Если проводить какую-то общую классификацию уголовно-правового регулирования проблемы разработки, использования и оборота вредоносных компьютерных программ, то в целом можно привести два вида юрисдикций: к первому виду мы отнесем те, в уголовном законе которых под «вредоносы» отведена отдельная статья, к второму — страны, не имеющие в праве индивидуального «уголка» под malware, но упоминающие его либо как квалифицирующий признак преступления, либо как какой-то иной значимый элемент объективной стороны деяния. Очень часто уголовные законы в своих статьях о «вредоносах» содержат отсылочные нормы, указывающие на иные киберпреступления, тем самым утверждая, что преступное взаимодействие с malware возможно исключительно в рамках обозначенных в законе преступных посягательств, связанных с причинением вреда компьютерам, системам, сетям и нарушением целостности их обычного функционирования.
Например, Уголовный кодекс Республики Беларусь, который можно признать самым развитым в подходах к киберпреступности на постсоветском пространстве, в
ст. 354 дает такую норму: «Разработка, использование, распространение либо сбыт компьютерной программы или специального программного или аппаратного средства, заведомо предназначенных для нарушения системы защиты, несанкционированного доступа к компьютерной системе, сети или машинному носителю, несанкционированного уничтожения, блокирования, модификации компьютерной информации или неправомерного завладения компьютерной информацией либо нарушения работы компьютерной системы, сети или машинного носителя». Первое, что бросается в глаза правоведу, работающему с уголовным правом в РФ — перечисление действий, которые злоумышленник может совершить с помощью «вредоноса». На самом деле в данной диспозиции приводятся иные преступления, предусмотренные УК РБ: несанкционированный доступ к компьютерной информации (ст. 349 УК РБ); уничтожение, блокирование или модификация компьютерной информации (ст. 350 УК РБ); неправомерное завладение компьютерной информацией (ст. 352 УК РБ).
Примерно того же придерживается положение
ст. 6 Закона Ирландии «Об уголовном правосудии (преступления, связанные с информационными системами)» — оно опирается на все тот же критерий заведомости и таким образом запрещает незаконное создание, распространение, продажу, предложение к продаже и хранение вредоносных компьютерных программ, под которыми понимаются любая компьютерная программа, которая изначально разработана или адаптирована для использования в связи с совершением
киберпреступления; или любое устройство, пароль компьютера, ключ или код дешифрования, код доступа или аналогичные данные, с помощью которых можно получить доступ к информационной системе. Примечательно, что уголовное право Ирландии прибегает к «доступу» (его неправомерность презюмируется) только в своеобразном аналоге «иной компьютерной информации», под которой тут явно понимаются средства обеспечения входа в систему — т. е. «проблеме доступа» тут посвящено как бы отдельное регулирование внутри ст. 6. Закона
В принципе, мы также точно можем сразу сказать, что критерий заводомости присущ абсолютно всем уголовным законам, а некоторые из них прямо раскрывают его в норме, например, регламентируя в качестве вредоносной программы переработанную «безвредную». Далее мы заранее отметим, что юрисдикции систематически используют категорию «иная компьютерная информация» (в разных языковых формах, конечно) и приводят в пример определенные данные, нередко связанные именно с получением доступа к информационной системе.
Что еще можно обнаружить в уголовном законодательстве той или иной юрисдикции — норму об уголовной ответственности за приобретение и хранение «вредоноса». Такого в УК РФ и близко нет, «пленум по киберпреступлениям» также нигде не намекает на криминализацию таких деяний в российском праве. Но в то же время стоит отметить, что вопрос о признании деяний по приобретению и хранению malware преступными все же остается дискуссионным, а подобное положение не получило значительного распространения.
В соответствии с Законом
Сингапура от 2017 г. «О неправомерном использовании компьютеров и кибербезопасности» (он же — CMAA) запрещены создание, продажа, предложение к продаже или предоставление каким-либо любым способом любого из перечисленных в статье объектов с намерением использовать его для совершения или содействия совершению преступления согласно разделам 3, 4, 5, 6 или 7 CMAA. Объектами являются: любое устройство, включая компьютерную программу, которое изначально разработано, адаптировано или может быть использовано с целью совершения преступления согласно разделам 3, 4, 5, 6 или 7 CMAA; и пароль, код доступа или аналогичные данные, с помощью которых можно получить доступ ко всему компьютеру или к его части. Приобретение и хранение malware признается преступлением в соответствии с разделом 8B (1)(a) CMAA в тех случаях, когда лицо намеревается использовать «вредонос» для совершения или содействия совершению преступлений, указанных в разделах 3, 4, 5, 6 или 7 CMA.
