Статья 274 УК РФ: Субъект ответственности
Приведенная публикация подготовлена с учетом тенденций правового толкования норм российского законодательства, базируется на сложившейся правоприменительной, а также личной практике адвоката Павла Домкина. Публикация не является руководством для самостоятельных процессуальных решений, перед принятием любых юридически значимых действий, рекомендуется получить соответствующую правовую консультацию у практикующих специалистов.
- с нарушением правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации или правил эксплуатации информационно-телекоммуникационных сетей и оконечного оборудования;
- с нарушением правил доступа к информационно-телекоммуникационным сетям
если подобные действия повлекли за собой уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.
Соответственно, к уголовной ответственности по статье 274 УК РФ может быть привлечен субъект, на которого в силу его служебного, должностного или иного положения распространяется действие «Правил эксплуатации» или «Правил «доступа» к информационно-телекоммуникационным сетям и оборудованию. Нарушениями правил эксплуатации могут признаваться: несанкционированная установка стороннего программного обеспечения, использование нелицензионного программного обеспечения, сознательное изменение параметров настройки защиты информационных ресурсов, допуск к компьютерной технике посторонних лиц, подключение к сети Интернет (при наличии соответствующего ограничения), передача персональных данных для доступа к защищенным информационным ресурсам третьим лицам и т.д.
В том случае, если субъект осуществляет доступ к коммуникационным сетям или охраняемой законом компьютерной информации, не являясь вышеуказанным уполномоченным лицом, его действия считаются неправомерными, поскольку совершаются в обход, а не с нарушением установленного порядка эксплуатации или доступа. Подобные противоправные действия могут быть квалифицированы по статье 272 УК РФ.
Фундаментальное отличие статьи 274 УК РФ от иных составов «компьютерных преступлений» состоит в том, что она устанавливает возможность привлечения к уголовной ответственность так называемых легитимных пользователей компьютерной информации, если они идут на сознательное нарушение правил обращения с охраняемой законом информацией и, если это влечет за собой причинение крупного ущерба или тяжких последствий. Тем самым, уголовный закон дисциплинирует ответственных лиц к соблюдению сохранности значимой компьютерной информации, доступ к которой особо оговаривается действующими ограничениями.
Вопрос о том, подлежит ли конкретное лицо ответственности по статье 274 УК РФ, устанавливается правоохранительными органами с учетом оценки следующих обстоятельств:
- существуют (наличествуют) ли в рассматриваемой ситуации правила обращения и работы с компьютерной информацией, правила эксплуатации её носителей или коммуникационных сетей и т.п., которые должны быть закреплены в положении закона, подзаконного акта, локального акта, инструкции, правилах, приказе и т.п.;
- затрагивают ли данные правила вопрос обеспечения сохранности охраняемой законом компьютерной информации и определяют ли они круг лиц, на которые правила распространяются, а также установлены ли данные правила уполномоченным лицом;
- имеется ли у конкретного (потенциально виновного) лица надлежаще оформленный доступ к компьютерной информации, коммуникационным сетям и оконечному оборудованию.
Фактическое отсутствие хотя бы одного из перечисленных обстоятельств означает, что лицо не может считаться субъектом преступления по статье 274 УК РФ.
Например, если сотрудник организации, фактически допущенный руководителем к информационным ресурсам для выполнения своих трудовых обязанностей, допустил нарушение порядка обеспечения сохранности информации, но при этом не был ознакомлен с существующим порядком эксплуатации информационных сетей, и как следствие не мог осознавать, что совершенные им действия противоречат существующим правилам эксплуатации (доступа), либо доступ сотрудником осуществлялся при полном отсутствии регламентирующих документов, он не может расцениваться как лицо, совершившее преступление по статье 274 УК РФ. Меры ответственности, в том числе уголовной, могут быть применены к руководителю организации (генеральному директору, директору и т.д.), если он в силу требований закона был обязан установить порядок, обеспечивающий сохранности информации, но не сделал этого, или не контролировал порядок соблюдения установленных ограничений.
Неверным является расхожее мнение, что субъектом ответственности по статье 274 УК РФ может быть только специально уполномоченное лицо, которое уполномочено в силу своего должностного положения обеспечивать сохранность компьютерной информации, например, системный администратор, инженер по информационной безопасности и т.д. В ситуации, когда организация применяла в своей деятельности несертифицированное оборудование или нелицензионное программное обеспечение, постановка вопроса о привлечения к уголовной ответственности технического специалиста выглядит некорректно. У специалиста, как правило, отсутствует возможность закупки программного обеспечения и оборудования за счет средств и в интересах организации. В данном случае орган следствия обязан установить, кто именно допустил «должностную пассивность», не обеспечив сохранность компьютерной информации по причине отсутствия средств технической защиты, что повлекло за собой перечисленные в статье 274 УК РФ материальные последствия.
Резюмируя изложенное, следует еще раз отметить, что установление субъекта ответственности по статье 274 УК РФ не должно ограничиваться наличием формальных полномочий на доступ к информационным ресурсам. В каждом уголовном деле подлежат обязательному исследованию фактические обстоятельства, свидетельствующие об обязанности и объективной возможности у конкретного лица соблюдать правила безопасного использования компьютерной информацией и коммуникационных сетей.
Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
В ч. 1 ст. 274 УК РФ предусмотрена ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, а в ч. 2 указанной статьи – за те же деяния, если это повлекло тяжкие последствия или создало угрозу их наступления. (подробнее читайте о статье 273 УК РФ и статье Компьютерные преступления).
Данная норма является бланкетной и отсылает к конкретным инструкциям и правилам, устанавливающим порядок работы со средствами хранения, обработки или передачи охраняемой компьютерной информации, информационно-телекоммуникационными сетями и оконечным оборудованием в ведомстве или организации. Эти правила должны устанавливаться правомочным лицом. Общих правил эксплуатации, распространяющихся на неограниченный круг пользователей глобальной сети Интернет, не существует.
Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи (примечание к ст. 272 УК РФ). Оконечным в системах связи называется оборудование, преобразующее пользовательскую информацию в данные для передачи по линии связи и осуществляющее обратное преобразование.
Информационно-телекоммуникационная сеть — это технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием вычислительной техники. К линиям связи относятся линии передачи, физические цепи и линейно-кабельные сооружения связи. При этом линии связи используются с применением вычислительной техники, то есть компьютерной техники. На территории РФ использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства РФ в области связи, Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и иных нормативных правовых актов РФ.
Состав преступления, предусмотренного ст. 274 УК РФ, имеет следующие особенности:
1) субъект преступления — специальный (лицо, достигшее возраста 16 лет, имеющее доступ к компьютерным системам или их сетям).
2) объективная сторона преступления состоит в нарушении правил хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, если такое нарушение повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.
Правила доступа и эксплуатации, относящиеся к обработке информации, содержатся в различных положениях, инструкциях, уставах, приказах, ГОСТах, проектной документации на соответствующую автоматизированную информационную систему, договорах, соглашениях и иных официальных документах.
Состав преступления является материальным, т.е. для привлечения лица к ответственности требуется наступление последствий (уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб). В Методических рекомендациях по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации, утвержденных Генеральной прокуратурой Российской Федерации разъясняется, что следует понимать под уничтожением, блокированием, копированием информации.
Уничтожением информации является приведение информации или ее части в непригодное для использования состояние независимо от возможности ее восстановления. Уничтожением информации не является переименование файла, где она содержится, а также само по себе автоматическое «вытеснение» старых версий файлов последними по времени.
Блокирование информации является результатом воздействия на компьютерную информацию или технику, последствием которого является невозможность в течение некоторого времени или постоянно осуществлять требуемые операции над компьютерной информацией полностью или в требуемом режиме, то есть совершение действий, приводящих к ограничению или закрытию доступа к компьютерному оборудованию и находящимся на нем ресурсам, целенаправленное затруднение доступа законных пользователей к компьютерной информации, не связанное с ее уничтожением.
Модификацией информации является внесение изменений в компьютерную информацию (или ее параметры). Законом установлены случаи легальной модификации программ (баз данных) лицами, правомерно владеющими этой информацией, а именно: модификация в виде исправления явных ошибок; модификация в виде внесения изменений в программы, базы данных для их функционирования на технических средствах пользователя; модификация в виде частной декомпиляции программы для достижения способности к взаимодействию с другими программами.
Копированием информации является создание копии имеющейся информации на другом носителе, то есть перенос информации на обособленный носитель при сохранении неизменной первоначальной информации, воспроизведение информации в любой материальной форме — от руки, фотографированием текста с экрана дисплея, а также считывания информации путем любого перехвата информации и т.п.
Крупным ущербом, о которых говорится в ч. 1 ст. 274 УК РФ, в соответствии с примечанием к статье 272 УК РФ является ущерб, сумма которого превышает один миллион рублей. В ч. 2 ст. 274 УК РФ предусмотрен квалифицирующий признак рассматриваемого состава преступления — наступление тяжких последствий или создание угрозы их наступления. Следует учитывать, что в случае наступления тяжких последствий данный квалифицированный состав преступления является материальным, то есть деяние окончено с момента наступления общественно опасных последствий, а если создана угроза их наступления, то состав является усеченным.
При этом тяжесть последствий должна определяться с учетом всей совокупности обстоятельств дела (причинение особо крупного материального ущерба, серьезное нарушение деятельности предприятий и организаций, наступление аварий и катастроф, причинение тяжкого и средней тяжести вреда здоровью людей или смерти, уничтожение, блокирование, модификация или копирование привилегированной информации особой ценности, реальность созданной угрозы и др.).
3) субъективная сторона состава данного преступления характеризуется двумя формами вины.
Нарушение правил эксплуатации и доступа, предусмотренное ч. 1 ст. 274 УК РФ, может совершаться как умышленно (при этом умысел должен быть направлен на нарушение правил эксплуатации и доступа), так и по неосторожности (например, программист, работающий в больнице, поставил полученную им по сетям программу без предварительной проверки ее на наличие в ней компьютерного вируса, в результате чего произошел отказ в работе систем жизнеобеспечения реанимационного отделения больницы).