|
《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的理解与适用
文/喻海松
为依法惩治危害计算机信息系统安全犯罪活动,维护正常的计算机网络运行秩序,最高人民法院、最高人民检察院联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释[2011]19号,以下简称《解释》),自2011年9月1日起施行。为便于司法实践中正确理解和适用,现就《解释》的制定背景、主要考虑、主要内容、时间效力等问题介绍如下。
一、《解释》的制定背景及主要考虑
为保护计算机信息系统的安全,1997年刑法规定了非法侵入计算机信息系统罪和破坏计算机信息系统罪。针对维护计算机信息系统安全方面出现的新情况,刑法修正案(七)增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪。这些规定对于维护计算机信息系统安全,打击计算机网络犯罪发挥了重要作用。
近年来,网络犯罪呈上升趋势,我国面临黑客攻击、网络病毒等违法犯罪活动的严重威胁,是世界上黑客攻击的主要受害国之一。严厉打击危害计算机信息系统安全犯罪,加大对信息网络安全的保护力度,刻不容缓。然而,在办理危害计算机信息系统案件的过程中,适用刑法相关规定遇到了一些问题,需要进一步明确。为适应司法实践需要,明确危害计算机信息系统安全犯罪的法律适用问题,最高人民法院、最高人民检察院联合制定了《解释》。
为确保《解释》的内容科学合理,能够适应形势发展、满足司法实践需要,我们在起草过程中,着重注意把握了以下几点:1.立足司法实践,切实贯彻宽严相济刑事政策,充分听取了各方意见,科学合理确定危害计算机信息系统安全犯罪的定罪量刑标准。2.基于斩断危害计算机信息系统安全犯罪的利益链条的考虑,规定了危害计算机信息系统安全犯罪各环节的刑事责任,有利于从源头上切断利益链条,有效遏制危害计算机信息系统安全犯罪的蔓延和泛滥。3.适应司法实践需要,特别解决了掩饰、隐瞒计算机信息系统数据、控制权行为的定性、以单位名义或者形式实施危害计算机信息系统安全犯罪的处理原则、危害计算机信息系统安全共同犯罪的处理原则等长期困扰司法实践的突出问题。
二、《解释》的主要内容
《解释》共11个条文,涵盖三大块内容:1.明确危害计算机信息系统安全犯罪的定罪量刑标准,对刑法第二百八十五条、第二百八十六条涉及的“情节严重”、“情节特别严重”、“后果严重”、“后果特别严重”的具体情形作出规定;2.界定危害计算机信息系统安全犯罪中术语的范围,对“计算机信息系统”、“计算机系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”等术语的内涵外延予以明确;3.解决办理危害计算机信息系统安全犯罪中有关法律适用疑难问题,对掩饰、隐瞒计算机信息系统数据、控制权行为的定性、以单位名义或者形式实施危害计算机信息系统安全犯罪的处理原则、危害计算机信息系统安全共同犯罪的处理原则等问题作出明确规定。
(一)明确危害计算机信息系统安全犯罪的定罪量刑标准
1.非法获取计算机信息系统数据、非法控制计算机信息系统行为的定罪量刑标准。
《解释》第1条共分为三款,明确了刑法第二百八十五条第二款规定的非法获取计算机信息系统数据、非法控制计算机信息系统罪中“情节严重”、“情节特别严重”的具体情形。
第1款规定了“情节严重”的具体认定标准。主要包括下列情形:第(1)项以获取网络金融服务的身份认证信息的数量为标准。与计算机信息系统安全相关的数据中最为重要的是用于认证用户身份的身份认证信息(如口令、证书等),此类数据通常是网络安全的第一道防线,也是网络盗窃的最主要对象,特别是非法获取电子银行、证券交易、期货交易等网络金融服务的账号、口令等身份认证信息的活动非常猖獗,故应对身份认证信息予以重点保护。根据司法实践的情况,综合考虑行为的社会危害性,获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上即属“情节严重”。第(2)项以获取网络金融服务以外的身份认证信息的数量为标准。对于网络金融服务以外的其他网络服务,如网络即时通讯、网络邮箱等,网络盗窃者非法获取这些身份认证信息的案件也较为多发。获取其他网络服务的身份认证信息500组以上的,应当认定为“情节严重”。需要注意的是,对于实践中发生的出于好奇、显示网络技术等目的而实施的打包盗窃论坛身份认证信息等行为,即使获取身份认证信息略微超过500组的,由于社会危害性也不大,应当适用刑法第十三条但书的规定,不宜纳入刑事打击的范围。