Comments 21
Очень бы хотелось услышать позицию вендора по этому поводу, ибо с началом реального импортозамещения проблемы больших баз и работы с данными напрямую встают все острее и острее.
Вообще они ранее высказывали свою позицию, в которой говорили "ваши файлы - наши". Например, вот здесь ответы № 65 и 96 https://v8.1c.ru/priobretenie-i-vnedrenie/otvety-na-tipovye-voprosy-po-litsenzirovaniyu-1s-predpriyatiya-8/
Да, нам тоже интересно пообщаться с коллегами из 1С ) Если будут какие-то новости, то я думаю, что мы ими поделимся в нашем канале https://t.me/aglegal)
TL;TR: есть ли жизнь на Марсе - там три мнения.
За создание программы и ее распространение законодательно не предусмотрено ответственности. ... разработка программы — это творчество, которое не может быть ограничено. Согласно ст. 44 ... Исключение составляют вредоносные программы в соответствии со ст. 273 УК РФ.
Вот зря вы так легко отмахиваетесь от ст.273 УК РФ. Я конечно понимаю, что многие думают, что эта статья предназначена против злобных хакеров, пишущих вирусы, но "по факту" это не так.
И попытка устранить из оборота ПО Интегратор и/или надавить на его автора - скорее всего именно по ст.273 УК и пойдёт. Может даже попробуют и ст.272 УК приплести, по принципу "ни одно, так другое да сработает".
Ст.273 УК привлекает к ответственности за "Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации [...]".
Создание, распространение и использование тут "налицо", как и копирование и иногда модификация.
А вот "резиновая" часть про заведомо (не сказано для кого) и несанкционировано (не сказано кем) как раз тут и понадобится - т.к. 1С ну прямо ж запретил эти операции с информационной базой, а мнение владельца компьютера (претендующего на то, чтобы быть обладателем информации на этом компьютере) обвинение скорее всего учитывать не будет.
Собственно, это претензия к самой ст.273 УК, т.к. если бы она применялась не избирательно, как это происходит фактически, то давно уже должна была сидеть половина Лаборатории Касперского, еще часть сотрудников правоохранительных органов, а при достаточно расширительном её толковании - еще и часть сотрудников датацентров и производителей ПО резервного копирования. Но тем не менее...
Добрый день!
Согласен про замечание относительно слабого разбора уголовной ответственности. Этот разбор мы сделали в полном правовом заключении для клиента.
Что стоит отметить в части ст. 273 УК РФ.
Статья 273 УК РФ предусматривает уголовную ответственность за создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
В статье (на Хабре) мы говорим о файле с данными, который создал пользователь; далее он может его выгрузить и открыть с помощью сторонней программы. Например, как файл в формате pdf. Мы же можем его открыть в другой читалке, а не в Adobe reader.
Теперь посмотрим диспозицию статьи УК РФ.
Под компьютерными программами по смыслу данной статьи УК РФ в основном понимаются программы, известные как компьютерные вирусы (черви, троянские кони, кейлоггеры, руткиты и др.).
Объективная сторона преступления включает создание программ, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств ее защиты.
Заведомо означает, что у создателя программы был прямой умысел на создание именно вредоносной программы. Автор программы должен осознавать, что создаваемые или используемые им программы заведомо приведут к указанным в законе общественно опасным последствиям.
В нашем случае мы говорим о простой "читалке", которая не меняет и не модифицирует компьютерную информацию. Которая была создана для удобства и прямого чтения таблиц 1С.
А вот вопрос насколько законно 1С вписали в лицензию ограничение на доступ к таким файлам-таблицам и был предметом нашего исследования.
Под компьютерными программами по смыслу данной статьи УК РФ в основном понимаются программы, известные как компьютерные вирусы (черви, троянские кони, кейлоггеры, руткиты и др.).
Это "комментарии" к УК РФ, которые, как вы прекрасно знаете, не имеют силу нормативного акта ;)
Фактически у нас есть два "резиновых" места:
- заведомо для кого?
