Виртуальная реальность как объект правового регулирования: сущность, угрозы и механизмы защиты

Технологии виртуальной реальности (VR) стали неотъемлемой частью современных инноваций. Их использование в промышленности, медицине и образовании сократило потенциальные риски на производстве, позволило создать эффективные инструменты для моделирования различных ситуаций, открыло новые возможности для обучения.

Перспективность технологий виртуальной реальности отмечается и в науке. Так, по мнению китайских исследователей, иммерсивная VR поможет сформировать новую образовательную систему будущего [1, с. 1901]. А.В. Минбалеев и Е.В. Титова отмечают пер- спективу проведения в виртуальной среде спортивных мероприятий [2, с. 137].

Особенно активно технологии виртуальной реальности используются в развлекательной сфере: разрабатываются компьютерные игры, совместимые с технологиями виртуальной реальности, выпускается все больше контента, специализированного под данные технологии. Однако вместе с пользой новые технологии, ввиду их уникальности, вызывают все больше вопросов, проблем и, к сожалению, нередко угроз. Одной из таких угроз являются правонарушения в виртуальной реальности. Безусловно, многие действия, такие как спам, кибербуллинг, вирусные атаки, уже признаны законодатель- ством многих стран, в том числе Российской Федерации, правонарушениями.

Особенности, присущие виртуальной реальности, требуют специального изучения и формирования концепции возможного правового регулирования в контексте компьютерных правонарушений. Реализация обозначенной цели влечет необходимость решения следующих задач: 1) посредством методов анализа и сравнения установить сущность понятия «виртуальная реальность»; 2) с помощью анализа действующего законодательства, судебной практики, а также юридической доктрины обозначить имеющиеся проблемы противодействия компьютерным правонарушениям; 3) выявить особенности правонарушений в виртуальной реальности и посредством сравнительно-правового анализа предложить возможные изменения российского законодательства.

Понятие виртуальной реальности

Термин «виртуальная реальность» сегодня активно используется в российском информационном поле. По общему определению, виртуальная реальность – это «моделируемая с помощью компьютерного оборудования и программного обеспечения трехмерная среда, позволяющая пользователям посредством воздействия на органы чувств исследовать и взаимодействовать с имитирующей реальность виртуальной средой»1.

Некоторые определения VR содержатся в документах технологического регулирования. Так, в соответствии с ГОСТ Р 57721-2017 «виртуальная реальность – это высокоразвитая форма виртуальной среды, обладающая высокой степенью достоверности визуализации, имитирующая как воздействие на изучаемый объект, так и реакции на это воздействие»2, а в соответствии с ГОСТ Р ИСО/МЭК 18038-2023 под виртуальной реальностью понимаются «интерактивные функциональные возможности, созданные компьютером и доступные в искусственно созданной и эмулированной сре-де»3. Указанные документы требуют анализа.

В ГОСТ Р ИСО/МЭК 18038-2023 термин «виртуальная реальность» тесно связывается с термином «виртуальный мир» – «набор, состоящий из одного или нескольких файлов виртуальной реальности и другого мультимедийного контента, который после обработки браузером с поддержкой технологии VR предоставляет пользователю интерактивные функциональные возможности, спроектированные разработчиком». Приведенное определение сложно назвать бесспорным. Во-первых, «виртуальная реальность» и «виртуальный мир» – схожие понятия, обладающие аналогичными признаками и свойствами: оба существуют вне зависимости от наблюдателя, сгенерированы с помощью программного кода, интерактивны и т. д. Во-вторых, понятия «виртуальная реальность» и «технологии виртуальной реальности», по нашему мнению, следует разграничивать. Технологии виртуальной реальности вбирают в себя программный код, аппаратуру, контент и т. д., то есть являются конвергенцией технологий, с помощью которых пользователь получает доступ к виртуальной реальности. Сама же виртуальная реальность не создает другую реальность или мир, а им и является. Вместе с тем отождествлять данные понятия тоже не стоит. Представляется, что «виртуальный мир» – более широкое понятие, оно включает в себя в том числе компьютерные игры, социальные сети и иные отличные от материального мира реальности.

