Проблемы совершенствования правового регулирования противодействия использованию информационных технологий в преступных целях Доклад на VII Международной конференции «Право и Интернет» http://www.ifap.ru/pi/07/ Полякова Татьяна Анатольевна - заместитель директора Департамента конституционного законодательства и законодательства о безопасности Министерства юстиции Российской Федерации Семизорова Екатерина Владимировна На современном этапе столь динамичного развития и применения информационных технологий неизбежно возникает проблема защиты общества от их использования в преступных целях. Преступность в сфере высоких технологий не имеет границ и составляет угрозу международной безопасности. Международными документами, предусматривающими противодействие использованию информационных технологий в преступных целях, являются Окинавская Хартия Глобального информационного общества, подписанная главами «восьмерки» (Okinawa Charter on Global Information Society) от 22 июля 2000 г., Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Convention for the protection of individuals with regard to automatic processing of personal data) от 28 января 1981 г., Конвенция Совета Европы о киберпреступности (Convention on cybercrime) от 23 ноября 2001 г., Декларация принципов построения информационного общества (Declaration of Principles WSIS03/Geneva), принятая на Всемирной встрече на высшем уровне в Женеве в декабре 2003 г. и др. Окинавская Хартия Глобального информационного общества (Okinawa Charter on Global Information Society) призывает международное сообщество к согласованности действий по созданию безопасного и свободного от преступности киберпространства. Важным шагом к формированию транснационального информационного общества и в противодействии использованию компьютерных систем в преступных целях является подготовка к ратификации Российской Федерацией Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Convention for the protection of individuals with regard to automatic processing of personal data) 1981 года, что в свою очередь включает целый комплекс подготовительных мер, таких как: принятие федеральных законов «О защите персональных данных», «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», «Об 2 информации, информационных технологиях и защите информации» и внесение соответствующих изменений в законодательные акты в связи с ратификацией Конвенции. Конвенция Совета Европы о киберпреступности (Convention on cybercrime), направленная на борьбу с преступлениями в сфере компьютерной информации, подписанная рядом государств Европейского Союза 23 ноября 2001 г., направлена на повышение эффективности уголовных расследований и процессуальных действий в отношении уголовных преступлений, связанных с компьютерными системами и компьютерными данными. Конвенция вступила в силу 1 июля 2004 г. В настоящее время Конвенция подписана 31 государством, из них лишь 11 ее ратифицировало. Следует отметить, что ряд государств, таких как Болгария, Венгрия, Дания, Литва, Румыния, Эстония и др. при ратификации Конвенции приняли оговорки относительно целого ряда статьей Конвенции, регулирующих вопросы, связанные с противозаконным доступом (статья 2); воздействием на данные (статья 4); правонарушениями, связанными с детской порнографией (статья 9); сферой применения процессуальных норм (статья 14); выдачей (статья 24); процедурами направления запросов о взаимной помощи в отсутствие применимых международных соглашений (статья 27); неотложным обеспечением сохранности хранящихся компьютерных данных (статья 29); сетью (статья 35). Российская Федерация до настоящего времени Конвенцию не подписала. Присоединение к Конвенции неизбежно потребует либо принятия оговорок относительно юридического действия целого ряда положений Конвенции относительно их применения в Российской Федерации, либо внесения изменений в российское уголовное законодательство, связанных, в первую очередь, с дополнением Уголовного кодекса Российской Федерации отсутствующими в настоящее время составами преступлений: мошенничество с использованием компьютерных технологий; противозаконный перехват данных; изготовление, использование, либо сбыт специальных средств для получения неправомерного доступа к компьютерной информации, а также нормой об ответственности за производство или распространение порнографических предметов с изображением несовершеннолетних. Конвенция предусматривает уголовную, гражданскую или административную ответственность юридических лиц за преступление, которое совершается в его пользу любым физическим лицом, действующим как индивидуально, так и по специальному полномочию данного юридического лица, а также вследствие ненадлежащего исполнения должностным лицом своих служебных обязанностей. В связи с тем, что уголовное законодательство Российской Федерации не предусматривает 3 института ответственности юридических лиц, необходимо видимо и дополнение Кодекса Российской Федерации об административных правонарушениях нормами об ответственности юридических лиц за названные правонарушения. В связи с тем, что Конвенцией предусмотрены меры по оперативному обеспечению сохранности компьютерных данных, включая сведения о потоках информации и об абонентах с целью их дальнейшего предоставления правоохранительным органам, в Федеральный закон «О связи» требуется внесение дополнений об обязанности