Половина ответа

Автор: Павел Протасов
Опубликовано 13 февраля 2007 года

Источник
http://www.computerra...=rss&r2=remote

Давным-давно, когда так называемое "информационное право" только зарождалось, в ходу был вопрос о том, нужно ли судьям и следователям, ведущим уголовные дела о "компьютерных преступлениях", разбираться в технике. Может показаться, что ответ на него лежит на поверхности: для того, чтобы разъяснить вещи, требующие специальных познаний, в Уголовно-процессуальном кодексе существует институт экспертов. Увы: для того, чтобы правильно вопрос задать, надо знать половину ответа. В случае с "компьютерными преступлениями" это верно как никогда.

Псевдоследствие против псевдохакеров

Не стоит винить вопрошавших в наивности: настоящих хакеров тогда никто и не видел. Да и сейчас в милицейских пресс-релизах за них выдают любителей "халявного интернета", натаскавших чужих паролей и причинивших хозяевам оных бааальшущий материальный ущерб. (Забавный, кстати, возникает эффект, когда о пользовании интернетом по стянутому паролю пресса рассуждает сплошь в страшных официальных терминах вида "компьютерный взломщик осуществлял неправомерный доступ", и так далее…)

И это происходит вовсе не потому, что никто не крадет деньги с чужих кредиток, не использует ботнеты и троянцев. Все это есть, но львиная доля таких преступлений остается нерасследованной: в результате поиска нашей милицией легких путей возбуждаются по преимуществу те самые "дела о халявном интернете". Плюс к этому - типовые дела о "несанкционированном доступе к информации" и "вредоносных программах". Да и расследуются они с неимоверным количеством нарушений закона: в документах, которые "отделами "К" обнародованы в качестве демонстрации своих успехов, очень мало таких, к которым нельзя было бы придраться.

Но почему же уголовные дела, "слепленные" с нарушениями закона, тем не менее, проходят суд и не заканчиваются оправдательными приговорами? По очень простой причине: судьи просто не знают половины ответов на те вопросы, которые им нужно выяснять при рассмотрении дела. Наша задача - научиться объяснять им то, чего они не знают. Я говорю "наша задача", потому что при существующей практике возбуждения уголовных дел их "фигурантом" может оказаться чуть ли не каждый пользователь компьютера.

"Собственность на информацию"

Одним из поводов к написанию этой статьи стало очередное дело о "несанкционированном доступе к информации". Однажды со мной связался человек, которого сотрудники "отдела "К" поймали на "оперативном эксперименте", заключавшемся в том, что он по просьбе милиционеров изготовил копию SIM-карт, им принадлежащих.

Технология изготовления проста, для этого требуется SIM-ридер и мульти-SIM-карта, специальное устройство, имитирующее карту обычную, но с возможностью записи в него данных с нескольких симок. То есть мульти-SIM можно использовать вместо нескольких обычных карт. У многих читателей наверняка имеется несколько контрактов с разными операторами, и если вам по каким-то причинам захочется пользоваться их услугами попеременно, то симки придется перетыкать туда-сюда, перезагружая телефон. Мульти-SIM успешно решает эту проблему, а также много других.

Для того чтобы прочитать информацию с SIM-карты, нужно, во-первых, воткнуть ее в ридер, а во-вторых, знать пин-код. Для копирования также нужно некоторое время, так что в тайне от хозяина сделать это вряд ли получится. Как результат, в общем случае это может сделать только сам владелец карты. Тем не менее, таких "народных умельцев" милиция ловит, приравнивая к хакерам.

В свое время я писал в "Компьютерре" о том, что такое "право собственности на информацию" [12], и почему это вредное словосочетание употреблять ни в коем случае не нужно. Именно из-за него стали возможны ситуации, подобные описанной выше - когда человека обвиняют в "несанкционированном доступе" к собственному телефону, или аппарату, переданному ему владельцем. По логике милиционеров, "информация" в телефоне объявлялась "собственностью" его производителя, а ее изменение - соответственно, "несанкционированным доступом". Однако, это - не более чем плод воображения оперативников из "отделов "К". Какой-то умник первым придумал, "раскрыл преступление" и распространил передовой опыт. Другие сделали так же - благодаря интернету обмениваться опытом стало гораздо легче. Заманчиво было бы установить первооткрывателя "собственности", да отрубить какой-нибудь из парных органов, но это, к сожалению, недостижимо…

"Информация" сейчас действительно есть в списке "объектов гражданских прав", который закреплен в статье 128 Гражданского кодекса. Но, во-первых, право собственности - вещное, и нематериальные субстанции к ней быть отнесены никак не могут. Во-вторых, с 1 января 2008 года в силу вступит новая редакция этой статьи, в которой никакой "информации" уже не будет [см. 5, ст. 17, п. 8]. А из действующего в настоящий момент закона "Об информации, информационных технологиях и защите информации"1 [4] "собственность на информацию" пропала.

В новом "треглавом" законе введено понятие "обладателя информации", то есть лица, которое либо создает ее самостоятельно, либо имеет право ограничивать доступ к ней. Кроме этого, есть там понятие "оператора информационной системы" - лица, осуществляющего деятельность по ее эксплуатации, в том числе по обработке информации, содержащейся в базах данных. Также в законе четко прослеживается общий принцип: любые ограничения на доступ к информации должны устанавливаться на уровне федерального закона. На этом же уровне должны устанавливаться преимущества применения технологий обработки и защиты информации2 .

Принципиально ничего нового этот "треглавый закон" по сравнению со старым не внес. Правомерность работы с данными ставится в зависимость не от абстрактного "права собственности" на них, а от режима использования "информационной системы", в которую входят, кроме "информации", еще "информационные технологии и технические средства", а проще говоря, программы и компьютеры, информацию обрабатывающие. То есть, собственность на средства, которыми обрабатывается информация, все же влияет на правомерность такой обработки, и, как следствие, на разграничение доступа к информации.

А как на самом деле?

Попробуем теперь уложить нашу ситуацию с телефоном в прокрустово ложе нового "треглавого закона". Телефон будет "информационной системой". В себя эта "система" включает собственно "информацию", то есть данные, которые в телефоне содержатся. Кроме того, там есть "технические средства" - это сам телефон. А все это заставляют работать "информационные технологии" - под ними закон понимает "процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов". Если не умничать, то можно выразиться проще: это "прошивка" телефона. Именно она все эти "процессы и методы" обеспечивает.

Кстати, здесь мы подошли к важному моменту: разнице между "обыденным" и "законным" пониманием "информации". С точки зрения банальной эрудиции она делится на программы и данные ("сведения" в терминологии закона). Так вот "треглавыми" законами как "информация" рассматриваются только данные. Программы же являются частью средств, обеспечивающих их обработку ("технологий"). То есть пока программа рассматривается просто как набор битов, она является "информацией", а как заработает - все, "технология"…

Владелец же нашего подзаконного телефона, как и программа, попав под "треглавый" закон, может выступать в двух ипостасях. Он может сам создавать информацию, или, например, записывать в телефонную книгу чужие персональные данные - это относится к полномочиям "обладателя". Кроме этого, он может пользоваться телефонной прошивкой по прямому назначению, и поскольку он эксплуатирует нашу "информационную систему", в этом случае он получает статус "оператора".

Говоря иными словами, "оператор" - это человек, имеющий доступ к информационной системе. Понятие доступа расшифровывается в самом законе как "возможность получения информации и ее использования", однако есть еще один подзаконный акт: один из руководящих документов ГТК [7], содержащий в себе определения многих ключевых понятий. Под "доступом" в нем понимается "ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение".

В соответствии со статьей 6 Закона, "обладатель" имеет право ограничивать "доступ" к информации. Насколько мне известно, во многих инструкциях по эксплуатации телефонов такие ограничения прописаны, а за их нарушение производитель грозится лишить гарантии. И это - единственная санкция, которая может быть применена в случае "перепрошивок" или каких-либо "апгрейдов" ПО в телефоне.

Продавая пользователю телефон, "обладатель информации" доступ к ней разрешает: в общем случае никаких ограничений на подобные действия с информацией в законодательстве не содержится. Так вот, дальше следует самое главное: как только доступ разрешен, наш "оператор" телефона сразу же пропадает из поля зрения Закона, в сферу действия которого входят только право на "поиск, получение, передачу, производство и распространение информации". Про доступ, то есть ознакомление и обработку, там ничего нет. И до тех пор, пока не начался "поиск, получение…" и так далее, законодательство об информации нарушено быть не может в принципе: все, что охватывается понятием "доступа", им не регулируется, для этого есть другие законы (например, "О персональных данных", "О коммерческой тайне" и т.д.)

Если при обработке информации нарушается какое-то другое законодательство, например, авторское, то ответственность определяется именно им. На своем компьютере и со своим телефоном владелец может делать все, что угодно: пока он изменяет информацию в пределах "системы", или копирует ее для своих нужд, "треглавый закон" не нарушен. Обычно в обвинительных заключениях пишется, что производитель телефона "не разрешал копировать или изменять информацию", однако если помнить о том, что "доступ" как раз копирование и изменение в себя включает, то данное утверждение становится бессмысленным: составляющие санкционированного доступа несанкционированными быть никак не могут. А если мы сравним определение "доступа" с формулировкой статьи 272 УК, то увидим, что писалась она явно с оглядкой на документ ГТК (принятый на четыре года раньше, чем Кодекс). Кроме последствий доступа, указанных в "руководящем документе", в УК добавлено "блокирование" и "нарушение работы ЭВМ".

Если пользоваться определением ГТК, становится очевиден ответ еще на один часто возникающий вопрос: "а попадает ли под статью 272 простое ознакомление с информацией?" В статье в качестве последствий, которые должен повлечь за собой неправомерный доступ, указаны только те, что входят в "обработку" информации. То есть доступ, при котором произошло только ознакомление, состава преступления не содержит. Нет, можно, конечно, считать, что при просмотре происходит "копирование на экран", но и в этом случае обработка происходит помимо воли просматривающего. Ею занимается компьютер, с которого, ясное дело, не спросишь.

Коммерческая тайна?

Правда, та ситуация, с которой эта статья началась, несколько сложнее: копировалась не просто информация из телефона, а SIM-карта. Не обойтись без закона "О связи" [6].

Одно из самых первых утверждений, которое пытается отстоять следствие по таким делам - что информация с SIM-карты является "коммерческой тайной" сотового оператора. На самом деле, с точки зрения упомянутого уже закона "О связи", данные на ней относятся к "нумерации", под которой понимаются любые коды или обозначения, предназначенные для идентификации самой сети, ее элементов или абонента в ней. Так вот: отнесение информации об изменении "ресурса нумерации" к коммерческой тайне невозможно, что прямо установлено частью 4 статьи 26 закона "О связи". Под "ресурсом нумерации" можно понимать любую часть "вариантов нумерации", в том числе и информацию, содержащуюся на одной конкретной SIM-карте.3

Вдобавок, какая информация может составлять "коммерческую тайну"? Одноименный закон устанавливает, что для этого она должна иметь коммерческую ценность, действительную или потенциальную, в силу неизвестности ее третьим лицам4,к ней должен отсутствовать свободный доступ на законном основании, и для нее обладателем должен быть установлен так называемый "режим коммерческой тайны". Нетрудно убедиться, что информация на SIM-карте может быть "тайной" разве что абонента, но не оператора.