Определение термина «виртуальная среда» дано в ГОСТ Р 57721-2017: «виртуальная реальность является одной из форм виртуальной среды, представляющей из себя форму имитационного моделирования, использующую средства визуализации для формирования наглядных копий моделируемых систем (объектов, процессов, явлений)». Иными словами, виртуальная реальность – одна из, но не единственная форма виртуальной среды. Такое разделение в целом поддерживается исследовательским сообществом. Так, проводя дифференциацию между виртуальной реальностью и виртуальной средой, Джим Бласко-вич отмечает, что как только виртуальная среда становится такой, что человек воспринимает себя существующим в ней, то в таком случае речь уже идет об иммерсивной виртуальной среде, то есть о виртуальной реальности [3, с. 129]. Таким образом, аналогично «виртуальному миру» «виртуальная среда» – более широкое понятие по отношению к «виртуальной реальности» и может включать в себя иные виртуальные среды.

Это свидетельствует о том, что понятия «виртуальная среда» и «виртуальный мир» являются синонимами. В дальнейшем эти термины будут использоваться как равнозначные.

Проведенный анализ позволяет сделать заключение, что виртуальная реальность представляет собой иммерсивный трехмерный виртуальный мир (виртуальную среду), создаваемый с помощью специальных компьютерных средств, в рамках которого пользователь имеет возможность взаимодействовать с другими участниками такой реальности, а также с интегрированной в нее вычислительной средой. Взаимодействие обеспечивается посредством специальных устройств, воздействующих на органы чувств. Особенности технологий виртуальной реальности могут помочь ей стать перспективной площадкой для различного вида социальной и публичной деятельности с имитацией личного присутствия пользователя [4, с. 116], например, организации учебного процесса, оборота цифровых активов, имитации трудовых отношений и т. д. Все это свидетельствует о возможности появления в виртуальной реальности различных общественных отношений, которые, по верному замечанию И.А. Филиповой, ставят новые задачи перед правовой системой, поскольку технологии продолжают формировать и изменять общество [5, с. 9].

Правонарушенияв виртуальном пространстве

Одной из задач правового регулирования виртуальной реальности становится противо- действие правонарушениям в данной среде. Виртуальная реальность, будучи средой взаимодействия пользователей между собой и с вычислительными системами, подвержена риску совершения компьютерных правонарушений. Все известные и потенциальные компьютерные атаки, такие как неправомерный доступ, распространение вредоносного программного обеспечения, DDoS-атаки, могут быть совершены в виртуальной реальности.

Одновременно с этим, как отмечалось ранее, виртуальная реальность является одной из форм виртуальной среды, к которой относятся социальные сети, сеть Интернет в целом, уже получившие свое регулирование в рамках российского закона, в том числе в части правонарушений. С учетом проведенного анализа соотношения понятий «виртуальная среда (мир)» и «виртуальная реальность», в соответствии с которым виртуальная реальность – одна из форм виртуальной среды (мира), положения действующих нормативно-правовых актов, применяемых по отношению к виртуальным средам, по нашему мнению, могут и должны в условиях отсутствия специального регулирования применяться к виртуальной реальности. Подобного подхода придерживаются, например, в США, где, как и в Российской Федерации, нет специальных норм, регулирующих виртуальную реальность, однако существуют нормы, которым разработчики и пользователи виртуальной реальности должны следовать. Это законы штатов и федеральные законы, касающиеся хозяйственной деятельности. К ним относятся нормы об азартных играх, денежных переводах, ценных бумагах, недобросовестной и вводящей в заблуждение торговой практике, кибербезопасности, антимонопольном регулировании, авторском праве, хранимых сообщениях, а также Четвертая поправка, определяющая защиту от неправомерного обыска и конфискации имущества [6, с. 52].

