Мы часто говорим о важности неизменности данных при любых действиях с ними со стороны правоохранительных органов. Неизменность важна на протяжении всей цепочки — от первичного осмотра, изъятия и хранения цифровых доказательств до извлечения и анализа включительно. Но помимо этого, не менее важны повторяемость и проверяемость — чтобы другой специалист, используя те же инструменты или точно задокументированные условия, мог воспроизвести процесс и прийти к тем же результатам. В цифровой криминалистике эти качества формируют основу доверия к доказательной базе.

Цифровая криминалистика требует строгого соблюдения процедурной чистоты, начиная с момента изъятия цифровых данных. Считается, что для признания цифрового доказательства допустимым в суде необходимо соблюдение принципов криминалистической чистоты — неизменности, повторяемости и проверяемости. Предполагается, что эксперт проводит исследования объективно, строго в рамках своей специальности, основываясь на научной и практической базе. Его заключение должно опираться на положения, которые позволяют проверить обоснованность и достоверность сделанных выводов.

Возникает несколько важных вопросов:

• какими положениями законодательства РФ это регулируется?
• насколько буквально соблюдаются эти положения в реальности?
• известны ли случаи, когда суды отказывались принимать цифровые доказательства из-за нарушения принципа криминалистической чистоты?
• на что на самом деле обращают внимание в суде при оценке цифровых доказательств?

Попробуем найти ответы.

Законодательные основы работы с цифровыми доказательствами

Процедурные вопросы, связанные с осмотром, изъятием, хранением и обработкой цифровых носителей и данных, сегодня регулируются не только комплексом процессуальных норм, но и специальной статьёй УПК РФ. Но для понимания контекста полезно сделать небольшой исторический шаг назад.

Во времена СССР в Уголовно-процессуальном кодексе РСФСР существовала норма, прямо поднимавшая вопрос о сохранности объектов экспертизы. Это была часть 5 статьи 82 УПК РСФСР, где говорилось:

«5. На эксперте лежит обязанность обеспечить сохранность объектов экспертизы и их неизменность, поскольку это совместимо с заданиями. Если предполагается использование методов, которые могут привести к полному или частичному уничтожению либо существенному изменению свойств объекта, эксперт должен получить согласие органа, осуществляющего производство по делу.»

Это положение постулировало соблюдение принципа неизменности и сохраняло баланс между задачами экспертизы и защитой доказательственного материала.

В современном варианте на смену этой статьи пришла статья 164.1 УПК РФ «Особенности изъятия электронных носителей информации и копирования с них информации при производстве следственных действий». Эта статья устанавливает, что изъятие электронных носителей допускается только при соблюдении чётко определённых условий — например, при наличии постановления о назначении экспертизы, судебного решения или риска утраты данных. Также в статье прописан порядок копирования информации с участием специалиста, необходимость указания технических средств, порядка их применения, а также передача копий владельцу. Всё это напрямую связано с обеспечением неизменности данных, прозрачности действий и проверяемости полученных материалов.

Помимо этого, общие вопросы осмотра и фиксации следственных действий регулируются статьями 177 (порядок производства осмотра), 180 и 166 (протокол осмотра и освидетельствования, общие требования к протоколу следственного действия соответственно) УПК РФ, которые предписывают документировать всё, что может повлиять на достоверность цифровых улик: от условий и этапов осмотра до перечня применённых технических средств.

Работа судебного эксперта регламентируется Федеральным законом от 31 мая 2001 г. № 73-ФЗ, в частности, статьёй 8, которая закрепляет, что эксперт обязан проводить исследования объективно, всесторонне и в полном объёме, строго в пределах своей специальности и на научной основе. Дополняют правовую рамку статья 75 УПК РФ — о допустимости доказательств и статья 307 УК РФ — об уголовной ответственности за заведомо ложное заключение эксперта. Наконец, статья 57 УПК прямо запрещает эксперту проводить любые действия, которые могут повредить или уничтожить объект исследования без разрешения дознавателя, следователя или суда — практически полный эквивалент соответствующего положения из советского УПК.

Таким образом, в российском уголовно-процессуальном праве уже сформирована достаточно ясная нормативная база, охватывающая ключевые этапы работы с цифровыми носителями — от изъятия и копирования до анализа и подготовки экспертного заключения. При этом полезно помнить, что сам принцип сохранности доказательств поднимался ещё в советское время, задолго до появления цифровых технологий в сегодняшнем виде.

А что на самом деле?

В теории всё предельно чётко: эксперт обязан действовать объективно, использовать проверенные методики, документировать каждый шаг, обеспечивать сохранность объектов и не выходить за пределы своей компетенции. На практике же соблюдение этих требований — вещь не столь однозначная, и специалисты это прекрасно понимают.

Во-первых, принципы криминалистической чистоты — неизменность, повторяемость, проверяемость — напрямую нигде в законе не прописаны, особенно применительно к цифровым данным, которые в законе прямо не упоминаются. Федеральный закон № 73-ФЗ говорит об объективности и научной основе исследований, но, скажем, обязательное хеширование или обязательное использование блокираторов записи при снятии образов с цифровых носителей остаются вне правового поля. Поэтому подходы могут сильно различаться: кто-то работает строго по протоколу, а кто-то полагается на «понятный» практический опыт.

