «стог» денег.

Отступление:
Примечание к Отступлению:

Уже заканчивая часть статьи, в блоге одного из специалистов я обнаружил коррелирующую с моими мыслями направленность, просто процитирую: «В этом плане мне вспомнился на днях PHD, лозунг которого был «Реальная безопасность». И действительно — взломы АСУ ТП, банкоматов, браузеров, обход защитных механизмов, мошенничества с ДБО — вот то, чем должны заниматься службы ИБ. А у них банально на это времени не хватает, т.к. они вынуждены заниматься выполнением многостраничных манускриптов, построенных на уже устаревшей парадигме защищенного периметра, защите гостайны и противодействии иностранным техническим разведкам.»

Однако, вернемся к статье 272. В отношении информации и ее охране законом мы в общем на примитивном уровне разобрались. И понятно, что не все так просто, более того, доказыванию подлежит факт неправомерного доступа к именно охраняемой законом информации, то есть если на носителе, к которому был доступ (я де-факто рассматриваю доступ дистанционный, посредством любого рода коммуникаций, случай, когда кто-то у кого то украл сам носитель — не интересно), содержится множество файлов, структур данных— и ведь не все из данных будут охраняться законом, и доказать следователю надо будет, что именно к охраняемым законом осуществлен неправомерный доступ. Причем следователь потребует конкретный список файлов, баз данных, охраняемых законом, с подтверждением неправомерного доступ к ним. Как-то так… кстати, чем однозначно подтверждать будем?

Теперь другой важный элемент статьи, процитирую своего знакомого, достаточно опытного следователя, но не факт, что здравомыслящего: «преступление имеет материальный состав, считается оконченным с момента наступления хотя бы одного из указанных в ч.1 ст. 272 УК РФ последствий в виде уничтожения, блокирования, модификации или копирования информации. Ознакомление с информацией при отсутствии последствий не образует состава преступления, предусмотренного ст. 272 УК РФ». Вот так, до смешной грусти, если найдется «хакер» с феноменальной зрительной или слуховой памятью — то он никогда не будет осужден по этой статье.

И ведь действительно, нет единства во мнениях по поводу последствий, так, например, «копирование», определяют по разному, как кому угодно, удобно, подстраивают под конкретные ситуации, откровенный мухлеж, адвокаты, которые соображают в ИТ (я таких за 10 лет не видел, только читал о них в Сети), могут говорить о том, что копирование — это непосредственно создание дубликата файла, файлов, данных, или копии сведений и сообщений при сохранении неизменности первоначальной компьютерной информации, следователи же могут посчитать за «копирование», данные, полученные в виде, например, пакетов настроек от DHCP сервера локальной сети, подвергнувшейся «взлому» (автор кается, грешен, был перегиб, когда около 7 лет назад участвовал в таком деле, за охраняемую информацию «выдали» данные, полученные от DHCP Wi-Fi точки, человек осужден был на штраф по двум статьям: ч.1 ст. 272 и ч.1 ст. 165 УК РФ «Причинение имущественного ущерба путем обмана или злоупотребления доверием», оправдываясь, скажу — просто устали «пеленговать» любителя Интернета за чужой счет), адвокаты могут уверять, что технические данные, получаемые «объектом» в процессе работы браузера (те же HTTP cookie), сетевых устройств и другой служебной информации не могут выступать в качестве объекта «копирования».

Отступление:

Мне вот интересно, как, с учетом всего ранее сказанного, охарактеризовать ситуацию, при которой, данные, полученные в результате работы sniffer -а, будь то обычный перехват пакетов на канале, или в результате проведения Man in middle атаки со спуфингом устройств в сети провайдера, если перехваченная информация представляет собой данные для аутентификации, логин и пароль «plain text» — ом в smtp или pop, либо пресловутые HTTP cookies, которые позволят «объекту» осуществить доступ к некому ресурсу с аккаунтом «потерпевшего».
Моделируем, доступ осуществляется, и «объект» просто визуально запоминает, а фактически запускает запись экрана — «рабочего стола». Вот интересно, «запись с экрана» программным способом или установленной напротив монитора цифровой камерой в FullHD. Что это? Как одна и та же — идентичная информация по смысловому содержанию, но разная по форме хранения, представления влияет на состав, скопировал на носитель информации охраняемые законом письма, документы с ресурса, есть оконченный состав. Прочитал же так как я указал с видео фиксацией, либо запомнил, благодаря феноменальным способностям — нет состава. Я почему то уверен, что «потерпевшему» абсолютно все равно в какой форме, каким методом его данные стали достоянием кого то еще, но есть следователь, прокурорский работник, судья — которые будут опираться исключительно на букву Закона, причем для них это буква должна быть написана на бумаге, бумага утверждена, подписана ручкой или чернилами, с печатями и прочей атрибутикой, я думаю, моя ирония понятна. Очень сложно, практически нереально на практике объяснить следователю, прокурорскому работнику, что если «объект» «увидел» на экране данные, значит он их «автоматически» скопировал.

Подобным неоднозначным родом обстоят дела и с «модификацией», «блокированием». Я встречал в практике (очень давно, правда) и читал в Сети, что, например, под «модификацию» охраняемой информации «подписывали» иногда и изменение биллинговых данных у провайдеров, вследствие доступа в сеть по чужим реквизитам, и тут же возникало «блокирование» — клиент не мог выйти в Сеть, достучаться до аккаунта (например, когда две одновременные сессии запрещены).
И вот, наконец-то, «уничтожение», может показаться на бытом уровне — «тут то все просто». Увы, нет, и тут сложности, и некоторые моменты я постараюсь донести до читателей во второй части статьи.

В заключение хочу сказать, все перечисленное — это вопросы и размышления, на практике вопросов больше, необходимо по каждому элементу статьи объяснять следователю, отвечать на вопросы и обязательно иметь фактическое подтверждения в Инциденте каждого слова и буквы из статьи УК РФ. Причем, одновременно учитывать, моделировать ответы предполагаемого подозреваемого и его адвоката, располагать доводами и доказательствами, которыми можно «разбить» любой околонаучный бред «нарушителя» (на эту тему можно отдельный «эпос» писать).
И надеюсь, вы теперь понимаете, как мероприятия по обычному рядовому Инциденту выливаются в огромный труд, который при нынешнем состоянии дел с законодательством, при противоречивых, неоднозначных трактовках легко разрушить, или как минимум поставить под сомнение.

Еще по теме:

  • Юфу юрфак повышение квалификации адвокат Юфу юрфак повышение квалификации адвокат Факультет юридический Южный Федеральный Университет (+7 863) 218-40-00 ул. Большая Садовая, 105/42 Поступление Государственная научная […]
  • Мировой суд чита железнодорожный район Закон Забайкальского края от 28 июля 2014 г. N 1026-ЗЗК "О мировых судьях Забайкальского края и судебных участках в Забайкальском крае" (с изменениями, внесенными Законом Забайкальского […]
  • Стоит ли работать на госслужбе Стоит ли променять гос службу на работу в банке? Я работаю в гос конторе. З/п 15 тыс. Место временное (декретное) Через 1,5 года заканчивается контракт. Просилась перевести меня на […]
  • Отпуск инвалидам статья тк рф Разъясняем законодательство Работающие инвалиды имеют право на ежегодный оплачиваемый отпуск продолжительностью не менее 30 дней В соответствии со ст. ст. 114, 115 Трудового кодекса […]
  • Статья 28 ук рф Статья 28. Невиновное причинение вреда СТ 28 УК РФ. 1. Деяние признается совершенным невиновно, если лицо, его совершившее, не осознавало и по обстоятельствам дела не могло осознавать […]
  • Судебная практика по ст 228 ч2 ст. 228 УК РФ Судебная практика - Незаконное приобретение, хранение и перевозка наркотических средств Судебная практика по ст. 228 Уголовного Кодекса РФ - Незаконное приобретение, […]