在司法实践中,要准确把握第(1)项和第(2)项规定的“一组”身份认证信息的概念。所谓一组身份认证信息,是指可以确认用户在计算机信息系统上操作权限的认证信息的一个组合,比如某些网上银行需要用户名、密码和动态口令就可以转账,那么用户名、密码和动态口令就是一组身份认证信息;有的网上银行除上述三项信息外还需要手机认证码才可以转账,缺一不可,那么这四项信息才能构成一组身份认证信息。但是,对于身份认证信息,特别是密码信息,很多用户有经常更改密码的习惯,故认定一组身份认证信息不应以在办案过程中是否可以实际登录使用为判断标准,而应结合其非法获取身份认证信息的方法判断该身份认证信息在被非法获取时是否可用为依据,如使用的木马程序能有效截获用户输入的账号密码,则不管该密码当前是否可用,只要是使用该木马程序截获的账号、密码,则应认定为一组有效身份认证信息。第(3)项以非法控制计算机信息系统的数量为标准。在非法侵入计算机信息系统后,并未破坏计算机信息系统的功能或者数据,而是通过控制计算机信息系统实施特定操作的行为被称为“非法控制计算机信息系统”。很多攻击者通过控制大量计算机信息系统形成僵尸网络(Botnet)。据统计,全世界的僵尸网络75%位于我国,有的僵尸网络控制的计算机信息系统甚至多达数十万台,这已成为我国互联网安全的重大隐患。为了解决上述问题,将非法控制计算机信息系统台数作为衡量情节严重的标准之一,即非法控制计算机信息系统20台以上的,应当认定为“情节严重”。第(4)项以违法所得或者经济损失的数额为标准。非法获取计算机信息系统数据、非法控制计算机信息系统行为的主要目的是牟利,且易给权利人造成经济损失,故将违法所得数额和财产损失数额作为衡量情节严重的标准之一,即违法所得5000元以上或者造成经济损失1万元以上的,应当认定为“情节严重”。第(5)项是关于兜底条款的规定。此外,第2款根据计算机网络犯罪的性质和危害程度,并参照以往有关司法解释,以“情节严重”的5倍为标准,对“情节特别严重”作了规定。
明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用,使得该计算机信息系统继续处于被控制状态,实际上是对该计算机信息系统实施控制,应当认定为非法控制计算机信息系统,故第3款明确规定对此种行为适用前两款关于非法控制计算机信息系统行为的定罪量刑标准。
2.提供侵入、非法控制计算机信息系统程序、工具行为的定罪量刑标准。
《解释》第3条共分为两款,明确了刑法第二百八十五条第三款规定的提供侵入、非法控制计算机信息系统程序、工具罪中“情节严重”、“情节特别严重”的具体情形。
第1款明确了“情节严重”的具体认定标准。对于提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为,主要从以下几个方面认定“情节严重”:一是提供的程序、工具的人次。其中,对于提供网银木马等“能够用于非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息的专门性程序、工具”的行为,第(1)项规定提供5人次以上的即属“情节严重”;对于提供盗号程序、远程控制木马程序等其他专门用于侵入、非法控制计算机信息系统的程序、工具的,第(2)项规定提供的人次达到20人以上的属于“情节严重”;对于明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息的违法犯罪行为而为其提供程序、工具的,第(3)项规定提供五人次以上的即属“情节严重”;对于明知他人实施其他侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的,第(4)项规定提供20人次以上的属于“情节严重”。二是违法所得和经济损失数额。由于提供此类工具的行为主要以获利为目的,正是在非法获利的驱动下,互联网上销售各类黑客工具的行为才会泛滥,且往往会给权利人造成经济损失,故第(5)项将违法所得5000元以上或者造成经济损失1万元以上作为认定“情节严重”的标准之一。三是对于其他无法按照提供的人次、违法所得数额、经济损失数额定罪的,第(6)项设置了兜底条款。此外,第2款规定“情节严重”和“情节特别严重”之间为5倍的倍数关系。
3.破坏计算机信息系统功能、数据或者应用程序行为的定罪量刑标准。
《解释》第4条共分为两款,明确了刑法第二百八十六条第一款、第二款规定的破坏计算机信息系统罪中“后果严重”、“后果特别严重”的具体情形。
