Голубєв В.О.
В умовах науково-технічного прогресу інформація стає об'єктом специфічних суспільних відносин, що виникають з приводу її накопичення, зберігання, обробки та захисту. Однак широке впровадження комп'ютерних технологій призводить не лише до позитивних наслідків - реалії сьогодення зумовлюють поширення правопорушень особливо у сфері використання глобальної мережі Internet, появи нової гілки злочинів - так званих "комп'ютерних злочинів".
Виходячи з правової доктрини кримінального права в Україні, категорія “комп’ютерні злочини” містить у собі всі протизаконні дії, якщо електронне опрацювання інформації було знаряддям їх вчинення та предметом посягання. Тобто проблематику досліджень становить широке коло правопорушень: викрадання інформації, шахрайство з кредитними пластиковими картками; незаконне використання банківської мережі електронних платежів; порушення авторських прав розробників комп’ютерних програм та ін.
На думку фахівців з питань інформатизації та правового регулювання інформаційних відносин, комп’ютери є багатообіцяючим знаряддям вчинення таких злочинів, як тероризм, шпигунство, шахрайство, крадіжка, дитяча порнографія тощо. За офіційною статистикою Інституту Комп’ютерної безпеки (Computer Security Institute), у 2000 році тільки в США економічні збитки від комп’ютерних злочинів склали 265,6 млн. дол. США [1]. У Франції щорічні втрати банків досягають 1 млрд. франків на рік і кількість таких злочинів збільшується на 30-40%. У Німеччині “комп’ютерна мафія” викрадає за рік близько 4 млрд. Марок. У Великобританії лише асоціація страхових компаній несе збитки на суму понад 1 млрд. фунтів стерлінгів на рік.
Проблема боротьби зі злочинами у сфері використання комп’ютерних технологій, безумовно, пов’язана із загальною проблемою захисту інформації, та особливістю інформації як об’єкта правовідносин [2]. Особливу увагу, на наш погляд, при вирішенні цієї проблеми треба приділити суспільним відносинам, що виникають з приводу права власності на інформацію і похідних від неї. Така особливість відбивається і на ознаках інформації як предмета протиправних посягань. При цьому необхідно визначити шляхи і засоби захисту інформації, права та обов’язки суб’єктів інформаційних відносин, які виникають у зв’язку зі збиранням, використанням, обробкою та захистом інформації, а також передбачити відповідальність за протиправні діяння у сфері захисту інформації.
Особливо гостро це питання підіймається у контексті розвитку інформаційних відносин та, на жаль, обумовленої ним появи нової гілки правопорушень. Для забезпечення вирішення цієї проблеми у 1994 році був прийнятий Закон України “Про захист інформації в автоматизованих системах”, покликаний встановити правові засади забезпечення реалізації те непорушності права власності на інформацію в вищезгаданому аспекті.
Критично розглядаючи розділ XVI “Злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж”, нового КК України [3], треба звернути увагу на ряд недоліків.
Одним з найголовніших недоліків є використання термінів, які не узгоджені з чинним інформаційним законодавством. Так, вже в назві розділу використовується термін “електронно-обчислювальних машин” замість прийнятого в законі України “Про інформацію” терміну “автоматизована система”. Таке неузгодження може призвести до значної плутанини при коментуванні та використанні статей цього розділу.
Недостатньо зваженою є спроба нового КК України перенести статтю 1981 попереднього КК України в практично незміненому вигляді у ст.361. Головним недоліком цього ми вважаємо спробу об’єднати однією нормою два посягання, що характеризуються різними об’єктами:
Наступним і найголовнішим недоліком є використання в назві ст.363 КК України термінів, що не віддзеркалюють специфічність посягань на інформацію, без відповідного їх уточнення чи тлумачення диспозиції статті. Крім того є недоцільним перевантаження ст.362 КК диспозиції зазначених діянь, що можуть бути кваліфіковані за загальними нормами, наприклад, вимаганням комп’ютерної інформації. Специфічність предмету посягання в даному випадку не є достатньою для такої спеціалізації.
