Квалификация преступлений, связанных с использованием баз данных сотрудниками правоохранительных и судебных органов

В настоящее время мы можем наблюдать качественное изменение преступности. В последние несколько лет происходил стремительный рост преступлений, связанных с использованием информационно-телекоммуникационных технологий. При этом в некоторые годы рост доли таких преступлений составлял более 20%. Подобного рода преступления совершаются и сотрудниками правоохранительных и судебных органов. Однако до сих пор не выработаны общие подходы к квалификации преступлений в сфере компьютерной информации и должностных преступлений.

Одним из аспектов рассматриваемой проблемы является квалификация преступлений, совершаемых с использованием баз данных сотрудниками правоохранительных и судебных органов.

Количество таких преступлений достаточно велико, что обусловливается наличием различных баз данных, а также постепенным переходом на электронное делопроизводство.

П. 16 постановления Пленума Верховного Суда Российской Федерации от 15.12.2022 № 37 «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть «Интернет»1 содержит прямое указание на необходимость квалификации подобного рода деяний по совокупности со ст. 272 УК РФ. Однако проанализированные нами судебные акты не свидетельствуют об однозначности в этом вопросе.

Другим аспектом рассматриваемой проблемы является квалификация доступа к компьютерной информации как неправомерного. Дело в том, что сотрудники правоохранительных и судебных органов пользуются базами данных для исполнения своих должностных обязанностей, то есть правомерно. Возникает закономерный вопрос о допустимости квалификации, например, незаконной модификации ими данных в базе по ст. 272 УК РФ, и если да, то не будет ли это двойной ответственностью за одно и то же преступление?

Сказанное выше обусловливает потребность в анализе квалификации деяний, связанных с преступным использованием сотрудниками правоохранительных и судебных органов баз данных, и выработке единого подхода к их квалификации.

Обзор литературы

Проблемам квалификации деяний, предусмотренных ст. 272 УК РФ, в том числе квалификации по совокупности с другими составами, посвящен ряд интересных исследований. Вопросы квалификации деяний, связанных с неправомерным доступом к компьютерной информации, рассматривались в трудах Е.А. Русскевича [1-4], в том числе в его докторской диссертации [5], В.Н. Винокурова и Е.А. Федоровой [6-7], К.Н. Евдокимова [8], И.О. Ткачева [9]. Вместе с тем вопросы квалификации деяний с использованием компьютерной техники и баз данных нельзя признать полностью решенными.

Исследование базируется на материалах судебной статистики Судебного департамента при Верховном Суде Российской Федерации, судебной практики по конкретным делам районных судов, судов субъектов Российской Федерации и кассационных судов общей юрисдикции, Верховного Суда Российской Федерации.

Материалы и методы

Методологической основой явилось комплексное применение философских, общенаучных и частнонаучных методов познания. Ключевыми инструментами анализа выступили методы анализа и синтеза, индукции и дедукции, формально-логический и структурно-функциональный подходы. Обоснованный выбор методологической базы позволил осуществить углубленное изучение вопросов, составляющих предмет исследования, и представить аргументированные авторские выводы и предложения. В качестве эмпирической базы исследования были использованы нормы уголовного и иных отраслей права, материалы судебно-следственной практики, а также фундаментальные и прикладные работы отечественных ученых, посвященные проблемам уголовной ответственности должностные преступления и преступления в сфере компьютерной информации.

Результаты исследования

По данным МВД России, 40% зарегистрированных в 2024 году преступлений были совершены с использованием информационно-телекоммуникационных технологий. Таких деяний зарегистрировано на 13,1% больше, чем в 2023 году. При этом количество зарегистрированных в Российской Федерации преступлений уменьшилось на 1,8%1.

