В правоприменительной практике весьма дискуссионной остается проблема адекватного понимания такого квалифицирующего признака, как хищение путем использования компьютерной техники, сопряженное с несанкционированным доступом к компьютерной информации.
Диспозиция ст. 212 Уголовного кодекса Республики Беларусь (далее — УК) построена таким образом, что по ч. 1 ст. 212 УК несет ответственность лицо, имеющее в связи с выполняемой работой правомочный доступ к закрытой информационной системе, либо являющееся законным пользователем этой системы, либо имеющее разрешение для работы с информацией. Напротив, лицо, не обладающее правомочиями доступа к компьютерной информации, должно наказываться по ч. 2 ст. 212 УК как за несанкционированный доступ к компьютерной информации.
Так, один из бухгалтеров филиала «Беларусбанк», используя личный персональный компьютер, вошел в локальную сеть филиала, скопировал программу, содержащую информацию о финансовых операциях, и внес в нее два ложных платежных поручения о якобы проведенных списаниях средств с расчетных счетов клиентов на сумму в 2 млн.руб. Следствию и суду предстояло определить, совершено ли в данном случае хищение путем использования компьютерной техники с несанкционированным доступом к компьютерной информации <1>.
<1> См.: Хилюта, В.В. Преступления против собственности: практика правоприменения и проблемы квалификации. — Гродно, 2008. — С. 327.
В этой части важно определить, что же следует рассматривать как несанкционированный доступ к компьютерной информации. Согласно постановлению Пленума Верховного Суда Республики Беларусь от 21.12.2001 N 15 «О применении судами уголовного законодательства по делам о хищениях имущества» несанкционированным доступом считается доступ к компьютерной информации лица, не имеющего права на доступ к этой информации либо имеющего такое право, но осуществляющего его помимо установленного порядка. Иначе говоря, несанкционированным является такой доступ, который осуществляется:
- а) при отсутствии права на доступ (отсутствует согласие собственника, законного пользователя или владельца информации; лицо противоправно использует технические средства и т.д.);
- б) при наличии такого права, но с нарушением установленного порядка доступа.
Доступ к информации — это санкционированное владельцем или собственником ознакомление конкретного лица с информацией <2>. Согласно ст. 1 Закона Республики Беларусь от 10.11.2008 N 455-З «Об информации, информатизации и защите информации» доступ к информации — возможность получения информации и пользования ею, а доступ к информационной системе и (или) информационной сети — возможность использования информационной системы и (или) информационной сети. Как справедливо замечает в этой ситуации Н.Ф.Ахраменка, злоумышленнику для осуществления доступа к компьютерной информации необходимо подходящим для него способом нарушить правила доступа. В первом случае у него нет никаких правомочий на доступ, во втором — таковые у посягающего имеются, однако в силу ряда обстоятельств они им не используются <3>. В этой части данный ученый предлагает действия по осуществлению доступа к компьютерной системе считать неправомерными в следующих случаях:
- а) лицо не имеет права на доступ в соответствии с законом, договором, в силу выполнения служебных, профессиональных обязанностей;
- б) у лица отсутствует полученное в установленном порядке разрешение собственника компьютерной системы или уполномоченного им лица на доступ;
- в) лицо, осуществляющее доступ к компьютерной системе, выходит за рамки идентификации <4>.
<2> См.: Богомолов, М.В. Уголовная ответственность за неправомерный доступ к охраняемой законом информации. — Красноярск, 2002. — С. 46 — 54.
