Как стать автором
Обновить

Легализация совы

Информационная безопасность *Законодательство в IT

15 декабря Верховный суд выпустил постановление Пленума «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть „Интернет“». (Пока оно не опубликовано, поэтому ссылка ведет на неофициальную публикацию). Такие постановления с обобщением судебной практики по самым разным вопросам выпускаются регулярно. Предназначены они для игнорирования нижестоящими судами.

Вернее, нет, не так. Игнорируются в таких документах, в основном, те положения, которые могут как-то облегчить ответственность или вообще исключить ее. Все то, что позволяет еще глубже запинать обвиняемого под тюремную шконку — используется охотно и с удовольствием, во славу знаменитого «обвинительного уклона».

Именно поэтому я думаю, что в среде наших правоохранителей этот документ, к сожалению, станет очень популярным. Поговорим о том, почему это произойдет…

«Легализация» как она есть

В отличие от языков программирования обычный русский допускает разночтения и толкования. Поэтому, когда наши «правоприменители» берут закон и начинают им руководствоваться, вовсе не факт, что они прочитают в нем то же самое, что написал законодатель. Скорее всего, не прочитают: начнут «толковать» и родят кучу интерпретаций, умолчаний, натяжек, а часто и прямых подтасовок, — словом, всего того, что принято обозначать в обиходе выражением «натянуть сову на глобус».

Законы о всяких сложных материях типа информации или авторских прав низовому звену нашей полиции вообще не стоило показывать, мне кажется: оно склонно использовать их в качестве микроскопа, при забивании гвоздей. А когда за эти сложные материи начинают сажать в тюрьму — тут наступает вообще полный швах.

…И вот, когда в процессе забивания уже наворочены горы всякого и стаи сов основательно заняли свои глобусы, появляется очередная светлая голова с идеей «легализовать сложившуюся правоприменительную практику». То есть, не привести практику в соответствие с законом, а наоборот, «вписать» ее в закон. При этом вопрос о том, что делать со всем тем, что «практики» уже наворотили, светлая голова, как правило, обходит молчанием…

Пленум в своем постановлении про «легализацию» не упоминает, но вовсю это стремление демонстрирует. Потому что основным творческим методом при его написании стало непротивление: авторы упоминают об очередном закидоне из «сложившейся практики» и… даже не подтверждают его правильность, а просто делают вид, будто так и надо.

«Легализации» в свое время подвергалась и «компьютерная» статья 273 УК. Изначально ответственность в ней предусматривалась только за создание и использование «вредоносных компьютерных программ». Но применялась она не против «вирмейкеров», а в основном для борьбы с пользователями «пиратских» программ, применявшими «кряки», чтобы эти программы покрякать. «Кряки» объявлялись «вредоносными», действия «пиратов» квалифицировались по статье 273.

Наряду с «кряками» для регистрации «пиратки» использовались и обычные «ключи», которые к «программам» не относились, а так хотелось... Некоторые горячие головы так и вменяли, приравнивая текстовые файлы с «кряками» к «программам». Хотя применение УК по аналогии, вообще-то, прямо запрещено самим УК (частью 2 статьи 3).

Не могу сказать, насколько на решение внести изменения повлияла такая практика, а насколько — лоббирование «правообладателей», но в 2011 году в статью 273 была добавлена «вредоносная информация». Сам законопроект, по словам его создателей, был направлен на «гуманизацию уголовного законодательства», а про «компьютерные» статьи в пояснительной записке говорилось следующее:

«Ответственность за так называемые компьютерные преступления была установлена в Уголовном кодексе Российской Федерации в 1997 году. С тех пор в этой сфере произошли столь существенные изменения, что их необходимо отразить в главе 28 Уголовного кодекса Российской Федерации.»

Что ж, «гуманизировать» УК можно и расширяя сферу его действия, будем знать…
В результате в статье появилась безграмотная формулировка об использовании «программ либо иной компьютерной информации». Безграмотная она потому, что к «информации» закон «Об информации…» относит лишь «данные»:

«1) информация — сведения (сообщения, данные) независимо от формы их представления;
2) информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;»

…программы, как мы видим из определений, являются частью «информационных технологий».

