Щотижневий аналіз 29 січня – 04 лютого 2025 року

Несанкціоноване втручання в роботу публічних електронних реєстрів: деякі проблеми криміналізації

Подія

16 січня 2024 року прийнято за основу Проєкт Закону «Про внесення змін до Кримінального кодексу України щодо встановлення кримінальної відповідальності за несанкціоноване втручання, збут або розповсюдження інформації, що оброблюється в публічних електронних реєстрах, та посилення кримінальної відповідальності під час дії воєнного стану за кримінальні правопорушення у сфері використання інформаційно-комунікаційних систем» від 9.11.2023 (реєстраційний № 10242) (далі – Проєкт Закону).

Ним зокрема пропонується:

1) уточнити зміст ст. 361 Кримінального кодексу України (КК) (несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж) в частині визначення інформаційно-комунікаційних систем – прямо виділено такий їх вид, як «публічні електронні реєстри». Відтак, акцентовано на криміналізації несанкціонованого втручання в роботу публічних електронних реєстрів;

2) доповнити ч. 5 ст. 361 та ч. 2 ст. 361-2 КК (несанкціоновані збут або розповсюдження інформації з обмеженим доступом) кваліфікуючою ознакою «службовою особою з використанням службового становища», а ч. 3 ст. 361-1 (створення з метою протиправного використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, їх розповсюдження або збут) та ч. 3 ст. 361-2 КК – «під час дії воєнного стану»;

3) надати у примітці до ст. 361 КК визначення несанкціонованого втручання – для цієї статті; несанкціонованого збуту або розповсюдження інформації з обмеженим доступом – для ст. 361-2 КК; доповнити пункт 2 цієї примітки уточненням щодо не поширення положень статті на відповідні дії, вчинені викривачем шляхом повідомлення відповідних суб’єктів у спосіб та порядку, передбаченими статтями 53-1 і 53-2 Закону «Про запобігання корупції»; уточнити визначення поняття публічних електронних реєстрів – для статей 361, 361-2, 362 (несанкціоновані дії з інформацією), 363 (порушення правил експлуатації ЕОМ, автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку або порядку чи правил захисту інформації, яка в них оброблюється) і 363-1 (перешкоджання роботі ЕОМ) та 365-2 (зловживання повноваженнями особами, які надають публічні послуги) КК; 

4) у п. 1 ч. 1 ст. 43 Закону «Про прокуратуру» доповнити підставу дисциплінарної відповідальності прокурора – «неприйняття процесуального рішення або невчинення процесуальної дії в передбачені законом строки» як спеціальної форми невиконання чи неналежного виконання службових обов’язків;

5) виключити п. 10 ч. 1 ст. 284 Кримінального процесуального кодексу України (КПК), який наразі передбачає можливість закриття кримінального провадження, якщо після повідомлення особі про підозру закінчився строк досудового розслідування, визначений статтею 219 КПК; водночас доповнити ч. 4 ст. 219 КПК положенням, згідно з яким не пізніше останнього дня строку закінчення досудового розслідування, визначеного цією статтею, прокурор зобов’язаний здійснити одну з дій, передбачених ч. 2 ст. 283 КПК (тобто закрити кримінальне провадження, звернутися до суду з клопотанням про звільнення особи від кримінальної відповідальності чи обвинувальним актом тощо).

Позиція ЦППР

1. Згідно з п. 12 ч. 1 ст. 2 Закону «Про публічні електронні реєстри», публічний електронний реєстр (реєстр, кадастр, регістр тощо) – це інформаційно-комунікаційна система, що забезпечує збирання, накопичення, захист, облік, відображення, оброблення реєстрових даних та надання реєстрової інформації. Тобто реєстри є видом інформаційно-комунікаційних систем.

2. Відповідно до ст. 1 Закону «Про захист інформації в інформаційно-телекомунікаційних системах», користувачем інформації в системі є фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі. Закон «Про публічні електронні реєстри» регламентує внесення інформації до реєстрів та користування нею, адміністрування тощо (статті 28, 34, 36-39).

Враховуючи дослідження правників цієї групи кримінальних правопорушень, а також визначення несанкціонованих дій щодо інформації в ст. 1 Закону «Про захист інформації в інформаційно-телекомунікаційних системах», несанкціоноване втручання в роботу публічного електронного реєстру слід розуміти як зміну режиму роботи реєстру шляхом впливу на носії інформації або засоби її автоматизованого опрацювання з порушенням встановленого порядку доступу до реєстру.

3. Кваліфікація діянь, передбачених ч. 3 ст. 361 КК, потребує встановлення таких наслідків: 1) витік інформації – вона стає відомою хоча б одній особі, яка не має права доступу до неї; 2) втрата інформації – вплив на її носій, унаслідок якого вона перестає існувати у формі, що дозволяє опрацьовувати її за допомогою ЕОМ; 3) підробка – викривлення інформації, що робить її такою, що не відповідає дійсності; 4) блокування інформації – форма порушення повноваження користування інформацією, коли вона не знищена і не підроблена, але можливість користуватися нею відсутня; 5) спотворення процесу обробки інформації – отримання під час операцій з нею, які здійснювалися за допомогою технічних чи програмних засобів, результатів, що не відповідають характеристикам технічних засобів або алгоритму комп’ютерної програми; 6) порушення встановленого порядку маршрутизації інформації – конкретний абонент не отримує інформацію, що йому передається, або доступ до певних мережевих ресурсів здійснюється з порушенням встановленого порядку.