Во-вторых, формализованные методики в цифровой криминалистике — большая редкость. Да, у ведомств есть внутренние регламенты, но часто они недоступны внешним специалистам, а в ряде случаев — просто не применяются. Как отметил один из наших собеседников, «все всё знают и понимают, стараются делать, но это особо не регулируется».

На что же обращают внимание в суде? Как правило — на фигуру эксперта. Его квалификация, стаж, дипломы, публикации — это реально важнее, чем то, насколько чисто на самом деле была проведена процедура или какие инструменты применялись. Методика может остаться за кадром, если суд уверен в компетентности специалиста. Это не хорошо и не плохо — просто так устроена практика.

Кроме того, случаев, когда суд отказывался принимать цифровые доказательства именно из-за нарушений процедурной чистоты, не смог припомнить ни один из наших собеседников. Но при желании — особенно если защита решит разобраться — можно задать вполне обоснованные вопросы: как именно велся осмотр, какие использовались инструменты, были ли они сертифицированы (или особо неудобный вопрос — лицензированы); где лог-файлы, как подтверждена повторяемость? И вот здесь часто всплывают неувязки.

По сути, допустимость цифровых улик в современной российской практике держится не столько на процедуре, сколько на доверии. А доверие — это уже не столько вопрос технологии, сколько чисто формальной квалификации эксперта. Подробнее о состоянии дел в области квалификации экспертов мы писали в предыдущей статье в разделе «Квалификация: недостаток, текучка и самоучки».

Мамой клянусь, всё в порядке! Или всё-таки нет?

В какой-то момент в каждой цифровой экспертизе наступает момент истины. Где-то на заседании эксперт поклянётся (кстати, в американском правосудии — вполне формальная процедура), что всё сделал честно: не менял файлы, не трогал систему руками, использовал только «всё как надо». И тут возникает вполне справедливый вопрос: а этого достаточно?

Может, и достаточно — если вы живёте в мире, где слова важнее логов, хеши проверяются интуитивно, а против вас, разумеется, никогда не будет открыто уголовное дело («меня-то за что?»). Если же это не так, то примем как данность: в цифровой криминалистике одного «честного слова» недостаточно. Цифровые данные — вещь эфемерная. Да, законом предусмотрена ответственность за дачу заведомо ложного заключения — но цифровые данные легко повредить или изменить, даже не заметив — и, главное, очень сложно потом доказать, что этого никто не делал.

Именно поэтому в нормальной практике необходимы технические средства, которые беспристрастно фиксируют, как именно и в каком виде данные были получены, обработаны и переданы дальше. Не только хеш-суммы, не только блокировщики записи (хотя и они, конечно же, тоже), но и журналы действий, честно купленные сертифицированные инструменты, верифицируемая среда извлечения и анализа информации. Повторяемость возможна только при использовании идентичного программного и аппаратного инструментария. Даже, казалось бы, незначительные отличия могут повлиять на результат. Поэтому важно не просто «что сделали», но и «как сделали» и «чем сделали» — с возможностью верификации.

Конечно, бывают ситуации, когда приходится обходиться без них. Но каждый такой обход — это потенциальная уязвимость позиции обвинения или защиты; это слабость, за которую может зацепиться противная сторона. Не заметили, не зацепились? Повезло. Но в нашем деле лучше, чтобы работала система, а не везение. Стоит принять простое правило: всё делать максимально точно и прозрачно, фиксируя каждый шаг так, чтобы в суде можно было ответить на любой вопрос без колебаний, а встречная экспертиза, если будет назначена, всегда показала бы тот же результат.

Поэтому мы и делаем то, что делаем: разрабатываем решения — как программные, так и аппаратные, — которые не просто помогают «делать правильно», но и позволяют это доказать. И если кто-то спросит: «А вы уверены, что всё было чисто?» — вам будет что показать. Без клятв, зато с хешами, логами и отчётами.

Дополнительные материалы

Законодательные акты, статьи по теме и дополнительные материалы:

• УПК РФ, статья 164.1 «Особенности изъятия электронных носителей информации и копирования с них информации при производстве следственных действий».
• УПК РФ (статьи 166, 177, 180, 82).
• УПК РФ, статья 57, права и обязанности эксперта.
• Федеральный закон от 31 мая 2001 г. № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации», статья 8.
• ENISA — Electronic Evidence: A Basic Guide for First Responders, 2014.
• Bianca Esanu, Forensic Soundness: An Assessment of, and Improvements to, the Digital Forensics Acquisition Process of a Law Enforcement Agency, University of Waterloo, 2022.
• EuroMed Justice & Police — Digital Evidence Manual, 2018.
• Практический опыт и устные комментарии специалистов в области цифровой криминалистики.
• Историческая редакция УПК РСФСР, ч. 5 ст. 82 (в контексте обязанностей эксперта по сохранности объектов экспертизы).