Преступления в сфере информационных технологий в проекте новой редакции Уголовного кодекса Республики Казахстан (И.Ю. Лоскутов, Генеральный директор ТОО «Компания «ЮрИнфо»)

Корреспонденты на фрагмент
Поставить закладку
Посмотреть закладки
Добавить комментарий

Преступления в сфере информационных технологий в проекте новой редакции
Уголовного кодекса Республики Казахстан

И.Ю. Лоскутов

Генеральный директор

ТОО «Компания «ЮрИнфо»

Выступление на международно-практической конференции «Актуальные вопросы развития уголовного законодательства в рамках разработки нового уголовного кодекса РК» (Алматы, 20 сентября 2012 года)

Перспективным планом законопроектных работ Правительства Республики Казахстан на 2013-2014 годы, утвержденным Постановлением Правительства Республики Казахстан от 28 марта 2012 года № 360, предусмотрено внесение в 1 квартале 2013 года в Парламент новой редакции Уголовного кодекса Республики Казахстан (далее - проект УК РК). Государственным органом, ответственным за разработку УК РК, определена Генеральная Прокуратура РК и на данный момент обнародован соответствующий Проект концепции новой редакции УК РК (далее - Концепция) с предполагаемой структурой законопроекта, а также предварительные варианты статей в виде сравнительной таблицы. В Концепции предлагается обеспечить надлежащую уголовно-правовую защиту информационной безопасности и, с этой целью, ввести в УК самостоятельную главу, содержащую соответствующие составы уголовных преступлений и уголовных проступков.

Нельзя не согласиться с авторами данного документа, указывающими на то, что анализ ситуации, связанной с вопросами противодействия правонарушениям и преступлениям в сфере информационной безопасности, а также противодействия распространению информации, противоречащей законодательству Республики Казахстан, свидетельствует о необходимости уточнения и дополнения уголовно-правовых норм, предусмотренных УК РК. В условиях расширения видов массовой коммуникации, в первую очередь, широкого использования сети Интернет, назрела необходимость концептуального пересмотра норм действующего уголовного законодательства. Существующие уголовно-правовые нормы в сфере киберпреступности разрознены и не связаны между собой единым смысловым значением как преступления в сфере информационных технологий, нарушения информационной безопасности, защиты охраняемой законом информации, а также защиты прав и свобод граждан в информационной сфере.

Как справедливо указывает профессор Л.В. Головко в своем «Анализе Концепции проекта Уголовного кодекса Республики Казахстан»: «Судя по опыту западных и постсоветских государств, феномен так называемой «инфляции уголовно-правовых норм» сегодня является не только универсальным, но и естественным. В качестве одной из причин данного процесса достаточно назвать бурное и ускоряющееся развитие информационных технологий, приводящее к стремительному изменению форм преступного поведения, на которое любая уголовно-правовая система должна адекватно и столь же стремительно реагировать». Действительно, революционные изменения, происходящие в сфере информационных технологий в последнее время, требуют срочного реагирования на возникающие проблемы. Они определяют насущную необходимость включения в правовую систему Республики Казахстан юридических норм, которые бы регулировали правоотношения, возникающие в сфере сбора, обработки, накопления, хранения, распространения и передачи информации, а также использование компьютерной техники, средств хранения информации, носителей информации и каналов связи телекоммуникаций.

Однако, последние шаги казахстанских законодателей показывают, что необходимость срочной разработки правовых основ регулирования информационных отношений приводит зачастую к поспешному и не всегда корректному формированию ряда базовых правовых понятий в этой области. Прежде всего, имеется в виду Закон Республики Казахстан от 10 июля 2009 года № 178-IV «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационно-коммуникационных сетей», который в 2009 году заменил в казахстанских законах понятие «веб-сайт» на более широкое «интернет-ресурс». Между тем, как известно, правовые механизмы могут быть включены и становятся эффективными лишь тогда, когда общественные отношения, подлежащие регулированию, достаточно изучены и средства их регулирования в полной мере апробированы. Для задач криминализации или декриминализации определенных деяний важно иметь стройную систему представлений о сути данного явления и его качествах, проявляющихся в различных ситуациях по-разному.

