Уголовное право: стратегия развития в XXI веке. Материалы XIX Международной научно-практической конференции г. Москва, 20–21 января 2022 г.

Правовое обеспечение предупреждения преступлений, совершаемых с использованием искусственного интеллекта и технологий, созданных на его основе в Российской Федерации

И. Н. Архипцев,

канд. юрид. наук,

доцент кафедры уголовно-правовых дисциплин

(Белгородский юридический институт МВД России имени И.Д. Путилина)

ArhiptsevIN@yandex.ru

Искусственный интеллект (далее для краткости ИИ) и технологии, связанные с его применением, в настоящее время все больше проникают в нашу повседневную жизнь. И этот процесс порой происходит незаметно. Уже сейчас «умные» машины выполняют различные функции, начиная от роботов, анализирующих прогноз погоды, изменение физических данных человека, составляющих индивидуальное расписание дня, и заканчивая автономным управлением транспортными средствами, нано-роботами, используемых в медицине, роботов, выполняющих функции педагога, полицейского и т.д.

При этом, как и любая другая новая технология или изобретение, как показывает историческая практика, искусственный интеллект и элементы, с ним связанные, к сожалению, могут использоваться злоумышленниками в своих преступных целях. Так, по данным международных организаций в последнее время в мире увеличивается доля мошенничеств, совершенных с применением искусственного интеллекта. Европолом совместно с аналитиками компании Trend Micro, специализирующейся на кибербезопасности, и Межрегиональным научно-исследовательским институтом ООН по вопросам преступности и правосудия в 2020 году был подготовлен доклад «Злонамеренное использование и злоупотребление искусственным интеллектом». В нем, в частности, указывается, что одним из популярных видов мошенничества на сегодняшний день является дипфейк – поддельные фото и видео изображения реального человека, кроме того, в докладе указываются возможные риски дальнейшего использования ИИ в преступных целях: искусственный интеллект может использоваться в создании «умных» программ-вымогателей, генерации чит-кодов в компьютерных играх, позволяющих зарабатывать деньги, в имитации голоса или стиля письма конкретного человека для совершения мошеннических действий²⁸⁴.

В связи с тем, что человечество в лице ведущих государств мира, в том числе, и Российская Федерация как его неотъемлемая часть, находятся в настоящее время на пути создания нового индустриального общества (Industrie 5.0), в котором определяющее, если не главное значение будут в будущем играть связанные с информацией и созданные на ее основе сети, технологии, продукты и другие важные компонеты такого общества, остро встает вопрос об обеспечении надлежащей защиты критически важной информационной составляющей деятельности предприятий, учреждений и организаций, имеющих своей целью дестабилизацию или нарушение их функционирования.

Вместе с тем, следует констатировать неутешительный факт, что проблемы правового регулирования, а также предупреждения деяний, связанных с использованием искусственного интеллекта в настоящий момент в отечественном уголовном праве и криминологии, а также правоприменительной деятельности правоохранительных органов очень мало изучены и не разработаны, многие проблемные вопросы нуждаются в широком обсуждении с привлечением большого круга специалистов в области кибербезопасности, предупреждения киберпреступности и выработке на их основе комплексных, единых подходов и позиций. Это объясняется, прежде всего, пробелами законодательного регулирования использования искусственного интеллекта, не готовностью не только правоохранительных органов нашего государства, но и других стран мира своевременно и эффективно реагировать на возникающие угрозы в IT-сфере, слабую подготовку кадров в сфере кибербезопасности, растущее многообразие и постоянное совершенствование форм преступной деятельности преступников, использующих для своих целей искусственный интеллект или его отдельные элементы.