Тем не менее, несмотря на принимаемые меры, проблема компьютерных правонарушений сегодня все еще остро стоит на повестке дня во всем мире. В соответствии со сведениями, представленными В. Колокольцевым в рамках его выступления в Совете Федерации 14 мая 2024 г., ущерб от компьютерных преступлений, краж и мошенничеств в 2023 г.

составил 156 млрд рублей4. Ситуация осложняется низкой раскрываемостью компьютерных правонарушений. Согласно статистике, приведенной пресс-центром МВД России, раскрываемость киберпреступлений в 2023 г. составила 29,9 %, в том числе совершенных с использованием сети Интернет – 28,8 %5. Аналогичная ситуация складывается и с административными правонарушениями в сфере информации, например, в области персональных данных6. Такая низкая раскрываемость обусловлена несколькими факторами.

В первую очередь, идентифицировать правонарушителя нередко проблематично. Законодательством Российской Федерации не предусмотрена обязанность пользователя подтверждать свои данные, указанные в сети Интернет. Единственный случай такой необходимости предусмотрен постановлением Правительства РФ от 20 октября 2021 г. № 1801 «Об утверждении Правил идентификации пользователей информационно-телекоммуникационной сети "Интернет" организатором сервиса обмена мгновенными сообщениями», в соответствии с которым организатор сервиса обмена мгновенными сообщениями обязан не допускать передачу электронных сообщений пользователям сервиса обмена мгновенными сообщениями без прохождения процедуры идентифи-кации7, осуществляющейся исключительно по номеру телефона. Однако несмотря на предусмотренную Федеральным законом от 7 июля 2023 г. № 126-ФЗ «О связи» обязанность мобильных операторов по оформлению SIM-карт исключительно на граждан, предъявивших паспорт, все еще остается огромное количество нелегальных номеров, используемых злоумышленниками. Безусловно, современные технологии позволяют идентифицировать правонарушителей с помощью device-level либо browser-level идентификаторов, но по-прежнему существует ряд обстоятельств, препятствующих их дальнейшему привлечению к ответственности.

Первое и самое главное обстоятельство – трансграничность компьютерных правонарушений. Нередко злоумышленники находятся в тысячах километрах от своей жертвы. Покупка зарубежного номера без каких-либо документов сегодня не составляет труда.

Во-вторых, низкий уровень раскрываемости компьютерных правонарушений связан со скептическим отношением сотрудников правоохранительных органов к подобного рода правонарушениям, нередко с отсутствием у них специальных навыков расследования таких деяний, а также с низким уровнем знаний граждан в области информационной безопасности.

Указанное не игнорируется мировым сообществом в лице не только государств, но и международных организаций и частных компаний, которые ведут сотрудничество на различных уровнях. В частности, 27 июля 2021 г. Генеральной прокуратурой РФ был представлен российский вариант проекта Конвенции ООН «О противодействии использованию информационно-коммуникационных технологий в преступных целях». Активно идет сотрудничество на уровне ШОС, ОДКБ, БРИКС и других международных организаций и структур. Частные компании, в том числе российские, предпринимают меры технологического и правового характера, направленные на противодействие компьютерным угрозам.

Изложенное свидетельствует о наличии положительной динамики в области противодействия компьютерным правонарушениям. В то же время параллельно с ростом способов защиты от компьютерных угроз совершенствуются и способы их совершения, что также связано с развитием информационных технологий, таких как искусственный интеллект, блокчейн и виртуальная реальность. По верному замечанию Р.И. Дремлюги, «попытки контроля интернет-пространства привлекли к разработке средств, обходящих такой контроль» [7, с. 46].

Новые вызовы: особенности и профилактика правонарушений в виртуальной реальности

Виртуальная реальность, будучи средой с высокой степенью интерактивности и им-мерсивности, формирует новую правовую и техническую плоскость для совершения правонарушений. Ее особенности обусловливают необходимость выработки специальных мер регулирования.

