Понятие и виды цифровой информации, используемой в доказывании по уголовным делам

В современном обществе наблюдается стремительное развитие цифровых технологий, оказывающих существенное влияние на все сферы жизни, включая уголовное судопроизводство. В условиях роста числа мошеннических действий с использованием информационно-коммуникационных технологий цифровая информация приобретает ключевое значение для раскрытия и расследования преступлений.

По данным ФСБ России, в 2024 году зарегистрировано более 640 тысяч таких преступлений, а совокупный ущерб составил более 170 млрд рублей. Проведенными мероприятиями было прекращено функционирование незаконного виртуального узла связи, изъято более 1 200 сим-боксов, 1 000 модемов и телефонных аппаратов, 1,2 млн сим-карт, задержано 208 их владельцев. Возбуждено и рас- следуется более 950 уголовных дел по статьям 205, 159, 272 и 274 УК РФ1. Вскрыты факты использования кол-центров для склонения граждан России к совершению ди-версий2.

В таких условиях цифровая информация в доказывании по уголовным делам приобретает главенствующее значение. Она перестает быть вспомогательным элементом, своего рода «довеском» к традиционным видам доказательств, и становится ключевым фактором, определяющим исход уголовного преследования. Цифровая информация в доказывании является не просто ценным ресурсом, а необходимым условием эффективной борьбы с преступностью, защиты прав и свобод граждан и обеспечения национальной безопасности.

Собирание, проверка, оценка и использование доказательств в уголовном процессе играют ключевую роль, поскольку именно на их основе устанавливаются обстоятельства дела, принимаются процессуальные решения и выносятся итоговые судебные решения (п. 33, 53.2 ст. 5 УПК РФ3). Между тем доказывание представляет собой особый вид познавательной деятельности, регулируемой законом и осуществляемой уполномоченными субъектами, направленной на установление обстоятельств, входящих в предмет доказывания.

Согласно ст. 74 УПК РФ, доказательствами являются любые сведения, на основе которых суд, прокурор, следователь или дознаватель в установленном порядке определяют наличие или отсутствие значимых для уголовного дела обстоятельств [1, с. 161]. Однако в российском законодательстве отсутствует четкое определение термина, этимологически сопряженного с электронной «начинкой» носителей, которые приобщаются к уголовному делу. Главным образом именно поэтому в    современной    уголовно процессуальной доктрине такого рода электронные носители традиционно квалифицируются либо как вещественные доказательства, либо как иные документы, что обусловлено их двойственной природой. Критерий разграничения между этими категориями основывается на классическом доказательственном подходе: если доказательственное значение имеет материальный носитель информации с его физическими свойствами (например, поврежденный жесткий диск или флеш-накопитель со следами взлома), такие объекты следует относить к вещественным доказательствам. Как отмечает Х. Х. Рамалданов, в случаях, когда ценность представляет содержательная составляющая информации (текстовые файлы, базы данных, аудио- и видеозаписи), более обоснованным представляется их отнесение к документальным доказательствам [2, с. 123].

Считаем наиболее приемлемым под цифровой информацией в уголовном судопроизводстве понимать данные, представленные в электронной форме, зафиксированные на материальных носителях или передаваемые через ин-формационно-телекоммуникационные сети, которые могут содержать сведения, имеющие значение для установления обстоятельств уголовного дела.

Основная часть

В отличие от традиционных вещественных     доказательств, цифровая информация может су- ществовать в идентичных копиях, что требует особых механизмов обеспечения ее достоверности и сохранности.

Важным аспектом работы с цифровой информацией является ее зависимость от технических средств обработки и отображения. Одни и те же данные могут интерпретироваться по-разному в зависимости от используемого программного обеспечения, что требует стандартизации методов их анализа. Кроме того, как ранее было отмечено в публикации одного из авторов, цифровая информация отличается высокой степенью изменчивости – она может быть быстро модифицирована или уничтожена, в связи с чем предъявляются особые требования к оперативности проведения следственных действий [3, с. 64].

Особенность цифровой информации как имеющей доказательственное значение заключается в ее принципиально ином генезисе по сравнению с традиционными доказательствами. А. Г. Во-леводз и А. Д. Цыплакова отмечают, что в отличие от материальных следов, образующихся под воздействием объективных физических, химических или биологических процессов, электронные данные формируются в результате взаимодействия двух факторов: аппаратной составляющей (физические носители) и программного обеспечения, созданного разработчиками на основе субъективно выбранных алгоритмов» [4, с. 23]. Например, при расследовании киберпреступления важное доказательственное значение могут иметь как сам поврежденный сер- вер (вещественное доказательство), так и извлеченные с него логи сетевой активности (документальное доказательство), при этом последние формируются по алгоритмам, заложенным программистами в систему логирова-ния.