На сегодня в Казахстане ряд базовых нормативных правых актов в сфере информационных отношений до сих пор отсутствуют, и приятие их постоянно откладывается. Соответственно, разрозненные нормы, принимаемые в спешном порядке, неизбежно требуют все новых и новых уточнений в каждом следующем нормативном правовом акте. Тому есть немало примеров в недавней истории казахстанского нормотворчества.

Анализ последних законодательных инициатив показывает, что вопросам терминологии, используемой законодателем для формулирования норм о преступлениях в сфере информационной безопасности, не было уделено должного внимания. Это диктует необходимость изучения зарубежного опыта борьбы с такими преступлениями.

Если брать региональный опыт, то, например, на заседаниях Совета министров внутренних дел (полиции) государств-участников СНГ регулярно обсуждаются вопросы принятии совместных мер по противодействию новым формам преступлений в сфере информационных технологий. Аналогичный подход демонстрируется и в деятельности Организации Договора о коллективной безопасности. Генеральный секретарь ОДКБ Николай Бордюжа еще в 2010 году отмечал, что: «Преступления в сфере информационных технологий - особая сфера. Главная особенность - сложившаяся система телекоммуникаций, не имеющая границ. Преступление может быть задумано в одной стране, пройти по коммуникациям трех-четырех других стран и совершиться в пятой…Эта ситуация, в буквальном смысле обрекает нас на налаживание взаимодействия. Надо иметь в виду и то, что предупреждение и раскрытие преступлений в сфере информационных технологий тесно связано с противодействием терроризму, предупреждением чрезвычайных ситуаций и другими направлениями обеспечении безопасности».

На региональном уровне, в СНГ, подписано Соглашение о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации (Минск, 1 июня 2001 г.), утвержденное Указом Президента РК от 25 июня 2002 года № 897. В данном соглашении под «преступлениями в сфере компьютерной информации» понимается уголовно-наказуемое деяние, предметом посягательства которого является компьютерная информация. А под «компьютерной информацией» понимается информация, находящаяся в памяти компьютера, на машинных или иных носителях в форме, доступной восприятию ЭВМ, или передающаяся по каналам связи. Стороны соглашения обязались признавать в соответствии с национальным законодательством в качестве уголовно-наказуемых следующие деяния, если они совершены умышленно: а) осуществление неправомерного доступа к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети; б) создание, использование или распространение вредоносных программ; в) нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред или тяжкие последствия; г) незаконное использование программ для ЭВМ и баз данных, являющихся объектами авторского права, а равно присвоение авторства, если это деяние причинило существенный ущерб.

В Модельном Уголовном кодексе для государств - участников Содружества Независимых Государств (принят Постановлением Межпарламентской Ассамблеи государств - участников Содружества Независимых Государств, Санкт-Петербург, 17 февраля 1996 года) (с изменениями от 3 декабря 2009 года) в одноименном разделе есть глава 30 «Преступления против информационной безопасности», которая включает 7 статей: «Несанкционированный доступ к компьютерной информации», «Модификация компьютерной информации», «Компьютерный саботаж», «Неправомерное завладение компьютерной информацией», «Изготовление и сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети», «Разработка, использование и распространение вредоносных программ», «Нарушение правил эксплуатации компьютерной системы или сети».

Если рассматривать отдельные страны, расположенные на территории бывшего СССР, как государства с наиболее близкой для нас правовой системой, то по рассматриваемому вопросу накоплен следующий опыт.

1) Подход, предложенный в Концепции проекта УК РК, а также Модельном УК СНГ, разделяют Беларусь и Таджикистан. Уголовный кодекс Республики Беларусь от 9 июля 1999 года № 275-З (с изменениями и дополнениями по состоянию на 13.07.2012 г.) содержит главу 31 «Преступления против информационной безопасности» в разделе XII «Преступления против информационной безопасности». В Уголовном кодексе Республики Таджикистан от 21 мая 1998 года № 574 (с изменениями и дополнениями по состоянию на 03.07.2012 г.) есть глава 28 «Преступления против информационной безопасности» в разделе XI «Преступления в сфере экономики».