Как следует из определения, "тайна" должна "иметь ценность" для ее обладателя. Которым, в соответствии с определением из статьи 5 "треглавого" закона будет владелец абонентского номера: это его конфиденциальная информация и он, а не сотовый оператор, может ограничивать к ней доступ. Поэтому второму условию эти SIM-карты вроде бы удовлетворяют: доступ к ним ограничен. Но опять же абонентом…

А вот "режима коммерческой тайны" в отношении информации, записанной на SIM-карту, в общем случае не установлено. Законом "О коммерческой тайне" [2] (ст. 10) введен исчерпывающий перечень так называемых "мер по охране конфиденциальности". Их пять, и в их число входят такие, как определение перечня подобной информации, круга лиц, имеющих к ней доступ, регулирование доступа договорами…

Также все носители информации должны быть промаркированы соответствующей надписью, с указанием организации, которой "тайна" принадлежит. Вы когда-нибудь видели на SIM-карте надпись "коммерческая тайна"? Нет? Ну так все, вопрос закрыт. Режим "тайны" может считаться установленным только после того, как приняты все пять упомянутых мер.

Еще одно распространенное возражение против мультисимок - то, что они-де не сертифицированы и могут вызвать проблемы в сети оператора. Ну, во-первых, получение сертификата - головная боль производителей с продавцами, а обычный пользователь может на такие вещи не обращать внимания. Во-вторых, как я уже говорил, все, что входит в понятие "доступа", "треглавым" законом уже не регулируется: мобильный оператор, если обнаружит несертифицированную мультисимку, может отключить абонента от сети, но уж никак не сажать его на скамью подсудимых. К тому же есть мнение, что "средства связи", которые должны быть сертифицированы - это только телефоны, и SIM-карты к ним не относятся.

Не имеет значения и то, что данные, необходимые для создания клона SIM-карты, так называемые IMSI- и KI-коды, хранятся на ней в зашифрованном виде (при клонировании происходит фактически их подбор). Закона, который обязывал бы мобильного оператора шифровать эти данные, нет. Зато есть норма законодательства о защите прав потребителей [1, ст. 10, ч. 2], обязывающая продавца предоставить покупателю всю информацию о товаре, правилах и условиях эффективного его использования. Так что пока не "наехал" Потребнадзор, лучше бы мобильным операторам изыскать возможность указывать нужные сведения в конвертике, рядом с PIN- и PUK-кодами.

"Халвный интернет"

Напоследок - самое массовое применение статьи 272, вернее, то, подо что ее, как всегда, "приспособили" наши "органы". Это так называемые дела о "неправомерном доступе к сети интернет", или, проще говоря, пользование услугами провайдера по "утянутому" паролю. Кстати, иногда по таким делам "вешают" и "коммерческую тайну", то есть статью 183 УК [10]. Как мы только что убедились, делают это незаконно. Что касается доступа в Сеть за чужой счет - говорить здесь можно исключительно о преступлении, предусмотренном статьей 165 УК ("Причинение имущественного ущерба путем обмана или злоупотребления доверием").

Но прежде всего замечу: в том случае, когда пароль с логином для доступа воруются с чужого компьютера, претензий к "органам" у меня нет. Здесь действительно есть "неправомерный доступ" в чистом виде, а если использовались какие-то "троянцы", сюда же плюсуем и 273-ю статью.

Правда, при обсуждении таких "краж" периодически возникает вопрос о том, к какой категории "охраняемой законом информации" относится пароль. В этом самом месте и пытаются "подвести" его под какую-то из тайн, чаще всего - под коммерческую. На мой взгляд, все проще: часть 6 статьи 13 "треглавого" закона устанавливает, что порядок эксплуатации негосударственной информационной системы определяется ее оператором, включая и "правила разграничения доступа". В десятой статье отмечено, что предоставление информации должно происходить в том порядке, который определен соглашением между лицами, участвующими в обмене ею. Разумеется, порядок может определяться и неявно, путем "запароливания" или другого ограничения доступа к ресурсу. Так что: не пожелал владелец компьютера делать что-то общедоступным - все, эта информация охраняется "треглавым" законом. Вдобавок, по отношению к информации, созданной им самим, компьютеровладелец является еще и "обладателем".

Но вернемся к "халявному интернету". Во многих случаях его любители получают пароли, не совершая взломов чужих компьютеров: ну, скажем, от знакомых или на форумах, и прочими внешне законными способами. В других случаях, тоже весьма многих, взлом не удается доказать, и тогда в следственных документах появляется формулировка о пароле, "полученном неустановленным способом". Но великие мастера по "натягиванию на статью" и здесь нашли выход.

Посмотрите на один из многих приговоров по этой статье [8] и вы найдете там любопытную формулировку: "действия Советова А. С. (доступ в интернет. — П.П.) повлекли изменение статистической информации на сервере ЗАО "Крафт-С" об объеме услуг, представленных абоненту - Опарину В. В., то есть модификацию компьютерной информации". Чуете, до чего додумалась современная правовая мысль? Доступ в Сеть квалифицируется как "неправомерный доступ", повлекший за собой модификацию информации, в данном случае - изменение лог-файлов, в которых фиксируется работа пользователя.

Даже если не изучать законодательство, сразу же появляются сомнения в такой вот квалификации. Действия "хакера" направлены исключительно на пользование за чужой счет "интернетом", а о том, что при этом на сервере провайдера какая-то информация меняется, он не знал и знать не мог. К тому же в логах отражается и информация о соединениях добропорядочных пользователей, но на это правовая мысль нашла ответ без труда: те, кто заплатил, изменяют логи санкционированно, а кто не заплатил - хакеры и есть…

Как мы помним, доступ это "ознакомление с информацией, ее обработка". Ознакомление со статистикой соединений напрямую из лог-файлов ни один нормальный провайдер никому не предоставит, в большинстве случаев это возможно только через веб-интерфейс. А "обработку" информации о соединениях осуществляет оборудование провайдера, а вовсе не абоненты. То есть "доступа" к информации на сервере провайдера как такового не происходит, и статья 272 - опять лишняя… Услуга по "доступу к интернет" включает в себя в основном "правомерный доступ" к общедоступной информации.

Нельзя здесь говорить и о "блокировании" доступа к информации законного пользователя, как тоже очень часто происходит [9]. Препятствия в данном случае создаются исключительно к пользованию услугой.

Ну, и в заключение - еще один приговор [11] за "НСД". Но на этот раз - "доступ" был к информации, которая находилась в эфире и передавалась со спутника, а подсудимые "несанкционированно копировали" ее. Сведений, приведенных мной, достаточно для того, чтобы вы самостоятельно смогли обосновать, почему это - ахинея5 .

Статью эту я начал с противопоставления "теоретиков" от юриспруденции, в компьютерах не разбирающихся, и "практиков", ломающих чужие компьютеры. Увы, сейчас в области права, связанного с "высокими технологиями", это два параллельных мира, друг с другом не пересекающихся. Вдобавок, в юридическом мире есть свои "практики", и именно на их совести все те условно законные способы "навешивания" лишних статей людям в обвинение, которые описаны выше. "Теоретики" же, если показать им уголовное дело по разобранным здесь типовым ситуациям, скажут примерно то же, что написал я, разве что никому ничего отрубать не предложат.

В итоге складывается удручающая ситуация: "теоретики" отражают в своих работах преимущественно теорию. "Практики" делают вид, будто "ловят хакеров", теорией пренебрегая и фабрикуя в массовом порядке уголовные дела. Объединять усилия с "теоретиками" они, похоже, не собираются. Хакеры спокойно продолжают свою деятельность: под молотки вместо них попадают вполне законопослушные граждане

Нормативные акты

[1] Закон РФ от 7 февраля 1992 г. №2300-I "О защите прав потребителей" (с изменениями от 2 июня 1993 г., 9 января 1996 г., 17 декабря 1999 г., 30 декабря 2001 г., 22 августа, 2 ноября, 21 декабря 2004 г., 27 июля 2006 г.).

[2] Федеральный закон от 29 июля 2004 г. №98-ФЗ "О коммерческой тайне" (с изм. от 2 февраля 2006 г.).

[3] Федеральный закон от 20 февраля 1995 г. №24-ФЗ "Об информации, информатизации и защите информации" (с изм. от 10 января 2003 г.). [4] Федеральный закон от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и защите информации".

[5] Федеральный закон от 18 декабря 2006 г. №231-ФЗ "О введении в действие части четвертой Гражданского кодекса Российской Федерации".

[6] Федеральный закон от 7 июля 2003 г. №126-ФЗ "О связи" (с изменениями от 23 декабря 2003 г., 22 августа, 2 ноября 2004 г., 9 мая 2005 г., 2 февраля, 3 марта, 26, 27 июля 2006 г.).

[7] Руководящий документ Гостехкомиссии России "Защита от несанкционированного доступа к информации. Термины и определения".

Документы

[8] Приговор Кировского районного суда г. Самары по делу Советова А.С. от 1 декабря 2004 г.

[9] Фабула уголовного дела №2010077 (г. Уфа).

[10] Фабула уголовного дела №1010056 (г. Уфа).

[11] Приговор Мещанского межмуниципального (районного) суда г. Москвы по делу Гаврилина О.В. и Безлепкина А.В.

Литература

[12] Протасов П., Здравый смысл vs. Законодательство.

1. …так же ласково прозванного "треглавым". Чтобы соблюсти традицию, я так и буду, для краткости, их именовать: "старый" и "новый треглавые законы". Или "Закон", с большой буквы - это про "новый". [вернуться]

2. Это к вопросу о применении "решений Microsoft" в учебном процессе, кривых "программ по сдаче информации" куда-либо и прочих софтовых кадаврах. [вернуться]

3. Возможно, это и расширенное понимание "нумерации", но все сомнения при применении уголовного законодательства толковать нужно в пользу обвиняемого. [вернуться]

4. То есть достаточно будет простого мнения обладателя этой информации о том, что он может получать доход, сохраняя ее в тайне. [вернуться]

5. Хотя на тот момент действовал "старый треглавый", но попробуйте разобрать ситуацию по действующему законодательству. [вернуться]

- Из журнала "Компьютерра"

Чья программа?

Автор: Павел Протасов
Опубликовано 22 февраля 2007 года

В предыдущей статье я говорил о том, что "компьютерные" составы преступлений из УК "работают" совсем не так, как замышляли авторы Кодекса. Никто не ловит злобных хакеров, без спросу сующих нос в чужую информацию. Проще ловить граждан законопослушных, ковыряющихся в собственных компьютерах и телефонах: они и не прячутся никуда…

Точно так же полуграмотные милиционеры приспособили для своих нужд и статью про вирусы. Они квалифицируют как "вредоносные" различного рода кряки и генераторы ключей, предназначенные для обхода защиты от копирования. Пользуясь при этом все той же выдуманной "собственностью на информацию", под которой понимают программу. То есть она объявляется принадлежащей правообладателю, и любые действия, не разрешенные им, в свою очередь объявляются несанкционированными. Естественно, как мы уже видели, с точки зрения "треглавого" закона это полная ахинея: "несанкционированный доступ" к собственному компьютеру.