- санкционированно кем? (и момент "санкционирования" вы в ответе почему-то упустили, а он куда интереснее "заведомости")
Т.к. у нас есть целая пачка субъектов:
- тот, кто программу написал,
- тот, кто программу распространил,
- тот, кто программу запустил,
- оператор компьютера (пользователя, сидящий за консолью)
- системный администратор (для компьютера, обрабатывающего данные без участия оператора за консолью, например, сервера)
- собственник компьютера
- обладатель информации на этом компьютере
- и, как показывает судебная практика, еще и правообладатель каких-то объектов интеллектуальной собственности, находящихся на компьютере (хотя его субъектность тут весьма сомнительная, но практика есть, хоть и строящаяся на признательных показаниях обвиняемого и не проверявшаяся ВС).
И для каждого из них поведение программы может быть как заведомым, так и утаённым от него. С классическими вирусами всё достаточно просто - их предназначение известно автору, но неизвестно оператору компьютера и далее (если это троянец)
И каждый из них имеет фактическую возможность санкционировать что-то (в случае вируса - оператор и далее по списку обычно /но возможны исключения/ не санкционируют выполняемые им действия, будь то троянец или обычный вирус, вообще ничего ни у кого не спрашиваюший).
Что приводит, в частности, к ситуации, что сотрудник "Лаборатории Касперского", изучая вирус и проводя эксперименты с ним, в частности запуск на исполнение, осуществляет использование программы для ЭВМ, "вредоносный" характер которой ему заведомо известен... Или специалист инфобеза, проводящий тестирование безопасности системы, например, методами пентеста. И потому бОльшая часть ИТР "Лаборатории Касперского", Доктор Веба, инструментов для тестирования безопасности и огранизаций, проводящих пентесты, давно должны сидеть. Но "почему-то" не сидят.
Или, например, программы для очистки диска, удаляющие любую информацию с них. Их поведение заведомо известно для всех от начала списка до оператора компьютера. Но может быть неизвестно для остальной части списка. И запуская программу - оператор санкционирует выполнение ею действий, хотя кто-то из оставшихся в списке может иметь возражения против этого.
Зато есть приговоры в отношении авторов/распространителей всяких "крякеров", которые вообще на ст.273 УК можно натянуть только за счёт распространения авторского права на информацию, что противоречит ФЗ "Об информации, информационных технологиях и о защите информации".
Таким образом, "вредоносность" программы для ЭВМ как её объективное качество - вызывает сомнения. Т.к. в зависимости от цели (и даже способа) применения - даже классический вирус может с практической точки зрения оказаться "полезным" (например, мы тестируем надёжность работы антивируса). Но формальный состав преступления по ст.273 УК не оставляет вариантов, сидеть должны все (а в старой её редакции - так полстраны посадить можно было, т.к. единственным законным способом использования флешки, на которой обнаружился вирус, было уничтожение флешки).
Большое спасибо за комментарии. Они тянут на самостоятельную статью :-)
Всё же мы исходим из того, что:
1С незаконно ограничивает право ипользования пользовательских файлов, т.к. им права на них не принадлежат. Права на них принадлежат пользователям.
ПО Интегратор не является вирусом и не позволяет получить несанкционированный доступ к компьютерной информации. Под несанкционированным доступом мы понимаем доступ к информации, к которой у тебя нет права. В нашем же примере речь идет о возможности открывать и просматривать собственные файлы на своём устройстве. Если у тебя куплена лицензия, то ты вправе также изучать исходный код программы 1С п.2 и п.3. ст. 1280 ГК РФ.
ПО Интегратор не является кряком, то есть не является средством "нейтрализации средств защиты компьютерной информации", что указано в диспозиции ст. 273 УК РФ. С помощью нашей программы нельзя обойти средства защиты 1С, можно только открывать полученные файлы.
