您现在的位置: 审查调查 法律法规

危害计算机信息系统安全犯罪的司法认定

一、如何准确理解计算机信息系统

《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称“《2011年解释》”)第十一条第一款对“计算机信息系统”和“计算机系统”做了统一界定,规定:“计算机信息系统”和“计算机系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。

技术层面无法区分,故适用统一概念。《刑法》第二百八十五条、第二百八十六条立法区分这两者的原意是考虑侵入计算机信息系统、破坏计算机信息系统功能、数据或者应用程序的对象应当是数据库、网站等提供信息服务的系统,而传播计算机病毒如果只影响计算机操作系统(计算机系统)本身,即使不对系统上的信息服务造成影响也应当受到处罚。但随着计算机技术的发展,计算机操作系统与提供信息服务的系统已密不可分。如很多操作系统自身也提供WEB服务、FTP服务,而侵入操作系统也就能够实现对操作系统上提供信息服务的系统实施控制,破坏操作系统的数据或者功能也就能够破坏操作系统上提供信息服务的系统的数据或者功能,从技术角度无法准确划分出提供信息服务的系统和操作系统。

实质内涵无法区分,故适用统一界定。司法解释将“计算机信息系统”和“计算机系统”统一界定为“具备自动处理数据功能的系统”,是因为随着信息技术的发展,各类内置有可以编程、安装程序的操作系统的数字化设备广泛应用于各个领域,其本质与传统的计算机系统已没有任何差别。这些设备都可能受到攻击破坏:互联网上销售的专门用于控制手机的木马程序,可以通过无线网络获取手机中的信息;通过无线网络传播病毒的案件也呈现快速增长态势;在工业控制设备中可能植入破坏性程序,使得工业控制设备在特定条件下运行不正常;在打印机、传真机等设备中可以内置程序非法获取相关数据。总之,任何内置有操作系统的智能化设备都可能成为入侵、破坏和传播计算机病毒的对象,因此应当将这些设备的安全纳入刑法保护范畴。

《2011年解释》第十一条第一款采用了概括加列举的解释方法,即在对“计算机信息系统”“计算机系统”作归纳定义的同时,还列举“计算机”“网络设备”“通信设备”“自动化控制设备”等具体情形。其中,网络设备是指路由器、交换机等组成的用于连接网络的设备;通信设备包括手机、通信基站等用于提供通信服务的设备;自动化控制设备是指在工业中用于实施自动化控制的设备,如电力系统中的监测设备、制造业中的流水线控制设备、物联网GPS 信息服务系统、环境质量监测采样设备等。

二、危害计算机信息系统的行为实质

根据《中华人民共和国网络安全法》规定,网络安全是指“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。这一规定表明:网络安全法主要保护的是网络(含数据资源和计算资源)可用性和数据安全性。因此,危害计算机信息系统安全在客观上主要表现为利用计算机信息系统的安全漏洞,危害信息系统的数据和可用性。具体如:

非法侵入计算机信息系统罪一一通过技术或其他手段,故意对相关计算机信息系统进行未经授权/超越授权的访问,获得数据读取的权限。

非法获取计算机信息系统数据罪一一通过技术或其他手段,故意对相关计算机信息系统进行未经授权/超越授权的访问,并进行数据读取操作(包括但不限于下载、复制、摘抄、拍照、录像等)。

非法控制计算机信息系统罪一一通过技术或其他手段,故意对相关计算机信息系统进行未经授权/超越授权的访问,获得数据增加、删除、修改的权限,计算资源的使用权限,或者放置控制程序操作。

破坏计算机信息系统罪一一通过技术或其他手段,故意对相关计算机信息系统进行未经授权/超越授权的访问,并影响目标系统的可用性,执行数据增加删除修改操作,使原计算资源不可用。

根据被侵犯的计算机信息系统的不同,常见的危害行为类型包括:流量攻击(DDOS攻击和CC攻击)、应用漏洞攻击、流量劫持(DNS劫持和HTTP劫持)、钓鱼攻击(电子邮件、语音、短信钓鱼等)。涉及的具体类型及含义,推荐大家阅读2019年7月9日最高人民检察院第一检察厅整理汇编的《网络犯罪案件技术法律术语解释汇编(一)》。

