Юридические аспекты терминов "вредоносная программа" и "неправомерный доступ" 
Юридические аспекты терминов "вредоносная программа" и "неправомерный доступ"
Юридические аспекты терминов"вредоносная программа" и
"неправомерный доступ"
В
статье рассматривается ошибочная практика квалификации по
"компьютерным" ст. 272 и 273 УК РФ правонарушений, связанных с
авторским правом. В силу схожести терминов и игнорирования понятия объекта
преступления работники правоохранительных органов неверно квалифицируют
подобные деяния. В частности, ошибочно признают некоторые программные средства
для преодоления технических средств защиты авторских прав вредоносными
программами, а сами деяния, имеющие целью подобное преодоление, - неправомерным
доступом к компьютерной информации. В ряде случаев это переводит нарушение из
административной или гражданской сферы в уголовную. Авторы подробно анализируют
соответствующие составы преступлений, уточняют толкование ключевых терминов, а
также опровергают расхожие заблуждения, касающиеся вредоносных программ.
Тенденция к использованию статей 272-273
УК РФ
в отношении правонарушений, связанных с авторским правом
Примерно
с 2001 г. в практике правоохранительных органов России появилась странная
тенденция: добавлять обвинение по ст. 272 (неправомерный доступ) или 273
(вредоносные программы) ко всем обвинениям по ч. 2 и 3 ст. 146 (нарушение
авторских прав), если только охраняемое произведение было представлено в
цифровой форме. По информации авторов, инициатором подобной практики стал один
крупный российский правообладатель при технической поддержке им же учрежденной
некоммерческой организации.
Причины
появления такой "инициативы" достаточно ясны. Для привлечения
нарушителя авторских прав по "целевой" ст. 146 УК РФ необходимо
доказать, что стоимость контрафактных экземпляров была не менее 50 000 руб. При
единичной же установке программного продукта подобная сумма может фигурировать,
только если этот продукт очень дорогой, такой, например, как AutoCAD компании
AutoDesk (около 106 000 руб.). А большинство популярных отечественных программ
существенно дешевле и, как правило, по стоимости не превышают 40 000 руб. В то
же время львиная доля нарушений осуществляется именно посредством единичных
инсталляций программных продуктов.
На
тринадцатой странице читайте основной вывод по данной работе, связанной с
нарушением авторских прав.
Соответственно
возникла потребность "найти иные пути" привлечения нарушителей к
уголовной ответственности. Именно к уголовной, потому что она оказывает
максимальный психологический эффект на потенциальных нарушителей, а также дает
несравненно большие возможности для сбора доказательств. Доказывать нарушения
авторских прав в гражданском порядке намного труднее и дороже; при этом
невозможны такие действия, как проверочная закупка, обыск, допрос
подозреваемого и свидетелей.
Искомую
возможность перевода нарушения из гражданской сферы в уголовную предоставили
формулировки ст. 272 и 273 УК РФ. Речь в них идет о неправомерном доступе к
компьютерной информации и о создании вредоносных программ, заведомо приводящих
к модификации, копированию, уничтожению либо блокированию компьютерной
информации, нарушению работы ЭВМ, системы ЭВМ или сети. Объект авторского
права, программа для ЭВМ, записанная на машинный носитель, очень похожа на
"компьютерную информацию" в неюридическом, бытовом значении этого
термина. А имущественные авторские права на программу для ЭВМ обозначаются терминами:
"воспроизведение", "распространение" и
"переработка", которые по своему значению похожи на термины
"копирование" и "модификация", используемые в ст. 272 и 273
УК РФ.
Соответственно
с этой точки зрения "неправомерное воспроизведение объекта авторских
прав" и "преодоление технических средств защиты авторских прав"
похожи по звучанию на "неправомерный доступ к информации", который
подпадает под действие ст. 272 УК РФ. А написание специализированных программ
для преодоления технических средств защиты авторских прав похоже на
"создание вредоносных программ", подпадающее под действие ст. 273 УК
РФ.
