Интервью адвокат Павла Домкина для журнала “Системный администратор”
Павел Александрович, расскажите, пожалуйста, нашим читателям основную суть произошедших изменений в законодательстве, в связи с внесением поправки № 420-ФЗ?
Последние изменения в Уголовном кодексе России затронули все три “компьютерные состава преступления”: статью 272, 273, 274 УК РФ. Законодатель не пошел по пути внесения корректив в содержание статей, а предпочел пересмотреть их в полном объеме. Перечисленные статьи не претерпевали изменений по существу с 1997 года. За это время правоохранительными органами был накоплен определенный опыт расследования данной категории дел, выявлены сложности применения закона, в результате чего законодательный орган решил полностью пересмотреть указанные статьи, одновременно ужесточив ответственность за совершение компьютерных правонарушений.
Итак, статья 272 УК РФ – Неправомерный доступ к компьютерной информации.
Если ранее данная статья состояла из двух составных частей, то в настоящий момент в ней содержится уже четыре части.
Так, отдельным квалифицирующим признаком стало совершение неправомерного доступа к компьютерной информации из корыстной заинтересованности. Определенный парадокс заключается в том, что максимальное наказание за неправомерный доступ из корыстной заинтересованности наказывается 6 месяцами лишения свободы, а тоже самое деяние, совершенное без подобной заинтересованности (например, из любопытства), наказывается двумя годами лишения свободы.
Крупный ущерб, причиненный в результате неправомерного доступа, то есть составляющий сумму свыше одного миллиона рублей, также наказывается лишением свободы до шести месяцев. Представляется, что подобная нелогичность размеров наказаний – это техническая ошибка депутатов, которая в дальнейшем будет исправлена.
Третья часть статьи 272 УК РФ в особом порядке наказывает неправомерный доступ к компьютерной информации, если он был совершен группой лиц по предварительному сговору, организованной группой либо с использованием служебного положения. Как и прежде, максимальное наказание за подобное деяние предполагает лишение свободы сроком до пяти лет.
Правовой новеллой стала часть 4 статьи 272 УК РФ, которая ввела ответственность вплоть до семи лет лишения свободы за неправомерный доступ, если он повлек за собой тяжкие последствия либо угрозу их наступления. Думается, что введение четвертой части должно стать особым сдерживающим барьером от совершения неправомерных действий.
Какие правовые последствия ждут пользователя в случае установления факта использования нелицензированного или взломанного ПО в рамках последней редакции закона?
В случае если стоимость нелицензионного программного обеспечения превышает сто тысяч рублей, лицо, виновное в его неправомерном использовании, может быть привлечено к уголовной ответственности по статье статьи 146 УК РФ – Нарушение авторских или смежных прав.
Если стоимость нелицензионного ПО менее указанной суммы, лицо может быть привлечено к административной ответственности по статье 7.12 КоАП РФ.
Привлечение к данным видам ответственности не исключает и материальных претензий (исков) со стороны правообладателя в порядке статьи 1301 Гражданского кодекса РФ.
Если на компьютере пользователя будут обнаружены средства преодоления защиты нелицензионного ПО, а проведенная по делу экспертиза, укажет, что нелицензионное ПО было “взломано” с помощью обнаруженных программ, то пользователь, учитывая вышеуказанную порочную правоприменительную практику, рискует быть привлеченным к ответственности по статье 273 УК РФ.
Можно ли возбудить уголовное дело при обнаружении “вареза” на компьютере пользователя без соответствующего прямого заявления-иска организации, владеющей правами на данный конкретный программный продукт и понесшей в связи с этим некие гипотетические убытки?
Расследование всех “компьютерных” составов преступлений в соответствии с законом осуществляется в публичном порядке. Это означает, что уголовные дела могут возбуждаться без какого-либо заявления потерпевшей стороны. Подобный порядок распространяется и на статью 146 УК РФ (Нарушение авторских или смежных прав), за исключением случаев совершения плагиата.
Насколько я знаю, в некоторых западных странах, “варез” можно устанавливать на домашние компьютеры и это не влечет каких-то уголовных последствий до тех пор, пока это ПО не используется в коммерческих целях и нет прямых доказательств получения некой коммерческой выгоды от его использовании, – существует ли подобная специфика в России?
