Нарушение авторских прав на ПО при тестировании защищенности информационных систем

Для чего нужен законопроект

Инициатива направлена на актуализацию законодательства в соответствии с современными тенденциями и, конечно, на разрешение правовых проблем, которые существуют много лет: о законодательном закреплении возможности тестирования цифровых сервисов на предмет уязвимостей и выведении работ указанных специалистов в правовую плоскость говорят не первый год.

В составе информационных систем обычно присутствуют ПО разных правообладателей. Способы использования программ указываются в пользовательских соглашениях, которые могут прямо запретить выполнение ряда действий, осуществляемых при анализе защищенности.

Часть 2 статьи 1280 Гражданского кодекса РФ содержит перечень разрешенных действий с ПО, которые может выполнить пользователь.

В нынешней редакции указанная статья не содержит разрешение на действия, которые выполняются в ходе тестирования защищенности. Кроме этого, предполагается, что перед выполнением пентеста специалисты получают разрешение от правообладателя каждого ПО, входящего в состав ИС. Если их нет, это может повлечь за собой нарушение авторских прав правообладателей ПО и обязанность нарушителя по возмещению убытков или выплате компенсации до 5 млн рублей (статья 1301 Гражданского кодекса РФ). К тому же и резко возрастают риски привлечения к административной и уголовной ответственности.

Какие изменения предлагаются

Инициатива законодателей исключает нарушение авторских прав на ПО при осуществлении тестирования защищенности ИС.

Законопроектом предусмотрена возможность изучения, исследования или испытания функционирования ПО пользователем в целях выявления его уязвимостей для исправления явных ошибок. При этом указанные действия осуществляются только в отношении экземпляров ПО, функционирующих на технических средствах пользователя.

Правки в статью 1280 Гражданского кодекса РФ для защиты правообладателей ПО предусматривают запрет на передачу информации о выявленных в ходе анализа недостатках третьим лицам. Подобная информация может быть передана только правообладателю и (или) лицам, у которых есть право на переработку ПО.

Уведомление необходимо направить правообладателю в течение пяти рабочих дней со дня выявления недостатков.

Законодательная инициатива позволит проводить анализ уязвимостей без разрешения правообладателей ПО.

Какие сейчас есть правовые проблемы при проведении пентестов

Действующее законодательство допускает тестирование ПО для обеспечения общей работоспособности и адаптации для своих целей, а тестирование защищенности ИС не регулируется законодательством и может повлечь уголовную ответственность для пентестера. Среди правовых проблем проведения тестирования защищенности эта проблема отмечается чаще всего. Уголовная ответственность предусмотрена статьями 272, 273, 274.1 Уголовного кодекса РФ с лишением свободы до 10 лет.

Как было отмечено выше, один из законопроектов, направленных на легализацию «белых хакеров», касается именно внесения поправок в Уголовный кодекс для исключения такого риска. При его обсуждении против инициативы депутатов выступили МВД, Следственный комитет и Генпрокуратура.

Силовые структуры аргументируют свою позицию тем, что уголовное законодательство действует только в тех случаях, когда разработчик ПО изначально использовал его для несанкционированного доступа к ИС и причинения ущерба, а в случае тестирования в интересах правообладателя речь не идет о несанкционированном доступе. При наличии договора или заявки правообладателя на тестирование ИС действия не образуют состав преступления.

Стоит отметить, что пентест не всегда проводится в рамках заявки правообладателя или договора, поэтому опасения «белых хакеров» имеют под собой основания.

Минцифры поддерживает позицию авторов законопроекта и пентестеров. Надеемся, что обещанные законопроекты действительно в скором времени будут внесены на рассмотрение в Госдуму, о чем сообщили авторы инициативы.

Как в целом в России складывается практика

Право на использование ПО передается пользователю через заключение лицензионного договора, в котором в том числе указываются разрешенные способы использования передаваемого произведения. В зависимости от ПО условия передачи прав могут быть указаны также в пользовательском соглашении, размещаемом на сайте правообладателя.

И если мы все привыкли, что бумажный договор нужно читать перед подписанием, то с электронным (в данном случае — с пользовательским соглашением) возникают проблемы. Его редко даже читают полностью. Такие соглашения многие воспринимают как исключительно информационный документ, игнорируя его правовую природу и важные условия, которые в нем содержатся.

Часть 3 статьи 1237 Гражданского кодекса РФ устанавливает, что использование результата интеллектуальной деятельности лицом, которое не является правообладателем, способом, который не предусмотрен лицензионным договором, либо иным образом, не предусмотренным договором, влечет ответственность за нарушение исключительных прав, установленных Гражданским кодексом РФ, другими законами или договором.

