Формирование международно-правовой системы противодействия киберпреступности: от терминологии до проекта универсальной конвенции

Горелик Илья Борисович аспирант, кафедра международного права, Дипломатическая Академия Министерства Иностранных Дел России 119021, Россия, г. Москва, ул. Остоженка, 53/2, стр. 1 Gorelik Ilya Borisovich Postgraduate student, Department of International Law, Diplomatic Academy of the Russian Foreign Ministry 119021, Russia, Moscow, Ostozhenka str., 53/2, p. 1 gorelik.ilya@yandex.ru Другие публикации этого автора

В современных реалиях киберпреступность является одной из наиболее острых проблем, представляющих значительную угрозу как для отдельно взятых государств, так и для всего международного сообщества в целом. Несмотря на активное сотрудничество государств и международных организаций, проблема киберпреступности по-прежнему остается весьма дискуссионной. Данное обстоятельство во многом связано с тем, что такого рода преступные деяния стали принципиально новым явлением, к которому изначально были не вполне готовы ни национальные законодательства, ни международное право.

Процесс формирования международно-правовой системы противодействия киберпреступности на первых же своих стадиях столкнулся с целым рядом сложностей. Одной из таких была проблема терминологии. Так, существует множество разнообразных определений для киберпреступности. Приведем некоторые из известных вариантов.

На Десятом конгрессе ООН по предупреждению преступности и обращению с правонарушителями отдельно обсуждался вопрос киберпреступлений. Согласно Докладу, опубликованному по результатам проведенной в рамках Конгресса работы, участниками был разработан термин «компьютерные преступления», охватывающий два основных аспекта такой преступности:

1) новые виды преступлений, для которых компьютерные устройства, их сети и пользователи выступают в качестве объектов преступного деяния;

2) «традиционные» формы преступных деяний, для которых упомянутые компьютерные технологии выступают в качестве орудия или средства совершения ^[4].

Другим примером определения киберпреступности может послужить определение, на которое ссылается Международный Союз Электросвязи в своем документе «Понимание киберпреступности: Руководство для развивающихся стран». Отмеченная дефиниция гласит, что киберпреступления – это «действия посредством компьютеров, которые либо являются незаконными, либо считаются противоправными некоторыми сторонами и которые могут быть совершены при помощи глобальных электронных сетей» ^{[9, с. 17]}.

Кроме того, в контексте исследуемой проблемы также можно обратить отдельное внимание на несколько менее распространенный, но гораздо более широкий термин «технотронная преступность». Согласно Евдокимову К. Н. это явление представляет собой «совокупность взаимосвязанных и образующих единую целостность общественно опасных деяний, совершенных лицами с использованием компьютерных, информационно-телекоммуникационных, когнитивных, космических, робототехнических и иных высоких технологий на определенной территории за определенный период времени, где основным объектом преступного посягательства выступают конкретные общественные отношения в сфере безопасного создания, использования и распространения высоких технологий» ^{[5, с. 16]}.

Если же изучить законодательство России, то обнаруживается, что термин «киберпреступность» вовсе не используется в Российских нормативно-правовых актах. Так, согласно названию 28-ой главы Уголовного Кодекса России такого рода преступные деяния обозначаются как «преступления в сфере компьютерной информации» ^[14]. Если же говорить о Российском правотворчестве в области международного права, то можно упомянуть разработанный Россией Проект Конвенции ООН о противодействии использованию информационно-коммуникационных технологий в преступных целях ^[10]. Ни в УК РФ, ни в указанном Проекте, ни в каких-либо иных национальных правовых актах России или международно-правовых инициативах не содержится определений для терминов «преступления в сфере компьютерной информации», «использование информационно-коммуникационных технологий в преступных целях» или каких-либо иных синонимичных по своему значению. С другой стороны, сама формулировка данных терминов делает их семантическое значение вполне ясным.

В поисках определения термина «киберперступность» было бы логично обратиться к некоторому международно-правовому акту, который отдельно посвящен именно проблеме киберпреступности. На данный момент существует только один такой акт – Конвенция Совета Европы о компьютерных преступлениях. Однако и здесь не приводится определения для терминов «компьютерные преступления» или «киберпреступность».

