计算机信息系统类刑事案件
是指《刑法》第285条、第286条等规定的以计算机信息系统或信息数据为对象的各类犯罪。 随着移动互联网、云计算等技术的快速发展,信息网络逐步成为人们生活、工作的第二空间,相对应的,针对计算机信息系统、信息数据的犯罪形态也在不断变化,这些犯罪呈现出犯罪对象多样化、犯罪主体链条化、犯罪后果扩张化等新特征。实践中,对于该类犯罪如何定性、如何区分行为类型、如何区分主从犯等均存在较大争议。 为准确适用法律,实现罪刑均衡,现结合典型案例,对计算机信息系统类刑事案件的审理思路和裁判要点进行梳理、提炼和总结。
目录 01 典型案例 02 计算机信息系统类刑事案件的审理难点 03 计算机信息系统类刑事案件的审理思路与裁判要点 04 其他需要说明的问题
PART 01 典型案例
案例一:涉及计算机信息系统及数据的审查
被告人徐某制作并销售针对某外卖平台使用的“小白改机”软件牟利。用户使用该软件可以修改手机信息,以此不断获取该平台的首单优惠。经鉴定,“小白改机”软件篡改了其他应用程序获取系统信息处理过程中的数据,具有破坏性。公诉机关指控徐某的行为构成破坏计算机信息系统罪,后法院认定徐某的行为构成提供侵入计算机信息系统程序、工具罪。
案例二:涉及破坏与非法控制行为的区分
被告人张某为赚取广告费用,对存在防护漏洞的目标服务器进行检索、筛查后植入木马程序予以控制,获取操作权限后添加赌博网站关键字并设置自动跳转,以提高赌博网站广告被搜索引擎命中的概率。公诉机关指控张某的行为构成破坏计算机信息系统罪,辩护人认为张某的行为构成非法控制计算机信息系统罪。
案例三:涉及数据的属性界定
被告人沈某在某游戏公司任职期间,利用对该公司运营游戏的管理权限,未经授权擅自修改后台数据,为游戏玩家在其游戏账户内添加游戏币“元宝”,并从玩家处获取钱款15万余元。公诉机关指控沈某的行为构成破坏计算机信息系统罪,一审法院认定沈某的行为构成非法获取计算机信息系统数据罪,二审法院认定沈某的行为构成职务侵占罪。
案例四:涉及犯罪主体与主观明知的认定
被告人顾某针对某网络游戏制作了一款名为“M辅助”的外挂程序,销售获利2万余元。该外挂通过修改本地内存地址,实现了优化游戏界面、防闪、透视、大头、红点等功能。经鉴定,“M辅助”外挂程序对游戏的正常操作流程和正常运行方式造成了破坏,属于破坏性程序。一审法院认为顾某的行为构成破坏计算机信息系统罪,二审辩护人认为顾某应为无罪。
(一)计算机信息系统和数据易混淆
《刑法》为保护计算机信息系统安全和数据安全,分别规定了非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪。由于破坏计算机信息系统罪包括了对系统的破坏行为和对数据的“增改删”行为,导致实际审理中,对哪些行为属危害系统安全,哪些行为属危害数据安全理解存在一定差异,部分案件在定罪时,不区分行为侵害的具体对象,将非法获取计算机信息系统数据行为升格定性为破坏计算机信息系统罪,难以体现不同罪名在行为特征和危害后果上的差异。
(二)破坏与控制、侵入行为区分难
控制、侵入计算机信息系统的常见技术手段包括利用系统漏洞,绕过或攻破防火墙等,其间,不可避免地存在对计算机信息系统进行攻击的情况,确有可能影响计算机信息系统的正常运行,严重时甚至会导致系统宕机。目前,此类案件中,相关鉴定机构出具的鉴定意见也常认为,相关行为只要对计算机信息系统及其运行的正常进程造成不利影响,即可认定为具有破坏性。控制、侵入与破坏行为在犯罪手段及危害后果上的相似性,使得对行为性质进行区分与认定成为审理难点。
(三)数据的属性界定难
随着信息技术的蓬勃发展,计算机信息系统中的数据已经超脱信息交流的载体,而更多呈现出具有财产属性(游戏币、道具等)、个人信息识别属性(个人信息数据)、知识产权属性(游戏程序数据)等具有多种利益的混合型法益。侵害数据的行为除了侵害数据安全外,还可能同时侵害其所包含的财产权、信息安全、知识产权等,发生竞合时如何选择罪名也成为当前亟需解决的问题。
