Уголовная ответственность за несанкционированный доступ к компьютерной информации установлена в Уголовном кодексе Республики Беларусь (далее — УК), принятом в 1999 году и введенном в действие с 1 января 2001 г. Криминализировав несанкционированный доступ к компьютерной информации (далее — несанкционированный доступ) путем закрепления его в статье, открывающей главу 31 УК, законодатель, по сути, определил фундамент компьютерных преступлений, сформулированных с ориентацией на признаки этого состава преступления.
Данное преступление представляет общественную опасность, поскольку в результате его совершения могут наступить различные общественно опасные последствия, выражающиеся, например, в изменении, уничтожении или блокировании компьютерной информации, нарушении работы компьютерной системы или сети, причинении как морального, так и материального вреда владельцам либо пользователям информационных ресурсов. Опасность несанкционированного доступа возрастает в связи с увеличением числа различных способов использования компьютерных систем и сетей, что происходит в условиях активного развития технологий электронных платежей и увеличения электронного документооборота. Несанкционированный доступ опасен еще и тем, что он нередко становится этапом в совершении других преступлений, поскольку в условиях автоматизированной обработки и хранения информации их совершение без такого доступа фактически невозможно. Представляя реальную угрозу отдельным пользователям компьютерной техники, число которых постоянно растет, несанкционированный доступ причиняет вред и в целом информационной безопасности страны, являющейся одним из важных компонентов национальной безопасности государства.
В связи с этим представляет интерес комплексный анализ объективных и субъективных признаков данного преступления.
Раздел XII УК носит название «Преступления против информационной безопасности». Так же названа и глава 31 УК. Тем самым в законе закреплен подход к определению родового и видового объектов включенных в указанные раздел и главу преступлений. И если в отношении родового объекта раздела XII УК, определенного законодателем как информационная безопасность, несмотря на его широту, можно говорить, что в перспективе возможно включение в указанный раздел дополнительных глав, содержащих преступления, родовым объектом которых также будет являться информационная безопасность, то название видового объекта слишком широкое, не позволяющее раскрыть его особенности применительно к преступлениям, выделенным в специальную главу УК.
Указание в УК на информационную безопасность как на видовой объект не в полной мере соответствует понятию видового объекта преступлений, объединенных в главу 31 УК. Законодатель не делает акцент на компьютерном характере охраняемой информационной безопасности. Хотелось бы отметить тот факт, что все преступления, содержащиеся в главе 31 УК, связаны с компьютерной информацией, в том или ином виде причиняют ей вред, соответственно видовой объект этих преступлений следует конкретизировать. Полагаем, таковым следует считать безопасность компьютерной информации, понимаемую как общественные отношения, обеспечивающие состояние защищенности производства, хранения, передачи, использования, обработки компьютерной информации от различных посягательств.
Под непосредственным объектом несанкционированного доступа следует понимать общественные отношения по обеспечению охраны компьютерной информации и нормальной работы компьютера, компьютерной системы или их сети от несанкционированного вмешательства. Данное понимание непосредственного объекта, по нашему мнению, соответствует сущности и содержанию преступления, закрепленного в ст. 349 УК, и согласуется с видовым объектом. Вместе с тем при совершении несанкционированного доступа нарушаются права собственников, владельцев и пользователей информации, следовательно, в качестве дополнительного объекта выступают отношения собственности. Поскольку компьютерная информация в зависимости от содержания — это совокупность сведений экономического, политического, социального, правового характера, очевидно, что в каждом случае совершения несанкционированного доступа всегда будет страдать какой-либо дополнительный объект, т.е. то общественное отношение, нормальное существование которого зависит от степени защищенности информации. Поскольку в конструкции ст. 349 УК законодатель использует такое оценочное понятие, как «существенный вред», не раскрывая при этом его сущности, есть основание предположить, что дополнительным объектом несанкционированного доступа могут выступать жизнь, здоровье, конституционные права и свободы граждан, общественные отношения в сфере экономики, общественной безопасности, нравственные устои общества, т.е. те общественные отношения, в которых находят применение процессы обработки, хранения и передачи компьютерной информации.
Преступления, предусмотренные в главе 31 УК, в большинстве своем являются «предметными», это означает, что предмет преступления является обязательным признаком этих составов. Не стал исключением и несанкционированный доступ. Применительно к рассматриваемому составу определение предмета преступления имеет не менее важное значение.
