【201808025】超越权限进入计算机信息系统的行为性质
文/计莉卉 游涛
【摘要】
超越权限进入计算机信息系统是指超越被害方授权范围进入计算机信息系统,从表面上看被告人通过了计算机信息系统的认证,不同于一般意义上的侵入行为,但其本质违背了被害方的意愿,仍属于非法获取计算机信息系统数据罪中的侵入他人计算机信息系统的行为。
□案号 一审:(2017)京0108刑初392号
【案情】
公诉机关:北京市海淀区人民检察院。
被告人:龚旭、卫梦龙、薛东东。
北京市海淀区人民检察院以非法获取计算机信息系统数据罪,对被告人龚旭、卫梦龙、薛东东提起公诉。
被告人卫梦龙及其辩护人、龚旭及其辩护人、薛东东对公诉机关指控的罪名和基本事实均无异议,但是被告人卫梦龙对违法所得的数额提出了异议,被告人薛东东的辩护人提出了无罪辩护的意见,认为被告人薛东东并没有违反国家规定,该罪不成立。
北京市海淀区人民法院经审理查明:2016年6月至9月间,被告人龚旭在明知卫梦龙使用账号目的的情况下,向被告人卫梦龙提供自己所掌握的百度凤巢系统内部账号和密码。被告人卫梦龙利用龚旭所提供的账号和密码,违规登陆百度在线网络技术(北京)有限公司凤巢系统,查询、下载该计算机信息系统中存储的客户数据,并交由被告人薛东东出售给他人,违法所得共计3.7万元。其中,被告人卫梦龙非法获利2.4万元,被告人薛东东非法获利1.3万元。2016年9月19日,被告人卫梦龙、龚旭、薛东东被公安机关抓获归案,后如实供述了上述事实。
【审判】
北京海淀法院于2017年6月6日作出(2017)京0108刑初392号刑事判决,认为被告人卫梦龙、龚旭、薛东东违反国家规定,侵入计算机信息系统,获取计算机信息系统中存储的数据,情节特别严重,其行为均已构成非法获取计算机信息系统数据罪。被告人卫梦龙、薛东东、龚旭到案后及在庭审过程中均能如实供述自己的罪行,且被告人龚旭获得了被害公司的谅解,依法均可对其从轻处罚。依照刑法第二百八十五条第二款、第六十七条第三款、第二十五条第一款、第五十三条、第六十四条之规定,海淀法院判决:被告人卫梦龙犯非法获取计算机信息系统数据罪,判处有期徒刑4年,并处罚金4万元;被告人薛东东犯非法获取计算机信息系统数据罪,判处有期徒刑4年,并处罚金4万元;被告人龚旭犯非法获取计算机信息系统数据罪,判处有期徒刑3年9个月,并处罚金4万元。
一审宣判后,被告人没有提出上诉,公诉机关未提出抗诉,判决已生效。
【评析】
在本案审理过程中,对刑法条文中侵入行为的认定、违反国家规定的理解、被告人量刑是三大焦点问题,下文将逐一进行剖析。
一、侵入行为的认定
刑法第二百八十五条第二款规定,非法获取计算机信息系统数据罪,是指违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取计算机信息系统数据,情节严重的行为。可见,侵入计算机信息系统或者采用其他技术手段是该罪的构成要件。
在司法实践中,侵入计算机信息系统的常见表现形式为破解或者盗窃身份认证信息、以强行突破安全工具等方式来侵入计算机信息系统。而本案中的行为人进入计算机信息系统的方式有所不同,被告人龚旭系被害公司的员工,外部人员利用其内部权限登陆被害公司系统,获取存储于被害公司的数据。对于这种利用内部权限登陆计算机信息系统获取数据的行为能否认定为刑法规定的侵入?这是本案定罪的关键。
虽然本案中行为人的行为方式不同于一般情形,但审慎分析可知,其行为仍然可定性为侵入。理由在于:根据2011年“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》2条对专门用于侵入、非法控制计算机信息系统的程序、工具的解释,认定侵入工具的要件是“具有避开……系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据”。换言之,未经授权或者超越授权是判定侵入的实质要件。
而本案中被告人的行为首先客观上超越了被害方的授权范围。具体表现在:其一,被告人龚旭将账号、密码、token令牌等提供给非公司员工卫梦龙使用:被害公司允许员工使用公司内部的账号和密码,但公司明令禁止员工擅自出借账号、密码;其二,行为人登陆系统后下载了无权下载的数据:被告人龚旭虽有权限进入管理系统,但根据被害方规定,其并没有权限下载与其正常业务无关的客户信息。同时,被告人进入系统的主观目的也在于超越授权范围去获取相应信息系统内数据。综上所述,虽然本案中被告人采取了相对温和的手段,但却符合超越被害公司的授权范围获取计算机信息系统数据这一行为本质,因此应认定为侵入。
超越被害方授权范围的行为属于侵入行为是刑法的题中之义,但从证据的角度,应该如何判断被告人的行为超越被害方的授权范围呢?
