Правовая защита информации_вопросы к экзамену. Закон Об информации, информатизации и защите информации
Скачать 167.87 Kb.
|
Права субъекта персональных данныхПредоставление персональных данных 1. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных за исключением случаев, установленных законом. Персональные данные предоставляются субъектом лично либо через доверенное лицо. 2. В целях реализации своих прав и свобод субъект предоставляет данные в объеме, определяемом законодательством, а также сведения об их изменениях в соответствующие федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления, имеющих право на работу с персональными данными в пределах их компетенции. 3. Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информирован об ином возможном использовании персональных данных. Доступ субъекта к своим персональным данным 1. Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к субъекту персональных данных и иметь к ним доступ. Право на доступ может быть ограничено только в случаях, предусмотренных законодательством РФ. 2. Информирование граждан о наличии персональных данных у держателей (обладателей) массивов данных осуществляется на основе общедоступного Реестра держателей (обладателей) массивов персональных данных, публикуемого в средствах массовой информации. 3. Информация о наличии и содержании персональных данных субъекта должна быть выдана ему держателем (обладателем) массива персональных данных в общедоступной документированной форме, четко и ясно выраженная, и не должна содержать персональных данных, относящихся к другим субъектам. 4. Персональные данные предоставляются их субъекту по его инициативе на основании письменного запроса субъекта и документа, удостоверяющего его личность, за плату, не превышающую затраты на поиск и выдачу информации. Информация о наличии персональных данных и сами персональные данные предоставляются субъекту данных в срок, не превышающий недели с момента подачи заявления. 5. Субъект персональных данных имеет право знакомиться с документами, содержащими сведения персонального характера о нем. Внесение субъектом изменений в свои персональные данные При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя (обладателя) этих данных внесения изменений в свои персональные данные. Блокирование и снятие блокирования персональных данных Если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя (обладателя) заблокировать эти данные. Обжалование неправомерных действий в отношении персональных данных Если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вправе обжаловать эти действия в общем порядке, установленном действующим законодательством, либо обратиться с жалобой в уполномоченный орган государственной власти по персональным данным. Порядок обращения в уполномоченный орган государственной власти по персональным данным Обращение (жалоба, заявление, предложение) должно быть пода но в письменной форме и содержать фамилию, имя, отчество и адрес субъекта персональных данных, наименование и адрес держателя (обладателя) массива персональных данных, чьи действия обжалуются изложение существа действий или решений, нарушивших, по мнению субъекта, его права. Возмещение убытков и (или) компенсация морального вреда В случае установления неправомерности действий держателя (обладателя) массива персональных данных при работе с ними субъект данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. В случае передачи одних и тех же персональных данных от одного держателя (обладателя) к другому и невозможности определения конкретного виновника нанесения ущерба ответственность несет каждый держатель (обладатель) этих данных. Ограничение прав субъекта на предоставление и получение своих персональных данных Ограничение прав субъекта на предоставление и получение своих персональных данных возможно в отношении: 1) права предоставления субъектом своих персональных данных держателям (обладателям) массивов персональных данных — для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, — в пределах, установленных Законом РФ «О государственной тайне»; 2) права доступа субъекта к своим персональным данным, внесения в них изменений, блокирования своих персональных данных: а) для персональных данных, полученных в результате оперативно-розыскной деятельности, за исключением случаев, когда эта деятельность проводится с нарушением действующего законодательства; б) для персональных данных субъектов, задержанных по подозрению в совершении преступления, либо которым предъявлено обвинение по уголовному делу, либо к которым применена мера пресечения до предъявления обвинения, в органах, проводящих указанные действия; в) для иных персональных данных в случаях, предусмотренных действующим законодательством. 55.