Использование программ для эвм - деятельность, создающая повышенную опасность для окружающих
была столь опасна, что ФБР распространило о
ней предупреждение.
Упомянутые
"вирусные эпидемии" получили такое
масштабное распространение из-за
уязвимостей в почтовой программе "Outlook",
созданной Microsoft. Согласно заключению Computer
Economics, консалтинговой фирмы в Карлсбаде,
общий ущерб только от распространения
нашумевшего вируса "I love you" составил 8,75 млрд.
долларов США.
Полагаем, что приведенные
выше примеры наглядно свидетельствуют о
значительных масштабах вреда, который
причиняют сбои в работе программного
обеспечения как имуществу, так и
нематериальным благам.
Остановимся
теперь подробнее на другом критерии
повышенной опасности деятельности по
использованию программ для ЭВМ, которым
является "невозможность полного контроля"
<*> за ее осуществлением. Это проявляется
в невозможности немедленной остановки
воздействия программы для ЭВМ в силу ее
объективных характеристик.
--------------------------------
<*> Согласно п. 17
Постановления Пленума Верховного Суда РФ
от 28 апреля 1994 г. N 3 "источником повышенной
опасности надлежит признать любую
деятельность, осуществление которой
создает повышенную вероятность причинения
вреда из-за невозможности полного контроля
за ней со стороны человека..." (см.: БВС РФ. 1994.
N 7).
При современном уровне развития
компьютерной техники время работы
большинства программ для ЭВМ исчисляется
долями секунды. Поэтому зачастую вред,
причиненный сбоями в работе программного
обеспечения, становится очевидным уже
после завершения работы программы. Вместе с
тем предугадать заранее наступление
негативных последствий крайне
затруднительно, если вообще возможно.
Остановка воздействия программы для ЭВМ в
момент причинения вреда затруднена или
невозможна по двум причинам:
1) ввиду
высокой скорости работы современного
программного обеспечения;
2) в силу
значительного объема и сложности
современных программ, для исправления
которых требуются высокая квалификация,
которой не обладает обычный пользователь, а
также значительные временные затраты.
Современная жизнь в большинстве ее
аспектов оказалась зависимой от
программного обеспечения: от банковских
кодов до красных сигналов светофоров, от
телефонных сетей до DVD-плееров, от воздушных
подушек автомобилей до систем управления
воздушным транспортом. Практически весь
окружающий нас мир управляется программным
кодом. Безусловно, развитие
коммуникационных систем, программирование
служат развитию возможностей человека,
"фундаментально меняя то, как мы рождаемся,
живем, учимся, работаем, производим,
потребляем, грезим, сражаемся или умираем"
<*>. Вместе с тем оно же таит в себе и новые
опасности. Масштабы вреда, причиняемого
компьютерными программами, обусловлены
развитием информационных систем общего
пользования. Деятельность по использованию
программ для ЭВМ вследствие сбоев в работе
программного обеспечения на фоне
невозможности остановки его воздействия в
момент причинения вреда сопряжена с
высокой вероятностью причинения вреда как
имуществу, так и нематериальным благам.
--------------------------------
<*> Кастельс М. Указ.
соч. С. 52.
Поэтому полагаем, что развитие
информационных технологий должно стать
причиной особого внимания юридической
науки к институту ответственности
создателей и распространителей любого вида
программных продуктов.
В России
законодательство, так или иначе касающееся
программ для ЭВМ, чаще называется
"законодательством в сфере информатизации"
и охватывает, по разным оценкам, от 70 до 500
нормативных правовых актов, включая те,
которыми регулируется создание отраслевых
или специализированных автоматизированных
систем.
Конституция РФ не регулирует
отношения в области создания и
распространения программ для ЭВМ, но
создает предпосылки для этого, закрепляя в
ч. 4 ст. 29 права граждан свободно искать,
получать, передавать, производить и
распространять информацию любым законным
способом.
Гражданский кодекс РФ
определяет систему правоотношений в
рассматриваемой нами области. Прежде всего
рынок программных продуктов регулируется
частью второй ГК РФ. Статья 128 ГК РФ к видам
объектов гражданских прав относит вещи,
включая деньги и ценные бумаги, иное
имущество, в том числе имущественные права;
работы и услуги; информацию; результаты
интеллектуальной деятельности, в том числе
исключительные права на них
(интеллектуальную собственность);
нематериальные блага. Таким образом,
программа для ЭВМ как результат
интеллектуальной деятельности является
объектом гражданских прав, в том числе и
права собственности <*>.
--------------------------------
<*> См. об этом:
Наумов В.Б. Право и Интернет (очерки теории и
практики). М., 2002. С. 269.