(四)犯罪主体与主观明知认定难
网络环境下,犯罪分工更加细化,且环节众多,各行为人主观状态呈现多样化、复杂化特征,且彼此之间往往缺乏明确的犯意联络,共同参与犯罪的样态明显有别于传统犯罪。导致司法实务在认定信息网络犯罪的犯罪主体、主观故意、共同犯意等方面出现分歧。在网络犯罪形态无法完全契合传统犯罪理论时,如何厘清责任,准确定罪量刑,对此类案件的审理提出了全新挑战。
应对计算机信息系统类案件的审理难点,法院仍然需要立足传统刑法理论,以法益为导向,紧扣犯罪构成要件,稳妥认定共犯责任,作出罪刑相当的判决。
(一)明晰涉案计算机信息系统、数据及运行原理
1.审查涉案计算机信息系统组成
根据两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》),计算机信息系统是指具备自动数据处理功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。 该《解释》列举的主要是硬件设备,对数据未作定义。然而,当今社会从云端租用数据处理空间或完全依靠专门软件处理数据等已成常态,具备自动数据处理功能的系统也已超越硬件范畴。实践中更为常见的情形也是侵害计算机软件及相关功能,直接针对计算机信息系统硬件设备的侵害行为反而相对较少,争议不大。 因此,在审查涉案计算机信息系统组成时,可将数据处理功能作为前提条件,同时充分考虑移动端、云端等人机交互新媒介的发展趋势及特征,硬件与软件并重,准确定位不同计算机信息系统的组成要素。具体而言,犯罪行为针对用户手机、电脑、DNS服务器等硬件设备的,能否被认定为计算机信息系统的关键在于是否具有自动数据处理功能;犯罪行为针对网站、用户手机APP等计算机程序的,需注意整体看待,可大体以用户终端、服务端以及网络通讯端三大部分为基础,准确定位,以厘清案件事实。
如案例一中,受害计算机信息系统应当由某外卖平台手机APP用户端、该平台服务器端及相关网络传输设备组成,而“小白改机”软件功能是对外卖平台手机APP所需调取的手机信息事先进行修改,未删除、修改、增加外卖平台系统中传输的数据,不符合破坏计算机信息系统罪的构成要件。
2.区分功能性数据和独立数据
计算机信息系统数据可分为系统本身的功能性数据和与系统功能无关的独立数据。 功能性数据是指与计算机信息系统功能密切相关的数据。如识别登陆用户所在城市,需要IP地址与城市信息的匹配数据;又如为实现广告精准推送,需要用户的历史购物数据等。此类数据本身就是系统功能的一部分,删除、修改、增加等操作可能对系统运行形成干扰,甚至造成系统不能正常运行。 独立数据与系统功能并不相关,对此类数据的删除、修改、增加等操作通常不会影响计算机信息系统功能的实现,更不会导致其无法正常运行,如储存于计算机中的游戏装备、虚拟币等。这类数据同样具有重要价值,一旦被修改、删除或增加,可能涉及刑法中的多个罪名,如修改虚拟财产数额涉嫌盗窃罪,非法复制简历信息涉嫌侵犯公民个人信息罪,恶意刷单涉嫌非法经营罪等。
3.厘清外挂等辅助程序的运行原理
实践中,行为人常借助外挂等辅助程序侵入、破坏计算机信息系统。外挂功能不同,对应的审理思路也有差异:对于仅作用于客户端,改善用户体验或者满足个性化要求的外挂,不属刑法规制范畴;对于具有破坏系统功能或能够对数据进行删除、修改、增加的,涉嫌破坏计算机信息系统罪以及提供、侵入、非法控制计算机信息系统程序、工具罪;对于复制计算机相关语言、代码、逻辑思维导图的挂机外挂,涉嫌知识产权类犯罪等。 从入罪门槛及相关法律规定来看,《刑法》第286条所指破坏性程序的危害程度应与计算机病毒基本相当。需要明确的是,对涉案外挂的鉴定意见经常采用的“破坏”表述,指的是技术规范意义,强调的是非授权性,涉案外挂即使只有干扰功能,也会被认定为具有“破坏性作用”,与刑法意义上的破坏性程序存在本质区别,更非严重影响计算机正常运行、破坏性极大的计算机病毒。有鉴于此,审理中应谨慎认定涉案外挂是否属于刑法意义上的破坏性程序。
