Компьютерные атаки многообразны (см. 9.3). Многие из них по своим признакам подпадают под действующее уголовное законодательство. Однако возникает вопрос, не следует ли несколько расширить круг общественно опасных деяний, связанных с компьютерами, признав их также преступлениями. Это проблема криминализации компьютерных атак.
Исходя из концепции функционального единства программ и ЭВМ, мы можем выделить три типа социально-опасных посягательств на общественные отношения по поводу объектов компьютерной техники (ОКТ): уничтожение, изменение и изъятие. Уголовно-правовое значение каждого из них может быть двояким: во-первых, объект компьютерной техники как предмет преступления; во-вторых, как техническое средство совершения других преступлений.
Попробуем привести более подробную классификацию такого рода посягательств.
I. Уничтожение объектов компьютерной техники:
а) уничтожение аппаратуры;
б) уничтожение носителей с машинной информацией;
в) уничтожение (удаление) файлов или сообщений;
г) удаление средств защиты машинной информации от несанкционированного доступа.
II. Изменение объектов компьютерной техники:
а) повреждение аппаратуры;
б) несанкционированное изменение (модификация) записей файлов, сообщений или подмена файлов, сообщений;
в) несанкционированные изменения средств защиты информации компьютерной системы от несанкционированного доступа;
г) блокирование работы компьютерной системы, вызов отказа в обслуживании пользователей;
д) несанкционированное введение в компьютерную систему посторонних программных средств.
III. Изъятие объектов компьютерной техники:
а) хищение аппаратуры;
б) хищение машинной информации на каких-либо носителях (магнитные ленты, магнитные диски, распечатки и т. д.);
в) копирование (размножение) файлов с последующим изъятием копий на каких-либо носителях.
IV. Хищения:
а) хищения материальных ценностей, денег и услуг;
б) хищения информации для различных целей.
V. Несанкиионированный доступ:
а) несанкционированные "обходы" средств защиты информации от несанкционированного доступа;
б) несанкционированный доступ в компьютерную систему;
в) несанкционированный запуск программ обработки информации.
Что касается двух первых групп посягательств, здесь почти полностью работают нормы действующего Уголовного кодекса РСФСР[1] "Умышленное уничтожение или повреждение государственного или общественного имущества" - ст. 98; "Неосторожное уничтожение или повреждение государственного или общественного имущества" - ст. 99; "Умышленное уничтожение или повреждение личного имущества граждан" - ст. 149.
Поскольку, например, предметом преступления, предусмотренного ст. 98 УК РСФСР, может быть любое государственное или общественное имущество, представляющее материальную ценность (в том числе и такое, которое нельзя изъять и, следовательно, похитить), то данная норма охватывает и машинную информацию.
Под уничтожением в смысле ст. 98 УК РСФСР понимается приведение ОКТ в полную негодность, когда он не может быть использован по назначению. Повреждение - это такое причинение вреда, при котором ОКТ не может использоваться без восстановления или исправления. Поскольку ОКТ можно уничтожить или повредить (изменить) и физически, и интеллектуальными (программными) методами, сам способ совершения преступления для квалификации содеянного по ч. 1 ст. 98 УК РСФСР значения не имеет. Уничтожение же или повреждение программных средств вычислительной техники, совершенное путем поджога или иным общеопасным способом, влечет квалификацию содеянного по ч. 2 ст. 98 УК РСФСР. Состав данного преступления с отягчающими обстоятельствами (ч. 2) будет иметь место в случае, когда оно повлекло человеческие жертвы, причинен крупный ущерб или наступили иные тяжкие последствия, например длительная остановка или дезорганизация работы предприятия и т. д. Мотивы и цели при совершении этого преступления могут быть различными (об этом мы говорили выше).
Возможны также случаи, когда преступной является фальсификация информации (в частности, приписки и другие искажения отчетности о выполнении планов - ст. 1521 УК РСФСР).
Обычно вызывает сомнение правильность применения действующей ст. 98 УК РСФСР в случае порчи машинной информации. Некоторые специалисты полагают, что она не может рассматриваться как имущество, а потому необходимо ввести специальную норму об ответственности за порчу машинной информации.