Интеграция пользователя в виртуальную реальность возможна только посредством использования специальных устройств – очков виртуальной реальности или VR-шлемов, перчаток, трекеров, жилетов и т. д., которые собирают огромные объемы данных о пользователях виртуальной реальности: о передвижениях, местоположении, предпочтениях, походке, движении глаз, реакции на те или иные события и другие данные, связанные с органами чувств. Некоторые из указанных сведений являются нетипичными, их сбор и комплексный характер не всегда с одобрением воспринимаются пользователями, а некоторые, в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»8 и письмами Минцифры России от 17 июля 2020 г. № ОП-П24-070-19433 и Роскомнадзора от 10 февраля 2020 г. № 08АП-6782, относятся к биометрическим данным. Подобный характер указанных сведений делает их одной из приоритетных целей для злоумышленников.

Вместе с тем стоит учитывать, что согласно ст. 11 Федерального закона «О персональных данных», несмотря на то что указанные сведения относятся к биометрическим персональным данным, особый порядок их обработки устанавливается только если эти «данные используются оператором для установления личности субъекта персональных данных». Иными словами, если пользователь в виртуальной реальности не авторизован под своей учетной записью и, соответственно, не идентифицирован или целью сбора таких данных не является идентификация, особый порядок обработки не применяется. Изложенное подтверждается судебной практикой. Так, например, согласно апелляционному определению Санкт-Петербургского городского суда от

15 ноября 2016 г. № 33-22976/2016 по делу № 2-2932/2015 «изображение лица, размещенное на косметической продукции, не является биометрическими персональными данными, поскольку не может идентифицировать… лич-ность»9. Такой подход, по нашему мнению, не может применяться по отношению к виртуальной реальности ввиду чувствительности и совокупности собираемых о пользователях сведений, особенно с учетом объема утечек персональных данных за последнее время.

Безусловно, большинство платформ в виртуальной реальности требуют авторизации пользователей и, как следствие, его идентификации. Данный вопрос нуждается в проработке.

Прежде всего, обработка биометрических персональных данных осуществляется с письменного согласия субъекта. Согласие может быть получено в электронной форме, однако в соответствии с распоряжением Правительства РФ от 30 июня 2018 г. № 1322-р требует указания паспортных данных субъекта10. Передача таких сведений может стать стимулом для оттока пользователей из данных платформ и, как следствие, вызовет кризис на рынке устройств виртуальной реальности. Кроме того, даже в случае предоставления пользователем его персональных данных оператору у последнего нет гарантий их достоверности. По нашему мнению, проблема может быть решена, например, путем введения специальной формы согласия субъекта на обработку его персональных данных со стороны операторов в виртуальной реальности, включающего в себя Ф. И. О., адрес электронной почты и номер телефона для подтверждения его личности. Дополнительно для обеспечения защиты персональных данных неидентифицированных пользователей целесообразно установить для операторов обязанность по обеспечению защищенности таких сведений на уровне, аналогичном тому, который применяется в случаях прохождения идентификации.

Дополнительно стоит обратить внимание на Федеральный закон от 29 декабря 2022 г. № 572-ФЗ, в соответствии с которым вся собранная государственными и коммерческими системами биометрия (к ней в соответствии с данным законом относятся изображение лица или голос) должна быть передана в Единую биометрическую систему. В дальнейшем такие данные подлежат зашифровке и отдельному от других персональных данных, таких как Ф. И. О., адрес и т. д., хранению11. Представляется, что по мере внедрения технологий виртуальной реальности в отечественный рынок требования указанного закона могут быть распространены и на отношения в виртуальной реальности.

Меры тем не менее могут распространяться не только на производителей и разработчиков, но и на самих пользователей. К примеру, еще одним потенциальным решением вопросов, связанных с обработкой персональных данных в виртуальной реальности, может стать обязательная техническая реализация невозможности подтверждения согласия на обработку персональных данных пользователя без его прочтения. Причем получение согласия не должно сводиться исключительно к нажатию кнопки «Согласен». Учитывая возможную сложность и объемность таких согласий, решением может стать выделение жирным шрифтом перечня собираемых о пользователях персональных данных, целей, лиц, имеющих право их обрабатывать, возможность отказа от согласия и т. д.