三、法律适用分歧

在明确计算机信息系统的概念、范畴的前提下,我们又把相关罪名的行为实质做了界定。但即便这样,由于犯罪类型的多样性、新颖性,法律语言的概括性,法律适用分歧仍不可避免,主要表现为:

(一)非法控制与破坏难以区分

深究立法本意,相关规定之初衷应是认为“破坏”比“控制”的社会危害性更大,因为“破坏”意味着计算机信息系统无法正常运行。但能不能简单将删除、修改、增加、干扰计算机信息系统的行为均认定为破坏行为?与此同时,“干扰”作为极具开放性与包容性的语词,法条将其与“删除”“修改”“增加”三种行为并列,意在表明“干扰”与该三种行为方式性质相当但方式不同,也即行为人并没有直接对计算机信息系统的功能或数据实施相应的删除、修改、增加行为,而是采用其他方式扰乱计算机信息系统的正常运行。可以说,“计算机信息系统不能正常运行”对“干扰”的程度进行了限制,但对于这一限定语句的规范内涵并没有相关的司法解释予以明确。

(二)计算机信息系统不能正常运行认定困难

“不能正常运行”既包括完全不能运行也包括不能按照原来设计的方式运行,实践中通常表现为计算机信息系统运行的崩溃、中断、强制、迟缓等情形。如我们办理的某家纺公司网站被流量攻击案,流量攻击行为发生后,造成其网站服务功能长达2小时左右无法正常发挥,根据案内数据库数据分析表单、远程勘验笔录、电子邮件复制件以及电子数据司法鉴定检验报告书等证据可以确定该网站流量发生了锐减。再如被告人用棉纱堵塞环境空气采样器的采样孔或拆卸采样器的行为,造成采样器内部气流场的改变,导致监测数据失真,影响对环境空气质量的正确评估,属于通过非技术手段,对计算机信息系统功能进行干扰,也被认定为造成计算机信息系统不能正常运行的行为。

即便是上述案例已经做出了认定,但对于“不能正常运行”的标准如何认定,是否包含系统访问受限、响应速度变慢、部分功能无法正常使用、处理能力变慢等情形,仍存在争议。对一些涉及用户的数据的增加、修改、删除,如果不影响系统整体功能的正常使用,如何认定,仍无统一认识。

(三)经济损失的认定难题

《2011年解释》第十一条第三款规定:“经济损失,包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。”司法实践中,通过违法所得或者经济损失来认定危害计算机信息系统犯罪的情节严重或者后果严重的情形占比较高,但是经济损失的认定仍是司法实践的难点。原因在于经济损失数额难以准确评价,相应评估、鉴定的主体和程序均无法律规定;有观点认为可根据市场价认定经济损失,但市场价或者说指导价在一定程度上也是缺失的;与此同时,经济损失的范围难以确定,各经济主体之间无统一标准。如安防费、员工加班费是否应认定为经济损失?如果可以认定,由于上述费用都系被害公司自己提供,如何审核?

(四)危害计算机信息系统类罪中“后果严重”的认定难题

对于《2011年解释》中关于破坏计算机信息系统罪后果严重的情形之一,即“造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机系统不能正常运行累计一个小时以上”的规定,实践中也存在理解难题:此处的一万以上用户应如何理解?

我院办理的某家纺网站被攻击案,以注册用户数量提起公诉。但法院并未认可这一计算方式,判决认为该公司提供案发前多年关于网站用户数的新闻报道、申报材料,结合网站提供的会员数据,足以认定该网站注册会员数超过1万人。但因该网站注册会员数系鉴定机构根据被害公司提供的条件进行固定的,无法有效剔除重复注册的用户,故注册用户因证据不足不能认定。再如检例33号,办案中对于域名劫持用户数的认定也是一个争议较大的问题。检察机关起诉及法院判决时,是根据独立IP用户来计算用户数量,但在论证过程中,有专家提出,根据独立IP用户来计算用户数量,不太符合现实,也不太符合技术实际。经综合考虑,对独立用户数的认定,指导性案例采取了较为谨慎的概括性表述,指出:“认定遭受破坏的计算机信息系统服务用户数,可以根据计算机信息系统的功能和使用特点,结合网站注册用户、浏览用户等具体情况,作出客观判断。”