2) Подход, предложенный в сравнительной таблице по проекту УК РК и в проекте Закона Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информатизации» разделяет Узбекистан. В Уголовном кодексе Республики Узбекистан (утвержден Законом Республики Узбекистан от 22 сентября 1994 года № 2012-XII) (с изменениями и дополнениями по состоянию на 12.04.2012 г.) есть Глава XX «Преступления в сфере информационных технологий» в Разделе 6 «Преступления против общественной безопасности и общественного порядка».

3) Позицию Соглашения о сотрудничестве государств - участников СНГ в борьбе с преступлениями в сфере компьютерной информации восприняли 3 страны. Глава «Преступления в сфере компьютерной информации» имеется в уголовных кодексах следующих стран СНГ:

Уголовный кодекс Российской Федерации от 13 июня 1996 года № 63-ФЗ (с изменениями и дополнениями по состоянию на 28.07.2012 г.) - глава 28 в Разделе IX «Преступления против общественной безопасности и общественного порядка»;

Уголовный кодекс Кыргызской Республики от 1 октября 1997 года № 68 (с изменениями и дополнениями по состоянию на 10.08.2012 г.) - глава 28 в Разделе IX «Преступления против общественной безопасности и общественного порядка»;

Уголовный кодекс Туркменистана от 12 июня 1997 года № 222-1 (по состоянию на 4 августа 2011 года) - глава 33 в разделе XIII «Преступления в сфере компьютерной информации».

4) Схожий подход наблюдается в Уголовном кодексе Республики Армения от 29 апреля 2003 года № ЗР-528 (по состоянию на 2011 год), где есть глава 24 «Преступления против безопасности компьютерной информации» в разделе 9 «Преступления против общественной безопасности, безопасности компьютерной информации, общественного порядка, общественной нравственности и здоровья населения».

5) В Уголовном кодексе Грузии от 22 июля 1999 года № 2287-вс (по состоянию на 2011 год) есть глава XXXV «Компьютерные преступления» в разделе 9 «Преступления против общественной безопасности и общественного порядка».

Схожее название в Уголовном кодексе Азербайджанской Республики от 30 декабря 1999 года № 787-IQ (с изменениями и дополнениями по состоянию на 29.06.2012 г.), где есть глава 30 «Киберпреступления» в разделе Х «Преступления против общественной безопасности и общественного порядка».

6) Близкий подход наблюдается в Молдове и Украине.

Уголовный кодекс Украины от 5 апреля 2001 года № 2341-III (с изменениями и дополнениями по состоянию на 07.06.2012 г.) содержит раздел XVI «Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей, сетей электросвязи».

А в Уголовном кодексе Республики Молдова от 18 апреля 2002 года № 985-XV (с изменениями и дополнениями по состоянию на 14.06.2012 г.) есть глава XI «Информационные преступления и преступления в области электросвязи»

7) В Уголовном кодексе Литвы от 26 сентября 2000 года № VIII-1968 (по состоянию на 2011 год) глава 30 называется «Преступления против безопасности электронных данных и информационных систем» (Crimes against security of electronic data and information systems).

8) В Латвии и Эстонии нет специализированных глав или разделов, посвященных рассматриваемому вопросу.

В Уголовном кодексе Латвийской Республики 17 июня 1998 года (по состоянию на 2011 год) есть статья 177_1 «Мошенничество в автоматизированной системе обработки данных» в главе XVIII «Преступные деяния в отношении собственности». Также в главе XX «Преступления против общей безопасности и общественного порядка» имеются: статья 241 «Самовольный доступ к автоматизированной системе обработки данных», статья 243 «Создание помех в действии автоматизированной системы обработки данных и незаконные действия с включенной в эту систему информацией», статья 244 «Незаконные действия с устройствами воздействия на ресурсы автоматизированной системы обработки данных», статья 244_1 «Приобретение, изготовление, изменение, хранение и распространение данных, программного обеспечения и оборудования для незаконных действий с конечными устройствами сетей электронной связи» и статья 245 «Нарушение правил надежности (эксплуатации) информационной системы».

