×

Является ли VPN вредоносной компьютерной программой?

О квалификации использования ПО, препятствующего идентификации пользователя, по ст. 273 УК
Федорков Андрей
Федорков Андрей
Член комиссии по правам человека АП Санкт-Петербурга

В соответствии с приговором Октябрьского районного суда г. Томска от 21 сентября 2022 г. гражданин Б. осужден по ч. 1 ст. 273 УК РФ за «использование вредоносной компьютерной программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации» с назначением наказания в виде трех лет ограничения свободы.

Указанный судебный акт получил широкий резонанс. Основываясь на кратком пресс-релизе, опубликованном на сайте суда, в ряде СМИ сообщили о первом случае уголовного преследования за использование VPN-сервиса. Как выяснилось в дальнейшем, это не совсем так.

Тем не менее выводы суда представляют практический интерес в силу ряда особенностей.

Анализируя приговор, следует учитывать несколько факторов. Прежде всего он постановлен в особом порядке, без проведения судебного разбирательства, в силу чего в описательно-мотивировочной части отсутствуют анализ доказательств и их оценка. Также из текста судебного акта невозможно установить, использование какой именно вредоносной компьютерной программы вменяется осужденному, несмотря на указание ее названия (Vipole). Дело в том, что в открытом доступе в сети «Интернет» есть мессенджер с одноименным названием, использующий шифрование, не позволяющее раскрывать данные пользователя. В то же время представитель прокуратуры Томской области в комментарии для СМИ уточнил, что указанный мессенджер не имеет отношения к делу и его название просто похоже на название вредоносной программы, за использование которой осужден Б. По данным прокуратуры, эта программа популярна среди хакеров и в открытом доступе найти ее нельзя.

Исходя из указанных обстоятельств, для полноценного анализа возможного влияния изложенных выводов суда на правоприменительную практику необходимо обладать точной информацией, о каком типе компьютерной программы в приговоре идет речь.

Поскольку суд квалифицировал действия осужденного по ч. 1 ст. 273 УК (использование вредоносной компьютерной программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации), обратимся к диспозиции данной нормы. Законодатель рассматривает в качестве вредоносной такую программу, которая заведомо предназначена для нейтрализации средств защиты компьютерной информации. При этом понятие «нейтрализация средств защиты» в законодательстве не раскрыто. Также следует учитывать, что в соответствии с Методическими рекомендациями по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации (утверждены Генпрокуратурой России 14 апреля 2014 г.) «под компьютерными программами по смыслу данной статьи УК РФ в основном понимаются программы, известные как компьютерные вирусы (черви, троянские кони, кейлоггеры, руткиты и др.)». Согласно примечанию к ст. 272 УК под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, – независимо от средств их хранения, обработки и передачи.

Из этого следует, что предназначением мессенджера (программы по обмену сообщениями) по определению не может быть нейтрализация средств защиты компьютерной информации, а шифрование применяется как раз в целях защиты конфиденциальных данных пользователей от несанкционированного доступа злоумышленников.

Очевидно, что VPN-сервис не может являться вредоносной компьютерной программой, поскольку предназначен в том числе для защиты пользовательских данных в Сети.

При этом обращает на себя внимание формулировка в описании преступного деяния в тексте приговора: «В результате использования Б. вредоносной компьютерной программы Vipole были нейтрализованы средства защиты компьютерной информации, выразившиеся в невозможности однозначной идентификации пользователя ˂…˃ и его сетевой активности в сети “Интернет”, в том числе провайдером ˂…˃, оказывавшим услуги связи, включая доступ к сети “Интернет” по месту жительства Б. ˂…˃ в г. Томске».

Поскольку приговор вынесен в особом порядке, в соответствии со ст. 317 УПК РФ он не может быть обжалован в апелляцию по основанию несоответствия выводов суда, изложенных в приговоре, фактическим обстоятельствам уголовного дела. Это означает, что с высокой долей вероятности приговор, содержащий приведенную фабулу преступного деяния, вступит в законную силу.

Таким образом, суд, по сути, квалифицировал в качестве преступления, предусмотренного ч. 1 ст. 273 УК, использование ПО, препятствующего идентификации пользователя и отслеживанию его действий в Интернете. Насколько мне известно, это прецедентное решение подобного рода в судебной практике.

При этом суд употребил термин «сетевая активность», определение которого отсутствует в законодательстве, и не указал, в чем именно выразилась сетевая активность осужденного, какие именно средства защиты компьютерной информации и какого именно лица были нейтрализованы в результате использования вредоносной компьютерной программы. Это вызывает обеспокоенность, поскольку подобный подход суда потенциально позволяет применить расширительное толкование ст. 273 УК к любому пользователю Интернета, использующему находящиеся в свободном доступе компьютерные программы (в частности, VPN-сервисы, TOR, анонимайзеры и другие), которые предоставляют возможность сокрытия IP-адреса, анонимизации сетевого трафика и подключения к заблокированным в РФ интернет-ресурсам.