第1款规定了“后果严重”的具体认定标准。对于破坏计算机信息系统功能、数据或者应用程序行为,主要从以下几个方面认定“后果严重”:一是破坏计算机信息系统的数量。第(1)项规定造成10台以上计算机信息系统的主要软件或者硬件不能正常运行的,属于“后果严重”。需要注意的是,“计算机信息系统的主要软件或者硬件不能正常运行”,不能仅仅理解为计算机信息系统不能启动或者不能进入操作系统等极端情况,而是既包括计算机信息系统主要软件或者硬件的全部功能不能正常运行,也包括计算机信息系统主要软件或者硬件的部分功能不能正常运行。根据刑法第二百八十六条第二款的规定,“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”,也是破坏计算机信息系统的方式之一。需要强调的是,从司法实践来看,破坏数据、应用程序的案件,主要表现为对数据进删除、修改、增加的操作,鲜有破坏应用程序的案件。因此,对于刑法第二百八十六条“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”的规定,应当理解为“数据”、“应用程序”均可以成为犯罪对象,而并不要求一次破坏行为必须同时破坏数据和应用程序,这样才能实现对计算机信息系统中存储、处理或者传输的数据、应用程序的有效保护,有效维护计算机信息系统安全。基于上述考虑,第(2)项规定对20台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的操作的,应当认定为“情节严重”。二是违法所得、经济损失的数额,第(3)项规定违法所得5000元以上或者造成经济损失1万元以上的属于“后果严重”。三是针对特定类型的计算机信息系统做出特殊规定。在网络上存在很多为其他计算机信息系统提供基础服务的系统,如域名解析服务器、路由器、身份认证服务器、计费服务器等,对这些服务器实施攻击可能导致大量的计算机信息系统瘫痪,比如一个域名解析服务器可能为数万个网站提供域名解析服务,对其实施拒绝服务攻击将可能导致数万个网站无法访问,表面上其攻击行为仅破坏了一台服务器的功能,但由此引发的后果却远大于此。因此,针对特定类型或者特定领域计算机信息系统的攻击是互联网上危害最为严重的攻击行为,应当对此做出专门规定。第(4)项规定造成为100台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为1万以上用户提供服务的计算机信息系统不能正常运行累计1小时以上的,属于“后果严重”。司法实务中应当注意的是,认定被破坏的计算机信息系统是否属于本款第(4)项中的“为一万以上用户提供服务的计算机信息系统”和第二款第(2)项中“为五万以上用户提供服务的计算机信息系统”可按如下方法:有注册用户的按照其注册用户数量统计,没有注册用户的按照其服务对象的数量统计。此外,第(5)项为兜底条款。
第2款规定了“后果特别严重”的具体情形。第(1)项规定,通常情况下,“后果严重”和“后果特别严重”之间为5倍的倍数关系。第(2)项针对为其他计算机信息系统提供基础服务或者其他服务的特定类型计算机信息系统做出特殊规定。此外,国家机关或者金融、电信、交通、教育、医疗、能源领域的计算机信息系统主要用于提供公共服务。考虑到此类计算机信息系统的特殊性,第(3)项将破坏该类计算机信息系统的功能或者数据,致使生产、生活受到严重影响或者造成恶劣社会影响的情形规定为“情节特别严重”。
需要注意的是,《解释》第4条只是明确了破坏计算机信息系统功能、数据或者应用程序行为的“后果严重”、“后果特别严重”的具体情形,是否构成犯罪,还需要结合刑法规定的其他要件判断。而根据刑法第二百八十六条第一款、第二款的规定,破坏计算机信息系统功能和破坏计算机信息系统数据、应用程序行为的入罪要件并不相同,前者要求“造成计算机信息系统不能正常运行”,而后者不需要这一要件。因此,在司法实践中,需要依据刑法和《解释》的规定,根据具体案件情况进行分析判断,确保定罪量刑的准确。
4.故意制作、传播计算机病毒等破坏性程序行为的定罪量刑标准。
《解释》第6条共分为两款,明确了故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行行为的定罪量刑标准。
