РАМОЧНОЕ РЕШЕНИЕ 2005/222/ПВД[1] СОВЕТА
от 24 февраля 2005 г.
об атаках на информационные системы[2]
Рамочное решение «Об атаках на информационные системы» представляет собой источник уголовного права Европейского Союза, направленный на решение актуальной проблемы современного «компьютеризированного» общества – защиту информационных систем и банков данных от преступных посягательств, в том числе со стороны террористических групп и иных преступных организаций.
Острота этой проблемы сегодня уже не вызывает сомнений, поскольку информационные системы превратились в неотъемлемый элемент жизнеобеспечения любого государства и общества. Сбой в их функционировании способен вызвать серьезные трудности для населения и инфраструктуры каждой страны, а в некоторых случаях может спровоцировать катастрофу.
С целью усилить защиту общих и частных интересов, связанных с использованием информационных технологий, настоящее Рамочное решение устанавливает признаки трех составов преступлений:
– незаконный доступ к информационным системам (статья 2);
– нарушение неприкосновенности информационных систем (статья 3);
– нарушение неприкосновенности компьютеризированных данных (статья 4).
Одновременно предусматриваются санкции, которые в отношении наиболее опасных посягательств могут достигать 5 лет лишения свободы (статьи 6 и 7). При этом, как и в других актах уголовного законодательства Европейского Союза, речь идет о минимальных стандартах, т.е. государствам-членам не запрещено устанавливать более высокие наказания.
Рамочное решение также предусматривает наказуемость разных форм соучастия и покушения (статья 5), меры ответственности для юридических лиц (статьи 8 и 9), положения о разграничении юрисдикций и о сотрудничестве государств-членов при возбуждении и расследовании соответствующих уголовных дел (статьи 10 и 11).
Государства-члены Европейского Союза обязаны привести собственные уголовные кодексы и иные правовые акты в соответствие с настоящим Рамочным решением не позднее 16 марта 2007 г. (статья 16), т.е. в течение ближайших двух лет.
СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,
Руководствуясь Договором о Европейском Союзе и, в частности, его статьей 29, пунктом «а» параграфа 1 его статьи 30, пунктом «е» параграфа 1 его статьи 31 и пунктом «b» параграфа 2 его статьи 34,
На основании предложения Комиссии,
С учетом заключения Европейского парламента[3],
Принимая во внимание нижеследующее:
(1) Настоящее Рамочное решение ставит целью усилить сотрудничество между судебными и другими компетентными органами, в том числе между полицейскими и иными специализированными службами, уполномоченными осуществлять применение законов в государствах-членах, посредством сближения их уголовно-правовых норм, которыми устанавливается ответственность за совершение атак на информационные системы.
(2) Было констатировано, что информационные системы подвергаются атакам, в частности, со стороны организованной преступности, и что растет беспокойство перед лицом возможности террористических атак на информационные системы, выступающие составной частью критической инфраструктуры государств-членов[4]. Подобная ситуация угрожает сорвать процесс создания более безопасного информационного общества и формирования пространства свободы, безопасности и правосудия, и, таким образом, требует реакции на уровне Европейского Союза.
(3) Действенный ответ на эти угрозы предполагает наличие всестороннего подхода к вопросам безопасности сетей и информации, как это было подчеркнуто в Европейском плане действий[5], в Сообщении Комиссии под названием «Безопасность сетей и информации: предложение европейского политического подхода» и в Резолюции Совета от 28 января 2002 г. «Об общем подходе и специальных мероприятиях в сфере безопасности сетей и информации»[6].
(4) Необходимость в усилении внимания к проблемам, связанным с информационной безопасностью, и в оказании практической помощи также была подчеркнута в Резолюции Европейского парламента от 5 сентября 2001 г.
(5) Значительные пробелы и различия в законодательствах государств-членов в этой сфере способны затормозить борьбу с организованной преступностью и терроризмом и могут осложнить эффективное судебное и полицейское сотрудничество в случае атак на информационные системы. Поскольку современные информационные системы являются транснациональными и не знают границ, данные атаки часто имеют трансграничное измерение и, тем самым, выдвигают на передний план неотложную потребность в осуществлении сближения уголовного права в этой сфере.
(6) «План действий Совета и Комиссии, посвященный оптимальным способам реализации положений Амстердамского договора о формировании пространства свободы, безопасности и правосудия»[7]; Европейский совет на своих заседаниях в Тампере 15 и 16 октября 1999 г. и в Санта Мария да Фейра 19 и 20 июня 2000 г., Комиссия в своей Сводной таблице[8] и Европейский парламент в своей Резолюции от 19 мая 2000 г. указывают или призывают принять законодательные меры против преступности, использующей передовые технологии, включая установление общих определений, общих оснований уголовной ответственности и общих санкций.