Еще одной угрозой, требующей отдельного внимания в рамках VR, является кибербуллинг – «проявление физического или психологического насилия по отношению к другим людям в цифровом пространстве». Несмотря на имеющийся в обществе скептицизм к травле в интернете, исходя из данных, приведенных компанией VK, «57 % пользователей сталкивались с кибербуллингом»12. В случае с виртуальной реальностью ситуация еще более сложная. Было отмечено, что пользователь при использовании аппаратуры виртуальной реальности попадает в виртуальный мир, цель которого – создать иллюзию его реальности. В таких условиях пользователь как будто испытывает все чувства наяву и, соответственно, более подвержен риску преследований, угроз, демонстрации обнаженных частей тела и прочим способам негативного воздействия на его сознание. Несмотря на наличие норм в российском законодательстве, предусматривающих ответственность за травлю в сети Интернет, их сложно назвать действенными. Так, ст. 5.61 КоАП РФ предусматривает штраф от 3 до 5 тыс. рублей за унижение чести и достоинства другого лица. За такое оскорбление в «социальной сети, зарегистрированной в качестве средства массовой информации» ответственность возрастает до 10 тыс. рублей. Представляется, что эта сумма недостаточна и требует увеличения. Лицо, осуществляющее травлю в цифровом пространстве, чувствует себя более безнаказанным сразу по нескольким причинам: анонимность, отсутствие «живого» контакта с жертвой, территориальные ограничения и др.

Весьма показательна в этой связи позиция российского законодателя в рамках уголовного регулирования. В августе 2024 г. ст. 63 УК РФ была дополнена пунктом «т», согласно которому совершение умышленного преступления с публичной демонстрацией, в том числе в средствах массовой информации или информационно-телекоммуникационных сетях (включая сеть Интернет), рассматривается в качестве обстоятельства, отягчающего наказание. Считаем, что такой же подход должен найти отражение и в ст. 4.3 КоАП РФ, которая должна быть дополнена пунктом 7, предусматривающим аналогичное положение.

Не менее важную и связанную с предыдущими особенностями проблему поднимают Марк Лемли и Юджин Волох. Они указывают на так называемую «проблему Бангладеша», которая заключается в скептическом отношении правоохранительных органов к заявлениям пользователей о правонарушениях, совершенных в виртуальной реальности. Скептицизм обусловлен нетипичностью подобных правонарушений для правоохра- нительной системы, а также трансгранич-ностью, которая также поднимает вопросы определения государственной юрисдикции и экстрадиции [8, с. 1134]. Конечно, большинство правонарушений в виртуальной реальности совершаются посредством использования примитивных средств атаки, а злоумышленники могут быть достаточно быстро установлены. В то же время расследование в отношении них не приводит к эффективным последствиям ввиду расстояния. М.А. Федотов в этой связи пишет: «чтобы государство смогло выработать правовые нормы, способные работать в Сети, оно должно сначала найти себя в киберпространстве и определить, где здесь проходят границы его суверенитета и юрисдикции» [9, с. 168].

Указанные проблемы не являются единственными для виртуальной реальности. Однако наиболее важен тот факт, что технологии виртуальной реальности, несмотря на свою текущую популярность, тем не менее пока не получили большого распространения в России. Это связано с высокой стоимостью оборудования, отсутствием конкурентоспособных отечественных платформ и устройств и т. д. В таких условиях защита пользователей от потенциальных угроз выпадает из поля зрения законодательных и регулирующих органов. Представляется, что для развития отечественного производства, защиты российских пользователей требуется создание особых условий для российских производителей устройств, которые, однако, обязательно должны соответствовать определенным техническим требованиям, в том числе связанным с обеспечением информационной безопасности. Эти требования могут быть закреплены не только в нормах законодательного характера, но и, например, в документах технического регулирования.