В Уголовном (Пенитенциарном) кодексе Эстонии от 6 июня 2001 года (по состоянию на 11.06.2008 г.) в подразделе 1 «Причинение вреда» раздела 1 «Виновные деяния против собственности» главы 13 «Виновные деяния против имущества» имеются: статья 206 «Вмешательство в компьютерные данные (Компьютерный саботаж)», статья 207 «Нарушение работы компьютерной сети», статья 208 «Распространение шпионских, деструктивных программ и компьютерных вирусов», а в подразделе 3 «Незаконное пользование»: статья 213 «Компьютерное мошенничество», статья 216_1 «Подготовка компьютерного преступления» (подготовка к совершению предусмотренных статьями 206, 207, 208, 213 или 217), статья 217 «Незаконное пользование компьютерами, компьютерными системами и компьютерными сетями».

А в подразделе 2 «Виновные деяния, связанные с представлением и использованием сведений» раздела 3 «Виновные деяния против осуществления публичной власти» есть статья 284 «Передача защитных кодов».

Следует также отметить, что в ряде этих государств применяется Конвенция о компьютерных преступлениях (Convention on Cybercrime CETS № 185) (Будапешт, 23 ноября 2001 года), которая на сегодня вступила в силу для всех постсоветских государств за исключением Беларуси, РФ и центральноазиатских стран.

В данной Конвенции применяются понятия: «компьютерная система» - любое устройство или группа взаимосвязанных или смежных устройств, одно или более из которых, действуя в соответствии с программой, осуществляет автоматизированную обработку данных и «компьютерные данные» - любое представление фактов, информации или понятий в форме, подходящей для обработки в компьютерной системе, включая программы, способные обязать компьютерную систему выполнять ту или иную функцию.

Будапештская Конвенция обязывает государства:

- криминализовать атаки на компьютерные данные и системы (то есть незаконный доступ, неправомерный перехват, воздействие на данные и функционирование системы, противозаконное использование устройств), а также деяния, совершенные с использованием компьютерных технологий (включая подлог и мошенничество, детскую порнографию и нарушение авторских и смежных прав);

- предпринять процессуальные законодательные меры для того, чтобы компетентные органы смогли проводить расследование киберпреступлений и сохранить легко изменяемые электронные доказательства наиболее эффективно, включая оперативное обеспечение сохранности данных, обыск и выемку хранимых компьютерных данных, перехват данных и т.д.);

- эффективно сотрудничать с другими странами-участницами Конвенции через общие (выдача, взаимная правовая помощь и другие) и специальные процессуальные меры (оперативное обеспечение данных, доступ к хранящимся данным, перехват телекоммуникационных сообщений, создание контактных центров, работающих 24 часа в сутки семь дней в неделю и другие) для международного сотрудничества.

Заметим, что в соответствии с Рамочным решением Совета Европейского Союза от 24 февраля 2005 года № 2005/222/ПВД «Об атаках на информационные системы», государства-члены Европейского Союза были обязаны привести собственные уголовные кодексы и иные правовые акты в соответствие с данным Рамочным решением не позднее 16 марта 2007 года. Решение содержит следующие статьи: статья 2 «Незаконный доступ к информационным системам», статья 3 «Нарушение неприкосновенности системы», статья 4 «Нарушение неприкосновенности данных», статья 5 «Подстрекательство, помощь, пособничество и покушение».