Отдельный интерес может представлять тот факт, что в англоязычной версии Конвенции (которая на ряду с франкоязычной считается одной из официальных версий) ее название представлено как «Convention on Cybercrime», в то время как в тексте перевода Конвенции на русский язык (в данный момент существует только неофициальный перевод, но опубликованный на официальном сайте Будапештской Конвенции ^[21]) документ называется «Конвенция о компьютерных преступлениях». Слово «cybercrime» может быть дословно переведено не иначе как «киберпреступность», однако в указанном выше переводе мы сталкиваемся с «компьютерными преступлениями». В связи с этим возникает вопрос – может ли быть проведено однозначное отождествление между киберпреступностью и компьютерными преступлениями?

Логично предположить, что приставка «кибер-» является производной от термина «кибернетика». Согласно определению, приведенному в «Энциклопедии кибернетики» 1974 г., кибернетика – это «наука об общих законах получения, хранения, передачи и преобразования информации в сложных управляющих системах» ^{[2, с. 440]}. При этом отмечено, что под управляющими системами могут подразумеваться далеко не только «технические, а и любые биологические, административные и социальные системы» ^{[2, с. 440]}.

Если отталкиваться от такого определения кибернетики, то понятие «киберпреступность» гораздо шире понятия «компьютерные преступления», что не позволяет отождествлять их. Кроме того, в отсутствие универсального источника, дающего определение компьютерным преступлениям, по-прежнему остается недостаточно ясным, что именно может считаться такой формой преступного деяния.

В целом, говоря о терминологической стороне описываемой проблемы, исследователи ранее отмечали отсутствие устоявшейся специализированной терминологии в международном праве ^[6]. Данное обстоятельство может создавать определенные трудности при классификации основных видов киберпреступлений и их юридической квалификации ^[16]. Таким образом, становится очевидно, что даже вопрос унифицированной и четкой терминологии в рамках международно-правового регулирования киберпреступности остается нерешенным. Однако такое положение дел, тем не менее, не препятствовало попыткам создания как региональных, так и глобальных правовых систем противодействия киберпреступности.

Процесс формирования базовых принципов международно-правовой системы противодействия киберпреступности опирался, в первую очередь, на национальные практики правоприменения отдельных государств и международных организаций. Однако несмотря на это, явление киберпреступности стало феноменом, к которому как национальные юрисдикции, так и международное право были не готовы. Во многом это обстоятельство объяснялось трансграничным и нематериальным характером киберпространства, что вынуждало поставить вопрос о том, применимо ли современное международное право к киберпространству? Или, например, как принцип государственного суверенитета соотносится с киберпространством?

Можно считать, что процесс формирования международно-правовой системы противодействия киберпреступности начался во второй половине 1980-х гг. На этом этапе особый акцент делался на адаптации национальных законодательств к проблемам, связанным с преступным использованием ИКТ. В частности, в 1986 году Организация экономического сотрудничества и развития (ОЭСР) сформировала предложения по совершенствованию законодательств государств-членов организации в целях их оптимизации для адекватного ответа на угрозу компьютерных преступлений.

Далее, в 2000 году в Вене состоялся уже упоминавшийся выше Десятый конгресс ООН по предупреждению преступности и обращению с правонарушителями. Помимо выработки терминологии, на Конгрессе отдельно отмечалось, что развитие и распространение ИКТ обеспечивает преступников новыми возможностями для совершения противоправных деяний. Отдельный акцент также был сделан на том, что не вполне ясно, как именно следует действовать национальным правоохранительным органам при осуществлении расследований компьютерных преступлений. В частности, отмечалось, что некоторые данные, способные послужить доказательствами совершения преступного деяния, могут содержать в себе личную информацию физических лиц, доступ к которой охраняется законом. Более того, также было отмечено, что процесс расследования таких правонарушений может нанести ущерб коммерческим организациям, обладающим компьютерными системами, содержащими в себе необходимые данные. Также ставились вопросы регламентации взаимодействия правоохранительных органов с поставщиками услуг по хранению и обработке компьютерных данных. В целом, было отмечено, что с учетом новых угроз, связанных с киберпреступностью, требуется модернизация существующего законодательства ^[4].

