Володимир Голубєв,
кандидат юридичних наук, доцент
Crime-research.org

Проблеми правового захисту комп’ютерної інформації в Україні

Проблеми правового захисту комп’ютерної інформації зацікавили юристів провідних зарубіжних країн у 70-80-ті рр., коли почався розквіт комп’ютерної техніки. Поява і розповсюдження в 70-ті рр. компактних і порівняно недорогих персональних комп’ютерів створили можливість підключення до потужних інформаційних потоків необмеженого кола осіб, призвели до комп’ютеризації господарської і управлінської діяльності, використання комп’ютерної техніки в космічних дослідженнях, обороні, атомній енергетиці та інших сферах життя суспільства, де порушення роботи такої техніки здатне викликати аварії і навіть катастрофи з людськими жертвами і величезними економічними втратами. Крім того, поява комп’ютерних банків з інформацією персонального характеру робить неправомірний доступ до неї вельми небезпечним для прав і свобод людини.

Постало питання про контрольованість доступу до інформації та її збереження. Особливо гостро така проблема стоїть у країнах з високорозвиненими технологіями й інформаційними мережами. Традиційні заходи (організаційні, програмні, технічні) не можуть повною мірою відігравати роль стримуючого фактора. У зв’язку з цим велика увага приділяється розвитку кримінального законодавства.

Під кримінально-правовими заходами боротьби з комп’ютерною злочинністю в літературі розуміють прийняття кримінально-правових норм, якими встановлюється кримінальна відповідальність за вчинення окремих діянь у сфері використання комп’ютерної техніки. Зіткнувшись з комп’ютерною злочинністю, правоохоронні органи спочатку вели з нею боротьбу з допомогою традиційних правових норм про викрадення, привласнення, шахрайство і т.д. Однак, такий підхід виявився не зовсім вдалим, оскільки багато комп’ютерних злочинів не охоплюються складами традиційних злочинів. Невідповідність кримінологічної реальності і кримінально-правових норм вимагали розвитку останніх. Цей розвиток відбувається у двох напрямках:
1) ширше трактування традиційних норм і їх застосування за аналогією;
2) розробка спеціалізованих норм про комп’ютерні злочини.
Що ж таке комп’ютерний злочин? Деякі вчені піддають сумніву доцільність вживання терміна “комп’ютерні злочини”. Наприклад, В.В.Крилов пропонує як альтернативне ширше розуміння – “інформаційні злочини”, яке дозволяє абстрагуватися від конкретних технічних засобів [1]. М.Ф.Ахраменко під комп’ютерним злочином розуміє «вчинення винного суспільно-небезпечного протиправного діяння з використанням інформаційно-обчислювальних систем або із впливом на них» [2].

Кримінальна поліція Німеччини взяла на озброєння визначення комп’ютерної злочинності, яке включає в себе «всі протизаконні дії, за яких електронна обробка інформації була знаряддям їх скоєння або об’єктом» [3].

Швейцарські експерти під комп’ютерною злочинністю розуміють «всі зумисні та протизаконні дії, які призводять до нанесення шкоди майну і скоєння яких стало можливим завдяки електронній обробці інформації» [4].

У 1973 р. у Швеції приймається закон, згідно з яким встановлена відповідальність за неправомірну зміну, знищення або доступ до записів на комп’ютерних носіях (інформаційні зловживання). Пізніше спеціальні норми про комп’ютерні злочини були прийняті в США, Великобританії, Австрії, Канаді (липень 1985 р.), Данії (грудень 1985 р.), Австралії, Франції, Португалії (1982 р.) й інших країнах.