Касаясь непосредственно темы своего исследования, следует отметить, что правовой фундамент под использование и функционирование ИИ в РФ в настоящее время уже заложен. Так на сегодняшний день приняты и действуют Стратегия национальной безопасности Российской Федерации (п. 76)²⁸⁵ и Стратегия развития информационного общества в Российской Федерации на 2017–2030 гг.²⁸⁶, в которых указано на необходимость развития в стране высоких технологий, в том числе, ИИ и робототехники. Кроме того, на необходимость развития цифровых технологий акцентируется внимание в Посланиях Президента Российской Федерации Федеральному собранию 2016, 2018, 2020 годов²⁸⁷.

Важнейшим документом в сфере развития искусственного интеллекта и технологий на его основе является Национальная стратегия развития искусственного интеллекта на период до 2030 года, утвержденная Указом Президента РФ 10 октября 2019 года № 490²⁸⁸ (далее для краткости Стратегия). В ней, в частности, раскрываются основные понятия в области использования ИИ, цели и основные задачи развития искусственного интеллекта в Российской Федерации, а также меры, направленные на его использование в целях обеспечения национальных интересов и реализации стратегических национальных приоритетов, в том числе в области научно-технологического развития.

Так, в Стратегии дается определение искусственного интеллекта – комплекс технологических решений, позволяющий имитировать когнитивные функции человека (включая самообучение и поиск решений без заранее заданного алгоритма) и получать при выполнении конкретных задач результаты, сопоставимые, как минимум, с результатами интеллектуальной деятельности человека. Комплекс технологических решений включает в себя информационно-коммуникационную инфраструктуру, программное обеспечение (в том числе, в котором используются методы машинного обучения), процессы и сервисы по обработке данных и поиску решений.

Кроме того, в Стратегии указывается, что следует понимать под технологиями искусственного интеллекта – технологии, основанные на использовании искусственного интеллекта, включая компьютерное зрение, обработку естественного языка, распознавание и синтез речи, интеллектуальную поддержку принятия решений и перспективные методы искусственного интеллекта²⁸⁹.

В настоящее время в России ведется разработка Национального кодекса в сфере этики искусственного интеллекта, который должен стать частью федерального проекта «Искусственный интеллект» и Стратегии развития информационного общества на 2017–2030 годы. В частности, данный документ по информации разработчиков, Альянса в сфере ИИ и Аналитического центра при Правительстве РФ и Минэкономразвития, будет представлять собой не закон, а рекомендации для производителей и пользователей искусственного интеллекта: крупных IT-корпораций, банков, торговых площадок, интернет-магазинов, разрабатывающих и применяющих в своей деятельности искусственный интеллект и технологии, созданные с его применением. Конкретно в данном проекте кодекса этики искусственного интеллекта прописаны базовые принципы, а именно: неприкосновенность частной жизни, а также безопасное использование персональных данных человека, риск-ориентированный подход, не допущение дискриминации, ИИ не должен причинять вреда, и наконец, ИИ должен работать только под надзором человека²⁹⁰.

Правительством Российской Федерации продолжается работа в развитии в стране цифровых технологий, а, именно, 9 сентября 2021 года принят План мероприятий («дорожная карта») «Создание дополнительных условий для развития отрасли информационных технологий», где среди других важных направлений развития информационных технологий в России, в качестве запланированных мероприятий в области регулирования искусственного интеллекта указано закрепление в рамках законодательства возможности передачи и агрегирования деперсонифицированных данных, создание репозитория данных для российских разработчиков ИИ-решений; определение порядка предоставления доступа российских разработчиков к программно-аппаратной платформе репозитория и установление режима работы с дата-сетами, содержащимися в репозитории, создание репозитория данных для разработчиков ИИ-решений; увеличение количества и повышение качества российских ИИ-решений и иные решения в сфере искусственного интеллекта, больших данных и интернета вещей²⁹¹.