На основі проведеного аналізу пропонується внести певні зміни в чинне законодавство, а саме:
Викласти назву розділу XVI у такій редакції “Злочини у сфері використання комп’ютерів, автоматизованих систем та комп’ютерних мереж”, а статті у наступній редакції:
Статтю 361 “Порушення порядку обігу технічних засобів та програмного забезпечення, призначених для отримання несанкціонованого доступу до комп’ютерів, автоматизованих систем та комп’ютерних мереж” .
(1) “Розповсюдження технічних засобів, призначених для отримання несанкціонованого доступу до комп’ютерів, автоматизованих систем та мереж, - карається…
(2) Розповсюдження складників, що можуть використовуватись при виготовленні технічних засобів, призначених для отримання несанкціонованого доступу до комп’ютерів, автоматизованої систем та мереж, якщо винна особа була обізнана про намір чи можливість їх подальшого використання із злочинною метою, - карається…
(3) Розповсюдження програмних засобів, призначених для отримання несанкціонованого доступу чи порушення роботи комп’ютерів, автоматизованих систем та мереж, - карається…”
Статтю 362 “Посягання на комп’ютерну інформацію” .
(1) “Навмисне знищення, блокування чи модифікація комп’ютерної інформації, що призвели до тяжких наслідків, — карається …
(2) Навмисне знищення, блокування чи модифікація комп’ютерної інформації з обмеженим доступом, — карається…
(3) Навмисне порушення режиму доступу до комп’ютерної інформації з обмеженим доступом, яке призвело до її витоку, знищенню чи модифікації, — карається…”.
Статтю 363 “Порушення правил експлуатації автоматизованих систем чи комп’ютерних мереж”.
(1) “Навмисне порушення правил користування автоматизованою системою чи комп’ютерною мережею, якщо це призвело до знищення, модифікації чи витоку інформації з обмеженим доступом, — карається…
(2) Навмисне порушення права вповноваженої власником особи на використання ресурсів комп’ютера, автоматизованої системи чи мережі, що завдало цій особі значної шкоди, — карається…
(3) Злочинне недбальство особи, яка повинна здійснювати нагляд за додержанням правил користування автоматизованою системою чи комп’ютерною мережею, якщо це призвело до знищення, блокування, модифікації чи витоку інформації з обмеженим доступом, — карається…”.
Для розуміння змісту запропонованих статей і обґрунтування необхідності їх введення, проаналізуємо склад передбачених ними злочинів, а також тлумачення використаних термінів.
Впровадження у всі сфери життя і діяльності суспільства сучасних інформаційних технологій обумовило підвищену зацікавленість певних кіл суспільства в отриманні інформації будь-якими методами. Суспільна небезпека полягає в тому, що задовольняючи цей попит, розробляються спеціальні програмні та технічні засоби, призначені для отримання несанкціонованого доступу до комп’ютерів, автоматизованих систем та мереж. Оскільки право власності на інформацію закріплене в законодавстві (ст.38 Закону України “Про інформацію” від 2 жовтня 1992 р.), то воно є об’єктом, який повинен охоронятися державою, у тому числі засобами кримінально-правової охорони. Виходячи з цього, необхідне законодавчо встановлене обмеження вільного обігу подібних програмних та технічних засобів. На підставі цього пропонується доповнити КК ст. 361-1 “Порушення порядку обігу технічних засобів та програмного забезпечення, призначених для отримання несанкціонованого доступу до комп’ютерів, автоматизованих систем та комп’ютерних мереж”.
Розглянемо детальніше склади злочинів, що охоплюються у запропонованій статті.
(1) Розповсюдження технічних засобів, призначених для отримання несанкціонованого доступу до комп’ютерів, автоматизованих систем та мереж.