По нашему мнению, если придерживаться концепции функционального единства программ и ЭВМ, а также учитывать двойственный характер машинной информации ("информация как товар и не как товар"), машинную информацию, принадлежащую государственному предприятию, учреждению или общественной организации, можно рассматривать как их имущество, что и позволяет использовать для наказания виновных действующий уголовный закон. Аналогично можно применять и ст. 149 УК РСФСР ("Умышленное уничтожение или повреждение личного имущества граждан") при наличии всех признаков состава этого преступления, если машинная информация принадлежит лицу, не состоящему в трудовых отношениях ни с учреждением, ни с организацией.
Не будем здесь обсуждать вопрос об уголовной ответственности за те же деяния, совершенные по неосторожности (ст. 99 УК РСФСР), поскольку сейчас ведется подготовка проекта нового уголовного кодекса, откуда указанный состав, по-видимому, будет исключен. То же касается ст. 150 УК РСФСР ("Неосторожное уничтожение или повреждение личного имущества граждан"), тем более что и сейчас там речь идет лишь об ответственности за уничтожение или повреждение в результате неосторожного обращения с огнем. Очевидно, в указанных случаях целесообразнее применение административных и гражданско-правовых санкций.
Единственное, что требует формулирования специальной нормы, - несанкционированное введение в компьютерную систему посторонних программных средств, точнее особо общественно опасная разновидность этого действия, - умышленное распространение компьютерного "вируса".
Перейдем теперь к третьей группе посягательств.
Вопрос о хищении аппаратуры, включая носители информации, проблемы не представляет. Сложнее дело обстоит с хищением, копированием и размножением (тиражированием) машинной информации.
Подобные действия не могут быть квалифицированы как хищение, под которым понимается незаконное и безвозмездное извлечение с корыстной целью социалистического имущества из наличных фондов государственных или общественных организаций и обращение его в пользу отдельных лиц. Хищение в виде кражи, если виновный не имеет правомочий в отношении похищенного имущества, или присвоения, если такие полномочия есть, возможно лишь при изъятии с корыстной целью машинной информации вместе с материальным носителем. Здесь надо учитывать, что стоимость похищенного материального носителя, включая запись информации на носитель, составляет сравнительно небольшую сумму, при том, что сама разработка, например, программного обеспечения может обходиться в десятки и сотни тысяч рублей. Сумма же похищенного должна оцениваться, исходя из затрат на изготовление программных средств и стоимости данного вида машинной информации как товара.
Эта ситуация во многом является гипотетической, так как широкие возможности копирования и тиражирования практически делают крайне редкими попытки хищения информации машинной информации вместе с носителями. Заметим все же, что вопрос о хищении информации сам по себе может возникнуть, если будет законодательно урегулирован вопрос о собственности на информацию.
В нашу классификацию по группе III мы не включили такое посягательство, как копирование (размножение) файлов, информации без их изъятия из технологического процесса компьютерной системы. С незаконным копированием, тиражированием и распространением машинной информации следует бороться преимущественно не методами уголовного права. Так, защита программного обеспечения от этих правонарушений должна осуществляться авторским и изобретательским правом с применением гражданско-правовых санкций. В литературе высказывалось предложение о принятии специального акта об ответственности за несанкционированное тиражирование и распространение программных средств[2]. П. А. Варул и И. Э. Мамиофа предложили использовать штрафные санкции, предусмотренные договором или нормативным актом вместе с изъятием доходов, полученных в результате правонарушения, в бюджет государства и возмещением ущерба владельцу программы. Должностные же лица, по вине которых совершено незаконное тиражирование или распространение программных средств, должны нести, по их мнению, уголовную ответственность (по статьям ли действующего законодательства или по новой норме - они не уточнили).