Права и обязанности держателя (обладателя) по работе с массивами персональных данных. Полномочия (права и обязанности) держателей (обладателей) массивов персональных данных 1. Федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления имеют право выступать в качестве держателей (обладателей) массивов персональных данных и на работу с персональными данными в соответствии со своей компетенцией, установленной действующим законодательством. 2. Юридические лица имеют право на работу с персональными данными на основании решения Правительства РФ. Обязанности держателя (обладателя) массива персональных данных Держатель (обладатель) массива персональных данных обязан: получать персональные данные непосредственно от субъекта персональных данных, его доверенных лиц или из других законных печников; обеспечивать режим конфиденциальности персональных данных, 1редусмотренных законодательством РФ; определять и документально оформлять порядок работы служащих организационной структуры, осуществляющих работу с персональнымиданными массива, а также лиц, несущих юридическую ответственность за соблюдение режима конфиденциальности и сохранности персональных данных; обеспечивать сохранность и достоверность персональных данных, а также установленный в нормативном порядке режим доступа к ним; сообщать субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставлять сами персональные данные в недельный срок после поступления от него запроса, за исключением случаев, предусмотренных законодательством РФ; в случае отказа в предоставлении субъекту по его требовании) информации о наличии персональных данных о нем, а также самих персональных данных, выдавать письменный мотивированный ответ в срок, не превышающий двух недель с момента обращении субъекта; в двухнедельный срок представлять по запросам уполномоченном! органа государственной власти по персональным данным или по правам человека информацию, необходимую для исполнения их полномочий. 2. Лица, которым персональные данные стали известны в силу их служебного положения, принимают на себя обязательства и несут ответственность по обеспечению конфиденциальности этих персональных данных. Такие обязательства остаются в силе и после окончании работы этих лиц с персональными данными в течение срока сохранения режима конфиденциальности. Обязанности держателей (обладателей) персональных данных по составлению перечней персональных данных 1. Федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления или уполномоченные ими структуры — держатели (обладатели) осуществляющие работу с персональными данными в пределах компетенции, установленной действующим законодательством, разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и руководствуются ими. 2. Указанные перечни согласовываются с Уполномоченным по правам субъектов персональных данных, регистрируются в этом перечне и публикуются в Реестре держателей (обладателей) массивов персональных данных, ежегодно издаваемом этим органом. Данные перечни устанавливают объем сведений, используемых федеральными органами государственной власти, органами государственной власти субъектов Федерации, органов местного самоуправления для реализации своей компетенции. 3. Порядок регистрации перечней персональных данных определяется Правительством РФ. 4. Держатели (обладатели) массивов персональных данных, осуществляющие работу с персональными данными по решению Правительства РФ, разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и согласовывают их с уполномоченным органом государственной власти по персональным данным. 5. Перечни персональных данных должны соответствовать целям сбора этих данных. Расширение установленных перечней для реализации целей иного характера не допускается. Обязанности держателя (обладателя) массива персональных данных по блокированию, снятию блокирования и уничтожению персональных данных 1. В случае выявления субъектом персональных данных их недостоверности или неправомерности действий с ними держателя (обладателя) массива персональных данных субъект может подать заявление держателю (обладателю) массива этих данных или обратиться к Уполномоченному по персональным данным. Держатель (обладатель) обязан принять к производству заявление субъекта и заблокировать его Персональные данные с момента его получения на период проверки заявления. 2. В случае подтверждения недостоверности персональных данных держатель (обладатель) массива данных обязан на основании документов, представленных субъектом, исправить их и снять блокирование. 3. В случае установления неправомерности сбора персональных данных держатель (обладатель) обязан уничтожить соответствующие данные в срок, не превышающий трех дней с момента такого установления, и документально уведомить об этом субъекта персональных данных. 4. В случае взаимного признания правомерности действий с персональными данными или их достоверности держатель (обладатель) массива персональных данных обязан безотлагательно снять их блокирование. 