Статья 274 УК РФ: Субъект ответственности
Приведенная публикация подготовлена с учетом тенденций правового толкования норм российского законодательства, базируется на сложившейся правоприменительной, а также личной практике адвоката Павла Домкина. Публикация не является руководством для самостоятельных процессуальных решений, перед принятием любых юридически значимых действий, рекомендуется получить соответствующую правовую консультацию у практикующих специалистов.
Наиболее дискуссионным вопросом при расследовании преступлений по статье 274 УК РФ является надлежащего определение субъекта уголовной ответственности, а именно установление лица, ответственного за нарушение информационной безопасности. В большинстве случаев орган следствия, руководствуясь штатным расписанием, процессуально устанавливает, в чьи служебные полномочия входило обеспечение надлежащей сохранности компьютерной информации. С одной стороны, подобный подход выглядит верным, но с другой, на практике зачастую возникают ситуации, когда формальный подход к разрешению данного вопроса неприменим.
Из буквального толкования уголовного закона следует, что в уголовно-правовом порядке по статье 274 УК РФ наказуемы действия, связанные:
- с нарушением правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации или правил эксплуатации информационно-телекоммуникационных сетей и оконечного оборудования;
- с нарушением правил доступа к информационно-телекоммуникационным сетям
если подобные действия повлекли за собой уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.
Соответственно, к уголовной ответственности по статье 274 УК РФ может быть привлечен субъект, на которого в силу его служебного, должностного или иного положения распространяется действие “Правил эксплуатации” или “Правил “доступа” к информационно-телекоммуникационным сетям и оборудованию. Нарушениями правил эксплуатации могут признаваться: несанкционированная установка стороннего программного обеспечения, использование нелицензионного программного обеспечения, сознательное изменение параметров настройки защиты информационных ресурсов, допуск к компьютерной технике посторонних лиц, подключение к сети Интернет (при наличии соответствующего ограничения), передача персональных данных для доступа к защищенным информационным ресурсам третьим лицам и т.д.
В том случае, если субъект осуществляет доступ к коммуникационным сетям или охраняемой законом компьютерной информации, не являясь вышеуказанным уполномоченным лицом, его действия считаются неправомерными, поскольку совершаются в обход, а не с нарушением установленного порядка эксплуатации или доступа. Подобные противоправные действия могут быть квалифицированы по статье 272 УК РФ.
Фундаментальное отличие статьи 274 УК РФ от иных составов “компьютерных преступлений” состоит в том, что она устанавливает возможность привлечения к уголовной ответственность так называемых легитимных пользователей компьютерной информации, если они идут на сознательное нарушение правил обращения с охраняемой законом информацией и, если это влечет за собой причинение крупного ущерба или тяжких последствий. Тем самым, уголовный закон дисциплинирует ответственных лиц к соблюдению сохранности значимой компьютерной информации, доступ к которой особо оговаривается действующими ограничениями.
Вопрос о том, подлежит ли конкретное лицо ответственности по статье 274 УК РФ, устанавливается правоохранительными органами с учетом оценки следующих обстоятельств:
- существуют (наличествуют) ли в рассматриваемой ситуации правила обращения и работы с компьютерной информацией, правила эксплуатации её носителей или коммуникационных сетей и т.п., которые должны быть закреплены в положении закона, подзаконного акта, локального акта, инструкции, правилах, приказе и т.п.;
- затрагивают ли данные правила вопрос обеспечения сохранности охраняемой законом компьютерной информации и определяют ли они круг лиц, на которые правила распространяются, а также установлены ли данные правила уполномоченным лицом;
- имеется ли у конкретного (потенциально виновного) лица надлежаще оформленный доступ к компьютерной информации, коммуникационным сетям и оконечному оборудованию.
Фактическое отсутствие хотя бы одного из перечисленных обстоятельств означает, что лицо не может считаться субъектом преступления по статье 274 УК РФ.
Например, если сотрудник организации, фактически допущенный руководителем к информационным ресурсам для выполнения своих трудовых обязанностей, допустил нарушение порядка обеспечения сохранности информации, но при этом не был ознакомлен с существующим порядком эксплуатации информационных сетей, и как следствие не мог осознавать, что совершенные им действия противоречат существующим правилам эксплуатации (доступа), либо доступ сотрудником осуществлялся при полном отсутствии регламентирующих документов, он не может расцениваться как лицо, совершившее преступление по статье 274 УК РФ. Меры ответственности, в том числе уголовной, могут быть применены к руководителю организации (генеральному директору, директору и т.д.), если он в силу требований закона был обязан установить порядок, обеспечивающий сохранности информации, но не сделал этого, или не контролировал порядок соблюдения установленных ограничений.
Неверным является расхожее мнение, что субъектом ответственности по статье 274 УК РФ может быть только специально уполномоченное лицо, которое уполномочено в силу своего должностного положения обеспечивать сохранность компьютерной информации, например, системный администратор, инженер по информационной безопасности и т.д. В ситуации, когда организация применяла в своей деятельности несертифицированное оборудование или нелицензионное программное обеспечение, постановка вопроса о привлечения к уголовной ответственности технического специалиста выглядит некорректно. У специалиста, как правило, отсутствует возможность закупки программного обеспечения и оборудования за счет средств и в интересах организации. В данном случае орган следствия обязан установить, кто именно допустил “должностную пассивность”, не обеспечив сохранность компьютерной информации по причине отсутствия средств технической защиты, что повлекло за собой перечисленные в статье 274 УК РФ материальные последствия.
Резюмируя изложенное, следует еще раз отметить, что установление субъекта ответственности по статье 274 УК РФ не должно ограничиваться наличием формальных полномочий на доступ к информационным ресурсам. В каждом уголовном деле подлежат обязательному исследованию фактические обстоятельства, свидетельствующие об обязанности и объективной возможности у конкретного лица соблюдать правила безопасного использования компьютерной информацией и коммуникационных сетей.
Адвокат Павел Домкин