Предложение принять специальный акт о борьбе с незаконным тиражированием и распространением программных средств вычислительной техники заслуживает обсуждения. С предложением же об уголовной ответственности должностных лиц можно согласиться лишь при определенных условиях. Для того чтобы можно было привлечь должностное лицо к ответственности за злоупотребление властью или служебным положением (ст. 170 УК РСФСР), в результате которого произошло несанкционированное тиражирование или распространение машинной информации, причинившее существенный вред государственным либо общественным интересам или же нарушение охраняемых законом прав и интересов граждан, необходимо подробно определить служебную компетенцию этого должностного лица. Использование служебного положения предполагает, что формально совершенное лицом входит в его права и обязанности, но порядок выполнения этих обязанностей им нарушен. Поэтому требуется четкое определение компетенции должностного лица или в специальном правовом акте, предлагаемом П. А. Варулом и И. Э. Мамиофой, или в ином нормативном акте. В противном случае доказать злоупотребление служебным положением будет невозможно, поскольку содержание самого этого понятия не определено. Так, Верховный Суд СССР обращал внимание судов на то обстоятельство, что должностному лицу не может быть поставлено в вину непринятие мер, не входящих в круг его обязанностей[3].
То же условие должно быть соблюдено, если ставить вопрос об ответственности должностного лица за превышение власти или служебных полномочий или о халатности (ст.ст. 171, 172 УК РСФСР). Если следовать предложению П. А. Варула и И. Э. Мамиофы, то без четкого определения компетенции должностных лиц относительно машинной информации получится, что фактически должностное лицо будет отвечать не за свои действия (или бездействия), а за действия третьих лиц. А это противоречит принципам советского уголовного права и ст. 3 УК РСФСР, предусматривающей основания уголовной ответственности. Введение же специальной уголовно-правовой нормы об ответственности должностных лиц за незаконное тиражирование или распространение машинной информации, допущенное по их вине, при наличии названных выше составов должностных преступлений будет излишним.
Особо рассмотрим вопрос об уголовно-правовой охране авторских прав. Статья 141 УК РСФСР ("Нарушение авторских и изобретательских прав") предусматривает ответственность за разные виды незаконного присвоения авторских прав, незаконное воспроизведение или распространение произведения, присвоение авторства на изобретение и некоторые другие действия. На практике эта статья применяется крайне редко, что можно, видимо, объяснить трудностями доказывания нарушений личных прав авторов и изобретателей. Для того чтобы можно было наказывать за нарушения личных прав авторов программ, надо сначала решить вопросы, поставленные в рамках проблемы восьмой ("Охраноспособность объектов компьютерной техники и технологии"). Возможно, что это потребует и некоторого изменения ст. 141 УК РСФСР, после чего не должно оставаться сомнений в возможности привлечения к уголовной ответственности за нарушения личных прав авторов программных средств, включая, конечно, и незаконное копирование, тиражирование и распространение.
Теперь обратимся к компьютеру как техническому средству совершения преступлений, составляющих IV группу посягательств.
Квалификация хищений, совершаемых с помощью вычислительной техники, в принципе трудностей не вызывает. Различия в квалификации определяются, прежде всего, правомочиями лица по отношению к материальным ценностям. Если хищение совершается лицом, которому они вверены в силу должностных обязанностей, договорных отношений или специального поручения государственной или общественной организацией, и если лицо осуществляет правомочия по распоряжению, управлению, доставке и хранению этих ценностей, то хищение квалифицируется по ст. 92 УК РСФСР. В этом случае имущество изымается лицом с использованием своего служебного положения. При мошенничестве же (ст. 93 УК РСФСР) виновный не имеет отношения к имуществу, а завладевает им с помощью обмана представителя государственной или общественной организации. Так, используя компьютер, можно выписывать себе премии, перечислять денежные суммы на свой или подставной счет, начислять зарплату на "мертвых душ" и т. п.
С помощью компьютера можно за взятку направить материальные ценности не по назначению, осуществлять приписки, должностные подлоги, искажать отчетность (ст.ст. 151, 175 УК РСФСР).