А также - само название статьи указывает на то, что она распространяется на вредоносное ПО. И есть Постановление Пленума ВС РФ от 15.12.2022 N 37, которое всё же чуть больше, чем просто "комментарий" :-)
п.8. В статье 273 УК РФ к иной компьютерной информации, заведомо предназначенной для несанкционированных блокирования, модификации, копирования компьютерной информации или нейтрализации средств ее защиты, могут быть отнесены любые сведения, которые, не являясь в совокупности компьютерной программой, позволяют обеспечить достижение целей, перечисленных в части 1 статьи 273 УК РФ, например ключи доступа, позволяющие нейтрализовать защиту компьютерной информации, элементы кодов компьютерных программ, способных скрытно уничтожать и копировать информацию.
Уголовную ответственность по статье 273 УК РФ влекут действия по созданию, распространению или использованию только вредоносных компьютерных программ либо иной компьютерной информации, то есть заведомо для лица, совершающего указанные действия, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
Кстати там же есть комментарий, о создании или использование вирусов в образовательных или тестовых целях:
11. Следует иметь в виду, что не образует состава преступления использование такой программы или информации лицом на принадлежащих ему компьютерных устройствах либо с согласия собственника компьютерного устройства, не преследующее цели неправомерного доступа к охраняемой законом компьютерной информации и не повлекшее несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств ее защиты (например, в образовательных целях либо в ходе тестирования компьютерных систем для проверки уязвимости средств защиты компьютерной информации, к которым у данного лица имеется правомерный доступ), равно как и создание подобных программ для указанных целей.
НО! Конечно же нельзя исключать возможность рандомного и хаотичного правоприменения, как это у нас часто случается)
Всё же мы исходим из того, что:
В гражданско-правовой части к вам претензий нет.
Если у тебя куплена лицензия, то ты вправе также изучать исходный код программы 1С п.2 и п.3. ст. 1280 ГК РФ.
"если иное не предусмотрено договором с правообладателем" и еще рядом ограничений, и еще достаточно расплывчатым п.4.
Но что-то всё-таки можно, да.
ПО Интегратор не является кряком, то есть не является средством "нейтрализации средств защиты компьютерной информации"
Кряк - это не средство нейтрализации СЗИ, а нейтрализации ТСЗАП. Вообще сильно спорно, что он подпадает под действие ст.273 УК, тем более, что там ВС пишет по ст.272 УК во вполне "информационном" плане, как по 149-ФЗ.
А также - само название статьи указывает на то, что она распространяется на вредоносное ПО
Постановление Пленума ВС РФ от 15.12.2022 N 37, которое всё же чуть больше, чем просто "комментарий" :-)
О, нормотворческая функция ВС РФ, которой формально нет, "ибо у нас право не прецедентное" (tm), но зато в ВС спорить с мнением ВС практически бесполезно :)
Проблема как раз в критерии отнесения ПО к вредоносному.
И если про "заведомость" ВС еще как-то высказался, то вот про то, кто ж должен санкционировать операции - умолчал.
Так что хоть и "скорректировал закон" 11-м пунктом постановления (сделав состав преступления "не совсем" формальным), но даже для "разрешенной цели применения" не указал, что ж должен санкционировать-то? А то вот с разрешения собственника компьютера информацию уничтожили, а разрешения у кого-то, у кого там было что-то важное, не спросили - а раз программа такое позволила, то - ну понятно, к чему я веду?
Ведь на практике это нормальное явление, когда одна и та же программа считается "вредной" или "полезной" в зависимости от того, кто и для какой цели ею пользуется, а не как объективное свойство этой программы.
Конечно же нельзя исключать возможность рандомного и хаотичного правоприменения, как это у нас часто случается)
Это да. Вот ВС пишет про "модификация охраняемой законом компьютерной информации производилась с целью нарушения авторских или смежных прав, нарушения неприкосновенности частной жизни" - но чтобы тот же кряк для того, чтобы подвести под ст.273 УК - надо признать "охраняемой законом информацией" код программы, т.е. охраняемой авторским правом информацией, что тот же 149-ФЗ делать не даёт, но фактически такие приговоры имели место.
Вот интересно, как будут теперь использовать это Постановление Пленума для этой же цели - натягивания авторского права на информацию...
А что за термин такой весьма необычный используется в статье "файл-таблица"? Не могли бы вы дать его определение? Потому что из вашего описания это не совсем файл и не совсем таблица. Я сначала подумал, что это файл с сохранённым табличным документом (mxl), но судя по всему речь о "прямом" доступе именно к таблицам (и другой информации) на сервере БД.