С другой стороны, доля сотрудников правоохранительных и судебных органов среди лиц, совершивших преступления в сфере компьютерной информации, в последнее время достаточно высока. Приведем статистические данные за 2024 год по ст. 272 УК РФ «Неправомерный доступ к компьютерной информации». В соответствии с данными Судебного департамента при Верховном Суде Российской Федерации2 в 2024 году всего осуждено 512 845 лиц, из них осуждено 2 308 лиц по категориям «Адвокаты, нотариусы, аудиторы», «Судьи, работника суда», «Прокуроры, следователи», «Иные сотрудники правоохранительных органов, в том числе органов прокуратуры» (далее по тексту – «Осужденные сотрудники правоохранительных и судебных органов»). То есть доля данных четырех категорий составляет 0,45% от общего числа осужденных. При этом осуждено по всем частям ст. 272 УК РФ всего 267 лиц, из них по перечисленным выше четырем категориям – 13 лиц. Таким образом, доля сотрудников правоохранительных и судебных органов среди осужденных по ст. 272 УК РФ составляет 4,86%. Это более, чем в 10 раз больше, чем среди общего числа осужденных.

Другой способ подсчета также свидетельствует о значительной доле осужденных по ст. 272 УК РФ сотрудников правоохранительных и судебных органов. Так, осужденные по ст. 272 УК РФ (267 лиц) составляют 0,052% от общего числа осужденных (512 845 лица). Доля осужденных по ст. 272 УК РФ сотрудников правоохранительных и судебных органов (13 лиц) составляет 0,56% от общего числа осужденных сотрудников правоохранительных и судебных органов (2308 лиц), то есть более чем в 10 раз. Можно сказать, что сотрудников правоохранительных и судебных органов в 10 раз чаще осуждают по ст. 272 УК РФ, чем иных граждан. Вместе с тем необходимо отметить, что в 2021 и 2022 годах осужденных по ст. 272 УК РФ сотрудников правоохранительных органов было лишь по 1 лицу. В 2023 году их стало уже 10. Изменение ли это позиции правоприменителя, качественное изменение преступности и тренд, либо скачок в рамках дисперсии показателей – покажет время.

Кроме того, изучение статистики осужденных по различным частям ст. 272 УК РФ дает основание утверждать, что по части 3 данной статьи осуждено подавляющее большинство. В 2024 году по части 1 статьи 272 УК РФ осуждено 18 лиц, по части 2 – 47 лиц, по части 3 – 200 лиц (74,9%), по части 4 – 2 лица. Мы не можем внутри статистики по части 3 статьи 272 УК РФ разделить деяния, совершенные группой лиц по предварительному сговору или организованной группой, от совершенных лицом с использованием своего служебного положения. Но, например, по тем же данным среди всех 380 лиц, осуждённых по главе 28 УК РФ в 2024 году, 81 совершил преступления в группе. Методом исключения следует предположить, что доля осужденных, совершивших преступление с использованием своего служебного положения, составляет не менее половины.

Следует объяснить это тем, что все большее число государственных органов осуществляют делопроизводство и документооборот с помощью различных государственных автоматизированных систем, информационно-управ-ляющих систем, программных продуктов, программных изделий, программных комплексов, баз данных и др. В данных программах сотрудники правоохранительных и судебных органов осуществляют весь цикл своей работы: вносят данные, получают справочную и статистическую информацию, готовят бланки документов и готовые документы, используют их для принятия разнообразных административных и управленческих решений.

Базы данных, системы управления базами данных, программные изделия, программные продукты в правоохранительных и судебных органах обладают рядом особенностей, которые отличают их от иных программных продуктов и предопределяют специфику работы с ними.

К названным особенностям можно отнести следующие:

• -    различные уровни доступа. Большинство баз данных доступны только сотрудникам этого правоохранительного или судебного органа. Вместе с тем зачастую существует контур для общего доступа и для служебного пользования, но он содержит более узкий объем информации;

• -    полномочиями на внесение данных в базу, получение информации из неё обладают, как правило, не все сотрудники. Возможно определение ролей пользователей, имеющих разный круг полномочий;

• -    у сотрудников, имеющих полномочия, есть учетные данные для доступа (логин, пароль), которые позволяют им войти в систему, а впоследствии установить, кто и когда внёс или получил какие-либо сведения;

• -    базы данных, как правило, содержат сведения, относящиеся к персональным данным, а для указанных работников – составляющих служебную тайну;

• -    внесение данных в базу может повлечь возникновение, изменение, прекращение прав и обязанностей лиц, информация о которых вносится.