根据刑法第二百八十六条第三款的规定,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,是破坏计算机信息系统的一种情形。在起草过程中,着重考虑了如下两个问题:一是对于制作计算机病毒等破坏性程序的行为,如果仅制作而不传播,则不可能“影响计算机信息系统正常运行”,故制作计算机病毒等破坏性程序的行为不可能独立构成犯罪。换言之,刑法第二百八十六条第三款本身并不属于“制作、提供工具罪”,故对于互联网上制作、销售计算机病毒等破坏性程序的行为无法独立打击。二是将向他人提供(也即人到人的“传播”)计算机病毒等破坏性程序的行为都纳入“传播”的范畴,但同时也要求其行为必须最终导致“影响计算机信息系统正常运行”,即其制作、提供的计算机病毒等破坏性程序最终被使用并产生后果,避免突破刑法条文的规定。
在此基础上,第1款明确了“情节严重”的具体认定标准。《解释》第5条第(1)项规定的计算机病毒程序具有自我复制传播特性,其传播方式容易引起大规模传播。由于此类程序一经传播即无法控制其传播面,也无法对被侵害的计算机逐一取证确认其危害后果,因此,本款第(1)项规定制作、提供、传输该类程序,只要导致该程序通过网络、存储介质、文件等媒介传播的,即应当认定为“后果严重”。而“逻辑炸弹”等其他破坏性程序在未触发之前,并不破坏计算机信息系统,只存在潜在的破坏性,只有向被害计算机信息系统植入该程序,才满足“影响计算机信息系统正常运行”的要件。因此,第(2)项规定向20台以上计算机系统植入其他的破坏性程序的,应当认定为“后果严重”。以提供计算机病毒等破坏性程序的人次、违法所得数额、经济损失数额作为衡量“情节严重”的标准,第(3)、(4)项规定提供计算机病毒等破坏性程序10人次以上、违法所得5000元以上或者造成经济损失1万元以上属于后果严重。此外,第(5)项为兜底条款。
第2款规定“后果特别严重”的认定标准。计算机病毒容易引起大规模传播,且一经传播即无法控制其传播面,故第(1)项特别规定制作、提供、传输计算机病毒,导致该程序通过网络、存储介质、文件等媒介传播,致使生产、生活受到严重影响或者造成恶劣社会影响的,应属“后果特别严重”。其他情况下,“后果严重”和“后果特别严重”之间为5倍的倍数关系。
(二)界定危害计算机信息系统安全犯罪中术语的范围
1.“专门用于侵入、非法控制计算机信息系统的程序、工具”的范围界定。
《解释》第2条明确了刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”的具体范围。
本条解释的关键是对刑法第二百八十五条第三款规定的“专门”一词的涵义作出明确。参考立法机关编写的相关论著,刑法第二百八十五条第三款的“专门用于侵入、非法控制计算机信息系统的程序、工具”,“是指行为人所提供的程序、工具只能用于实施非法侵入、非法控制计算机信息系统的用途。”{1}可见,其区别于一般的程序、工具之处在于此类程序、工具专门是用于违法犯罪目的,而不包括那些既可以用于违法犯罪目的又可以用于合法目的的“中性程序”。因此。“专门”是对程序、工具本身的用途非法性的限定,是通过程序、工具本身的用途予以体现的。而程序、工具本身的用途又是由其功能所决定的,如果某款程序、工具在功能设计上就只能用来违法地实施控制、获取数据的行为,则可以称之为“专门工具、程序”。我们认为,从功能设计上可以对“专门用于侵入、非法控制计算机信息系统的程序、工具”作如下限定:
首先,程序、工具本身具有获取计算机信息系统数据,控制计算机信息系统的功能。刑法第二百八十五条第三款的用语是“专门用于侵入、非法控制计算机信息系统的程序、工具”,从字面上看,没有涉及“专门用于非法获取数据的工具”。但是,从刑法规范的逻辑角度而言,刑法第二百八十五条第三款应当是前两款的工具犯。换言之,通过侵入计算机信息系统而非法获取数据的专门性程序、工具也应当纳入“专门用于侵入计算机信息系统的程序、工具”的范畴,这并未超越刑法用语的规范含义。因此,“专门用于侵入、非法控制计算机信息系统的程序、工具”,既包括专门用于侵入、非法控制计算机信息系统的程序、工具,也包括通过侵入计算机信息系统而非法获取数据的专门性程序、工具。顺带需要提及的是,基于同样的理由,刑法第二百八十五条第三款后半句规定的“明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具”,这里的“侵入”既包括非法侵入计算机信息系统行为,也包括通过侵入计算机信息系统而非法获取数据的行为。由于专门用于实施非法侵入计算机信息系统的程序、工具较为少见,而且难以从功能上对其作出界定,对其主要应通过主观设计目的予以判断(即本条第(3)项的规定)。基于上述考虑,这里主要强调了程序、工具本身的获取数据和控制功能。
其次,程序、工具本身具有避开或者突破计算机信息系统安全保护措施的功能。有不少木马程序既可用于合法目的也可用于非法目的,属于“中性程序”,比如Windows系统自带的Terminal