Родовим об’єктом цього злочину є безпека інформаційних відносин, тобто суспільних відносин, що виникають з приводу отримання, обробки, користування та розпорядження інформацією. Безпосереднім об’єктом буде виступати порядок обігу спеціальних технічних засобів, а предметом самі ці засоби. Об’єктивна сторона злочину виявляється в діях, а саме незаконному розповсюдженні спеціальних технічних засобів, призначених для отримання несанкціонованого доступу до комп’ютерів, автоматизованих систем чи мереж. Терміном “розповсюдження”, в контексті цієї статті, не охоплюється постачання таких засобів відповідним державним органам на основі державного замовлення (скажімо, спеціальним підрозділам МВС чи СБУ).Під “комп’ютером” слід розуміти будь-який електронний пристрій, побудований на основі мікропроцесора та призначений для обробки даних. “Автоматизованою системою” (далі – АС) є система, що здійснює автоматизовану обробку даних, і до складу якої входять технічні засоби їх обробки (засоби обчислювальної техніки і зв’язку), а також методи і процедури, програмне забезпечення (ст. І Закону “Про захист інформації в автоматизованих системах” від 5 липня 1994 р.). ”Комп’ютерною мережею” слід визнати будь-які взаємозв’язані комунікаційними чи телекомунікаційними лініями комп’ютери, АС чи комп’ютери та віддалені термінали. “Доступ” - це пряме чи побічне використання, що призвело до вводу (виводу) інформації, або використання іншім спосіб будь-яких можливостей комп’ютера, автоматизованої системи, мережі чи будь-яких засобів зв’язку між ними. “Несанкціонованим” є будь-який доступ, що прямо не дозволений власником чи вповноваженою ним особою.
Враховуючи властивості диспозиції (настання відповідальності незалежно від злочинних наслідків), склад цього злочину що пропонується у Ст.361-1 КК України, а також інших, за конструкцією є формальним. Оскільки особа, вчиняючи подібне розповсюдження, усвідомлює свої вчинки, то вона діє умисно. Тому психічне ставлення винної особи характеризується наявністю умисної форми вини.
Для складу цього злочину характерним є наявність загального суб’єкту.
Якщо обсяг функціональних обов’язків винної особи передбачає виготовлення або використання таких пристроїв, це слід вважати обставиною, що обтяжує відповідальність. Іншими кваліфікуючими ознаками пропонується визнати значну кількість розповсюджених пристроїв, вчинення дій групою осіб та повторно. (2) Розповсюдження складових, що можуть використовуватись при виготовленні технічних засобів, призначених для отримання несанкціонованого доступу до комп’ютерів, автоматизованих систем та мереж, якщо винна особа була обізнана про намір чи можливість їх подальшого використання із злочинною метою.
Пропонується проводити кваліфікацію за цією статтею додатково до інкримінування звичайної співучасті. Обумовлюється це, насамперед, підвищеною суспільною небезпечністю таких дій.
Родовий та безпосередній об’єкти цього злочину співпадають з вищезгаданими, а предметом є складові, з яких можна зібрати ці технічні засоби (до таких складових слід віднести також достатню інформацію по виготовленню подібних приладів). При цьому необхідно зауважити, що самі по собі ці засоби можуть бути як такими, що вилучені з вільного обігу (спеціальні плати, розроблені для дешифрування чи підбору кодів), так і дозволеними (модеми, мікропроцесори тощо). В першому випадку ми говоримо про можливість їх подальшого використання із злочинною метою, тобто для настання кримінальної відповідальності за цією нормою особа повинна щонайменше усвідомлювати специфічні властивості складових, що вона розповсюджує. В другому випадку необхідною є обізнаність особи, що розповсюджує складові, про намір їх використання із злочинною метою.
Зважаючи на те, що кримінальна відповідальність має наставати лише з урахуванням факту обізнаності особи про можливість чи намір їх подальшого злочинного застосування, з суб’єктивної сторони цей злочин характеризується умисною формою вини.
Проявом об’єктивної сторони цього злочину є дії (розповсюдження в будь-якій формі). Суб’єкт злочину – загальний.
(3) Розповсюдження програмних засобів, призначених для отримання несанкціонованого доступу чи порушення роботи комп’ютерів, автоматизованих систем та мереж.