Вместе с тем, отечественное законодательство в области регулирования ИИ находится в самом начале своего формирования, поэтому ввиду еще недостаточного на наш взгляд правового регулирования развития ИИ в России, выскажем свои предложения на концептуальные основы, как в целом функционирования ИИ, так и на основы предупреждения преступлений, совершаемых с применением ИИ или технологий, созданных на его основе:

1. Во-первых, продолжая государственную политику на поддержку развития отечественных технологий ИИ-решений, следует дополнить Указ Президента РФ 10 октября 2019 года № 490, где, в частности, были бы прописаны не только основные понятия в области ИИ, в том числе, самого ИИ, сферы его законного применения, но и права и обязанности разработчиков программного обеспечения, изделий и механизмов, работающих на основе ИИ. На наш взгляд, технологии ИИ в будущем будут только развиваться и усложняться, и вполне возможно, наступит время, когда будет разработано или отдельное либо параллельно существующее с традиционным правом «право роботов». Тогда, можно будет вернуться к вопросу о признании их правосубъектности, наделить их собственными правами и возложить соответственно определенные обязанности.

2. На базе Указа Президента РФ 10 октября 2019 года № 490 следует разработать отдельные законы, которые бы регулировали отдельные сферы его применения, такие, например, как: «Об использовании ИИ на транспорте», «Об использовании ИИ в энергетике», «Об использовании ИИ в медицине», «Об использовании ИИ в банковско-кредитной сфере» и др. В указанных законах, кроме подробного описания сфер его применения, следует прописать возможные риски использования ИИ, и прежде всего, установить ответственность, как производителей, так и непосредственных эксплуатантов ИИ, поскольку с усложнением технологических процессов и все большим применением на практике ИИ будут все чаще возникать ситуации, например, «неосторожного» (на сколько этот термин применим к роботам) причинения вреда здоровью или жизни человека в результате деятельности искусственного интеллекта.

3. В настоящее время в мире, в том числе, и в России, начали появляться деяния, совершаемые с применением ИИ, в связи с чем, действующих норм Уголовного кодекса РФ для регулирования и охраны существующих общественных отношений, по нашему мнению, недостаточно. В частности, такая технология как дипфейк применяется мошенниками при создании ложного аудио или видео контента с изображением людей. Так, например, в Великобритании, руководителю компании позвонил якобы деловой партнер, который попросил перевести крупную сумму денег. Как в дальнейшем было выяснено Скотленд-Ярдом голос бизнесмена был сгенерирован искусственным интеллектом, а за совершением преступления стоял мошенник²⁹². С ростом информационных технологий, особенно в период пандемии Covid-19 такие угрозы обретают, увы реальность. Мы полностью согласны с мнением М. А. Желудкова, который считает, что использование биометрических данных в этой методике, а именно голоса и лица человека позволяет преступникам понизить уровень защищенности населения перед угрозой подмены их фото и видеоизображений при незаконном получении кредитов, переоформлении недвижимости, дискредитации любого юридического и физического лица²⁹³. По нашему мнению, поскольку сферы преступного применения ИИ только с каждым годом расширяются, целесообразно дополнить ч.1 ст. 63 УК РФ пунктом «совершение преступления с использованием искусственного интеллекта или технологий, созданных на его основе», тем самым отпадет необходимость постоянно изменять и дополнять Уголовный кодекс.

Полагаем, что обеспечение информационной безопасности в сфере использования ИИ, в том числе, профилактика и пресечение преступных проявлений в сфере информационно-телекоммуникационных технологий, потребует обязательного совершенствования правовых механизмов привлечения к ответственности за нарушение законодательстве в сфере использования искусственного интеллекта или технологий, созданных на его основе. Каким путем пойдет отечественный законодатель покажет время.

Неправомерный доступ к компьютерной информации: спорные вопросы толкования²⁹⁴

Ю. В. Грачева,

д-р юрид. наук, профессор

(Университет имени О.Е. Кутафина (МГЮА))

uvgracheva@mail.ru

Уголовно-правовому противодействию посягательствам на интересы личности в информационном пространстве служат, прежде всего, уголовно-правовые нормы, главы 28 УК РФ «Преступления в сфере компьютерной информации», основа которых была заложена еще при создании УК РФ в 1996 г.