Думаю, что подобная информация является ошибочной. Основополагающим международным нормативным актом в сфере компьютерных технологий, положенным в основу многих национальных законов западных стран, является Конвенция о компьютерных преступлениях СДСЕ №185, открытая к подписанию в Будапеште 23/11/2001. Одним из принципов данной Конвенции является установление уголовной ответственности за факт приобретения и использования нелицензионного ПО.
Использование нелицензионного ПО “для домашних потребностей” не освобождает от ответственности. Национальный закон России четкого разграничения между коммерческим и домашним использованием также не предполагает. Статья 1273 ГК РФ не допускает возможности использования программы для ЭВМ в личных целях без согласия автора и (или) выплаты ему соответствующего вознаграждения. Хотя нужно отметить, что практика привлечения к уголовной ответственности в России за использование нелицензионного ПО в “домашних целях” до сегодняшнего дня фактически отсутствует.
Следуя буквальной трактовке закона, каким образом я угрожаю защите электронной информации других лиц, если я настаиваю, что устанавливаю все эти “кряки” для личного “ознакомительного” использования?
Получение, приобретение и хранение “кряков” никак не наказывается с точки зрения уголовного закона. В тоже время следует отметить, что заявление о том, что Вы намерены их использовать по назначению, то есть нарушать чьи-то авторские права, может быть квалифицировано как приготовление или покушение к преступлению. А вот заявление о том, что кряки хранятся в “научно-изыскательских целях”, в частности, для изучения алгоритма их действия и (или) выработки средств защиты от них, – наоборот снимет все возможные претензии.
Как я понимаю, ключевой момент – доказательство именно умышленности действий. Всегда ли для суда так однозначен злой умысел в подобных случаях?
Для этого следует уделить внимание юридической значимости терминов “заведомость” и “несанкционированность”. Например, практике известны случаи, когда правоохранительные органы предпринимали попытки привлечь к ответственности лиц, за установку на телефоны третьих лиц программ, отправляющих в скрытом режиме дубли SMS-сообщений. Подобная практика могла бы привести к тому, что, например, родитель, пожелавший оградить своего несовершеннолетнего ребенка от негативного воздействия и установивший на телефон ребенка подобное программное обеспечение мог запросто попасть “за решетку”. Также предпринимались попытки привлечения к ответственности системных администраторов за использование программ, позволяющих осуществлять мониторинг Интернет-траффика обслуживаемых пользователей. Спасительным щитом в приведенных примерах как раз являлись вышеназванные условия признания программы вредоносной. Действия родителя и системного администратора носили санкционированный (правомерный) характер, а изначальное предназначение используемых программ, вовсе не связано с тайным копированием информации, даже не смотря на то, что алгоритм их работы позволяет осуществлять копировании информации в скрытом (фоновом) режиме.
В силу важности этого момента, давайте рассмотрим типичную для России ситуацию: есть администратор, работающий на штатной должности в организации, его руководство требует от него установки соответствующего коммерческого ПО для обеспечения нормальной работы и документооборота в организации (например, тот же Microsoft Office). Как правило, все эти распоряжения следуют в устном виде, и теперь на фоне этих ужесточающих ответственность поправок администратор оказывается в опасном положении с точки зрения закона… В данном случае при установке нелицензионного ПО на фирме, кто будет нести ответственность в случае обнаружения этого факта – конкретный исполнитель или его юридическое лицо?
И также, что вы посоветуете рядовому администратору, который находится в таком подвешенном положении, как он может заранее обезопасить себя от неприятностей, при этом, не требуя от него идти на прямой конфликт со своим руководством, которое чаще всего и слышать ничего не хочет о легальной покупке всего софта, ибо в таком случае часто счет может идти на несколько тысяч долларов?
Во-первых, по закону России к уголовной ответственности привлекается только физическое лицо. Установить и привлечь к ответственности лицо, виновное в нарушении авторских прав, – задача следствия. Во-вторых, первоначально к уголовной ответственности по данной категории уголовных дел привлекались директора юридических лиц, но затем “ветер подул” в сторону системных администраторов. Директора “научились” ссылаться на свою неосведомленность, юридически возлагая вопросы ответственности в служебных инструкциях (должностных обязанностях) на штатных системных администраторов.
