当前位置: 首页 > 审判研究 > 调研园地
信息网络视野下计算机信息安全刑事保护的精确性与科学性
作者:上海法院  发布时间:2016-10-08 16:04:06 打印 字号: | |

近年来,我国信息网络环境下的犯罪行为频发,给信息网络空间秩序和信息网络安全造成了严重影响。由此,破坏计算机信息系统罪受到了司法机关的青睐,在惩治危害计算机信息安全犯罪方面得到了较为广泛的适用。但是,由于信息网络这一公共空间的新型化、复杂性、易变性,对于危害计算机信息安全的犯罪行为予以刑法规制存在一定程度的“进退”难题。从搜集到的判例来看,这类犯罪的司法实践存在较多问题,有必要予以专门梳理,从而使得破坏计算机信息系统罪回归本来含义,实现刑事司法调整的精确性。

一、现状概览:破坏计算机信息系统犯罪司法实践之宏观样态

本文通过北大法律信息网中“北大法宝”司法案例,将时间设定为2014年之前,以全文包含“计算机信息系统”为条件,检索得出刑事裁判文书共103篇,其中,与破坏计算机信息系统罪有关的共43件。经分析,这类案件总体上呈现如下三个特点。

(一)案件逐年增多,上升趋势较为明显

43个案件,发生于2005年以前总共8件,2005年至2010年之间有15件,2011年以来共有20件,特别是2012年、2013年分别达到6件、11件。总体而言,与破坏计算机信息系统罪相关的案件,呈逐年增多趋势。

(二)行为方式相对类型化

从收集到的判例情况来看,涉破坏计算机信息系统罪主要集中于六种行为方式:一是以干扰、破坏计算机信息系统作为威胁向他人索取财物,这类行为共有4件;二是非法进入公安机关计算机信息网络以帮助他人消除、变更交通违章信息,或者帮他人增加户口信息而获利,这类行为有6件;三是对计算机信息系统中的数据予以修改、变更,直接造成他人财物受损,这类行为有10件;四是开发、制作网络游戏外挂程序帮人代练升级牟利,这类行为有7件;五是典型的破坏计算机信息系统行为,比如删除他人计算机系统盘、硬盘所有数据、应用程序,通过拒绝服务攻击方式(DDOS)对网站进行攻击,制作、传播计算机病毒,植入木马程序,致使他人计算机、网站运行陷入瘫痪,等等,这类行为有11件;六是其他行为,即非典型的破坏计算机信息系统行为,这类情况共有5件。

(三)定性争议较大

对实践中的破坏计算机信息系统犯罪加以梳理,发现对该类犯罪的定性争议较大。在相关的43个判决中,公诉机关指控罪名与法院最终认定罪名完全一致的有24个,而公安机关、检察机关、辩护人意见和法院最终认定罪名之间不一致的有19个,占44.19%。涉及到不同罪名争议共22次。其中,与非法经营罪争议4次,与侵犯著作权罪争议3次,与盗窃罪争议7次,与非法控制计算机信息系统罪,变造、故意传播虚假恐怖信息罪,伪造国家机关证件罪,敲诈勒索罪,诈骗罪,故意毁坏财物罪,操纵证券市场罪争议各1次。

二、深度剖析:破坏计算机信息系统犯罪司法实践之微观反思

如果对43个案例进一步分析,会发现破坏计算机信息系统罪在司法实践中存在较多问题,一定程度上偏离了破坏计算机信息系统罪的文本含义和规范构造。

(一)数罪并罚问题认定不一

实践中,多数案例系被告人通过实施破坏计算机信息系统行为而实现其他目的,由此极有可能出现一个行为同时侵犯数个法益触犯不同罪名之情形。在此情况下,关于破坏计算机信息系统罪是否与其他犯罪数罪并罚,司法实践持有不同的立场。43个案例中,有4件系以干扰、破坏计算机信息系统作为威胁索取财物,但在认定上出现了差异。其中,有2件均认定为破坏计算机信息系统罪一罪;[1]1件认定同时构成破坏计算机信息系统罪和敲诈勒索罪,予以数罪并罚;[2]还有1件在肯定同时构成破坏计算机信息系统罪和敲诈勒索罪两罪的基础上,依据“择一重罪”原则认定为破坏计算机信息系统罪。[3]可见,对在破坏计算机信息系统的同时索要他人财物的行为如何定性,司法层面并未统一。