В последние время стремительное развитие цифровых технологий сформировало новую среду взаимодействия людей, общества и организаций, в которой цифровые процессы стали использоваться для управления объектами реального мира, в том числе без непосредственного участия человека.

Технологический скачок привел к: появлению новых цифровых сущностей, понятий и процессов, не имеющих прямых аналогов в жизни человека, общества и государства; возникновению новых способов коммуникаций людей; расширению возможностей передачи информации, консолидации различных ее видов, а также влиянию на человека; миграции деловой, государственной и социальной активности в цифровую среду; появлению и непрерывному росту активности, направленной на присвоение чужой собственности, цифровому вандализму и иной деятельности криминального характера и т.д.

Естественным способом противодействия преступности в цифровой среде стало применение и непрерывное совершенствование мер информационной безопасности, в числе которых уголовно-правовые нормы гл. 28 УК РФ. Однако их анализ позволяет констатировать, что используемые понятия отстают от современных реалий, что вызывает сомнения в их применимости.

Значительное количество проблем возникает при трактовке деяния, предусмотренного ст. 272 УК РФ, – неправомерный доступ к информации. Более общее понятие (доступ к информации) введено Федеральным законом от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации»²⁹⁵ и определяется как возможность получения информации и ее использование. В отличие от понятия «доступ к информации», определения «неправомерный доступ к информации» в нормативном акте не дается. Под ним понимается тот или иной способ проникновения в информацию с использованием интеллектуальных средств или технических ресурсов компьютера, что позволяет совершать с компьютерной информацией какие-либо действия²⁹⁶. В случае, если у лица отсутствует право на доступ к компьютерной информации, или лицо, обладающее таким правом, нарушает правила защиты информации и установленный порядок воздействия на информацию, то такое воздействие на компьютерную информацию будет считаться неправомерным. Неправомерный доступ к компьютерной информации – это незаконное либо не разрешенное собственником или иным ее законным владельцем использование возможности получения компьютерной информации²⁹⁷. Иногда выделяется дополнительный признак неправомерного доступа – защищенность информации, т.е. доступ к незащищенной и открытой информации не будет являться уголовно наказуемым²⁹⁸.

По мнению Генеральной прокуратуры РФ неправомерный доступ – это «доступ к конфиденциальной информации или информации, составляющей государственную тайну, лица, не обладающего необходимыми полномочиями (без согласия собственника или его законного представителя), при условии обеспечения специальных средств ее защиты». Исходя из этого следует, что для квалификации деяния как преступного необходимо установление факта наличия специальных средств ее защиты и получение доступа без «необходимых полномочий».

В данном определении используется понятие специальное средство защиты. В профессиональной среде к ним относят программные, аппаратные и физические средства защиты информации. Таким образом, основные проблемы связаны с пониманием неправомерности доступа в части необходимости установления специальных средств защиты и наличия специальных прав.

Буквальное понимание неправомерного доступа приводит к тому, что для квалификации деяния как преступного требуется установление факта наличия специальных средств ее защиты и получение доступа без необходимых полномочий. В случаях, когда обладатель информации самостоятельно предоставляет к ней доступ (в терминологии Генеральной прокуратуры РФ – наделяет полномочиями на доступ), действия по ее компрометации осуществляются без преодоления технических средств защиты, поскольку нарушителю не приходится их преодолевать.

Факт наличия или отсутствия специальных средств защиты не всегда является существенным при определении преступности деяния. Возможно предоставление доступа к информации в результате технологических особенностей средств передачи информации или по ошибке.

В настоящее время многие задачи с применением информационных технологий решаются посредством передачи информации провайдерам IT-сервисов в силу того, что они требуют большой производительной мощности аппаратных ресурсов, например, обработка потоков данных, анализ больших объемов данных, обработка данных с помощью систем искусственного интеллекта и др. В связи с этим получили широкое распространение системы, проводящие обработку потоков информации с использованием не только оборудования пользователя системы, но и так называемых облачных вычислительных и программных ресурсов.