(7) Необходимо дополнить работу, проведенную международными организациями, в частности, работу Совета Европы по сближению уголовного права и работу «Большой восьмерки» по трансграничному сотрудничеству в сфере преступности, использующей передовые технологии, путем выдвижения общего подхода в этой сфере на уровне Европейского Союза. Данный призыв получил более обстоятельное выражение в адресованном Совету, Европейскому парламенту, Европейскому экономическому и социальному комитету и Комитету регионов Сообщении Комиссии под названием «Создать более безопасное информационное общество путем усиления безопасности информационных инфраструктур и борьбы с киберпреступностью».
(8) Следует провести сближение уголовно-правовых норм, относящихся к атакам на информационные системы, с целью гарантировать как можно более эффективное полицейское и судебное сотрудничество применительно к преступлениям, связанным с этим видом атак, и внести вклад в борьбу с организованной преступностью и терроризмом.
(9) Все государства-члены ратифицировали Конвенцию Совета Европы от 28 января 1981 г. «О защите частных лиц в отношении автоматизированной обработки данных личного характера». Данные личного характера, обрабатываемые в контексте реализации настоящего Рамочного решения, должны защищаться в соответствии с принципами, установленными названной Конвенцией.
(10) Чтобы обеспечить последовательное применение настоящего Рамочного решения в государствах-членах, требуются общие определения в этой сфере, особенно, в отношении информационных систем и компьютеризированных данных.
(11) Необходимо выработать общий подход к составным элементам уголовных правонарушений путем введения общих составов преступлений[9]: незаконный доступ к информационной системе, нарушение неприкосновенности системы и нарушение неприкосновенности данных.
(12) Для борьбы с преступностью в сфере вычислительной техники государствам-членам надлежит обеспечивать эффективное судебное сотрудничество применительно к преступлениям, в основе которых лежат категории деяний, предусмотренные статьями 2, 3, 4 и 5.
(13) Важно не допускать сверхкриминализации[10], особенно, в отношении малозначительных дел, а равно привлечения к уголовной ответственности обладателей прав и уполномоченных лиц[11].
(14) Необходимо, чтобы государства-члены предусмотрели санкции в целях наказания за совершение атак на информационные системы. Эти санкции должны быть эффективными, соразмерными и обладать предупредительным эффектом.
(15) Уместно предусмотреть более суровые наказания в тех случаях, когда атака на информационную систему предпринимается в рамках преступной организации, как это понятие определено в Общей акции 98/733/ПВД Совета от 21 декабря 1998 г. «О признании уголовно-наказуемым деянием участия в преступной организации на территории государств-членов Европейского Союза»[12]. Аналогичным образом, следует предусмотреть более суровые наказания в случаях, когда подобная атака причинила серьезный ущерб или явилась посягательством на существенные интересы.
(16) Следует также предусмотреть меры сотрудничества государств-членов с целью обеспечить эффективное противодействие атакам на информационные системы. Соответственно, государства-члены в целях обмена информацией должны использовать существующую сеть оперативных контактных пунктов, предусмотренных Рекомендацией Совета от 25 июня 2001 г. «О контактных пунктах, обеспечивающих круглосуточную службу в целях борьбы с преступностью, связанной с высокими технологиями»[13].
(18) Поскольку цели настоящего Рамочного решения, а именно, гарантировать, чтобы атаки на информационные системы сопровождались во всех государствах-членах эффективными, соразмерными и обладающими предупредительным эффектом уголовно-правовыми санкциями, и обеспечить улучшение и поощрение судебного сотрудничества путем устранения потенциальных затруднений, не могут быть достигнуты в достаточной степени государствами-членами ввиду того, что нормы должными быть общими и взаимно совместимыми, и поскольку указанные цели, следовательно, могут быть лучше достигнуты на уровне Европейского Союза, последний может принять меры в соответствии с принципом субсидиарности, предусмотренным в статье 5 Договора о ЕС[14]. В соответствии с принципом пропорциональности, как он сформулирован в упомянутой статье, настоящее Рамочное решение не выходит за рамки того, что необходимо для достижения указанных целей.