Подобная двойственная природа цифровой информации, имеющей доказательственное значение, требует особого процессуального подхода к их собиранию, фиксации, при использовании которого правоприменителем должна учитываться как материальная составляющая (физические носители), так и информационная (содержательные данные). В этой связи Е. З. Сидорова и Грибунов О.П. отмечают, что следует учитывать, что программные алгоритмы, определяющие форму и содержание электронных данных, могут быть искажены, что требует дополнительных мер по проверке достоверности таких доказательств [5, с. 18].

Процесс собирания цифровой информации в ходе расследования уголовного дела осуществляется в рамках традиционных следственных действий, однако существуют особые правила, касающиеся только случаев копирования компьютерной информации, а также изъятия носителя, на котором она содержится (ст. 1641 УПК РФ). При этом основными процессуальными формами получения цифровой информации являются осмотр, обыск и выемка, в ходе которых могут быть обнаружены и изъяты персональные компьютеры, мобильные устройства, внешние накопители (флеш-карты, съемные жесткие диски) и иные технические средства хранения информации.

Следует согласиться с Е. И. Третьяковой и А. Б. Соколовым, которые отмечают, что при проведении данных следственных действий необходимо учитывать технологические особенности цифровых доказательств: в ходе осмотра компьютерной техники в первую очередь фиксируется состояние подключенных устройств и запущенных процессов, поскольку внезапное отключение питания может привести к потере оперативных данных [6, с. 232]. Особую сложность представляет копирование цифровой информации с серверного оборудования крупных предприятий, функционирующего в круглосуточном режиме, где требуется обеспечить как сохранность доказательств, так и непрерывность работы системы.

Последующая экспертиза изъятых носителей включает создание криминалистических копий с применением аппаратнопрограммных комплексов, исключающих модификацию исходных данных, что особенно важно при расследовании преступлений в финансовой сфере, где цифровые следы транзакций могут быть ключевыми доказательствами. Проверка достоверности цифровой информации требует комплексного анализа как содержащейся информации, так и метаданных (временных штампов, цифровых подписей, истории изменений), что позволяет установить целостность и неизменность цифровых следов.

Метаданные представляют собой структурированную информацию, описывающую характеристики других данных, и играют ключевую роль в цифровой криминалистике, анализе контента и системном администрировании. В зависимости от типа файла метаданные могут извлекаться из различных источников и использоваться для установления происхождения файла или хронологии событий [7, с. 230].

Одним из наиболее распространенных являются метаданные документов, встроенные в офисные файлы (Word, Excel, PDF) и содержащие данные о пользователе, дате создания, последних изменениях и даже истории правок. Например, документ Microsoft Word может хранить сведения о пользователях, вносивших правки, что позволяет отследить цепочку редактирования. Аналогично PDF-файлы часто содержат метаданные о программе, в которой они были созданы, и даже о принтере, если документ готовился к печати.

Мультимедийные метаданные представляют интерес при изучении фото- и видеоматериалов. Фотографии в форматах JPEG или PNG содержат данные EXIF (Exchangeable Image File Format), включающие параметры съемки (выдержку, диафрагму, ISO), модель камеры или смартфона, а также географические координаты, если геолокация была активна. В случае исследования аудио- и видеофайлов метаданные могут указывать на устройство записи, кодек, длительность и даже программное обеспечение, использованное для монтажа [8].

Сетевые метаданные играют важную роль при анализе интер-нет-контента. Так, HTML-страницы содержат метатеги, которые определяют описание, ключевые слова, автора и кодировку документа. Кроме того, серверные логи хранят IP-адреса пользователей, время запросов и используемые браузеры, что может быть использовано для анализа поведения в сети.

В электронной переписке метаданные включают не только адреса отправителя и получателя, но и маршрут прохождения письма через серверы, временные метки и даже данные о вложениях. Аналогично в журналах телефонных вызовов фиксируются номера абонентов, длительность разговоров и местоположение базовых станций.