Дополнительным
запутывающим фактором здесь служит и непродуманное использование законодателем
одного и того же термина "модификация" как в Федеральном законе
"О правовой охране программ для электронных вычислительных машин и баз
данных", так и в указанных статьях Уголовного кодекса. Такое
"совпадение" приводит к тому, что даже в правовых работах известных
специалистов всерьез исследуется вопрос о том, чем отличается "модификация
компьютерной информации" от ее "адаптации". Хотя термин
"адаптация" применяется лишь в отношении программ для ЭВМ как
объектов авторского права и неприложим к информации.
Со
своей стороны представители правоохранительных органов охотно приняли на
вооружение этот подход, так как он позволяет как наказать "виновных"
лиц, неподсудных (из-за установленного "порога" по стоимости) по ст.
146, так и поднять показатели раскрываемости преступлений в области
компьютерной информации. Практика вменения состава преступления по ст. 272 и
273 УК РФ изначально распространилась в регионах, в настоящее же время она
начала внедряться и в столице.
По
мнению авторов настоящей статьи, во-первых, эта практика нарушает существующее
законодательство Российской Федерации, криминализируя большинство пользователей
ЭВМ в нашей стране (согласно данным международной организации Business Software
Alliance, 87% установленного программного обеспечения в России -
контрафактное). Во-вторых, такая практика предоставляет правообладателям
дополнительные, изначально не предусмотренные законом возможности для защиты их
прав. И тем самым сильно перекашивает баланс между интересами авторов,
пользователей и общества в целом, в то время как именно баланс прав и является
целью законодательства об интеллектуальной собственности.
Разумеется,
утверждение о неправомерности применения ст. 272 и 273 УК РФ к случаям
нарушения авторских прав на программы для ЭВМ нуждается в доказательствах его
верности. Ниже мы попробуем проанализировать указанные статьи и область их
применения и сформулировать необходимые доказательства.
Преступления в сфере компьютерной
информации
Указанная
глава появилась вместе с Уголовным кодексом РФ в 1996 г. Изначально осуществить
криминализацию "компьютерных преступлений" предполагалось посредством
внесения ряда статей в Уголовный кодекс РСФСР [1], в частности:
- ст.
152-3 "Незаконное овладение программами для ЭВМ, файлами и базами
данных";
- ст.
152-4 "Фальсификация или уничтожение информации в автоматизированной
системе";
- ст.
152-5 "Незаконное проникновение в АИС, совершенное путем незаконного
завладения парольно-ключевой информацией, нарушение порядка доступа или обхода
механизмов программной защиты информации с целью ее несанкционированного
копирования, изменения или уничтожения";
- ст.
152-6 "Внесение или распространение "компьютерного вируса";
- ст.
152-7 "Нарушение правил, обеспечивающих безопасность АИС";
- ст.
152-8 "Промышленный шпионаж с использованием ЭВМ".
Однако
переход к совершенно новому Уголовному кодексу стал причиной переработки
указанных статей и их сведению к нынешним трем статьям 28-й главы УК РФ.
По
нашему мнению, указанное сокращение составов преступлений сказалось на
"компьютерной" части уголовного закона отнюдь не лучшим образом.
Первоначальный вариант, хотя и не идеальный, более соответствовал реальности и
теоретическим положениям информационной безопасности, а также не давал
возможности для смешения разных категорий правонарушений.
Современная
же формулировка статей 28-й главы УК РФ по сути была морально устаревшей уже в
момент ее принятия. И, к большому сожалению, за прошедшие 10 лет она ни разу не
подвергалась пересмотру и уточнению. В существующем же виде использование
нераскрытых в уголовном законе терминов "информация",
"санкционирование", "доступ" часто позволяют необоснованно
распространять действие указанных статей на области, явно не
предусматривавшиеся законодателем.
Общий правовой анализ статей 272 и 273
УК РФ
Статья 272
Объект
преступления. В комментариях [3, 4, 5] в качестве объекта преступления для ст. 272 УК РФ
указываются соответственно "охраняемая законом компьютерная
информация", "права на информацию ее владельца и третьих лиц",
"право на неприкосновенность информации ее владельца и третьих лиц" и
"материальные интересы потерпевшего".
