Услуги ИТ-аутсорсинга несут риски уголовного преследования. За что могут посадить сотрудников исполнителя?
Услуги аутсорсинга получили широкое распространение. Многие организации таким образом оптимизируют свои процессы, прежде всего те, которые для них являются непрофильными. Процессы, связанные с ИТ, среди наиболее часто передаваемых на сторону. Евгений Русскевич, доктор юридических наук, профессор кафедры уголовного права Московского университета МВД России имени В.Я. Кикотя, рассказал об уголовно-правовых рисках в деятельности, связанной с аутсорсингом ИТ-инфраструктуры предприятия.
Евгений Русскевич классифицировал уголовно-правовые риски в указанной деятельности, выделив 3 основные группы.
1 группа рисков – неспецифическая, она вытекает из природы аутсорсинга ИТ-инфраструктуры, как экономической деятельности. Она включает риск привлечения к уголовной ответственности, когда происходит заявление о неисполнении или ненадлежащем исполнении тех или иных обязательств с последующей квалификацией действий исполнителя как мошенничества.
Это общеизвестная проблема в сфере экономической деятельности, когда гражданско-правовые отношения подменяются уголовно-правовыми отношениями. Причём позиция о том, что у субъекта изначально было намерение не исполнять свои обязательства, а похитить имущество под прикрытием гражданско-правовых отношений, всегда является довольно уязвимой. В ИТ-бизнесе уже имеются вынесенные судебные решения по ст. 159 УК РФ (мошенничество), и там этот риск просматривается. В пример Евгений Русскевич привёл неназванную компанию, которая заказала у другой ERP-систему.
Заказчик был крупный, с большим количеством подразделений и проект был большой и комплексный. В ходе выполнения проекта заказчик, будучи недовольным услугами, прекратил предоставлять доступ исполнителю на территорию своей организации и заявил, что исполнения нет. Но на тот момент уже функционировала демо-версия системы, которая тестировалась с участием некоторых подразделений заказчика.
В дальнейшем уголовное преследование строилось с указанием таких обстоятельств, как, например, то, что заказчику была предоставлена не итоговая, а демонстрационная версия ERP-системы. При том, что эта версия уже обладала определённым функционалом, в ТЗ не объяснялась конкретика, чем демо-версия может отличаться от итоговой.
Несмотря на это и на то, что впоследствии физический доступ к площадке заказчика для исполнителя был перекрыт, из-за чего он не мог продолжать работы по проекту, содеянное было квалифицировано, как мошенничество в особо крупном размере.
Ссылка была и на то, что изначальная сумма контракта затем была увеличена трёхкратно. Но этот рынок – достаточно подвижный, отмечает Евгений Русскевич, и не всегда есть возможность согласовать итоговую стоимость продукта, потому что не всегда понятна сложность итогового решения. В таких случаях могут заключаться дополнительные соглашения к контракту.
К первой группе рисков эксперт также относит риск уголовного преследования за причастность к уклонению от уплаты налогов. Здесь речь идёт о том, когда аутсорсинг является формой уклонения от уплаты налогов, например, от уплаты НДФЛ за счёт схем искусственного дробления бизнеса и подмены трудовых отношений аутсорсингом для перехода на другую систему налогообложения.
Общее недоверие к аутсорсингу влияет на то, что часто любое взаимодействие с такой компанией воспринимается как попытка уклониться от уплаты налогов, а содействие этой компании – либо соисполнительство, либо пособничество в таком уклонении в зависимости от того, насколько выяснится их согласованность в достижении этой цели. По данным Евгения Русскевича, есть примеры, когда аутсорсинг действительно имел сфальсифицированный характер, когда ТЗ исполнялись по факту командой самого же заказчика.
К первой группе профессор относит и риск уголовного преследования в ситуации, когда организация, осуществляющая обслуживание сайта другой компании либо обеспечение этих процессов принимает решение о самозащите своего права в случае полного либо частичного уклонения от ответного исполнения обязательств. Например, в случае неоплаты услуг за выполненные работы исполнитель предусматривает блокировку сайта заказчика.
По мнению Евгения Русскевича, блокирование ресурса в таких случаях рождает ситуацию уголовного преследования если не по ст. 272 (неправомерный доступ к компьютерной информации) или 274 ст. УК РФ (нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей), то, как минимум, по ст. 330 УК РФ (самоуправство).
