7.3.6. Інформаційне законодавство США
У США, як і в багатьох інших країнах доктрини загального права (англо-американська система права), на законодавчому рівні інформація визначається як товар, як об'єкт права власності. За цією концепцією несуттєво, на яких матеріальних носіях зберігається інформація як об'єкт правового захисту, а отже, захист її здійснюється на загальних підставах, як і матеріальних цінностей. Тобто, використовуючи принцип аналогії права на законодавчому рівні та через судові прецеденти, змінюється зміст складу правопорушень (вводиться нова редакція норми).
Як приклад можна назвати прийнятий у 1987 р. у США Закон "Про захист комп'ютерної інформації". Закон стосується програми комп'ютерних даних у Національному бюро стандартів з метою забезпечення захисту даних уряду та підготовки осіб, які займаються забезпеченням захисту та мають відношення до управління, операцій і використання Федеральних комп'ютерних систем. За цим законом вдосконалення захисту, збереження таємної інформації у Федеральних комп'ютерних системах є в інтересах держави, і остання створює умови для максимального захисту таких систем, без обмеження використання тих засобів захисту, які вже заплановані або які застосовуються. Цим Законом доповнено Закон від 3 березня 1901 p., яким Національному бюро стандартів надано повноваження щодо розробки шляхів захисту Федеральних комп'ютерних систем, включаючи відповідальність за розробку методів (шляхів) захисту економічної інформації та таємниці у Федеральних комп'ютерних системах, а також технічну допомогу та поради Центрального розвідувального управління. Для застосування методів (шляхів) захисту переглянуто Розділ 111 (d) Закону від 1949 р. "Про федеральну власність та адміністративну службу".
Окремі положення щодо захисту інформації в комп'ютерних системах у СІЛА було прийнято також іншими нормативно-правовими актами:
• 50 Звід законів США 47 с, Закон про атомну енергію та умови використання ядерних ресурсів.
• 10 Звід законів США 128 (передача фондів іноземної криптографічної підтримки).
• 10 Звід законів США 140а (видатки Міністерства оборони на співробітництво розвідки з іноземними управліннями).
• 10 Звід законів США 140b (використання прибутку Міністерства оборони для розвідки).
• 28 Звід законів США 539 (видатки ФБР на співробітництво розвідки з іноземними управліннями).
• 18 Звід законів США 1028 (дії розвідки щодо Статуту про виявлення підробок).
• 18 Звід законів США 1029 (дії розвідки щодо Статуту про захист кредитної картки).
• 18 Звід законів США 1030 (дії розвідки щодо Статуту про комп'ютерний обмін).
• 18 Звід законів США 1367 (дії розвідки щодо Статуту про перешкоди супутниковому зв'язку).
• 18 Звід законів США 1546 (дії розвідки щодо Статуту про підробку віз). Інформаційний захист.
• 5 Звід законів США 7342 (захист джерел розвідки та методів роботи ЦРУ щодо отримання іноземної інформації).
• 22 Звід законів США 2577 (С), Закон про контроль озброєння та роззброєння: Розділ 37 (захист джерел розвідки, методів та осіб, завдяки яким складаються доповіді про контроль озброєння до Конгресу).
• 22 Звід законів США 2656 (С), Закон про зв'язок з іноземними країнами 1979 p.: Розділ 503 (захист джерел розвідки, методів та осіб, що займаються науковим / технічним розвитком, доповідей до Конгресу).
• 42 Звід законів США 2162, Закон про атомну енергію 1954 p.: Розділ 14 (роль директора Центрального розвідувального управління в контролюванні обмежень за даними для службового користування відносно програм з атомної енергії інших країн).
• 50 Звід законів США 783 (b) (про доступ іноземних управлінь до таємної інформації).
« 50 Звід законів США, Додаток 2411: Закон про управління експортом 1979 p., з доповненнями: Розділ 12 (захист джерел розвідки, методи та обробку інформації, пов'язаної з експортом спільно з Центральним фінансово-контрольним управлінням та Міністерством торгівлі).
Це далеко не повний перелік нормативних актів, що регулюють захист інформації в комп'ютерних системах США. В окремих штатах прийнято також свої нормативно-правові акти.
У червні 1983 р. Міністерство охорони здоров'я США для Комітету з науки і техніки Конгресу підготувало доповідь на тему "Комп'ютерні злочини і правопорушення в урядових установах", в якій було виділено 17 основних способів вчинення комп'ютерних злочинів. В основу доповіді було покладено опитування респондентів про всі випадки комп'ютерних шахрайств і зловживань у період з 1 січня 1978 р. по 31 березня 1982 р.