Данные особенности предопределяют способ совершения преступлений, последствия совершаемых преступлений, особенности субъективной стороны, информированности соучастников и т.п.

Одна из сложностей при квалификации преступлений, совершенных сотрудниками правоохранительных и судебных органов с помощью баз данных, обусловлена тем, что сотрудники имеют легальный доступ к указанным базам, вытыкающий из служебных полномочий перечисленных субъектов.

Е.А. Русскевич в связи с этим отмечает, что «даже действие в рамках служебных или профессиональных полномочий отнюдь не исключает возможности признания доступа к компьютерной информации неправомерным. Это объясняется тем, что право лица на доступ к информационной базе данных не носит общий характер, а возникает только в связи со строго определенными (нормативно регламентированными) основаниями» [3, с. 46].

Вопрос о квалификации таких деяний разрешается по-разному. В специальной литературе неоднократно обращалось внимание на отсутствие единообразия в судебной практике по уголовным делам о преступлениях, где компьютерная техника выступает средством совершения преступления. Позиции судебных органов по одним и тем же вопросам порой кардинально противоположны. В частности, довольно распространены случаи, когда сходные деяния квалифицируются по-разному: одни суды квалифицируют их только по ст. 272 УК РФ, другие же – по совокупности с соответствующей статьей Особенной части УК РФ[10]. И с тех пор ситуация мало поменялась.

В настоящее время сформировалось три подхода к квалификации деяний, связанных с доступом (законным или незаконным) к базе данных сотрудниками правоохранительных и судебных органов, и последующими уничтожением, блокированием, модификацией или копированием.

Согласно первому подходу, деяние квалифицируется по ч. 3. ст. 272 УК РФ. Так, приговором Октябрьского районного суда города Иваново В. был осужден за то, что, являясь старшим инспектором ДПС ГИБДД УМВД России по Ивановской области, из базы данных ФИС ГИБДД-М на планшетном компьютере, находившемся при нем, получил сведения о карточке операций с водительским удостоверением (персональных данных), выданных на имя третьего лица. Эти данные В. скопировал путем фотографирования на свой мобильный телефон и, используя мессенджер, отправил скопированную информацию заинтересованному лицу1.

В данном случае неправомерный доступ к компьютерной информации повлек ее копирование вопреки требованиям закона. Интересно, что здесь суд использует фразу «имея доступ», то есть доступ у сотрудника был.

По другому делу произошла модификация компьютерной информации. З., являясь секретарем судебного заседания отдела обеспечения судопроизводства по гражданским делам апелляционной инстанции Московского областного суда, совершил 8 преступлений, предусмотренных ч. 3 ст. 272 УК РФ, с использованием своего служебного положения.

В частности, З. через свою учетную запись в ГАС «Правосудие» внес неправомерные изменения в карточке гражданского дела апелляционной инстанции, изменив назначенного в автоматическом режиме судью по гражданскому делу на другого судью, для чего при регистрации поступивших гражданских дел в ГАС «Правосудие» создавал фиктивные карточки дел. После этого зарегистрированные фиктивные дела совместно с другими делами распределялись помощником председателя Московского областного суда в «Модуле распределения дел» ГАС «Правосудие», которая была не осведомлена о преступных намерениях З. После этого З. осуществил неправомерную замену содержимого карточек дел, тем самым совершив неправомерный доступ к охраняемой законом компьютерной информации, неправомерно модифицировав сведения в ГАС «Правосудие» Московского областного суда, вследствие чего данные об указанном граждан- ском деле были внесены в ранее созданную фиктивную карточку дела2.

Е.А. Русскевич, рассматривая возможность квалификации только по ч. 3 ст. 272 УК РФ, приводит следующий пример мотивации из судебной практики: «Суд, применив ч. 3 ст. 272 УК РФ, обоснованно указал, что наличие у виновного официального доступа к служебной базе данных само по себе не исключает возможности его осуждения по ст. 272 УК РФ, поскольку им совершены незаконные действия, связанные с неправомерным доступом к компьютерной информации, имевшие целью сокрытие ранее совершенного должностного преступления, а также направленные на избежание лицом, совершившим административное правонарушение, исполнения назначенного судебным решением наказания». И далее приходит к следующему: «Учитывая, что ч. 3 ст. 272 УК РФ точнее выражает направленность деяния, а также более полно описывает его признаки, следует, пожалуй, поддержать последний подход. При этом, полагаем, в силу ч. 1 ст. 17 УК РФ подобного рода действия должностных лиц полностью охватываются ч. 3 ст. 272 УК РФ и дополнительной квалификации по ст. 285 УК РФ не требуют» [1, с. 90-91].