В-третьих, исполнение требования “Генерального” об установке нелицензионного ПО, будь оно в устной или письменной форме, – не является основанием для освобождения от ответственности. Более того, именно исполнение такого указания – это фактически совершение преступления группой лиц, что, наоборот, только усиливает ответственность. Приглашение на договорной основе постороннего лица для установки нелицензионного софта, не будет стопроцентной гарантией спасения от уголовного преследования для системного администратора, но переадресует претензии правоохранительных органов в сторону директора компании.
Конечно, лучшим выходом является использование только лицензионного или свободного ПО. Если же системному администратору приходится исполнять неправомерные указания, рекомендуется в письменной форме подавать и документально регистрировать служебные записки, в которых сообщать руководству компании о факте неправомерного использования ПО и предлагать приобрести софт на легальных основаниях. Наличие данных документов юридически не позволит переложить вину за нарушение авторских прав на системного администратора, поскольку руководству компании, по определению несущему ответственность за все действия возглавляемого им юридического лица, не удастся занять позицию о незнании фактов нарушения авторских прав.
Обычные люди, услышав о подобной серьёзной ответственности, часто задают логичный вопрос: Я купил в переходе программу, как потом оказалось пиратскую (заведомо об этом не зная), значит ли это, что “в случае чего” – я уголовник? Откуда я могу знать на момент покупки то, что она нелицензионная?
Доказать умысел на умышленное нарушение авторских и смежных прав – это опять же прямая обязанность следствия. Знать различия между пиратской и официальной продукцией обыватель вовсе не обязан и это обстоятельство в каком-то смысле, гарантирует ему правовой “иммунитет”. Но если покупатель “профессионал”, например, системный администратор или программист, то ссылка на незнание отличий теряет свою силу и будет расцениваться судом, как попытка избежать ответственности.
Уточняющий вопрос насчет мотивов. Если некий сайт взламывается лишь ради “спортивного интереса”, то есть если за этим не стояли какие-то явные преступные или коммерческие мотивы?
Давайте смоделируем ситуацию: ради “спортивного интереса” пользователь преодолевает техническую защиту банка, при этом фактически предоставляя любому иному лицу потенциальную техническую возможность опустошить банковские счета клиентов, как-то компрометируя своими действиями защиту банка. И даже, несмотря на то, что никто не воспользовался подобной возможностью, такие правовые последствия могут расцениваться как “угроза наступления тяжких последствий”. Для “горе-хакера” с высокой долей вероятности это означает, что он будет осужден к реальному лишению свободы. Всем потенциальным искателем “подобных приключений” следует учесть, что Российские суды крайне редко практикуют назначение условного наказания по тяжким составам преступления, к которым отнесена часть 4 статьи 272 УК РФ.
Давайте также коснемся и интернета. Если с уголовной ответственностью за хранение вареза и ворованного контента непосредственно на своем компьютере/сервере/хостинге всё более-менее ясно, то что говорит закон в отношении гиперссылки со своей web-странички на сторонний варез или любой другой незаконно распространяемый в сети объект авторского права?
Для ответа на данный вопрос приведу прямую цитату из разъяснений (Пленума) Верховного Суда РФ: “Так, запись произведения или объекта смежных прав в память электронной вычислительной машины является использованием, если по инициативе лица, совершившего запись, неопределенный круг лиц получает доступ к этому произведению или объекту смежных прав. Созданные (полученные) в результате такого использования экземпляры произведений или объектов смежных прав с нарушением Закона Российской Федерации “Об авторском праве и смежных правах” являются контрафактными”.
Таким образом, размещение активной ссылки на контрафакт может расцениваться как пособничество нарушителю авторского или смежного права. В судебной практике подобные прецеденты с контрафактом пока отсутствуют, но справедливости ради нужно отметить, что при расследование дел об экстремизме правоохранительные органы расценивали размещение гиперактивных ссылок на соответствующий контент как “пособнические действия”.
Должен ли хостер, провайдер или некий частный владелец ресурса со свободным публичным доступом для публикации контента на нем, удалять некий материал по первому требованию третьей стороны в рамках законодательства РФ?
