【202214022】《张竣杰等非法控制计算机信息系统案》的理解与参照——对计算机信息系统功能或有价值数据实施增加、修改,未造成该系统功能实质,性破坏或不能正常运行的行为,应认定为非法控制计算机信息系统罪
文/王燕
期刊栏目:指导案例理解与参照_指导案例(144号—147号)
为了正确理解和准确参照适用第145号指导性案例,现对该指导性案例的选编过程、裁判要点、参照适用等有关情况予以解释、论证和说明。
一、案例选编过程
该案例由江苏省南京市中级人民法院推荐,经江苏省高级人民法院研究室初审、修改、整理,报江苏高院审判委员会讨论通过,同意作为备选指导性案例上报。最高人民法院案例指导工作办公室收到该案例后,经过初审,认为基本符合指导性案例的要求,在征求院内相关业务部门意见后,提交研究室室务会讨论。2020年11月13日,研究室室务会经讨论认为,该案例符合最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)内容,明确了相关法律适用规则,同意作为备选指导性案例,建议修改后报审委会讨论。2020年12月29日,该案例经最高法院刑专会第393次会议讨论,同意作为指导性案例。12月31日,最高法院以法〔2020〕352号文件将该案例编入第26批指导性案例予以发布。
二、本案例的基本情况
(一)简要案情
南京市鼓楼区人民检察院根据刑法第二百八十六条第二款的规定,以破坏计算机信息系统罪指控被告人张竣杰、彭玲珑、祝东、姜宇豪自2017年7月开始,为赚取赌博网站广告费用,在马来西亚吉隆坡市租住的公寓内,相互配合,对存在防护漏洞的目标服务器进行检索、筛查后,向目标服务器植入木马程序进行控制,再使用“菜刀”等软件链接目标服务器中的木马程序,获取目标服务器后台浏览、增加、删除、修改等操作权限,将添加了赌博关键字并设置自动跳转功能的静态网页上传至目标服务器,提高赌博网站广告被搜索引擎命中几率。截至2017年9月底,4被告人链接被植入后门程序的目标服务器共计113台。
本案主要争议焦点是被告人的行为构成破坏计算机信息系统罪,还是非法控制计算机信息系统罪。
(二)裁判结果
鼓楼区人民法院经审理认为,被告人张竣杰、彭玲珑、祝东、姜宇豪共同违反国家规定,对我国境内计算机信息系统实施非法控制,情节特别严重,其行为均已构成非法控制计算机信息系统罪。公诉机关指控4被告人实施侵犯计算机信息系统犯罪的事实清楚,证据确实、充分,但以破坏计算机信息系统罪予以指控不当。经查,4被告人虽对目标服务器的数据实施了修改、增加的侵犯行为,但未造成该信息系统功能实质性的破坏,或不能正常运行,也未对该信息系统内有价值的数据进行增加、删改,其行为不属于破坏计算机信息系统犯罪中的对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的行为,应认定为非法控制计算机信息系统罪。依照刑法第二百八十六条第二款等规定,判决4被告人犯非法控制计算机信息系统罪,分别判处4年至2年3个月有期徒刑,并处罚金。
一审判决后,被告人姜宇豪以一审量刑过重不服判决,提出上诉。南京中院经审理裁定驳回上诉,维持原判。
该案例涉及非法控制计算机信息系统罪与破坏计算机信息系统罪的界分问题。非法控制计算机信息系统罪是2009年刑法修正案(七)新增的罪名,且作为选择性罪名与非法获取计算机信息系统罪并列于刑法第二百八十五条第二款。对于非法控制计算机信息系统罪,法条表述很笼统,司法解释也未有具体的解释,学理上也只是从字面的基本含义作一些浅见的阐述。因刑法第二百八十六条第二款对破坏计算机信息系统罪的罪状有对计算机信息系统数据等实施删除、修改、增加操作的明确规定,故对于类似本案例中行为人非法侵入计算机信息系统后,植入木马程序、广告网页链接代码等一系列的修改、增加行为,实务中多有根据刑法第二百八十六条第二款的规定,认定为破坏计算机信息系统罪。如(2014)郑刑一终字第91号被告人郭加得等人破坏计算机信息系统案,(2019)川0702刑初64号被告人汪某某、罗某某等人一审破坏计算机信息系统案,及(2019)川07刑终343号二审非法控制计算机信息系统案(该案一审以破坏计算机信息系统罪定性,二审改判为非法控制计算机信息系统罪)。侵入、非法控制等计算机信息系统犯罪,大多存在修改、增加的操作行为,如果一概以破坏计算机信息系统定性处刑,其他罪名设置岂不失去意义?这种倾向的出现,使得“破坏计算机信息系统罪已经具有了沦为新型口袋罪名的趋势”。[1]
第145号指导案例对于非法控制计算机信息系统罪的内涵和客观方面的理解,以及准确地区分破坏计算机信息系统罪与非法控制计算机信息系统罪的界限,具有较为显著的价值;其所包含的主旨对深入理解相关罪名立法本意、办理此类犯罪案件具有十分重要的指导意义;对于破坏计算机信息系统罪所保护法益为计算机信息系统功能的完整性和正常运行状态的探讨,将成为我国计算机与信息网络犯罪领域的代表性案例。
三、裁判要点的理解与说明