Необхідність видання законів, спеціально орієнтованих на боротьбу з комп’ютерними злочинами, досить швидко була усвідомлена в США на рівні законодавчих органів окремих штатів. На початок 70-х рр. відповідні закони були видані в шести штатах, а робота над законопроектами велася у дванадцяти інших. До 1985 р. такі акти були прийняті в 47 штатах. Наприклад, у штаті Флорида “Закон про комп’ютерні злочини” набув сили 1 січня 1978 р. і є найбільш грунтовним з усіх аналогічних актів інших штатів США. Згідно з даним законом конкретні види комп’ютерних злочинів розподілені на три групи:
• злочини проти інтелектуальної власності, тобто зумисне незаконне внесення змін, знищення або викрадення даних, програм і документації, пов’язаної з комп’ютерами;
• злочини, що завдають шкоди комп’ютерному обладнанню, тобто знищення або пошкодження комп’ютерних систем, приладів і т.д.;
• злочини проти користувачів комп’ютерів, тобто, будь-яке незаконне використання чужого комп’ютера, в тому числі спроба обробити на ньому які-небудь дані, недопущення до користування комп’ютером особи, яка має на це право.
На думку автора, до числа комп’ютерних злочинів доцільно віднести як злочини у сфері комп’ютерної інформації, так і злочини, які вчиняються з використанням комп’ютерних технологій.

Комп’ютерною визнається інформація, тобто, відомості про осіб, предмети, факти, події, явища і процеси, що зберігаються в комп’ютерній системі, мережі або на машинних носіях. Правове забезпечення комп’ютерної безпеки – сукупність норм права, що визначають суспільні відносини, які виникають у процесі діяльності людей щодо безпечного використання комп’ютерної техніки для обробки інформації. Ці правові норми можуть бути представлені у вигляді законів, положень, інструкцій, інших нормативно-правових документів.

За В.І.Ярочкіним [5], предметом правового регулювання в області гарантування інформаційної, в тому числі комп’ютерної, безпеки є:
• правовий режим інформації, засобів інформатики, індустрії інформатизації і систем інформаційних послуг в умовах ризику, засоби і форми захисту інформації;
• правовий статус учасників правовідносин у процесах інформатизації;
• порядок стосунків суб’єктів з урахуванням їх правового статусу на різних стадіях і рівнях процесу функціонування інформаційних структур і систем.

О.П.Крюкова [6] під правовим забезпеченням інформаційної безпеки розуміє:
• захист інтересів фізичних осіб – шляхом введення норм, які встановлюють межі збирання і використання відомостей про цих осіб з боку держави або інших суб’єктів;
• захист інтересів держави і суспільства – шляхом встановлення пріоритетів захисту інформації, яка охороняється як власність держави;
• захист інтересів юридичних і фізичних осіб – шляхом встановлення норм, які регулюють поводження з інформацією, що охороняється і забезпечує діяльність цих осіб, і встановлення механізмів захисту цих суб’єктів.

З метою уніфікації національних законодавств у 1989 році комітетом міністрів Європейського союзу був узгоджений і затверджений Список правопорушень, рекомендований країнам-членам ЄС з метою розробки єдиної кримінальної стратегії, пов’язаної з комп’ютерними злочинами [7]. “Мінімальний список правопорушень” містить наступні вісім видів комп’ютерних злочинів:
1. Комп’ютерне шахрайство. Введення, зміна, стирання або пошкодження даних ЕОМ чи програм ЕОМ, або ж інше втручання в хід обробки даних, яке впливає на хід обробки даних таким чином, що служить причиною економічних втрат або викликає втрату майна іншої людини з наміром незаконного покращення економічного становища для себе або іншої особи (як альтернатива – з наміром до незаконного позбавлення цієї особи її майна).
2. Підробка комп’ютерної інформації. Несанкціоноване стирання, пошкодження, погіршення або пригнічення даних ЕОМ або інше втручання в хід обробки даних різними способами, або створення таких умов, які згідно з національним законодавством складатимуть таке правопорушення, як підробка в традиційному розумінні такого порушення.
3. Пошкодження даних ЕОМ або програм ЕОМ. Несанкціоноване стирання, пошкодження або пригнічення даних ЕОМ або програм ЕОМ.
4. Комп’ютерний саботаж. Введення, зміна, стирання, пошкодження даних ЕОМ або втручання в системи ЕОМ з наміром перешкоджання функціонуванню комп’ютера або системи передачі даних.
5. Несанкціонований доступ. Несанкціонований доступ до системи ЕОМ через мережу з порушенням засобів захисту.
6. Несанкціоноване перехоплення даних. Несанкціоноване перехоплення з допомогою технічних засобів зв’язку як у межах комп’ютера, системи або мережі, так і ззовні.
7. Несанкціоноване використання захищених комп’ютерних програм. Незаконне відтворення, розповсюдження або зв’язок з програмою ЕОМ, яка захищена у відповідності з законом.
8. Несанкціоноване відтворення схем. Несанкціоноване відтворення схемних рішень, захищених у відповідності з законом про напівпровідникові вироби (програми), або комерційна експлуатація, або незаконне імпортування з цією ж метою схеми або напівпровідникового виробу як продукту, створеного з використанням даних схем.