Как бы вредоносные

…Злосчастное "право собственности на информацию" вполне могло появиться и из-за небрежности самих составителей старого "треглавого" закона, которые употребили это словосочетание в 12-й и 21-й статьях. Хотя при рассмотрении закона целиком становится ясно, что ничего подобного он не предусматривает. К тому же и составители других законов добавили неразберихи. Например, в законе "О коммерческой тайне" [2] (ст. 3) понятие "обладатель информации" определено как "лицо, которое владеет информацией": неявно к ней применяется одно из звеньев "триады полномочий собственника" - владение. Еще хуже обстоят дела с законом "О соглашениях о разделе продукции", 11-я статья которого так и названа: "Право собственности на имущество и информацию". Есть эта конструкция и в 27-й статье закона "О недрах". Вот так все запущено…

В результате всей этой кутерьмы с толкованиями закона "вирусная" статья в подавляющем большинстве случаев применяется именно в делах, связанных с пиратскими программами. То есть "типовой" приговор за установку контрафакта включает в себя и обвинение по статье 273, за использование "вредоносных программ" [3]. А в некоторых случаях могут "впаять" сразу обе статьи - и 272, и 273, как сделал, например, один из тюменских судов [5] (правда, в другом, сходном случае [6] тот же суд ограничился только 273-й статьей).

И что самое страшное, такой подход потихоньку становится общепринятым. Например, в одном из материалов Некоммерческого партнерства "Поставщиков программных продуктов" [10] тамошний юрист В. Пущин как о чем-то само собой разумеющемся говорит о квалификации действий "пиратов" именно по статьям 272 и 273 УК. К слову говоря, "партнерство" это играет довольно важную роль в борьбе с софтверным пиратством. Его деятельности я планирую уделить особое внимание в следующем номере. Ну а попутно, в качестве побочного эффекта своей деятельности, оно косвенно формирует и практику по 273-й статье. Не только такими вот комментариями, но и инициируя уголовные дела.

А с учетом того, что львиная доля подобных дел связана с продуктами от "1С", самым "популярным" поводом "повесить" 273-ю статью традиционно является эмулятор HASP-ключа, разработанный программистом из Благовещенска Сергеем Давыдюком; так называемая "Сабля". Это специальная программа, которая при работе имитирует ключ защиты, вставляемый в порт компьютера.

Кстати, среди пользователей "Сабли" был довольно заметный процент тех, кто честно купил продукты "1С" у местных дилеров. HASP - вещь довольно капризная и глюкавая, поэтому, когда что-то из-за него начинало работать не так, а дилер не мог устранить ошибку, покупатель просто выдергивал ключ из порта и ставил "Саблю". Такое право прямо предоставлено пользователю статьей 15 закона "О правовой охране программ для ЭВМ и баз данных" [1], однако милицию, когда она объявляет программу вредоносной, это не останавливает.

Статью 273 и сам Давыдюк в свое время заполучил в послужной список. Еще когда следствие было в самом разгаре, я с ним связывался по электронной почте и читал некоторые материалы дела. Правда, потом Давыдюк куда-то пропал, а позже я узнал, что он все-таки осужден, причем признал свою вину [8] (на мой взгляд, совершенно напрасно1).

B старом "треглавом" законе, кстати, было черным по белому написано, что он не затрагивает авторско-правовых отношений. Дополнительно в его 18-й статье устанавливалось, что авторские права и право собственности на информационную систему могут принадлежать разным лицам. Сходная норма о независимости этих правоотношений есть в п. 3 статьи 13 нового "треглавого". А в законе "Об авторском праве и смежных правах" (ст. 8) говорится, что сообщения, имеющие информационный характер, авторским правом не охраняются. То есть законодательство об информации и авторских правах регулирует принципиально разные правоотношения, которые друг с другом не смешиваются и никогда не смешивались2.

Кстати, даже при столь расширенном понимании "собственности на информацию" копирование программы почему-то не рассматривается нашими доблестными органами как состав 272-й статьи, хотя из такой логики это как раз и следует. Я вам скажу почему: потому что копирование полностью охватывается 146-й статьей. Говоря юридическим языком, здесь имеет место "конкуренция" между общей и специальной нормами права. В данном случае между статьей, предусматривающей ответственность за копирование информации вообще, и статьей, предусматривающей ответственность за копирование компьютерной программы, нужно выбирать специальную - 146-ю.

Но дело в том, что и для кряков в авторском праве есть специальная норма: статья 48.1 закона "Об авторском праве…". Она регулирует как раз применение защиты от копирования, и именно ее нарушает использование кряков. То есть это есть нарушение исключительно авторско-правового законодательства, и "вирусная" статья 273 тут явно ни при чем.

Очень интересно и то, что официально говорится о законности использования "Сабли" и подобных ей приблуд для нормальной работы правомерно приобретенных программ. Например, в интервью с доцентом кафедры теории и практики судебной экспертизы Саратовского юридического института МВД России, полковником милиции А. Н. Яковлевым [9] последний упоминает про то, что юристы "1С" на семинарах именно ее и рекомендуют использовать в случае проблем с HASP-ключом, уверяя, что это законно. Однако это их частное мнение, для милиции не обязательное.

В качестве примера - один из приговоров, ранее выложенных на сайте НП "ППП" [4] (правда, сейчас его запрятали под пароль). Речь в приговоре шла о сисадмине, использовавшем "Саблю" для работы копий "1С" при связи через модем. У него была честно купленная сетевая версия, и он "созвонился по телефону с юристом ЗАО "1C" в Москве. Тот заверил в правомерности установки программы на компьютерах в филиалах предприятия, территориально отдаленных от главного офиса". Но программа требовала выделенной линии, а в наличии было только модемное соединение. Разумеется, HASP был "отломан", а для нормальной работы использовалась "Сабля". Более того - для программы в конечном счете был куплен компонент "Управление распределенными базами данных", позволявший синхронизировать данные по модему, но он не устанавливался: все работало и так. То есть за те возможности, которые фирма использовала, она честно заплатила, и нарушения тут если и были, то чисто формальные.

В приговоре отдельно отмечено, что контрафактность "УРБД" не доказана, поэтому если не было превышено количество рабочих мест, оговоренное в пользовательском соглашении, то законность квалификации действий администратора по уголовной статье - под большим сомнением. Скорее всего, здесь имеет место простое нарушение договора, и судиться "1С" должна была в порядке гражданского судопроизводства. Плюс к тому - суд не исследовал пользовательское соглашение и не выяснил, оговорен ли в нем запрет на подключение удаленных рабочих мест и что понимается под "локальной сетью" вообще3.

Не вдаваясь в такие тонкости, суд решил, что действия администратора "были направлены не на адаптацию программы к использованию на имеющихся технических средствах, а на выход за пределы порядка использования программы, установленного правообладателем с помощью аппаратного ключа защиты". Вот так: за все вроде бы заплачено, а приговор - обвинительный.

Диск - информационная система

И еще одна область применения "вирусной" статьи - приговоры за диски с вирусами. В типичном обвинительном заключении по такому делу говорится о "распространении носителей с вредоносными программами", но некоторые авторы умудряются повесить на обвиняемого еще и пособничество в преступлении, предусмотренном статьей 272 [см., например, 7]. Это, кстати, тоже незаконно: соучастие возможно только в конкретном преступлении, а здесь обвиняют, в сущности, неизвестно в чем.

Ну а чтобы понять, почему никакого состава преступления в продаже CD с вирусами нет, придется опять вернуться к "треглавому" закону и рассмотреть ситуацию с его точки зрения. Собственник "технических средств" у нас, как мы помним, считается "оператором информационной системы", под которой понимается компакт с вирусами. "Оператор", в соответствии с частью 6 статьи 13 Закона, может определять порядок эксплуатации диска. Если он считает, что на нем можно держать вирусы, - это его право. До тех пор пока он знает о том, что делают эти программы, - никакого "несанкционированного доступа" они выполнять не могут по определению. Но как только владелец диска сделает что-то для занесения вируса в "информационную систему", "оператором" которой он не является, - тут-то он и станет преступником. А на своей машине "треглавый" закон разрешает запускать все, что угодно.

Кстати, у так называемых "экспертиз" по "вирусным" и контрафактным дискам есть одна общая черта: при них исследуются только внешние признаки дисков или вирусных программ. А вот отношения между правообладателем и продавцом диска и режим эксплуатации, определенный "оператором ИС", остаются за кадром. И если в первом случае диск с "признаками контрафактности" вероятно, пиратский, то во втором - привлечение к ответственности "за вирусы" практически всегда незаконно.

К сожалению, самый вероятный вариант развития событий такой: судебная практика и дальше будет формироваться на сфабрикованных тысячами уголовных делах. А когда при смене поколений в следователи придут те, кто хоть немного разбирается в компьютерах и кому видна вся абсурдность ситуации, то они станут ее заложниками. Дела расследовались, в суд направлялись, приговоры выносились - значит, все делалось правильно…

Нормативные акты:

[1] Закон РФ от 23 сентября 1992 г. N 3523-I "О правовой охране программ для электронных вычислительных машин и баз данных" (с изменениями от 24 декабря 2002 г., 2 ноября 2004 г., 2 февраля 2006 г.).

[2] Федеральный закон от 12 августа 1995 г. №144-ФЗ "Об оперативно-розыскной деятельности" (с изменениями от 18 июля 1997 г., 21 июля 1998 г., 5 января, 30 декабря 1999 г., 20 марта 2001 г., 10 января, 30 июня 2003 г., 29 июня, 22 августа 2004 г., 2 декабря 2005 г.).

Документы:

[3] Приговор Бабушкинского районного суда СВАО г. Москвы по делу Шайко И.И.

[4] Приговор Кировского районного суда г. Омска по делу Азаматова Р.К.

[5] Приговор Ленинского районного суда г. Тюмени по делу Бабченко Е.С. от 29 июня 2006 г.

[6] Приговор Ленинского районного суда г. Тюмени по делу Маркова Е.Н. от 4 августа 2005 г.

[7] Фабула уголовного дела №65325 (г. Кемерово).

Литература:

[8] Кошеленко П., Хакер согласился с обвинением во вредности // "Комммерсант".

[9] "Охота" на контрафакт.

[10] Пущин В., "Нелицензионные" риски.

1. Вообще, одной из причин того, что "компьютерные" статьи УК работают совсем не так, как задумывалось, является именно нежелание "связываться". Чем обжаловать тот бред, который суды пишут в приговорах, проще получить свой год условно и успокоиться. Вдобавок в регионах практически нет юристов, разбирающихся в "компьютерных" вопросах, ни среди судей, ни среди адвокатов. Зачастую выступающего в суде эксперта понимает только обвиняемый. Дело даже не в том, что суд не способен понять такие "высшие материи", - просто объяснять-то и некому. Один я вот сижу и топчу клавиатуру…

2. Как мы помним, компьютерная информация в обыденном ее понимании может выступать в роли "программы" и в роли "данных". Авторским правом охраняются оба ее вида, а вот правом информационным - только "данные".