Государства-члены Европейского Союза также должны были принять необходимые меры с целью обеспечить, чтобы предусмотренные статьями 2, 3, 4 и 5 преступления подлежали уголовно-правовым санкциям, которые являются эффективными, соразмерными и обладают предупредительным эффектом, а в отношении наиболее опасных посягательств могут достигать 5 лет лишения свободы. При этом, как и в других актах уголовного законодательства Европейского Союза, речь идет о минимальных стандартах, т.е. государствам-членам не запрещено устанавливать более высокие наказания. Решение также говорит о том, чтобы юридические лица могли привлекаться к ответственности за преступления, предусмотренные статьями 2, 3, 4 и 5, совершенные их пользу всяким лицом, которое действует индивидуально или в качестве члена органа соответствующего юридического лица и занимает внутри этого юридического лица руководящее положение. Государства-члены Европейского Союза установили свою юрисдикцию в отношении преступлений, предусмотренных статьями 2, 3, 4 и 5, когда преступление было совершено: а) полностью или частично на их территории, или b) кем-либо из их граждан, или с) в пользу юридического лица, чье местонахождение расположено на их территории.

Таким образом, в соответствии со сложившимся на сегодня международным подходом, киберпреступность можно разделить на следующие категории:

Преступления против конфиденциальности, целостности и доступности компьютерных систем и данных (так называемые «CIA-преступления»), включая:

- неправомерный доступ, например, путем взлома, обмана и иными средствами;

- неправомерный перехват компьютерных данных;

- воздействие на данные, включая повреждение, удаление, ухудшение качества, изменение или блокирование компьютерных данных;

- воздействие на функционирование системы, включая создание серьезных помех функционированию компьютерной системы, например, путем распределенных атак на ключевую информационную инфраструктуру типа отказ в обслуживании;

- противозаконное использование устройств, то есть, например, производство, продажа или иные действия, направленные на обеспечение доступности программ, устройств и иных средств, предназначенных для совершения «CIA-преступлений»

Преступления, совершенные при помощи компьютерных систем, включая:

- подлог и мошенничество, совершенные с использованием компьютерных технологий;

- преступления, связанные с содержанием данных, в частности - детская порнография, детская эксплуатация и сексуальное насилие, расизм, ксенофобия, а также консультирование, подстрекательство, содействие путем указаний и предложение совершить преступление, начиная с убийства и кончая изнасилованием, пытками, диверсией и терроризмом. Под эту же категорию подпадают кибер-вымогательство, запугивание, клевета, распространение ложной информации в Интернете, азартные игры он-лайн;

- преступления, связанные с нарушением авторских и смежных прав, например, незаконное воспроизводство и использованием компьютерных программ, аудио/видео и иных видов цифровой формы, а также баз данных и книг.

Основные инструменты и инфраструктура киберпреступности включают в себя вредоносные программы, бот-сети, незаконное использование доменов, теневую экономику, предоставляющую товары и услуги. Социальные сети и облачные компьютерные услуги создают новые основы для киберпреступности и новые проблемы для правоохранительных органов.

Мошенничество — это то киберпреступление, о котором в практике отдельных государств сообщается наиболее часто. В частности, оно включает в себя мошенничество, совершенное при помощи украденных персональных данных (с использованием фишинга и других методов социального инжиниринга для кражи информации), платежных карт, атак на он-лайн-банкинг, незаконное использование номера счета, массового маркетинга, аукционов и иных видов злоупотребления доверием, инвестиционного мошенничества, а также пирамид и иных сетевых схем. Помимо мошенничества часто упоминается коммерческое использование материалов со сценами насилия над детьми, подделка медикаментов, преступления, связанные с нарушением авторских прав, мошенничества на сайтах знакомств, незаконные азартные игры, вымогательство и иные преступления, приносящие доход, который потом перемещается и отмывается.

Как следует из проекта УК РК, указанные выше явления, отмеченные в международной практике, были учтены и информационные правоотношения в целом получили в нем широкую уголовно-правовую защиту, а новое уголовное законодательство включает в себя ряд неизвестных ранее составов преступлений.