<3> Н.Ахраменка также полагает, что определение доступа как несанкционированного отражает организационную сторону его осуществления, а поскольку понимание доступа как неправомерного характеризует его сущностный признак, то последнее понятие в целях использования ему представляется более предпочтительным (См.: Ахраменка, Н. Аспекты доступа в преступлениях против информационной безопасности // Юстиция Беларуси. — 2006. — N 3. — С. 41). Вместе с тем в зарубежном и международном уголовном законодательстве при описании сходных составов преступлений употребляется термин «несанкционированный доступ». На взгляд российских специалистов, данный термин является более точным для характеристики запрещенного уголовным законом действия, поскольку правомерность доступа к информации фактически означает его санкционированность (разрешенность) обладателем информации (См.: Зимина, У.В. Преступления в сфере компьютерной информации в российском и зарубежном уголовном праве: автореф. дис. … канд. юрид. наук: 12.00.08. — М., 2007. — С. 22). Нам же представляется, что данный вопрос не имеет столь существенного значения.
<4> Ахраменка, Н. Реализация в Беларуси международных стандартов уголовно-правового запрета общественно опасного доступа к компьютерной системе // Судовы веснiк. — 2009. — N 4. — С. 79.
Н.А.Швед считает, что сущность несанкционированного доступа состоит в предоставленной в единстве получения и реализации возможности для ознакомления и использования компьютерной информации, сопряженной с нарушением системы ее защиты. При этом действие осуществляется лицом, не имеющим права на ознакомление с информацией либо имеющим такое право, но осуществляющим его с нарушением установленного порядка. Предметно-содержательный аспект несанкционированного доступа состоит в ознакомлении с полученной информацией с возможностью ее последующего использования, независимо от реализации этой возможности. Организационно-управленческий аспект состоит в нарушении установленных правил и порядка доступа, связанных с нарушением системы защиты <5>.
<5> Швед, Н.А. Уголовная ответственность за несанкционированный доступ к компьютерной информации: автореф. дис. … канд. юрид. наук: 12.00.08. — Минск, 2010. — С. 15 — 16.
Таким образом, можно сказать, что субъектом преступления, предусмотренного ч. 1 ст. 212 УК, является лицо, имеющее в связи с выполняемой работой доступ к закрытой информационной системе, либо являющееся законным пользователем этой системы, либо имеющее разрешение для работы с данной информацией. К данной категории лиц следует относить тех, кто на законных основаниях пользуется информацией (в их обязанности входит получение компьютерной информации, произведение с ней различных операций) либо непосредственно обслуживает работу компьютерной техники в результате выполнения функций, предусмотренных договором (трудовым, гражданско-правовым) или иным соглашением <6>. К числу таких лиц можно отнести пользователей информации (операторы ЭВМ), а также лиц, которые по характеру своей деятельности имеют доступ к компьютерной информации (программисты, технический персонал, выполняющий свои профессиональные обязанности). Следовательно, если лицо имеет доступ к компьютерной информации на законных основаниях (по службе, в силу договора), то умышленное использование им своих правомочий по обращению к компьютерной информации в целях совершения хищения не будет являться квалифицирующим признаком ст. 212 УК.
<6> См.: Пасынков, А.В. Субъект хищения путем использования компьютерной техники // Веснiк ГрДУ. — Серыя 4. — 2011. — N 1. — С. 85; Дворецкий, М.Ю. Преступления в сфере компьютерной информации (уголовно-правовое исследование): автореф. дис. … канд. юрид. наук: 12.00.08. — Волгоград, 2001. — С. 16.
Для таких лиц доступ к компьютерной информации будет неправомерным, если они выходят за пределы своих служебных обязанностей и получают возможность распоряжаться той компьютерной информацией, на которую их обязанности не распространяются либо к которой они не имеют права доступа <7>. В этом случае несанкционированный доступ к компьютерной информации с целью совершения хищения осуществляется данной категорией лиц посредством превышения своих служебных полномочий, которые оговорены в законе, договоре или ином акте (например, для совершения хищения лицо может использовать свое служебное или иное должностное положение, однако не иметь никакого отношения к используемой компьютерной информации).