3. Изучением соглашений суды, похоже, пренебрегают всегда: в качестве примера можно привести обвинительное заключение, из которого, к сожалению, удалена вся идентифицирующая информация (http://artla.fromru.com/delo/obv/). Речь там идет об установке "пиратских" программ, среди которых была и одна из версий AutoCad. В заключении отмечено, что установлен он был "в режиме демонстрационной версии". То есть речь шла о "демке", которая могла стать полноценной только после ввода регистрационного ключа. Хотя ключ и вводили, но он не подошел, и в данном случае можно говорить лишь о покушении на установку "пиратки". Но такими мелочами следствие не озадачивалось: был допрошен "эксперт", который сказал, что любые все, кроме "коробочных" версий, - "пиратка". Вот так…

- Из журнала "Компьютерра"

Комплексная подстава

Автор: Павел Протасов
Опубликовано 27 февраля 2007 года

Начну с небольшого экскурса в историю. Статья за "пиратство" появилась в Уголовном кодексе РФ 1996 года. Однако до начала двухтысячных она практически не применялась. Переломным моментом стоит считать февраль 2001 года. Тогда состоялся семинар для руководителей и следователей прокуратуры, где обсуждались вопросы борьбы с контрафактными произведениями. Выступали представители тех регионов, в которых были хоть какие-то дела по статье 146.

Естественно, практика в разных областях сильно разнилась, однако чуть ли не каждый второй докладчик в качестве основной проблемы применения статьи называл затруднения с определением размеров "крупного ущерба", который нужен для наличия состава преступления. По "имущественным" статьям УК с ущербом все понятно. А вот как определить ущерб от копирования нематериальной информации? Естественно, практика пошла разными путями: кто в лес, кто по дрова… Скажем, юридический советник РАПО предложил методику "сто МРОТ за одну видеокассету" [15, с. 129], подкрепив свои выкладки положениями закона "Об авторском праве и смежных правах". А вот в прокуратуре Москвы крупным считали ущерб, превышающий 500 МРОТ [15, с. 108]. Судья Верховного суда В. В. Дорошков ввел в оборот термин "крупный моральный ущерб" [15, с. 37]. Короче говоря, разброд и шатания…

Поэтому, когда заместитель Генерального прокурора В. В. Колмогоров выпустил информационное письмо [4] по итогам семинара, методике подсчета ущерба было отведено в нем заметное место. Основной идеей подсчета была такова - относить к ущербу все, что только можно, потому что "понятие ущерба в уголовном праве шире понятия убытков по гражданскому праву". Это было что-то новенькое: в общую сумму заместитель Генпрокурора предлагал записать "моральный ущерб", "ущерб от нарушения конституционного права на охрану законом интеллектуальной собственности (ст. 44 Конституции Российской Федерации)", "ущерб деловой репутации, причиненный легальному производителю".

С точки зрения уголовного права это нонсенс. Ни по каким другим составам преступлений понятие ущерба не трактовалось так широко1. Надо сказать, что ГК не знает "имущественного ущерба" вообще: в его 15-й статье вводится понятие "убытков", которые состоят из "реального ущерба" (то есть материальных потерь) и "упущенной выгоды" (то есть доходов, которые были бы получены при нормальном ходе событий). А "моральным", в соответствии со 151-й статьей ГК, бывает только "вред"2.

Вот и громоздят сейчас суды в приговорах сомнительные юридические конструкции типа "имущественный ущерб в виде упущенной выгоды". Если бы такое сказал студент на экзамене - его бы выгнали за дверь, а в приговор писать - можно. Но если по уголовному делу, например, о краже попросить записать в "крупный ущерб" "упущенную выгоду" или "деловую репутацию", то просьба эта столкнется, скажем так, с непониманием суда. Общая часть УК четко разделяет "имущественный ущерб", "упущенную выгоду" и "моральный вред". И все, что не "ущерб", должно вписываться в гражданский иск, который рассматривается в рамках уголовного дела.

Хороший пример такой надуманной конструкции - фабула дела №82256 по обвинению Т. по статье 146 [8]. Фрагмент, относящийся к ущербу, выглядит так: "Т. совершил незаконное использование объектов авторского права с целью извлечения выгоды, причинив крупный ущерб правообладателю АОЗТ "1С", официальным представителем которого на территории Саратовской области является ООО "А.", на сумму 88340 рублей, а также в виде подрыва деловой репутации указанных фирм, являющийся для АОЗТ "1С" крупным ущербом, поскольку включает в себя не только ущемление имущественных прав и причинение реального материального ущерба законным интересам правообладателей, но и нарушение конституционных прав и охраняемых законами РФ и международными договорами прав, а также подрыв их деловой репутации".

Про "нарушение конституционных прав" - это тоже из письма Колмогорова. Хотя права эти нарушаются любым преступлением (при убийстве, например, нарушается право на жизнь). Особо продвинутые писали что-то о "распространении контрафактных программ, вытеснивших лицензионные", и считали материальным ущербом стоимость непроданных официальным дилером экземпляров. Подход этот сомнителен3, поскольку основан на предположении, что покупатель пиратской копии непременно купил бы лицензионный экземпляр. И даже с этим сомнительным предположением получается, что "вытеснять" что-то могут только установленные программы. Но если с пиратского диска устанавливалась всего одна - ущербом считались все остальные, сколько их на том диске было.

Впрочем, в таком подходе есть рациональное зерно: в существующей до сих пор практике единственный случай, когда неполученный доход можно записать в ущерб, - это тогда, когда потерпевший неминуемо должен был его понести. То есть если кто-то воспользовался услугой, но не заплатил, мы можем говорить об ущербе, причиненном тому, кто услугу оказывал. Однако это имеет смысл, когда оказание услуги сопряжено хоть с какими-то затратами. В случае с непотребляемой и нематериальной информацией правомерность подсчета - под большим вопросом. К тому же обладатель пиратской копии не пользуется поддержкой и сервисным обслуживанием производителя, так что, даже если и ставить убытки программистов в зависимость от "украденных" экземпляров программ, - все равно на такую же сумму пираты не наработают.

Пиратству косвенно способствует сам подход к продаже программ, напрямую копирующий методы из "материального мира". Прежде всего это выражается в схеме, при которой вы платите деньги за товар и бесплатно получаете обслуживание. То, что работает с технически сложным товаром, который обслуживать гораздо дешевле, чем купить, напрочь отказывает в случае с программой, с которой все обстоит с точностью до наоборот. Программы потому и "крадут", что их легко "украсть". А то, что легко украсть, - очень трудно защитить. Уже сейчас "война с пиратством" превращается в войну с собственным народом, причем нападающие сами вовсю пользуются контрафактом4.

В общем, такой метод подсчета ущерба очень напоминает тот, что был применен Антоном Семеновичем Шпаком в советской киноклассике: "Куртка замшевая… Три!" Так, пожалуй, и будем именовать в дальнейшем: "метод Колмогорова-Шпака".

Правда, в связи с трудностями исчисления "крупного ущерба" он был заменен на "крупный" и "особо крупный" "размеры", которые составили сначала 100 и 500 минимальных размеров оплаты труда, а потом - 50 и 250 тысяч рублей [2]. Короче, теперь "ущерб" подсчитывать не требуется. Тем не менее и сейчас в приговорах по статье 146 это слово частенько мелькают.

Тому есть очень простое объяснение. Дело в том, что письмо Колмогорова - документ не столько правовой (законностью там и не пахнет), сколько политический. Так что никакие изменения в законодательстве влияния на оценку ущерба оказать не могут. Вы скоро в этом убедитесь.

Главный герой

Из более или менее крупных российских антипиратских организаций можно назвать Некоммерческое партнерство "Поставщиков программных продуктов" (www.appp.ru) и "Русский щит". Если первое постоянно устраивает какие-то промо-акции, агитирует за лицензионный софт и разрабатывает методики борьбы с пиратством, которые рассылает по управлениям внутренних дел, то "Щит" не имеет даже своего сайта.

Да и в вопросе уголовного преследования пиратов стратегия "Русского щита" в корне отличается от НП "ППП": его президент Юрий Злобин в интервью так и говорит, что силовые акции для их организации - это крайняя мера [12]. Зато НП "ППП", наоборот, активно использует государственный репрессивный аппарат для защиты своих интересов. Скажем, из 528 дел по статье 146, возбужденных в 2004 году, 323 - за программы членов Партнерства. Из дел за первый квартал 2005 года - больше половины по заявлениям "1С" и партнеров [10] ("1С" - один из учредителей этой конторы).

Описывая свою деятельность [13], НП "ППП" особый упор делает на сотрудничество с правоохранительными органами: Партнерство готовит для них обзоры судебной практики, осуществляет "методическое обеспечение" и даже проводит экспертизы. Что экспертом в принципе не может быть лицо, состоящее в зависимости от потерпевшей организации, почему-то никого не волнует. Правда, сейчас такое бывает довольно редко: благодаря "методическому обеспечению", рассылаемому по экспертным учреждениям, экспертизы может проводить и тамошний персонал.

НП "ППП" предельно широко трактует понятие пиратства, включая в него даже "несанкционированный выпуск технической документации", который якобы подстрекает5 к пиратству. Учитывая, что "эксперты" по таким делам чаще всего пользуются методиками от НП, ясно, что столь широкое понимание пиратства практикуется повсеместно.

Расширительной трактовке подвергается и сама статья 146. Например, как в случае с делом Поносова [16], чересчур широко толкуется понятие "использование": вместо действий, предусмотренных законом "Об авторском праве и смежных правах", под ним понимают пользование компьютерами с установленными контрафактными программами. И несмотря на то, что статья предусматривает ответственность за действия, совершенные в целях сбыта, при "использовании" об этом забывают.

Текст второй части статьи составлен не слишком удачно: эта часть предусматривает ответственность за "незаконное использование объектов авторского права, а равно приобретение, хранение, перевозку контрафактных экземпляров произведений или фонограмм в целях сбыта". При шулерском толковании текст делится на две части, до "а равно" и после, и утверждается, что в целях сбыта должны совершаться только приобретение, хранение и перевозка. Это не так: в кодексе есть еще несколько статей, в которых применяется такая конструкция (184, 295 и 317), и все они, конечно, трактуются так, что предусмотренные "цели" относятся ко всему тексту статьи, без исключений. Однако для 146-й статьи нам предлагают иную трактовку. В этом пиратоборцы преуспели: точка зрения, согласно которой пользование контрафактным софтом может быть уголовно наказуемым, является господствующей. На самом деле, необходимо сначала доказать именно сбыт, то есть установку программ. Работники организации могут нести ответственность только как организаторы или пособники, - но без установления обстоятельств установки софта наличие состава преступления не может считаться доказанным, все, о чем можно говорить, - это административное правонарушение. В случае "домашнего" использования никакого правонарушения вообще не происходит.

Расширенное толкование ущерба проникло даже в сам текст статьи 146 УК. Первая ее часть предусматривает ответственность за плагиат, причем для состава преступления требуется, чтобы правообладателю был причинен крупный ущерб. Но право на имя - неимущественное, его нарушение никакого материального ущерба причинить не может. Для того чтобы такое сочинить, нужно было держать в голове именно определение ущерба по-колмогоровски.

"Метод Колмогорова-Шпака" в действии

Но интереснее ситуация с определением "экспертами" размеров этого "ущерба". Например, на форуме сайта "Интернет и право" один из пользователей как-то приводил пример из практики: пират продал диск, на котором было записано 23 диска в mp3. "Эксперт", проводя свою "экспертизу", высчитал, что ущерб от продажи каждого из них равен тысяче долларов. Итого - $23 000. Дело направили в суд и прекратили за примирением после того, как подсудимый выплатил потерпевшим 42 000, правда, уже рублей.