К таким системам относятся, в частности, системы распознавания речи и перевода. Одна компонента программного обеспечения для таких решений устанавливается непосредственно на мобильный телефон, персональный компьютер или интегрируется в бытовую технику и т.п. и является фактически интерфейсной частью, взаимодействующей непосредственно с пользователем. Сами вычисления проводятся на серверных мощностях поставщика услуги. Для получения результата пользователь сервиса должен отправить информацию на обработку и затем получить результат ее выполнения.

Таким образом, вводя определенного рода информацию в приложение стороннего поставщика, пользователь фактически передает эту информацию в приложение третьей стороны, откуда она в преобразованном или исходном виде по каналам сетей общего доступа передается на центры обработки данных поставщика сервиса, обрабатывается и результат полученной обработки возвращается на оконечное устройство.

Еще один пример сервиса – программное обеспечение, предоставляющее возможность автоматического переключения шрифта между различными языками. Программа считывает все нажатия клавиш пользователя, фактически собирая всю информацию, вводимую пользователем, включая пароли. Эта информация может обрабатываться в локальном приложении (установленном непосредственно на оконечном устройстве) или пересылается на сервера владельца сервиса. Состав информации на наличие информации ограниченного доступа не может быть установлен автоматически, вследствие чего происходит распространение конфиденциальной информации и т.д.

Таким образом, весь класс программного обеспечения и сервисов, использующих поступающие для обработки потоки информации в необработанном виде, содержит возможности несанкционированного использования информации как охраняемой законом. Нарушения посредством такого рода получения доступа к информации, содержащую какого-либо вида тайну, по УК РФ не могут быть квалифицированы в качестве преступных.

Следующая группа ситуаций касается действий криминального характера, в которых несанкционированный доступ может быть получен без преодолений средств защиты, поскольку используются технологические особенности передачи данных.

Например, перехват данных, передаваемых по беспроводным сетям. Для получения доступа к информации преступник с помощью технических средств создает точку доступа Wi-Fi, в том числе она может быть представлена как бесплатная общественная точка доступа. В этой ситуации, подключаясь к Интернету, пользователь фактически сам настраивает передачу информации через оборудование преступника, исходя из предположения о добросовестности владельцев бесплатного сервиса. Такой информацией могут являться пароли и иные данные, не защищенные посредством шифрования.

В случае посягательств на данные, составляющие коммерческую тайну, злоумышленник не просто делает возможным подключение к Интернету и передачу информации через свою точку доступа, но также имитирует корпоративное оборудование атакуемой стороны. В процессе посягательства используется принудительный сброс всех штатно работающих подключений и создается ситуация, в которой пользователя побуждают подключиться через оборудование нарушителя. В первом и втором случаях невозможна квалификация действий как получение доступа с преодолением ограничений средств защиты, поскольку формально пользователи самостоятельно пересылают данные злоумышленнику, предоставляя доступ к информации без получения каких-либо обязательств от принимающей стороны.

Такого рода атаки могут проводиться не только в отношении информации, передаваемой по беспроводным сетям Wi-Fi, но также при передаче данных по локальной сети (для этого преступник должен иметь физический доступ к сетевому оборудованию или кабельной системе) и сетям общего доступа.

Противоправные действия с применением беспроводных устройств совершить проще, поскольку: не требуется физического доступа к какому-либо оборудованию жертвы; преступник может находиться в десятках метров от компрометируемого устройства жертвы; частные лица зачастую не могут проанализировать отклонение своей работы от штатной; для обеспечения безопасности в корпоративных локальных сетях и глобальных сетях общего пользования выделяются эксперты и специальные средства защиты информации, что затрудняет проведения атака типа man-in-the-middle.

Это позволяет утверждать, что частные лица (по сравнению с корпоративными пользователями информационных систем) не только обрабатывают информацию в более уязвимых для атак системах, но и юридически не защищены.