Прочитал статью еще раз и хочу отметить несколько моментов.
Сходу: прям некрасиво цитировать законы или договоры, опуская главную часть. У вас в начале статьи цитата (сильно ниже есть полный текст, но вначале вырвано из контекста):
Пользователь обязуется не осуществлять доступ к информационной базе ПРОГРАММНОГО ПРОДУКТА
Лицензиат обязуется не допускать нарушений исключительных прав Правообладателя на ПРОГРАММНЫЙ ПРОДУКТ, в частности, не совершать и не допускать совершения третьими лицами следующих действий без специального письменного разрешения Правообладателя:
...<несколько других пунктов>...
-- осуществлять доступ к информационной базе ПРОГРАММНОГО ПРОДУКТА и построение систем на основе ПРОГРАММНОГО ПРОДУКТА с помощью средств и технологических решений, не предусмотренных в сопроводительной документации;
Весь этот пункт этот скорее про защиту от реверс-инжиниринга и от кривых лап "лицензиатов". И, хотя мне совсем не нравится подход 1С в этой части, но он хотя бы понятно и подробно сформулирован в ЛС.
Дальше у вас:
Сам по себе файл до введения содержания пользователем представляет собой набор сотен таблиц, в которых находятся метаданные (это данные описывающие другие данные). Эти данные не являются результатом творческого труда; метаданные задаются автоматически с помощью сторонней СУБД и языка программирования. Это позволяет сделать вывод о том, что первоначальный пустой файл не относится к перечню РИД.
Тут сразу 3 момента:
"Сам по себе файл до введения содержания пользователем" - тут вы ссылаетесь на новую сущность "файл". Который на самом деле не файл, а БД и есть там файлы или нет, а если есть, то сколько - только СУБД знает.
"представляет собой набор сотен таблиц, в которых находятся метаданные" - метаданные там примерно в одной таблице. Всё остальное в этот момент - пустые или не очень пустые таблицы.
"Эти данные не являются результатом творческого труда; метаданные задаются автоматически с помощью сторонней СУБД и языка программирования." - Хм... так файлы dll и exe тоже не являются результатом интеллектуальной деятельности, потому что их создаёт компилятор и язык программирования? Интересная новация, но не уверен что её поддержат.
Хм... так файлы dll и exe
Согласно законодательству являются другой формой представления программы, которая в свою очередь является результатом интеллектуальной деятельности.
Согласно законодательству являются другой формой представления программы, которая в свою очередь является результатом интеллектуальной деятельности.
осталось только завершить мысль - файлы dll защищаются авторским правом именно потому, что защищаются авторским правом их сорсы, являющиеся результатом интеллектуальной деятельности.
Совершенно верно)
У вас очень много вопросов в одном комментарии, позволите, я разберу их по отдельности.
1. "Сам по себе файл до введения содержания пользователем" - тут вы ссылаетесь на новую сущность "файл". Который на самом деле не файл, а БД и есть там файлы или нет, а если есть, то сколько - только СУБД знает.
2. "представляет собой набор сотен таблиц, в которых находятся метаданные" - метаданные там примерно в одной таблице. Всё остальное в этот момент - пустые или не очень пустые таблицы.
3. "Эти данные не являются результатом творческого труда; метаданные задаются автоматически с помощью сторонней СУБД и языка программирования." - Хм... так файлы dll и exe тоже не являются результатом интеллектуальной деятельности, потому что их создаёт компилятор и язык программирования? Интересная новация, но не уверен что её поддержат.
1. Очень сложно оперировать терминологией, т.к. у нас здесь происходит смешение технических и юридических терминов.
С т.з. ГК база данных - "совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ)" (п.2 ст. 1260 ГК РФ).