5. В случае несогласия держателя (обладателя) массива персональных данных с заявлением субъекта персональных данных конфликтные ситуации рассматриваются Уполномоченным по правам субъектов персональных данных или в административном либо судебном по рядке. При получении решения Уполномоченного по правам субъектов персональных данных, ответственного за ведение Регистра населения РФ, держатель (обладатель) обязан рассмотреть его, принять соответствующие меры и в месячный срок в письменной форме сообщить об этом Уполномоченному. Обязанности органов государственной власти и органов местного самоуправления при взаимном обмене персональными данными 1. Органы государственной власти и органы местного самоуправления могут в своей деятельности использовать персональные данные находящиеся у других государственных держателей (обладателей) персональных данных. Перечни используемых данных регистрируются Уполномоченным по правам субъектов персональных данных. 2. Формирование сводных массивов персональных данных, по лученных органами государственной власти или органами местного самоуправления от различных государственных держателей (обладателей) персональных данных, не допускается. 3. Контроль за использованием персональных данных, полученных органами государственной власти и органами местного само управления от других государственных держателей (обладателей) персональных данных, осуществляется Уполномоченным по правам субъектов персональных данных. Организация государственного справочного обслуживания персональными данными 1. С целью организации справочного обслуживания физических и юридических лиц персональными данными Уполномоченный по правам субъектов персональных данных ведет регистр первичного учета физических лиц. 2. Уполномоченный по правам субъектов персональных данных организует справочное обслуживание физических и юридических лиц и органов государственной власти и органов местного самоуправление на основе данных регистра первичного учета персональных данных Передача персональных данных 1. Держатель (обладатель) массива персональных данных вправе передавать эти данные другому держателю (обладателю) без согласия субъекта персональных данных в случаях: если цели использования персональных данных получателем этих данных соответствуют целям первоначального сбора данных; крайней необходимости для защиты жизненно важных интересов субъекта персональных данных; по запросу федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления, если запрашивающий орган компетентен запрашивать эти персональные данные; на основании закона. 2. Передача персональных данных по просьбе субъекта данных либо третьей стороны, которой передаются данные, возможна для заключения и (или) исполнения договора, в котором субъект данных является стороной, либо для принятия необходимых мер до заключения договора по просьбе субъекта персональных данных. 3. Подтверждение согласия субъекта персональных данных на передачу его персональных данных третьей стороне для использования в целях, не соответствующих целям первоначального сбора, не требуется только в том случае, если оно было получено в процессе сбора этих данных. Держатель (обладатель) массива персональных данных обязан информировать субъекта персональных данных о передаче его персональных данных третьей стороне в любой форме в недельный срок. 4. Персональные данные передаются держателем (обладателем) массива персональных данных получателю в минимальном объеме, необходимом для решения задач получателя. Передача производится во исполнение договора, заключаемого между держателем (обладателем) персональных данных и получателем, в котором документально фиксируются: получатель информации; основания для передачи персональных, данных; цель передачи; состав и объем передаваемых данных; сроки использования персональных данных в пределах, установленных для обладателя (держателя), условия актуализации и обеспечения сохранности персональных данных. 5. При передаче персональных данных на получателя данных возлагается обязанность соблюдения режима их конфиденциальности. 6. Персональные данные, собранные на средства государственного бюджета, передаются в органы государственной власти и организации бюджетной сферы бесплатно. Трансграничная передана персональных данных 1. При трансграничной передаче персональных данных передающий данные российский держатель (обладатель) массива персональных данных исходит из наличия существующего соглашения между сторонами, согласно которому получающая сторона обеспечивает адекватный российскому уровень защиты прав и свобод субъектов персональных данных и охраны персональных данных. 2. Российская Федерация обеспечивает законные меры охраны находящихся на ее территории или передаваемых через ее территорию персональных данных, исключающие их искаженней несанкционированное использование. 