Сложности толкования терминов "вредоносная программа" и "неправомерный доступ" (С.А. Середа, Н.Н. Федотов, "Российская юстиция", N 2, февраль 2007 г.)

Сложности толкования терминов "вредоносная программа" и
"неправомерный доступ"

Примерно с 2001 г. в практике правоохранительных органов появилась странная тенденция: добавлять обвинение по статье 272 (неправомерный доступ) или 273 (вредоносные программы) ко всем обвинениям по статье 146 (нарушение авторских прав), если только охраняемое произведение было представлено в цифровой форме.

Причины появления такой "инициативы" понятны - для привлечения нарушителя авторских прав по "целевой" статье 146 УК РФ необходимо доказать, что стоимость контрафактных экземпляров была не менее 50 000 рублей. Но это возможно, только если продукт очень дорогой, такой, например, как AutoCAD (около 106 000 рублей). Большинство же популярных программ существенно дешевле и, как правило, по стоимости не превышают 40 000 рублей, а львиная доля нарушений осуществляется посредством единичных инсталляций.

Соответственно, возникла потребность "найти иные пути" привлечения к уголовной ответственности. Именно к уголовной, потому что она оказывает максимальный эффект на потенциальных нарушителей, а также дает несравненно большие по сравнению с гражданским процессом возможности для сбора доказательств, например, проверочная закупка, обыск. Такую возможность перевода нарушения из гражданской сферы в уголовную предоставила формулировка статей 272 и 273 УК РФ. Речь в них идет о неправомерном доступе к компьютерной информации и о создании вредоносных программ для ЭВМ. Объект авторского права - программа для ЭВМ, записанная на машинный носитель, очень похожа на "компьютерную информацию" в неюридическом, бытовом значении этого термина. А имущественные авторские права на программу для ЭВМ обозначаются терминами "воспроизведение", "распространение" и "переработка", которые похожи на термины "копирование" и "модификация", используемые в статьях 272 и 273.

Соответственно, с этой точки зрения "неправомерное воспроизведение объекта авторских прав" и "преодоление технических средств защиты авторских прав" похожи по звучанию на "неправомерный доступ к информации". А написание специализированных программ для преодоления технических средств защиты авторских прав похоже на "создание вредоносных программ".

Представители правоохранительных органов охотно приняли этот подход, позволяющий наказать "виновных" лиц, неподсудных (из-за установленного "порога" по стоимости) по статье 146, и поднять показатели раскрываемости. Критикуемая практика изначально распространилась в регионах, а теперь начала внедряться и в столице.

По мнению авторов, эта практика нарушает существующее законодательство, криминализируя большинство пользователей ЭВМ. Она также предоставляет правообладателям дополнительные, изначально не предусмотренные законом возможности для защиты их прав. И тем самым нарушается баланс (между интересами авторов, пользователей и общества в целом), который и является целью законодательства об интеллектуальной собственности.

Применение статей 272 и 273 УК РФ по совокупности

Нередко лицам, осуществившим преодоление технических средств защиты авторских прав (ТСЗАП), статьи 272 и 273 УК РФ вменяются по совокупности. При этом в обвинении указывается, что под состав преступления, предусмотренный статьей 273, подпадает использование "вредоносной программы", отключающей систему защиты, а под состав статьи 272 - само отключение системы защиты, так как оно "является результатом неправомерного доступа к охраняемой законом компьютерной информации".

Однако такое совместное использование статей 272 и 273 приводит к логическому противоречию. Если верно обвинение, соответствующее составу ч. 1 ст. 272, то тогда нельзя признать программу-"взломщик" вредоносной, так как отсутствует заложенная в ней заведомость несанкционированного уничтожения, блокирования, модификации либо копирования информации. Ведь неправомерный доступ к компьютерной информации происходит по умыслу того, кто этой программой пользуется, а не по умыслу автора используемой программы.

Если же верно обвинение в деянии, соответствующем составу ч. 1 ст. 273, то несанкционированное уничтожение, блокирование, модификация либо копирование информации, происходит в силу их заведомости, то есть эти последствия заложены в программу для ЭВМ ее автором и не зависят от воли пользователя. В таком случае лицо, использующее вредоносную программу, невиновно в неправомерном доступе к компьютерной информации.