Найголовніша різниця між складом цього злочину та двома попередніми полягає в предметі, яким виступають не технічні, а програмні засоби, властивостями яких є:
Під розповсюдженням таких програмних засобів треба розуміти:
Враховуючи, що розробка подібних програм дуже поширена, насамперед, серед підлітків, на наш погляд, буде доцільно встановити настання відповідальності за цією статтею лише з 18 років, коли особа вже може усвідомлювати неприпустимість подібних вчинків. Для покарання осіб віком від 16 до 18 років пропонуємо ввести аналогічну норму в кодекс України про адміністративні правопорушення.
Необхідною ознакою для настання відповідальності має бути умисна форма вини в вигляді прямого умислу.
“Посягання на комп’ютерну інформацію” (ст.362) вже відносяться до суто “комп’ютерних” злочинів. Саме вони складають більшість в масиві правопорушень, що посягають на безпеку інформаційних відносин .
Під комп’ютерною інформацією слід розуміти сукупність усіх даних і програм, які використовуються в АС або містяться на машинних носіях як елементах АС, що ідентифікується i має власника. Інформація, що ідентифікується це зафіксована на машинному носії інформація з реквізитами, які дозволяють її ідентифікувати.
Обумовлена об’єктивними чинниками тенденція зростання їх кількості потребує, відповідно до ч.1 ст.47 Закону України “Про інформацію”, встановлення дисциплінарної, цивільно-правової, адміністративної та кримінальної відповідальності. На наш погляд, враховуючи кількість таких правопорушень, встановлення кримінальної відповідальності буде доцільним лише у випадках заподіяння великої шкоди, тобто склади відповідних злочинів за конструкцією повинні бути матеріальними.
Встановлення формального (за конструкцією) складу злочину є необхідним лише у випадку вчинення передбачених діянь по відношенню до інформації з обмеженим доступом, оскільки:
Тому отримання несанкціонованого доступу до неї завжди супроводжується порушенням системи захисту, що вказує на підвищену суспільну небезпеку з боку винної особи, адже вина в цьому випадку може бути лише у вигляді прямого умислу.
При відсутності злочинних наслідків, або при незначних розмірах заподіяної шкоди особа повинна нести адміністративну відповідальність. Потерпілий в такому випадку має право подати позов, що має бути вирішений в порядку цивільного судочинства. Дисциплінарна відповідальність наставатиме за вчинення подібних діянь (при відсутності злочинних наслідків) спеціальним суб’єктом – персоналом, що обслуговує автоматизовані системи, співробітниками відділів чи інших структурних одиниць, обсяг професійних обов’язків яких включає обробку інформації чи надання інформаційних послуг.
Безпосереднім об’єктом злочину є право власності на інформацію, тобто порушене право власника на володіння, використання чи розпорядження інформацією. Тлумачення цього терміну, в контексті використання автоматизованих систем, міститься у ст.1 Закону України “Про захист інформації в автоматизованих системах”: “…інформація в АС - це сукупність усіх даних і програм, які використовуються в АС незалежно від засобу їх фізичного та логічного представлення…”
(1) Навмисне знищення, блокування чи модифікація комп’ютерної інформації, що призвело до тяжких наслідків;
(2) навмисне знищення, блокування чи модифікація комп’ютерної інформації з обмеженим доступом.
Проявом об’єктивної сторони складу цього злочину є дії в вигляді знищення, блокування чи модифікації інформації.
В контексті цього розділу під знищенням інформації слід розуміти її втрату, коли інформація в АС перестає існувати для фізичних і юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі. Як блокування інформації треба розглядати припинення доступу до інформації. Такі дії можуть виражатись, наприклад, в електромагнітному, лазерному і іншому впливі на носії інформації, в яких вона матеріалізується, або по яких вона передається; в формуванні сигналів полів засобів і блоків програм, вплив яких на інформацію, її носії і засоби технічного захисту викликає порушення цілісності інформації, її знищення чи модифікації, у включенні до бібліотек програм спеціальних програмних блоків, зміни програмного забезпечення і інших подібних діях, що призводять до порушення цілісності інформації.
Модифікація інформації - це зміна її змісту, порушення її цілісності, в тому числі і часткове знищення.