3. Передача персональных данных российскими держателями (обладателями) массивов персональных данных в страны, не обеспечивающие адекватный российскому порядок зашиты прав и свобод субъектов персональных данных, уровень охраны персональных данных возможен при условии: явно выраженного согласия субъекта персональных данных на эту передачу; необходимости передачи персональных данных для заключения и (или) исполнения контракта между субъектом и держателем (обладателем) массива персональных данных либо между держателем (обладателем) и третьей стороной в интересах субъекта персональных данных; если передача необходима для защиты жизненно важных интересов субъекта персональных данных; если персональные данные содержатся в общедоступном массиве персональных данных. 4. При передаче персональных данных по глобальной информационной сети (Интернет и т.п.) держатель (обладатель) массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, в том числе конфиденциальности. Обезличивание персональных данных Для проведения статистических, социологических, исторических, медицинских и других научных и практических исследований держатель (обладатель) массива персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. Режим конфиденциальности, установленный для персональных данных, снимается. Обезличивание должно исключать возможность идентификации субъекта персональных данных. Хранение персональных данных 1. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора или дольше срока, предусмотренного лицензией. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено действующим законодательством. По истечении срока хранения, достижении целей сбора персональных данных, истечении срока действия лицензии они подлежат уничтожению в течение двух недель, что подтверждается актом. 2. В случае принятия в установленном порядке решения о необходимости сохранения персональных данных после истечения срока хранения, достижения целей их сбора или истечения срока действия лицензии, держатель (обладатель) массива персональных данных обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных. 3. Определенные персональные данные (личные дела, метрические книги и др.) по миновании практической надобности в них могут оставаться на постоянном хранении, приобретая статус архивного документа либо иной статус, предусмотренный действующим законодательством. Актуализация персональных данных 1. Держатель (обладатель) массива персональных данных вносит изменения в имеющиеся у него персональные данные при условии документального подтверждения достоверности новых данных: в случаях, предусмотренных законом; по собственной инициативе; по инициативе субъекта персональных данных, персональные данные которого подлежат изменению. 2. По требованию субъекта персональных данных изменения вносятся не позднее месячного срока с момента подачи им заявления Внесение изменений по инициативе держателя (обладателя) осуществляется в соответствии с внутренними правилами. 56.Защита информации в соответствии с административным законодательством. В Кодексе РФ об административных правонарушениях выделена отдельная 13 глава, которая называется «Административные правонарушения в области связи и информации». В данной главе практически полностью урегулированы вопросы ответственности за ненадлежащее отношение к информации, ее сбору, распространению и защите. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) – влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1000 рублей; на юридических лиц – от 5000 до 10000 рублей. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), – влечет наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц – от 500 до 1000 рублей; на юридических лиц – от 5000 до 10000 рублей. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), – влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от 1000 до 2000 рублей; на юридических лиц – от 10000 до 20000 рублей с конфискацией несертифицированных средств защиты информации или без таковой. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и/или оказанием услуг по защите информации, составляющей государственную тайну, – влечет наложение административного штрафа на должностных лиц в размере от 2000 до 3000 рублей; на юридических лиц – от 15000 до 20000 рублей. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, – влечет наложение административного штрафа на должностных лиц в размере от 3000 до 4000 рублей; на юридических лиц – от 20000 до 30000 рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), – влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей с конфискацией средств защиты информации или без таковой; на должностных лиц – от 2000 до 3000 рублей с конфискацией средств защиты информации или без таковой; на юридических лиц – от 10000 до 20000 рублей с конфискацией средств защиты информации или без таковой. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и/или оказанием услуг по защите информации, составляющей государственную тайну, без лицензии – влечет наложение административного штрафа на должностных лиц в размере от 4000 до 5000 рублей; на юридических лиц – от 30000 до 40000 рублей с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой. Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, – влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей; на должностных лиц – от 4000 до 5000 рублей. Изготовление и (или) распространение теле-, видео-, кинопрограмм, документальных и художественных фильмов, а также относящихся к специальным средствам массовой информации информационных компьютерных файлов и программ обработки информационных текстов, содержащих скрытые вставки, воздействующие на подсознание людей и (или) оказывающие вредное влияние на их здоровье, – влечет наложение административного штрафа на граждан в размере от 2000 до 2500 рублей с конфискацией предмета административного правонарушения; на должностных лиц – от 4000 до 5000 рублей с конфискацией предмета административного правонарушения; на юридических лиц – от 40000 до 50000 рублей с конфискацией предмета административного правонарушения. Уголовная ответственность за преступления в сфере компьютерной информации. Под компьютерным преступлением понимают предусмотренные уголовным законом общественно опасные действия, совершенные с использованием средств электронно-вычислительной (компьютерной) техники. Поскольку информация и информационные отношения стали новым объектом преступления, то информационные отношения получили и уголовно-правовую защиту. При этом необходимо учитывать одну особенность: компьютер в преступлениях может выступать одновременно в качестве предмета и в качестве орудия совершения преступления. С целью унификации национальных законодательств 13 сентября 1989 года на заседании Комитета министров Европейского Совета был выработан список правонарушений, рекомендованный странам-участницам ЕС для разработки единой уголовной стратегии при разработке законодательства, связанного с компьютерными преступлениями. Он содержит так называемые Минимальный и Необязательный списки правонарушений. Минимальный список: компьютерное мошенничество; компьютерный подлог; повреждение компьютерной информации и компьютерных программ; компьютерный саботаж; несанкционированный доступ к компьютерным сетям; несанкционированный перехват информации; несанкционированное копирование защищенных компьютерных программ; незаконное изготовление топографических копий. Необязательный список: изменение информации или компьютерных программ; компьютерный шпионаж; противозаконное применение компьютера; несанкционированное применение защищенных компьютерных программ. Уголовный кодекс РФ первым на постсоветском пространстве установил ответственность за совершение преступлений, родовым объектом которых являются охраняемые уголовным законом от преступных посягательств правоотношения в сфере компьютерной информации. Эти отношения могут возникать по поводу: производства, сбора, обработки, накопления, хранения, поиска, передачи, распространения и потребления компьютерной информации; создания и использования информационных компьютерных технологий и средств их обеспечения; защиты компьютерной информации и прав субъектов, участвующих в информационных процессах и информатизации с использованием компьютеров, их систем и сетей. Из приведенного перечня видно, что уголовным законом охраняются не все элементы правоотношений в этой сфере. Кроме того, данный перечень не совсем соответствует спискам, рекомендованным Европейским Союзом. В то же время можно отметить, что составы преступлений, предусмотренных ст.ст. 272-274, УК РФ свидетельствуют о принципиально правильной позиции законодателей, которые отнесли их к посягательствам в сфере компьютерной информации. Всем им присуще признание компьютерной информации, информационной компьютерной инфраструктуры или ее части как предметом преступного посягательства, так и обязательной составляющей объективной стороны состава преступления. Статья 272 УК РФ. Неправомерный доступ к компьютерной информации. 1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, – наказывается штрафом в размере до 200000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. 