Высказанные на Конгрессе рекомендации и отмеченные проблемы были приняты во внимание различными международными организациями. В частности, 1 июня 2001 года Содружество Независимых Государств заключило Соглашение о сотрудничестве государств-участников СНГ в борьбе с преступлениями в сфере компьютерной информации. В Соглашении было оговорено, что государства-участники криминализуют целый ряд различных преступных деяний, осуществляемых с использованием ИКТ. Среди данных деяний отмечены можно выделить:

1) Неправомерный доступ к данным в компьютерной системе, если таковой повлек удаление, изменение или копирование данных;

2) Создание и распространение вредоносного ПО;

3) Нарушение правил эксплуатации компьютерной системой, если таковое повлекло удаление или изменение данных;

4) Нарушение авторских прав при эксплуатации компьютерных систем ^[13].

Однако СНГ далеко не единственная региональная международная организация, проявившая подобную инициативу. Значительный вклад в адаптацию современного международного права к угрозам киберпреступности внес Совет Европы. На рубеже 20-го и 21-го веков Совет занимался разработкой конвенции, регламентирующей вопросы борьбы с киберпреступностью. Результатом данной работы стало принятие 23-го ноября 2001 года Конвенции о компьютерных преступлениях (Будапештской Конвенции). По состоянию на начало сентября 2022 года данная конвенция ратифицирована 67-ю государствами. Одной из основных особенностей данной конвенции стало то, что она открыта для подписания любым государством, даже не являющимся членом Совета Европы. Данное обстоятельство позволяет рассматривать Конвенцию как претендующую на универсальность.

Значительным преимуществом Конвенции является то, что в ее тексте указан целый ряд противоправных деяний, которые необходимо криминализовать. Среди этих деяний выделяются следующие:

1) Противозаконный доступ к компьютерной системе;

2) Перехват данных;

3) Неправомерное воздействие на данные и компьютерные устройства;

4) Мошенничество и подлог, осуществленные с использованием компьютерных технологий;

5) Распространение детской порнографии;

6) Нарушение авторских прав с использованием ИКТ ^[20]

Соблюдая рекомендации Десятого Конгресса ООН, в Будапештской Конвенции отдельное положение занимает глава 3, в которой к сторонам выдвигаются требования в организации как можно более широкого международного сотрудничества в целях противодействия киберпреступности. Отдельного внимания заслуживает пункт b статьи 32, который гласит следующее:

«Сторона может без согласия другой Стороны… получать через компьютерную систему на своей территории доступ к хранящимся на территории другой Стороны компьютерным данным или получать их, если эта Сторона имеет законное и добровольное согласие лица, которое имеет законные полномочия раскрывать эти данные этой Стороне через такую компьютерную систему» ^[20].

Данное положение весьма противоречиво и послужило основанием для отказа России от ратификации Будапештской Конвенции. Неприемлемость описанных в нем условий межгосударственного взаимодействия отмечалось российскими исследователями. В частности, А. А. Данельян отмечает, что этот пункт конвенции создает условия «для прямого нарушения принципа государственного суверенитета в информационном пространстве», а также «для нарушения фундаментальных прав и свобод человека в цифровой сфере и, в частности, права на неприкосновенность личной жизни» ^{[3, с. 265]}, т. к., фактически, конвенция дает право некоторому государству и его органам получать бесконтрольный доступ к данным на территории другого государства без необходимости получать разрешение на такой доступ в каждом отдельном случае.

С одной стороны, подобная практика может значительно ускорить процесс расследования некоторых киберпреступлений. Однако, с другой стороны, такие действия могут рассматриваться как нарушение государственного суверенитета. Более того, необходимо учитывать, что в компьютерных системах некоторого государства могут содержаться сведения, представляющие собой государственную тайну, или иная охраняющаяся законом информация, получать доступ к которой иностранные государства не имеют права.

Данное обстоятельство является значительным недостатком Будапештской Конвенции, создающим значительные трудности для ее ратификации некоторыми государствами.

Кроме того, важно понимать, что с момента подписания Конвенции прошел уже 21 год. Информационные технологии всегда отличались скоротечностью своего развития, что делает подобный срок невероятно большим с точки зрения формирования новшеств в области ИКТ. С этими новшествами сформировались и новые угрозы в области киберпреступности. Например, отдельно можно отметить такие явления, как отмывание преступных доходов и финансирование терроризма с использованием криптовалют. Также весьма распространенным на сегодняшний день явлением стало использование сети Интернет в целях торговли наркотическими веществами ^[8] или в целях распространения экстремистских материалов ^[1]. Будапештская Конвенция, в свою очередь, не содержит никаких положений, которые могли бы отдельно рассматривать такие типы преступных деяний.