Необходимость введения термина «компьютерная информация» в УК возникла у законодателя в целях отграничения данного вида преступлений от иных преступлений, совершенных с информационными ресурсами и предусмотренных другими разделами УК. Кроме того, высокий уровень распространенности компьютерной информации в современном обществе, постепенный отказ от бумажных носителей информации и переход на электронный документооборот позволяют говорить о том, что компьютерная информация становится наиболее вероятным предметом преступления в ряде случаев.
Следует отметить, что в научной литературе понятие компьютерной информации толкуется неоднозначно. Существует довольно большое количество определений, данных специалистами, которые можно подразделить на две группы. К первой следует отнести те определения, которые объясняют данное понятие исходя из формы представления компьютерной информации, делая, в первую очередь, на этом акцент. Вторая группа авторов исходит из содержательного аспекта информации и лишь затем делает указание на форму ее представления.
Компьютерная информация может подразделяться на две категории:
- компьютерная информация как программное обеспечение, т.е. неотъемлемая часть компьютера;
- компьютерная информация как сведения, представляющие ценность для государства, общества и отдельных граждан, хранение, использование и производство различных операций с которыми осуществляются посредством компьютерной техники.
В соответствии с определением компьютерной информации, данным в ст. 1 Соглашения о сотрудничестве государств — участников СНГ в борьбе с преступлениями в сфере компьютерной информации, динамичная информация (передающаяся по каналам связи), равно как и статичная, также должна быть защищена уголовным законом.
Так, например, ст. 349 УК охраняется только лишь статичная информация, хранящаяся (находящаяся) в компьютерной системе, сети или на машинных носителях. В то время как ст. 352 УК установлена ответственность за перехват информации, передаваемой с использованием средств компьютерной связи, т.е. динамичной.
Компьютерная информация может находиться или на машинном носителе (магнитном диске, являющемся либо составной частью компьютера, либо принадлежностью периферийного устройства, магнитной ленте, перфокарте, дискете, магнитно-оптическом диске), или непосредственно в компьютере (в постоянном и оперативном запоминающих устройствах, являющихся неотъемлемой частью каждого компьютера), либо в компьютерной системе или их сети, т.е. она неотделима от носителя.
Следует также указать, что компьютерная информация, как правило, объемна и быстро обрабатываема, легко уничтожаема; она обезличена, т.е. между ней и лицом, которому она принадлежит, нет жесткой связи. Кроме того, в литературе отмечают относительную простоту в пересылке, преобразовании, размножении компьютерной информации; при изъятии информации, в отличие от изъятия вещи, она легко сохраняется в первоисточнике; доступ к одному и тому же файлу, содержащему информацию, могут иметь одновременно несколько пользователей; у компьютерной информации отсутствует понятие «подлинник-копия», не определена природа отчуждения информации, существует сложность в определении цены (стоимости).
Таким образом, уголовно-правовой защите должна подлежать любая информация, неправомерное обращение с которой может нанести ее собственнику, владельцу или иному лицу вред. Исходя из содержания диспозиции части 1 ст. 349 УК компьютерную информацию как предмет несанкционированного доступа следует определить как совокупность сведений, баз данных или программ, предназначенных для использования в компьютерной системе или управления ею, находящихся в компьютерной системе, сети или на машинных носителях.
Помимо компьютерной информации предметом несанкционированного доступа может также выступать компьютерное оборудование. Состав оборудования компьютера меняется в зависимости от того, для каких целей он используется, тем не менее существует базовая конфигурация, в которой обязательно присутствуют системный блок, монитор, устройства ввода и вывода информации, устройства связи. В качестве предмета несанкционированного доступа указаны также электронная вычислительная техника и средства связи компьютеризированных систем или компьютерной сети.
Исходя из данной законодателем формулировки диспозиции части 1 ст. 349 УК следует выделить три обязательных признака несанкционированного доступа, составляющих его внешнюю характеристику. Такими признаками являются общественно опасное действие, общественно опасные последствия и причинная связь между ними.
К объективным признакам анализируемого преступления относится общественно опасное деяние, которое всегда проявляется в активной форме поведения виновного. Совершить несанкционированный доступ путем бездействия невозможно. Действие определено в законе как несанкционированный доступ к информации, хранящейся в компьютерной системе, сети или на машинных носителях, сопровождающийся нарушением системы защиты.
Обязательным признаком объективной стороны данного преступления является способ: нарушение системы защиты, что может быть выражено в расшифровке кода, пароля, ключа; маскировке под законного пользователя; изменении физических адресов технических средств; модификации программного обеспечения; использовании специальных технических или аппаратно-программных средств, позволяющих преодолеть установленные системы защиты, и т.д.