Наконец, системные метаданные формируются операционными системами и файловыми системами. К ним относятся атрибуты файлов (даты создания, изменения и последнего доступа), права доступа, идентификаторы пользователей (UID/GID в Unix-системах), а также журналы событий (например, Windows Event Log). Исследователи отмечают, что эти данные позволяют восстановить хронологию работы с файлами, выявить несанкционированные изменения или установить, какое программное обеспечение взаимодействовало с определенными ресурсами [9, с. 175].

В контексте уголовного судопроизводства цифровая информация, используемая в доказывании, может быть классифицирована по нескольким основаниям, отража- ющим ее содержательные и технические характеристики. Первостепенное значение имеет разделение информации по ее функциональному назначению в процессе доказывания.

К первому виду А. С. Агафонов и А. А. Количенко относят пользовательские данные, которые включают сознательно создаваемую и вводимую пользователем информацию: текстовые документы, электронные письма, сообщения в мессенджерах, записи в базах данных, а также мультимедийный контент (фотографии, аудио- и видеозаписи) [10, с. 47]. Отличительной чертой данного вида информации является ее непосредственная связь с деятельностью субъектов, что обусловливает ее особую значимость при установлении состава преступления.

Так, в ходе оперативнорозыскных мероприятий, направленных на выявление и пресечение деятельности участников запрещенной организации, с жесткого диска компьютера одного из фигурантов были извлечены пользовательские файлы. Анализ этих данных позволил обнаружить текстовые документы, содержащие инструкции по проведению диверсий, а также аудиофайлы с пропагандистскими материалами. Указанные доказательства послужили основанием для предъявления обвинения по ст. 282 УК РФ.

Вторую значимую группу составляют системные данные, формируемые автоматически в процессе функционирования компьютерных систем: логи событий, журналы регистрации, временные метки, параметры системных настроек. Эти данные обладают высокой доказательственной ценностью при установлении факта несанкционированного доступа, определении временных параметров совершения преступления или восстановлении последовательности действий пользователя. В отличие от пользовательских данных, как отмечают А. Б. Соколов и Е. И. Третьякова, они объективно фиксируют действия системы, что минимизирует риски фальсификации и позволяет точно устанавливать ключевые параметры преступной деятельности [11, с. 220].

Например, в ходе расследования кибератаки на информационную систему одного из министерств специалисты по компьютерной безопасности изучили журналы событий безопасности. В них были зафиксированы зарубежные IP-адреса, с которых осуществлялось подключение, точное время попыток подбора паролей (брутфорс-атаки), изменения в конфигурационных файлах. При этом анализ временных меток позволил установить, что злоумышленник действовал в ночное время, используя уязвимость в системе авторизации. Данные логов стали основой для идентификации подозреваемого через его провайдера.

Особую категорию цифровой информации образуют данные телекоммуникационных операторов, включающие сведения о соединениях абонентов, маршрутизации трафика, местоположении устройств. И как верно отмечают Каширгов А. Х. и Семенов Е. А., их значение особенно велико при расследовании преступлений, со- вершаемых с использованием средств связи, где они позволяют установить круг подозреваемых лиц и реконструировать события [12, с. 310].

Важное место в системе цифровых доказательств занимают данные, извлекаемые из облачных сервисов и интернет-платформ, которые характеризуются распределенным характером хранения и требуют особых процедур получения, включая международное сотрудничество при трансграничном расположении серверов.

Отдельно следует выделить информацию, получаемую в ходе оперативно-розыскных мероприятий в компьютерных сетях : перехваченные сообщения, данные о сетевой активности, результаты мониторинга интернет-ресурсов. При работе с каждым из указанных видов цифровой информации необходимо учитывать специфические особенности, определяющие выбор соответствующих процессуальных форм закрепления, что требует от сотрудников правоохранительных органов не только юридических знаний, но и понимания технических аспектов функционирования цифровых систем.

Между тем использование фигурантами специализированного программного обеспечения для безопасных соединений, во-первых, создает серьезные препятствия для идентификации участников организованных групп, которые функционируют с помощью информационных технологий. Во-вторых, использование геолокационных данных и навигационных систем для орга- низации дистанционного обмена запрещенными к обороту предметами свидетельствует об адаптации преступных схем к современным цифровым технологиям. В-третьих, интеграция криптовалютных платежей в систему оплаты незаконных товаров и услуг, как отмечают авторы, указывает на высокий уровень технологического оснащения организованной преступности, в том числе имеющей транснациональные связи [13, с. 9].

Так, на территории Алтайского края была выявлена преступная группа, специализирующаяся на бесконтактном сбыте синтетических наркотиков через интернет-магазин, функционирующий в мессенджере Telegram и использующий автоматизированные программы для связи с покупателями.