(19) Настоящее Рамочное решение соблюдает основные права и принципы, признанные в статье 6 Договора о Европейском Союзе и отраженные в Хартии Европейского Союза об основных правах, в частности, в ее главах II и VI,
ПРИНЯЛ НАСТОЯЩЕЕ РАМОЧНОЕ РЕШЕНИЕ:
Статья 1
Определения
В целях настоящего Рамочного решения:
а) под «информационной системой» понимаются любое изолированное приспособление либо группа взаимосвязанных или объединенных приспособлений, которое обеспечивает либо один или несколько элементов которой обеспечивают в соответствии с программой автоматизированную обработку компьютеризированных данных, а также компьютеризированные данные, хранимые, обрабатываемые, извлекаемые или передаваемые этими приспособлениями в целях своего функционирования, своего использования, своей защиты и своего технического обслуживания;
b) под «компьютеризированными данными» понимается любое представление фактов, информации или понятий в форме, пригодной для обработки посредством информационной системы, в том числе программа, позволяющая этой системе исполнять какую-либо функцию;
c) под «юридическим лицом» понимается любое образование, за которым такой статус признает действующее право, за исключением государств или других публично-правовых образований при осуществлении ими прерогатив публичной власти, и за исключением публично-правовых международных организаций;
d) под «неправомерным» понимаются доступ или нарушение неприкосновенности, не санкционированные собственником или другим обладателем прав на систему или на часть системы либо не предусмотренные национальным законодательством.
Статья 2
Незаконный доступ к информационным системам
1. Государства-члены принимают необходимые меры с целью обеспечить, чтобы умышленный неправомерный доступ ко всей информационной системе или к любой ее части подлежали наказанию в качестве уголовного преступления, – по крайней мере, в тех случаях, когда деяния не имеют малозначительного характера.
2. Государства-члены могут принять решение о том, что предусмотренные в параграфе 1 деяния подлежат наказанию в качестве уголовного преступления только в случае нарушения мер безопасности[15].
Статья 3
Нарушение неприкосновенности системы
Государства-члены принимают необходимые меры с целью обеспечить, чтобы умышленное серьезное расстройство или умышленная приостановка функционирования информационной системы путем введения, передачи, повреждения, стирания, ухудшения, изменения, устранения компьютеризированных данных или путем лишения доступа к ним подлежали наказанию в качестве уголовного преступления, если действие совершено неправомерно, – по крайней мере, в тех случаях, когда деяния не имеют малозначительного характера.
Статья 4
Нарушение неприкосновенности данных
Государства-члены принимают необходимые меры с целью обеспечить, чтобы умышленное стирание, повреждение, ухудшение, изменение, устранение компьютеризированных данных в информационной системе или лишение доступа к ним подлежали наказанию в качестве уголовного преступления, если действие совершено неправомерно, – по крайней мере, в тех случаях, когда деяния не имеют малозначительного характера.
Статья 5
Подстрекательство, помощь, пособничество и покушение
1. Государства-члены принимают необходимые меры к тому, чтобы сделать наказуемым подстрекательство к совершению или оказание помощи совершению любого из преступлений, предусмотренных статьями 2, 3 и 4, и пособничество этим преступлениям.
2. Государства-члены обеспечивают наказуемость покушения на совершение преступлений, предусмотренных статьями 2, 3 и 4.
3. Государства-члены могут решить не применять параграф 2 к преступлениям, предусмотренным статьей 2.
Статьи 6
Санкции
1. Государства-члены принимают необходимые меры с целью обеспечить, чтобы предусмотренные статьями 2, 3, 4 и 5 преступления подлежали уголовно-правовым санкциям, которые являются эффективными, соразмерными и обладают предупредительным эффектом.
2. Государства-члены принимают необходимые меры с целью обеспечить, чтобы предусмотренные статьями 3 и 4 преступления в качестве максимального наказания подлежали лишению свободы сроком, по меньшей мере, от одного до трех лет.
Статьи 7
Отягчающие обстоятельства
1. Государства-члены принимают необходимые меры с целью обеспечить, чтобы преступления, предусмотренные параграфом 2 статьи 2, статьями 3 и 4, в качестве максимального наказания подлежали лишению свободы сроком, по меньшей мере, от двух до пяти лет, когда они совершены в рамках преступной организации в значении Общей акции 98/733/ПВД[16], независимо от указанного в ней наказания[17].
2. Государства-члены могут применять указанные в параграфе 1 меры и в тех случаях, когда соответствующее преступление причинило серьезный ущерб или явилось посягательством на существенные интересы.