Второй подход сводится к квалификации только по соответствующей статье главы 30 УК РФ . Здесь суды квалифицируют деяние в зависимости от существа преступления, которое хочет совершить лицо, невзирая на то, что оно использует для этого базу данных и специфичный способ. Доступ к базе данных рассматривается как способ совершения преступления.

Например, приговором Солнцевского районного суда города Москвы, оставленным без изменения судами апелляционной и кассационной инстанций, П. был признан виновным по ч. 1 ст. 2921, ч. 1 ст. 286 УК РФ. П., будучи начальником отдела по вопросам миграции Отдела МВД России по району Солнцево г. Москвы, внес сведения в специальную базу данных ППО «Территория», произвел печать паспорта на имя В., являющегося гражданином иностранного государства, собственноручно поставил свою подпись и печать, а затем произвел выдачу паспорта гражданина Российской Федерации на имя В. гражданину В., не приобретшему в установленном порядке гражданства Российской Федерации. Также в результате аналогичных действий он произвел выдачу паспорта гражданина Российской Федерации на имя А.А.Б. гражданину А.Г., находящемуся в розыске за вымогательство.

Интересно и то, что П. в судебном разбирательстве показал, что «у него, как у руководителя, был доступ ко всем базам данных. Он под своим паролем ни разу не работал, пароль находился в сейфе у него в кабинете, но он им не пользовался». «Из показаний допрошенного в судебном заседании свидетеля Ш., старшего оперуполномоченного ОСБ УВД по ЗАО, следует, что в ходе сбора материала установили IP компьютеров, с которых вносились сведения в базу данных. Было установлено, что сведения внесены под логином другой сотрудницы отдела – Ф., но все данные в формах были ложные, в том числе номер паспорта. Все сведения вносились сразу, с разницей в несколько секунд, т.е. вносило одно лицо, материала проверки на это лицо не было»1.

Анализ иных материалов судебной практики показал, что такая квалификация деяний достаточно распространена.

Третий подход предполагает квалификацию по совокупности ст. 272 УК РФ и соответствующей статьи главы 30 УК РФ. Данная позиция высказана Пленумом Верховного Суда Российской Федерации, который в п. 16 постановления от 15.12.2022 № 37 разъяснил, что «если действия, предусмотренные статьями 272 – 274.1 УК РФ, выступали способом совершения иных преступлений, они подлежат квалификации по совокупности с преступлениями, предусмотренными соответствующими статьями Уголовного кодекса Российской Федерации»2.

Например, И., будучи заместителем начальника МО МВД России «Кулундинский», имея допуск к работе по использованию сведений банков данных Госавтоинспекции МВД России, за взятку собрал содержащуюся в них информацию о персональных данных не менее 88 неустановленного круга лиц, транспортных средствах, скопировал и передал ее другому лицу посредством приложения «Телеграм». Осужден по ч. 3 ст. 290 и ч. 3 ст. 272 УК РФ3.

По другому делу Д. осуждён по ч. 3 ст. 272, ч. 1 ст. 286 УК РФ. Д., замещая должность го- сударственного инспектора дорожного надзора отделения ГИБДД в базовом ресурсе «Адмпрак-тика» в подсистеме «Административные правонарушения» федеральной информационной системы ГИБДД-M внес в электронную карточку административного материала в отношении Н., зарегистрированному в указанной информационной системе за уникальным номером сведения о прерывании течения срока лишения специального права Н. При этом Д. был наделен полномочиями по доступу к единой системе информационно-аналитического обеспечения деятельности МВД России, а также к ряду подсистем федеральной информационной системы ГИБДД-M, однако не обладал полномочиями по доступу к подсистеме «Административные правонарушения» указанной выше информационной системы, а соответственно, не обладал полномочиями по внесению каких-либо сведений в указанную подси-стему4.