(二)类似行为评价差异较大

43个案例中,行为方式为研发、制作游戏软件外挂程序出售或通过制作的外挂程序从事有偿代练升级的共有7件,其中有3件法院在认定时将研发、制作游戏软件外挂程序出售的行为解释为未经著作权人许可,复制发行计算机软件之行为,进而将该种行为认定为侵犯著作权罪;[4]2件法院在认定时将研发、制作游戏软件外挂程序出售、有偿代练的行为解读为违反国家规定,未经国家主管部门批准,也未获得游戏软件公司许可和授权的出版非法互联网出版物的行为,从而认定构成非法经营罪;[5]还有2件,则被认定为对计算机信息系统中传输的数据进行修改的操作,干扰网络游戏服务端计算机信息系统功能,危害计算机信息系统安全的行为,进而认定构成破坏计算机信息系统罪。[6]可见,针对研发、制作游戏软件外挂程序出售或通过制作的外挂程序从事有偿代练升级这一行为,司法实践中就出现了三种不同的定性。

(三)“后果严重”认定模糊

根据《刑法》第二百八十六条,破坏计算机信息系统罪的成立,需满足“后果严重”条件。但实践中有些案例在“后果严重”之判定上比较模糊。比如被告人没有对计算机信息系统的功能、数据和应用程序进行破坏,其入侵行为没有使计算机信息系统无法正常运行,没有产生严重后果,但最终法院认定为其行为“后果严重”。[7]又如,非法获取人事考试网管理员权限,进而获取他人用户名及密码,被认定为“后果严重”。[8]还有,被告人登陆信息技术等级考试网站删除了可恢复、可重新上传的考试成绩,亦被认为属于“后果严重”的范畴。[9]显然,将上述没有造成经济损失,也没有导致计算机信息系统无法正常运行的情形认定为“后果严重”,一定程度上偏离了破坏计算机信息系统罪实害犯的本质属性,也反映出破坏计算机信息系统罪“后果严重”认定上的随意性。

(四)适用范围过度扩张

从司法判例中还可以看出,能够被认定为破坏计算机信息系统罪的范围不断扩大,呈现一定的“口袋化”倾向。比如,上文提及的对于研发、制作游戏软件外挂程序出售或通过制作的外挂程序从事有偿代练升级的行为,司法实践存在将之纳入破坏计算机信息系统罪的倾向。43个案例中,这类犯罪行为共有7件,其中公安机关刑事拘留或检察机关指控罪名为破坏计算机信息系统罪的有6件,最终被法院认定为破坏计算机信息系统罪的仍有2件。又比如,上文提及的并无明显严重后果的删除、修改、增加计算机信息系统中存储、处理或者传输的数据的行为,也被认定为本罪。除此之外,司法实践还将以下两种行为纳入了破坏计算机信息系统罪的范围,从而使得本罪日益“膨胀”。

一是将盗用用户名和密码进入公安机关网络系统,以帮助他人消除、变更交通违章信息,或者帮他人增加户口信息而获利的行为纳入破坏计算机信息系统罪。43个司法案例中,该类行为一共有6件,均被认定为破坏计算机信息系统罪。应当看到,公安系统内部网站消除、变更交通违章信息,或者帮他人增加户口信息,由于并未涉及到对计算机信息系统中存储、处理或者传输的数据和应用程序进行不可逆的操作,其消除、增加或变更痕迹均可通过计算机系统操作日志中被核查出来,且公安机关在案发后可以通过相关途径把被删除的数据恢复到交通管理综合应用平台进而恢复对相关违章车辆进行处罚,故行为人对违章数据的处理行为并不必然造成相关经济损失。这种情况下,将这些行为一概纳入破坏计算机信息系统罪,就显得较为冲动。

二是将破坏非计算机信息系统的行为认定为破坏计算机信息系统罪。比如在倪山林破坏计算机信息系统案中,司法机关将“惠普”牌HPE5100A网络分析仪认定为计算机信息系统,从而将设置致使屏幕黑屏的程序导致网络分析仪黑屏的行为认定为破坏计算机信息系统罪。[10]根据《计算机信息系统安全保护条例》第二条关于计算机信息系统的界定,计算机信息系统必须由计算机和其他相关、配套的设备、设施构成,其前提是必须存在计算机。网络分析仪并不存在计算机,故无法拟制为计算机信息系统。