2 группа рисков связана с возможной ответственностью за неправомерный сбор или распространение сведений, относящихся к тому или иному виду тайны. Чрезвычайно важными компонентами договора на оказание ИТ-аутсорсинговых услуг является определение специальных условий порядка передачи, хранения и обработки информации ограниченного доступа. По определению исполнитель в этой сфере всегда будет соприкасаться с конфиденциальными сведениями, относящимися, например, к банковской тайне, коммерческой тайне либо затрагивать персональные данные работников организации и т.д.
В имеющейся правоприменительной практике пока реализация риска уголовного преследования имеет достаточно банальный характер, отмечает профессор: это злоумышленники, которые, используя возможности своего доступа к коммерческой тайне, крадут её. Есть пример кражи базы данных клиентов и передачи её третьим лицам. Виновные были в данном случае осуждены по ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну).
Если в соглашении между сторонами такие условия не будут чётко разъяснены для заказчика и исполнителя, то в случае, когда заказчик может обнаружить, что эти сведения каким-то образом обрабатывались, могут возникнуть определённые вопросы, которые могут не ограничиться гражданско-правовым разбирательством либо медиацией, а могут перейти в уголовно-правовую сферу.
Деликатная проблема в области услуг аутсорсинга – когда организация-заказчик изначально просит аутсорсера организовать слежку за сотрудниками без их ведома, и это является скрытым условием установления сотрудничества. Такой пример имел место в сфере косметической медицины, когда заказчик захотел бороться с «левой» работой врачей на производстве. Слежка велась не без участия компании, которая осуществляла сопровождение и сайта медицинской организации, и внутренней системы, и были использованы средства для негласного получения информации. В подобном случае привлечение к уголовной ответственности возможно сразу по нескольким статьям.
3 группа рисков вытекает из деятельности аутсорсера, как субъектов, ответственных за поддержание стабильной и безопасной работы объектов ИКТ-инфраструктуры компании-заказчика. Эти риски можно разделить на две группы. Первая является традиционной проблемой. Аутсорсеры, которые занимаются обеспечением ИБ и организацией информационной инфраструктуры заказчика, вынуждены так или иначе тестировать системы на безопасность, проводить пентесты.
Проблема в том, что ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ) говорит о создании и использовании вредоноса, не выделяя из этой нормы ситуации, когда эти же вредоносы могут использоваться для проверки системы на проникновение.
Те программы, которые используются в оперативно-розыскной деятельности, называются специальными техническими средствами, а что касается этой сферы, здесь это никак не решено, кроме того, что в комментариях в доктрине пишется, что ст. 273 УК РФ не распространяется на эти ситуации. Однако опереться здесь на структуру диспозиции не получится, можно разве что опираться на общие признаки преступлений, ссылаясь на то, что здесь нет общественной опасности, что вредонос используется для тестирования с согласия заказчика. Но тут встаёт вопрос, нивелирует ли согласие заказчика использование вредоноса.
И последнее – риск ответственности за нарушение правил эксплуатации объектов информационной инфраструктуры. Есть уже упомянутая выше ст. 274 УК РФ. Евгений Русскевич отмечает, что она до сих пор не работающая в силу своей диспозиции. Более интересна в данном случае ч.3 ст. ст. 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру РФ). Аутсорсеры, вступая в соответствующие отношения, берут на себя ответственность за надлежащую эксплуатацию объектов, за обеспечение их безопасности и т.д., и могут стать субъектами преступления.
Доктор юридических наук, профессор Юрий Трунцевский в своей статье указывал, что субъект КИИ может в рамках аутсорсинговых отношений передать эксплуатацию, обслуживание этой системы сторонней организации, и те, в свою очередь, станут субъектами ответственности за нарушения требований. Евгений Русскевич с этим согласен, и считает, что практика в этой области может и пойти, особенно с учётом правовой позиции по ст. 143 УК РФ (нарушение требований охраны труда), где вопрос о нарушении требований охраны труда Верховным судом так и был решён: если компания нанимала стороннюю организацию для обеспечения трудовой безопасности, те тоже являются субъектами. Такая же модель может быть переложена на аутсорсеров.
Материал написан на основе выступления Евгения Русскевича на конференции «Уголовно-правовые риски поставщиков информационных услуг», прошедшей в апреле в Московском государственном юридическом университете имени О.Е. Кутафина (МГЮА).