Нужно ли будет вносить изменения в действующие пользовательские соглашения (лицензионные договоры) в случае принятия законопроекта

На что обратить внимание в связи с предстоящими изменениями законодательства и дополнительно подчеркнуть в лицензионных договорах / пользовательских соглашениях:

• Право проведения тестирования защищенности ПО предоставляется пользователю только в отношении экземпляров ПО, функционирующих на технических средствах пользователя.
• Пользователь может сообщить о выявленных уязвимостях только правообладателю ПО и (или) лицу, осуществляющему переработку ПО с согласия правообладателя. В законопроекте не указано, каким образом пользователь может узнать о таких лицах, поэтому рекомендуем указать возможные варианты в договоре.
• Правообладателю нужно сообщить о выявленных недостатках в течение пяти рабочих дней со дня их выявления, за исключением случая, если пользователю не удалось установить его местонахождение, место жительства или адрес для переписки. Рекомендуем в договоре подробно указать все возможные способы связи с правообладателем для своевременного уведомления.

Ответственность при нарушении исключительных прав на ПО по действующему законодательству РФ

Гражданско-правовая ответственность

Права на ПО охраняются как авторские права на произведения литературы (статья 1261 Гражданского кодекса РФ).

Согласно статье 1252 Гражданского кодекса РФ защита исключительных прав на результаты интеллектуальной деятельности осуществляется, в частности, путем предъявления требования о возмещении убытков к нарушителю либо выплаты компенсации за нарушение указанного права. Определенная сумма может быть взыскана, если будет доказан факт правонарушения.

Статья 1301 Гражданского кодекса РФ предусматривает следующие варианты определения суммы компенсации:

• от 10 тысяч до 5 миллионов рублей;
• в двойном размере стоимости контрафактных произведений;
• в двойном размере стоимости права использования объекта интеллектуальной собственности.

Судебная практика

В российской судебной практике много примеров, когда правообладателю удалось получить от ответчика компенсацию за нарушение авторских прав. Вот кейсы прошлого года, например.

• Решение АС Саратовской области по делу №А57-907/2023 от 03.07.2023 г. Правообладателю удалось взыскать с нарушителя исключительных прав на свое ПО компенсацию в размере 5 035 800 рублей.
• Решение АС Свердловской области по делу №А60-13027/2023 от 13.02.2024 г. Сумма компенсации составила 623 000 рублей.
• Решение АС Свердловской области по делу №А60-31679/2023 от 16.10.2023 г. С нарушителя была взыскана компенсация в размере 1 029 400 рублей.

Административная ответственность

К административной ответственности по статье 7.12 КоАП можно привлечь за нарушение авторских прав, если целью нарушения было извлечение дохода. Речь о реализации контрафактных экземпляров произведений либо об экземплярах, на которых указана ложная информация об их изготовителях, местах их производства, а также об обладателях авторских прав.

Для юридических лиц предусмотрен штраф от 30 000 до 40 000 рублей с конфискацией контрафактных экземпляров произведений, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения правонарушения.

Судебная практика

Примеры привлечения к административной ответственности по статье 7.12 КоАП можно увидеть:

• в Постановлении Ломоносовского р/с г. Архангельска (Архангельская область) от 18.01.2024 г. по делу №5-1/2024 [5-676/2023, 
• Постановлении Верхнекамского р/с (Кировская область) от 28.11.2023 г. по делу №5-34/2023, 
• Постановлении Сыктывкарского городского суда Республики Коми от 15.10.2021 г. по делу №5-5378/2021.

Уголовная ответственность

Уголовная ответственность за нарушение авторских прав по статье 146 Уголовного кодекса РФ наступает, если был зафиксирован ущерб в крупном размере (то есть более 100 000 рублей).

Статья предусматривает ответственность в виде штрафа до 500 000 рублей, лишения свободы до 6 лет.

Судебная практика

Вот несколько примеров привлечения к уголовной ответственности за нарушение авторских прав: 

• приговор Кировградского г/с (Свердловская область) от 29.11.2023 г. по делу №1-211/2023, 
• приговор Ирбитского р/с (Свердловская область) от 25.12.2023 г. по делу №1-377/2023, 
• приговор Черкесского г/с (Карачаево-Черкесская Республика) от 27.10.2023 г. по делу №1-449/2023.

Заключение

При обсуждении правовых проблем, связанных с «белыми хакерами», как правило, упоминают риск привлечения к уголовной ответственности по статьям 272, 273, 274.1 Уголовного кодекса РФ, обходя вниманием нарушение авторских прав правообладателей ПО, что неверно, учитывая размеры компенсации, которая может быть взыскана за подобное нарушение, а также риски административной и уголовной ответственности.

Пакет законопроектов, предлагаемых для легализации специалистов по анализу защищенности ИС, учитывает все указанные риски.

До принятия всех законопроектов рекомендуем:

• пентестерам надлежащим образом оформить договорные отношения с заказчиками по услуге тестирования защищенности ИС;
• пользователям ПО при проведении тестирования защищенности ИС учитывать перечень разрешенных действий и запретов, указанных в лицензионных договорах и пользовательских соглашениях правообладателей ПО;
• правообладателям ПО при составлении лицензионных договоров и пользовательских соглашений доступным языком, подробно и конкретно прописывать разрешенные способы использования ПО и запреты.