从上述情况来看,某一行为被纳入破坏计算机信息系统罪的解释路径主要有两条:一是降低“后果严重”的标准,将无明显后果、仅有潜在后果、后果无法量化或者后果与计算机信息系统安全关联性不高等情形界定为破坏计算机信息系统罪中的“后果严重”。二是对计算机信息系统功能和计算机信息系统中存储、处理或者传输的数据予以扩大解释,将计算机信息系统中的任何数据等同于该罪中的计算机信息系统或作为该罪犯罪对象的数据,并进而将对计算机信息系统数据所作的任何修改、删除、新增等行为都解释为破坏计算机信息系统罪中的“破坏行为”。正如有学者指出的,“将‘计算机信息系统功能’扩张解释为‘计算机信息系统数据’,进而,所有对于计算机信息系统数据的删除、增加、修改、干扰行为,无论是否危及计算机信息系统功能的正常运行和安全状态,都会被司法机关视为符合‘破坏计算机信息系统罪’的罪状描述, 这一罪名因而被‘口袋化’”。[11]通过上述两条路径,破坏计算机信息系统罪在司法实践中获得了极强的解释力和适用力,成为网络信息时代新生的“口袋罪”。[12]

三、要件解析:破坏计算机信息系统罪的文本还原与规范构造

破坏计算机信息系统罪的司法乱象,亟需在学理上拨乱反正,进而合理限定该罪处罚范围,提高刑法调整的精确性。本文认为,这主要包括以下几个方面。

(一)“后果严重”的规范解释

根据《刑法》第二百八十六条,破坏计算机信息系统罪的行为方式有三种(对应三款条文),分别为对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重;对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重;故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重。可见,“后果严重”是三种行为方式入罪的必要条件。由于第一种行为和第三种行为“后果严重”之前分别有“造成计算机信息系统不能正常运行”和“影响计算机系统正常运行”之表述,可以得出该两种行为方式中的“后果严重”之含义必须包含对计算机信息系统本身的影响。但是,这一解释对于“后果严重”之前并无“造成计算机信息系统不能正常运行”或“影响计算机系统正常运行”之限制的第二种行为方式,是否同样适用,便成疑问。对此,学界存在较大争议。[13]

本文认为,无论是将本罪客体解释为计算机信息系统安全,还是国家对计算机信息系统的安全运行管理制度和计算机信息系统的所有人与合法用户的合法权益,其首要的、主要的犯罪客体为计算机信息系统安全,因此,对于破坏计算机信息系统犯罪行为边界的划定,首先应当在犯罪客体的指引下完成。考虑到该罪名在司法判例中的扩张,本罪与其他财产性犯罪的交织性,计算机信息系统中存储、处理或者传输的数据和应用程序的多样性,删除、修改、增加的操作所引起的后果各异以及《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(201181,以下简称《解释》)在“后果严重”解释上所持的宽泛化的立场,[14]总体上应遵循对破坏计算机信息系统罪中“后果严重”从严把握的思路。具体而言,有必要对《解释》第四条特别是《刑法》第二百八十六条第二款中的“后果严重”情形进一步限定:一是后果必须与计算机信息系统具有关联性。尽管不需要“造成计算机信息系统不能正常运行”(《刑法》第二百八十六条第一款所需标准),但是至少要影响到计算机信息系统安全。二是违法所得必须是基于删除、增加、修改等行为本身所产生的违法所得,而并非通过删除、增加、修改等行为将他人的财物转为自己所有。三是造成的经济损失仅指该类行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。经济损失与破坏计算机信息系统行为具有直接因果关系。实施犯罪时尚未实际产生,将来有可能产生的利益损失,以及可通过数据恢复并采取必要措施避免的损失,不能认定为该类犯罪所造成的经济损失。

(二)计算机信息系统数据的合理解释

根据《解释》第十一条,“计算机信息系统”和“计算机系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。其是一个整体性概念,并非等于计算机信息系统数据。对于计算机信息系统数据的性质,有人认为,《刑法》第二百八十六条第二款中的对象为“计算机信息系统中存储、处理或者传输的数据和应用程序”,具体而言,主要是对数据和应用程序(不包括系统文件和系统程序)进行非法操作,使相应的数据或程序丢失、更改、损坏。[15]本文认为,将《刑法》第二百八十六条第二款计算机信息系统中存储、处理或者传输的数据和应用程序界定为非系统文件和系统程序,并不妥当。对于第二款中计算机信息系统数据和应用程序的解释,还是应当回归本罪犯罪客体,即计算机信息系统安全。“计算机信息系统是一个动态的数据系统,无论多么简单的操作行为,例如,打开一个文件夹,都会在后台增加一条操作记录,增加了该计算机信息系统的数据。”[16]因此,任何在计算机上的操作,都会对计算机信息系统数据产生影响。同样的,计算机信息系统中存储、处理或者传输的数据和应用程序也多种多样,关键是要区分该种影响的性质。对于第二款中计算机信息系统数据和应用程序,不能从形式上以系统文件、系统程序和非系统文件、非系统程序加以区分,而应从更为实质的角度,从该文件、程序对计算机信息系统安全的影响程度加以甄别,无论是系统文件、系统程序还是非系统文件、非系统程序,只要是对计算机信息系统安全有影响的,都可以认为是《刑法》第二百八十六条第二款中的数据和应用程序。在此,本文认为应区分核心数据、应用程序和非核心数据、应用程序,前者系直接关系到计算机信息系统能否正常运行、计算机信息系统安全的数据和应用程序,包括但不限于系统文件和系统程序;后者系计算机信息系统中无关计算机信息系统正常运行和计算机信息系统安全的数据和应用程序,比如文档、照片、自行安装的各类软件等。破坏计算机信息系统罪中涉及到的数据和应用程序,必须是核心数据和核心应用程序,唯此,才能为破坏计算机信息系统罪划定合理边界,实现刑事处罚的准确性。