<7> Не следует забывать, что поскольку современные информационные системы характеризуются четким разграничением права доступа к содержащимся в них данным, то пользователи, имеющие правомерный доступ к компьютерной информации, подразделяются в зависимости от тех операций, которые им разрешено совершать, — от просмотра информации до права внесения изменений в массивы данных или даже непосредственно в программу (поэтому некоторые данные доступны исключительно для определенной группы пользователей) (См.: Копыюлин, А. Квалификация преступлений в сфере компьютерной информации // Законность. — 2007. — N 6. — С. 41).
Итак, полномочия по ограничению либо разрешению доступа к информации являются существенными полномочиями ее обладателя. Причем последний обязан обеспечить уровень защиты соответствующей компьютерной информации. Если обладатель информации (законный пользователь) не обеспечивает этот уровень или никак не защищает компьютерную информацию (данные, находящиеся в компьютере), то и доступ к этой информации не будет являться преступлением (в смысле совершения хищения путем использования компьютерной техники по признаку «сопряженное с несанкционированным доступом к компьютерной информации»).
Лицо, стремящееся совершить хищение путем использования компьютерной техники, сопряженное с несанкционированным доступом к компьютерной информации, должно осознавать, что свободный доступ к компьютерной информации ограничен и оно не имеет права на него. Такой способ проникновения к компьютерной информации применяется в обход легально установленного порядка обращения к ней, без официального разрешения собственника. Поэтому, если лицо имеет право доступа только в помещение, где находится компьютерная техника и совершаются различные операции с компьютерной информацией, и в круг его обязанностей не входит непосредственное выполнение различных действий с компьютерной информацией, то его нельзя причислить к числу лиц, обладающих правом доступа к компьютерной информации (доступ такого лица является несанкционированным). Иначе говоря, лицо, имеющее доступ к компьютеру, может и не иметь право доступа к конкретной информации и совершению различных действий.
Классическим примером хищения с использованием компьютерной техники, сопряженного с несанкционированным доступом к компьютерной информации, является взлом информационной системы интернет-магазина для размещения в системе этого магазина фальсифицированного заказа с целью завладения чужим имуществом. Исходя из этого примера можно сказать, что хищение путем использования компьютерной техники, сопряженное с несанкционированным доступом к компьютерной информации, состоит в неправомерном доступе к охраняемой компьютерной информации, носящем характер совершения определенных действий, и может быть сопряжено с проникновением в компьютерную систему путем использования специальных технических или программных средств, позволяющих преодолеть установленные системы защиты (например, незаконное применение паролей или их подбор, маскировка под видом законного пользователя для проникновения к соответствующей компьютерной информации и т.д.).
Следовательно, с одной стороны, несанкционированный доступ представляет собой доступ к компьютерной информации, полученный вследствие неправомерного преодоления программной, аппаратной или комплексной защиты, с другой стороны, такой доступ неразрешен собственником или законным владельцем информации, вследствие чего становится возможным производить манипуляции с компьютерной информацией в целях хищения чужого имущества. Иначе говоря, ч. 2 ст. 212 УК предусматривает ответственность за:
- непосредственный несанкционированный доступ — когда постороннее лицо по отношению к компьютерной информации вторгается в нее извне и использует эту информацию в целях совершения хищения;
- превышение санкционированного доступа — когда законный пользователь компьютерной системы осуществляет доступ к данным (информации), на которые его полномочия не распространяются.
Вряд ли обоснованной видится и позиция законодателя относительно нахождения такого признака, как несанкционированный доступ к компьютерной информации, в одном ряду с такими квалифицирующими обстоятельствами, как повторность и группа лиц с предварительным сговором. Очевидно, что законодатель хотел усилить ответственность за совершение хищения лицом, не обладающим правомочиями доступа к компьютерной информации. Однако эта грань размывается, если лицо (как имеющее доступ к компьютерной информации, так и не обладающее таковым) повторно (либо в группе) совершит хищение с использованием компьютерной техники: ответственность будет наступать по ч. 2 ст. 212 УК вне зависимости от наличия правомочий доступа либо их отсутствия.