В связи с возникновением новых способов совершения традиционных преступлений серьезной проблемой для теории уголовного права является введение в действующие статьи уголовного закона нового квалифицирующего признака, отягчающего ответственность и влияющего на размер наказания. Таким признаком может быть совершение преступления "с использованием средств вычислительной техники". Для принятия законодательного решения необходимо прежде всего проанализировать практику и оценить: а) общественную опасность именно этого способа по сравнению с уже известными; б) относительную распространенность и устойчивость его использования; в) размеры ущерба, причиняемого хищениями, приписками, должностными подлогами и т. п., совершаемыми при помощи средств вычислительной техники; г) процессуальную возможность преследования за такие преступления, главным образом возможности расследования и доказывания. В данном случае принять правильное уголовно-правовое решение помогут криминологические исследования; научно обоснованный прогноз динамики и структуры преступлений, совершаемых с помощью средств вычислительной техники; анализ зарубежного законодательного опыта. Возможно, что в нашей стране подобные преступления будут расти, как это происходит в капиталистических государствах. Здесь нельзя спешить под влиянием зарубежных примеров, но нельзя и медлить, поскольку несвоевременная правовая оценка может сделать борьбу с такими преступлениями менее эффективной.
Что касается хищений информации, то, как уже упоминалось, без урегулирования права собственности на информацию сама по себе предметом хищений она быть не может, однако может использоваться для совершения других преступлений (например, получение сведений, составляющих государственную тайну, и дальнейшее их разглашение - ст. 75 УК РСФСР). За рубежом информация, незаконно извлекаемая из компьютеров, становится предметом промышленного шпионажа. Не исключено получение сведений, составляющих коммерческую тайну, и в нашей стране.
К серьезным последствиям может привести и незаконное получение сведений, составляющих профессиональную или личную тайну - о судимости человека, его заболеваниях и т. п. Пока в нашей стране возможность "хищений" такой информации невелика, поскольку не существует различных банков данных о гражданах, связанных в единую сеть. Поэтому последствия проникновения в какой-либо компьютер с однородной информацией (например, о судимых лицах) причинит такой же ущерб, как доступ к обычной картотеке. Однако с соединением компьютеров в сети опасность таких "хищений" существенно возрастает. Заметим, что уголовное право здесь будет действовать только после урегулирования общих процедур сбора, хранения, использования и защиты информации личного характера.
Надо специально выделить и случаи, когда возможно сочетание использования программных средств вычислительной техники и как предмета, и как средства совершения преступления, например, повреждение или уничтожение программы з процессе поиска нужной информации при ее "хищении". Возможно повреждение и этой же, и другой информации, причем как чисто программными, так и физическими методами. Тогда ответственность должна наступать по совокупности преступлений (ст. 98 УК РСФСР и другая соответствующая статья кодекса).
Наконец, последняя группа посягательств. Нетрудно заметить, что значительная часть описанных правонарушений возможна только благодаря осуществлению несанкционированного доступа в компьютерную систему.
Здесь мы выходим и на проблему правового обеспечения безопасности функционирования вычислительной техники. Надо подумать о введении в уголовный закон специальной нормы, предусматривающей ответственность за незаконное проникновение в вычислительные системы программным или физическим способом, причинившее или могущее причинить существенный вред государственным и общественным интересам, охраняемым законом правам и интересам граждан. Уголовная ответственность по предлагаемой норме будет наступать и за "хищение" информации с целью совершить другое преступление, и за "компьютерное хулиганство") и за другие действия.
Подведем итоги. Как можно заметить, рассмотрение объектов компьютерной техники и в качестве предмета преступлений, и в качестве технического средства совершения преступлений, анализ возможностей и границ применения уголовной ответственности подводят исследователей к более общим вопросам. Нормы уголовного права или не будут применяться совсем, или будут малоэффективными, если не решить на уровне закона другие проблемы, обсуждаемые в нашей книге, в частности, проблемы правовой охраны в области информации, порядка использования компьютерной техники, включая и программные средства, правомочия должностных лиц и целого ряда других.
__________________
[1] В дальнейшем - УК РСФСР (здесь и далее имеются в виду и аналогичные статьи уголовных кодексов других республик).
[2] См.: Варул П. А., Мамиофа И. Э. Проблемные вопросы разработки законодательства об ответственности за несанкционированное тиражирование и распространение программных средств вычислительной техники. Ученые записки Тартуского гос. ун-та. - Tartu riikliku ?likooli toimetised. Вып. 801. Правовые проблемы программирования вычислительной техники и изобретательства. Тарту, 1988. С. 69-80.
[3] См.: Сборник постановлений Пленума и определений коллегий Верховного Суда СССР по уголовным делам. 1958 - 1971. М., 1973. С. 273, 283, 285.