(Именно поэтому авторы постановления Пленума в четвертом пункте сделали самое плохое, что только можно было сделать: взяли определение «программы» из четвертой части Гражданского кодекса. Оно включает в себя не только «команды», но и «данные», то есть, вообще «не бьется» с определением из закона «Об информации…», которое является базовым для статей УК о «компьютерных» преступлениях).

Но есть у появления «вредоносной информации» и еще одно отдаленное последствие, которого авторы поправок не предполагали. Оно отражено в 8-м пункте постановления Пленума, в котором, кроме «ключей доступа», ради которых это все и затевалось, к «вредоносной информации» причисляются еще и «элементы кодов компьютерных программ, способных скрытно уничтожать и копировать информацию». И продолжение в 10-м пункте: как оконченное преступление, а не покушение, предлагается рассматривать «создание части (фрагмента) кода вредоносной компьютерной программы, позволяющего осуществить неправомерный доступ к компьютерной информации».

Разница между оконченным преступлением и покушением — в ответственности, за покушение она, разумеется, меньше. Авторы поправок возможность такой подмены не предвидели. Просто так получилось…

Пережитки прошлого — в будущее!

Теперь, когда вы примерно представляете, как работает «легализация», перейдем к 5-му пункту постановления:

«5. Применительно к статье 272 УК РФ неправомерным доступом к компьютерной информации является получение или использование такой информации без согласия обладателя информации лицом, не наделенным необходимыми для этого полномочиями…»

Смущает меня в нем то, что авторы делают вид, будто «доступ к информации» — это ее «получение или использование». Давайте посмотрим, что под «доступом» понимает закон «Об информации…»:

«6) доступ к информации — возможность получения информации и ее использования;»

Предположу, что такое толкование «доступа» — это пережиток прошлого. Сейчас основным «информационным» законом является «Об информации, информационных технологиях и о защите информации», но до него действовал другой закон, «Об информации, информатизации и защите информации». В юридическом обиходе их называют «треглавыми законами», «новым» и «старым».
В «старом треглавом» определения понятия «доступа» не содержалось, оно было дано в Руководящем документе «Защита от несанкционированного доступа к информации. Термины и определения»:

«1. Доступ к информации (Доступ) Access to information — Ознакомление с информацией, ее обработка, в частности, копирование модификация или уничтожение информации»

Этот документ не отменен, но определение «доступа» применять нужно из «нового треглавого»: он выше по юридической силе и принят позже. Авторы постановления этого почему-то не делают.

И это — не просто оторванная от жизни казуистика. Когда мы подменяем «возможность использования» на «использование», сфера применения статей УК о «неправомерном доступе» (кроме 272-й это еще и часть 2 ст. 274.1) значительно расширяется.

Самая частая область применения такого расширенного толкования — ситуация, когда пользователь законно получает возможность работы с какой-то информацией, но потом начинает плохо себя вести и приторговывать, к примеру, ею налево. Если брать определение из «треглавого закона», то выходит, что «доступ» получен правомерно, а неправомерным было «использование» информации. Но, если «доступ» толковать по-старому, включая в него «использование», то возникает возможность вменить фигуранту еще одну статью УК, уже лишнюю…

В общем, тут происходит стандартная история: формируется практика применения закона, потом закон меняется, а практика — остается. А потом приходит Верховный суд и прибивает ее гвоздями…

«Собственник» чего?

Но пятый пункт мог быть гораздо хуже, неизвестные рецензенты проекта уберегли нас от самого плохого: упоминания в нем «собственника или владельца информации». Информация никогда не была объектом права собственности, которое распространяется только на имущество. Это повсеместно употребляемое, но, тем не менее, совершенно безграмотное выражение никак не ожидаешь встретить в документе, исходящем от Верховного суда, но вот поди ж ты…

Позволю себе предположить, откуда вообще взялся этот «собственник» — оттуда же, откуда и расширенный «доступ». В «старом треглавом» были понятия «собственника…» и «владельца информационных ресурсов, информационных систем, технологий и средств их обеспечения». Но был нюанс: «информационные ресурсы» и «системы» включали в себя «документы», под которыми закон понимал информацию на материальном носителе, и собственником которых быть вполне можно.

Наши «практики» сначала заменили «ресурсы» и «системы» на просто «информацию», а затем продолжили пользоваться этой конструкцией после того, как «старый треглавый» сменили на новый.