Service(终端服务)也可以用于远程控制计算机信息系统,很多商用用户运用这种远程控制程序以远程维护计算机信息系统。通常情况下,攻击者使用的木马程序必须故意逃避杀毒程序的查杀、防火墙的控制,故此类木马程序区别于“中性的”商用远程控制程序的主要特征是其具有“避开或者突破计算机信息系统安全保护措施”的特征,如自动停止杀毒软件的功能、自动卸载杀毒软件功能等,在互联网上广泛销售的所谓“免杀”木马程序即属于此种类型的木马程序。因此,本条将“专门用于避开或者突破计算机信息系统安全保护措施”作为界定标准之一。
最后,程序、工具获取数据和控制功能,在设计上即能在未经授权或者超越授权的状态下得以实现。这是专门程序、工具区别于“中性程序、工具”的典型特征,是该类程序违法性的集中体现。例如“网银大盗”程序,其通过键盘记录的方式,监视用户操作,当用户使用个人网上银行进行交易时,该程序会恶意记录用户所使用的账号和密码,记录成功后,程序会将盗取的账号和密码发送给行为人。该程序在功能设计上即可在无需权利人授权的情况下获取其网上银行账号、密码等数据。“中性”程序、工具不具备在未经授权或超越授权的情况下自动获取数据或者控制他人计算机信息系统的功能。
基于上述考虑,本条第(1)、(2)项将具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能或者对计算机信息系统实施控制的功能的程序、工具列为“专门用于侵入、非法控制计算机信息系统的程序、工具”。这两类程序都符合了上述三个要件,明显有别于“中性程序”,能够被认定为“专门性程序、工具”。此外,第(3)项还列出了其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。在黑客攻击破坏活动中还存在很多专门为实施违法犯罪活动而设计的程序、工具,比如攻击者针对某类网吧管理系统的漏洞专门设计的侵入程序,针对某个网络银行系统设计专用的侵入程序,此类程序难以进行详细分类并一一列举,也难以准确地概括其违法性的客观特征。因此,此处规定并不是通过程序的客观特性界定其范围,而是通过设计者的主观动机予以界定,具体哪些程序属于这一范畴应当具体情形具体分析。
2.“计算机病毒等破坏性程序”的范围界定。
《解释》第5条明确了刑法第二百八十六条第三款规定的“计算机病毒等破坏性程序”的具体范围。主要涵括了如下三类程序:第(1)项将能够通过网络、存储介质、文件等媒介,将自身的部分、全部或者变种进行自我复制、传播,并破坏计算机系统功能、数据或者应用程序的程序(计算机病毒)纳入计算机病毒等破坏性程序范围。此类程序的危害性主要是其传播方式容易引起大规模传播,而且一经传播即无法控制其传播面,也无法对被侵害的计算机逐一取证确认其危害后果。第(2)项将能够在预先设定条件下自动触发,并破坏计算机系统数据、功能或者应用程序的程序(逻辑炸弹)纳入计算机病毒等破坏性程序的范围。此类程序一旦被触发即可破坏计算机信息系统数据、功能或者应用程序,但在未触发之前仍存在潜在的破坏性。第(3)项将其他专门设计用于破坏计算机系统数据、功能或者应用程序的程序纳入计算机病毒等破坏性程序的范围。
3.“计算机信息系统”和“计算机系统”的范围界定。
《解释》第11条第1款对“计算机信息系统”和“计算机系统”的内涵和外延进行了界定。
刑法第二百八十五条、第二百八十六条使用了“计算机信息系统”、“计算机系统”两种表述,其中刑法第二百八十六条第三款有关制作、传播计算机病毒等破坏性程序的条款中使用的是“计算机系统”,其他条款使用的则是“计算机信息系统”。本条对这两种表述作了统一界定,原因如下:一是从技术角度看,这两种表述已无法区分。刑法第二百八十五条、第二百八十六条立法区分这两者的原意是考虑侵入计算机信息系统、破坏计算机信息系统功能、数据或者应用程序的对象应当是数据库、网站等提供信息服务的系统,而传播计算机病毒如果只影响计算机操作系统(计算机系统)本身,即使不对系统上的信息服务造成影响也应当受到处罚。但随着计算机技术的发展,计算机操作系统与提供信息服务的系统已密不可分。如很多操作系统自身也提供WEB(互联网)服务、FTP(文件传输协议)服务,而侵入操作系统也就能够实现对操作系统上提供信息服务的系统实施控制,破坏操作系统的数据或者功能也就能够破坏操作系统上提供信息服务的系统的数据或者功能,从技术角度无法准确划分出提供信息服务的系统和操作系统。二是从保护计算机信息系统安全这一立法目的出发,对这两种表述进行区分没有必要。不论危害的是计算机操作系统还是提供信息服务的系统,只要情节严重或者造成严重后果的,都应当追究刑事责任。三是经对美、德等国的网络犯罪立法进行研究,这些国家均在立法中使用单一的计算机系统、计算机等术语,而未对计算机信息系统和计算机系统做出区分。