операторов связи сохранять данные в течение необходимого срока, предоставлять эти данные по запросам соответствующих правоохранительных органов, а также обеспечивать конфиденциальность хранимой информации и, по просьбе правоохранительных органов, самого факта резервирования и предоставления данных. Кроме того, требует серьезной проработки возможность применения в Российской Федерации положений Конвенции, касающихся трансграничного доступа к хранящимся компьютерным данным с соответствующего согласия или к общедоступным данным (статья 32). Возможность трансграничного доступа к компьютерным данным без ведома их обладателя может представлять серьезную угрозу национальной безопасности Российской Федерации. Действующее законодательство, в основном, позволяет проводить предусмотренные Конвенцией следственные действия и оперативнорозыскные мероприятия, однако, не исключено, что соответствующих изменений потребует и Федеральный закон «О оперативно-розыскной деятельности» и Уголовно-процессуальный кодекс Российской Федерации с целью учета специфики производства соответствующих действий в компьютерных сетях. Этот вопрос нуждается в дополнительной проработке. 28 января 2003 г. 25 государств подписали Дополнительный протокол к Конвенции о преступлениях в сфере компьютерной информации, об инкриминировании расистских актов и совершенного ксенофоба при помощи информационных систем (Additional protocol to the Convention on cibercrim, concerning the criminalization of acts of a racist and xenophobic nature committed through computer systems). В настоящее время документ ратифицирован Албанией, Данией (с оговорками, связанными с распространением расистских и ксенофобских материалов посредством компьютерных систем (статья 3); расистским и ксенофобском мотивированном оскорблением (статья 5); отрицанием, чрезвычайной минимизацией, одобрением или оправдание геноцида или преступлений против человечества (статья 6); территориальным применением (статья 14)) и Кипром. Целью протокола является введение уголовной ответственности за правонарушения, связанные 4 с проявлением расизма и ксенофобии, совершенные посредством компьютерных систем. В протоколе отмечается, что нормы как международного, так и национального права должны обеспечивать адекватные и законные ответные меры в борьбе против пропаганды расизма и ксенофобии, проводимой посредством компьютерных систем. На первом Всемирном саммите по вопросам информационного общества, прошедшем в Женеве 10 декабря 2003 г. на высшем уровне, утверждена Декларация принципов, определившая концепцию и основные принципы формирования информационного общества (Declaration of Principles WSIS03/Geneva). Одним из основополагающих принципов информационного общества Декларация определила принцип укрепления доверия и безопасности при использовании информационно-коммуникационных технологий. Речь идет о формировании, развитии и внедрении глобальной культуры кибербезопасности. Указанные процессы должны основываться на международном сотрудничестве заинтересованных сторон и компетентных международных организаций, а также на уровне социально-экономического развития каждого государства, связанном с ориентацией на развитие аспектов информационного общества. Кроме того, в Декларации особое внимание уделяется деятельности, направленной на предотвращение возможности использования информационных технологий в целях, направленных на нарушение международной безопасности и целостности государственных инфраструктур. Декларация призывает мировое сообщество к предотвращению использования информационных ресурсов и технологий в преступных и террористических целях. Российская Федерация выступила с инициативой, направленной на создание под эгидой Совета Европы Общеевропейского регистра нормативных правовых актов государств-участников Совета Европы. Указанная инициатива нашла поддержку и в Резолюции № 1 «О борьбе с терроризмом» (Resolution “Combating terrorism”), принятой на 25-й Конференции европейских министров юстиции в октябре 2003 г. в Софии. Комитету министров Совета Европы рекомендовано приступить к рассмотрению возможности создания европейского регистра национальных и международных правовых актов, начав в качестве приоритетной задачи с правовых актов в области борьбы с терроризмом. По инициативе представителей российской делегации в Парламентской ассамблее Совета Европы идея создания Общеевропейского регистра нашла отражение в Рекомендации ПАСЕ 1677 (2004) от 6 октября 2004 г. (Chelleng of terrorism in Council of Europe member states) к Комитету министров Совета Европы о начале подготовительной работы по составлению общеевропейского регистра национальных и международных нормативных 5 актов, связанной с необходимостью обеспечения создания системы компьютеризированного доступа к нормативным актам государств-членов Совета Европы и других европейских организаций и обменом правовой информацией. В настоящее время федеральными органами исполнительной власти разрабатываются соответствующие предложения, связанные с созданием Общеевропейского регистра, в частности, его пилотного проекта – правовой базы данных по борьбе с терроризмом и обеспечению общественной безопасности. Отрицательное влияние пробелов и различий в законодательстве об обеспечении информационной безопасности государств-членов Европейского Союза отмечается и в подписанном 24 февраля 2005 