При рассмотрении подобных споров арбитражные суды в РФ порой выносят диаметрально противоположные решения. Лучше ориентироваться на последнее решение, изложенное в Постановлении Президиума Высшего Арбитражного Суда РФ от 01.11.2011 №6672/11, где провайдер, а также владельцы социальных и файлообменных интернет-ресурсов не несут ответственности за передаваемую информацию, если они не инициируют ее передачу, не выбирают получателя информации, не влияют на ее целостность, а также принимают превентивные меры по предотвращению использования объектов исключительных прав без согласия правообладателя. Поэтому если требование об удалении контента поступает от надлежащего правообладателя, с приложением документального подтверждения о наличии у него авторских и/или смежных прав, во избежание исков хостеру/соцсети рекомендуется добровольно удалять спорный контент.
Другая злободневная тема – сегодняшний Рунет буквально ежедневно фиксирует так называемые DDoS-атаки, какую меру ответственности устанавливает именно российский закон в отношении их организаторов?
Отныне в соответствии с новой редакцией статьи 272 УК РФ более не является уголовно-наказуемым деянием неправомерный доступ, повлекший за собой нарушение работы ЭВМ, системы ЭВМ или их сети. Предполагалось, что старая редакция статьи направлена на правовую борьбу с лицами, например, инициирующими DDoS-атаки. На деле прежняя редакция закона в указанной части, так и не нашла широкого применения.
Как наше национальное законодательство относится к сильному шифрованию? Насколько я знаю, его повсеместное использование, в том числе и в домашних целях, – не всегда законно в РФ. Что важно знать администратору про криптографический софт и операции с ним?
Законодательство предусматривает определенный “барьер” по использованию средств шифрования, устанавливая обязанность использовать только сертифицированные средств защиты. В противном случае, даже частное лицо, ждет административное наказание по статье 13.12 КоАП РФ – Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну).
Логика закона тут проста – компетентные органы всегда должны иметь возможность “сломать” криптозащиту, принцип работы которой становится им известен при сертификации соответствующего ПО. Кроме того, закон ставит жесткие ограничения по гражданскому обороту средств шифрования.
Системному администратору важно знать и помнить, что любые действия по использование криптооборудования или средств шифрования на территории РФ должно осуществляться исключительно лицом, имеющим на то соответствую лицензию. Обратите внимание, системный администратор может выполнять лишь техническое обслуживание шифровальных средств в соответствии с лицензией разработчика и лишь в рамках обеспечения собственных нужд юридического лица или индивидуального предпринимателя.
Среди пользователей большой популярностью пользуются так называемые “торренты” для пирингового (кооперативного) обмена файлами через Интернет. В Америке и Европе любители качать варез и другой нелицензионный контент через torrent-клиенты уже получают первые повестки в суд, какова юридическая ситуация вокруг торрентов на данный момент в России?
Пользователи torrent-клиентов подвергаются гипотетическому риску привлечения к уголовной ответственности, но лишь в случае, если сумма причинного правообладателю ущерба превысит сто тысяч рублей. При меньшей сумме ущерба пользователь torrent-клиента рискует быть привлеченным к административной ответственности по статье 7.12 КоАП РФ, либо гражданской ответственности в соответствии со статьей 1301 Гражданского кодекса РФ.
Отсутствие судебной практики привлечения к уголовной ответственности большей частью связано с существенными трудностями по доказыванию вины лица (пользователя). В соответствии с требованиями уголовного закона орган следствия обязан доказать, что пользователь осознавал неправомерность использования torrent-клиента, то есть знал, что алгоритм его работы открывает доступ к файлу со стороны третьих лиц. Отсутствие подобного понимания у пользователя делает доказывание умысла на совершение преступления практически невозможным. Установление IP-адреса качающего абонента, не избавляет следствие от обязанности установить, кто именно осуществлял использование torrent-клиента, да и компьютерная информация по своей природе не имеет «свойства» вечно хранится в памяти ЭВМ.
С другой стороны, ошибочным является мнение о невозможности привлечения к ответственности за нарушением авторских или смежных прав, поскольку файл (в виде объекта авторского или смежного права) передается при использовании torrent-клиента не целиком, а лишь в виде его части. Подобное мнение противоречит закону, поскольку он подобных разделений не предполагает.
Впрочем, учитывая последнюю динамику развития национального законодательства, я склонен предполагать, что время, когда будет поставлен законодательный запрет на использование torrent-клиентов в целях неправомерного получения объектов авторского и смежного права, уже не за горами и в России.