Специальное
российское законодательство в области
информационных технологий начало
формироваться в начале 1990-х гг., когда
уровень развития информатизации был еще
достаточно низок. Именно тогда были приняты
акты, регламентирующие основные вопросы в
области программного обеспечения: Закон РФ
от 23 сентября 1992 г. "О правовой охране
программ для электронно-вычислительных
машин и баз данных" <*> и Закон РФ от 9 июля
1993 г. "Об авторском праве и смежных правах"
<**>.
--------------------------------
<*> См.:
Ведомости РФ. 1992. N 42. Ст. 2325.
<**> См.:
Ведомости РФ. 1993. N 32. Ст. 1242.
Большинство
правовых норм, регламентирующих отношения
в области программного обеспечения,
сосредоточено в системе авторского и так
называемого информационного
законодательства, в которых проблемы
создания и распространения программного
обеспечения не являются основными.
Защиту прав субъектов информационных
отношений осуществляет также и уголовное
законодательство. Составы компьютерных
преступлений содержатся в гл. 28
"Преступления в сфере компьютерной
информации" УК РФ, включающей в себя три
статьи: "Неправомерный доступ к
компьютерной информации" (ст. 272), "Создание,
использование и распространение
вредоносных программ для ЭВМ" (ст. 273) и
"Нарушение правил эксплуатации ЭВМ, системы
ЭВМ или их сети" (ст. 274).
Международных
двусторонних нормативных правовых актов в
области информационных технологий,
действующих на территории России, пока не
так уж и много. Это, например, Соглашение
между Правительством Российской Федерации
и Правительством Французской Республики о
сотрудничестве в области информатизации
(одобрено Постановлением Правительства РФ
от 14 февраля 1996 г. N 145) <*>, Соглашение
между Правительством Российской Федерации
и Правительством Республики Беларусь о
сотрудничестве в области информатизации и
вычислительной техники от 27 февраля 1996 г.
<**> и др.
--------------------------------
<*>
См.: БМД. 1996. N 6.
<**> См.: Там же. N
8.
Анализ российского законодательства на
предмет гражданско-правовой
ответственности за вред, причиняемый
созданием и распространением программного
обеспечения, позволяет сделать следующие
выводы.
1. Никаких специальных норм
действующее законодательство по поводу
ответственности перед пользователями
программного обеспечения не содержит.
2.
Ответственность за вред, причиняемый
созданием и распространением программного
обеспечения, регламентируется нормами ГК
РФ, касающимися ответственности за
нарушение обязательств (ст. 393 - 406 ГК РФ).
3. Действующее законодательство не
предусматривает каких-либо гарантий на
предоставляемое программное обеспечение,
что дает возможность поставлять
программные продукты на условиях as is (как
есть, без каких-либо гарантий). При этом
эксплуатация программы осуществляется
пользователем на свой страх и риск.
4.
Защита интересов пользователя
программного обеспечения при
сопровождении программного продукта
законодательством не предусмотрена.
Таким образом, российское
законодательство, регулирующее вопросы
деятельности по созданию и распространению
программ для ЭВМ, ориентировано на защиту
интересов автора (правообладателя), и
поэтому пользователь программного
обеспечения может защищать свои интересы в
основном в рамках договорной
ответственности.
Вместе с тем
лицензионное соглашение, в соответствии с
которым, как правило, реализуются
программные продукты на рынке программ для
ЭВМ, как отечественном, так и зарубежном,
имеет условие следующего содержания: "Ни
при каких условиях авторы программы не
несут явной, подразумеваемой финансовой,
уголовной или какой-либо другой
ответственности за возможные ошибки в
работе программы".
Безусловно, любой
программист отвечает своей репутацией за
качество созданной им программы, но никакой
реальной ответственности за вред,
причиняемый сбоями в работе программы, он
не несет. Подобной ситуации нет ни в какой
другой отрасли.
Именно поэтому в США,
государстве, являющемся родиной революции
компьютерных технологий и связывающем свое
будущее с лидерством именно в этой сфере,
все чаще звучат призывы к обеспечению
безопасности программного обеспечения
правовыми средствами. Так, Академии наук
США после 11 сентября 2001 г. было поручено
оценить состояние компьютерных систем США.
В проекте доклада Компьютерной и
телекоммуникационной комиссии Академии
наук США говорится о том, что в настоящее
время производители программного
обеспечения не имеют достаточно стимулов
для создания безопасного программного
обеспечения. Академия наук рекомендует
Правительству США рассмотреть такие
поправки, чтобы компании-производители
программного обеспечения были
ответственны за случаи, когда их продукты
приводят к угрозе для общества и бизнеса.
Если указанный доклад попадет для
обсуждения в Конгресс, разработка любого
законопроекта на его основе займет
достаточно долгое время. В случае если
такой закон будет принят, Microsoft как главный
монополист на рынке программного
обеспечения и компания, приносящая США
огромные доходы, станет главным субъектом
ответственности.