本款将“计算机信息系统”和“计算机系统”统一界定为“具备自动处理数据功能的系统”,原因如下:一是具备自动处理数据功能的系统都可能成为被攻击的对象,有必要将其纳入刑法保护范畴。随着信息技术的发展,各类内置有可以编程、安装程序的操作系统的数字化设备广泛应用于各个领域,其本质与传统的计算机系统已没有任何差别。这些设备都可能受到攻击破坏:互联网上销售的专门用于控制手机的木马程序,可以通过无线网络获取手机中的信息;通过蓝牙、WIFI(将电脑、手持设备等终端以无线方式互相连接的技术)等无线网络传播病毒的案件也呈现快速增长态势;在工业控制设备中可能植入破坏性程序,使得工业控制设备在特定条件下运行不正常;在打印机、传真机等设备中可以内置程序非法获取相关数据。总之,任何内置有操作系统的智能化设备都可能成为入侵、破坏和传播计算机病毒的对象,因此应当将这些设备的安全纳入刑法保护范畴。二是本定义借鉴了多个国家有关法律的相关定义。如美国将计算机定义为“具备自动处理数据的功能的一个或者一组设备”,欧盟网络犯罪公约将计算机定义为“由软件和硬件构成的用于自动处理数据的设备”,其出发点都是将保护计算机信息系统安全的法律适用于所有具有自动处理数据功能的设备。
为使相关界定更加明确,方便司法实践适用,本款采用了概括加例举的解释方法,即在对“计算机信息系统”、“计算机系统”作归纳定义的同时,还例举“计算机”、“网络设备”、“通信设备”、“自动化控制设备”等具体情形。其中,网络设备是指路由器、交换机等组成的用于连接网络的设备;通信设备包括手机、通信基站等用于提供通信服务的设备;自动化控制设备是指在工业中用于实施自动化控制的设备,如电力系统中的监测设备、制造业中的流水线控制设备等。
4.“身份认证信息”的范围界定。
由于《解释》多处涉及“身份认证信息”这一术语,第11条第2款明确了“身份认证信息”的内涵和外延。考虑到司法实践的具体情形,采用了概括加例举的方法,将“身份认证信息”界定为用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。从实践来看,数字签名、生物特征等都属于身份认证信息。
5.“经济损失”的范围界定。
《解释》第11条第3款明确了“经济损失”的计算范围,具体包括危害计算机信息系统犯罪行为给用户造成的直接经济损失,以及用户为恢复数据、功能而支出的必要费用。需要注意的是,破坏计算机信息系统功能、数据给用户带来的预期利益的损失不能纳入“经济损失”的计算范围。
6.危害计算机信息系统安全犯罪案件的检验问题。
考虑到危害计算机信息系统安全犯罪案件的司法认定专业性强,为确保相关案件依法得到稳妥、正确处理,《解释》第10条专门规定对于是否属于“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)第6条规定:“公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。”因此,对于相关情形难以确定的,应当根据案件具体涉及的领域,从省级以上的公安部门、国家安全部门、保密部门或者其他有关部门中选取确定检验部门。从实践来看,进行检验的部门主要应当是省级以上公安机关。
(三)解决办理危害计算机信息系统安全犯罪中有关法律适用疑难问题
1.掩饰、隐瞒计算机信息系统数据、控制权行为的定性。
《解释》第7条明确了明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒行为的定性问题。
危害计算机信息系统安全犯罪活动的一个重要特点是分工细化。例如,在非法获取计算机信息系统数据活动中,制作非法获取数据的程序、传播用于非法获取数据的程序、非法获取数据、获取数据后销赃获利、使用数据等行为通常由不同人员实施。在这些行为中,由于行为人之间事前无通谋,欠缺共同犯罪故意,难以依据共同犯罪予以打击。目前,收购、代为销售或者以其他方法掩饰、隐瞒计算机信息系统数据、控制权的行为已经非常泛滥,甚至形成了大规模的网上交易平台。
