Данный модуль является ресурсом для лекторов

 

Роль законодательства о киберпреступности

 

Законодательство о киберпреступности определяет стандарты приемлемого поведения для пользователей информационно-коммуникационных технологий (ИКТ); устанавливает социально-правовые санкции за кибепреступления; защищает пользователей ИКТ в целом и смягчает и/или предотвращает вред, причиняемый людям, данным, системам, сервисам и инфраструктуре в частности; защищает права человека; обеспечивает возможность для проведения расследований и осуществления уголовного преследования в отношении преступлений, совершаемых в сети Интернет (вне пределов реального мира); и содействует сотрудничеству между странами по делам, связанным с киберпреступлениями (УНП ООН, 2013, стр. 57). Законодательство в области киберпреступности предусматривает правила и стандарты поведения при использовании Интернета, компьютеров и связанных с ними цифровых технологий и действия публичных, государственных и частных организаций; нормы доказательственного права, правила осуществления уголовного судопроизводства и прочие вопросы уголовного права, связанные с киберпространством; положения о снижении риска и/или смягчении вреда, причиненного физическим лицам, организациям и инфраструктуре в случае совершения кибепреступления. Таким образом, законодательство в области киберпреступности включает в себя материальное, процессуальное и превентивное право.

 

Материальное право

Незаконное деяние должно быть четко прописано в законе и запрещено законом. В соответствии с моральным принципом «nullum crimen sine lege» (лат. «нет преступления без предусматривающего его закона»), лицо не может быть подвергнуто наказанию за деяние, которое не было прописано в законе на момент совершения лицом этого деяния (УНП ООН, 2013, стр. 59). Материальное право определяет права и обязанности субъектов права, к которым относятся физические лица, организации и государства. Источниками материального права являются нормативно-правовые акты и распоряжения, принимаемые местными и центральными законодательными органами (статутное право), федеральные конституции и конституции федеральных единиц, а также судебные решения (в системах общего права).

Знаете ли вы?

Некоторые страны, вместо разработки новых специальных законов по борьбе с киберпреступностью, внесли поправки в свои национальные законодательства или кодексы, дополнив их отдельными положениями, касающимися киберпреступлений. Эта практика имела любопытные, заслуживающие внимания последствия, которые заключались в том, что некоторые страны решили отдельно криминализировать деяние, связанное с незаконным использованием информационно-коммуникационных технологий для совершения какого-либо преступления. Таким образом, если бы преступник использовал незаконный доступ для совершения подлога или мошенничества, такое деяние образовало бы одновременно два преступления.

Материальное законодательство в области киберпреступности включает в себя законы, которые запрещают конкретные виды киберпреступлений (они описаны в модуле 2 серии модулей по киберпреступности: «Основные виды киберпреступности»), и предусматривает наказание за несоблюдение этих законов. К киберпреступлениям относятся традиционные преступления в реальном мире (вне сети Интернет) (например, мошенничество, подлог, организованная преступность, отмывание денег и кража), совершаемые в киберпространстве, которые являются «гибридными» преступлениями или «преступлениями с использованием киберсетей», а также «новыми» или «киберзависимыми» преступлениями, которые стали возможными с изобретением Интернета и цифровых технологий, функционирующих через Интернет (Wall, 2007; Maras 2014; Maras, 2016). Поэтому многие страны разработали законы, которые конкретно предназначены для противодействия киберпреступности. Например, Германия, Япония и Китай внесли поправки в соответствующие положения своих уголовных кодексов с целью борьбы с киберпреступлениями. Некоторые страны также использовали действующие законы, которые были разработаны для борьбы с преступностью в реальном мире (вне сети Интернет), чтобы охватить определенные виды киберпреступности и киберпреступников. В качестве еще одного примера можно привести Ирак, где действующие гражданский кодекс (Гражданский кодекс Ирака №.40 от 1951 года) и уголовный кодекс (Уголовный кодекс Ирака №.111 от 1969 года) используются для судебного преследования за преступления, совершаемые в реальном мире (например, мошенничество, шантаж, хищение персональных данных) с использованием Интернет и цифровых технологий.

Правовые системы

Каждое государство имеет свою собственную правовую систему, которая влияет на создание материального уголовного права в области киберпреступности. Эти системы включают в себя (Maras, forthcoming, 2020) (готовится к публикации):

1) Общее право. Страны с системой общего права создают законы на основе судебных прецедентов (т.е. решение, вынесенное по делу, является обязательным для суда и нижестоящих судов) и устоявшейся практики. Эти законы существуют в виде отдельных законов и прецедентного права (т.е. права, которое формируется на основе решений судов или судебных прецедентов).