В Сравнительной таблице по новой редакции УК РК предложена специальная глава 7 «Преступления и проступки против безопасности информационных технологий». Она включает следующие статьи: статья 220 «Нарушение правил эксплуатации информационных систем, электронных информационных ресурсов или информационно-коммуникационных сетей», статья 221 «Несанкционированный доступ к информации», статья 222 «Незаконная модификация информации», статья 223 «Компьютерный саботаж», статья 224 «Неправомерное завладение информацией», статья 225 «Принуждение к передаче информации», статья 226 «Создание, использование или распространение вредоносных компьютерных программ и программных продуктов», статья 227 «Неправомерное распространение электронных информационных ресурсов ограниченного распространения», статья 228 «Предоставление услуг для размещения интернет-ресурсов в противоправных целях», статья 229 «Неправомерное изменение идентификационного кода абонентского устройства сотовой связи, устройства идентификации абонента, а также создание, использование, распространение программ для изменения идентификационного кода абонентского устройства». Также, в главе 6 «Преступления и проступки против собственности» содержится статья 219 «Хищение с использованием информационных технологий».

При этом статья 229 явно выбивается из общего ряда и расширяет родовой объект данных преступлений по украинско-молдавскому образцу.

Что касается общего объекта для остальных преступлений, то хочется отметить следующие моменты.

Очевидно, что задача разработки новой редакции УК РК поставила ряд серьезных проблем перед авторами законопроекта: определить объект соответствующих преступлений, сформулировать их понятие и систему; установить критерии выделения близких по содержанию видов преступных посягательств, отграничения их от других составов преступлений; решить вопрос квалификации, а также ответственности и наказания за них.

Бланкетный характер диспозиций предложенных разработчиками законопроекта уголовно-правовых норм требует обращения к различным нормативным правовым актам, регулирующим возникающие правоотношения, и знания их терминологии.

Представляется вполне правильной позиция авторов законопроекта, о том, что подход, согласно которому в законодательстве следует отражать конкретные технические средства, себя исчерпал. Поэтому именовать всю совокупность данных преступлений термином «компьютерные преступления» не верно. Ведь термин «компьютер» является лишь разновидностью коммуникационной техники или информационного оборудования, частью аппаратно-программного комплекса и не исчерпывает всего разнообразия техники и отношений, связанных с обращением информации, например использование телефонов, коммуникаторов, микроволновой, спутниковой или другой системы передачи данных.

Как указывалось выше, в заголовке соответствующей главы проекта УК РК применяется другой термин: «безопасность информационных технологий».

Но, в настоящее время в законодательстве РК термин «безопасность информационных технологий» не встречается, а применяется лишь в нормативно-технических документах, например, СТ РК ГОСТ Р ИСО/МЭК 15408-1-2006 (ГОСТ Р ИСО/МЭК 15408-1-2002, IDT) «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1 Введение и общая модель».

В проекте Закона Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информатизации», который готовится сейчас параллельно с основным законопроектом «Об информатизации», разработчиком предлагается объединить все уголовно-правовые нормы, касающиеся киберпреступлений, в самостоятельной главе УК РК «Преступления в сфере информационных технологий». Что относится к сфере информационных технологий в казахстанском законодательстве, также не раскрывается.

Однако, сейчас действует Положение о Департаменте государственной политики в сфере информационных технологий Министерства транспорта и коммуникаций Республики Казахстан, утвержденное приказом Ответственного секретаря Министерства транспорта и коммуникаций Республики Казахстан от 5 апреля 2012 года № 153. В нем Департаменту отводится задача реализация государственной политики в сфере: информатизации, «электронного правительства» и электронного документооборота.

Также отметим, что термин «преступления в сфере информационных технологий» в последнее время применяется в работе правоохранительных органов. Так, в Структуре Комитета криминальной полиции Министерства внутренних дел Республики Казахстан, утвержденной приказом МВД РК от 28 ноября 2007 года № 461, существует Управление по организации борьбы с преступлениями в сфере информационных технологий.

