Является ли VPN вредоносной компьютерной программой?

В соответствии с приговором Октябрьского районного суда г. Томска от 21 сентября 2022 г. гражданин Б. осужден по ч. 1 ст. 273 УК РФ за «использование вредоносной компьютерной программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации» с назначением наказания в виде трех лет ограничения свободы.

Указанный судебный акт получил широкий резонанс. Основываясь на кратком пресс-релизе, опубликованном на сайте суда, в ряде СМИ сообщили о первом случае уголовного преследования за использование VPN-сервиса. Как выяснилось в дальнейшем, это не совсем так.

Тем не менее выводы суда представляют практический интерес в силу ряда особенностей.

Анализируя приговор, следует учитывать несколько факторов. Прежде всего он постановлен в особом порядке, без проведения судебного разбирательства, в силу чего в описательно-мотивировочной части отсутствуют анализ доказательств и их оценка. Также из текста судебного акта невозможно установить, использование какой именно вредоносной компьютерной программы вменяется осужденному, несмотря на указание ее названия (Vipole). Дело в том, что в открытом доступе в сети «Интернет» есть мессенджер с одноименным названием, использующий шифрование, не позволяющее раскрывать данные пользователя. В то же время представитель прокуратуры Томской области в комментарии для СМИ уточнил, что указанный мессенджер не имеет отношения к делу и его название просто похоже на название вредоносной программы, за использование которой осужден Б. По данным прокуратуры, эта программа популярна среди хакеров и в открытом доступе найти ее нельзя.

Исходя из указанных обстоятельств, для полноценного анализа возможного влияния изложенных выводов суда на правоприменительную практику необходимо обладать точной информацией, о каком типе компьютерной программы в приговоре идет речь.

Поскольку суд квалифицировал действия осужденного по ч. 1 ст. 273 УК (использование вредоносной компьютерной программы, заведомо предназначенной для нейтрализации средств защиты компьютерной информации), обратимся к диспозиции данной нормы. Законодатель рассматривает в качестве вредоносной такую программу, которая заведомо предназначена для нейтрализации средств защиты компьютерной информации. При этом понятие «нейтрализация средств защиты» в законодательстве не раскрыто. Также следует учитывать, что в соответствии с Методическими рекомендациями по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации (утверждены Генпрокуратурой России 14 апреля 2014 г.) «под компьютерными программами по смыслу данной статьи УК РФ в основном понимаются программы, известные как компьютерные вирусы (черви, троянские кони, кейлоггеры, руткиты и др.)». Согласно примечанию к ст. 272 УК под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, – независимо от средств их хранения, обработки и передачи.

Из этого следует, что предназначением мессенджера (программы по обмену сообщениями) по определению не может быть нейтрализация средств защиты компьютерной информации, а шифрование применяется как раз в целях защиты конфиденциальных данных пользователей от несанкционированного доступа злоумышленников.

Очевидно, что VPN-сервис не может являться вредоносной компьютерной программой, поскольку предназначен в том числе для защиты пользовательских данных в Сети.

При этом обращает на себя внимание формулировка в описании преступного деяния в тексте приговора: «В результате использования Б. вредоносной компьютерной программы Vipole были нейтрализованы средства защиты компьютерной информации, выразившиеся в невозможности однозначной идентификации пользователя ˂…˃ и его сетевой активности в сети “Интернет”, в том числе провайдером ˂…˃, оказывавшим услуги связи, включая доступ к сети “Интернет” по месту жительства Б. ˂…˃ в г. Томске».

Поскольку приговор вынесен в особом порядке, в соответствии со ст. 317 УПК РФ он не может быть обжалован в апелляцию по основанию несоответствия выводов суда, изложенных в приговоре, фактическим обстоятельствам уголовного дела. Это означает, что с высокой долей вероятности приговор, содержащий приведенную фабулу преступного деяния, вступит в законную силу.

Таким образом, суд, по сути, квалифицировал в качестве преступления, предусмотренного ч. 1 ст. 273 УК, использование ПО, препятствующего идентификации пользователя и отслеживанию его действий в Интернете. Насколько мне известно, это прецедентное решение подобного рода в судебной практике.

При этом суд употребил термин «сетевая активность», определение которого отсутствует в законодательстве, и не указал, в чем именно выразилась сетевая активность осужденного, какие именно средства защиты компьютерной информации и какого именно лица были нейтрализованы в результате использования вредоносной компьютерной программы. Это вызывает обеспокоенность, поскольку подобный подход суда потенциально позволяет применить расширительное толкование ст. 273 УК к любому пользователю Интернета, использующему находящиеся в свободном доступе компьютерные программы (в частности, VPN-сервисы, TOR, анонимайзеры и другие), которые предоставляют возможность сокрытия IP-адреса, анонимизации сетевого трафика и подключения к заблокированным в РФ интернет-ресурсам.

На данный момент в законодательстве отсутствуют прямые запреты на использование указанного ПО, однако время от времени возникают предложения – в том числе со стороны субъектов, обладающих правом законодательной инициативы, – о введении подобного рода ограничений. Более того, в качестве «нейтрализации средств защиты компьютерной информации» можно усмотреть и использование мессенджеров, которые не хранят персональные данные российских пользователей на серверах в РФ, поскольку это препятствует операторам связи хранить текстовые сообщения, голосовую информацию, изображения, звуки, видео- и иные сообщения пользователей услуг связи в соответствии с требованиями Правил хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи, утвержденных Постановлением Правительства РФ от 12 апреля 2018 г. № 445¹.

В связи с этим рассматриваемый подход суда представляется неоднозначным, поскольку, если примененное им толкование понятия «нейтрализация средств защиты компьютерной информации» в контексте ст. 273 УК не останется локальным курьезным эпизодом, а закрепится в правоприменительной практике, это несет риск последующих уголовных дел в отношении обычных интернет-пользователей, использующих VPN и мессенджеры, не позволяющие идентифицировать их, включая «сетевую активность».

Предотвратить данную тенденцию могут разъяснения Пленума Верховного Суда РФ, который 8 ноября рассмотрел и отправил на доработку проект постановления «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть “Интернет”» (далее – проект постановления), необходимость которых давно назрела.

Проект постановления содержит определение понятия «нейтрализация средств защиты компьютерной информации» – это «воздействие с помощью компьютерных программ, в частности, на технические, криптографические и другие средства, предназначенные для защиты компьютерной информации от несанкционированного доступа к ней, а также воздействие на средства контроля эффективности защиты информации (технические средства и программы, предназначенные для проверки средств защиты компьютерной информации, например, осуществляющие мониторинг работы антивирусных программ)».

Очевидно, что в нем отсутствует указание на признаки действий, которые Октябрьский районный суд г. Томска квалифицировал по ч. 1 ст. 273 УК, в связи с чем надежда на торжество здравого смысла в правоприменении по данной категории дел остается.