4. Суб’єкт кримінальних правопорушень, передбачених статтями 361, 361-1, 361-2 КК), – загальний, ним є фізична осудна особа, що досягла 16-річного віку. Суб’єкт кримінального правопорушення, передбаченого ст. 362 КК, спеціальний – це особа, яка має право доступу до інформації. Це особа, які безпосередньо займається обслуговуванням реєстру (оператор, програміст, інженер, ремонтник комп’ютерної техніки); користувач реєстрів; адміністративно-керівний персонал; працівник правоохоронних органів під час виконання обов’язків, пов’язаних із доступом до інформації, тощо. Суб’єкт кримінального правопорушення, передбаченого ст. 363 КК, також спеціальний – це особа, яка відповідає за експлуатацію ЕОМ, реєстрів, комп’ютерних мереж чи мереж електрозв’язку. 

Оскільки для окремих кримінальних правопорушень цієї групи притаманне їх вчинення загальним суб’єктом, то гіпотетично їх можуть вчинити і журналісти-розслідувачі, і громадські активісти. Також вони можуть мати доступ до реєстрів і тому бути спеціальними суб’єктами кримінальних правопорушень, передбачених статтями 362 і 363 КК. Проте, запропоновані у Проєкті Закону зміни не спрямовані безпосередньо на журналістів-розслідувачів та громадських активістів, які здійснюють моніторинг діяльності влади та посадовців.

5. Враховуючи важливість інформації, акумульованої в реєстрах, та її значення для держави та суспільства, в умовах воєнного стану дійсно потрібно посилити протидію несанкціонованому втручанню в роботу реєстрів. Лише в період з 19 грудня 2024 року через кібератаку в Україні були заблоковані десятки державних реєстрів з даними українців. Але, згідно зі статистикою за 2023 рік, хоча за статтями 361, 361-1, 361-2, 362 і 363-1 обліковано 3 841 кримінальних правопорушень і за 2 455 з них провадження направлено до суду з обвинувальним актом, засуджено лише 95 осіб, з них тільки 9 – до позбавлення волі. Отже, кримінально-правові засоби протидії зазначеним посяганням не є основними і кардинально на ситуацію не впливають (більшу увагу слід приділяти виявленню та усуненню загроз, попередженню витоку інформації шляхом додаткових перевірок персоналу, регулярного оновлення програмного забезпечення тощо). 

З іншого боку, перелічені статті КК, як доводять статистичні дані, застосовуються вибірково і належних запобіжників щодо подальшого застосування їх вибірково саме проти журналістів-розслідувачів та громадських активістів не існує. 

Крім того, ці статті очевидно не спрямовані саме на осіб, що є представниками держави-агресора, – згідно зі ст. 8 КК іноземці, якщо вони вчиняють злочини за межами України, можуть бути притягнути до відповідальності в Україні лише за тяжкі та особливо тяжкі злочини, тобто злочини, передбачені частинами 4 і 5 ст. 361 і ч. 3 ст. 362 КК. 

Водночас, за даними Єдиного державного реєстру судових рішень, несанкціоновані збут або розповсюдження інформації з обмеженим доступом (ст. 361-2 КК) вчиняються співробітниками правоохоронних органів, податківцями тощо в інтересах їх родичів та знайомих. Посилення відповідальності за ці діяння може, навпаки, сприяти ще більшому поширенню корупційних схем щодо не притягнення таких осіб до відповідальності.

6. Вже тривалий час правники говорять про необхідність виключення можливості автоматичного закриття кримінального провадження на підставі закінчення строків досудового розслідування, на це також звертає увагу Єврокомісія. Такими змінами намагаються виконати рекомендації щодо скасування «поправок Лозового». ЦППР неодноразово висловлював свою підтримку щодо їх часткового скасування: строки після повідомлення про підозру повинні існувати, але продовжувати їх мають слідчі судді, а не прокурори (як було до 15.03.2018); потрібно лише скасувати можливість оскарження повідомлення про підозру. Виключення п. 10 ч. 1 ст. 284 КПК є дискусійним. З одного боку, якщо вичерпано строки, логічно, що сторона захисту може клопотати про закриття провадження. Але з іншого, варто передати це питання на розсуд суду. Також суперечливою є ситуація, коли згідно зі ст. 49 КК строки давності притягнення до кримінальної відповідальності ще не закінчились, але згідно з КПК строки розслідування завершились. Отже, потрібно узгодити ці питання з іншими ініціативами щодо скасування «поправок Лозового», зокрема Проєктом Закону № 10100.

7. В цілому позитивно сприймається уточнення підстав притягнення прокурора до дисциплінарної відповідальності, зокрема у зв’язку із все ще невиконанням Україною рекомендацій ГРЕКО, наданих у 2017 році, стосовно юридичної визначеності підстав дисциплінарної відповідальності прокурорів. У дослідженнях ЦППР у 2019 та 2023 роках пропонувалось конкретизувати, в чому саме полягає невиконання або неналежне виконання службових обов’язків, перерахувавши його типові форми та залишивши перелік невичерпним. Проте у запропонованій редакції міститься лише одна з його форм. Тому слід більш системно підійти до цього питання. У цьому контексті слід звернути увагу на те, що пропоновані зміни до КПК і Закону «Про прокуратуру» (які з’явились лише під час повторного другого читання) не узгоджуються з предметом і, відповідно, назвою Проєкту Закону.