г. в Брюсселе Рамочном решении Совета Евросоюза об атаках на информационные системы, в котором особенно подчеркнута необходимость защиты информационных систем и банков данных от преступных посягательств террористических групп и иных преступных организаций. Ситуация, связанная с угрозой срыва процесса создания более безопасного информационного общества и формирования пространства свободы, безопасности и правосудия, как отмечается в Рамочном решении, требует реакции на уровне Европейского Союза. На прошедшем 10 мая 2005 г. в Москве 15-м саммите Россия – Европейский Союз были утверждены «дорожные карты» по четырем общим пространствам Россия – ЕС: общее экономическое пространство; общее пространство свободы, безопасности и правосудия; общее пространство внешней безопасности; общее пространство науки и образования, включая культурные аспекты. В Разделе II «Дорожной карты» по общему пространству свободы, безопасности и правосудия, посвященным безопасности, предусмотрено обсуждение конкретных мер по борьбе с международным терроризмом в новых областях, таких, как использование сети Интернет в террористических целях и рекомендаций по саморегулированию средств массовой информации. В части защиты от использования поддельных или похищенных документов, дающих право на пересечение границы (проездных документов) «Дорожной картой» по общему пространству свободы, безопасности и правосудия предусмотрены мероприятия по изучению возможности использования национальными правоохранительными органами, в соответствии с Уставом Интерпола, базы данных Интерпола по утерянным и украденным незаполненным и выданным проездным документам. 6 Следует отметить, что Российской Федерацией принимаются активные меры, направленные на повышение защищенности документов, удостоверяющих личность граждан Российской Федерации, дающих право на въезд в Российскую Федерацию и выезд из Российской Федерации. В рамках указанной работы распоряжением Президента Российской Федерации от 18.09.2004 № 439-рп образована Межведомственная рабочая группа по подготовке введения в Российской Федерации паспортно-визовых документов нового поколения, в том числе с использованием паспортновизовых технологий документирования личности с использованием биометрической информации. Ведется работа по разработке проекта указа Президента Российской Федерации «О выдаче основных документов, удостоверяющих личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащих электронные носители информации», проекта постановления Правительства Российской Федерации «Об утверждении образцов и описания бланков основных документов, удостоверяющих личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащих электронный носитель информации» и ряда других. Рассматривается также возможность передачи информации, имеющейся в соответствующих национальных базах данных об утерянных и похищенных, выданных и незаполненных проездных документах, для пополнения базы данных Интерпола. Планируется также изучить возможности обмена информацией о введении биометрических данных в проездные документы. Динамика развития и использования информационных технологий, к сожалению, расширяет и возможности совершения преступлений. Так, в условиях развития информационных технологий возникает необходимость правового регулирования отношений, связанных с массовой рассылкой незапрашиваемых электронных сообщений (так называемый «спам»), зачастую используемых для распространения вредоносных программ и влекущих за собой несанкционированное блокирование, копирование информации, нарушение работы сети ЭВМ и прочее. Массовая рассылка производится без согласия получателя незапрашиваемой информации («спама»), на использование его адреса и при сокрытии или замене информации, идентифицирующей лицо, от имени которого делается рассылка (или без указания действительного адреса, по которому получатель может направить требование о прекращении рассылки). Противодействие «спаму» также требует проведения оперативно-розыскных мероприятий, которые могут осуществляться в рамках расследования соответствующих преступлений. 7 В последнее время в целом ряде государств (Бельгии, Дании, США и др.) сделали попытку дополнения национального законодательства нормами, направленными на ограничение распространения незапрашиваемых электронных сообщений или запрет этой деятельности. Их опыт также необходимо изучить и использовать в борьбе со «спамом». Вопросы борьбы со «спамом» нашли отражение и в Декларации принципов построения информационного общества. «Спам» представляет для пользователей, сетей и в целом для Интернет серьезную проблему, масштабы которой, как указывается в Декларации, возрастают. Вопросы, касающиеся «спама» и кибербезопасности, следует рассматривать не только на международном, но и на национальном уровнях. Необходима разработка международной конвенции по защите от «спама». Также следует отметить, что до сих пор в международных актах и в национальном законодательстве отсутствуют четко сформулированные понятия киберпреступности, кибербезопасности и кибертерроризма. Однако представляется, что необходимость обеспечения национальной безопасности от этих угроз на основе согласованности действий требует от международного информационного сообщества выработки единого правового механизма регулирования противодействия использованию информационных технологий в преступных целях.