Респондентами опитування були 12 федеральних установ США, серед яких, зокрема, міністерства оборони, енергетики, фінансів, юстиції. 3215 актів опитування 43 було вилучено (вони не містили в собі комп'ютерних правопорушень), а з інших 172 становили — 69 шахрайств та 103 зловживання, виходячи з їхніх визначень, наведених вище. Як видно з викладеного, переважна більшість крадіжок здійснюється шляхом маніпулювання вхідними і вихідними даними, а також за допомогою створення несанкціонованих файлів. У 70 % випадків крадіжок встановлено використання кількох способів одночасно.
До федерального законодавства США щодо комп'ютерних злочинів у 1994 р. внесено нові поправки, які розширюють коло караних діянь і уточнюють термінологію. Законодавчий Акт про шахрайство та зловживання за допомогою комп'ютерів, крім зазначених статей про регулювання міри винності за несанкціонований доступ до даних, які зберігаються в комп'ютерах федерального уряду, та злочинів з використанням ЕОМ, котрі було вчинено більш ніж в одному штаті, розширено у 1994 р. статтею про відповідальність за передачу шкідливих кодів (комп'ютерних вірусів). Слово "вірус" рідко використовується в право-творчій практиці. Новий законодавчий акт охоплює несанкціоновані передачі програм, інформації, кодів і команд, які викликають ушкодження комп'ютера, комп'ютерної системи, мережі, інформації, даних або програм. Ключові зміни в законі — поділ злочинів з використанням комп'ютерів на два рівні: дії вчинені "з необачним ігноруванням правил", що призвели до пошкоджень, класифікуються як адміністративне карані порушення, а навмисні шкідливі акти (дії) підпадають під певні кримінальні злочини.
Серед головних ознак кримінального законодавства окремих штатів слід назвати насамперед варіювання, адже кримінальні кодекси штатів дуже відмінні між собою.
Так, деякі штати пов'язують кримінальну відповідальність із розмірами збитків у грошовому виразі (Юта, Техас, Коннектикут тощо). В інших штатах кримінальна відповідальність настає навіть за відсутності матеріальних збитків, зокрема у випадках несанкціонованого доступу до конфіденційної інформації (Невада, Віргінія, Нью-Йорк), результатів медичного обстеження (Нью-Йорк, Віргінія), даних про трудову діяльність, заробітну плату, надані кредити та приватні справи (Віргінія). У штаті Небраска будь-який несанкціонований доступ є злочином.
Покарання за ці злочини також відрізняються у різних штатах. Зокрема, в штаті Джорджія порушення права доступу в деяких випадках може спричинити ув'язнення строком до 15 років.
Як ознаку злочину закони деяких штатів передбачають навмисність дій. Однак слід підкреслити, що оскільки навмисність злочинного наміру дуже важко довести, то цей пункт може стати суттєвою перешкодою для притягнення до кримінальної відповідальності за комп'ютерні злочини у Каліфорнії, Дел аварі, Флориді, Канзасі, Меріленді та Міннесоті.
За законодавством штату Юта одним із найефективніших критеріїв визначення покарання за скоєне правопорушення є розмір заподіяної (чи такої, що могла бути заподіяна) шкоди, адже він дає змогу легко розмежувати випадки настання (використовуючи звичну для нас термінологію) цивільно-правової, адміністративної та кримінальної відповідальності. У такому разі введення чіткої кваліфікації діяння залежно від розміру шкоди дасть можливість позбавитись суб'єктивізму під час призначення покарання.
До речі, саме цей підхід використав законодавець штату Юта. У Кримінальному кодексі штату Юта (далі — кодекс) окреслено два основні напрямки злочинних дії, що об'єднуються загальним терміном "комп'ютерні злочини".
По-перше, це продаж заборонених телекомунікаційних пристроїв чи їхніх компонент (ст. 76-6-409.8).
По-друге, це злочинне використання технічних можливостей комп'ютера (ст. 76-6-703).
Обидва види злочинів віднесено до другого, особливо небезпечного, розряду. Законодавець встановив обов'язок генерального прокурора, прокурорів штату та округу порушувати кримінальну справу у випадках, коли є достатні дані, які вказують на наявність ознак вчинення кримінального правопорушення у сфері застосування комп'ютерної техніки (ст. 76-6-704.1). Таким чином, для цієї групи злочинів передбачено обов'язкове державне звинувачення, що свідчить про особливу увагу, яку приділяє законодавець вирішенню цієї проблеми. Оскільки при вчиненні цього виду злочинів найчастіше порушують не тільки кримінальний кодекс, а й певні статути, внутрішні нормативні акти, що тягне за собою дисциплінарну та фінансову відповідальність, ст. 76-6-704.2 встановлено можливість одночасного провадження кримінальної справи цієї групи за будь-яким іншим законом.
Ст. 76-6-409.8 кодексу передбачає кримінальну відповідальність за продаж незаконного телекомунікаційного пристрою чи його складових.