Приговор по делу Алешкина А. А. [5], вынесенный Железнодорожным районным судом города Пензы. Суть дела в следующем: во время контрольной закупки сотрудники милиции изъяли некоторое количество компакт-дисков с "пираткой". Часть суд из обвинения исключил, оставив в итоге CD-ROM с игрой Quake IV и DVD-ROM с играми Quake IV, Age of Empires III, Fahrenheit, Heroes of Pacific и Serious Sam II. При этом в приговоре указано, что правообладателю, ЗАО "1С", был "причинен ущерб в сумме пятидесяти одной тысячи рублей".

Но если посмотреть на дату вынесения приговора, мы увидим, что на тот момент действовала теперешняя редакция статьи 146 УК, и никакого ущерба в ней уже не было: была "стоимость экземпляров", которая и должна была превышать пятьдесят тысяч. Если же мы посчитаем эту стоимость, пользуясь прайс-листом рекомендуемых розничных цен от самой "1С"66, то окажется, что равна она 370+(370+314+(9,5х30)+348+225), итого 1912 рублей (двух последних игрушек в прайсе не было, поэтому я взял максимальные "озоновские" цены).

Как же это можно - насчитать ущерб в 51 000 рублей при стоимости игр в две тысячи? Известно как - "методом Колмогорова-Шпака"… То есть в данном случае суд, во-первых, подменил "стоимость экземпляров" "ущербом", а во-вторых, явно этот "ущерб" завысил. Причем - до очень красноречивой суммы в 51 000 рублей, как раз чтобы "натянуть" на уголовное дело. Могли бы написать и "50 001 рубль", все и так ясно…

Еще один хороший пример - приговор по делу П. В. Фирсанова, вынесенный мировым судьей московского участка №314 [7]. По не странному стечению обстоятельств "ущерб" и в этом случае составляет 51 000 рублей. По уже странному стечению обстоятельств в деле тоже фигурирует игра Quake IV. Но - в одном экземпляре. Именно за него такой "ущерб" и насчитали. Делайте выводы.

"Контрольная закупка"

В типовом приговоре за "пиратку", как правило, есть фраза о том, что подсудимый получил от покупателя деньги, "после чего был задержан сотрудниками милиции". Речь в данном случае идет о так называемой проверочной, или контрольной, закупке, оперативном действии, предусмотренном статьей 6 закона "Об оперативно-розыскной деятельности" [1]. Состоит оно, как легко догадаться, в покупке чего-либо, ограниченного в гражданском обороте: наркотиков, оружия и пр. После покупки обычно достаются "корочки", подзываются двое находящихся рядом понятых и составляется протокол. По делам о распространении наркотиков или контрафактных дисков закупка - главный способ выявить преступление.

Тонкий момент - отграничение контрольной закупки от подстрекательства к преступлению. Подстрекательство - это одна из форм соучастия, при которой человек склоняет кого-либо к совершению преступления. От подстрекателя должна исходить инициатива в установке пиратской копии программы. Если кто-то объявляет о намерении установить "пиратские" программы, устраивать закупку можно. Но часто бывает иначе: милиционеры звонят по объявлению о "настройке компьютеров"7 и просят "настройщика" установить "что-нибудь от "1С", скажем. При этом подстрекатель должен склонять исполнителя к совершению конкретных действий (то есть он должен просить не просто установить программу, а указывать конкретную версию). Действия многих оперативников при закупке под определение подстрекательства вполне попадают.

Вдобавок, если производится закупка, действия пирата не содержат законченного состава преступления, а представляют собой только покушение на него: в этом случае общественным отношениям, охраняемым законом, вреда не причиняется, так как контрафакт изымается из незаконного оборота. Такую точку зрения Верховный суд считает правильной в случае с наркотиками [3]. Думаю, можно распространить этот принцип на закупку вообще (это влияет, в частности, на назначение наказания). Но сейчас в таких случаях преступление повсеместно считают законченным.

Еще один важн - как определяется, какую программу установить. Для состава преступления нужно, чтобы стоимость соответствующего количества "лицензионных" экземпляров превысила 50 000 рублей. И начинается интересное.

Если посмотреть на приговоры, выложенные на сайте НП "ППП", можно заметить, что в большинстве из них фигурирует одна-единственная версия программы от "1С": "1С: Предприятие 7.7 Комплексная поставка", причем очень часто - версия для SQL-сервера. Разгадка кроется в прайс-листе от "1С": это одна из самых дорогих версий - 84 000 рублей. Только ее установка - уже "крупный размер" и уголовное дело. Даже "восьмые" версии столько не стоят. В результате, во-первых, установка других версий до уголовного дела "не дотягивает", а во-вторых, при контрольной закупке установить просят именно ее - чтобы "дотянуть".

И еще один момент: даже если пират дает объявление об установке заведомо контрафактных продуктов, еще не факт, что он сам, по своей воле наставит на пятьдесят тысяч. То есть когда опера просят именно "Комплексную поставку", тоже можно говорить о наличии в их действиях подстрекательства. Но на это суды, как правило, смотрят сквозь пальцы, к тому же все зафиксированное в ходе оперативных мероприятий определяется оперативником, который себе не враг.

Иногда в простоте своей борцы с пиратством выдают прямо-таки феерические перлы. Вот, например, неизвестный сотрудник калининградского "внедренческого центра DRV" делится на сайте НП "ППП" опытом. И записывает при этом в число "сложностей", с которыми пришлось столкнуться, следующее: "Недостаточная компьютерная и бухгалтерская грамотность оперативных сотрудников, принимающих участие в закупке "левых" программ. Несколько дел после проведения исследования не были возбуждены в связи с недостаточностью ущерба для возбуждения по ст. 146 УК. То есть оперативникам удавалось зафиксировать "установку" в лучшем случае "1С:Бухгалтерии Проф, лок." стоимостью 240 долларов [14].

Иначе говоря, подстрекательство оказалось подстрекательством не к преступлению, а к административному правонарушению. Автору, похоже, и в голову не приходит, что место этим оперативникам - на скамье подсудимых, рядом с пиратами.

Кстати, размер закупаемого вполне может служить индикатором того, что закупка "контрольная". Как, например, в случае с делом А. А. Трушникова [6]. В нем фигурируют аж девять дисков с продукцией "Консультант Плюс" и три - с программами от "1С", с "легальной" ценой соответственно пятьсот тысяч и миллион рублей. Это уже не "крупный размер", а "особо крупный", на порядок серьезнее. А определяется тяжесть преступления фактически операми, производящими закупку.

Кроме большого количества приобретаемых дисков признаками закупки может служить, например, любознательность покупателя. Вкупе с непонятливостью: обычно закупка пишется на магнитофон или видеокамеру, и надо разговорить "клиента", чтобы он открытыми словами, под запись, сказал, что ставит "пиратку". Ну, или вообще странные просьбы "покупателя": скажем, в одном из волгоградских уголовных дел [9] оперативники попросили "дать консультацию по программному обеспечению", связанную с вирусами. Человека "развели" на демонстрацию работы вирусных программ, а потом повязали.

…Еще один признак - просьба установить дорогущую "Комплексную поставку" там, где заведомо достаточно возможностей версии попроще8. И еще один: находящиеся рядом люди, которые в нужный момент окажутся понятыми. Или, например, неслыханная щедрость покупателей: они могут себе позволить согласиться на цены выше рыночных. Все равно деньги изымут сразу после покупки…

Больше четырех лет назад "Компьютерра" опубликовала статью "Мне страшно" Федора Зуева [11], посвященную неоправданному расширению сферы действия Уголовного кодекса на охрану авторских прав, для которой, вообще-то, есть достаточные правовые возможности, предоставляемые гражданским законодательством. Время показало, что тогда рано было бояться. Экземпляр "Квейка" стоил не пятьдесят одну тысячу, а гораздо меньше, а в качестве положительных примеров "борьбы с пиратством" не публиковались документы, которые я бы родной матери не показал. Да и "правообладатели" вели себя чуток скромнее. По сомнительным "экспертизам" не выносилось несколько тысяч незаконных приговоров в год. А вот сейчас - выносится, и органам нашим, похоже, на это плевать.

Нормативные акты

[1] Федеральный закон от 12 августа 1995 г. №144-ФЗ "Об оперативно-розыскной деятельности" (с изменениями от 2.12.2005 г. и ранее).

[2] Федеральный закон от 8 декабря 2003 г. №162-ФЗ "О внесении изменений и дополнений в Уголовный кодекс Российской Федерации" (с изменениями от 11 марта 2004 г., 5 января 2006 г.).

[3] Постановление Пленума Верховного Суда РФ 15 июня 2006 г. №14 "О судебной практике по делам о преступлениях, связанных с наркотическими средствами, психотропными, сильнодействующими и ядовитыми веществами".

[4] Информационное письмо Генеральной прокуратуры РФ от 30 марта 2001 г. №36-15-01 "О практике применения законодательства по защите интеллектуальной собственности, состоянии прокурорского надзора и мерах по усилению борьбы с пиратством в аудиовизуальной сфере".

Документы

[5] Приговор Железнодорожного районного суда г. Пензы по делу Алешкина А. А. от 8 августа 2006 г.

[6] Приговор Кузьминского районного суда г. Москвы по делу №1-217-2004-14 по обвинению Трушникова А. А.

[7] Приговор мирового судебного участка №314 района Марьина роща г. Москвы по делу Фирсанова П.В. от 13 июля 2006 г.

[8] Фабула уголовного дела №82256 (г. Саратов).

[9] Фабула уголовного дела №016496 (г. Волгоград).

Литература

[10] 1С: уголовные дела на пиратов множатся.

[11] Зуев Ф., Мне страшно // "КТ" #441.

[12] Митин В., ИТ-пиратство: профилактика важнее наказания // PCWeek/RE, 41/2005 г.

[13] О партнерстве: приглашение к вступлению.

[14] Опыт работы по борьбе с пиратством Внедренческого Центра DRV (г. Калининград) (февраль 2004 г.).

[15] Сборник материалов семинара по интеллектуальной собственности, проведенного в Москве 26-28 февраля 2001 года для прокуроров Российской Федерации. — ООО Издательство "Оригами-М", 2001.

[16] Протасов П. Трагедия положений // "Компьютерра", 2007 г., #673.

1. Статьей 3 УК вообще запрещено применение уголовного закона по аналогии.

2. Кстати, если верить Гражданскому кодексу (глава 59), то как раз понятие «вреда» шире понятия "убытков": вред может причиняться, кроме имущества, еще и личности и здоровью гражданина.