(二)审查涉及计算机信息系统的相关行为
涉及计算机信息系统的非法行为主要包括侵入、获取、控制、提供工具以及破坏等,对相关行为的界定直接关系到罪名的正确选择。
1.侵入、获取、控制手段的审查要点
《刑法》第285条涉及的主要行为手段是非法侵入、获取及控制,审理中应注意: 第一,涉案行为应明确违反全国人大及其常委会制定的法律规范。 第二,所谓“侵入”,是指未经授权或者未经他人同意访问计算机信息系统,通常表现为利用技术手段突破他人计算机信息系统安全防护设置,进入他人计算机信息系统,也包括通过骗取、盗用他人账号密码,冒用他人名义,超越授权等方式擅自进入。 第三,所谓“获取”,是指通过非法侵入方式或者其他技术手段,违反他人意志,获取他人计算机信息系统中储存、处理或者传输的数据,获取后是否利用不影响行为认定。 第四,所谓“控制”是指违反他人意志,占有或实际管理他人计算机信息系统,使之听取指令作出相应行为,在技术手段上并无限制,可通过直接侵入系统实现,也可通过木马程序夺取控制权等。
2.提供侵入、非法控制计算机信息系统程序、工具的认定
第一,明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的,以提供侵入、非法控制计算机信息系统程序、工具罪论处,至于涉案程序、工具的功能、作用在所不论,即使是合法的中立技术或程序亦可归入。 第二,相关程序、工具如具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据或对计算机信息系统实施控制功能的,应当认定为专门用于侵入、非法控制计算机信息系统的程序、工具。 第三,其他专门设计用于侵入、非法控制计算机信息系统以及非法获取计算机信息系统数据的程序、工具,则需结合案件情况和证据综合认定。对有证据证明只能用于上述用途的可依法认定,必要时可委托专业部门或者司法鉴定机构进行鉴定。
3.破坏计算机信息系统行为的理解与适用
根据《刑法》第286条规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的;对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的;故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,均构成破坏计算机信息系统罪。 该条第1款强调的是功能性破坏,可通过妨害硬件进行,亦可通过增加、修改、删除功能性数据进行,造成计算机信息系统不能正常运行,一般表现为系统宕机、不能接受指令或不能按照原先设计方案接受指令。
如案例二中,被告人通过修改、增加计算机信息系统功能性数据实现对目标网站的非法控制,进而上传网页链接,其行为虽然会影响受害网站,但并不会造成其不能正常运行,故不属于破坏计算机信息系统,认定构成非法控制计算机信息系统罪更为恰当。 该条第2款针对的是独立数据和应用程序,旨在保护计算机信息系统安全的同时,兼顾数据安全,入罪除需达到《解释》所规定的情节严重标准外,也要求造成计算机信息系统不能正常运行。 该条第3款涉及计算机病毒等破坏性程序在《解释》已有界定,根据同质性解释,《解释》第5条第3项“其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序”在功能上应当与该条前2项所述能够自动植入或触发,并破坏计算机信息系统功能、数据或应用程序的程序具有同质性。
4.多种行为并存情况下的审查区分
