Начавшаяся на рубеже XX–XXI веков информатизация проникла практически во все сферы жизни общества. С помощью информационных технологий люди находятся в постоянной коммуникации между собой, отражая события своей жизни в социальных сетях, порождают различные частноправовые отношения, начиная от договора купли-продажи и доходя до заключения брака[1]. Трансформируется и государственное управление: в различных государствах развивается система электронного голосования, правительства наиболее демократичных стран стремятся отражать принятые решения с помощью сайтов и аккаунтов в социальных сетях — политики и общественные деятели пребывают в постоянном поле зрения электората.
Но с новыми технологиями приходят и новые проблемы. В вопросе информатизации общества и государства одна из главных проблем — киберпреступность. Компьютерные преступления развиваются, заманивая в свои ряды талантливых программистов из разных стран и сфер. Компьютерные преступники успешно координируют свою деятельность, создавая целые синдикаты и используя новые информационные технологии: в последние годы более 4/5 внутрипреступного оборота ушло в сферу криптовалют [5, с.118].
По оценкам Генеральной прокуратуры Российской Федерации, количество совершенных киберпреступлений лишь растет. За первые восемь месяцев 2019 г. в России было зарегистрировано 180153 киберпреступления. Это на 66,8 % больше показателя за аналогичный период предыдущего года [7]. Правоохранительные органы не только России, но и других стран, заявляют о большом ряде проблем, с которым им приходится сталкиваться в борьбе с компьютерными преступниками, и одна из этих проблем — решение вопроса о юрисдикции киберпреступления.
Говоря о юрисдикции, следует разобраться с понятием «место совершения преступления». В науке наиболее популярна точка зрения, согласно которой под местом совершения преступления понимается какая-либо территория (суша, водное или воздушное пространство), где совершено преступление.
Однако, при определении места совершения компьютерных преступлений, совершенных посредством глобальной сети Интернет, возникает ряд определенных трудностей. Зачастую, преступник и объект его посягательства могут находиться в совершенно разных географических точках. Это одна из главных черт компьютерных преступлений — трансграничность. Следует учитывать, что последствия, наступившие на территории одного государства, могут отражаться на территориях, находящихся под юрисдикцией других государств [2, с.44]. Исходя из этого, стоит понимать, когда и какое государство должно признать то или иное деяние преступным.
Согласно действующему уголовно-процессуальному законодательству, местом совершения преступления следует признавать то место, где это преступление было окончено. В ч.2 ст.152 УПК РФ установлено, что преступление, начатое в одном месте, но оконченное в другом, расследуется по месту его окончания. В связи с этим возникает вопрос можно ли ставить знак равенства между местом совершения киберпреступления и местом его окончания?
Как считает А. Н. Попов, при расследовании киберпреступлений нужно учитывать не то место, где преступление было окончено, а где оно было совершенно [1, с.62]. Такое суждение основано на ч.2ст.9 УК РФ, где сказано, что временем совершения преступления признается время совершения общественно опасного деяния независимо от времени наступления общественно опасных последствий. Ученый утверждает, что именно с момента совершения преступления начинают течь сроки уголовного преследования, к моменту окончания (наступления опасных последствий) эти сроки могут истечь.
Представляется, что такая точка зрения логична. Например, в ситуации, когда злоумышленник, заразивший компьютер другого человека вирусом, который начнет свое действие лишь спустя определенное время, либо в силу действия антивируса, либо в силу заранее подготовленного таймера. Отчасти, такое заражение компьютера можно сравнить с отравлением человека ядом. Однако такой подход справедлив лишь в тех ситуациях, когда между совершением преступного деяния и наступлением последствий есть разрыв во времени.
Так, например, для привлечения к уголовной ответственности за создание вредоносной программы (ст.273 УК РФ) нам не надо дожидаться момента ее использования и в этом случае местом совершения преступления нужно считать место создания такой программы. В случае же с преступлением, предусмотренным ст.272 УК РФ, важен момент, когда наступают последствия неправомерного доступа (например, блокирование). То есть местом совершения преступления будет именно место наступления таких последствий. Аналогичная ситуация складывается и с преступлением, предусмотренным ст.274.1 УК РФ.
Вопрос места совершения преступления имеет, прежде всего, практического значение. Его решение должно найти отражение в законодательстве. Если местом совершения преступления во всех случаях, связанных с компьютерными преступлениями, считать место его окончания, то следствие непременно будет затягиваться [2, с.45]. В данном случае речь идет об отечественной правоприменительной практике при расследовании межрегиональных преступлений.