Ситуация неосознанной передачи доступа к информации возникает также при ошибочной пересылке конфиденциальной информации по электронной почте. В этом случае информация передается без формального преодоления мер защиты. Ошибочная пересылка может быть инициирована злоумышленником, который присылает запрос на предоставление данных, вызывающий у потерпевшего доверие. Эффект доверия достигается путем подделки информации в заголовке, об отправителе запроса и др.

Методы социальной инженерии направлены на получение преступником доступа с целью последующего обхода технических средств защиты информации, либо непосредственно к интересующей их информации.

Таким образом, наличие средств защиты – неоднозначный критерий для определения правомерности доступа. Получение доступа к информации без преодоления специальных средств защиты нельзя однозначно квалифицировать как неправомерное.

Как отмечалось, по мнению Генпрокуратуры РФ неправомерный доступ – это получение доступа без «необходимых полномочий». В области информационной безопасности терминологическая база, предназначенная для описания мер защиты информации от несанкционированного доступа, существенно шире. Основные термины, используемые в этой области информационной безопасности: права доступа – совокупность возможностей и ограничений на использование информации; управление доступом – предотвращение несанкционированного использования какого-либо ресурса, включая предотвращение пользования ресурса неполномочным образом.

Права доступа определяют порядок и условия доступа субъекта к объектам информационной системы (информации, ее носителям, процессам и другим ресурсам), установленные нормативными документами или собственником, владельцем информации. Права доступа определяют набор действий (чтение, запись, выполнение и др.), разрешенных для выполнения субъектам (например, пользователям системы) над объектами данных.

Так, для использования информации, составляющей коммерческую тайну, некоторые сотрудники компании имеют возможность чтения информации, другие могут информацию редактировать и изменять, третья группа обладает полномочиями информацию удалять. Полномочия могут быть ограничены: по видам доступа, по времени доступа, по территориальным зонам, в которых должен находиться субъект, получающий доступ и другими существенными для владельца информации факторами.

Виды доступа определяют действия, которые получивший доступ может осуществлять над информацией: чтение; изменение; удаление; дополнение; выполнение.

Во избежание несанкционированных действий в системе в политике безопасности могут задаваться временны́е зоны, в которых права на доступ имеют силу. Например, чтение и изменение информации в определенные часы рабочего времени являются санкционированными, а в нерабочее время и выходные рассматриваются как нарушение прав доступа.

Аналогичный подход к понятию санкционированного доступа применяется с ограничением по месту физического доступа к информационной системе.

Ограничения могут применяться для операционных систем, которые предоставляют доступ, только когда пользователь с полными правами находится в физической близости к серверу. Для линейных сотрудников или руководителей может быть разрешен или запрещен доступ по сети Интернет в зависимости от их должностных обязанностей, режима работы и чувствительности информации.

Таким образом, с точки зрения специалиста информационной безопасности, нарушением будет являться не сам факт доступа к информации, а ее использование, выходящее за рамки предоставленных полномочий – прав доступа. Данный подход продиктован одним из базовых положений в организации защиты данных – не предоставлять избыточных прав для исполнения функций пользователя. Следует также отметить, что вредоносное воздействие на информацию не всегда является следствием именно несанкционированного доступа (отказ в обслуживании²⁹⁹, передача ложной информации: злоумышленник, атака посредника, или атака «человек посередине» (Man in the middle (MITM)); веб-инжект; физическое воздействие на информацию).

В информационной безопасности меры физической защиты рассматриваются как необходимая часть мероприятий по обеспечению защиты информации. Под ней понимается защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

В связи с изложенным приемлемым является трактовка неправомерного доступа, закрепленная Национальным стандартом РФ (ГОСТ Р 53114–2008)³⁰⁰, где под ним понимается получение защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации. Данное определение полностью охватывает спектр возможных деяний, состоящих в доступе к информации, оно позволяет не сужать круг деяний до тех, которые были произведены над информацией в системах с использованием средств защиты.