Нечеткость определения вредоносной программы

В Уголовном кодексе вредоносная программа определена как "заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети".

Три подчеркнутых термина в определении сразу вызывают у специалистов ряд вопросов, четкого ответа на которые в законе не содержится.

1. "Заведомо". Для какого именно субъекта последствия применения программы должны быть "заведомые", то есть заранее ведомые? Возможны варианты: (а) для создателя этой программы; (б) для использующего ее лица; (в) для владельца ЭВМ, на которой запускается эта программа; (г) для обладателя копируемой, модифицируемой, уничтожаемой информации; (д) для правообладателя соответствующего произведения.

2. "Информация". Определение информации дано в законе "Об информации...": "информация - сведения (сообщения, данные) независимо от формы их представления". Должно ли здесь применяться именно это определение, либо иное - более широкое или более узкое? Любая ли информация имеется в виду или только "внешняя" по отношению к рассматриваемой программе? Охватываются ли временные технологические копии обрабатываемой информации или имеется в виду лишь информация, доступная для человека?

3. "Несанкционированное". Кто именно должен санкционировать указанные действия над информацией, чтобы они не считались несанкционированными? Варианты: (а) пользователь программы; (б) владелец ЭВМ или носителя информации; (в) обладатель обрабатываемой информации; (г) обладатель исключительных прав на произведение, представляемое обрабатываемой информацией.

Авторы предлагают следующее толкование спорных терминов.

1. "Заведомо"

Вредоносность программы - это ее объективное свойство. В противном случае получится, что действия лица квалифицируются в зависимости от свойства программы, которое, в свою очередь, зависит от действий этого же лица. Следовательно, слово "заведомо" в обсуждаемом определении надо трактовать как "хорошо известно", "несомненно", "определенно", "неслучайно", "в силу свойств самой программы". То есть вредные последствия применения такой программы должны неизбежно следовать из ее устройства, а не быть случайным или побочным эффектом или результатом нецелевого использования.

Все несанкционированные действия должны выполняться вредоносной программой только в автоматическом режиме (независимо от воли и действий оператора ЭВМ, но заведомо для автора). Только при этом условии можно отделить вредоносные от обычных программ, выполняющих аналогичные действия с информацией, но по команде пользователя.

2. "Информация"

Для разъяснения не раскрытых в УК РФ терминов принято обращаться к гражданскому законодательству или даже к нормативно-техническим документам. Примем, что при трактовке статей 272 и 273 УК РФ необходимо пользоваться определениями ФЗ "Об информации...", так как именно он "регулирует отношения, возникающие при... обеспечении защиты информации" (п. З ч. 1, ст. 1). Так как определение информации в этом Законе носит весьма общий характер, следует сделать вывод, что определение вредоносной программы охватывает все виды информации. Более того, в статье 273 говорится не о "компьютерной информации", как в статье 272, а об информации вообще. Таким образом, программа для ЭВМ, "заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации", скажем, на бумажном носителе (например, вычеркивая часть слов при распечатке текста на принтере) также будет признана вредоносной.

3. "Несанкционированное"

Согласно Закону "Об информации..." право осуществлять различные действия над информацией и разрешать осуществление таких действий принадлежит обладателю этой информации (ч. З ст. 6). Следовательно, санкция на модификацию, копирование, уничтожение и блокирование информации должна исходить от обладателя информации.

Кроме этого, в УК говорится и о нарушении работы ЭВМ, системы ЭВМ или их сети. Кто же может санкционировать подобное нарушение? В силу ч. 6 ст. 13 такими правами наделен оператор информационной системы (ибо ЭВМ, система ЭВМ, сеть ЭВМ - это все информационная система в терминах указанного Закона).

Таким образом, уничтожение, блокирование, модификация либо копирование информации являются несанкционированными, если на их осуществление нет разрешения обладателя обрабатываемой информации, а нарушение работы ЭВМ, системы ЭВМ или их сети являются несанкционированными, если на их осуществление нет разрешения оператора информационной системы (ИС). Как ясно видно, в числе субъектов, санкционирующих действия с информацией, правообладателей нет.