3. И сомнение это, разумеется, должно толковаться в пользу обвиняемого…

4. Не скажу за другие регионы, а прокуратура той области, в которой я в свое время работал, хоть и обеспечивает работников компьютерами, но вот на софт денег не выделяет. При этом расследуя ту самую 146-ю статью…

5. Впервые увидев этот перл, я решил, что журналисты напутали. Потом - увидел уже со ссылкой на представителей самой "1С". И наконец - в статье, автор которой уверяет, что пользовался официальными материалами НП "ППП" [ Прохоров А., Пиратство в России: факты, статистика, методы борьбы // КомпьютерПресс, 11/2003]. Более того, "1С" даже несколько раз судилась с издательствами (в частности, с "Питером") из-за выпуска руководств к своим продуктам. В качестве обоснования использовалась конструкция определения "программы" из закона "О правовой охране программ для ЭВМ…", в которой "порождаемые отображения" приравнены к самой программе. Другими словами, аналитики "1С" утверждали, что публикация скриншотов программ нарушает права фирмы…

6. www.1c.ru/pubftp/pricelst/price_1c.zip.

7. Теоретически в этом случае можно говорить о "незаконном предпринимательстве", предусмотренном статьей 171 УК, но для его наличия нужно доказать, что кому-то этими действиями причинен крупный ущерб либо предприниматель извлекал доход в крупном размере. (Правда, ущерб за "пиратку" вполне могут посчитать "методом Колмогорова-Шпака".)

8. Согласитесь, очень странно, что явный "чайник" из всех компьютерных познаний ухватил только про комплексную поставку и SQL-сервер…

- Из журнала "Компьютерра"

Мммда ... законы и здравый смысл - вещи разные и тут противоположные . Наверное потому , что их делопуты пишут . Вот помнится блестяще саботировали поправку Хинштейна- Гудкова о замене всех зарубежных программно-технических средств на отечественные в "государственных информационных системах, обеспечивающих стратегически отрасли и особо опасные (важные) объекты РФ" Лезем сюда
http://asutp.ru/?p=600624 и видим , как радостным шагом с песней весёлой :
Масдай? На реакторе? Ethernet? Ооопъёст ... надеюсь лицензионные ...

К стати - для сведения:
в центрах управления безопасностью авиадвижения - а именно в диспетчерских службах работает Windows NT и MS SQL Server. При чем 2 года назад еще стояли ломаные пиратки.
Как сейчас дела обстоят - не скажу.

По чесноку : надо сажать (без права переписки) прокуратуру , ментов , диспечеров и ...10 лет расстрела... руководству АЭС.

Письмо несчастья

Автор: Павел Протасов
Опубликовано 20 марта 2007 года

Среди обилия заблуждений, бродящих по умам наших соотечественников, одно из первых мест занимают те, что связаны с законодательством. Об одном из них я и хочу сейчас поговорить. Оно периодически всплывает то тут, то там в ходе разнообразных обсуждений судьбы тех бедолаг, что попали под кампанию борьбы нашего государства с пиратством, однако наиболее активно его начали пропагандировать в связи с недавним судебным процессом по обвинению в "пиратстве" директора сельской школы Александра Поносова. Связано оно с вопросом о том, как обезопасить себя от милицейского "наезда", если на вверенной абстрактному системному администратору территории обнаружилось что-то контрафактное.

Директор школы Поносов - все-таки исключение, а типичной является ситуация, когда за "пиратку" привлекают к ответственности компьютерных дел мастера, обслуживающего какую-нибудь контору. В один прекрасный день приходит проверка, которая обнаруживает на конторских компьютерах пиратские программы и интересуется: а кто же их установил. Такой человек находится довольно быстро, а поскольку речь идет об организации и компьютеров несколько, то контрафакта на "уголовный" размер обычно набирается. Следствие, суд, условный срок, заметка в местной газете об очередной победе борцов с высокими технологиями и о вреде пиратства. Стандартный набор.

Правда, сперва я хочу испортить вам удовольствие от предвкушения развязки этой статьи и дать искомый ответ в самом начале. Он прост: чтобы избежать ответственности за "пиратство", не нужно ставить ничего "пиратского". А теперь - можете читать дальше.
"Отмазка" найдена?

Пальму первенства в дискуссиях о том, как выйти сухим из воды, удерживает предложение обратиться к вышестоящему начальству с письмом и предупредить о недопустимости использования на рабочих местах контрафакта. Следует вручить оное письмо под роспись и наслаждаться жизнью. Дающие такой совет уверены, что это позволит переложить ответственность на начальника, оставив непосредственного исполнителя чистым. Вот на этом устойчивом и вредном заблуждении я бы и хотел остановиться поподробнее.

Вообще, склонность соотечественников давать советы в тех областях, в которых они ничего не соображают, меня всегда поражала. Любопытно, много ли из советчиков пытались применить этот прогрессивный метод на практике? Боюсь, таковых не обнаружится. А если и обнаружатся, то чутье подсказывает, что о встрече с милицией, которой было предъявлено такое письмо, предъявлявший предпочтет не вспоминать очень долго.

Давайте посмотрим, как, собственно, происходит привлечение к уголовной ответственности. Следствию необходимо, среди прочего, доказать умысел подозреваемого на совершение преступления, то есть подтвердить его осведомленность о том, что устанавливаемые программы - контрафактные, и сознательно желание их установить. Тут есть несколько способов.

Самый простой - сотрудники милиции приходят "побеседовать" с руководством организации. "Беседой" это мероприятие называется исключительно в протоколах, а к чему его отнести с точки зрения повседневного лексикона - даже и не знаю. В "Крестном отце" было такое выражение: "предложение, от которого невозможно отказаться", - вот, очень подходит… Во время "беседы" делается предупреждение о недопустимости использования нелицензионного софта, причем под расписку. Если вас навестили такие вот "собеседники" - пора переводить свой компьютерный парк под "Линукс". Ибо времени осталось совсем мало. Неизбежно нагрянет следующая проверка, после которой может быть возбуждено уголовное дело. И в деле этом будет фигурировать расписка о том, что вы соответствующим образом предупреждены…

Скажем, в случае с Поносовым прокуратура именно так и поступила: после проверки, состоявшейся в мае прошлого года, с директора школы взяли расписку о том, что он знает о контрафактном характере программ, обязуется их не использовать и не удалять. Правда, потом ревизоры забыли о школе и изъяли компьютеры только в августе, через три месяца после проверки. Зато потом, когда в суде дело начало "сыпаться", расписка пригодилась: обвинение стало утверждать, что состав преступления образуют действия Поносова по использованию компьютеров, совершенные после проверки, когда он уже был официально предупрежден о контрафакте той самой распиской… Не помогло.

Это наименее хлопотный путь - чуть более трудолюбивые милиционеры привлекают руководство организации к административной ответственности по статье 7.12 КоАП. Разумеется, потом административный материал приобщается к уголовному делу, где играет ту же роль, что и расписка. Творческие натуры могут придумать что-нибудь еще: например, в одном из обвинительных заключений в качестве доказательства фигурировала видеозапись "беседы", в ходе которой оперуполномоченный разъяснял будущему подсудимому, как отличить пиратский компакт от лицензионного.

Но и в том случае, если всего этого нет, не беда. Суды у нас сознательные и понимают важность борьбы с контрафактом. Поэтому, если написать в обвинительном заключении что-нибудь вроде "гражданин Н., обладая специальными познаниями в области компьютерной техники, не мог не знать, что программы… являются контрафактными", то суд отнесется к такому доказательству вины с пониманием и даже приговор перепишет. Железная ведь улика…

Вы все еще верите, что в подобных делах будет применяться презумпция невиновности? Забудьте о ней: мы в России, которой надо вступать в ВТО (а вот об этом не забывайте).

А теперь поставьте себя на место следствия и попробуйте ответить на вопрос: чем для вас будет то самое "письмо начальнику" о недопустимости контрафактных программ? Да-да: системный администратор, применивший такой прогрессивный способ ухода от ответственности, своими руками принесет милиции основное доказательство вины! На блюдечке.

Кстати, возможна еще одна граничная ситуация - когда организация "легализует" софт, покупая соответствующее количество "лицензионных" экземпляров. Тут не полениться и переустановить все, если не хотите неприятностей. А то может произойти следующее: после "экспертизы", которая покажет "контрафактность программ", наличие лицензионных дисков, которые будут предъявлены следствию, сыграет роль того самого письма. В самом деле: поставили "пиратку", потом купили "лицензию" - значит, знали, что программы пиратские.

Я же говорил: забудьте о презумпции невиновности! В ВТО с нею не пускают.
Виды ответственности

Компьютерно-программные "заморочки" - это самый настоящий "черный ящик" для следствия и судов, так что протащить от возбуждения до приговора можно любую чушь: наши судьи будут продолжать думать, что это она и есть, чистая, ничем не замутненная законность.

Но и подсудимые тоже хороши. Байку о "письме" мог придумать только человек, абсолютно незнакомый со смыслом такого понятия, как "ответственность". Впрочем, это всеобщая болезнь: то и дело приходится читать не только форумные обсуждения, но и статьи, авторы которых просто путают виды ответственности. А ведь она - разная…

Да, действительно, с помощью того письма, с обсуждения которого я начал статью, можно "избавиться от ответственности". Но только от одного ее вида - "дисциплинарной", которая заключается во взысканиях, накладываемых в рамках Трудового кодекса (выговора, предупреждения и т. д.). На административную или уголовную это не повлияет никак. В самом деле: представьте себе письмо от одного соучастника кражи другому, в котором говорится, кто и как будет нести ответственность в случае поимки. Почему-то в случае с кражей до этого никто не додумался…

Впрочем, вопрос о видах ответственности не по зубам даже некоторым прокурорским работникам: я снова о "деле Поносова". Главным поводом для привлечения директора к ответственности стало мнение следствия о том, что он-де "обязан обеспечить соблюдение законодательства" в школе, будучи ее главой. Действовала прокуратура явно по аналогии со 143-й статьей УК, которая предусматривает ответственность за нарушения правил охраны труда. Вот там действительно применяется такой порядок: директор предприятия своим приказом устанавливает должностное лицо, ответственное за безопасность труда, которое, в свою очередь, издает инструкции о технике безопасности и знакомит с ними работников. Если ничего подобного не сделано, а с кем-то из работников случится неприятность, возможно привлечение к ответственности этого должностного лица.

Но с охраной труда ситуация принципиально иная. Обязанность соблюдения ее правил возложена на работодателя открытым текстом: в Трудовом кодексе этому посвящено несколько разделов, с тридцать четвертого по тридцать шестой. Да и статья 143 УК, карающая за нарушение правил ТБ, звучит принципиально иначе, предусматривая ответственность за нарушение, совершенное "лицом, на котором лежали обязанности" по соблюдению правил охраны труда. По умолчанию они возложены Трудовым кодексом на руководителя предприятия, если он ни на кого не переложил эти заботы своим приказом.

А вот для софта, установленного на предприятии, ничего подобного в законодательстве не закреплено. Чтобы прокуратура оказалась права, нужен закон, возлагающий на руководителя предприятия обязанности по контролю за лицензионностью программного обеспечения (а не по абстрактному "соблюдению законодательства"). Кроме того, должны существовать правила такого контроля, сформулированные в явном виде, с которыми все обязанные их соблюдать должны быть ознакомлены. В противном случае, продолжая такую логику, можно было бы очень далеко зайти и привлекать к ответственности начальника организации вообще за все совершенное на ее территории, если виновного не нашли. Например, за убийство…

К счастью, это не так, и в большинстве случаев обвиняемым становится только админ - как "обладатель специальных познаний", априори считающийся знающим о "пиратском" характере софта и, стало быть, виновный во всем. Тем не менее, возможна ситуация, когда он потащит за собой начальника, и будут они вместе "организованной группой", сам он "исполнителем", а начальник - "организатором". Те, кто поставил себя на место милиции, вероятно, уже догадались, в каком случае такое возможно. Да-да, если начальник все-таки получит то самое "письмо", с обсуждения которого я начал, да еще и под роспись. В этом случае у следствия будут доказательства того, что начальник знал о контрафакте, и он тоже понесет ответственность.