Ч. 1 ст. 28 Закона Нигерии «О киберпреступлениях» запрещает незаконно производить, поставлять, адаптировать, перерабатывать, приобретать для использования, импортировать, экспортировать, распространять, предлагать к продаже или иным образом предоставлять: (a) любое устройство, включая компьютерную программу или ее компонент, разработанное или адаптированное с целью совершения преступления, предусмотренного Законом; (b) компьютерный пароль, код доступа или иные данные, с помощью которых можно получить доступ ко всей или к любой части компьютерной системы или сети с целью совершения преступления в соответствии с Законом; © подделку электронных инструментов; или (d) любое устройство, включая компьютерную программу, предназначенную для обхода мер безопасности в любой компьютерной системе или сети с намерением использовать эти устройства с целью нарушения любого положения Закона. Ч. 2 статьи ставит вне закона неправомерное хранение устройства или программы, использованного при совершении киберпреступления.
Прямое применение критерия заведомости при хранении malware можно найти в
ст. 342.2 Уголовного кодекса Канады — она ставит вне закона распространение, продажу, предложение к продаже, хранение и использование устройств, которые спроектированы или приспособлены в первую очередь для совершения киберпреступлений, при наличии понимания у лица, что данное устройство использовалось или предназначено для использования для совершения киберпреступлений, запрещенных статьями 342.1 или 430 Уголовного кодекса.
В
уголовном кодексе Австралии присутствует такая норма как «Заражение IT-систем вредоносным ПО» (ст. 478.2). Преступление состоит из трех элементов: первый состоит в том, что действия индивида вызывают любое несанкционированное нарушение надежности, безопасности или работы данных, хранящихся на компьютерном диске, кредитной карте или другом устройстве, используемом для хранения данных с помощью электронных средств. Второй элемент — наличие прямого умысла. Третий — заведомость несанкционированности нарушений. Ст. 478.3 УК запрещает распространение, продажу или предложение к продаже оборудования, программного обеспечения или других инструментов, используемых для совершения киберпреступлений (максимальное наказание — 3 года лишения свободы). Ст. 478.4 УК ставит вне закона деяния по владению оборудованием или использованию оборудования, программного обеспечения или других инструментов, эксплуатирующихся для совершения киберпреступлений (максимальное наказание — 3 года лишения свободы).
В иных юрисдикциях само по себе хранение и (или) приобретение вредоносного ПО не является самостоятельным преступлением, но в определенных случаях все же может составлять объективную сторону состава преступления или криминализироваться иным образом. И нередко тот же подход используется для распространения «вредоносов» — их передача может быть как преступной, так и вполне легальной.
Раздел 18 Кодекса законов США (Федеральный закон США «О компьютерном мошенничестве и злоупотреблениях» («CFAA»)) запрещает использование «вредоноса» в § 1030(a)(5)(A) как комплексе «Умышленного причинения вреда». В § 2512 признает преступлением создание, распространение, хранение и рекламу устройств для прослушивания телефонных разговоров и многих подобных инструментов. Само по себе распространение хакерских инструментов будет считаться преступлением только в том случае, если получатель собирается использовать их в незаконных целях. При наличии доказательств преступного намерения лицо может быть привлечено к ответственности за пособничество и подстрекательство к нарушению CFAA, § 1030(a)(5)(A) Раздела 18 Кодекса законов США. Что касается хранения «вредоносных программ», то здесь
американские юристы отмечают, что как и в случае с распространением, простое владение хакерскими инструментами не будет преступлением при отсутствии намерения использовать их в незаконных целях или связанного с этим заговора. Если имеются доказательства преступного намерения или заговора, и при этом совершено какое-либо действие, явно предпринятое с целью воплощения преступного замысла, то лицо может быть привлечено к ответственности за покушение на совршение соответствующего преступления по CFAA, § 1030(a)(5)(A) Раздела 18 Кодекса законов США.