В целом несанкционированный доступ к компьютерной информации состоит в представленных в единстве получения и реализации возможностях для ознакомления и использования указанной информации, сопряженных с нарушением системы ее защиты. При этом действие осуществляется лицом, не имеющим права на ознакомление с информацией либо имеющим такое право, но осуществляющим его с нарушением установленного порядка.
В диспозиции части 1 ст. 349 УК указывается на несанкционированный доступ именно к компьютерной информации, а не к носителям, на которых информация содержится. Лицо, имеющее доступ к компьютеру, может не иметь доступа к конкретной хранящейся в нем компьютерной информации. Завладение персональным компьютером или каким-либо носителем информации не может квалифицироваться как доступ к компьютерной информации, а может повлечь ответственность, например, за хищение компьютерной техники или в зависимости от направленности умысла за покушение на несанкционированный доступ. Также очевидно, что физическое повреждение компьютера или иного носителя информации, повлекшее уничтожение хранящейся на нем информации, не отвечает правовому содержанию общественно опасного деяния, предусмотренного частью 1 ст. 349 УК.
Несанкционированный доступ может совершаться как путем непосредственного контакта лица с компьютерной техникой, так и путем опосредованного (удаленного) доступа с использованием сетевых компьютерных технологий путем взаимодействия отдельных компьютеров на значительном расстоянии. Причем второй способ в последнее время получил широкое распространение.
В диспозиции части 1 ст. 349 УК в качестве обязательного признака объективной стороны предусмотрены общественно опасные последствия, сформулированные альтернативно. Следовательно, несанкционированный доступ будет признан оконченным преступлением только в том случае, если в результате его совершения наступили следующие последствия: изменение информации, уничтожение информации, блокирование информации, вывод из строя компьютерного оборудования, причинение иного существенного вреда.
Существенный вред, о котором идет речь в ст. 349 УК, может носить материальный и нематериальный характер. В случае нематериального характера под иным существенным вредом следует понимать нарушение и ущемление прав и законных интересов юридических и физических лиц, причинение морального вреда, ущерба деловой репутации.
Вызывает сложность определение размера существенного вреда при его материальном характере. Такие последствия могут быть представлены в виде перебоев в производственной деятельности, остановки работы предприятия, необходимости сложного или продолжительного ремонта компьютерного оборудования и других обстоятельств. Представляется, что при определении размера вреда, причиненного несанкционированным доступом, надлежит учитывать не только стоимость информации, но и прямые затраты на ликвидацию последствий, а также упущенную выгоду.
Отсутствие названных в части 1 ст. 349 УК общественно опасных последствий переводит несанкционированный доступ в ранг административного правонарушения.
Третьим необходимым признаком объективной стороны несанкционированного доступа является причинная связь между противоправными действиями виновного и наступившими последствиями. Ответственность по части 1 ст. 349 УК наступает только в том случае, если преступные последствия, альтернативно отраженные в ее диспозиции, явились именно необходимым следствием, закономерно вызванным несанкционированным доступом лица к компьютерной информации, а не наступили в силу иных причин. При этом необходимо иметь в виду, что при функционировании сложных компьютерных систем возможны уничтожение, блокирование и прочие последствия в результате технических неисправностей или ошибок в программных средствах. Поэтому установление причинной связи между несанкционированным доступом и наступившими последствиями необходимо в каждом конкретном случае, что призвано исключить признание деяния преступным в силу наступления указанных в законе последствий из-за технических неисправностей или ошибок в программном обеспечении.
Что касается факультативных признаков объективной стороны (места, времени и др.), то ни один из них в данном составе преступления не выступает в роли обязательных. В то же время специфика компьютерной преступности такова, что она не знает государственных границ. И в практике правоохранительных органов Республики Беларусь нередки ситуации, когда факт несанкционированного доступа фиксировался, например, в одной стране, а последствия наступали на территории другого государства (например, в Российской Федерации, Австрии, США и др.). Анализ следственной практики свидетельствует, что чаще такая ситуация имеет место при совершении хищения путем использования компьютерной техники, что сопряжено в том числе и с несанкционированным доступом. Поэтому в некоторых случаях определенную сложность вызывают вопросы, связанные с установлением места совершения несанкционированного доступа. Ведь для того, чтобы осуществить данное преступление, необязательно оказывать непосредственное воздействие на компьютер. Если исходить из положений части 2 ст. 5 УК, то местом совершения несанкционированного доступа следует признавать территорию Республики Беларусь в случаях, если он или начат, или продолжен, или окончен на ее территории.