Соответственно, БД, в которых не содержатся данные пользователя, - не могут являться базой данных. Так как в них нет "материалов" (данных), а есть только систематизация. Нам просто не пришло в голову ничего лучше, чем назвать это файлом :-)
3. Вы привели хороший пример с компилятором. Исключительные права принадлежат автору, творческим трудом которого создано произведение (программа для ЭВМ). А компилятор является всего-лишь инструментом, средством преобразования человекочитаемого кода в машинный код. Если бы мы считали иначе, то тогда можно говорить и о том, что книга напечатанная в ворде не охраняется авторским правом. Но это не так.
Если распространить аналогию с компилятором на наш пример, то в данном случае в роли "компилятора" выступает ПП 1С. В котором ПП 1С преобразует понятные человеку данные в машиночитаемые данные (файлы-таблицы). Но при этом они это делают не самостоятельно, а с помощью сторонних СУБД и языка программирования СУБД -SQL. И они почему-то решили, что им принадлежат все исключительные права на все файлы и программы, созданные с помощью их "компилятора".
Что противоречит логике и здравому смыслу.
Мы хотели сказать, что авторское право на создаваемые файлы может возникнуть только, когда сам пользователь начнет их заполнять и настраивать, то есть вносить свой творческий вклад. И хотели подчеркнуть, что 1С не принадлежат права ни на сами исходные данные (они принадлежат пользователю-автору), ни на СУБД с которыми работает ПП 1С и для которых ПП 1С преобразует пользовательские данные в файлы-таблицы.
Дело не в авторском праве на создаваемые пользоватлем таблицы. Есть программный комплекс 1С — бинарники, DLL ки платформы, аналогично для SQL и база данных SQL.
База данных не является выходным результатом работы системы 1С, им являются печатные формы, которые создаются — MXL, PDF и тд.
Таким образом, запрет на копание в БД это просто переформулированный запрет на реверс инжиниринг, переписанный для конкретного случая.
А можно ли запретить реверс инжиниринг? Кажется, что нет :-)
Ст. 1280 ГК РФ
2. Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения изучать, исследовать или испытывать функционирование такой программы в целях определения идей и принципов, лежащих в основе любого элемента программы для ЭВМ, путем осуществления действий, предусмотренных подпунктом 1 пункта 1 настоящей статьи.
3. Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения воспроизвести и преобразовать объектный код в исходный текст (декомпилировать программу для ЭВМ) или поручить иным лицам осуществить эти действия, если они необходимы для достижения способности к взаимодействию независимо разработанной этим лицом программы для ЭВМ с другими программами, которые могут взаимодействовать с декомпилируемой программой, при соблюдении следующих условий:
1) информация, необходимая для достижения способности к взаимодействию, ранее не была доступна этому лицу из других источников;
2) указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию;
3) информация, полученная в результате декомпилирования, может использоваться лишь для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, не может передаваться иным лицам, за исключением случаев, когда это необходимо для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, а также не может использоваться для разработки программы для ЭВМ, по своему виду существенно схожей с декомпилируемой программой для ЭВМ, или для осуществления другого действия, нарушающего исключительное право на программу для ЭВМ.
путем осуществления действий, предусмотренных подпунктом 1 пункта 1 настоящей статьи.
Финал подпункта 1: "если иное не предусмотрено договором с правообладателем;" так что 2 вычеркиваем
П.3 нас в рамках статьи не интересует, так как залезть посмотреть, "а что там внутри" для написания ПО Интегратор — можно. А лазить регулярно в качестве осуществления функций этого ПО — нельзя. (ну и плюс вся информация доступна на ИТС, то есть согласно подпункту 1 пункта 3 мы его тоже вычеркиваем)
1) Устанавливаем SQL и пишем скрипт для создания базы, установки прав.
В результате этих действия появляется файл базы данных (таблица) права на которую принадлежат вовсе не 1С, которую мы еще на даже не установили.
2) Устанавливаем 1С и разрешаем ей пользоваться этой базой данных, записывать в этот файл свою информацию.
В результате чего 1С становиться исключительным правообладателем этой базы, так?
Следует заметить, что исходный код конфигурации на прикладном языке 1С также хранится в таблицах базы данных. А это собственно и есть объект интеллектуальной собственности.
Почему 1С запрещает использовать файлы, которые вы создаете?