В соответствии со ст. 303b Уголовного кодекса Германии действия по заражению компьютеров и (или) систем вредоносными программами подпадают под понятие «компьютерного саботажа». Внешнее выражение данного преступления состоит во вмешательстве в операции по обработке данных, имеющих существенное значение для другого лица, путем удаления, подавления, приведения в непригодную для использования форму или изменения данных, а также путем ввода или передачи данных с намерением причинить ущерб другому лицу. Диспозиция также указывает на преступность действий по уничтожению, повреждению, приведению в негодность, удалению или изменению системы обработки данных или носителя информации.
По немецкому уголовному праву любой, кто осуществляет распространение вредоносной компьютерной программы с целью совершения какого-либо преступления, будет признан соучастником совершенного с данным «вредоносом» преступления (в зависимости от обстоятельств, такой индивид может быть либо пособником, либо подстрекателем). Хранение или приобретение вредоносных компьютерных программ может признаваться приготовлением к совершению преступления в зависимости от обстоятельств, но самостоятельного оконченного преступления такое деяние не образует.
Таким образом, Уголовный кодекс Германии
не содержит отдельной статьи под malware, и немецкое право просто использует институт соучастия. Это регулярно отражается в немецкой судебной практике по делам по ст. 202a («Шпионаж данных») и 202b («Фишинг» — принятие данных, не предназначенных принимающему лицу, переданных техническими средствами из закрытой передачи данных или из электромагнитной трансляции со средства обработки данных). При этом есть ст. 202c («Совершение приготовления к совершению шпионажа данных или фишинга»), которая наказывает за создание, приобретение для себя или другого лица, продажу, поставку другому лицу, распространение или предоставление любым другим способом компьютерных программ с целью совершения преступлений, регламентированных статьями 202a и 202b.
Примерно той же методологии придерживается
Закон Индии «Об информационных технологиях». Только индийское уголовное право прямо вводит уголовную ответственность за несанкционированное внедрение вредоносного ПО в компьютерные системы, сети или устройства, а взаимодействие с malware отражается в разделах 43 («Причинение вреда компьютеру и компьютерной системе»), 65 («Подделка компьютерных исходных документов»), 66 («Взлом компьютерной системы с неправомерным намерением причинить вред»), 66 °F («Кибертерроризм»).
Подход Китайской Народной Республики к правовым аспектам кибербезопасности вообще очень интересен сам по себе (он обязателен к изучению в рамках узконаправленных юридических исследований кибербез-права — в КНР разработана
адекватно отвечающая современным реалиям административно-уголовная система правового регулирования), но мы постараемся остановиться только на обороте и применении вредоносных компьютерных программ.
Деяние по умышленному созданию или распространению компьютерного вируса или других деструктивных программ, нарушающих нормальную работу компьютерной информационной системы, охватывается регулированием ст. 286 Уголовного кодекса Китайской Народной Республики и представляет собой «преступление, связанное с саботажем компьютерной информационной системы». Лицо, устанавливающее вышеуказанные деструктивные программы с целью контроля над чужими компьютерами, может совершить преступление по незаконному управлению компьютерной информационной системой, предусмотренное частью 2 ст. 285 УК КНР. В этой статье вводится преступление, объективная сторона которого выражается в проникновении в компьютерную систему, получении данных из компьютерной информационной системы или управлении компьютерной информационной системой. И при этом категория «проникновение» сама по себе включает уже действия по нейтрализации средств защиты компьютерной информации.
Та же ст. 285 УК КНР дает уголовно-правовую интерпретацию случаев, когда лицо предоставляет аппаратное, программное обеспечение или другие инструменты, специально используемые для вторжения в компьютерные информационные системы или незаконного контроля над ними; или когда лицо знает, что любое иное лицо совершает преступное деяние по вторжению в компьютерную информационную систему или незаконному контролю над ней, но при этом предоставляет программы или инструменты такому лицу — данное преступление именуется как «Предоставление программ или инструментов для проникновения в компьютерные информационные системы или незаконного контроля над ними». Для права РФ первый элемент вышеприведенного состава представляет собой распространение вредоносной компьютерной программы по ст. 273 УК РФ, второй — распространение вредоносной компьютерной программы по ст. 273 УК РФ и пособничество в совершении преступления исполнителя.