Далее следует обратиться к судебной практике. Интересно обратить внимание на материалы Постановления № 1–31/2019 1–986/2018 от 21 января 2019 г. по делу № 1–31/2019 [14]. Фигуранту дела, именуемого в материалах ФИО1, вменялось совершение преступлений, предусмотренных и ст.272 и ст.273 УК РФ. При расследовании эпизодов, связанных с несанкционированным доступом местом происшествия рассматривалось место, где находился компьютер одного из потерпевших. При расследовании эпизодов, связанных с использованием вредоносных программ — комната, в которой жил ФИО1.
Таким образом, с точки зрения российского права, юрисдикция киберпреступления определяется в зависимости от места его совершения, если речь идет о составе ст.273, и в зависимости от места наступления его последствий, если речь идет о составе ст.272.
Но в силу отмеченной выше трансграничности компьютерных преступлений вопрос определения юрисдикции относится к сфере международного уголовного права. Как говорится в Докладе Европола от 30 сентября 2015 года [5, c. 91], правоохранительные органы Европы сталкиваются с проблемой того, что изготовители и эксплуантаты вредоносных программ чаще всего находятся за пределами ЕС, тогда как объекты их преступлений располагаются на территории Евросоюза. Европол исходит из того, что государствам требуется развивать сотрудничество не декларативного, а процедурного и операционного характера.
Попытки принятия документов по международному регулированию киберпреступности предпринимались не раз, как и на общемировом уровне (ООН), так и на уровне отдельных межгосударственных объединений (ЕС, СНГ и др.). Однако пока они не были успешными.
В случае с регулированием на уровне ООН единой конвенции окиберпреступлениях еще не принято. Интерес вызывают лишь несколько Резолюций Генассамблеи ООН и, частично, одна Конвенция. В Конвенции ООН против транснациональной организованной преступности 2000 года вопросу о юрисдикции посвящено 16 статей.
В ст.4 говорится, что в отношение преступлений, предусмотренных данной Конвенцией, государства-участники не наделены правом осуществлять на территории другого участника Конвенции «юрисдикцию и функции, которые входят исключительно в компетенцию органов этого другого государства в соответствии с его внутренним законодательством» [10]. Юрисдикция государства (ст.15) распространяется на преступления, предусмотренные этой Конвенцией, когда:
- Преступление совершено против его гражданина;
- Преступление совершено гражданином или лицом, которое «обычно проживает» на его территории.
Запросы о выдаче лиц, конфискации имущества или проведении мероприятий по раскрытию и преследованию преследований осуществляются лишь при согласии другой стороны и с учетом ее внутреннего законодательства. Конвенция предполагает совершение подобных транснациональных преступлений с помощью компьютерной техники. В данном случае Россия подтвердила свое участие (наша страна присоединилась к Конвенции в 2004 году [8]), поэтому можно сделать предположение, что при определении юрисдикции трансграничного киберпреступления, совершенного преступной организацией, положения этой Конвенции могут использоваться.
Также стоит обратить внимание на Концепцию Конвенции ООН об обеспечении международной информационной безопасности [12]. В Концепции указано, что государства-участники вправе самостоятельно определять регулирование своих информационных структур. У участников есть обязанность по предотвращению информационных угроз, исходящих с их территории (например, определение источника компьютерных атак). Касательно определения юрисдикции (ст.11) в Концепции говорилось о том, что преступления подпадают под юрисдикцию государства, если оно было совершено на его территории, на борту судна или самолета, зарегистрированного в этом государстве. В случае споров о юрисдикции участникам Конвенции предлагается проводить консультации с целью определения «наиболее подходящей юрисдикции для судебного преследования» [12] (это положение полностью совпадает с положением Конвенции Совета Европы от 2001 года, которая рассматривалась ранее). Рассматриваемая Концепция предполагала определять юрисдикцию компьютерных преступлений по принципу «каждый держит отчину свою» — преступление расследуется тем государством, где оно было совершено, а в случае споров проводятся консультации. Однако данная Конвенция так и не была принята. Из этого можно сделать вывод о том, что на общемировом уровне нет единого документа по регулированию киберпреступлений.
Наиболее известным международным документом по регулированию компьютерных преступлений является Конвенция Совета Европы о преступности в сфере компьютерной информации ETS N 185 от 23.11.2001г. Положения Конвенции призваны гармонизировать уголовно-материальные и процессуальные нормы государств-членов в области компьютерной безопасности, также направлены на выработку слаженных действий правоохранительных органов в случае, если на юрисдикцию в отношении преступления претендуют несколько государств-членов.
В параграфе 5 статьи 22 указано, что участники этой Конвенции могут сами, путем переговоров и консультаций, определить, «наиболее подходящую юрисдикцию» [11]. Помимо того, Конвенция предоставляет ее участникам получать доступ к компьютерным данным других участников (ст.32) и осуществлять перехват, сбор и запись компьютерных данных (ст.34). Иными словами, Конвенция позволяет вести борьбу с компьютерной преступностью в режиме «без границ».