“Необов’язковий список порушень” включає в себе наступні чотири види комп’ютерних злочинів:
1. Зміна даних ЕОМ або програм ЕОМ. Незаконна зміна даних або програм ЕОМ.
2. Комп’ютерний шпіонаж. Придбання з використанням незаконних засобів або шляхом несанкціонованого розкриття, пересилання або використання торгових або комерційних таємниць з допомогою подібних методів чи інших незаконних засобів з тим чи іншим наміром, що завдає економічної шкоди особі шляхом доступу до його таємниць або дозволяє отримати незаконну економічну перевагу для себе чи іншої особи.
3. Використання ЕОМ без дозволу. Використання системи ЕОМ або комп’ютерної мережі без відповідного дозволу є злочинним, коли воно:

• інкримінується в умовах великого ризику втрат, викликаних невідомою особою, яка використовує систему або завдає шкоди системі чи її функціонуванню; або
• інкримінується невідомій особі, яка має намір завдати шкоди і використовує для цього систему або завдає шкоди системі чи її функціонуванню; або
• застосовується у випадку, коли втрачається інформація з допомогою невідомого автора, який використав дану систему або завдав шкоди системі чи її функціонуванню.
4. Використання захищеної програми ЕОМ без дозволу.

Використання без дозволу захищеної програми ЕОМ або її незаконне відтворення з наміром виправити програму таким чином, аби отримати незаконну економічну вигоду для себе або іншої особи або завдати шкоди законному власникові даної програми.
Протягом останніх десятиліть в США прийнято ряд федеральних законів, що створили правову основу для формування і проведення єдиної державної політики в області інформатизації і захисту інформації. Наприклад, закон Сполучених Штатів “Про забезпечення безпеки ЕОМ” № HR 145, прийнятий конгресом у травні 1987 року, встановлює пріоритет національних інтересів при вирішенні питань безпеки інформації, у тому числі й приватної інформації. Законом встановлено, що “важливою” є така інформація, “втрата якої, неправильне використання, несанкціонована зміна якої або доступ до якої можуть призвести до небажаного впливу на національні інтереси”. Встановлена також категорія інформації обмеженого доступу – “нетаємна, але важлива з точки зору національної безпеки”. До цієї категорії віднесена переважна частина відомостей, що циркулюють або обробляються в інформаційно-телекомунікаційних системах приватних фірм і корпорацій, які працюють за державним замовленням.

Комп’ютерні злочини у США можуть підпадати як під юрисдикцію штату, в якому вони скоєні, так і під федеральні закони. Порушення федерального законодавства відбувається у випадках, коли:
• злочин скоювався стосовно комп’ютерних систем, що належать урядові США;
• злочин скоювався стосовно комп’ютерних систем, що належать банкам або іншим фінансовим організаціям;
• відбулося викрадення або розкриття інформації про національну оборону, атомну енергетику, іншої державної закритої інформації;
• злочин скоювався з інших штатів або держав;
• при скоєнні злочину використовувалися міжнародні системи зв’язку.
Сьогодні в світі близько 20 країн мають національне законодавство, що стосується використання глобального інформаційного простору [8]. До розряду пріоритетних висувається питання правових і організаційних механізмів регулювання використання Internet. В Internet відсутня централізована система управління. Координатором виступає Товариство учасників Internet (ISOC), яке є громадською організацією, що базується на внесках і пожертвуваннях спонсорів. Зарубіжними дослідниками неодноразово підкреслювалась необхідність не обтяжувати Internet зайвим державним регулюванням. Однак, розвиток цієї глобальної мережі ставить ряд правових проблем, для вирішення яких уже прийняті і готуються до прийняття низка законодавчих актів.