Заслуживает внимания и та настойчивость, с которой «собственника» тащили в текст: если посмотреть первый вариант постановления, то можно заметить, что «обладатель информации» в тексте не упоминается, только «собственник или владелец». Очевидно, авторы получили предложение все-таки его туда вписать, чтобы привести «толкование закона» в соответствие с законом. Но «собственника» оставить очень хотелось — и во второй версии родилась формулировка «собственника или иного ее законного владельца (обладателя информации)».

Тогда как определение из «треглавого», вообще-то, выглядит так:

«5) обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;»

Такая настойчивость станет понятной, если знать, что «собственник» этот — не просто фигура речи. На этой мифической фигуре держится вся практика привлечения к ответственности по «компьютерным» статьям УК в случаях, когда изменению подвергается информация в собственном устройстве «хакера» или устройстве, переданном ему для изменений (например, для установки программ или перепрошивки при «проверочной закупке»). Это — подавляющее большинство приговоров по этим статьям.

Практики наши считают, что «собственником информации» в таких случаях является тот, от кого она исходит изначально, например, правообладатель программы или производитель устройства, если речь идет о перепрошивке. Любые действия, которые прямо не предусмотрены «собственником», объявляются «неправомерным доступом» и караются по УК. Не имеет значения, был ли явно сформулирован запрет на эти действия, или он подразумевается «практиками».

Между тем, закон смотрит на такую ситуацию иначе. Среди основных понятий «треглавого» есть и «оператор ИС»:

«12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных;»

«По умолчанию» (ч. 2 ст. 13) таким «оператором» признается «собственник технических средств», то есть, «железа», на котором работает эта система. А, поскольку «эксплуатация» включает в себя в том числе и разграничение доступа, «оператор» одновременно является обладателем той копии информации, которая содержится в его устройстве, поскольку имеет «право разрешать или ограничивать доступ» к ней.
То есть, изменение этой информации собственником устройства или по его просьбе будет правомерным и не может содержать состава «компьютерного» преступления. (А вот авторские права так нарушить можно).

К сожалению, после того как усилиями наших законотворцев «треглавый» из «концептуального» закона об общих принципах работы с информацией превратился в сборник оснований для блокировки сайтов, читать его почему-то перестали. Обидно...

Впрочем, думаю, что «собственника» и соответствующий подход по определению правомерности действий с информацией в приговорах по «компьютерным» статьям мы будем видеть еще очень долго. Не вижу, почему ситуация должна поменяться: постановление Пленума этому точно не поспособствует.

Распространение предоставления

Пункт 11 начинается вот с такого разъяснения:

«11. Распространение вредоносных компьютерных программ или иной вредоносной компьютерной информации заключается в предоставлении доступа к ним конкретным лицам или неопределенному кругу лиц любым способом, включая продажу, рассылку, передачу копии на электронном носителе либо с использованием сети “Интернет“, размещение на серверах, предназначенных для удаленного обмена файлами».

Давайте посмотрим на определение «распространения» и «предоставления» все в том же «треглавом»:

«8) предоставление информации — действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
9) распространение информации — действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;»

Как мы видим, разница принципиальная: «определенный» круг лиц получает информацию или «неопределенный». То есть, авторы постановления в пункте 11 делают утверждение уровня «белое это черное»…
Аналогичную трактовку «распространения» мы видим в 22-м пункте постановления, повествующем о распространении порнографии. Да и во многих других статьях УК предусмотрена ответственность за распространение информации. Включение туда еще и «предоставления» повлечет за собой привлечение к ответственности довольно большого числа людей, в действиях которых нет состава преступления. Но кого это волнует, когда нужно «легализовать практику»?
Кстати, с определением «распространения» связан еще один важный момент. Уже стало общепринятым мнение о том, что «распространение информации» — это длящийся процесс, который завершается только после того, как информация удалена, и именно с этого момента начинает течь срок давности.
Но посмотрите на приведенное выше определение. «Распространение», в соответствии с ним — это только и исключительно «действия». Состояние «доступности информации», которое после этих действий наступает, в состав «распространения» не включено и вообще никак на него не влияет. То есть, никакое оно не «длящееся», оно завершается с завершением действий и тогда же начинают течь сроки давности. Но об этом авторы постановления, разумеется, не пишут…
Есть у такой трактовки «распространения» и еще одно важное следствие: оно закончено даже в том случае, если передаваемую информацию не получил вообще никто — достаточно завершения самих «действий». Впрочем, именно это следствие нашим следствием как раз на практике и применяется, по понятным причинам…