Можно сказать, что Конвенция 2001 года — воплощение в реальность «коммунистической мечты о мире без границ». Однако правопреемница Советского Союза — Россия отказалась от участия в данной Конвенции [15], хотя изначально стремилась к обратному. Правительство РФ было озабочено положениями ст.32 о беспрепятственном получении доступа к данным одного государства со стороны любого другого, участвующего в Конвенции. В ходе переговоров российская сторона выразила мнение о том, что такого рода положения угрожают безопасности и суверенитету стран-участниц Конвенции.
Что касается Содружества Независимых Государств, то попытки решить вопрос с уголовным преследованием компьютерной преступности принимались еще в конце XX столетия. В 1996 году был разработан Модельный уголовный кодекс СНГ, в 12-й раздел которого был посвящен преступлениям против компьютерной безопасности.
1 июня 2001г в Минске было составлено Соглашение о сотрудничестве государств СНГ в борьбе с преступлениями в сфере компьютерной информации. Данное Соглашение, по мнению отдельных ученых [4], является базовым документом для разработки совместных программ и договоров по борьбе с киберпреступностью. На основе этого Соглашения уже была разработана и принята Программа сотрудничества в борьбе с преступлениями, совершаемыми с использованием информационных технологий, на 2016–2020 гг. Пункт 1.2 Организационно-правовых мероприятий говорит о «совершенствовании и гармонизации национального законодательства» государств-участников. Возможно, что такой вопрос, как юрисдикция, все-таки будет когда-то решен в рамках СНГ на законодательном уровне.
Примером очередного провала международного сотрудничества может служить и Директива ЕС о хранении данных от 16 марта 2006 года. Согласно данному документу, интернет-провайдеры обязаны обеспечить хранение данных с привязкой к местонахождению их пользователей, «чтобы обеспечить доступ к данным в целях расследования, выявления и судебного преследования за тяжкие преступления, как то определено национальным законодательством каждого государства-члена» [13 (авторский перевод)]. Казалось бы, принятие такой Директивы способствует разрешению вопроса о юрисдикции киберпреступлений, но документ был подвергнут резкой критике, многие государства-члены увидели в этом документе угрозу праву на частную жизнь, а в 2013 году Суд Европейского Союза объявил Директиву несовместимой с Хартией по правам человека [6, с.153].
Как следует из вышеприведенных примеров, на международном уровне предпринимаются попытки по решению вопроса о юрисдикции киберпреступлений, а государства продолжают придерживаться территориального принципа.
Обратимся к законодательству других государств в рассматриваемой сфере. Наверное, одной из самых оригинальных и интересных правовых систем является правовая система Великобритании, которая входит в число первопроходцев[2] в регулировании ответственности за компьютерные преступления. Уже в 1990 году там был принят Закон о компьютерных злоупотреблениях (Computer Misuse Act 1990).
Закон 1990 года интересен, в первую очередь тем, что в нем решен вопрос о юрисдикции киберпреступлений. Из анализа ст.5–7 можно сделать вывод о том, что если предметом киберпреступления стал компьютер, который находится на территории Соединенного Королевства, то оно подлежит расследованию британскими органами, а преступник подлежит суду той страны, где он находился в момент совершения преступления [16].
В США, как в в федеративном государстве, отсутствует отдельный закон о борьбе с киберпреступлениями, а уголовное право представлено различными нормативными актами, как на федеральном уровне, так и на уровне каждого из штатов.
Разрешая вопрос о возможных спорах о юрисдикции между федерацией и штатами, Верховный Суда США отметил, что в случае принятия на себя от имени всего государства обязательств, проистекающих из международного договора, штаты утрачивают право создавать аналогичные («параллельные») нормы уголовного законодательства [9]. Подобная позиция закреплена и в 7м параграфе главы 1 18го тома Свода законов США (данный свод является источником права и на федеральном, и на уровне штатов).
Заключая международный договор в связи с регулированием ответственности за определенное киберпреступление, федерация признает его особую, общегосударственную значимость, именно поэтому оно будет в компетенции федерации, а не штата. В 2006 году США присоединились к Конвенции о киберпреступлениях 2001 года, значит, основная обязанность по регулированию и по борьбе с компьютерной преступностью лежит именно на федерации.