2) Гражданское право. Страны с такой системой права имеют кодифицированные, консолидированные и всеобъемлющие правовые нормы и законоположения, которые устанавливают границы основных прав, обязательств, обязанностей и ожиданий в отношении поведения. Эти системы основаны преимущественно на законодательстве и конституциях.

3) Обычное право. Эти правовые системы включают в себя укоренившиеся и общепринятые модели поведения в рамках культуры, которые воспринимаются носителями этой культуры в качестве закона (opinio juris – убежденность в правомерности). В международном праве обычное право регулирует взаимоотношения и практику между государствами и считается обязательным для всех государств.

4) Религиозное право. В системах религиозного права в качестве источника права используются правила, основанные на религиозных учениях или религиозной литературе.

5) Правовой плюрализм. В правовой системе такого типа возможно сосуществование двух или более вышеупомянутых правовых систем (т.е. общего, гражданского, обычного или религиозного права).

Материальное право сосредоточено на существе преступления, например, элементах состава преступления, которые включают в себя запрещенное деяние (actus reus – «виновное действие») и субъективную сторону (mens rea – «преступный умысел»). Разные страны могут отдавать предпочтение криминализации различных деяний на основе разных элементов, образующих состав преступления. В качестве альтернативы страны могут криминализовать те же самые деяния, однако законы могут различаться с точки зрения того, какая «субъективная сторона» делает лиц виновными за такое деяние (т.е. с точки зрения степени уголовно-правовой вины). В этой связи законы, которые криминализируют, например, несанкционированный доступ к компьютерным системам и данным, отличаются в разных странах в зависимости от степени намерения предполагаемого преступника (см. «Уровни уголовно-правовой вины» во вставке ниже).

Уровни (формы) уголовно-правовой вины

Существуют разные уровни уголовно-правовой вины (или уголовной ответственности) в зависимости от степени, в которой незаконное действие было преднамеренным (совершенным сознательно или умышленно) или непреднамеренным (совершенным по опрометчивости или по неосторожности), которая в разных правовых системах толкуется по-разному (Simons, 2003; Dubber, 2011; Maras, 2020):

  • Сознательно. Лицо сознательно совершает преступление, когда оно действует с целью причинения вреда (т.е. лицо имеет намерение причинить вред). В качестве примера можно привести Закон Соединенного Королевства о неправомерном использовании компьютерных технологий 1990 года, который криминализирует, в числе прочего, несанкционированный доступ к системам и данным с намерением вызвать изменения и/или повреждения, нарушения нормальной работы систем и сервисов и модификации системных данных и программ.
  • Умышленно. Лицо умышленно совершает преступление, когда ему известно о том, что его действие причинит вред, но оно, тем не менее, совершает такое действие и причиняет вред. В соответствии с Законом о компьютерном мошенничестве и злоупотреблении 1986 года, в частности, параграфом1030(a)(1) раздела 18 Свода законов США, лицу могут быть предъявлены обвинения, если оно:
сознательно проникнув в компьютер без необходимых на то санкций или преступив границы санкционированного доступа и посредством данного действия получив информацию, которая была определена Правительством Соединенных Штатов согласно указу или акту исполнительной власти как требующая защиты от несанкционированного раскрытия из соображений национальной обороны или международных отношений, либо получив какую-либо закрытую информацию, как это определено в параграфе «y» статьи 11 Закона об атомной энергии от 1954 года, при наличии основания полагать, что полученная таким образом информация может использоваться с целью причинения вреда Соединённым Штатам или в пользу какого-либо иностранного государства, умышленно сообщает, направляет, передает либо принимает меры для сообщения, направления или передачи, либо пытается сообщить, направить, передать или принять меры для сообщения, направления или передачи такой информации любому лицу, которое не имеет права получать ее, либо умышленно сохраняет эту информацию и не передает ее должностному лицу или служащему Соединенных Штатов, которое имеет право на ее получение.
  • По опрометчивости (или легкомыслию). Лицо совершает преступление по опрометчивости, когда оно совершает акт, даже несмотря на то, что оно осознает существенный и неоправданный риск причинения вреда другим лицам, однако демонстрирует пренебрежение или безразличие к такому риску причинения вреда. В Австралии лицу могут быть предъявлены обвинения на основании положений раздела 477.2(1)(c) Закона о киберпреступности 2001 г. (№.161, 2001), если «лицо опрометчиво не осознает того, что [несанкционированное] изменение [данных] нарушает или нарушит: (i) доступ к этим или любым другим данным, хранящимся в любом компьютере; либо (ii) достоверность, безопасность или применимость любых таких данных».
  • По неосторожности. Неосторожность представляет собой самую низкую степень виновности. Лица, совершающие какие-либо действия по неосторожности, не осознают негативных последствий своего поведения. В Сенегале «любое лицо, которое, даже по неосторожности, обрабатывает или организует обработку персональных данных без соблюдения формальных требований, изложенных в Законе о персональных данных, до использования таких данных, подлежит наказанию» (статья 431-17, Закон №.2008-11 о киберпреступности)

