Статья 83 ДФЕС подтверждает компетенцию ЕС по установлению минимума состава и санкций в отношении определенных особо тяжких преступлений, часто носящих трансграничный характер, – так называемых европреступлений.
К подобного рода преступным деяниям относятся терроризм, торговля людьми, сексуальная эксплуатация женщин и детей, торговля оружием, торговля наркотиками, отмывание денег, коррупция, подделка платежных средств, компьютерные преступления и организованная преступность. Данный список носит исчерпывающий характер, однако может быть расширен Советом ЕС, действующим единогласно после получения согласия Европейского парламента. При этом на данный момент минимум состава и санкций гармонизирован для всех перечисленных преступлений (за исключением торговли оружием), это означает, что государства-члены не могут сделать свое уголовное законодательство мягче установленных стандартов в рамках противодействия подобным преступлениям и применения мер ответственности к лицам, их совершившим.
Также стоит отметить, что к подобного рода преступным деяниям на основании указанных критериев (особая опасность, трансграничный характер) можно отнести преступления против финансовых интересов Европейского союза (к примеру, подделка евро, ст. 325 ДФЕС); преступлений, затрудняющих единообразное применение политики ЕС в государствах-членах (ст. 83(2) ДФЕС). В этих областях ЕС также имеет компетенцию устанавливать обязательное уголовное преследование подобных преступлений в государствах-членах и минимум состава и санкций.
Подобные компетенции, закрепленные в учредительных договорах, воплощаются путем принятия секторального вторичного законодательства (в основном Директив и Рамочных решений), которое государства – члены обязаны имплементировать в свои национально-правовые системы в течение определенного времени.
Развитие информационных технологий сделало все аспекты человеческих жизней практически зависимыми от различных электронных девайсов и наличия доступа в сеть Интернет. В настоящий момент сложно представить, к примеру, ведение бизнеса без сайта в сети Интернет, без общения онлайн с контрагентом по договору или без электронного перевода платежей.
Киберпреступность имеет гораздо более значительные масштабы: на сегодняшний день объектом подобных преступных кибердеяний могут стать не только экономические интересы человека, но и, например, его личная информация. Европейский союз, где ввиду отсутствия внутренних границ преследование подобных преступлений осложнено их постоянным трансграничным характером, осознал соответствующие вызовы, стоящие перед ним с законодательной точки зрения, и ответил на угрозу роста киберпреступности своевременной стратегией по киберзащите интересов Союза и его граждан.
Киберпреступления вне зависимости от объекта преступных деяний объединяют два признака: во-первых, все они совершаются онлайн, т.е. с использованием доступа в сеть Интернет; во-вторых, все они совершаются с использованием электронных коммуникационных сетей и информационных систем.
По объектному составу все совершаемые киберпреступления можно разделить на три большие группы: 1) преступления, связанные с информационными возможностями сети Интернет (хакерские атаки на информационные сети, фишинг (кража паролей) и т.п.); 2) онлайн-мошенничество; 3) онлайн-хранение неправомерной информации (детская порнография, информация, подстрекающая к расовой ненависти, терроризму и ксенофобии и т.п.).
Что касается первой группы преступлений, связанной прежде всего с использованием информационных преимуществ сети Интернет, то в данных случаях преступники осуществляют кражу информации, которая обычно находится в закрытом доступе, путем хакерских атак на информационные сети или фишинга, т.е. кражи паролей при помощи фальшивых фишинговых сайтов или программ, где потерпевшие, заблуждаясь, вводят свою личную информацию (обычно пароли или реквизиты банковских карт).
Противодействие подобным киберпреступлениям было урегулировано одним из первых на общеевропейском уровне.
Еще в 2002 г. была принята первая редакция Директивы 58/ЕС, касающаяся обработки персональных данных и защиты неприкосновенности частной жизни в сфере электронных коммуникаций[6] (Директива о неприкосновенности частной жизни и электронных коммуникациях). Эта Директива в первую очередь ориентирована на защиту прав пользователей, под которыми понимаются любые физические лица, которые используют общедоступные средства электронной коммуникации в личных или коммерческих целях.
Защита пользователей осуществляется путем установления позитивного обязательства поставщиков общедоступных средств электронной коммуникации (провайдеров) по принятию надлежащих технических и организационных мер для обеспечения безопасности предоставляемых ими услуг. Подобные меры должны отвечать соответствующему уровню риска стать жертвой релевантных киберпреступлений и должны как минимум включать обеспечение доступа к личной информации только путем авторизации; защиту личных данных от случайного или неправомерного удаления, изменения, обработки, доступа или раскрытия; и обеспечение реализации соответствующей политики безопасности в отношении обработки персональных данных. Также провайдеры обязаны своевременно сообщать пользователям о любом повышении рисков и случаях взломов и кражи их личной информации.
Государства-члены, в свою очередь, обязаны не допускать случайного или неправомерного нарушения конфиденциальности электронных коммуникаций. Любая запись или хранение электронных коммуникаций возможны лишь при даче ясного согласия на это субъектами коммуникации или на основании закона. Вместе с тем у государств-членов также появляется обязанность по обеспечению соответствия национальных систем электронной коммуникации стандартам Европейского союза.
Еще одним важным нормативно-правовым актом ЕС в сфере противодействия преступлениям, связанным с информационными возможностями сети Интернет, стала Директива 2013/40/EU об атаках на информационные системы[7]. Директива устанавливает минимальные определения и санкции для преступлений, связанных с атаками на информационные системы в государствах-членах, а также создает условия для сотрудничества судебных и полицейских органов в преследовании подобных преступных деяний.