一方面,应审查行为人的权限。行为人的权限在证据上主要依赖于书证。一般而言,被害单位会根据本单位工作人员的工作内容、职务等赋予其进入计算机信息系统的相关权限,主要体现为工作责任书、岗位职责、劳动合同、保密协议等客观性证据;同时结合被告人自己的供述、证人证言等主观性证据来辅助判断被告人的权限。①本案中,公诉机关提供了被害单位员工的证言、举报材料、岗位职责情况说明等来证明被告人龚旭的账户没有下载其他商户百度推广数据的权限。
另一方面,审查行为。侵入计算机信息系统的行为主要依靠电子证据来予以认定。被告人侵入计算机系统会留下信息记录,获取数据的方式、输入的身份认证以及获取的数据,会形成电子证据,一般体现为文字、数字、表格、图片、声音、图像、视频等。因此,认定非法获取计算机信息系统数据罪需要侦查机关及时对涉案的计算机进行扣押、查封,并及时进行电子证据提取和计算机远程勘验。本案中,公诉机关出示的卫梦龙与龚旭之间的微信聊天记录,被害单位出具的下载客户数据的记录明细,可证明卫梦龙利用龚旭权限下载数据的事实。
二、对违反国家规定的辨析
本案在庭审过程中,被告人的律师对违反国家规定提出了异议,他们认为违反国家规定是违反国家具体的规定,但目前尚无具体规定,被告人的行为只违反了被害公司的内部规定,因而不成立非法获取计算机信息系统数据罪。
对于上述异议,首先需要对违反国家规定在刑法中的文义和功能进行全面把握。
我国刑法总则第九十六条阐释了违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令,其他规章制度不包含在其中。刑法分则中违反国家规定的含义应与总则一致,但违反国家规定这一表述在分则具体条款中的功能不尽相同。一类是作为构成要件要素而被规定在条文中。例如,刑法第一百三十三条规定“违反交通运输管理法规,因而发生重大事故……”,本条中的违反国家规定是典型的构成要件要素,条文中只规定了危害结果,却没有指示行为类型;什么行为构成交通肇事罪,必须参照交通运输管理法规加以认定。另一类只是为了指示违法性而存在,或者只是相关表述的同位语,并非构成要件。比如刑法第三百三十九条第一款规定:“违反国家规定,将境外的固体废物进境倾倒、堆放、处置的……”,已将《固体废物污染环境防治法》二十四条的内容详细表述,因此这里的违反国家规定不具备构成要件要素的功能,即使删除也不影响本条的实质内容。②
回到本案所涉及的刑法第二百八十五条第二款,违反国家规定宜认定为构成要件要素,因为本条后文“侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中……的数据”中,采用其他技术手段含义十分宽泛,正常登录、误打误撞均在其文义之内,因此须将违反国家规定作为此条的构成要件,本条款认定为违法行为的范围才算合理。
确定了违反国家规定为构成要件要素之后,本案中被告人的行为是否有违反国家规定之处呢?答案也是肯定的。
我国已出台了一系列保护计算机信息系统安全的法规,具体到本案中的行为,行为人违反了《全国人民代表大会常务委员会关于维护互联网安全的决定》第三条第(三)项“利用互联网侵犯他人知识产权”,和《计算机信息系统安全保护条例》七条“任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全”等条款的规定。虽然并无确切描述对本案中的作案行为应予禁止的国家规定,但行为人违反上述一般性的规定,仍可认定是违反国家规定的行为。
三、对被告人龚旭的量刑
法庭辩论阶段,本案控辩双方主要围绕着量刑问题展开辩论。被告人龚旭的辩护人提出被告人龚旭仅仅提供了账号、密码,并没有实际获取数据,属于共同犯罪中的从犯;且被告人龚旭没有任何获利,更是获得了被害方的谅解,建议法官对被告人龚旭从轻处罚。对此,控方表示被告人龚旭提供账号、密码的行为在本案起着关键性的作用,其不属于从犯;同时虽然被告人龚旭没有实际获利,但其主观上有牟利的动机,并不能因为其没有实际获利对其从轻处罚。
对于能否认定被告人龚旭为从犯,根据刑法第二十七条对从犯的解释,应主要考察被告人龚旭在本案中是否起着次要或者辅助的作用。在实践中,认定从犯时,要根据行为人在共同犯罪中所处的地位、实际参与的程度等进行具体分析。
就本案而言,龚旭不应认定为从犯。理由在于:第一,龚旭在本案中发挥着关键作用,而非次要或辅助作用;离开了龚旭的行为,整个犯罪无法进行。如果没有龚旭提供的账号、密码,被告人卫梦龙不可能侵入被害方的计算机信息系统获取数据。第二,龚旭参与程度高,贯穿案件始终。卫梦龙每一次侵入被害方的计算机信息系统,龚旭都积极配合,提供侵入所需要的Token密码;离开龚旭的参与,卫梦龙的侵害行为将只能中断。第三,龚旭对共同故意形成所起的作用大。当卫梦龙提出利用龚旭内部权限获取数据的想法时,龚旭明确表示愿意合作,积极主动地促成共同犯意的达成。
另一方面,虽然龚旭不属于从犯,却也的确存在从轻的情节。根据刑法规定,法定从轻情节包括自首、坦白、立功等;在司法实践中,酌定从轻的因素包括犯罪的动机、手段、损害结果、犯罪后态度等。在本案中,龚旭在到案后能如实供述,认罪态度较好,并取得了被害人谅解,符合相关从轻情节,法院最终裁判时也对其作出了从轻处罚。
(作者单位:北京市海淀区人民法院,北京市海淀区人民法院)
①李勇:“非法获取计算机信息系统数据罪认定中的两个难题”,载《中国检察官》2012年第4期。
②蒋铃:“刑法中‘违反国家规定’的理解和适用”,载《中国刑事法杂志》2012年第7期。
|