Статья 8
Ответственность юридических лиц
1. Государства-члены принимают необходимые меры с целью обеспечить, чтобы юридические лица могли привлекаться к ответственности за преступления, предусмотренные статьями 2, 3, 4 и 5, совершенные их пользу всяким лицом, которое действует индивидуально или в качестве члена органа соответствующего юридического лица и занимает внутри этого юридического лица руководящее положение в силу одного из следующих оснований:
а) способность выступать представителем юридического лица, или
b) наличие полномочий принимать решения от имени юридического лица, или
c) наличие полномочий осуществлять контроль внутри юридического лица.
2. Помимо случаев, предусмотренных в параграфе 1, государства-члены обеспечивают, чтобы юридическое лицо могло привлекаться к ответственности, если отсутствие наблюдения или контроля со стороны указанного в параграфе 1 лица сделало возможным совершение лицом, находящимся у него в подчинении, любого из предусмотренных в статьях 2, 3, 4 и 5 преступлений в пользу данного юридического лица.
3. Ответственность юридического лица согласно параграфам 1 и 2 не исключает уголовного преследования физических лиц, выступающих исполнителями, подстрекателями или пособниками в совершении преступлений, предусмотренных статьями 2, 3, 4 и 5.
Статья 9
Санкции в отношении юридических лиц
1. Государства-члены принимают необходимые меры с целью обеспечить, чтобы юридическое лицо, признанное ответственным согласно параграфу 1 статьи 8, подлежало эффективным, соразмерным и обладающим предупредительным эффектом наказаниям, которые включают уголовно-правовые или иные штрафы и, возможно, другие санкции, такие как:
а) меры, влекущие за собой лишение права получать льготы или помощь со стороны публичной власти;
b) меры, влекущие за собой временный или постоянный запрет осуществлять коммерческую деятельность;
c) помещение под судебный надзор;
d) роспуск в судебном порядке.
2. Государства-члены принимают необходимые меры с целью обеспечить, чтобы юридическое лицо, привлекаемое к ответственности согласно параграфу 2 статьи 8, подлежало эффективным, соразмерным и обладающим предупредительным эффектом наказаниям и мерам.
Статья 10
Юрисдикция
1. Государства-члены устанавливают свою юрисдикцию в отношении преступлений, предусмотренных статьями 2, 3, 4 и 5, когда преступление было совершено:
а) полностью или частично на их территории, или
b) кем-либо из их граждан, или
с) в пользу юридического лица, чье местонахождение расположено на их территории.
2. При установлении своей юрисдикции в соответствии с пунктом «а» параграфа 1 государства-члены обеспечивают, чтобы она охватывала случаи, когда:
– субъект преступления при его совершении физически находился на территории государства-члена, даже если преступление не направлено против информационной системы, расположенной на территории последнего, или
– преступление направлено против информационной системы, расположенной на территории государства-члена, даже если субъект преступления физически не находился на этой территории.
3. Если государство-член на основании своего законодательства еще не производит экстрадиции или передачи собственных граждан[18], то оно принимает необходимые меры по установлению своей юрисдикции в отношении преступлений, предусмотренных статьями 2, 3, 4 и 5, и, при необходимости, по проведению уголовного преследования в отношении субъектов данных преступлений, когда последние совершены кем-либо из граждан этого государства-члена за пределами его территории.
4. Если преступление относится к юрисдикции нескольких государств-членов, и каждое из них на законных основаниях может возбудить уголовное преследование по одним и тем же фактам, то заинтересованные государства-члены сотрудничают друг с другом в решении вопроса о том, какое из них будет преследовать субъектов преступления, с целью, если возможно, обеспечить централизацию процедуры в одном из данных государств-членов. С этой целью государства-члены вправе использовать любой орган или механизм, учрежденный в рамках Европейского Союза для содействия сотрудничеству судебных органов и развития координации их мероприятий[19]. Последовательно могут приниматься во внимание следующие элементы привязки[20]:
– государством-членом[21] является то, на чьей территории были совершены преступления, в соответствии с пунктом «а» параграфа 1 и параграфом 2;
– государством-членом является то, чьим гражданином является субъект преступления;
– государством-членом является то, где был обнаружен субъект преступления.
5. Государство-член может решить не применять сформулированное в пунктах «b» и «c» параграфа 1 правило юрисдикции либо применять его только в отношении особых ситуаций или обстоятельств.
6. Если государства-члены решают использовать параграф 5, то они информируют об этом Генеральный секретариат Совета и Комиссию, указывая в необходимых случаях особые ситуации или обстоятельства, в которых применяется их решение.