В Концепции информационной безопасности Республики Казахстан до 2016 года, утвержденной Указом Президента Республики Казахстан от 14 ноября 2011 года № 174, также говорится об информационных технологиях. В этом документе используется термин «Информационная преступность (киберпреступность)» - вид уголовной преступности, подразумевающий уголовно-наказуемые деяния, совершаемые с использованием информационных технологий.

Таким образом, предложено 2 варианта родового объекта для данного рода преступлений: «безопасность информационных технологий» и «сфера информационных технологий». Возможна также группировка преступлений по их объективной стороне: «с использованием информационных технологий».

Если вести речь об использовании информационных технологий в целом, то сам этот термин раскрывается в Законе Республики Казахстан от 11 января 2007 года № 217-III «Об информатизации» (с изменениями и дополнениями по состоянию на 10.07.2012 г.). Подпункт 13 данного закона гласит, что под «информационными технологиями» понимается совокупность методов, производственных процессов и программно-технических средств, объединенных в технологический комплекс, обеспечивающий сбор, создание, хранение, накопление, обработку, поиск, вывод, копирование, передачу и распространение информации. В той же статье раскрывается содержание еще ряда понятий, употребляемых в проекте УК РК: «информационная система» - система, предназначенная для хранения, обработки, поиска, распространения, передачи и предоставления информации с применением аппаратно-программного комплекса (п.п. 6); «информационно-коммуникационная сеть» - совокупность технических и аппаратно-программных средств обеспечения взаимодействия между информационными системами или между их составляющими, а также передачи информационных ресурсов (п.п. 10); «электронные информационные ресурсы» - информация, хранимая в электронном виде (информационные базы данных), содержащаяся в информационных системах (п.п. 31).

Соответственно, если мы ведем речь о посягательствах на собственно информационные технологии (методы, производственные процессы и программно-технические средства, объединенные в технологический комплекс), то в данной главе должны быть: статья 220 «Нарушение правил эксплуатации информационных систем, электронных информационных ресурсов или информационно-коммуникационных сетей», статья 223 «Компьютерный саботаж» и статья 226 «Создание, использование или распространение вредоносных компьютерных программ и программных продуктов». По названию статьи 220, кстати, сразу возникает вопрос - если, согласно приведенной выше терминологии, информационные ресурсы обязательно содержатся в информационных системах, какой смысл их выделять отдельно?

Статья 219 «Хищение с использованием информационных технологий», статья 228 «Предоставление услуг для размещения интернет-ресурсов в противоправных целях» - это случаи совершения преступлений против иных объектов, когда они совершаются с использованием информационных технологий. В связи с этим, возникает вопрос, являются ли информационные технологии только лишь средством совершения преступлений такого вида или же могут выступать и их предметом, когда они используются с целью совершения другого противоправного посягательства на иной объект? Думается, что при использовании информационных технологий в качестве средства совершения другого преступления отношения по их охране страдают неизбежно, т.е. они сами становится предметом общественно опасного деяния. Невозможно противоправно воспользоваться информационными технологиями для совершения иного преступления, не нарушив при этом их защиты, т.е. не совершив искажения, подделки, уничтожения, модификации, копирования, блокирования и других форм незаконного вмешательства в информационные ресурсы и системы. Даже если не пострадают ресурсы и системы конкретного компьютера, включенного в преступную бот-систему, правомерно употребляемые ее законным пользователем, то практически неизбежно подвергнутся ущербу те, с которыми он связан сетью.

А вот статья 221 «Несанкционированный доступ к информации», статья 222 «Незаконная модификация информации», статья 224 «Неправомерное завладение информацией», статья 225 «Принуждение к передаче информации», статья 227 «Неправомерное распространение электронных информационных ресурсов ограниченного распространения» - говорят о случаях, когда объектом являются права на информацию ее владельца и третьих лиц. В проекте УК РК речь идет об информации, хранящейся на машинном носителе, содержащейся в информационной системе или передаваемой по информационно-коммуникационной сети. В действующем УК РК говорится о компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети (ст. 227 УК РК).