刑法修正案(六)、刑法修正案(七)两次对1997年刑法第三百一十二条进行了修改,形成了现在的表述。从现在的规定来看,刑法第三百一十二条的对象不限于赃物,而是涵括除刑法第一百九十一条规定的洗钱罪的上游犯罪以外的所有犯罪的犯罪所得及其产生的收益。因此,“刑法第三百一十二条的适用范围就扩大到了除刑法第一百九十一条规定的上游犯罪以外的所有犯罪。”{2}基于上述考虑,刑法第二百八十五条第二款也应当成为刑法第三百一十二条的适用范围。明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒的,应当构成掩饰、隐瞒犯罪所得罪。针对司法实践的具体情形,第1款规定明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒的,违法所得数额在5000元以上的,以掩饰、隐瞒犯罪所得罪追究刑事责任。第2款规定违法所得数额在5万元以上的,应当认定为“情节严重”。针对单位犯罪的情形,第3款专门规定单位犯罪的,定罪量刑标准依照自然人犯罪的定罪量刑标准执行。
需要说明的是,刑法第三百一十二条规定的“犯罪所得”过去多限于财产、物品等,将其适用于计算机信息系统数据、控制权,是否可行,有关方面认识不一。经慎重研究,我们认为,计算机信息系统数据、控制权可以成为掩饰、隐瞒犯罪所得罪的犯罪对象。主要有如下考虑:一是计算机信息系统数据、控制权是一种无形物,属于“犯罪所得”的范畴,理应成为掩饰、隐瞒犯罪所得罪的对象。将计算机信息系统数据、控制权解释为犯罪所得,符合罪刑法定原则。二是从刑法体系看,刑法第三百一十二条的掩饰、隐瞒犯罪所得罪的上游犯罪应该涵盖第一百九十一条洗钱罪规定的上游犯罪以外的所有犯罪,理应适用于危害计算机信息系统安全犯罪。三是作出这种解释,也是司法实践的现实需要。从危害计算机信息系统安全犯罪的现状来看,掩饰、隐瞒计算机信息系统数据、控制权的现象十分突出,不予以打击将无法切断危害计算机信息系统安全犯罪的利益链条,难以切实保障计算机信息系统安全。
此外,在起草过程中,有建议主张对倒卖计算机信息系统控制权的行为直接按非法控制计算机信息系统罪定罪处罚。经认真研究研究认为,该建议不宜采纳。因为在倒卖控制权的过程中,行为人可能事实上未控制他人计算机信息系统,故不宜按照非法控制计算机信息系统罪定罪处罚,而只能适用掩饰、隐瞒犯罪所得罪。
2.以单位名义或者单位形式实施危害计算机信息系统安全犯罪的处理规则。
《解释》第8条明确了以单位名义或者单位形式实施危害计算机信息系统安全犯罪如何追究刑事责任的问题。
刑法第二百八十五条、第二百八十六条规定的危害计算机信息系统安全犯罪系自然人犯罪。而从司法实践来看,非法侵入计算机信息系统、非法获取计算机信息系统数据、非法控制计算机信息系统、提供侵入、非法控制计算机信息系统的程序、工具以及破坏计算机信息系统行为,不少是由单位实施。公安机关查处这类案件后,往往难以处理。为切实惩治危害计算机信息系统安全犯罪,确保相关案件顺利移送起诉、依法审判,本条规定以单位名义或者形式实施危害计算机信息系统安全犯罪,达到《解释》规定的定罪量刑标准的,应当依照刑法第二百八十五条、第二百八十六条的规定追究直接负责的主管人员和其他直接责任人员的刑事责任。主要考虑如下:
第一,对以单位名义或者形式实施危害计算机信息系统安全犯罪的案件追究直接负责的主管人员和其他直接责任人员的刑事责任,是司法实践的现实需要。由于危害计算机信息系统安全活动的实施有一定的技术、资金要求,实践中此类案件不少是一些网络公司、增值服务公司所为。这些公司并非为了进行违法犯罪活动而设立,设立后也不是以实施犯罪为主要活动,故无法按照自然人犯罪对其追究刑事责任。在此背景下,如对以单位名义或者形式实施的危害计算机信息系统安全犯罪不作出明确规定,司法机关对此种行为将难以追究刑事责任,必然会导致不少严重危害计算机信息系统安全的行为无法得到有效惩治。而追究直接负责的主管人员和其他直接责任人员的刑事责任,符合刑法的规定,也是当前打击犯罪、维护社会秩序的需要。
第二,对以单位名义或者形式实施危害计算机信息系统安全犯罪的案件追究直接负责的主管人员和其他直接责任人员的刑事责任,在司法文件中有先例可循。例如,1998年最高人民法院《关于审理拒不执行判决、裁定案件具体应用法律若干问题的解释》4条规定:“负有执行人民法院判决、裁定义务的单位直接负责的主管人员和其他直接责任人员,为了本单位的利益实施本解释第三条所列行为之一,造成特别严重后果的,对该主管人员和其他直接责任人员依照刑法第三百一十三条的规定,以拒不执行判决、裁定罪定罪处罚。”而该解释第3条所涉及的拒不执行人民法院判决、裁定罪即为自然人犯罪。
3.危害计算机信息系统安全共同犯罪处理规则。
《解释》第9条明确了危害计算机信息系统安全共同犯罪的认定标准和处理原则。