Примечание: уровни (формы) уголовно-правовой вины не являются универсальными (Fletcher, 2000, p. 445-446, cited in Ohlin, 2013 p. 82).

Здесь важно отметить два момента. Во-первых, местное применение закона (уголовное преследование) возможно лишь в том случае, когда уголовное преследование отвечает интересам общества, при этом большое количество массовых киберпреступлений, таких как мошенничество через Интернет, относятся к малозначительным в соответствии с принципом de minimis non-curat lex (лат. закон не заботится о мелочах), в том смысле, что по отдельности они считаются слишком незначительными по своим последствиям, чтобы оправдать расследование полицией или уголовное преследование. Тем не менее, они могут повлечь за собой значительные совокупные последствия в международном масштабе, поэтому они должны подпадать под действие международного права. Во-вторых, «при отсутствии надежного обоснования криминализации определенных деяний возникает риск чрезмернойкриминализации. В этом плане международное право в области прав человека является одним из важных инструментов, необходимых для оценки уголовного права в соответствии с внешними, международными стандартами» (УНП ООН, 2013, стр. 60) (см. раздел «Международное право в области прав человека и законодательство о киберпреступности» в настоящем модуле).

 

Процессуальное право

Процессуальное право определяет границы процессов и процедур, которые необходимо соблюдать при применении норм материального права, а также правила, обеспечивающие возможность для применения материального права. Важной частью процессуального законодательства является уголовно-процессуальное право, которое включает в себя исчерпывающие правила и руководящие принципы в отношении того, как должны обращаться с подозреваемыми, обвиняемыми и осужденными лицами система уголовного правосудия и ее сотрудники (Maras, forthcoming, 2020 (готовится к публикации); для получения общей информации об уголовно-процессуальном праве см. LaFave et al., 2015; для получения информации о международном уголовно-процессуальном праве см. Boas, et al., 2011). Наконец, процессуальное законодательство в области киберпреступности включает в себя положения о юрисдикции и следственных полномочиях, нормы доказательственного права и правила осуществления уголовного судопроизводства, которые относятся к процедурам сбора данных, перехвата сообщений, обыска и выемки, сохранения и хранения данных (которые более подробно рассматриваются в модуле 4: «Введение в цифровую криминалистику», модуле 5: «Расследование киберпреступлений», модуле 6: «Практические аспекты расследования киберпреступлений и цифровой криминалистики» и модуле 10: «Конфиденциальность и защита данных»; см. также УНП ООН, 2013, стр. xxii-xxiii). Киберпреступность создает некоторые уникальные сложности, касающиеся процедур, особенно тех, которые связаны с юрисдикцией, расследованиями и цифровыми доказательствами.

Юрисдикция. Правоохранительные органы вправе осуществлять расследование киберпреступлений, а национальные суды вправе выносить решения по делам о киберпреступлениях только в тех случаях, если заинтересованное государство обладает соответствующей юрисдикцией. Под юрисдикцией понимается право и полномочия государства применять законы и назначать наказание за несоблюдение законов (эта тема подробно рассматривается в модуле 7 серии модулей по киберпреступности: «Международное сотрудничество в борьбе с киберпреступностью»). Вопрос юрисдикции тесно cвязан с государственным суверенитетом, т.е. с правом государства осуществлять полномочия на своей собственной территории (УНП ООН, 2013, стр. 61). Юрисдикция обычно связана с географической территорией или locus commissi deliciti (место совершения преступления), когда государство заявляет о своей юрисдикции в отношении преступлений, совершенных на его территории и осуществляет преследование виновных в их совершении (принцип территориальности). Учитывая отсутствие географических границ и территорий в киберпространстве, местоположение не может использоваться для определения юрисдикции. Поэтому государства используют целый рядиных факторов, чтобы определить юрисдикцию (Brenner and Koops, 2004; Rahman 2012; Maras, forthcoming, 2020) (готовится к публикации). Одним из таких факторов является гражданство правонарушителя (принцип государственной принадлежности; принцип активной правосубъектности). Этот принцип признает право государств осуществлять преследование своих граждан, даже если эти граждане находятся за пределами их территории. В меньшей степени (с точки зрения применимости) для установления юрисдикции в отношении преступления может использоваться гражданство потерпевшего (принцип государственной принадлежности; принцип пассивной правосубъектности). Государство может также устанавливать юрисдикцию в том случае, когда преступление, совершенное в другом государстве (например, государственная измена или шпионаж), нанесло ущерб интересам и безопасности государства, добивающегося осуществления юрисдикции в отношении этого преступления (принцип защиты). Наконец, любое государство может установить юрисдикцию в отношении определенных транснациональных преступлений, таких как массовые злодеяния (например, геноцид), которые рассматриваются как преступления, затрагивающие всех людей, независимо от географического местоположения, когда государство, на территории которого было совершено преступление, не желает или не в состоянии осуществлять преследование виновных лиц (принцип универсальности).