Публичная демонстрация экрана

Но более интересно в упомянутом 22-м пункте то, как авторами постановления трактуется понятие «публичных действий»:

«Публичная демонстрация с использованием электронных или информационно-телекоммуникационных сетей, включая сеть «Интернет», заключается в открытом показе порнографических материалов либо в предоставлении неограниченному числу лиц возможности просмотра таких материалов, однако без возможности самостоятельного их использования (путем сохранения на своем компьютерном устройстве, размещения на интернет-страницах от своего имени и т.п.). Как публичная демонстрация подлежат квалификации действия, совершенные в прямом эфире (в частности, на сайтах, позволяющих пользователям производить потоковое вещание, – стриминговых сервисах), а также состоящие в размещении запрещенной законом информации (материалов, сведений) на личных страницах и на страницах групп пользователей (в социальных сетях или на интернет-страницах)».

Привлечение «за интернет» к ответственности по статьям, предполагающим «публичное совершение» чего-то, распространилось настолько, что никто уже не задумывается о том, что это — тоже натяжка. Изначально под «публичными» понимались действия, совершенные в «общественном месте» в присутствии неопределенного круга лиц, то есть — в «реальной жизни».

В первоначальной редакции Уголовного кодекса использовалась стандартная формулировка «в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации». Интернет тогда для совершения преступлений не очень-то применялся, а с началом применения делались попытки приравнять его к «средству массовой информации» (как вы увидите ниже, попытки оказались успешными).

Полезно посмотреть, как «публичность» трактуется в других законах, не подвергавшихся «легализации». Например, понятие «публичного мероприятия» является краеугольным в законе «О собраниях, митингах, демонстрациях, шествиях и пикетированиях». Все «мероприятия» в нем определены или через «место» проведения, или «маршрут» или «объект», возле которого они происходят. Распространение информации о мероприятии в интернете законом рассматривается как форма его организации. (Да-да, именно поэтому наши суды пачками выписывают статью 20.2 КоАП всем, кто отрепостил хоть что-то, касающееся несанкционированных митингов).

Отделена «публичность» от всего остального и в четвертой части Гражданского кодекса, которая про авторские права. В ее 1270-й статье описываются способы использования охраняемого произведения. «Публичное исполнение» и «публичный показ» в явном виде отделены от «сообщения в эфир» или «по кабелю», «распространения» экземпляров и, самое главное, от «доведения до всеобщего сведения», под которым и понимается публикация в интернете.

Есть даже отдельное разъяснение (п. 100), в котором говорится, что интернет к «местам, открытым для свободного посещения» не относится. Дано оно было после того, как отдельные сильно умные нарушители копирайта начали заявлять в судах, что все, выложенное в интернете, находится «в месте, открытом для свободного посещения» и поэтому может свободно использоваться. Отмазка не прокатила…

Но это ГК с его Священными Авторскими Правами, где требуется точность и доскональность, чтобы не нарушить чего, не дай бог. А в уголовке, где людишек в тюрьму сажают, ничего подобного, разумеется, не нужно. И так сойдет.

«Легализация» публичности

Вместо того, чтобы нормально урегулировать этот вопрос в УК, все было пущено на самотек, так что сейчас мы имеем несколько формулировок «про Интернет», добавленных в разное время и разными группами законотворцев. Причем при добавлении все они, не сговариваясь, просто опустили самый важный признак преступления, совершенного «через Интернет», ту самую доступность информации неопределенному кругу лиц. Через интернет ведь можно и приватное общение вести.

Вы, может быть, думаете, что «в Интернет» будет толковаться именно так, как задумывалось, то есть, как открытая публикация? Не-а, вот и Верховный суд в нашем постановлении (п. 20) толкует буквально:

«По указанному признаку квалифицируется и совершенное в соучастии преступление, если связь между соучастниками в ходе подготовки и совершения преступления обеспечивалась с использованием электронных или информационно-телекоммуникационных сетей, включая сеть «Интернет» (например, при незаконном сбыте наркотических средств обеспечивалась связь между лицом, осуществляющим закладку наркотических средств в тайники, и лицом, передавшим ему в этих целях наркотические средства)».