2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, – наказывается штрафом в размере от 100000 до 300000 или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет. Объектом неправомерного доступа к компьютерной информации как преступления являются правоотношения по поводу владения, пользования и распоряжения информацией. Данная норма уголовного закона оберегает компьютерную информацию, где бы она ни содержалась и ни циркулировала: в памяти ЭВМ, системе ЭВМ, сетях электросвязи, на машинных носителях информации. Предметом преступного посягательства определена компьютерная информация, охраняемая законом. Объективную сторону преступления составляет неправомерный доступ к компьютерной информации, который всегда связан с совершением определенных действий и может выражаться в проникновении в компьютерную систему путем: использования специальных технических или аппаратно-программных средств, позволяющих преодолеть установленные системы защиты; незаконного использования действующих паролей или кодов для проникновения в компьютер либо совершения иных действий в целях проникновения в систему или сеть под видом законного пользователя; хищения носителей машинной информации при условии, что были приняты меры к их охране, если это деяние повлекло уничтожение или блокирование информации. Неправомерным является доступ к компьютерной информации лица, не обладающего правами на получение и работу с данной информацией либо компьютерной системой, в отношении которых принимаются специальные меры защиты, ограничивающие круг лиц, имеющих к ней доступ. Под доступом к компьютерной информации подразумевается любая форма проникновения в источник информации с использованием средств (вещественных и интеллектуальных) электронно-вычислительной техники, позволяющая манипулировать полученной компьютерной информацией (копировать, модифицировать, блокировать либо уничтожать ее). Состав данного преступления носит материальный характер и предполагает обязательное наступление одного из последствий: Уничтожение информации Блокирование информации Модификация информации Копирование информации Нарушение работы ЭВМ, системы ЭВМ или их сети. Преступление, предусмотренное ст. 272 УК РФ, считается оконченным с момента наступления указанных последствий. Вместе с тем неправомерный доступ к компьютерной информации часто сопровождается нейтрализацией интеллектуальных средств ее защиты. Субъективная сторона данного преступления характеризуется виной в форме прямого умысла. Косвенный умысел и неосторожная форма вины могут иметь место по отношению к наступлению вредных последствий неправомерного доступа, предусмотренных диспозицией данной нормы уголовного закона. Субъектом преступления может быть вменяемое физическое лицо, достигшее 16-летнего возраста. 57.Уголовно-правовые аспекты компьютерных преступлений. Преступления в сфере компьютерной информации (компьютерные преступления) – это запрещенные уголовным законом виновные посягательства на безопасность в сфере использования компьютерной информации, причинившие существенный вред или создавшие угрозу причинения такого вреда личности, обществу или государству. Первые компьютерные преступления, зарегистрированные в 1969 и 1973 годах, имели корыстные мотивы. Альфонсе Конфессоре совершил налоговое преступление на сумму 620 тыс. долларов и в 1969 году предстал перед американским судом. В 1973 году кассир нью-йоркского Ситибанка, использовав служебный компьютер, без особого труда перевел на свой счет 2 млн. долларов. С тех пор началась официальная история компьютерных преступлений. Первоначально, столкнувшись с компьютерной преступностью, органы уголовной юстиции начали борьбу с ней при помощи традиционных правовых норм об ответственности за кражу, мошенничество, злоупотребление доверием и др. Однако такой подход оказался недостаточно эффективным, поскольку многие компьютерные преступления не охватываются составами традиционных преступлений. Так, простейший вид компьютерного мошенничества – перемещение денег с одного счета на другой путем «обмана компьютера» – не охватывается ни составом кражи (ввиду отсутствия предмета кражи – материального имущества – так как «деньги» существуют тут не в виде вещей, но в виде информации на компьютерном носителе), ни составом мошенничества, поскольку обмануть компьютер в действительности можно лишь в том смысле, в каком можно обмануть и замок у сейфа. Первым опытом отечественного уголовного законодательства о компьютерных преступлениях является гл.28 УК РФ «Преступления в сфере компьютерной информации». В нее включены три статьи: ст.272 – «Неправомерный доступ к компьютерной информации»; ст.273 – «Создание, использование и распространение вредоносных программ для ЭВМ» и ст.274 – «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети». Впервые в России, 19 января 1998г., Южно-Сахалинский городской суд рассмотрел уголовное дело о преступлениях в сфере компьютерной информации. Из материалов дела следует, что студент учебного заведения с помощью специально созданной программы подбирал ключи к адресам абонентов электронной почты и копировал на свой компьютер сведения, в том числе и конфиденциального характера. Он приговорен к 3 годам лишения свободы условно с испытательным сроком 2 года и к штрафу в 200 минимальных окладов. В 1999 году в Пермской области была пресечена деятельность преступной группы, похитившей в одном из коммерческих банков около 280 