(五)危害计算机信息系统安全类犯罪与利用计算机实施的犯罪难以区分

《刑法》第二百八十七条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。”对于此条规定的理解尚存分歧。

《刑事审判参考》第110集第1202号指导案例“赵宏铃等盗窃案”中,就利用破坏计算机信息系统方式实施盗窃,同时构成破坏计算机信息系统罪情形的法律适用作出了说明,即应当将《刑法》第二百八十七条规定视为“例外规定”,“凡是利用计算机实施的相关犯罪,不论行为手段是否构成相关计算机犯罪,均应以相关犯罪处罚,不再认定牵连关系适用,从一重罪的刑法处罚原则”。

与此同时,在检例第35号“曾兴亮、王玉生破坏计算机信息系统案”中,对锁定他人智能手机导致不能使用,以解锁为条件索要钱财,同时符合数额较大或多次敲诈的情况,认定为“应当以牵连犯,从一重罪处断”。《刑事审判参考》第101集第1049号“杨丽涛诈骗案”中也指出,“如果其手段行为没有触犯计算机信息系统安全罪,应当依照刑法有关规定定罪处罚,否则,按照牵连犯的处罚原则,从一重罪处断。”

四、法律适用规则

纵观上述问题,我们经梳理指导性案例,结合其他的一些典型案例,针对破坏计算机信息系统类犯罪,提炼出以下法律适用规则:

(一)准确界定非法侵入

刑法第二百八十五条第一款规定的非法侵入计算机信息系统犯罪和第二款规定的非法获取计算机信息系统犯罪、非法控制计算机信息系统犯罪中,均有“违反国家规定,侵入计算机信息系统”的规定。我们认为,侵入是指“未经授权或者他人同意”进入计算机信息系统。其表现形式既包括采用技术手段破坏或者规避系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。检例第36 号指导性案例——卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案中也已明确“超出授权范围使用账号、密码登录计算机信息系统,属于侵入计算机信息系统的行为”。

(二)综合认定因果关系

基于危害计算机信息系统犯罪案件的特殊性,可以从以下方面考虑因果关系的认定:

一是对危害计算机信息系统犯罪因果关系相关要素的证明采用不同方式。属于基础的、入罪标准的犯罪事实,需要进行严格证明;而作为具体表现的因果流程,可以采用审慎的自由心证综合认定。具体而言,需要合理结合计算机信息系统受到攻击和不能正常运行的方式,借鉴和吸收盖然性理论,予以认定。

二是在认证过程中,危害计算机信息系统犯罪因果关系的证明,需要进行“整体主义”的思考,综合运用心证方法、经验法则、逻辑推理、印证规则及推定技术等予以认定。例如,我们在办理某家纺网站被攻击案件中,为证明网络攻击是被告人实施的,我们采取了如下证明方式:(1)借助专门技术对攻击源进行分析,通过锁定攻击IP,溯源攻击路径。(2)结合该IP地址落地,同时证实被告人在案发时间段使用该IP地址上网,进而明确被告人的网络身份与现实身份的同一性。(3)对电子数据进行提取,提取了各被告人在实施网络攻击时的微信群聊天记录,显示在攻击的时间段,该微信群内容反映被害单位网站因攻击而瘫痪,进而明确了攻击是被告人所为。一般认为,有证据证明被告人实施了攻击行为,攻击类型、特点与被告人实施的攻击一致,攻击时间和被攻击时间吻合的,即可认定网络攻击系被告人实施的。

(三)准确认定破坏行为

我们认为,应综合行为性质、侵犯法益准确认定罪名,破坏计算机信息系统罪侵犯的客体是计算机信息系统安全。破坏计算机信息系统罪需要造成计算机信息系统不能正常运行或影响计算机信息系统原有功能的正常运行。对未造成计算机信息系统不能正常运行的增删改行为不能适用破坏计算机信息系统罪。