Для того чтобы вести речь о уголовно-правовых средствах защиты прав на информацию, думается, надо рассмотреть особенности и юридические свойства информации как объекта права. Гражданский кодекс Республики Казахстан (Общая часть), принятый Верховным Советом Республики Казахстан 27 декабря 1994 года (с изменениями и дополнениями по состоянию на 22.06.2012 г.) не выделяет информацию как самостоятельный объект гражданских прав. Но говорит, что гражданским законодательством защищается информация, составляющая служебную или коммерческую тайну, в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности (ст.126).

Таким образом, к охраняемой законом относится не вся информация, а лишь та, для которой законодателем установлен специальный режим правовой защиты, а обладателем приняты специальные меры защиты. К слову, в ГК РК понятие «обладатель информации» используется, но не раскрывается. Раскрывается оно, например, в Федеральном законе от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» как «лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам». В Казахстане на сегодня документа устанавливающего статус обладателя информации и его права - нет.

Может ли вообще вести речь о собственности на информацию? Нет, поскольку суть права вещной собственности заключается в том, что конкретная вещь может принадлежать одновременно только одному лицу - собственнику. Однако свойство информации, распространяемость, говорит о том, что одна и та же информация (ее содержание, сведения о чем-либо или о ком-либо) может принадлежать одновременно неограниченному кругу лиц (т.е. ею может обладать или знать ее содержание неограниченный круг лиц).

Информация может иметь разные статусы и режим, присущие только ей, например, правовой режим ограничения доступа к различным видам информации, статус официальной информации и т.д. Но данные статусы не имеют ничего общего с имущественным правом. Когда законодатель пытается распространить на определенные информационные ресурсы институт собственности, по сути дела, он регулирует только отношения собственности на носитель информации - машинный носитель или информационную систему.

Соответственно, следует определиться - о нарушении каких прав и законных интересов идет речь в рассматриваемых статьях проекта УК РК? Кому, например, принадлежит информация, передаваемая по информационно-коммуникационной сети?

Думается открытым на данный момент остается и вопрос о том, какие правила эксплуатации информационных систем, электронных информационных ресурсов или информационно-коммуникационных сетей имеет в виду законодатель?

В свою очередь, Концепцией новой редакции УК РК предлагается дополнить проект УК РК главой «Преступления и проступки против информационной безопасности» и, представляется, что именно этот вариант наиболее правильно обозначает объект преступных посягательств в нашем случае.

Согласно статье 4 Закона Республики Казахстан от 6 января 2012 года № 527-IV «О национальной безопасности Республики Казахстан» (с изменениями по состоянию на 10.07.2012 г.), информационная безопасность это один из видов национальной безопасности: состояние защищенности информационного пространства Республики Казахстан, а также прав и интересов человека и гражданина, общества и государства в информационной сфере от реальных и потенциальных угроз, при котором обеспечивается устойчивое развитие и информационная независимость страны. При этом под информационным пространством в законе понимается сфера деятельности, связанная с формированием, созданием, преобразованием, обработкой, передачей, использованием, хранением информации, оказывающая воздействие в том числе на индивидуальное и общественное сознание, информационную инфраструктуру и собственно информацию. А информационная инфраструктура это совокупность технических средств и систем формирования, создания, преобразования, обработки, передачи, использования и хранения информации. В числе основных угроз национальной безопасности названы снижение уровня защищенности информационного пространства страны, а также национальных информационных ресурсов от несанкционированного доступа, а также информационное воздействие на общественное и индивидуальное сознание, связанное с преднамеренным искажением и распространением недостоверной информации в ущерб национальной безопасности. Очевидно, с учетом этого и должна строиться уголовная политика государства по борьбе с преступлениями против информационной безопасности. Информационная инфраструктура при этом будет охватывать информационные технологии, а т.н. компьютерная информация будет выступать здесь предметом преступного посягательства. При незаконном проникновении в информационную систему и модификации или копировании охраняемой информации преступник не только посягает на отношения собственности или личности, но и нарушает информационную безопасность, которая является видовым объектом по отношению к родовому - национальной безопасности.