Это не означает, что штаты некомпетентны преследовать компьютерных преступников. Часть специалистов указывает [9] на то, что в ведении штатов остаются компьютерные преступления категории «misdemeanor», более тяжкие категории «felony» — за федерацией. К последней категории относится кибертерроризм и спам (согласно соглашению The Memorandum of Understanding, заключенному между США, Англией и Австралией). В случае со спамом, речь идет, конечно же, не о рассылке на подписку какого-либо журнала — имеется в виду рассылка коммерческих предложений с содержанием, вводящим получателя в заблуждение [3, с.134].
В заключение данного анализа можно сделать выводы:
– На международном уровне до настоящего времени отсутствует универсальный правовой документ, посвященный вопросам противодействия компьютерным преступлениям;
– В отечественном законодательстве специальных положений о юрисдикции преступления против компьютерной информации не содержится. Основываясь на доводах теории, в решении вопроса о такой юрисдикции следует руководствоваться общими правилами ст. 11–12 УК РФ, учитывая место совершения, механизм совершения конкретного преступления и место наступления его последствий;
– Международные договоры, в большей своей части, говорят о том, что вопросы трансграничных преступлений должны решаться путем консультаций.
– В некоторых странах вопрос о юрисдикции решен однозначно, например, в Великобритании, где преступление, совершенное против «британского компьютера» расследуются британскими правоохранительными органами в независимости от местонахождения преступника.
– В США в федеральную юрисдикцию входят все особо тяжкие киберпреступления, а также преступления, криминализированные международными договорами. Иные менее тяжкие преступления в рассматриваемой сфере регулируются уже законами штатов.
Литература:
- А. Н. Попов. Преступления в сфере компьютерной информации. Учебное пособие/ Санкт-Петербург, 2018. С.62
- В. Г. Степанов-Егиянц. К вопросу о месте совершения компьютерных преступлений// Армия и общество, 2014 С.45
- В. Г. Степанов-Егиянц. Преступления против компьютерной информации. Сравнительный анализ. Москва, 2010. С.134
- В. П. Ревин. Актуальные проблемы сотрудничества государств — участников содружества независимых государств в борьбе с преступлениями, совершаемыми с использованием информационных технологий//Международное сотрудничество евразийских государств: политика, экономика, право, 2017. С.82
- В. С. Овчинский. Основы борьбы с киберпреступностью и кибертерроризмом. Хрестоматия. Москва, 2017.
- Йован Курбалийя. Управление интернетом. Москва, 2018.С. 153
- Официальный сайт Генеральной Прокуратуры РФ https://genproc.gov.ru/smi/news/genproc/news-1703326/ [дата обращения 01.12.19]
- Бюллетень международных договоров № 3 за 2004 год https://naukaprava.ru/catalog/159/160/172/23072?view=1 [дата обращения 01.12.19]
- Комаров А. А. Юрисдикция транснациональных компьютерных преступлений в системе общего права. // Международное право. — 2017. — № 1. — С. 26–37http://e-notabene.ru/wl/article_20270.html#2 [дата обращения 1.12.19]
- Официальный сайт ООН. Конвенция против транснациональной организованной преступности Режим доступа https://www.un.org/ru/documents/decl_conv/conventions/orgcrime.shtml [дата обращения 30.11.19]
- Переведенный текст Конвенции в СПС Гарант https://base.garant.ru/4089723/94f5bf092e8d98af576ee351987de4f0/ [дата обращения 30.11.19]
- https://www.mid.ru/foreign_policy/official_documents/-/asset_publisher/CptICkB6BZ29/content/id/191666 [дата обращения 01.12.19]
- Директива о хранении данных 2006 г EUR-Lex https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1574607881354&uri=CELEX:32006L0024 [дата обращения 01.12.19]
- Постановление Калужского районного суда № 1–31/2019 1–986/2018 от 21 января 2019 г. по делу № 1–31/2019. Материалы размещены на портале www.sudact.ru. [дата обращения 30.11.19]
- Распоряжение Президента РФ от 22.03.2008г.№ 144-рп/СЗ РФ № 13. Ст.1295
- Сайт http://www.legislation.gov.uk/ukpga/1990/18/contents [дата обращения 02.12.19]
- Сайт Ю. М. Батурина http://www.computer-museum.ru/articles/materialy-mezhdunarodnoy-konferentsii-sorucom-2017/1461/ [дата обращения 02.12.19]
[1] Сейчас с помощью порталов www.mos.ru и www.gosuslugi.ru граждане РФ могут подать заявление о заключении брака в режиме online
[2] К слову сказать, есть мнения отдельных ученых о том, что СССР ничуть не отставал от западных стран в вопросе регулирования ответственности за киберпреступления. На своем сайте Ю.М. Батурин указывает, что к 1991 году были готовы поправки к Административному и Уголовному кодексам РСФСР о правонарушениях/преступлениях, связанных с использованием компьютерной техники. [19]