此类案件主要可分为两种情况:一是先侵入,再获取计算机信息系统数据或对计算机信息系统实施非法控制;二是直接采用技术手段非法控制计算机信息系统并非法获取计算机信息系统数据。具体审理思路如下: 第一,审查侵入手段。对于以盗用他人账号密码、冒用他人名义、超越授权等不涉及技术攻击的方式侵入计算机信息系统后,获取数据或者控制计算机信息系统的,一般不会对系统造成破坏,情节严重的,构成非法获取计算机信息系统数据罪及非法控制计算机信息系统罪。 如行为人能够证明其不知权限来源不合法,则在认定主观故意时必须慎重;对于采用避开或者突破计算机信息系统安全保护措施等技术手段的,原则上可以直接认定行为人具有侵入或控制计算机信息系统的主观故意。如果在案证据还能够证明行为人主观上对于其侵入行为会破坏计算机信息系统具有放任故意,客观上也造成了计算机信息系统不能正常运行之后果的,则同时构成非法侵入、非法控制计算机信息系统罪和破坏计算机信息系统罪,属于想象竞合犯,择一重罪处理。 第二,审查侵入后的获取、控制行为。侵入后获取计算机信息系统数据的,由于获取计算机信息系统数据不会造成计算机信息系统功能不能正常运行,也不属于对数据进行删除、修改、增加,不构成破坏计算机信息系统罪。侵入后又控制计算机信息系统的,并不需要额外突破数据认证等安全防卫机制,不会造成系统不能正常运行。从行为人角度看,为更好地控制计算机信息系统,主观上也希望系统能够正常运行,因此亦不会与破坏计算机信息系统罪产生竞合。 第三,审查直接获取计算机信息系统数据或控制计算机信息系统的其他技术手段。此类手段可能需要对计算机信息系统功能或者计算机信息系统中储存、处理、传输的数据进行删除、修改、增加,给目标系统带来安全隐患,但如果并未影响计算机信息系统的正常运行或造成严重后果,则只需认定为非法获取计算机信息系统数据罪或非法控制计算机信息系统罪,反之,则可能与破坏计算机信息系统罪构成想象竞合犯。
(三)涉及独立数据的案件适用不同罪名
独立数据具有独立的法益保护价值,涉及刑法分则规定的多项罪名,实践中争议主要集中于侵犯公民个人信息罪及侵财类犯罪。
1.非法获取计算机信息系统数据罪与侵犯公民个人信息罪
《解释》规定,非法获取计算机信息系统数据罪中的数据类型主要是“身份认证信息”,系用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等,与侵犯公民个人信息罪所保护公民个人信息确有可能产生交叉,进而影响到罪名选择。可从以下几方面与侵犯公民个人信息罪加以区分: 一是相关数据或信息的来源是否确属计算机信息系统中储存、运输、处理的数据。如仅仅是通过计算机信息系统对系统外其他数据的真实性、有效性进行验证等,则可排除非法获取计算机信息系统数据罪。 二是行为手段。两罪中的行为违反的国家规定并不相同,非法获取计算机信息系统数据罪中的国家规定不包括部门规章,且对获取的方式并无限制,而侵犯公民个人信息罪则要求以下载、复制等方式实现对信息的实际控制。 三是法益侵害。涉案账号密码若没有针对个人人身、财产等信息的识别特性,只能实现对相关计算机信息系统的掌控、使用等,则应当归入计算机信息系统数据的范畴。如微博账号密码因直接关联到个人,可作为个人信息保护;如计算机信息系统登录口令、管理员权限口令,因其法益关联性主要归于计算机信息系统安全,可作为计算机信息系统数据保护。 四是行为目的。由于公民个人信息被非法获取、出售后被用于违法犯罪的可能,是刑法保护公民个人信息的重要考量,因此还可从行为人获取相关信息数据目的及实际使用情况进一步进行辅助判断。如获取者无意知道信息主体身份,获取目的在于通过系统认证,而非进行定向诈骗等违法犯罪活动,则应归属于计算机信息系统数据。
2.计算机信息系统数据与侵财类犯罪