тыс. долларов. Члены этой группировки были приговорены к 7 и 6,5 годам лишения свободы. В Челябинской области преступник, уничтоживший информационный массив банка с помощью специально разработанной вредоносной программы, был осужден на два года лишения свободы. В настоящее время в России особенно ярко подобная тенденция проявляется в финансовых учреждениях всех форм собственности вследствие все более возрастающего использования ими разнообразных средств компьютерной техники. Автоматизированные информационные системы начинают играть доминирующую роль (по сравнению с ручными) в обработке данных и осуществлении всех типов финансовых операций как внутри страны, так и в государственных контактах. Так, весьма распространены хищения в банковской деятельности с использованием ЭВМ или компьютерных сетей. Для этого вида хищения характерно то, что преступники, используя служебное положение, имеют доступ к компьютерной информации финансового характера, сосредоточенной в вычислительных центрах банковских учреждений, и, обнаружив пробелы в деятельности ревизионных служб, осуществляют криминальные операции с указанной информацией, находящейся в ЭВМ или на машинных носителях. По данным МВД России, с 1992-1994 гг. из банковских структур преступниками по фальшивым кредитным авизо и поддельным ордерам было похищено более 7 трлн. руб. В связи с ростом подобных хищений еще в конце 1993 г. в Центральном Банке Российской Федерации (далее – ЦБ РФ) и региональных расчетно-кассовых центрах были установлены компьютерные системы защиты от фальшивых платежных документов. По данным ЦБ РФ, ежеквартально выявляется фиктивных платежей на десятки миллиардов рублей, которые преступники внедряют в сети подразделений банка. В настоящее время в отечественной криминалистической науке все еще не существует четкого определения понятия компьютерного преступления, дискутируются различные точки зрения по их классификации. Сложность в формулировках этих понятий существует, на наш взгляд, как по причине невозможности выделения единого объекта преступного посягательства, так и множественности предметов преступных посягательств с точки зрения их уголовно-правовой охраны. Например, Ю.М.Батурин считает, что компьютерных преступлений как особой группы преступлений в юридическом смысле не существует, отмечая, однако, при этом тот факт, что многие традиционные виды преступлений модифицировались из-за вовлечения в них вычислительной техники и поэтому правильнее было бы говорить лишь о компьютерных аспектах преступлений, не выделяя их в обособленную группу преступлений. Другого, более определенного взгляда в этом вопросе, по нашему мнению, придерживается АЛ.Караханьян. Под компьютерными преступлениями он понимает противозаконные действия, объектом или орудием совершения которых являются электронно-вычислительные машины. Таким образом, в настоящее время существуют два основных течения научной мысли. Одна часть исследователей относит к компьютерным преступлениям действия, в которых компьютер является либо объектом, либо орудием посягательств. При этом, в частности, кража самих компьютеров рассматривается ими как один из способов совершения компьютерных преступлений. Исследователи же второй группы относят к компьютерным преступлениям только противозаконные действия в сфере автоматизированной обработки информации. Они выделяют в качестве главного классифицирующего признака, позволяющего отнести эти преступления в обособленную группу, общность способов, орудий, объектов посягательств. Иными словами, объектом посягательства является информация, обрабатываемая в компьютерной системе, а компьютер служит орудием посягательства. Отметим, что законодательство многих стран, в том числе и в России, стало развиваться именно по этому пути. Видовым (групповым) объектом компьютерных преступлений является информационная безопасность (как вид общественной безопасности) – общественные отношения, обеспечивающие безопасное использование компьютерных систем и сетей, т.е. такое их использование, которое исключает причинение вреда личности, обществу и государству. Непосредственными объектами преступлений в сфере компьютерной информации являются отдельные виды отношений, входящие в содержание данного вида общественной безопасности: неприкосновенность информации, содержащейся в ЭВМ, их системе или сети, и правильная эксплуатации системы, исключающие причинение вреда личности, обществу и государству. Предметом компьютерных преступлений является автоматизированная система обработки данных, которая включает как материальный элемент (ЭВМ и сетевое оборудование), так и элемент нематериальный (программы и иная информация). Объективная сторона компьютерных преступлений характеризуется как действие (бездействие), выразившееся в нарушении прав и интересов по поводу пользования компьютерными системами и сетями. Компьютерные