同传统犯罪不同,危害计算机信息系统安全犯罪活动分工细化,形成了利益链条。为危害计算机信息系统违法犯罪行为提供用于破坏计算机信息系统功能、数据的程序,提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助,通过委托其推广软件、投放广告等方式向其提供资金等行为十分突出,行为人从中牟取了巨大利润,也使得实施危害计算机信息系统安全犯罪活动的“技术门槛”日益降低。例如,在司法实践中,很多实施危害计算机信息系统安全犯罪活动的行为人只有初中文化程度,其往往是通过购买用于破坏计算机信息系统功能、数据的程序、工具或者获取技术帮助进而实施危害计算机信息系统安全犯罪的。再如,通过互联网搜索引擎可以发现,黑客培训广告已经铺天盖地。可以说,危害计算机信息系统安全犯罪活动分工细化和进而形成的利益链条,导致了危害计算机信息系统安全犯罪活动迅速蔓延。
本条规定的目的就是打击黑客攻击破坏活动相关利益链条:由于《刑法》二百八十五条第三款将明知他人实施侵入、非法控制计算机信息系统而向其提供程序、工具的行为入罪,而对于“明知他人实施破坏计算机信息系统功能或者数据的犯罪行为,而为其提供用于破坏计算机信息系统功能、数据或者应用程序的程序或者工具”的行为并未单独入罪处罚,第(1)项将其作为共犯处理;第(2)项将向危害计算机系统安全行为提供帮助获利的行为作为共犯处理;第(3)项将从危害计算机信息系统安全行为获得帮助并向其提供资金的行为作为共犯处理。
需要特别说明的是,网络环境下的共同犯罪具有殊于传统共同犯罪的特性。在传统犯罪中,一个人通常只能是单个人或者少数人的共犯。而在网络犯罪中,一个人往往能够成为很多人的共犯。例如,用于破坏计算机信息系统功能、数据或者应用程序的程序、工具的制造者,可以向数以万计甚至更多的破坏计算机信息系统行为人提供程序、工具,成为破坏计算机信息系统实行行为的帮助犯。在这种背景下,一方面,要求抓获所有接受帮助行为的实行犯并查清相关情况,在司法实践中不具有可操作性;另一个方面,可能存在所有的实行行为均未达到入罪标准,但帮助犯由于向数以万计的实行行为提供了帮助,其行为性质反而更重的情况,对帮助犯更有惩罚的必要。故而,基于宽严相济刑事政策的考量,按照最高人民法院、最高人民检察院《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息具体应用法律若干问题的解释(二)》第7条、最高人民法院、最高人民检察院、公安部《关于办理网络赌博犯罪案件适用法律若干问题的意见》2条的思路,本条对于共犯的成立设置了独立的定罪量刑标准,对情节严重的行为予以刑事惩治。
在司法适用过程中,需要注意如下两个问题:(1)跨国共同犯罪的处理问题。由于网络的无国界,危害计算机信息系统安全犯罪行为和犯罪结果可能分别发生在中华人民共和国领域内外。根据刑法第六条的规定,犯罪的行为或者结果有一项发生在中华人民共和国领域内的,就认为是在中华人民共和国领域内犯罪。因此,对于这类危害计算机信息系统安全犯罪案件,只要其危害后果最终发生在中华人民共和国领域内,应当认为是在中华人民共和国领域内犯罪,应当适用我国刑法的相关规定。在此前提下,可能对境外实行犯无法实际行使刑事管辖权,在境外实行犯未归案的情况下,对于境内为境外实行犯提供帮助的行为人,应当依照本条确定的规则处理。(2)帮助犯在共同犯罪中的类型认定问题。与传统犯罪不同,网络环境中的帮助犯在共同犯罪中所起的作用具有一定的特殊性和复杂性,并非只起次要和辅助作用,也可能起主要作用。因此,对于行为人帮助他人实施刑法第二百八十五条、第二百八十六条规定的行为的,应当根据其在共同犯罪中的作用予以认定,既可以认定为主犯,也可以认定为从犯。
三、《解释》的时间效力
在司法适用中,需注意《解释》的时间效力问题。根据“两高”公告,《解释》自2011年9月1日起施行。考虑到《解释》施行后,不少危害计算机信息系统安全犯罪案件尚未处理或者正在处理过程中,在此有必要明确《解释》的时间效力问题。根据“两高”《关于适用刑事司法解释时间效力问题的规定》,对于《解释》施行前发生的行为,由于行为时没有相关司法解释,对于《解释》施行后尚未处理或者正在处理的案件,应当依照《解释》的规定办理。需要注意的是,对于《解释》施行前已办结的案件,按照当时的法律,认定事实和适用法律没有错误的,不再变动。
(作者单位:最高人民法院)
{1}全国人大常委会法工委刑法室编:《中华人民共和国刑法条文说明、立法理由及相关规定》,北京大学出版社2009年版,第592页。
{2}黄太云:“《刑法修正案(六)》的理解与适用(下)”,载《人民检察》2006年第15期。
|