虚拟财产是计算机信息系统中独立数据价值的重要表现形式,具有刑法意义上财物的本质特征,可以成为财产犯罪的对象。因此,侵犯计算机信息系统中的虚拟财产同时涉嫌侵财类犯罪及非法获取计算机信息系统数据罪或破坏计算机信息系统罪。此类案件具体审理思路如下: 第一,需确认涉案数据为非功能性数据,且具有独立保护的财产价值。 第二,审查客观行为。涉计算机信息系统行为中,获取、修改、增加数据均可实现对虚拟财产的非法占有、转移等,删除数据则可实现对虚拟财产的毁坏等。 第三,审查主观故意。侵犯虚拟财产的行为人多具有非法占有、牟利、毁坏等主观故意,对计算机信息系统数据的侵犯故意反而处于相对次要的地位。 最后,虚拟财产也属于计算机信息系统中储存、运输、处理的数据,是较为特殊的组成部分。因此,侵财类犯罪的各类罪名相较非法获取计算机系统数据罪及破坏计算机信息系统罪,属于特殊法条,应当优先适用。 如按照侵财类犯罪不能全面评价相关行为的社会危害性时,例如制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行达到后果特别严重的程度,并窃取数额较大财物的,应当认定为想象竞合犯,从一重罪处罚。
如案例三中,二审法院认为涉案游戏币具备财产的特征,属于财产犯罪中的财物,沈某利用其在任职游戏公司负责充值返利等职务上的便利,使用公司配发的管理账号登录游戏系统并违规向玩家账户添加游戏币“元宝”,其行为构成职务侵占罪。鉴于沈某系利用本人职权登录游戏后台系统,其进入系统无需上级审批,其未对计算机系统实施侵入,也未采用其他技术手段拦截数据等,不构成非法获取计算机信息系统数据罪。
(四)找准共同犯罪主体确认共同犯意
计算机信息系统类刑事案件的共同犯罪主要规定于提供侵入、非法控制计算机信息系统程序、工具罪及《解释》第9条。除提供专门用于侵入、非法控制计算机信息系统程序、工具的,直接以提供侵入、非法控制计算机信息系统程序、工具罪论处外,其余均要求明知他人实施《刑法》第285条、第286条规定的违法行为,此处“他人”是指不特定第三人,“行为”既包括违法行为,也包括犯罪行为。 具体审理时可区分行为主体进行审查: 第一,对于制作人而言,如有证据证明其提供的程序、工具用途单一,只能用于侵入计算机信息系统的,可直接认定其主观上对于自己开发的程序、工具会被他人用于侵犯计算机信息系统是明知的。 第二,对于实施者而言,在使用制作人提供的程序、工具时,共同犯意及意思联络已经成立,并不要求双方有过实际接触和商谈。 第三,对于非制作程序的转发人员、销售人员及其他帮助人,应综合行为人的技术知识、所处环境、既往表现等结合全案证据认定,原则上要求有直接证据证明行为人知道他人欲利用程序或其他帮助条件进行犯罪,仍然予以提供的情况下,才能认定该行为人明知,而不能仅因行为人可能知道他人利用其帮助实施犯罪就对其刑事处罚。 选择具体罪名时需注意: 第一,对于明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为,而为其提供程序、工具的,应当独立构成提供侵入、非法控制计算机信息系统程序、工具罪。 第二,对于其他提供帮助的,罪名上依然依附于实行行为,实行行为无法查清的,则可能构成帮助信息网络犯罪活动罪等。还需要明确的是,此类行为的定罪量刑有其自身标准,即使接受帮助的实行犯个体的行为罪质成立,但因为罪量不够而不能入罪,作为“一帮多”的帮助犯在违法所得、帮助人次、资金支持等方面如达到《解释》第9条所规定标准的,仍然应当以其帮助的实行行为所涉嫌的具体罪名予以评价,在量刑时也应主要考虑帮助行为自身的社会危害性。
如案例四中,普通玩家使用“M辅助”外挂目前不宜认定为侵犯计算机信息系统的违法犯罪行为,且“M辅助”外挂虽对服务器端有影响,但只是加大了其运载负担,同时还有改善客户端的体验功能,因此顾某即使主观上明知玩家的使用情况,也不构成破坏计算机信息系统罪或帮助信息网络犯罪活动罪。
本文主要总结计算机信息系统类案件的审理思路和裁判要点,对于侵犯以电子数据形式存在的传统财产及虚拟财产、国家及商业秘密、公民个人信息等犯罪虽有所涉及,但篇幅所限,并未深入论述。