Статья 11
Обмен информацией
1. В целях обмена информацией о преступлениях, предусмотренных статьями 2, 3, 4 и 5, и в соответствии с правилами, регулирующими защиту данных, государства-члены используют существующую сеть оперативных контактных пунктов, доступ к которым открыт ежедневно и круглосуточно.
2. Каждое государство-член сообщает Генеральному секретариату Совета и Комиссии наименование контактных пунктов, назначенных в целях обмена информацией об атаках на информационные системы. Генеральный секретариат передает эту информацию остальным государствам-членам.
Статья 12
Практическое осуществление
1. Государства-члены принимают необходимые меры с целью обеспечить свое соответствие положениям настоящего Рамочного решения не позднее 16 марта 2007 г.
2. К 16 марта 2007 г. государства-члены сообщают Генеральному секретариату Совета и Комиссии текст положений, трансформирующих в свое национальное право обязанности, которые возлагаются на них согласно настоящему Рамочному решению. На основе доклада, подготовленного исходя из собранной информации, и доклада Комиссии, Совет к 16 сентября 2007 г. проверяет, в какой степени государства-члены приняли необходимые меры с целью обеспечить свое соответствие настоящему Рамочному решению.
Статья 13
Вступление в силу
Настоящее Рамочное решение вступает в силу со дня его опубликования в Официальном журнале Европейского Союза.
Совершено в Брюсселе 24 февраля 2005 г.
От имени Совета
Председатель
N. SCHMIT
[1] ПВД – правосудие и внутренние дела (франц.:JAI, англ.: JHA, нем.: JI).
[2] Journal officiel de l’Union européenne L 69 du 16.3.2005, p. 67. Перевод и предисловие Четверикова А.О.
[3] JO C 300 E du 11.12.2003, p. 26. – Прим. оригинала.
[4] «Критическая инфраструктура» – оборудование и иные технические средства, которые имеют принципиальное значение для государства и сбой в функционировании которых может повлечь крайне негативные последствия: инфраструктура вооруженных сил, энергетическая инфраструктура, включая управление АЭС и иными ядерными объектами, и др. – Прим. перев.
[5] План действий по внедрению информационных технологий в общественную жизнь на территории Европейского Союза – созданию «электронной Европы» (eEurope). – Прим. перев.
[6] JO C 43 du 16.2.2002, p. 2. – Прим. оригинала.
[7] JO C 19 du 23.1.1999, p. 1. – Прим. оригинала.
[8] «Сводная таблица» – регулярно обновляемый документ, в котором указываются принятые, обсуждаемые и планируемые меры Союза в сфере «пространства свободы, безопасности и правосудия». – Прим. перев.
[9] Составов преступлений, общих для всех государств-членов (т.е. предусмотренных уголовным законодательством каждой из 25 стран Европейского Союза). – Прим. перев.
[10] «Сверхкриминализация» – установление неоправданно широких оснований уголовной ответственности, признание в качестве преступных тех категорий деяний, которые на деле не представляют реальной общественной опасности. – Прим. перев.
[11] Обладателей прав на информационную систему и иных лиц, которым доступ к информационным системам разрешен действующим законодательством. См. ниже, пункт «d» параграфа 1 статьи 1. – Прим. перев.
[12] JO L 351 du 29.12.1998, p. 1. – Прим. оригинала.
[13] JO С 187 du 3.7.2001, p. 5. – Прим. оригинала.
[14] Договора об учреждении Европейского сообщества 1957 г. – Прим. перев.
[15] Имеются в виду меры защиты информационной системы от несанкционированного доступа и использования (коды, пароли и др.). – Прим. перев.
[16] См. пункт 15 преамбулы. – Прим. перев.
[17] Согласно упомянутому нормативному акту одним из условий признания организации в качестве преступной является тот факт, что она создана для совершения преступлений, караемых в соответствующем государстве лишением свободы сроком до 4 лет или более суровым наказанием. – Прим. перев.
[18] «Передача» – упрощенный порядок принудительного возврата физических лиц для привлечения их к уголовной ответственности на территории заинтересованного государства. Предусмотрена Рамочным решением 2002/584/ПВД Совета от 13 июня 2002 г. «О европейском ордере на арест и процедурах передачи лиц между государствами-членами». – Прим. перев.
[19] Имеется в виду, в частности, Евроюст. – Прим. перев.
[20] «Элементы привязки» – факторы, исходя из которых должен разрешаться конфликт юрисдикций между разными государствами-членами. – Прим. перев.
[21] Имеется в виду государство-член, уполномоченное сконцентрировать в своих руках уголовное преследование. – Прим. перев