Миф о "письме" во многом сродни рассказам о "грамотных адвокатах", которые могут прийти в суд, найти "лазейку в законе" и успешно доказать, что белое - это черное. Отечественное общественное мнение насоздавало таких мифов в изобилии, но уверяю вас, так не бывает. Наши народные избранники в преддверии вступления России в ВТО переписывают законодательство об "интеллектуальной собственности", и нам с вами, хочешь не хочешь, придется следовать его положениям, думая при этом, кого мы избираем. А чтобы максимально обезопасить себя, изучать нужно закон и практику его применения, а не форумные байки.

- Из журнала "Компьютерра"

Слив утечек

Автор: Родион Насакин
Опубликовано 27 марта 2007 года

26 января вступил в силу нашумевший федеральный закон "О защите персональных данных", который готовился больше года. Все это время шли оживленные дискуссии. Сторонники законопроекта напирали на то, что после его введения нашим согражданам наконец-то будет гарантировано право на приватную информацию, появится больше возможностей для привлечения к ответственности лиц, которые эти данные неосторожно теряют или же с выгодой для себя распространяют.

Критики же утверждали, что принятие нового закона не приведет ни к каким серьезным последствиям для продавцов разнообразных баз данных из структур МВД, Центробанка, Пенсионного фонда, Счетной палаты, налогового, таможенного и земельного ведомств и пр. Данные из этих ведомств так и будут предлагаться по доступной цене практически в любом подземном переходе Москвы и на множестве сайтов. Зато, отмечали правозащитники, ознакомившиеся с первыми редакциями законопроекта, власть пытается под шумок внедрить в закон положения о создании единой базы данных населения страны. А эту затею можно расценить как весьма сомнительную с точки зрения обеспечения защиты личных данных граждан как от государственного посягательства в духе "Большого брата", так и от банальной кражи.
Протекающие госведомства

А в том, что красть будут, мало кто сомневается, поскольку госведомства попадаются на утечках вверенных им населением приватных сведений с удручающей регулярностью, да и скандалы после каждого такого случая получаются довольно тихими, - как правило, без слетающих погон, увольнений и показательных судов. Первым громким случаем подобного рода стала утечка базы Госкомстата, содержащая результаты всероссийской переписи населения 2002 года. Реакция учреждения оказалась показательной. Факт утечки просто-напросто не признали, а потому расследование инцидента начато не было. В дальнейшем аналогичная ситуация повторялась не раз.

Не удалось спустить на тормозах утечку данных из Центробанка РФ о платежах через расчетно-кассовые центры ЦБ за второй и третий кварталы 2004 года. Впервые диски с информацией, защищенной положением о банковской тайне, всплыли в феврале 2005-го. Их предлагали любому желающему всего за 3 тысячи рублей. Скандал докатился до Госдумы. Депутаты обратились в Генпрокуратуру, настаивая на скорейшем расследовании инцидента. Но, несмотря на высокий статус заявителей, дело заглохло.

Видимо, на этом все бы и закончилось, если б уже в мае база с проводками ЦБ не всплыла еще раз, причем в обновленном варианте - с данными и за четвертый квартал 2004 года. Тогда сотрудники Банка России провели собственное расследование, которое якобы завершилась успешно. По крайней мере, в конце октября 2005 года замначальника управления безопасности ЦБ заявил, что источник утечки перекрыт, однако конкретных имен названо не было. В феврале 2006 года какие-то предприимчивые ребята решили сыграть на известной истории и через спам начали рекламировать базу ЦБ за первый квартал 2005 года. Но на сей раз покупателей ждало разочарование. В базе не содержалось информации ни об одной реальной проводке.

В ноябре 2005 года в продаже появилась еще одна база, с налоговыми декларациями почти 10 млн. москвичей за 2004 год. Стоил диск с этими данными относительно дешево - 1500 рублей. Следует отметить, что это был уже не первый случай, когда налоговики допустили утечку. Ранее в Москве можно было приобрести аналогичную информацию за 1999-2002 гг. Правда, стоила она 1000 рублей. Но инфляция есть инфляция.

Помимо собственно информации о доходах, любой покупатель мог ознакомиться с местом работы и адресами налогоплательщиков. Базы оказались достоверными. По слухам, чиновников, организовавших слив в 2005 году, органы нашли и даже выяснили, что некие заинтересованные лица заплатили им за выдачу данных $2,5 млн. Вероятно, именно этот случай стал последней каплей, после которой в Думу был внесен первый вариант законопроекта "О защите персональных данных".

Ну и наконец, весной прошлого года серьезно подмочили репутацию московской паспортно-визовой службе. Выяснилось, что некий Московский центр экономической безопасности (МЦЭБ) уже около года открыто принимает на своем сайте заказы на базу паспортных данных москвичей. За $1200 предлагалась соответствующая информация о 16,5 млн. бывших и нынешних жителей столицы. После того как страсти улеглись, выяснилось, что никаких юридических оснований для привлечения представителей МЦЭБ к ответственности нет, поскольку распространение чужих персональных данных в нашей стране до последнего времени было легальным делом. Незаконными были действия сотрудников службы, сливавших эту информацию продавцам, но установить виновных не удалось, так как МЦЭБ вовсе не обязан называть "поставщика".

Из вышеописанных инцидентов можно сделать вывод, что особого пиетета по поводу защиты персональной информации органы не испытывают и считать сложившуюся ситуацию ненормальной не готовы. Кстати, новоиспеченный закон как раз и должен привить бизнесменам и чиновникам уважение к личным данным клиентов/граждан. Хотя согласитесь, что поверить в чудодейственное влияние на умы одного-единственного закона непросто.
Как у них

Хотелось бы напомнить, что утечки свойственны не только и не столько госструктурам, но и бизнесу. Просто в России необычно велика доля государственных учреждений, допустивших кражу персональных данных, тогда как за рубежом подобное ротозейство - удел в основном корпоративных сотрудников. Да и масштабы там не те. Воруют все больше не базы целиком, а некие группы записей. Хотя "миллионные" инциденты и там бывали. Самым вопиющим случаем стала утечка 40 млн. записей о владельцах кредитных карт в позапрошлом году. Большая часть записей приходилась на MasterCard и Visa, но пострадали и владельцы карт American Express и Discover.

Руководство MasterCard обвинило в случившемся компанию CardSystems Solutions, крупного обработчика информации для банков и фирм (оборот процессинга составлял около $15 млрд. в год). В MasterCard заявили, что система обеспечения безопасности в проштрафившейся фирме была далека от совершенства, так что хакеры без особого труда смогли получить доступ к сведениям о владельцах кредитных карт. Злоумышленники получили информацию об именах кардхолдеров, номерах счетов и кодах подтверждения. Для некоторых форм мошенничества этого вполне достаточно, хотя более распространенные среди кардеров трюки с ложной идентификацией пользователей требуют также номер социального страхования, адрес и дату рождения. Эту информацию преступникам выудить не удалось.

Выяснилось, что компания продолжала хранить записи, подлежащие удалению, а данные о транзакциях не шифровались. Преступники смогли установить в сети компании трояна, перехватывающего данные о кредитных картах в процессе проведения финансовых транзакций. Вскоре от банков стали поступать сообщения о новых способах мошенничеств. Тогда приглашенные специалисты из Cybertrust приступили к расследованию и выяснили, что перехват происходит на участке CardSystems.
Последователи Холмса

С продажей личных данных абонентов пару лет назад произошла история, аналогичная случаю с МЦЭБ. Представители Вымпелкома сообщили в милицию о существовании сайта sherlok.ru, функционирующего по сей день, на котором предлагалась информация о московских и петербургских клиентах "большой тройки" - Вымпелкома, МегаФона и МТС. Органы правопорядка отреагировали на сигнал и даже задержали семерых подозреваемых, в том числе трех сотрудников самого Вымпелкома. Решением суда они были признаны виновными и приговорены к различным штрафам.

В ответ на негодование платежных систем (а к хору возмущенных присоединились Visa и MasterCard) представители CardSystems сообщили, что дыра была обнаружена давно, о чем компания сразу же сообщила в ФБР. После скандала CardSystems объявила о начале работ над совершенствованием защиты данных, но так легко отделаться ей не удалось. Вскоре после инцидента Visa запретила CardSystems проводить операции со своими картами, утверждая, что компания не может гарантировать клиентам конфиденциальность. Представитель платежной системы заявил, что фирма на данный момент не способна исправить недостатки в своей системе безопасности. На Visa приходилось более половины операций CardSystems.

Из других нашумевших случаев утечки конфиденциальных данных за рубежом можно вспомнить утерю компанией CitiFinancial ленты с незашифрованной информацией о 3,9 млн. клиентов. Не смог сохранить репутацию незапятнанной и Bank of America. Сотрудники банка потеряли носители с данными более чем миллиона клиентов. По некоторым сведениям, диски украли из авиалайнера во время транспортировки. В руках у злоумышленников в числе прочих оказались сведения о сенаторах и военнослужащих.

Теряли персональную информацию и информационные брокеры ChoicePoint и LexisNexis, Калифорнийский и Стэнфордский университеты. Однако именно случай с CardSystems заставил активизироваться правозащитников, требующих изменения законодательства в сфере защиты приватности. Cyber Security Industry Alliance провел опрос среди американцев и выяснил, что 97% респондентов считают проблему ложной идентификации достойной более пристального изучения, а 64% уверены, что усилия правительства в сфере обеспечения компьютерной безопасности пользовательской информации недостаточны.
Абоненты нарасхват

В России среди компаний, теряющих данные клиентов, по количеству инцидентов лидируют телекомы. Впрочем, вряд ли у операторов связи защита персональных данных менее надежна, чем в других структурах, просто на телефонные номера всегда имеется спрос. Поэтому неудивительно, что и российская история утечек из коммерческих баз началась с того, что в 1992 году в Москве появились диски с данными абонентов МГТС. Примечательно (если не возмутительно), что "продукт" регулярно обновляется и его можно приобрести по сей день.

Затем по очереди была украдена клиентская база у каждого из ведущих сотовых операторов. Журналисты все чаще стали задавать компаниям неприятные вопросы. В частности, интересовались, зачем операторам связи нужно собирать так много персональной информации о клиентах, учитывая, что большая их часть не может стать должниками из-за предоплатной схемы работы. Представители одного из телекомов сослались на некую инструкцию тогда еще Главгоссвязьнадзора, существование которой само ведомство отрицает. Самые горячие головы и вовсе считают, что за подобные трюки надо лишать лицензии на оказание услуг сотовой связи. В лицензиях операторов действительно имеется пункт об ограниченном доступе к информации об абонентах. Впрочем, если бы за нарушение этого пункта власти действительно отбирали лицензию, то Россия очень скоро осталась бы вообще без мобильной (да и стационарной) связи.