Но сама
по себе компьютерная информация не может считаться объектом преступления - из
теории уголовного права известно, что объектом может быть только один из видов
общественных отношений [12]. Правильнее сказать, что объектом
являются отношения, связанные с компьютерной информацией. А именно следующие:
право лица на безопасное пользование своим компьютером и сетевым соединением,
право владельца на доступ к своей информации в ее неизменном виде.
Объективная
сторона "выражается в: а) неправомерном доступе к охраняемой законом
информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети; б) наступлении
неблагоприятных последствий в виде уничтожения, блокирования, модификации,
копирования информации, нарушения работы ЭВМ, их системы или сети; в) наличии
причинной связи между неправомерным доступом и наступившими последствиями"
[5].
Субъект
преступления - "вменяемое физическое лицо, достигшее ко времени
совершения преступления 16-летнего возраста" [4].
Субъективная
сторона. В [3]
указывается, что преступления, подпадающие под действие ст. 272 УК РФ, могут
совершаться только с прямым умыслом, однако в [4] указывается и на возможность
совершения подобных преступлений по неосторожности, а в [5] говорится не только о прямом, но
и о косвенном умысле.
С
учетом того что информационные системы обладают высокой сложностью и их
функционирование зависит от огромного числа параметров, значение многих из
которых пользователь не контролирует, следует признать, что неосторожность
здесь неприменима. Сложность, слабая предсказуемость и фактическая
недетерминированность современных компьютерных систем приводит к тому, что
доступ к чужой информации и воздействие на нее происходит не то чтобы часто, но
регулярно - в силу ошибок в программах и случайных факторов. Каждый специалист
знает об этом и вынужден допускать возможность возникновения таких ошибок,
застраховаться от которых невозможно. *(1) Поэтому включение в состав преступления
варианта его совершения по неосторожности криминализировало бы всю повседневную
работу любых ИТ-специалистов.
Таким
образом, неправомерный доступ к охраняемой законом компьютерной информации
может совершаться с прямым или косвенным умыслом.
Состав
преступления является материальным и предполагает обязательное наступление
одного из следующих последствий: уничтожение информации; блокирование
информации; модификация информации; копирование информации; нарушение работы
ЭВМ, системы ЭВМ или их сети.
Статья 273
Объект
преступления. В [4] в качестве объекта преступления называется
"безопасность пользования интеллектуальными и вещественными средствами
вычислительной техники", в [5] - "безопасность использования информационных ресурсов
и электронно-вычислительной техники" и "материальные интересы
потерпевших". Так как, с одной стороны, не вполне ясно, что такое
"интеллектуальные и вещественные средства вычислительной техники", а
с другой стороны, в самой ст. 273 УК РФ ничего не говорится о
"безопасности" и "материальных интересах потерпевших", с
формулировками из вышеприведенных комментариев нельзя полностью согласиться. По
нашему мнению, в данном контексте объектом преступления следует назвать
общественные отношения по обеспечению корректной работы вычислительной техники
в виде единственной ЭВМ, системы ЭВМ или их сети, т.е. право пользователя на
безопасное пользование своим компьютером и сетевым соединением.
Объективная
сторона преступления заключается в создании либо модификации одной или более
программ для ЭВМ так, чтобы полученные в итоге программы заведомо приводили к
несанкционированному уничтожению, блокированию, модификации либо копированию
информации, нарушению работы ЭВМ, системы ЭВМ или их сети. Преступлением
считается и виновное использование и/или распространение подобных вредоносных
программ.
Субъект
преступления - "вменяемое физическое лицо, достигшее ко времени
совершения преступления 16-летнего возраста" [4].
Субъективная
сторона преступления характеризуется только прямым умыслом [3, 4, 5], однако ч. 2 ст. 273 УК РФ
предусматривает наступление тяжких последствий по неосторожности [3]. На практике распространение и
использование вредоносных программ не всегда считается преступлением -
исключением является деятельность разработчиков антивирусных средств, средств
обнаружения и предотвращения атак, а также академических исследователей
вредоносных программ. Все эти лица действуют, имея умысел на нечто
противоположное - на предотвращение распространения таких программ.