В данном случае вопрос о неправомерности очень спорный, поскольку у Д. была возможность вносить изменения, наниматель ему эту возможность не заблокировал.

Имеются примеры совокупности ст. 272 УК РФ и должностных преступлений (статей 290, 286 УК РФ). По одному из дел таким должностным преступлением было злоупотребление должностными полномочиями. Например, Б. осуждён по ч. 4 ст. 272, ч. 6 ст. 290, ч. 3 ст. 285 УК РФ за то, что являясь начальником информационного обеспечения Информационного центра УВД по СЗАО ГУ МВД России по г. Москве, в составе организованной группы систематически предоставлял информацию из информационно-поисковых сервисов МВД России за вознаграждение. При этом преступление выражалось только в указанном и дополнительных эпизодов, преступлений ему не вменялось5.

Оценивая такую квалификацию по совокупности, необходимо отметить, что ряд доводов в пользу такого варианта квалификации высказывает К.Н. Евдокимов, который пишет, что «неправомерный доступ к компьютерной информации достаточно редко встречается как самостоятельное преступное, а чаще всего является способом для совершения других общественно опасных деяний и достижения иных преступных целей. Поэтому действия виновных следует квалифицировать по совокупности совершенных преступных деяний, где неправомерный доступ к компьютерной информации выступает только одним из преступлений» [8, с. 41].

Анализ приведенных выше подходов к квалификации свидетельствует о необходимости поиска разумного баланса между следующими доводами. С одной стороны, следует избегать возможности привлечения к уголовной ответственности дважды за одно преступление, а также привлечение к уголовной ответственности за способ совершения преступления в тех ситуациях, когда этот способ единственно возможный и без него совершить преступление невозможно.

С другой стороны, необходимо обеспечить неотвратимость наказания, привлечение к уголовной ответственности лиц, совершивших общественно опасные деяния, ни одно из них не должно остаться без заслуженного наказания. Кроме того, мы учитываем, что если способ совершения преступления влечет более строгую или равную ответственность с деянием, которое этим способом совершено, то он подлежит отдельной квалификации по совокупности с основным преступлением.

Обсуждение и заключение

Вышеизложенное позволяет сделать следующие выводы.

Во-первых, если доступ к компьютерной информации имел явно неправомерный характер (использование личных данных коллеги без его ведома, атака хакеров, подбор пароля, вход человеком, который таких полномочий не имеет и никогда не имел), то квалификация должна осуществляться по ст. 272 УК РФ. При этом непра- вомерность доступа должна быть мотивирована в приговоре. В исследованных нами приговорах мы такой мотивировки зачастую не видим.

Во-вторых, если доступ хотя и носил правомерный характер, а дальнейшие действия явились незаконными, то судебные органы рассматривают факт правомерного доступа с неправомерными целями (впоследствии реализованными в копировании, модификации и др.) как неправомерный. Хотя, как отмечалось выше, это происходит далеко не всегда. Нам представляется более обоснованным второй из выделенных нами подходов, то есть квалификация только по статье главы 30 УК РФ. Это объясняется тем, что совершение преступления с использованием базы данных является единственным возможным способом совершения преступления, антиобщественная направленность умысла лица не направлена на неправомерный доступ, а направлена на совершение должностного преступления (получение взятки, превышение должностных полномочий, служебный подлог и др.).

В-третьих, санкция ч. 3 ст. 272 УК РФ достаточно сурова (до 5 лет лишения свободы), а ч. 1 ст. 286 (до 4 лет лишения свободы), ч. 1 ст. 290 (до 3 лет лишения свободы) предполагают более мягкое наказание. Поэтому в настоящее время общие подходы к квалификации обязывают квалифицировать по совокупности статей главы 30 УК РФ и ч. 3 ст. 272 УК РФ как способ совершения преступления, более сурово наказуемый, чем само преступление.

Эти выводы касаются современного положения дел в законодательстве и судебной практике, которое, однако, на наш взгляд, должно быть изменено путем совершенствования законодательства и появлением новых разъяснений высших судебных органов.