По итогам доведенных до конца расследований можно сделать вывод, что к троянам и прочим техническим ухищрениям для кражи персональных данных у нас прибегают редко. Как правило, базы просто забираются на флэшке бывшими (а в отдельных случаях и нынешними) сотрудниками, имеющими доступ к информации. А разнообразные правила, согласно которым запрещается вынос дисков и прочих носителей или они подлежат проверке, не создают особых проблем злоумышленникам. В частности, практически нигде не досматривается содержимое накопителей в мобильных телефонах.
Печальные истории

Сейчас на "рынке" баз больший интерес вызывают данные не абонентов, а заемщиков, появление которых было обусловлено введением кредитных историй. О первом случае утечки стало известно в августе прошлого года, когда на адреса нескольких банков и бюро кредитных историй пришел спам. Неизвестные предлагали базу на 700 тысяч людей, бравших потребительские кредиты. Помимо контактных данных, записи содержат сведения о покупке и выданном кредите с указанием суммы, размера ежемесячного платежа, просрочек и наложенных на должника санкций. За все это великолепие продавцы просили 90 тысяч рублей. В сентябре представитель Национального бюро кредитных историй заявил, что утечка произошла из двух или трех банков, названия которых озвучены не были.

Через пару недель после инцидента на Митинском радиорынке появилась база данных о трех тысячах неблагонадежных заемщиков банка 1 ОВК (в настоящее время приобретен Росбанком), которую можно было купить за 900 рублей. Интересно, что продавцы обещали вскоре предложить своим клиентам базу о 3 млн. заемщиков, которую уже успели окрестить "Антикредит". Свое слово митинские распространители сдержали. В чужие руки попала почти треть всех российских кредитных историй. "Антикредит" оказался не только в несколько раз больше по объему, но и более подробным, чем первые базы. Были указаны имена заемщиков, контактные телефоны, домашние адреса, места работы, причины попадания в черный список, такие как просрочка по кредиту или отказ в его выдаче, а также (sic!) банки-источники информации. Стоила база ненамного дороже - 2 тысячи рублей.
Круг подозреваемых

Потенциальных источников утечки данных о заемщиках летом прошлого года было предостаточно. Помимо банков, эта информация имелась у розничных сетей, бюро кредитных историй, коллекторских агентств, а также в Центральном каталоге кредитных историй в ЦБ. Представители последнего, правда, постарались откреститься от причастности к столь масштабному хищению конфиденциальных данных, заявив, что в Банк России поступает не вся информация; а та, что доходит, хранится в зашифрованном виде. Хотя, конечно, памятуя о прошлых инцидентах с российским ЦБ, безоговорочно отметать причастность к делу его сотрудников сложно.

Почти сразу отпали бюро кредитных историй, которые не так долго работают, чтобы собрать данные о 700 тысячах клиентов. Вне подозрений оказались и коллекторские агентства, владеющие только списками должников, тогда как в базе имелись данные и о добросовестных плательщиках. Таким образом, среди потенциальных источников утечки остались крупные банки, специализирующиеся на рынке потребительского кредитования, среди которых Инвестсбербанк, Росбанк, Русский Стандарт, Хоум Кредит и др.

Интересно, что теоретически в утечке заинтересованы и сами банки, которым выгоднее пользоваться нелегально добытой базой, нежели делать платные запросы в бюро кредитных историй и несколько дней ждать ответа.

Самим заемщикам, абонентам, клиентам, налогоплательщикам, автолюбителям и пр., в общем, нам с вами, увы, практически нереально призвать к ответственности компании или госучреждения, которые не смогли уберечь наши личные данные и сделали их объектом свободной купли-продажи. Хотя законодательство признает пострадавшими лиц, чьи данные не были защищены должным образом, и допускает обращение в суд с требованием возместить ущерб. Но выиграть такое дело непросто, поскольку для этого нужно, во-первых, предоставить документ, в котором организация обязалась не распространять вверенные ей персональные данные, а достать его во многих ситуациях проблематично, а во-вторых, надо доказать, что виновником утечки является именно ответчик. Сделать это, разумеется, тоже сложно и дорого.
Закон

Недавно вступивший в силу закон закрепляет обязательства каждой организации, владеющей персональными данными, по обеспечению их конфиденциальности. Нельзя сказать, что этот нормативный акт привнес что-то кардинально новое, скорее он унифицировал ранее разрозненные требования к защите личных данных. Лица, нарушившие эти требования, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. При нарушении положений закона любая компания может быть лишена лицензии на свою деятельность и подвергнута судебному преследованию со стороны пострадавших. Но все это можно было проделать и раньше, однако почему-то не делалось.

Правда, теперь можно привлекать и продавцов персональных данных, так как распространение тоже становится подсудным делом. К тому же закон заставил чиновников и бизнесменов зашевелиться, поскольку устанавливает некие нормативы обеспечения безопасности данных, требующих интеграции новых программных продуктов и изменения организационных процедур при работе с конфиденциальной информацией. Тем не менее закону не достает конкретики. В нем, например, сказано, что организация должна "принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства" для того, чтобы защитить персональные данные от таких действий, как "неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение". Более четкие требования будут разработаны позднее Федеральной службой по техническому и экспортному контролю РФ (ФСТЭК). Это же ведомство займется проверкой исполнения закона в организациях.

Еще одно новшество - это ограничения длительности хранения приватных сведений. Держать их можно не дольше, чем требуют цели обработки данных, после чего информация подлежит уничтожению в течение трех дней. Имеются в виду именно персонифицированные данные. Информация, которую нельзя сопоставить с конкретным человеком, может храниться и дальше - например, для статистических целей. Некоторые представители банков и других организаций уже заявили, что положения закона трудновыполнимы, но обойти их вряд ли удастся.

Лицо, занимающееся сбором и обработкой персональных данных, должно уведомить о своих действиях контролирующий орган, объяснив преследуемые цели. Перечень держателей персональных данных должен быть открытым, и любой гражданин имеет право осведомиться у той или иной организации, что она о нем знает. Упоминается в законе и то, что для получения данных следует заручиться согласием лица, их предоставившего.

Интересно, что этот закон был одним из немногих (если не единственным) российских нормативных актов, непосредственно связанных с приватностью граждан, который не вызвал возмущения у правозащитников. Правда, когда законопроект только поступил на рассмотрение в Думу, депутаты были настроены куда менее благодушно. Они протестовали против двух пунктов закона, предусматривающих создание единой системы персонального учета населения (СПУН), в которую должны были быть занесены, помимо всего прочего, и биометрические данные. Но президент порекомендовал эти положения из закона исключить, и во втором чтении о них речи уже не шло. Правда, единая база в России все же будет. Для такого дела в Госдуме обещают со временем принять отдельный закон. Только теперь говорят не СПУН, а госрегистр, и фигурирует в проекте не девятнадцать параметров, а только шесть: ФИО, пол, дата, год рождения. Но все это о нас можно разузнать и сегодня из баз, украденных в госведомствах, так что хуже уже не будет.

- Из журнала "Компьютерра"

Европейские чиновники меняют антипиратское законодательство
10 апреля 2007 года, 15:33
Текст: Георгий Мешков

Европарламент рассмотрит 27 апреля директиву Еврокомиссии, предусматривающую изменение наказаний за преступления в сфере интеллектуальной собственности на территории всех 27 стран Евросоюза.

В случае одобрения новая инициатива заменит собой законы, действующие на территории европейских стран и предусматривающие различные наказания за нарушения авторских прав. Законопроект предусматривает за это введение тюремного заключения сроком до четырех лет, а также увеличение штрафа с нынешних 121430 до 364290 долларов США. Нормы нового закона касаются только пиратов, извлекающих из своей деятельности коммерческую выгоду. Незаконное копирование аудиоматериалов для личного пользования регулируется рамками других законов.

Автором законопроекта, который уже получил предварительное одобрение Юридического комитета 20 марта, является парламентарий Никола Дзингаретти, представляющий партию итальянских социалистов. Если инициатива будет одобрена членами Европарламента, закон будет отправлен на рассмотрение властей входящих в Евросоюз государств. Власти стран должны вынести свой вердикт до лета.

Дзингаретти убежден, что существующие законы не способны помочь в борьбе с растущими объемами пиратской продукции. Вместе с тем, региональный директор европейского отделения Международной федерации звукозаписывающей индустрии (IFPI) Франсес Мур убеждена, что новые нормы не улучшат существующее положение вещей. Инициатива Дзингаретти базируется на тексте законопроекта, предложенного в апреле прошлого года. Ключевым отличием нового закона является наличие формулировок таких понятий, как "коммерческий масштаб", "контрафакт", "пиратство". По мнению Мур, четкое разграничение преступлений в тексте предложенного закона позволит злоумышленникам в ряде случаев избежать наказания.

Текстом закона также недовольны и эксперты Американской ассоциации кинопроизводителей, Международной федерации производителей видеопродукции и Ассоциации производителей программ для бизнеса.

IFPI не публикует статистику уровня пиратства во всех европейских странах, однако в июльском отчете прошлого года в списке 10 наименее благополучных в этом отношении государств упомянуты Греция, Италия и Испания. По данным IFPI, около 50% музыкальной продукции в Греции является контрафактной. В Италии и Испании этот показатель достигает 26% и 22%, соответственно, сообщает Reuters.

Изобретатель термина Web 2.0 Тим ОРейли и создатель свободной энциклопедии Wikipedia Джимми Уэйлс начали работу над сводом правил, по которым блоггерам будет рекомендовано вести дискуссии и спорить, сообщает The New York Times.

ОРейли и Уэйлс заявили, что планируют создать не один, а три различных кодекса поведения для блоггеров, которые будут незначительно отличаться друг от друга. Например, если в первом анонимные комментарии запрещаться не будут, то во втором или третьем на сообщения от неизвестных будет наложено вето. В третьем своде правил будет положение, согласно которому блоггеры при публикации слухов или срочных новостей должны давать ссылки на первоисточники. В зависимости от того, каким из этих трех сводов будет руководствоваться тот или иной блоггер, он будет размещать на страницах своего дневника соответствующий баннер с указанием кодекса, по правилам которого ведется общение.

Рабочая версия первого свода правил размещена в блоге ОРейли, а также на сайте Уэйлса. В настоящий момент он состоит из семи пунктов:

1. "Мы берем на себя ответственность за наши собственные слова и за комментарии, которые мы разрешаем оставлять в нашем блоге... мы не будем размещать непозволительные материалы и будем удалять содержащие их комментарии".
2. "Мы не скажем нашему сетевому собеседнику того, чего не осмелились бы сказать ему при личной встрече".
3. "Если дискуссия станет слишком напряженной, мы попробуем поговорить с собеседником в частном порядке перед тем, как ответить публично".
4. "Если нам покажется, что кого-то обидели, мы примем меры."
5. "Мы не разрешаем анонимных комментариев".
6. "Мы игнорируем онлайн-провокаторов."
7. "Мы потребуем от компаний-хостеров онлайн-дневников более активно побуждать пользователей соблюдать правила пользования блогом".

Подобный свод правил, несмотря на то, что он появился относительно недавно, уже обрел как ярых сторонников, так и противников. Первые считают, что создание подобных кодексов позволит сделать Сеть более цивилизованным местом, а противники свода правил видят в нем проявление цензуры.

lenta.ru