Состав
преступления является формальным и не требует для квалификации наступления
каких-либо последствий.
Следует
учитывать, что обсуждаемые комментарии [3, 4, 5] создавались сразу после принятия нового УК РФ. В то время
не было никакой практики применения составов из 28-й главы, которые
отсутствовали в прежнем Кодексе. Следовательно, комментарии писались исходя из
общих соображений, без учета сомнений и неоднозначностей в толковании, которые
появились лишь позже. И уж, конечно, без учета такого явления, как технические
средства защиты авторских прав, которые начали применяться лишь в последние
годы.
Нечеткость определения вредоносной
программы
В
Уголовном кодексе РФ вредоносная программа определена как "заведомо
приводящая к несанкционированному уничтожению, блокированию, модификации либо
копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети".
Три
подчеркнутых термина в этом определении сразу обращают на себя внимание
специалиста и вызывают ряд вопросов, четкого ответа на которые в законе не
содержится.
1. "Заведомо".
Для какого именно субъекта последствия применения программы должны быть
"заведомыми", т.е. заранее ведомыми [2]? Варианты такие: (а) для
создателя этой программы; (б) для пользователя этой программы, т.е. для
запускающего ее лица; (в) для владельца ЭВМ, на которой запускается эта
программа; (г) для обладателя копируемой, модифицируемой, уничтожаемой
информации; (д) для правообладателя соответствующего произведения.
2. "Информация".
Определение информации дано в Федеральном законе от 27.07.2006 N 149-ФЗ
"Об информации, информационных технологиях и о защите информации"
(далее - Закон об информации) [15]: "Информация - сведения (сообщения,
данные) независимо от формы их представления". Должно ли здесь применяться
именно это определение либо иное - более широкое или более узкое? Любая ли
информация имеется в виду или только "внешняя" по отношению к
рассматриваемой программе? Охватываются ли временные технологические копии
обрабатываемой информации или имеется в виду лишь информация, доступная для
человека?
3. "Несанкционированное".
Кто именно должен санкционировать указанные действия над информацией, чтобы они
не считались несанкционированными? Варианты: (а) пользователь программы; (б)
владелец ЭВМ или носителя информации; (в) обладатель обрабатываемой информации;
(г) обладатель исключительных прав на объекты интеллектуальной собственности,
представляемые обрабатываемой информацией. *(2)
Авторы
предлагают следующее толкование спорных терминов.
1. "Заведомо"
Вредоносность,
очевидно, есть свойство самой программы, не зависящее от знаний о ней
каких-либо лиц. В противном случае получится, что действия лица квалифицируются
в зависимости от свойства программы, которое, в свою очередь, зависит от
действий этого же лица.
То есть
вредоносность программы - это ее объективное свойство. Следовательно, слово
"заведомо" в обсуждаемом определении надо трактовать как "хорошо
известно", "несомненно" [6], "определенно", "неслучайно", "в
силу свойств самой программы". То есть вредные последствия применения
такой программы должны неизбежно следовать из ее устройства, а не быть
случайным или побочным эффектом или результатом нецелевого использования.
Все
несанкционированные действия должны выполняться вредоносной программой только в
автоматическом режиме (независимо от воли и действий оператора ЭВМ, но заведомо
для автора). Только при этом условии можно отделить вредоносные от обычных
программ, выполняющих аналогичные действия с информацией, но по команде
пользователя.
В
формулировке ст. 273 УК РФ слово "заведомо" совершенно четко и
однозначно связано с процессом создания программ для ЭВМ или внесения изменений
в существующие программы [11], что полностью соответствует
техническому пониманию сущности вредоносных программ. Многие некорректные
трактовки ст. 273 УК РФ строятся так, будто она звучит как
"распространение программ для ЭВМ, заведомо приводящих к
несанкционированному уничтожению, блокированию, модификации либо копированию
информации, нарушению работы ЭВМ, системы ЭВМ или их сети", а не
"создание программ для ЭВМ или внесение изменений в существующие
программы". Подобные трактовки являются спекулятивными, но, к сожалению,
остаются весьма популярными среди представителей правоохранительных органов.
Страницы: 1, 2
|