Следственные действия и полномочия. Цифровые доказательства киберпреступлений сопряжены с особыми трудностями – как в плане обращения с ними, так и с точки зрения их использования в судебном производстве (см. модуль 5 серии модулей по киберпреступности: «Расследование киберпреступлений» и модуль 6 серии модулей по киберпреступности: «Практические аспекты расследования киберпреступлений и цифровой криминалистики»). Как отмечалось в проекте доклада УНП ООН «Всестороннее исследование проблемы киберпреступности» в 2013 году, «[в] то время как некоторые такие следственные действия могут быть осуществлены на основании традиционных полномочий, многие процессуальные положения, в основе которых лежит пространственный, объектно-ориентированный подход, трудно применять в ситуациях, связанных с хранением [цифровых] данных и потоками данных в режиме реального времени» (стр. 137), поэтому для проведения расследования необходимы специальные полномочия (УНП ООН, 2013, стр. 60). Такие специальные полномочия предусматриваются законом и не только распространяются на доступ к необходимой информации, но и включают в себя гарантии для обеспечения того, чтобы данные были получены в соответствии с надлежащими законными распоряжениями и были доступны только в той степени, в которой это необходимо и разрешено законом (эта тема дополнительно рассматривается в модуле 5 серии модулей по киберпреступности: «Расследование киберпреступлений»). Закон США о сохраненных сообщениях (титул 18 Свода законов США, § 2701-2712), представляющий собой титул II Закона о конфиденциальности электронных сообщений 1986 года, предусматривает такие гарантии. Например, согласно параграфу 2703(a) титула 18 Свода законов США:

государственное учреждение вправе требовать от провайдера услуг электронных коммуникаций раскрытия содержания проводных или электронных сообщений, хранящихся в электронном хранилище системы электронных коммуникаций в течение не более ста восьмидесяти дней, только на основании ордера, выданного в соответствии с процедурами, описанными в Федеральных правилах уголовного производства (или, в случае суда штата, выданного в соответствии с порядком выдачи судебных ордеров, действующим в этом штате), судом компетентной юрисдикции.

Однако эти гарантии (т.е. требование о наличии законного распоряжения) требуются не во всех странах. В 2014 году Турция внесла поправки в Закон об Интернете №.5651, чтобы требовать от интернет-провайдеров сохранения данных пользователей и предоставлять их властям по первому требованию без необходимости получения законного распоряжения (например, решения суда или ордера на обыск) для получения этих данных. Такие следственные полномочия выходят за рамки обычного сбора доказательств и предполагают получение содействия и взаимодействие с другими представителями системы уголовного правосудия по делам, связанным с киберпреступностью. Такая же ситуация сложилась в Танзании, где Закон о киберпреступности 2015 года наделил полицию чрезмерными, неограниченными следственными полномочиями в отношении киберпреступлений. В частности, санкция полиции является единственным требованием для производства обыска и выемки доказательств и принуждения к раскрытию данных. Соответственно, обыск и выемка, а также прочие следственные действия могут производиться без наличия надлежащих законных распоряжений. Кроме того, существует опасность «размывания (отклонения от основного) мандата» или «размывания функций» (эти термины используются для описания случаев распространения законов и/или иных мер на области, находящиеся за пределами их первоначальной сферы действия), когда законы и следственные полномочия, изначально направленные на один вид киберпреступности, впоследствии распространяются на другие, менее тяжкие виды киберпреступлений. В конечном счете полномочия и процедуры, используемые с целью расследования киберпреступлений и судебных разбирательств, должны соответствовать принципам верховенства закона и стандартам в области прав человека (см., например, статью 15 Конвенции Совета Европы о киберпреступности 2001 года).