Но предположим, что правообладатель находится в числе субъектов, могущих санкционировать действия над информацией. Из этого вытекает, что вредоносность не есть имманентное свойство самой программы, а зависит от обстоятельств. Ведь действие без санкции со стороны обладателя информации или оператора ИС (пользователя) - это конструктивная особенность программы. Она не запрашивает в диалоговом режиме согласия на проводимые операции - либо запускается скрытно от пользователя, либо замаскирована под программу другого типа. Это все признаки самой программы, выявляемые в ходе компьютерно-технической экспертизы. Отсутствие же разрешения правообладателя - это не свойство программы, а часть отношений между ним и пользователем. Программа "не знает" условий договора между пользователем и правообладателем.

Более того, законодательством предусмотрены случаи, когда разрешения правообладателя не требуется для использования произведения. Например, исправление явных ошибок в компьютерной программе или ее адаптация. В отношении же обладателя информации или оператора ИС таких случаев не бывает. Там связь однозначная: есть санкция - правомерно, нет санкции - неправомерно.

То есть если предположить, что правообладатель входит в число дающих "санкцию" на действия с информацией, то одна и та же программа будет вредоносной и не вредоносной в разных случаях. Как же тогда эксперт сможет оценить ее? Вредоносность - технический факт. А сделанное предположение превратило бы его в факт юридический, судить о котором эксперт не уполномочен. Мы пришли к противоречию. Значит, правообладатель не вправе санкционировать действия с информацией.

Авторы предлагают следующее разъяснение термина "вредоносная программа".

Вредоносной следует считать программу для ЭВМ, объективным свойством которой является ее способность осуществлять не разрешенные обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или не разрешенные оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причем и те и другие действия - без участия и без предварительного уведомления вышеуказанных субъектов.

Данное разъяснение ни в чем не противоречит формулировке УК и положениям Закона "Об информации..." и в то же время снимает упомянутые выше неясности в толковании применяемых терминов.

Отделение защиты информации от охраны авторских прав

В Законе "Об информации..." определяются термины "информация" и "обладатель информации", но в этом Законе ничего не говорится о произведениях и правообладателях. Более того, здесь же прямо указывается, что положения Закона "не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации" (ч. 2 ст. 1).

В Законе "Об авторском праве...", напротив, не используются термины "информация" и "обладатель информации" ("владелец информации" в старой редакции Закона). Вместо этого там говорится о "произведении" и "правообладателе". В этом Законе также говорится, что авторское право не распространяется на "сообщения о событиях и фактах, имеющие информационный характер".

То есть, законодатель намеренно разделяет различные виды информационных отношений - и при помощи терминологии, и иными способами. В одном случае объект регулирования именуется "информацией", а в другом случае "произведением".

Для окончательного разделения этих понятий законодатель ввел в Закон "Об авторском праве..." статью 48.1, говорящую о технических средства защиты авторских прав (ТСЗАП) и соответствующих нарушениях. Понятно, что внесение этих положений было бы бессмысленно, если бы преодоление ТСЗАП являлось "доступом к информации", а средства такого преодоления - вредоносными программами.

В главе 28 УК РФ, как и в Законе "Об информации..." используется термин "информация", но отсутствуют термины "произведение" и "правообладатель". В статье 146 УК, как и в Законе "Об авторском праве...", напротив, не употребляются термины "информация" и "обладатель информации", так как они не предназначены для описания правоотношений, связанных с интеллектуальной собственностью.

Таким образом, следует заключить, что отношения, возникающие при обеспечении защиты информации, существуют независимо от отношений, возникающих при охране результатов интеллектуальной деятельности.

Отделение средств преодоления ТСЗАП от вредоносных программ

Средства преодоления технических средств защиты авторских прав (ТСЗАП) включают в себя почти три десятка классов программ для ЭВМ. Практически все они относятся к обычному пользовательскому программному обеспечению. В их число входят: средства поиска и замены текстовых и двоичных последовательностей, средства редактирования ресурсов объектных модулей, средства загрузки объектных модулей и/или их динамической модификации в ОЗУ, программы эмуляции аппаратных средств и некоторые другие.

С технической точки зрения, средства преодоления ТСЗАП выполняют функцию, прямо противоположную выполняемой вредоносными программами. Деактивируя защиту от копирования или от запуска, эти средства превращают неработоспособные программы в работоспособные. В этом смысле ТСЗАП намного ближе к вредоносным программам (кстати говоря, часто они используют технологии, впервые реализованные в вирусах).