Не менее действенным средством может оказаться внедрение системы лицензирования виртуальных платформ, что позволит государству установить требования к безопасности и управлению данными пользователей, предотвращать распространение противоправного контента. Такие требования могут включать необходимость разработки и внедрения со стороны операторов платформ виртуальной реальности протоколов быстро- го реагирования на жалобы пользователей на правонарушения. Указанные протоколы должны включать удаление противоправного контента и блокировку пользователей. За нарушения требований лицензирования может быть предусмотрена система штрафов для лиц, ответственных за их соблюдение.

Ключевым элементом противодействия информационным угрозам в виртуальной реальности может стать внедрение процедуры идентификации пользователей. Подобная мера будет способствовать усложнению действий злоумышленников и облегчит привлечение их к ответственности. Однако идентификация должна быть соразмерной и основываться на принципах разумной достаточности и направленности на достижение конкретных целей, без избыточного сбора личных данных. Для пользователей, чья деятельность в виртуальной реальности ограничивается развлекательными целями, идентификация не должна предполагать раскрытие полного объема личной информации.

Достаточно действенным способом, учитывая, что виртуальная реальность подразумевает глобальную систему взаимодействия пользователей, может стать ведение общей базы данных о лицах, совершивших правонарушения в виртуальной реальности. Такие данные могут распространяться среди операторов платформ для ограничения доступа правонарушителей.

Заключение

Виртуальная реальность, будучи социально нейтральной технологией, способна оказать как положительное, так и негативное воздействие на общество. Сложность и, как следствие, законодательная неурегулированность данной сферы становится стимулом для появления потенциальных угроз не только для рядовых пользователей, но и для информационного сообщества в целом.

Проведенный анализ показал наличие вопросов, требующих разрешения в сфере информационной безопасности виртуальной реальности, что потребует комплексного подхода, соединяющего в себе меры не только правового, но и технического и образова- тельного характера. Концепции минимизации потенциальных угроз, помимо предложенных мер, могут также включать в себя установление определенных правил и обязательств для компаний-разработчиков, а также для правоохранительных органов и самих пользователей. Например, введение со стороны разработчиков обязательного ознакомительного курса по информационной безопасности для пользователей виртуальной реальности.

Установление же правового режима требует тщательного предварительного анализа виртуальной реальности. Проблематика в данном случае, как отмечает В.В. Архипов, «дополняется вопросом о соотношении виртуального и реального, то есть о пределах применения норм реального права к виртуальным отношениям» [10, с. 4]. В таких обстоятельствах в первую очередь требуется четко определить правовую природу виртуальной реальности. Ведь, по верному замечанию И.Л. Бачило, «формирование языка науки является одним из ключевых при формировании информационного законодательства» [11]. Также требуется решить уже существующие проблемы в рамках противодействия информационным угрозам и в дальнейшем сформировать модель регулирования виртуальной реальности. Проведенный нами анализ может способствовать решению обозначенных вопросов.

Вместе с тем введение жестких мер может стать болезненным для рынка VR-устройств и фатальным для производителей, особенно учитывая, что основные производители VR-устройств и виртуальных платформ – зарубежные компании. Тем не менее в условиях отсутствия полноценной законодательной защиты пользователей от компьютерных правонарушений именно создатели VR-устройств и виртуальных платформ становятся единственным рубежом защиты пользователей от злоумышленников.

Решение обозначенных и иных проблем требует совместных усилий как со стороны государства, так и со стороны производителей, разработчиков и пользователей. Представляется, что метод сорегулирования может стать фундаментом для дальнейшего развития технологий виртуальной реальности и их регулирования. Подобное сотрудничество может заключаться в создании «регуляторных песочниц», в рамках которых производители и разработчики смогут опробовать те или иные меры защиты информации, в привлечении граждан для их тестирования, введении минимальной или нулевой налоговой ставки и т. д. Все изложенное, по нашему мнению, позволит в равной степени учесть интересы государства, производителей, разработчиков и пользователей виртуальной реальности.