Що ж до режиму доступу до інформації, то його встановлення регламентується статтею 28 Закону України “Про інформацію”. Ним визнається передбачений правовими нормами порядок одержання, використання, поширення і зберігання інформації. За режимом доступу інформація поділяється на відкриту інформацію та інформацію з обмеженим доступом, яка, відповідно до свого правового режиму, буває конфіденційною і таємною. Відповідно до ст. 30 цього закону конфіденційною інформацією є відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних або юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов.
Громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або такою, яка є предметом їх професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, мають право самостійно визначати режим доступу до неї, включаючи належність її до категорії конфіденційної, та встановлюють для неї систему (способи) захисту.
Виняток становить інформація комерційного та банківського характеру, а також інформація, правовий режим якої встановлено Верховною Радою України за поданням Кабінету Міністрів України (з питань статистики, екології, банківських операцій, податків тощо), та інформація, приховування якої являє загрозу життю і здоров’ю людей.
До таємної інформації належить інформація, що містить відомості, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі.
Під тяжкими наслідками тут і надалі пропонуємо розуміти завдану злочинними діями шкоду (прямі та непрямі збитки), розмір якої дорівнює чи перевищує 100 мінімальних неоподаткованих доходів громадян.
Склад цього злочину характеризується наявністю загального суб’єкту. Вчинення таких дій особою, обсяг професійних обов’язків якої включає зберігання чи обробку такої інформації повинно визнаватись кваліфікуючою ознакою, що обтяжує відповідальність.
Виходячи безпосередньо з формулювання диспозиції статті, формою психічного ставлення особи до скоєних нею злочинних дій має бути умисел, ставлення особи до злочинних наслідків таких дій може бути як в формі умислу, так і необережності.
(3)Навмисне порушення режиму доступу до комп’ютерної інформації з обмеженим доступом, яке призвело до її витоку, знищення, блокування чи модифікації.
Поняття режиму доступу до комп’ютерної інформації з обмеженим доступом, знищення та модифікація інформації наведено вище.
Під порушенням режиму доступу слід розуміти дії, які проявились у будь-якому порушенні порядку одержання, використання, поширення і зберігання інформації, передбаченого правовими нормами та встановленого власником інформації, доступ до якої обмежено, або уповноваженою ним особою. Найбільш поширеною формою такого порушення є отримання несанкціонованого доступу до інформації
Як спробу порушення слід кваліфікувати дії, спрямовані на порушення таких норм чи правил, якщо встановлений порядок одержання, використання, поширення і зберігання інформації не було порушено через обставини, які не залежали від особи порушника, тобто проти його волі. При цьому необхідною кваліфікуючою ознакою є таємність інформації, спробу порушення режиму доступу до якої було здійснено.
Витік інформації є результат дій порушника, внаслідок яких інформація стає відомою (доступною) суб’єктам, що не мають права доступу до неї.
Розробляючи частину першу даної норми, обрана конструкція матеріального складу злочину, яка встановлює необхідність настання злочинних наслідків у вигляді витоку, знищення чи модифікації інформації.
Суб’єкт злочину – загальний.
В диспозиції статі прямо зазначено психічне ставлення особи до своїх дій, тому формою вини такої особи є тільки умисел. Ставлення особи до злочинних наслідків її дій може бути в формі умислу чи злочинної необережності. Якщо ж особа не була обізнана про характер інформації, то її дій не можуть кваліфікуватись за цією статтею.
Порушення порядку функціонування автоматизованої системи чи мережі (стаття 363). Відповідно до Закону України “Про захист інформації в автоматизованих системах” для забезпечення розмежування доступу (ст.6) та захисту (ст.10) інформації в автоматизованих системах, власник АС встановлює певні правила. Порушення цих правил може призвести до знищення, модифікації та витоку інформації, незаконного обмеження прав окремих користувачів АС.
Для запобігання цих та деяких інших правопорушень, а також з метою забезпечення (відповідно до ст.17 Закону) притягнення винних осіб до відповідальності, пропонується у ст. 363 КК України внести доповнення, які б встановлювали відповідальність за подібні правопорушення.