(三)利用计算机实施犯罪行为的认定

本文收集的43个判例中,行为人对他人计算机信息系统中的数据予以修改、变更,直接造成他人财物受损或者牟利的行为共有10件。

可以肯定的是,无论是盗取账号和密码修改电信公司数据为他人宽带开通和提速,还是恶意订票,抑或是盗取他人账号密码通过技术手段用已过期的积分兑换礼品、破解客户资金账号及股票交易密码后买卖股票、植入木马程序远程控制服务器删除收银数据窃取网吧钱款、侵入他人网络服务器窃取游戏币、修改计算机系统中股票数据库引起股票价格异常上涨时抛售股票获利、对客户信息、用电计费等数据进行修改,减少电费计算等行为,其共同点在于均通过网络完成,其行为必然会对计算机信息系统中存储、处理或者传输的数据进行一定的删除、修改或增加,影响计算机信息系统存储数据的正常管理秩序,从行为人获利或者其行为给被害方造成的损失来看,也符合破坏计算机信息系统罪中“后果严重”之条件,总体而言,上述10个案件中的行为方式在形式上符合破坏计算机信息系统罪,但是最终被法院认定为破坏计算机信息系统罪的仅有2件,其余8件均被认定为其他罪名。

我国《刑法》就利用计算机实施犯罪作了提示性规定。根据《刑法》第二百八十七条,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。应当看到,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪,往往也需要对计算机信息系统中存储的数据和应用程序进行删除、增加和修改,这种情况下,是否意味着只要是利用计算机实施的其他犯罪,就一概排除破坏计算机信息系统罪的适用空间?对此,有人认为,“凡是以计算机为工具所实施的犯罪,均应当以行为人所实施的危害行为所符合的具体犯罪来定罪量刑,构成什么罪,就以什么犯罪来追究刑事责任。”[17]有人则指出,“行为人金融诈骗罪、贪污罪、盗窃罪、挪用公款罪与破坏计算机信息系统罪之间形成了目的行为与手段行为的牵连关系。对此也应按牵连犯处理原则处理。”[18]本文认为,《刑法》第二百八十七条是一个注意性规定,其表明行为人利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,一般按照相应的罪名(破坏计算机信息系统罪以外的罪名)处理,但是其并未完全排除破坏计算机信息系统罪的适用空间。这里最关键的还是要看行为人利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密犯罪过程中,对计算机信息系统中存储、处理或者传输的数据和应用程序予以删除、修改、增加的操作,是否直接导致了严重后果。可以肯定的是,通过计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的行为,必然会或多或少地对计算机信息系统中存储、处理或者传输的数据和应用程序予以相应操作,但是,不可能将任何对计算机信息系统中的数据施加影响的行为都定性为破坏计算机信息系统罪中的删除、修改、增加行为。如果行为人利用计算机实施金融诈骗、盗窃、贪污、挪用公款犯罪过程中对计算机信息系统中存储的数据和应用程序进行删除、增加和修改,并且这些操作已经现实地对计算机信息系统造成了严重后果,符合破坏计算机信息系统罪的构成要件,由于二者之间存在手段和目的的关系,那么就应当按照牵连犯来处理,择一重罪处罚。但是,对于干扰、破坏计算机信息系统后临时起意向他人索取财物的行为,或者行为人将计算机作为犯罪工具,在实施相应犯罪之后以破坏计算机信息系统的方法来消灭罪证,因存在两个相对独立的行为和主观故意,均宜按照数罪并罚来处理。