Одним з важливих кроків, спрямованих на врегулювання цієї проблеми, є прийняття Радою Європи (Council of Europe) 23 листопада 2001 року Конвенції про кіберзлочинність. Враховуючи складність проблеми, Рада Європи підготувала й опублікувала проект Конвенції щодо боротьби зі злочинами в кіберпросторі ще на початку 2000 року. Цей документ став першою міжнародною угодою з юридичних і процедурних аспектів розслідування і кримінального переслідування кіберзлочинів. Конвенцією передбачаються скоординовані на національному і міждержавному рівнях дії, спрямовані на недопущення несанкціонованого втручання в роботу комп’ютерних систем, незаконного перехоплення даних і втручання в комп’ютерні системи.

Прийняття державами-членами Ради Європи “Конвенції про кіберзлочинність” стало результатом розуміння важливості проведення політики, направленої на захист суспільства від кіберзлочинів, необхідності появи відповідного законодавства і зміцнення міжнародного співробітництва.

Одним із головних висновків, який можна зробити, аналізуючи “Конвенцію”, є вироблення спільної позиції з питання про те, які діяння, пов’язані з використанням комп’ютерних систем, мають бути криміналізовані.

З правової точки зору велике значення мають загальні принципи, що стосуються міжнародного співробітництва. Це питання видачі комп’ютерних злочинців і надання один одному взаємодопомоги при розслідуванні кримінальних справ, пов’язаних з комп’ютерними системами і даними.

З урахуванням специфіки соціального феномену кіберзлочинності, масштабів інформатизації і розвитку глобальної мережі Інтернет стає все менш вірогідним, що подібні злочини обмежуватимуться територією однієї держави. У процесі проведення розслідування правоохоронні органи різних держав мають співробітничати між собою, надаючи потенційно корисну інформацію один одному. В зв’язку з правовою допомогою, при розслідуванні кіберзлочинів неодмінно виникатимуть і інші проблеми. Якщо внутрішнім правом однієї з сторін не передбачені конкретні повноваження щодо пошуку доказів в електронному середовищі, така сторона буде не в змозі адекватно реагувати на прохання про надання допомоги. З цієї причини важливою умовою міжнародного співробітництва є узгодження повноважень вживати необхідних заходів для розслідування таких видів злочинів.

Обмеженість національного законодавства і відсутність єдиної правової бази правоохоронних органів у боротьбі з даним видом правопорушень – ось одна з головних причин зростання кількості комп’ютерних злочинів. Лише шляхом органічного поєднання кримінально-правових і криміналістичних стратегій боротьби з даним видом злочинів можна досягти успіху. Важливою складовою такої стратегії має стати міжнародне співробітництво в даній сфері, оскільки вже очевидно, що контролювати транснаціональну складову кіберзлочинів на рівні окремих держав практично неможливо. Міжнародне співробітництво в боротьбі зі злочинністю в сфері використання комп’ютерних технологій потребує правового, організаційного і наукового забезпечення.

Підписання “Конвенції” в Будапешті 23 листопада 2001 року главою української делегації Сюзанною Станик, безперечно, сприятиме зміцненню міжнародного співробітництва в боротьбі з кіберзлочинністю [9].

Нещодавно Президентом України підписані прийняті парламентом зміни до Концепції національної безпеки України. В Концепції уточнюється перелік пріоритетів національних інтересів України, до яких, зокрема, належать: гарантування конституційних прав і свобод людини і громадянина, захист державного суверенітету, територіальної цілісності і недоторканості кордонів, невтручання іноземних держав у внутрішні справи країни, створення конкурентоспроможної, соціально орієнтованої ринкової економіки, забезпечення постійного зростання рівня життя і добробуту населення. Визначаються загрози національній безпеці та інтересам України, серед яких комп’ютерна злочинність і комп’ютерний тероризм належать до числа пріоритетних [10].