(1) Навмисне порушення правил користування автоматизованою системою чи комп’ютерною мережею, якщо це призвело до блокування, модифікації чи витоку інформації з обмеженим доступом;
(2) навмисне порушення права вповноваженої власником особи на використання ресурсів комп’ютера, автоматизованої системи чи мережі, що завдало цій особі значної шкоди.
Родовим об’єктом цього злочину є суспільні відносини, що виникають з приводу порушення правил користування автоматизованою системою чи комп’ютерною мережею. Безпосереднім об’єктом – право власності на інформацію, для якої власником встановлено обмежений режим доступу.
Об’єктивна сторона цього злочину полягає в скоєні хоча б одного з чотирьох видів дій:
Оскільки винна особа притягується до кримінальної відповідальності лише за умов настання злочинних наслідків своїх дій, склад цього злочину за конструкцією є матеріальним.
Суб’єктом злочинів, передбачених частинами 1 та 2 цієї статті може бути будь-яка деліктоздатна особа, яка діє з власної зацікавленості чи в інтересах третіх осіб, частиною другою – особа, в професійні обов’язки якої входить обслуговування АС, за додержанням зазначених умов.
В диспозиції статті прямо зазначено, що необхідною для настання кримінальної відповідальності ознакою є умисел особи щодо порушення встановлених правил. По відношенню до наслідків його психічне ставлення може характеризуватись як умислом, так і необережністю.
(3) Злочинне недбальство особи, яка повинна здійснювати нагляд за додержанням правил користування автоматизованою системою чи комп’ютерною мережею, якщо це призвело до знищення, блокування, модифікації чи витоку інформації з обмеженим доступом.
Відповідно до ст.15 “Служби захисту інформації в АС” Закону України “Про захист інформації в автоматизованих системах” можуть створюватись підрозділи, служби, які організують роботу, пов’язану із захистом інформації, підтримки рівня захисту інформації в АС і несуть відповідальність за ефективність захисту інформації відповідно до вимог цього закону. Саме їх працівники створюють коло суб’єктів, які можуть бути притягнуті до кримінальної відповідальності за цією статтею, тобто суб’єкт цього злочину – спеціальний.
Об’єктивна сторона складу цього злочину може бути у вигляді бездіяльності – пасивної поведінки спеціального суб’єкта, тобто невиконання передбачених професійними обов’язками дій, які особа повинна була і могла вчинити, чи не попередження нею настання злочинних наслідків, які була зобов’язана і могла попередити, або дії – неналежного виконання таких обов’язків.
Кримінальна відповідальність має наставати не в усіх випадках витоку, знищення чи модифікації інформації, а лише якщо для цієї інформації власником було встановлено обмежений режим доступу. Злочин вважається закінченим лише з моменту настання злочинних наслідків, тому склад його є матеріальним.
Суб’єктивній стороні цього злочину притаманна необережна форма вини. Якщо винна особа усвідомлено не перешкоджала, наприклад, отриманню несанкціонованого доступу до інформації з обмеженим доступом, то її дії слід кваліфікувати як співучасть в “Навмисному порушенні режиму доступу до інформації з обмеженим доступом”, яке призвело до її витоку, знищення чи модифікації”, якщо злочинні наслідки не були досягнуті – як замах на вчинення цього злочину.
Таким чином, аналіз розділу XVI “Злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж” нового КК України свідчить, що конструкції понять і термінів стосовно правопорушень, визначених у цих нормативних актах, не узгоджені між собою, та з Законом України “Про захист інформації в автоматизованих системах”, що безумовно потребую термінового корегування. Також треба бути готовими, що через декілька років вже з’явиться нове покоління комп’ютерів, наприклад на основі використання “нейронної технології” (про це вже повідомлялось у пресі і спеціальній літературі). Тому, на наш погляд, термін “...електронно-обчислювальні машини” - це тимчасова дефініція і її використання у недалекому майбутньому при застосуванні комп’ютерними злочинцями нових нейрокомп’ютерів вже не дозволить криміналізувати їх протиправні діяння.