Необхідність її введення зумовило насамперед значне (за період з 1986 до 1988 р. — більше ніж у 2,5 раза) зростання кількості кримінальних справ, порушених за обвинуваченням в електронному шпигунстві, промисловому шпіонажі, порушенні права особи на так зване privacy — недоторканність особистого життя. При цьому все частіше знаряддям злочинців стають високотехнологічні електронні прилади. Керування ними, а також обробку та передачу інформації, отриманої незаконним шляхом, звичайно здійснюють за допомогою електронно-обчислювальної техніки. Тому законодавець проводить програму обмеженого застосування певних електронних систем (до яких належать і деякі телекомунікаційні пристрої) шляхом виведення їх з обігу.
У розділі 4 Закону "Про зловживання комп'ютерами" (Computer Misuse Act of 1990) наведено невичерпний перелік електронних пристроїв та систем, заборонених для використання без отримання спеціального дозволу та вилучених з вільного обігу.
Однією з форм забезпечення цієї програми було введення до Кримінального кодексу статті 76-6-409.8. Передбачене нею правопорушення є злочином із формальним складом, оскільки законодавець, формулюючи кримінально-правову норму, пов'язує момент закінчення злочину з вчиненням суспільне небезпечного діяння.
Конкретизуючи поняття телекомунікаційного пристрою, законодавець наводить у диспозиції невичерпний перелік його складових, до яких відносить складові комп'ютера, дані, програмне забезпечення або іншу інформацію чи обладнання. Напевно, маються на увазі не будь-які складові комп'ютера чи програми, а лише такі, що забезпечують виконання операцій, внаслідок яких ці пристрої було заборонено, тобто модулятори та демодулятори електронних сигналів (модеми), спеціальні пристрої, розроблені для дешифрування інформації, чи програмне забезпечення подібного призначення.
Говорячи про інші дані, законодавець передбачає інформацію, що допоможе в реалізації призначення такого незаконного пристрою (скажімо, код шифру чи частоту радіохвилі, на якій ведеться передача конфіденційних даних). Під формулювання "інше обладнання" підпадає будь-яке обладнання, що входить до складу незаконного телекомунікаційного пристрою чи обслуговує його, але безпосередньо не виконує основної функції такого пристрою (чи основні функції, якщо їх кілька).
Склад цього злочину передбачає наявність загального суб'єкта — будь-якої фізичної осудної особи, яка досягла віку кримінальної відповідальності (16 років).
Кваліфікуючою ознакою, що обтяжує відповідальність, визнається навмисний продаж не менш ніж п'яти заборонених телекомунікаційних пристроїв у шестимісячний період (ч. 2 ст. 76-6-409.8).
Відповідальність за кримінальні правопорушення, що безпосередньо використовують специфічні можливості комп'ютера зі злочинною метою чи спрямовані проти порядку роботи комп'ютера або її результатів, передбачено ст. 76-6-703 "Злочинне використання технічних можливостей комп'ютера".
Цією статтею введено кримінальну відповідальність за кілька самостійних форм злочинного використання технічних можливостей електронно-обчислювальної техніки (EOT), загалом спрямованих проти права на "комп'ютерну власність" у широкому розумінні.
Після внесення багатьох змін до цієї статті, прийнятої ще у 1988 p., порядок викладення злочинів у ній не повністю відповідає логічній вимозі об'єднання в кожній частині діянь, спрямованих проти одного об'єкта, адже нові пункти додавались просто в кінець статті, без урахування початкової структури. Тому для полегшення сприйняття спробуємо дещо перегрупувати наведені у статті кримінальні делікти таким чином:
• злочини, в яких посягають на комп'ютер як апарат, річ матеріального світу;
• кримінальні правопорушення, в яких комп'ютер використовується як знаряддя;
• такі, що посягають на комп'ютерну власність у вузькому розумінні;
• спрямовані проти встановленого порядку функціонування комп'ютерної системи;
• група "комп'ютерних злочинів", спрямованих проти права власника на обмеження та встановлення доступу до комп'ютерної системи, а також надання права іншій особі отримати певні комп'ютерні послуги.
Коротке тлумачення деяких термінів законодавець наводить у пунктах 3—5 ст. 76-6-702 "Визначення".
Комп'ютер, згідно з цією статтею, означає будь який електронний пристрій чи засіб зв'язку, що може обробля ти дані.
Під терміном комп'ютерна система законодавецьро зуміє сукупність схожих, підключених чи не підключених один до одного пристроїв програмного забезпечення або іншого схожого комп'ютерного обладнання.
Під комп'ютерною мережею законодавець розуміє з'єднані комунікаційними чи телекомунікаційними лініями комп'ютери або комп'ютери та віддалені термінали. Таким чином, окреслюються всі три можливі варіанти комп'ютерних мереж:
• глобальні, типу Інтернету, де комп'ютери з'єднуються комунікаційними чи телекомунікаційними лініями за допомогою модемів;
• локальні (інтернет), де комп'ютери, що можуть працювати в автономному режимі, поєднані за допомогою спеціальних засобів;
• "сервер-термінали", де комп'ютер-термінал не може працювати окремо від сервера, адже частково використовує його ресурси.