После подписания конвенции к ней вышло два дополнительных протокола: Первый дополнительный протокол о ксенофобии и расизме ^[19] и Второй дополнительный протокол об улучшении сотрудничества ^[23]. Ни один из этих протоколов не дополняет конвенцию в части типов криминализуемых деяний. Также по-прежнему остается открытой проблема нарушения принципа государственного суверенитета.

Таким образом, вышеуказанные особенности Будапештской Конвенции не позволяют рассматривать ее как достаточно адекватный международно-правовой инструмент противодействия киберпреступности. С другой стороны, данный документ вполне можно охарактеризовать как «рамочный» ^{[18, с. 42]} и рассматривать в качестве основы для создания более совершенного универсального международно-правового акта.

Отдельного рассмотрения заслуживает вопрос кибератак. Основной проблемой данного явления становится крайняя опасность таких атак для критической инфраструктуры государств. В связи с этим, встает вопрос о том, можно ли рассматривать такие атаки как вооруженное нападение на государство?

Попытка ответить на это была предпринята Организацией Североатлантического договора, также известной как НАТО. Организация разработала документ под названием «Tallinn Manual on The International Law Applicable to Cyber Warfare» – Таллиннское руководство по применению международно-правовых норм в случае кибервойны ^[22].

Основным вопросом, рассматриваемым в руководстве, является возможность применения вооруженной силы в качестве ответа на агрессию, осуществляемую посредством кибератаки. При этом основой для подобного применения выступает статья 51 Устава ООН (о праве на индивидуальную или коллективную самооборону в случае вооруженного нападения) ^[15].

Предполагалось, что данный документ сможет решить проблему юридической квалификации военных киберопераций, отличая такие операции от кибератак сугубо криминального характера. Также данное руководство могло бы выступить в качестве основы для создания универсальной конвенции, регламентирующей вопросы, связанные с кибероперациями.

Так, существует мнение, что Руководство «действительно может способствовать легитимизации киберконфликтов, врастанию их в систему международных отношений в XXI веке в качестве допустимого средства решения внешнеполитических задач и обеспечения национальных интересов» ^{[17, с. 11]}.

В России реакция на Руководство была неоднозначной. В частности, высказано беспокойство тем, что в Североатлантическом Альянсе решили «разработать Руководство в одиночку и не привлекли экспертов из других стран, в том числе из России» ^[7].

Кроме того, российские исследователи отдельно указывают на то, что нельзя просто напрямую применять принципы и нормы международного права к киберпространству. В частности отмечается, что понятия «акт агрессии», «применение силы», «вооруженное нападение» не могут быть применимы к любым кибератакам, а термин «информационная война» не может отождествляться с термином «война» в контексте международного права ^{[3, с. 263]}.

Одним из последних наиболее значимых событий в области формирования современной системы противодействия киберпреступности стала разработка Россией проекта универсальной конвенции о борьбе с преступным использованием ИКТ. Так, 27-го июля 2021 года Россия передала в ООН Проект конвенции о противодействии использованию информационно-коммуникационных технологий в преступных целях ^[10].

По сравнению с Будапештской Конвенцией данный Проект является значительным шагом вперед. С одной стороны, в Проекте присутствует множество положений, по сути дублирующих таковые из Будапештской Конвенции. Но, с другой стороны, у Проекта множество преимуществ, выражающихся в наличии ряда положений, затрагивающих проблемы, которые Будапештская Конвенция обходит стороной. Так, в Проекте присутствует положение, напрямую оговаривающее приоритетность суверенитета государства как одного из основополагающих принципов. Кроме того, в Проекте есть положения, указывающие на необходимость криминализации множества преступных деяний с использованием ИКТ, никак не описанных в Конвенции Совета Европы, таких как распространение наркотических веществ, незаконная торговля оружием, вовлечение несовершеннолетних в преступную деятельность, подстрекательство к подрывной деятельности, распространение фальсифицированных лекарственных средств, доведения до самоубийства и т. д..

Такие особенности Проекта делают его наиболее подходящей основой для универсальной конвенции о киберпреступности в рамках ООН. Однако в то же время существует ряд факторов, которые могут значительно затруднить дальнейшее продвижение данного Проекта.