На данный момент в законодательстве отсутствуют прямые запреты на использование указанного ПО, однако время от времени возникают предложения – в том числе со стороны субъектов, обладающих правом законодательной инициативы, – о введении подобного рода ограничений. Более того, в качестве «нейтрализации средств защиты компьютерной информации» можно усмотреть и использование мессенджеров, которые не хранят персональные данные российских пользователей на серверах в РФ, поскольку это препятствует операторам связи хранить текстовые сообщения, голосовую информацию, изображения, звуки, видео- и иные сообщения пользователей услуг связи в соответствии с требованиями Правил хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи, утвержденных Постановлением Правительства РФ от 12 апреля 2018 г. № 4451.

Читайте также
О правилах хранения информации по «Закону Яровой»
В настоящий момент операторы связи не имеют возможности исполнять установленные требования
13 июля 2018 Мнения

В связи с этим рассматриваемый подход суда представляется неоднозначным, поскольку, если примененное им толкование понятия «нейтрализация средств защиты компьютерной информации» в контексте ст. 273 УК не останется локальным курьезным эпизодом, а закрепится в правоприменительной практике, это несет риск последующих уголовных дел в отношении обычных интернет-пользователей, использующих VPN и мессенджеры, не позволяющие идентифицировать их, включая «сетевую активность».

Предотвратить данную тенденцию могут разъяснения Пленума Верховного Суда РФ, который 8 ноября рассмотрел и отправил на доработку проект постановления «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть “Интернет”» (далее – проект постановления), необходимость которых давно назрела.

Читайте также
ВС разъяснит практику по делам о преступлениях в сфере компьютерной информации
Пленум ВС отправил на доработку проект постановления о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей
08 ноября 2022 Новости

Проект постановления содержит определение понятия «нейтрализация средств защиты компьютерной информации» – это «воздействие с помощью компьютерных программ, в частности, на технические, криптографические и другие средства, предназначенные для защиты компьютерной информации от несанкционированного доступа к ней, а также воздействие на средства контроля эффективности защиты информации (технические средства и программы, предназначенные для проверки средств защиты компьютерной информации, например, осуществляющие мониторинг работы антивирусных программ)».

Очевидно, что в нем отсутствует указание на признаки действий, которые Октябрьский районный суд г. Томска квалифицировал по ч. 1 ст. 273 УК, в связи с чем надежда на торжество здравого смысла в правоприменении по данной категории дел остается.


1 Данное постановление принято во исполнение требований подп. 2 п. 1 ст. 64 Федерального закона от 7 июля 2003 г. № 126-ФЗ «О связи» об обязательности хранения текстовых и голосовых пользовательских сообщений, введенного так называемым «Законом Яровой» (Федеральным законом от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в Федеральный закон “О противодействии терроризму” и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности»).

Рассказать:
Другие мнения
Владимиров Вячеслав
Владимиров Вячеслав
Адвокат АП Ставропольского края, КА «Дзалаев и Партнеры»
«Неопределенный» ущерб
Уголовное право и процесс
Кассация поддержала доводы защиты, отменив приговор и вернув дело на новое рассмотрение в первую инстанцию
19 июля 2024
Бибиков Сергей
Бибиков Сергей
Старший юрист МГКА «Бюро адвокатов "Де-юре"», преподаватель Университета им. О.Е. Кутафина (МГЮА), к.ю.н.
Добросовестность – прежде всего
Третейское разбирательство
КС конкретизировал понятие публичного порядка для целей выдачи исполнительного листа по решению третейского суда
18 июля 2024
Бочинин Илья
Бочинин Илья
Юрист Практики по проектам в энергетике VEGASLEX
Нарушение или нет?
Конституционное право
КС разъяснил спорный вопрос о субсидировании МУПов публично-правовым образованием
17 июля 2024
Васильков Константин
Васильков Константин
Адвокат АП Алтайского края, Алтайская краевая коллегия адвокатов (АК № 1 Индустриального района г. Барнаула)
Суд присяжных: прошлое, настоящее, будущее
Уголовное право и процесс
Анализ отечественной практики и зарубежных правопорядков
15 июля 2024
Конрат Валерия
Конрат Валерия
Руководитель общей судебной практики юридической компании «Эклекс»
Дивиденды от добрачного бизнеса – общие или личные?
Семейное право
Суды по-разному подходят к разрешению подобных споров
12 июля 2024
Манько Илья
Манько Илья
Адвокат АП г. Москвы, партнер АБ «Бартолиус»
Об убытках директора за совершение сделки с заинтересованностью
Арбитражный процесс
ВС привел позицию по ряду вопросов, касающихся ответственности экс-руководителя
12 июля 2024
Яндекс.Метрика