Еще одно доказательство существует на уровне делового оборота. Средства модификации программного кода и эмуляции аппаратных средств официально распространяются на рынке программного обеспечения многими компаниями, и никто не пытается привлекать их представителей к уголовной ответственности за создание и распространение вредоносных программ.

Даже сама компания 1С разрешает своим легальным пользователям отключать технические средства защиты авторских прав на продукты линейки "1С: Предприятие" при помощи программы Sable, которую некоторые эксперты признавали вредоносной. Из этого факта следует одно из двух: либо программа Sable не является вредоносной (т.к. одна и та же программа для ЭВМ не может быть в одной ситуации вредоносной, а в другой - нет), либо компания 1С поощряет использование вредоносной программы.

Аргументы за отнесение средств преодоления ТСЗАП к вредоносным
программам и их критика

Одним из аргументов тех, кто относит программные средства преодоления ТСЗАП к вредоносным программам, является тот, что такие средства приводят к модификации компьютерной информации, которая не санкционирована правообладателем. А если она не санкционирована правообладателем, значит, она "несанкционированная". Логическая ошибка здесь состоит в применении "правообладателя" к "информации". Как указывалось выше, это термины из различных видов отношений. У "информации" бывает лишь "обладатель". А "правообладатель" бывает лишь у "произведения". Это все равно, что путать интеллектуальную собственность с вещной собственностью.

Другой аргумент наших оппонентов состоит в том, что в каждом конкретном уголовном деле эксперт признавал то или иное средство преодоления ТСЗАП вредоносной программой. Против такого можно спорить лишь в каждом конкретном случае. Авторы готовы это делать и делали неоднократно.

В одних случаях экспертиза, сделавшая вывод о вредоносности, не была компьютерно-технической. Эксперты НП ППП (а именно они проводят большинство спорных экспертиз) называют экспертизу "автороведческой", "криминалистической" и даже просто "экспертизой". Но вывод о свойствах программы для ЭВМ может сделать только компьютерно-техническая экспертиза. Настоящих же экспертов по вредоносным программам, к подобным экспертизам почему-то не привлекают.

В других случаях утверждение о вредоносности программы содержалось уже в формулировке вопросов, поставленных перед экспертом. Понятно, что следователь не может вместо эксперта решать, является ли программа вредоносной.

В некоторых случаях и вопросы поставлены корректно, и эксперт формально соответствовал требованиям. Однако вывод эксперта - "представленная программа является вредоносной, поскольку приводит к несанкционированной модификации информации" был попросту неверным в силу высказанных ранее аргументов: указанную модификацию санкционирует пользователь (оператор НС).

Есть даже прецедент, когда эксперт АНО ЦНКЭС признал вредоносной программой генератор ключей активации. Такая программа вообще никакой информации не изменяет, не копирует и, тем более, не уничтожает. Из трех обязательных признаков вредоносной программы (заведомость, изменение информации и отсутствие санкции) генератор ключей не обладает ни одним.

Выводы

Проведенный анализ и предъявленные доказательства верности позиции авторов позволяют утверждать, что сложившаяся на сегодняшний день практика, допускающая привлечение к уголовной ответственности по статьям 272 и 273 УК РФ за нарушение авторских прав на программы для ЭВМ, не соответствует Закону. Указанные статьи ошибочно применяются к правоотношениям, не входящим в сферу действия 28-й главы УК РФ.

В качестве мер по исправлению ситуации можно предложить следующее:

- инициировать рассмотрение одного из судебных дел обсуждаемой категории Верховным Судом с целью получения соответствующего постановления и разъяснения терминов, используемых в статьях 272 и 273 УК РФ;

- проводить разъяснительную работу среди представителей правоохранительных органов и заинтересованных лиц;

- разработать и ввести в действие новую редакцию 28-й главы УК РФ, соответствующую текущей практике информационной безопасности и современному уровню техники.

С.А. Середа,

заместитель генерального директора

Центра выбора технологий и поставщиков

TAdviser (OOO "Тэд-вайзер")

Н.Н. Федотов,

начальник отдела информационной безопасности ЗАО "Старт-Телеком"

"Российская юстиция", N 2, февраль 2007 г.