На основании данной Директивы государства-члены должны криминализировать следующие уголовные составы: незаконный доступ к информационным системам, незаконное вмешательство в функционирование информационных систем, незаконная обработка данных (например, удаление, копирование, изменение и т.п.) и незаконный перехват передачи данных. Также государства-члены обязаны обеспечить уголовное преследование лиц, производящих, продающих, покупающих, импортирующих и распространяющих орудия для подобных преступлений: компьютерные программы, пароли, коды доступа к информационным системам и любая соответствующая информация. Уголовно преследоваться должны соучастники, а также лица, которые покушались на совершение незаконного вмешательства в функционирование информационных систем и незаконную обработку данных.
Наказания должны назначаться, учитывая принципы эффективности, пропорциональности и превентивности. При этом санкции назначаются по правилу «максимума-минимума», при котором Европейский союз устанавливает необходимый минимум максимальных санкций. Соответственно, все вышеперечисленные составы, будучи криминализированными в государствах-членах, должны предусматривать максимальные санкции в виде лишения свободы на срок не менее двух лет. Если незаконное вмешательство в функционирование информационных систем или незаконная обработка данных были совершены умышленно и с нарушением функционирования большого количества информационных систем или больших объемов данных, то максимальные санкции должны предусматривать лишение свободы на срок не менее трех лет. Эти же преступные составы наказываются максимальными санкциями в виде лишения свободы на срок не менее пяти лет при наличии следующих квалифицирующих признаков: если они были совершены преступной организацией; если они повлекли серьезный ущерб; если преступление было совершено в отношении важной инфраструктурной информационной системы. Кроме того, государства – члены должны установить свою юрисдикцию в отношении подобных преступлений, если преступление или его часть были совершены на территории государства-члена; если преступление было совершено гражданином государства-члена; если преступник находится на территории государства-члена; и если информационная система, против которой было совершено преступление, находится на территории государства-члена. Также после соответствующего уведомления Европейской комиссии государство-член имеет право расширить свою юрисдикцию и на те случаи, когда преступник имеет свое обычное местожительство на территории государства-члена и когда преступление было совершено в пользу юридического лица, которое зарегистрировано в данном государстве-члене.
Основным нормативно-правовым актом Европейского союза в рамках противодействия онлайн-мошенничеству и смежных с ним преступных деяний является Рамочное решение Совета ЕС 2001/413/ JHA о противодействии мошенничеству и подделке безналичных платежных средств[8].
Это решение обязывает государства-члены криминализировать практически все основные уголовные составы, так или иначе связанные с безналичными расчетами: кража банковских карт, фальсификация платежных инструментов, умышленное использование заведомо краденых платежных средств и т.п. Государства обязаны криминализировать ряд преступлений, относящихся к сфере киберпреступлений, совершаемых онлайн посредством сети Интернет: получение выгоды за счет трансфера денежных средств другого лица без соответствующих прав на обработку (введение, изменение, удаление, копирование) персональных данных и соответствующих прав на вмешательство в функционирование компьютерной системы или программы. Также уголовно преследоваться должны изготовление, продажа, покупка и передача компьютерных программ, предназначенных для совершения вышеназванных киберпреступлений. Соответственно должны преследоваться соучастие и покушения на эти преступления.
Что касается гармонизации санкций в отношении данной категории киберпреступлений, то нельзя с уверенностью сказать, что эта область достаточно гармонизирована. Это связано с тем, что, помимо необходимости соответствия наказания принципам эффективности, пропорциональности и превентивности, в Рамочном решении указано лишь на возможность применения санкций в виде лишения свободы (с допустимостью экстрадиции) «в серьезных случаях», без указания какого-либо минимума такого лишения. Вследствие этого определение санкций практически полностью передано на усмотрение государств-членов.
При этом государства-члены обязаны установить свою обязательную юрисдикцию в отношении уголовного преследования киберпреступлений подобного рода, если: преступление или его часть были совершены на территории государства-члена; преступление было совершено гражданином государства-члена; преступление было совершено в пользу юридического лица, чей административный центр находится на территории данного государства-члена.
Сеть Интернет помимо общеизвестной полезности является самым большим хранилищем информации. Но не всегда хранимая информация является правомерной. И, к сожалению, широко распространены ситуации, при которых хранение неправомерной информации нарушает права особо уязвимой категории граждан – детей.
Именно поэтому в рамках вторичного законодательства Европейским союзом была разработана и принята Директива 2011/92/ EU о противодействии сексуальному надругательству и сексуальной эксплуатации детей и детской порнографии[9].
Помимо необходимости криминализировать ряд основных преступлений, связанных с детской порнографией и детской сексуальной эксплуатацией, у государств-членов появляется обязательство по криминализации нескольких киберпреступлений в данной сфере, которые появились совсем недавно ввиду развития информационных технологий и сети Интернет. Так, криминализации подлежат любые попытки встретиться с ребенком, совершенные при помощи средств информационных и коммуникационных технологий, с намерением совершить любое преступление из группы преступлений, связанных с сексуальной эксплуатацией детей. Подобные преступления должны наказываться в государствах-членах лишением свободы на максимальный срок не менее одного года. Также уголовно преследоваться должно и покушение на подобное преступление, совершенное при помощи средств информационных и коммуникационных технологий. Все электронные девайсы, с помощью которых были совершены подобные преступные деяния, подлежат конфискации.
Также государства-члены обязаны принять все необходимые меры для оперативного удаления веб-страниц, содержащих или распространяющих детскую порнографию, если серверы данного веб-сайта находятся на их территории; и все попытки, необходимые для удаления данных веб-сайтов, если их серверы находятся за пределами территории государств-членов. Также могут устанавливаться соответствующие внутренние меры по блокировке сайтов, содержащих или распространяющих детскую порнографию, при условии соблюдения принципов эффективности, пропорциональности и прозрачности.
О проекте
О подписке