Во-первых, это может быть связано с напряженной политической ситуацией, в виду которой Проект – с учетом того, что он был разработан Россией – может быть воспринят негативно многими странами-участницами ООН. Кроме того, важно учитывать, что многие страны, успевшие ратифицировать Будапештскую Конвенцию (в том числе – и особенно – страны Европейского Союза, активно участвовавшие в ее разработке) настаивают на эффективности Будапештской Конвенции и отсутствии какой-либо необходимости разработки каких-то иных международно-правовых инструментов в соответствующей области.

В пользу такого заключения можно привести определенные аргументы. Дело в том, что прежде, чем создать и передать в ООН упомянутый выше Проект конвенции, Россия уже предпринимала ряд инициатив в рамках ООН, которые можно рассматривать как своеобразную подготовку к созданию и передаче Проекта. Так, 17 декабря 2018 года Генеральная Ассамблея приняла российскую резолюцию 73/187 («Противодействие использованию информационно-коммуникационных технологий в преступных целях»), в которой Генеральному Секретарю предъявляли просьбу запросить у государств-участников сведения о том, с какими именно трудностями они столкнулись в сфере противодействия киберпреступлениям. В ответ на эту резолюцию в июле 2019-го года был подготовлен доклад, содержащий в себе информацию от множества государств-участников ООН.

Согласно полученным ответам, было четко видно, что многие государства, ратифицировавшие Будапештскую Конвенцию, считают данный международно-правовой акт достаточным для эффективного регулирования киберпреступности, а любые попытки разработки какого-то другого документа – излишними. Особенно исчерпывающим в этом смысле представляется часть доклада, посвященная ответу Германии. Так, в тексте указано, что «Конвенция Совета Европы о киберпреступности хорошо подходит для эффективного решения существующих проблем в области борьбы с киберпреступностью» ^{[4, с. 33]}. В качестве основных аргументов в пользу такого заключения и как бы объясняя недостаточно исчерпывающий перечень преступных деяний, описанных в Конвенции, там же приводится мнение о том, что представленные в конвенции определения преступлений являются «технологически нейтральными», в связи с чем способны оставаться актуальными и в современных условиях ^{[4, с. 33]}. В качестве заключения своего ответа Германия отдельно подчеркивает, что не поддерживает разработку каких-либо иных международно-правовых актов в области противодействия киберпреступности, а также отмечает, что «следует избегать параллельных процессов, связанных с резолюциями Генеральной Ассамблеи, и потенциального дублирования усилий» (т. е., очевидно, указывая на свое несогласие с инициативами России).

Таким образом, учитывая описанные выше этапы формирования международно-правовой системы противодействия киберпреступности, а также учитывая указанные нюансы и условия, при которых происходило и происходит это формирование, можно прийти к выводу о том, что на сегодняшний день такая международно-правовая система не существует в глобальном и унифицированном качестве. Для такого вывода может быть множество аргументов. В частности, можно указать на то, что единственный существующий на сегодня международно-правовой акт в области киберпреступности демонстрирует себя как неспособный адекватно отвечать новейшим угрозам в сфере преступного использования ИКТ (по причине элементарного отсутствия положений, которые могли бы обеспечить правовую регламентацию таких угроз, не говоря уже о пренебрежении принципом государственного суверенитета). Более того, как указано в начале статьи, на данный момент отсутствует даже устоявшаяся, однозначная и унифицированная правовая терминология, которую можно было бы использовать в дальнейшем правотворчестве.

Исходя из приведенных особенностей, можно заключить, что на данный момент происходит только начальный этап формирования международно-правовой системы противодействия киберпреступности, как и системы регулирования киберпространства в целом. Международное сообщество только приближается к созданию действительно универсального и эффективного международно-правового инструмента. Однако сейчас довольно сложно спрогнозировать, когда именно он все-таки возникнет. Одним из основных препятствующих факторов можно назвать весьма большое количество стран, которые заняли устойчивую «протекционистскую» позицию по отношению к Будапештской Конвенции, отрицая необходимость каких-либо попыток формирования более совершенного международно-правового акта. Кроме того, как видно из приведенных в данной статье положений, некоторые ключевые инициативы в области регулирования киберпреступности предпринимаются государствами и международными организациями без предварительного согласования с другими ключевыми участниками международных отношений. Данное обстоятельство, разумеется, крайне негативно сказывается на построении глобальной системы противодействия преступлениям в сфере ИКТ. Тем не менее, отрицать или не замечать серьезную угрозу со стороны развивающейся киберпреступности невозможно, в связи с чем представляется, что появление соответствующей универсальной конвенции в рамках ООН все же является вопросом времени.