结合检例第34号的裁判要旨,非法控制计算机信息系统罪和破坏计算机信息系统罪最核心的区别在于,非法控制计算机信息系统罪中行为人仅仅是对目标计算机信息系统放置控制程序或者获得对目标计算机信息系统中的数据进行增加、删除、修改的权限或者计算资源的使用权限,这些操作行为没有影响到目标计算机信息系统的正常运行,也没有对计算机信息系统的功能作出实质性改变;破坏计算机信息系统罪中,行为人针对目标计算机信息系统实施的操作行为已经造成计算机信息系统不能正常运行或者实质性地影响到了计算机信息系统的功能。一般认为,通过向目标计算机信息系统实施植入木马程序,实质性地获得了对该计算机信息系统的支配权;向目标计算机信息系统上传广告网页的行为也是获得对该计算机信息系统的支配权,达到“情节严重”的,构成非法控制计算机信息系统。

结合检例36号的裁判要旨,超出授权范围使用账号、密码登录计算机信息系统,属于侵入计算机信息系统的行为;侵入计算机信息系统后下载其储存的数据,可以认定为非法获取计算机信息系统数据。那么侵入后获取数据,同时还存在对计算机信息系统数据增加的行为,是否一律认定为破坏行为呢?

先看一则案例:2018年以来,被告人张某通过其私自窥探到的账号、密码,多次非法登录某资源交易平台,并在系统内新增管理员账号及相关单位子账号(影子账号),以此查看平台内部分招标项目的投标情况、报价单等,并有偿提供给有竞标意向的人,从中非法获利人民币34674.16元。该案公安机关以破坏计算机信息系统罪移送审查起诉,检察机关提起公诉和法院判决的罪名都是非法获取计算机信息系统数据罪。

我们认为,区分非法获取计算机信息系统数据罪和破坏计算机信息系统罪,主要考量的还是行为的危害结果,根据具体分析是否存在造成计算机信息系统不能正常运行,而分别适用相应的罪名。刑法第二百八十六条规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行或违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,构成破坏计算机信息系统罪。对比该条规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,并没有造成计算机信息系统不能正常运行的表述,但该规定的意义在于对数据和应用程序的增删改要造成原应用程序的破坏或原存储数据不能正常读取,否则谈何破坏。对于行为人对原有部分数据实施删除、增加、修改,但不致影响原功能的行使和原数据的读取,没有对计算机信息系统功能造成实质性影响,且主观上出于获取利用计算机信息系统数据,对该增删改行为宜认定为非法获取计算机信息系统数据罪。即对于侵入后有增删改行为的,视对计算机信息系统数据原有功能、数据的影响,决定案件的法律适用,以此作为检例34号和检例36号的补充。

值得注意的是,根据《2011年解释》的规定,“违法所得五千元以上或者造成经济损失一万元以上”均为破坏计算机信息系统犯罪和非法控制计算机信息系统犯罪的入罪条件。因而在个案中,不能仅仅以“违法所得”或“经济损失”作为判断行为人构成破坏计算机信息系统犯罪或非法控制计算机信息系统犯罪的依据,而应当根据行为人的主观故意和客观行为进行综合判断。

(四)刑法第二百八十七条的适用

行为人利用计算机实施犯罪,在其手段行为不构成危害计算机信息系统安全犯罪时,应当按照目的行为构成的定罪处罚;在其手段行为构成危害计算机信息系统安全犯罪时,在一般情况下应当按照从一重罪处断原则定罪量刑。

仍以检例35号锁机敲诈案件为例,行为人通过锁定苹果手机的方式,敲诈勒索被害人,此时,如果行为人破坏计算机信息系统的行为和敲诈勒索行为均构成犯罪,前者属于“后果特别严重”,而后者刚刚达到入罪标准。仅以目的行为构成的犯罪定罪处罚的话,被告人可能只被判处三年以下有期徒刑、拘役或者管制。如此一来,就会出现当被告人的手段行为和目的行为均构成犯罪时,其受到的刑罚处罚反而不及仅有手段行为构成犯罪的情形,这显然有违朴素的刑罚公正观念。因此,当行为人利用计算机实施的犯罪同时构成危害计算机信息系统安全犯罪和金融诈骗、盗窃等其他犯罪时,除非法律另有规定,否则一般应当按照从一重罪定罪处罚原则进行处理。这一精神也被检例35号所确认。

基于此,根据指导性案例的裁判指引,我们得出以下结论:利用信息网络实施犯罪,同时构成危害计算机信息系统安全犯罪和其他犯罪的,从一重罪处罚,另一犯罪可以作为量刑情节予以考量。