Серед кримінальних правопорушень, в яких комп'ютер використовується як знаряддя, зазначається свідомий дозвіл використання будь-якого комп'ютера, комп'ютерної мережі, комп'ютерної власності чи комп'ютерної системи, програми, програмного забезпечення для розробки чи виконання будь-якого шахрайства або плану введення в оману чи отримання коштів, власності, послуг або інших цінностей на фальшивих підставах (обіцянках чи заявах).
Законодавець безпосередньо в диспозиціях окремих статей перелічує злочинні діяння, які можуть вчинятися за допомогою комп'ютера, вказуючи шахрайство, введення в оману, незаконне отримання коштів, власності, послуг або інших цінностей.
Злочини, що посягають на комп'ютерну власність у вузькому розумінні, можна безпосередньо віднести до "комп'ютерних злочинів".
Своєрідність та незвичність для нас цього формулювання походить насамперед від вживання законодавцем штату Юта терміна, що не має аналога в українському кримінальному законодавстві.
Термін комп'ютерна власність включає електричні імпульси, вироблені за допомогою комп'ютера, дані, інформацію, фінансові документи, програмне забезпечення чи програми у вигляді, що може бути сприйнятий машиною чи людиною, будь-які інші відчутні чи невідчутні елементи, що споріднені з комп'ютерами, комп'ютерними системами та мережами, але не обмежується ними. Таким чином, цей термін охоплює всю інформацію, що вводиться, обробляється комп'ютером та результати цієї діяльності.
Коло предметів дуже широке — "відчутні та невідчутні елементи, споріднені з комп'ютерами, комп'ютерними системами та мережами", охоплюючи майже все, що можна назвати інформацією в будь-якому вигляді.
Термін "електричні імпульси, вироблені за допомогою комп'ютера" дав змогу включити до переліку об'єктів кримінально-правової охорони інформацію, що передається комп'ютерною мережею будь-якого типу, та дані, які комп'ютер приймає чи передає спеціальним пристроям (наприклад, при застосуванні його для обробки результатів, що йому передають спеціальні прибори).
Під програмним забезпеченням чи програмою зако подавець розуміє серію інструкцій чи формулювань у формі, що сприймається комп'ютером, які впливають на його ро-
боту чи дозволяють функціонувати комп'ютерній системі з передбаченим, для досягнення результатом.. Воно включає системне та прикладне програмне забезпечення та його копії, але не обмежується ними. Зауваження щодо виду або способу, в який зберігається ця інформація ("у вигляді, що може бути сприйнятий машиною чи люди ною"), здається дуже важливим, тому що прямо включає як дані, що містяться на магнітному чи оптичному носії, так і їхні надруковані варіанти у знаковій системі. Для запобігання внесенню частих поправок до статті законодавець прям.о вказав на невичерпність цього переліку ("але не обмежується ними").
Наступним, суто "комп'ютерним", злочином є кримінальні правопорушення, спрямовані проти встановленого порядку функціонування комп'ютерної системи. Під ними маються на увазі випадки, коли людина неправомірно, навмисно чи усвідомлюючи неправомірність свого діяння, перешкоджає виконанню чи перериває операції, що виконує комп'ютер.
Перешкоди можуть створюватись як шляхом активних дій (запуск програми чи подання команд, що перешкоджатимуть виконанню такої операції), так і шляхом бездіяльності (незапуск певних програм, неподання команд чи не-підключення пристроїв, необхідних для нормального виконання операції).
Окрему групу "комп'ютерних злочинів", передбачених Кримінальним кодексом штату Юта, становлять злочини, спрямовані проти права власника на обмеження та встановлення доступу до комп'ютерної системи, а також надання права іншій особі отримати певні комп'ютерні послуги.
Коротке тлумачення понять доступу та комп'ютерної
послуги містить ст. 76-6-702. Згідно з нею "доступ" означає пряме чи побічне використання, спробу використання чи інформування, пов'язане зі введенням / виведенням, або
використання іншим способом будь-яких можливостей комп'ютера, комп'ютерної системи, мережі чи будь-яких засобів зв'язку між ними.
Під "комп'ютерними послугами" розуміють доступ до інформації, що її містить комп'ютер, а також обробку і зберігання даних.
На відміну від доступу створення перешкод може виявлятись у бездіяльності, а саме в незабезпеченні певних умов для отримання комп'ютерних послуг. Такими умовами можуть бути подання команд, завантаження та налаштування програмного забезпечення, активація (у тому числі за допомогою програмного забезпечення) приладів.