В целом применительно к рассматриваемому преступлению можно отметить, что одним из существенных недостатков описания его признаков является перегруженность его узкоспециальными техническими терминами, которые не нашли нормативного толкования, что создает серьезные проблемы в правоприменительной практике и влечет неоднозначное применение норм указанной статьи.
Субъектом преступления является физическое вменяемое лицо, достигшее установленного законом возраста. Зачастую преступления в области использования различных видов техники совершаются специальным субъектом. Под специальным субъектом в теории уголовного права понимают физическое лицо, которое наряду с общими признаками вменяемости и достижением определенного возраста обладает и дополнительными признаками, предусмотренными соответствующей статьей Особенной части УК. Исходя из положений ст. 349 УК следует выделить две категории субъектов рассматриваемого преступления:
- общий субъект (части 1 и 3 ст. 349 УК);
- лицо, имеющее доступ к компьютерной системе или сети (часть 2 ст. 349 УК), — специальный субъект.
Для первой категории не требуется, чтобы лицо занимало определенную должность, имело специальное образование. Хотелось бы отметить, что в связи с ростом уровня компьютеризации общества повышается и компьютерная грамотность населения. Как правило, практика показывает, что не менее половины преступников не имеют высшего образования, но в то же время уровень их компьютерной грамотности весьма высок.
Ко второй категории (лица, имеющие доступ к компьютерной системе или сети) в литературе относят следующих лиц. Во-первых, это лица, чья профессиональная деятельность постоянно или временно связана с обеспечением функционирования компьютерной системы или сети (программисты, операторы, наладчики). Во-вторых, лица, которые на законных основаниях используют компьютер, работая на нем (сотрудники, вводящие информацию, другие пользователи). Таким образом, можно сделать вывод, что к лицам, имеющим доступ к компьютерной системе или сети, относятся лица, которые правомерно работают на компьютере или непосредственно обслуживают их работу. Лицо может получить доступ к компьютеру, в котором хранится информация, явившаяся предметом посягательства, в связи с должностным положением, трудовыми или служебными обязанностями, выполнением обязательств по гражданско-правовому договору и на иных законных основаниях. Выходя за рамки своих функциональных обязанностей, используя свое профессиональное мастерство и предоставленное право на доступ к компьютерной технике, эти лица, совершая несанкционированный доступ к компьютерной информации, признаются специальными субъектами данного преступления. В этом смысле важно разграничивать доступ к компьютеру и доступ к информации, находящейся в компьютере. Доступ к компьютеру означает наличие у лица права использовать компьютер (систему, сеть), но при этом у лица может отсутствовать право доступа к какой-либо информации.
Если объективная сторона преступления характеризуется признаками, отражающими реальные явления, и поэтому воспринимается непосредственно с помощью органов чувств, то субъективная сторона преступления отражает внутренний мир человека и не может восприниматься таким образом. Она познается только путем анализа и оценки объективных характеристик преступления: содержания действия или бездействия, способа его совершения, использованных при этом орудий и средств и т.д. Характерно, что законодатель, формулируя диспозицию части 1 ст. 349 УК, признал предусмотренное в ней преступление как совершенное по неосторожности, о чем свидетельствует указание на неосторожную вину по отношению к последствиям несанкционированного доступа. И хотя вина по отношению к самому деянию в законе не указана, характер совершаемого деяния свидетельствует о том, что отношение к нему может быть только умышленное. При этом лицо, пытаясь получить доступ к компьютерной информации, во-первых, сознает, что оно не имеет на это права; во-вторых, осознает, что незаконно преодолевает меры защиты информации от доступа посторонних лиц (коды, пароли, игнорирует предупреждающие сообщения, устные уведомления о запрете доступа к информации и т.п.). Более того, совершение указанных действий в отношении программных мер защиты предполагает наличие специальных знаний и опыта в области компьютерной техники. А лицо, обладающее такими знаниями и опытом, при нарушении порядка доступа к компьютерной информации может действовать только с прямым умыслом, предполагающим осознание незаконности совершаемых им действий.
Поскольку данный состав преступления сконструирован как материальный, определение формы и вида вины зависит и от отношения виновного к последствиям, наступившим в результате совершенного деяния. Как мы уже отметили, законодатель сделал указание на неосторожное отношение лица к последствиям. Однако такой подход вызывает возражение.