Разговариваете о наркотиках не по телефону, а по «Телеграму»? Дополнительный квалифицирующий признак, другая часть статьи, больше ответственность.

Наши улучшаторы УК умудрились воткнуть признак «с использованием средств массовой информации либо информационно-телекоммуникационных сетей, в том числе сети “Интернет“» даже в статью 133, которая карает за «понуждение к действиям сексуального характера». Попытайтесь представить, как это преступление можно совершить при помощи «средства массовой информации», способ напишите пожалуйста в комментарии. (Гусары, не молчать! Мне и самому это очень интересно)…

Но этим наш зоопарк не ограничился. В ходе бессистемных доработок УК каждые легализаторы тянули сову на свой собственный глобус и в результате наприравнивали Интернет к чему попало:

  1. «в публичном выступлении, публично демонстрирующемся произведении, средствах массовой информации либо совершенная публично с использованием информационно-телекоммуникационных сетей, включая сеть "Интернет"» (ст. 128.1) — надстройка над исходной формулировкой УК;

  2. «через средства массовой информации, в том числе электронные, информационно-телекоммуникационные сети (включая сеть "Интернет")» (ст. 185.3) — а тут «сети» приравнены уже к «средствам массовой информации»;

  3. «с публичной демонстрацией, в том числе в средствах массовой информации или информационно-телекоммуникационных сетях (включая сеть "Интернет")» (ст. 245, 282) — тут авторы вообще смешали все в кучу и «доработали» исходную формулировку УК, которая «публичную демонстрацию» и «СМИ» все-таки различала.

Вот видите, как богат на натяжки наш УК, всегда есть из чего выбрать. А еще у таких натяжек есть одно неожиданное следствие: когда вы вот так жестоко с совой поступили, открывается простор для дальнейших толкований. Потому что никто не знает, что такое «публичные действия в интернете», если вы их выдумали.

Результат такой «ползучей публичности» мы можем видеть, к примеру, в статье «Вопросы правоприменительной практики при квалификации деяний подпадающих под ст. 280.3 УК РФ “Публичные действия, направленные на дискредитацию использования вооруженных сил Российской Федерации“»:

«Также необходимо заострить внимание на публичности действий правонарушителя. Таковыми признаются любые акции, адресованные к двум и более лицам, либо к неограниченному кругу лиц. Помимо этого необходимо обеспечение свободной доступности к ним.»

Специально взял примером новомодную статью про «дискредитацию», чтобы отразить свежее состояние правоприменительной мысли. Как мы видим, нюансов никто уже и не различает, ставя в один ряд «двух и более» и «неограниченный круг» лиц.

От двух преподавателей «институтов МВД» ждать какого-то либерализма в трактовках не стоит, но это — не крайность, такая точка зрения ближе к «мейнстриму». На практике встречается даже творческое ее развитие: например, уголовное дело Сергея Клокова, которому новомодную статью о «дискредитации» вменили за три телефонных разговора. Каждый из которых, разумеется, происходил с одним-единственным собеседником. То есть, следствие рассматривало все эти разговоры в совокупности как «публичное распространение информации»: а что, «два и более» лица же есть…

С такой «практикой» наша индустрия «посадок за слова» приблизилась уже к советскому ее состоянию, когда для «распространения измышлений, порочащих советский государственный строй» никакой «публичности» не требовалось вообще и сесть можно было за разговор на кухне.

А вот по знаменитому делу о запрете Facebook и Instagram суд отказался запрещать заодно и WhatsApp, «ввиду отсутствия функций по публичному распространению информации». Хотя «группы» в нем вполне можно создавать.

Хотел бы предостеречь тех, кто ищет во всем этом какую-то логику: не надо. Тем и плох произвол, что непредсказуем: ориентироваться на него нельзя. И упорядочить его Верховный суд, к сожалению, не хочет.

Теги:
Хабы:
Всего голосов 52: ↑51 и ↓1 +50
Просмотры 7.7K
Комментарии 31
Комментарии Комментарии 31

Публикации