Возникают вопросы:
почему договорная ответственность
оказывается неэффективным средством
защиты прав потребителей программных
продуктов, почему законы, разработанные для
материального товара, не распространяются
на новое поколение товаров, которыми
являются программы для ЭВМ?
На наш
взгляд, фирмам - производителям
программного обеспечения удается избегать
судебных преследований, связанных с
ответственностью как за качество
программного обеспечения, так и за вред,
причиняемый созданием и распространением
программного обеспечения, потому, что при
имеющихся современных технологиях вина
создателя и распространителя программных
продуктов, наличие которой является
обязательным условием для наступления
договорной ответственности, практически
недоказуема.
Уязвимости объективно
присущи современным программным продуктам
и, как правило, не являются следствием
виновных действий их создателей.
Объяснение этому - современные технологии
создания программ для ЭВМ.
Согласно ст. 1
Закона РФ "О правовой охране программ для
электронных вычислительных машин и баз
данных" "программа для ЭВМ - это объективная
форма представления совокупности данных и
команд, предназначенных для
функционирования электронных
вычислительных машин (ЭВМ) и других
компьютерных устройств с целью получения
определенного результата. Под программой
для ЭВМ подразумеваются также
подготовительные материалы, полученные в
ходе ее разработки, и порождаемые ею
аудиовизуальные отображения".
Инженеры-программисты пишут программы для
ЭВМ на таких специальных языках, как Java, C, C++
и т.д., которые могут быть прочитаны
человеком. Специальные программы,
называемые компиляторами, преобразовывают
их в последовательность единиц и нулей -
код, понятный ЭВМ. Что важно,
программы-компиляторы не в состоянии
"собрать код" с явными проблемами. Вместо
этого они сообщают об ошибке. До 1970-х гг.
программы-компиляторы устанавливались на
так называемых больших ЭВМ - мейнфреймах,
возможность доступа к которым
расписывалась на недели вперед, что
заставляло программистов тщательно
перепроверять свою работу. Написание
программ было тогда сродни составлению
научной документации - строгость,
документальная выверенность и экспертный
контроль считались обычной практикой. Но по
мере того, как компьютеры получали более
широкое распространение, изменилось
отношение к качеству написания программ.
Теперь вместо тщательно выверенного кода
программисты "снимают" результаты с
компьютера. Они исправляют ошибки до тех
пор, пока программа не компилируется как
следует. "Сегодня вы можете написать любой
небрежный кусок кода, а компилятор выполнит
диагностику" <*>, - говорит Питер Г.
Ньюманн, ученый-компьютерщик из SPI International,
частного исследовательского центра
Менло-Парк (Силиконовая долина, Калифорния),
много лет занимающийся изучением вопросов
безопасности программного обеспечения и
компьютерных систем в целом для
общества.
--------------------------------
<*> Mann
Charles C. Why software is so bad // Technology Review. 2002.
Jul./Aug.
Однако подход к программированию по
типу "кодируй-исправляй" сыграл свою
роковую роль с ростом размера и сложности
программ для ЭВМ. Так, согласно многолетним
исследованиям, проведенным в Университете
Карнеги Меллон, в среднем современный
профессиональный программист делает от 100
до 150 ошибок на тысячу строк кода. В
операционной системе Windows NT 4, например, 16
млн. строк кода. Следовательно, в ней должно
быть порядка 2 млн. ошибок. Большая часть из
них будут незначительными, но некоторые -
несколько тысяч - могут иметь серьезные
последствия. Естественно, что компания
Microsoft - создатель Windows NT 4 - серьезно
тестировала ее перед выпуском, но в
процессе любой стадии тестирования можно
обнаружить не более половины дефектов. Если
бы даже Microsoft провела четыре раунда
тестирования - дорогостоящей процедуры,
требующей значительного времени, то
обнаружила бы максимум 15 из 16 ошибок.
Остается приблизительно 5 ошибок на тысячу
строк кода, и, следовательно, в операционной
системе Windows NT 4 сохранится около 80 тыс.
ошибок. Именно такую "эффективность" имеет
устаревший метод "кодируй-исправляй" при
создании современных программных
продуктов.
Кроме того, при современном
технологическом уровне создания программ
для ЭВМ невозможно обновить или
усовершенствовать программу и быть
уверенным, что это не приведет к серьезным
повреждениям всей операционной системы.
Так, например, в конце 1980-х гг. советский
зонд "Фобос 1" был потерян из-за обновления
программного обеспечения, содержащего
ошибки. Ущерб составил 300 млн. рублей.
Как отмечено в Отчете "Экономические
последствия неадекватной инфраструктуры
тестирования программного обеспечения"
Национального института стандартов и
технологии при Министерстве торговли США,
информационные проблемы еще более
усложняются тем фактом, что даже при
проведении тщательного тестирования
разработчики не знают наверняка, как будут
функционировать их продукты, пока они не
сталкиваются с реальными