До основних принципів, за якими формується і проводиться державна політика України у сфері захисту інформації належать, перш за все: - додержання балансу інтересів особи, суспільства та держави, їх взаємна відповідальність; - єдність підходів до забезпечення захисту інформації, які визначаються загрозами безпеці інформації та режимом доступу до неї; - комплексність, повнота та безперервність заходів захисту інформації; - відкритість нормативно-правових актів та нормативних документів з питань захисту інформації, які не містять відомостей, що становлять державну таємницю; - узгодженість нормативно-правових актів організаційно-управлінського змісту та нормативних документів з питань технічного захисту інформації з відповідними міжнародними договорами України; - обов’язковість захисту інженерно-технічними заходами інформації, що складає державну та іншу, передбачену законом, таємницю, конфіденційної інформації, що є власністю держави, відкритої інформації, важливої для держави, незалежно від того, де зазначена інформація циркулює, а також відкритої інформації, важливої для особи та суспільства, якщо ця інформація циркулює в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ, на державних підприємствах, у державних установах та організаціях; - виконання на власний розсуд суб’єктами інформаційних відносин вимог щодо технічного захисту конфіденційної інформації, що належить державі, та відкритої інформації, важливої для особи та суспільства, якщо остання циркулює поза межами державних органів, підприємств, установ і організацій; - покладення відповідальності за формування та реалізацію державної політики у сфері технічного захисту інформації на спеціально уповноважений центральний орган виконавчої влади; - ієрархічність побудови організаційних структур системи захисту інформації та керівництво їх діяльністю у межах повноважень, визначених нормативно-правовими актами; - методичне керівництво спеціально уповноваженим центральним органом виконавчої влади у сфері захисту інформації діяльністю організаційних структур системи технічного захисту інформації; - скоординованість дій та розмежування сфер діяльності організаційних структур системи технічного захисту інформації з іншими системами захисту інформації та системами забезпечення інформаційної безпеки, як складової національної безпеки; - фінансова забезпеченість системи захисту інформації за рахунок Державного бюджету України, бюджету Автономної Республіки Крим, місцевих бюджетів та інших джерел.
З аналізу нормативно-правових актів України витікає, що державна політика у сфері захисту інформації визначається пріоритетністю національних інтересів, має на меті унеможливлення реалізації загроз для інформації та здійснюється шляхом виконання положень, зазначених у законодавстві та положень Концепції технічного захисту інформації, а також програм розвитку захисту інформації та окремих проектів.

1. Крилов В.В. Інформаційні комп’ютерні злочини. - М.: ИНФРА-М-НОРМА, 1997. - С.11.
2. Ахраменко М.Ф. Проблеми криміналізації суспільно-небезпечної поведінки з використанням інформаційно-обчислювальних систем: Автореф. дис. ... к.ю.н.: 12.00.08/ БДУ. - Мінськ, 1996. - С.7.
3. Попередження комп’ютерних злочинів // Проблеми злочинності в капіталістичних країнах (За матеріалами зарубіжної преси). - М.: ВНДІ МВС СРСР, 1986, № 4. - С.10.
4. Попередження комп’ютерних злочинів // Проблеми злочинності в капіталістичних країнах (За матеріалами зарубіжної преси). - М.: ВНДІ МВС СРСР, 1986, № 4. - С.4.
5. Ярочкін В.І. Безпека інформаційних систем. - М.: Ось-89, 1996. - С.214.
6. Крюкова Е.П. Правові аспекти забезпечення інформаційної безпеки // Комплексний захист інформації: Тези доповіді на IV Міжнар. конф., Мінськ, 29.02.-02.03.2000 р. - М.: Ось-89, 1996. - С.214.
7. Голубєв В.О. Удосконалення боротьби зі злочинами у сфері використання автоматизованих електронно-обчислювальних систем // Боротьба з організованою злочинністю і корупцією (теорія і практика). Науково-практичний журнал. - № 3. - Київ, 2001. - С.171-172.
8. Кашинская А.Н. Зарубежный опыт правового регулирования использования Internet // Управление защитой информации. - 2000. - Т.4. - № 2. - С.71-76.
9. Голубев В.А. Подписание конвенции “По борьбе с киберпреступностью” и некоторые проблемы расследования киберпреступлений. - http://www/crime-research.org/library/convention.htm.
10. Компьютерная преступность – угроза национальной безопасности // http://www.crime-research.org/news/2003/07/1402.html. 14.07.03.