Идентификация, сбор, обмен, использование и допустимость цифровых доказательств. Процессуальное законодательство в области киберпреступности охватывает аспекты идентификации, сбора, хранения, анализа и обмена цифровых доказательств. К цифровым доказательствам (или электронным доказательствам) относится «информация любого типа, которую можно извлечь из компьютерных систем или иных цифровых устройств, и которая может использоваться для доказательства или опровержения факта правонарушения» (Maras, 2014). Цифровые доказательства (более подробно рассматриваются в модуле 4 серии модулей по киберпреступности: «Введение в цифровую криминалистику») могут подтвердить или опровергнуть показания потерпевшего, свидетеля и подозреваемого, подтвердить или опровергнуть правдивость утверждения о факте, определить мотив, намерение и местоположение правонарушителя, определить поведение правонарушителя (действия и поведение в прошлом) и установить степень уголовно-правовой вины (Maras 2014; Maras, 2016).

Нормы доказательственного права и правила уголовного судопроизводства включают в себя критерии, используемые для определения допустимости цифровых доказательств в суде (Maras, 2014). В них описываются процедуры документирования, сбора, сохранения, передачи, анализа, хранения и защиты цифровых доказательств с целью обеспечения их допустимости в национальных судах. Для того чтобы цифровые доказательства были допустимыми в суде, проводится их аутентификация и устанавливается их целостность. Процедуры аутентификации включают в себя определение источника/автора цифровых доказательств (например, идентификационной информации об источнике) и проверку целостности доказательств (например, на предмет того, что они не были каким-либо образом изменены, подтасованы или повреждены). Важнейшее значение для обеспечения допустимости цифровых доказательств в большинстве судов является система охраны доказательств, которая включает в себя подробный учет доказательств, их состояния, процессов сбора, хранения, получения доступа и передачи, а также причин получения доступа и передачи (УНП ООН, 2013, стр. 60; Maras, 2014). В разных странах действуют разные стандарты норм доказательственного права и правил уголовного судопроизводства. Для борьбы с киберпреступностью необходимы схожие нормы доказательственного права и уголовного судопроизводства, поскольку преступления такого типа не знают границ и воздействуют на цифровые доказательства и системы в любой точке мира посредством подключения к сети Интернет.

 

Превентивное право

Превентивное право основано на регулировании и снижении рисков правонарушений. В контексте киберпреступности цель превентивного законодательства заключается либо в предотвращении киберпреступлений, либо, как минимум, в смягчении ущерба, причиняемого в результате совершения киберпреступлений (УНП ООН, 2013, стр. 61). Законы о защите данных (например, Общие положения о защите данных ЕС 2016 года и Конвенция Африканского союза о кибербезопасности и защите персональных данных 2014 года, рассматриваемые в модуле 10 серии модулей по киберпреступности: «Конфиденциальность и защита данных») и законы о кибербезопасности (например, Закон Украины «Об основных принципах обеспечения кибербезопасности Украины» 2017 года) приняты с целью снижения материального ущерба в результате киберпреступлений, связанных с утечкой личных данных, и/или минимизации уязвимости граждан к киберпреступлениям. Другие законы позволяют сотрудникам системы уголовного правосудия выявлять и расследовать киберпреступления и осуществлять уголовное преследование виновных путем обеспечения возможности для использования необходимых средств, мер и процедур, облегчающих осуществление таких действий (например, инфраструктуры поставщиков телекоммуникационных услуг и услуг электронной связи, которая дает им возможность перехвата сообщений и сохранения данных). В Соединенных Штатах Америки Закон о содействии правоохранительным органам в области коммуникаций (CALEA) 1994 года (кодифицирован в титуле 47 Свода законов США, параграф 1001-1010) обязывает провайдеров телефонной связи и производителей оборудования принимать меры для того, чтобы их сервисы и продукты обеспечивали органам власти, имеющим законное разрешение (например, надлежащий судебный ордер), возможность для получения доступа к линиям связи.

Знаете ли вы?

База данных по киберпреступности Управления Организации Объединенных Наций по наркотикам и преступности (УНП ООН), которая является частью Портала управления знаниями SHERLOC, содержит данные о национальных законах о киберпреступности и сведения о судебной практике.

 
Далее: Унификация законодательства
Наверх