преступления имеют материальные составы (исключением является преступление с формальным составом, предусмотренное ч.1 ст.273 УК РФ: создание, использование и распространение вредоносных программ для ЭВМ). Между деянием и последствием должна быть установлена причинная связь. Субъективная сторона компьютерных преступлений в соответствии с буквой закона характеризуется как умышленной, так и неосторожной виной. Субъект компьютерного преступления – лицо, достигшее 16 лет. В ст.274 и в ч.2 ст.272 УК РФ формулируются признаки специального субъекта: лицо, имеющее доступ к ЭВМ, системе ЭВМ или их сети. Неправомерный доступ к компьютерной информации (ст.272 УК РФ) представляет собой одно из самых малоизученных и в то же время достаточно опасных преступлений последнего времени, приобретающее все более угрожающие масштабы. Его последствия таят реальную угрозу причинения вреда отношениям безопасности личности, общества и государства в самых различных сферах – от нарушения конституционных прав и свобод человека и гражданина до преступлений, посягающих на мир и международную безопасность. Статья 272 УК РФ предусматривает ответственность за неправомерный доступ к компьютерной информации, т.е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Непосредственным объектом преступления является право владельца компьютерной системы на неприкосновенность содержащейся в системе информации. Владельцем системы является любое лицо, правомерно и в своих интересах пользующееся услугами по автоматизированной обработке данных: как собственник компьютера, так и лицо, приобретшее право пользования компьютером в обязательственных отношениях. В последнем случае преступление может быть совершено и собственником компьютера. С объективной стороны рассматриваемое преступление выражается в неправомерном (противоречащем закону или иному нормативному акту) доступе к компьютерной информации или информационным ресурсам. Способы неправомерного доступа к охраняемой законом компьютерной информации могут быть самыми разнообразными. Например, соединение с тем или иным компьютером, подключенным к телефонной сети, путем автоматического перебора абонентских номеров, использование чужого имени (пароля), использование ошибки в логике построения программы или провоцирование ошибок соединения, выявление слабых мест в защите автоматизированных систем (непосредственный взлом систем защиты), считывание информации с компьютера после окончания его работы или вслед за законным пользователем и др. Под неправомерным доступом к охраняемой законом компьютерной информации следует понимать самовольное получение информации без разрешения собственника или владельца. В связи с тем, что речь идет об охраняемой законом информации, неправомерность доступа к ней потребителя характеризуется еще и нарушением установленного порядка доступа к этой информации. Если нарушен установленный порядок доступа к охраняемой законом информации, согласие ее собственника или владельца не исключает неправомерности доступа к ней. В качестве преступных последствий в ст. 272 УК РФ определены: уничтожение, блокирование, модификация либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Под уничтожением информации понимается удаление ее с соответствующих носителей. Блокирование информации означает создание препятствий для правомерного доступа к этой информации. Модификация информации означает изменение охраняемой законом информации. Под копированием понимают перенос информации или части информации с одного физического носителя на другой, если такой перенос осуществляется помимо воли собственника или владельца этой информации (например, запись информации в память ЭВМ). Нарушение работы ЭВМ, системы ЭВМ или их сети имеет место в случае, если компьютерная система не выполняет своих функций, выполняет их не должным образом или в случае заметного уменьшения производительности системы. Между указанными действиями и последствиями должна быть установлена причинная связь. Состав преступления материальный. Субъективная сторона характеризуется умышленной формой вины. В соответствии со ст.27 УК РФ и в связи с тем обстоятельством, что сам по себе неправомерный доступ к компьютерной информации не является преступлением, данное преступление нельзя считать преступлением с двумя формами вины. Совершая это преступление, лицо осознает, что неправомерно вторгается в компьютерную систему, предвидит возможность или неизбежность наступления предусмотренных в законе последствий, желает или сознательно допускает наступление этих последствий либо относится к ним безразлично. Мотивы и цели неправомерного доступа к охраняемой законом компьютерной информации могут быть самыми разнообразными. Как правило, это корысть. Однако анализируемое преступление может совершаться из мести, зависти, хулиганства, желания испортить деловую репутацию конкурента и т.д. |