При такой конструкции вины возможны два варианта. Легкомыслие предполагает наличие у лица предвидения возможности наступления общественно опасных последствий и расчет без достаточных оснований на их предотвращение. Обычно наличие данного вида неосторожной вины определяется по тому, были ли в действительности обстоятельства, на которые лицо могло рассчитывать, чтобы возможные общественно опасные последствия не наступили. Например, при нарушении системы защиты, которым сопровождается доступ к компьютерной информации, лицо может рассчитывать на свои знания и умения, опыт работы с компьютерной техникой, на то, что программное обеспечение не даст сбой. При легкомыслии, как правило, лицо сознательно нарушает какие-либо правила, т.е. по отношению к деянию действует умышленно. Таким образом, в отношении названных в части 1 ст. 349 УК последствий возможно легкомыслие.
Что касается второго вида неосторожности — небрежности, то он, по всей вероятности, при совершении данного преступления не может вообще иметь места. Совершая умышленно несанкционированный доступ к компьютерной информации, лицо однозначно не может не предвидеть возможности наступления общественно опасных последствий, поэтому не может идти речи и о том, что оно должно было и могло их предвидеть. Предвидение общественно опасных последствий при несанкционированном доступе, на наш взгляд, обязательно, а их непредвидение вообще исключено в силу особенности характера совершаемого деяния.
Таким образом, представляется, что неосторожная вина по отношению к указанным в части 1 ст. 349 УК последствиям может быть только в виде легкомыслия. Однако если учитывать форму вины в данном случае, характер последствий, которые могут наступить в результате несанкционированного доступа, то, на наш взгляд, данное деяние вполне могло бы быть декриминализировано. Такое предложение вписывается в современную уголовную политику нашего государства, одной из тенденций которой является декриминализация деяний, не представляющих большой общественной опасности, совершенных по неосторожности.
Вместе с тем подход законодателя, установившего только неосторожную вину по отношению к последствиям, перечисленным в диспозиции части 1 ст. 349 УК, вызывает возражение.
По нашему мнению, сам факт умышленного преодоления системы защиты, проявляющийся, как было сказано выше, в расшифровке кода, пароля, модификации программного обеспечения, использовании специальных технических или аппаратно-программных средств, может свидетельствовать либо о сознательном допущении наступления общественно опасных последствий, либо о безразличном отношении к ним. Иными словами, при совершении данного деяния возможен и косвенный умысел. Более того, чаще всего при совершении этого преступления виновное лицо стремится к достижению других целей. Представляется, что лицо, преследуя определенную цель (например, получение доступа к интересующей его информации), может безразлично относиться к возможным последствиям, поскольку они его совершенно не интересуют. В других случаях перечисленные в диспозиции части 1 ст. 349 УК последствия могут для него быть хотя нежелаемыми, но сознательно допускаемыми.
Более приемлемой в этом отношении является позиция российского законодателя, не исключающего возможность совершения этого преступления умышленно. Аналогичный подход также содержится в уголовных кодексах Грузии, Республики Казахстан, Кыргызской Республики, Азербайджанской Республики, Туркменистана, где основной состав несанкционированного (неправомерного) доступа также сформулирован в виде умышленного преступления. УК является одним из немногих, где предусмотрена неосторожная вина применительно к основному составу несанкционированного доступа.
Криминализация несанкционированного доступа как неосторожного преступления вступает в противоречие с Европейской конвенцией о киберпреступности и с Соглашением о сотрудничестве государств — участников СНГ в борьбе с преступлениями в сфере компьютерной информации, где данное преступление отнесено к умышленным. Придание несанкционированному доступу статуса умышленного преступления значительно облегчит на практике квалификацию по субъективной стороне деяний, подпадающих под признаки данного преступления. Однако такое решение потребует изменения санкции части 1 ст. 349 УК. В связи с изменением правовой оценки субъективной стороны несанкционированного доступа следует несколько ужесточить санкцию части 1 ст. 349 УК, предусмотрев в ней более широкий спектр наказаний, в том числе более строгих, чем арест или штраф.
Состав преступления, закрепленный в части 2 ст. 349 УК, является формальным, в данном случае имеет значение психическое отношение виновного лишь к совершенному деянию. Преступление, квалифицируемое по части 2 ст. 349 УК, является умышленным, что вытекает из самой сущности данного деяния. Об этом свидетельствует указание на корыстную или иную личную заинтересованность, кроме того, совершение преступления группой лиц по предварительному сговору также возможно только в умышленном преступлении. Все вышесказанное не вызывает вопросов с установлением вида вины преступления, предусмотренного частью 2 ст. 349 УК. В данном случае имеет место только прямой умысел. Преступление, предусмотренное частью 3 ст. 349 УК, характеризуется неосторожной формой вины, о чем прямо указано в УК.