四、结语

破坏计算机信息系统罪并非计算机信息安全刑事保护的“万能钥匙”,《刑法》在计算机信息安全领域的调整维度,应当在遵循个罪文本含义和规范构造的前提下展开。司法实践中不宜轻易扩张和突破,特别是在其行为本身符合其他犯罪构成要件的前提下,出于追求定性“保险”而用破坏计算机信息系统罪囊括这些行为,尽管带来了某种司法“便利性”,但无疑难以具有正当性。但颇为遗憾的是,截至目前,我国已有的相关文献侧重于对破坏计算机信息系统罪的学理分析,无论刑法理论界还是司法实务界均未对破坏计算机信息系统罪之司法实践状况予以充分关注,未对其“口袋化”倾向予以充分评估,更未在实践案例的基础上形成专门性的研究成果,在很大程度上遮蔽了破坏计算机信息系统罪的实践乱象,影响了本罪研究的深入。只有从对已有实践案例的反思出发,以司法判例为基点发现问题、分析问题,才可以真正还原破坏计算机信息系统罪的文本含义与规范构造,从而为将来的司法实践提供可操作性的指引。

 

 

[1] 江苏省苏州市虎丘区人民法院 (2009)虎刑初字第363号刑事判决书、湖南省长沙市中级人民法院(2012)长中刑一终字第329号刑事判决书。

[2] 上海市青浦区人民法院(2010)青刑初字第117号刑事判决书。

[3] 广州市越秀区人民法院(2007)越法刑初字第402号刑事判决书、广州市中级人民法院(2007)穗中法刑一终字第310号刑事判决书。

[4] 上海市徐汇区人民法院(2011)徐刑初字第256号刑事判决书、上海市静安区人民法院(2012)静刑初字第478号刑事判决书、上海市浦东新区人民法院(2010)浦刑初字第3240号刑事判决书和上海市第一中级人民法院(2011)沪一中刑终字第411号刑事裁定书。

[5]《江苏省南京市江宁区人民检察院诉董杰、陈珠非法经营案》,载《最高人民法院公报》2012年第2期;上海市浦东新区人民法院(2008)浦刑初字第384号刑事判决书。

[6] 上海市徐汇区人民法院(2013)徐刑初字第281号刑事判决书、上海市徐汇区人民法院(2013)徐刑初字第641号刑事判决书。

[7] 广东省广州市中级人民法院(1999)穗中法刑经初字第11号刑事判决书。

[8] 南京市鼓楼区人民法院(2013)鼓刑初字第26号刑事判决书。

[9] 江苏省苏州市沧浪区人民法院(2002)沧刑初字第254号刑事判决书。

[10] 江苏省无锡市滨湖区人民法院(2001)锡滨刑初字第395号刑事判决书、江苏省无锡市中级人民法院(2001)锡刑终字第213号刑事裁定书。

[11] 于志刚:《口袋罪的时代变迁、当前乱象与消减思路》,载《法学家》2013年第3期。

[12] 43个案件裁判文书中,可以直接看出公安机关刑事拘留罪名的有21个,未明确刑事拘留罪名的有22个。公安机关刑事拘留的21个罪名中,18个为破坏计算机信息系统罪,而最终被检察机关或法院改变罪名的有11个。这说明,在公安机关阶段,破坏计算机信息系统罪的“口袋化”倾向更为明显。

[13] 陈兴良:《规范刑法学(下册)》(第二版),中国人民大学出版社2008年版,第814页;曲新久:《刑法学》(第三版),中国政法大学出版社2012年版,第490页;郭立新、黄明儒主编:《刑法分则典型疑难问题适用与指导》,中国法制出版社2012年版,第411页;周道鸾、张军主编:《刑法罪名精释(下)》(第四版),人民法院出版社2013年版,第713页;邢永杰:《破坏计算机信息系统罪疑难问题探析》,载《社会科学家》2010年第7期。

[14] 《解释》第四条将“违法所得五千元以上或者造成经济损失一万元以上的”认定为破坏计算机信息系统罪“后果严重”的标准之一,尽管强调了“后果严重”的可量化,但也进一步弱化了“后果”与计算机信息系统安全的关联性,使得仅仅通过计算机非法获利或者造成他人经济损失而未影响计算机信息系统安全的行为极易被纳入破坏计算机信息系统罪之范围。

[15] 吕梅青、朱宏伟:《童莉、蔡少英破坏计算机信息系统案》,载最高人民法院刑事审判第一、第二、第三、第四、第五庭主编:《刑事审判参考》(总第86集),法律出版社2013年版,第74页。

[16] 于志刚:《口袋罪的时代变迁、当前乱象与消减思路》,载《法学家》2013年第3期。

[17] 赵秉志主编:《中国刑法实用》,河南人民出版社2001年版,第1045页。

[18] 柳王君、王贵东:《关于破坏计算机信息系统罪的几个问题》,载《河北法学》2002年第1期。

来源:上海法院网
责任编辑:上海法院