Деятельность группы тщательно конспирировалась и строилась на строгой иерархии. Новые участники проходили отбор, обучение и получали методические рекомендации, охватывающие вопросы создания легенды, выявления слежки, конспирации (использование второго телефона, сменных SIM-карт, общественного WiFi), защиты информации на мобильных устройствах (использование VPN, специальных приложений для координат и меток на фотографиях, очистка переписки и метаданных). Отдельное внимание уделялось инструкциям по поведению при задержании и допросе, включая уничтожение материальных и цифровых следов.

Основой доказательной базы по этому делу стала цифровая ин- формация, том числе переписка в Telegram, фотографии с геолокацией, данные об используемых приложениях и SIM-картах, а также результаты оперативного наблюдения. Совокупность этих доказательств неопровержимо подтвердила систематическую преступную деятельность подсудимого, направленную на сбыт наркотических средств через сеть «Интернет».

Организация группы характеризовалась четким распределением ролей, системой перехода от «розничного» закладчика к «оптовому», беспрекословным подчинением, жестким контролем качества работы (соблюдение правил, система поощрений и наказаний, отчетность). Оплата труда производилась криптовалютой через цепочку транзакций с компенсацией расходов на проживание, упаковку и транспорт. Схема сбыта включала в себя получение наркотиков от «операторов» и размещение закладок с последующей передачей информации. Новые закладчики получали небольшие партии, которые увеличивались по мере успешной работы.

Доказательствами по уголовному делу стали сведения, полученные из электронных носителей информации. В ходе проведения оперативно-розыскных мероприятий и следственных действий была зафиксирована переписка между подозреваемым и куратором магазина, причем предметом переписки стала информация о получении, распространении наркотических средств, инструкции по созданию тайников-закладок, меры конспирации.

Также в ходе осмотра в галерее телефона обнаружены фотографии, содержащие геолокационные данные, полученные через приложение обмена сообщений. Указанные фотографии зафиксировали местоположение тайников с наркотическими средствами4.

Вопрос изъятия цифровой информации, хранящейся на электронных носителях за пределами национальной юрисдикции, в настоящее время представляет собой одну из наиболее сложных процессуальных и правовых проблем современного уголовного судопроизводства. Как справедливо отмечают О. В. Химичева и А. В. Андреев, отсутствие единого международного нормативного регулирования в данной сфере создает существенные препятствия для эффективного противодействия киберпреступности [14, с. 22].

Сложность заключается в том, что современные информационные технологии позволяют преступникам использовать трансграничную инфраструктуру: регистрировать домены, размещать контент и хранить данные в юрисдикциях, не имеющих договорных обязательств с Российской Федерацией о правовой помощи. В таких случаях традиционные механизмы получения доказательств оказываются неработоспособными.

В качестве возможного решения данной проблемы можно предложить международное сотрудничество через многосторонние соглашения в рамках действующих региональных групп, предусматривающие упрощенные процедуры предоставления цифровых доказательств.

Выводы и заключение

Резюмируя обозначенные вопросы, представляется необходимым отметить, что современное уголовное судопроизводство сталкивается с необходимостью адаптации традиционных процессуальных механизмов к стремительно развивающимся цифровым технологиям. Проведенный анализ позволяет констатировать, что цифровая информация, обладая двойственной природой (материальный носитель и нематериальное содержание), требует разработки специализированных подходов к ее собиранию, фиксации и исследованию. На сегодняшний день в российской правовой системе сохраняется терминологическая и классификационная неопределенность в отношении электронных доказательств, что проявляется в их искусственном подразделении на вещественные доказательства и документы без учета их технологической специфики.

Практика расследования уголовных дел демонстрирует возрастающую доказательственную ценность различных видов цифровой информации – от пользовательских данных и системных логов до метаданных и телекоммуникационных сведений. При этом каждый вид информации требует специфических методов извлечения и анализа, что обусловливает необходимость междисциплинарного подхода, сочетающего юридические знания с компетенциями в области информационных технологий.

Особую проблему представляет трансграничный характер формирования цифровых следов, когда криминалистически значимая информация хранится на серверах за пределами национальной юрисдикции. Отсутствие унифи- цированных международных механизмов получения таких доказательств существенно затрудняет расследование преступлений, в связи с чем представляется необходимым проработка вопроса о возможности заключения международных соглашений, регламентирующих процедуры взаимодействия правоохранительных органов в части получения такой информации.