第145号指导案例的裁判要点确认:1.通过植入木马程序的方式,非法获取网站服务器的控制权限,进而通过修改、增加计算机信息系统数据,向相关计算机信息系统上传网页链接代码的,应当认定为刑法第二百八十五条第二款采用其他技术手段非法控制计算机信息系统的行为。2.通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪。符合刑法第二百八十五条第二款规定的,应当认定为非法控制计算机信息系统罪。现围绕与该裁判要点相关的问题逐一解释和说明如下:
(一)对计算机信息系统数据实施修改、增加行为,属于非法控制计算机信息系统的范畴,与破坏计算机信息系统行为存在着重合、递进的关系
早期对计算机信息系统的侵犯行为,多表现为公然、粗暴的破坏行为,也使得刑法将破坏计算机信息系统罪中的“破坏”设置成了一个行为内涵相当广泛的词语,几乎将所有有关侵犯计算机信息系统功能、数据、程序的行为方式都包含在破坏之内。非法控制等犯罪形式随着计算机信息系统技术的发展,逐渐出现并蔓延,单以一项罪名已经无法全面涵盖和准确对其评价。虽将非法控制计算机信息罪等剥离出来独立成罪,但犯罪的客观形式不可能简单、绝对分离。
刑法第二百八十六条第二款关于非法控制计算机信息系统罪的规定中,没有关于非法控制客观方面的表述,要求达到情节严重程度。刑法第二百八十六条第一款、第二款关于破坏计算机信息系统罪规定中,都有修改、增加的客观方式。据此而论,似乎破坏计算机信息系统罪才规定了修改、增加的罪状。而从实际情况来看,侵犯计算机系统的手段基本是一致的。都要先侵入计算机系统,取得浏览、修改、增加、删除等权限,再行控制,尔后依其最终目的或有进一步的行为。要控制,不可避免地要对计算机系统内的数据进行修改、增加甚至删除等操作;要破坏,必然要取得对计算机系统的控制。非法控制与破坏客观保持着重合,即在非法控制中有破坏的行为,破坏中也有非法控制的行为。两者的关系,控制是破坏的前提条件,破坏牵连控制。另外,非法控制计算机系统罪规定了达到情节严重程度,破坏计算机信息系统罪规定了后果严重的要求。从刑法意义上而言,情节严重和后果严重,不是并列的两个概念,情节中包含了后果情形,增加、修改既然可作行为情节理解,也可作后果认定。因此,就某种侵犯计算机系统的行为方式,在非法控制和破坏之间,不能简单地认定是非法控制还是破坏性质。对计算机系统数据实施修改、增加等操作行为,非破坏犯罪之独属,也应是非法控制计算机信息系统罪的基本客观方面,非法控制计算机信息系统的客观方面与破坏计算机信息系统之间,具有重合、递进的关系。
(二)非法控制计算机信息系统的修改、增加行为,并不要求达到造成计算机信息系统破坏的程度
1.刑法第二百八十六条关于破坏计算机信息系统罪中修改、增加的客观方面,应具有对计算机信息系统造成计算机信息系统不能正常运行、影响计算机信息系统正常运行的结果。刑法的第二百八十六条第一款、第二款对破坏计算机信息系统罪都规定有修改、增加的行为方式,但第一款比第二款增加了造成计算机信息系统不能正常运行的条件,第三款规定的第三种行为方式也要求犯罪行为应存在影响计算机信息系统正常运行的后果。由此,有观点提出,对于第二款的适用,可不要求有第一款、第三款造成计算机信息系统不能正常运行、影响计算机信息系统正常运行的结果,只要对数据和应用程序实施了修改、增加等操作行为,即可构成本罪。该文义解释对刑法第二百八十六条第二款的理解过于字面化,形式化。文义解释通常被认为优先于其他解释,因而实务中极易被错误适用,而使得凡有增加、修改侵犯计算机信息系统行为的,都被定性为破坏,构成破坏计算机信息系统罪,导致该罪被滥用,而且排除了非法控制的可能,非法控制计算机信息系统罪被空置。该解释必然违背了两罪的立法目的。
对刑法第二百八十六条第二款,应当从本罪保护法益的角度,即立法的目的进行解释和适用。破坏计算机信息系统罪保护的法益是计算机系统数据完整和运行正常状态,造成计算机信息系统不能正常运行或影响计算机系统正常运行是该罪的本质要求。刑法第二百八十六条第二款虽未加限制,但是其客观方面也不能超出“造成计算机信息系统不能正常运行”或“影响计算机系统正常运行”后果的范围。否则即便实施了修改、增加行为,也不能构成本罪。
2.非法控制计算机信息系统罪中的修改、增加,应以利用且不破坏计算机系统实质性数据、功能及有价值数据为前提。对计算机信息系统的控制,是指行为人进入计算机信息系统后执行特定的控制性的操作。行为人在非法控制计算机信息系统过程中,出于牟利、利用的目的,只是对他人计算机的使用、控制权限按照自己的意愿,实施较轻微的修改、增加行为,以维持其所获得继续使用他人计算机牟利的目的,修改和增加都较为隐蔽,即所谓“盗窃使用”,其行为不会影响到计算机系统的正常运行或者有价值数据的完整。由此来看,非法控制计算机信息系统的修改、增加,具有适当的范围和限度,并以不达到破坏的结果为前提。
3.本案例系通过植入木马程序的方式,非法获取网站服务器的控制权限,进而通过修改、增加计算机信息系统数据,向相关计算机信息系统上传网页链接代码,应当认定为刑法第二百八十五条第二款采用其他技术手段非法控制计算机信息系统的行为。
本案例中,被告人非法侵入网站后,实施了一系列修改、增加的控制行为,非常隐蔽。其所植入的赌博广告网页隐藏较深,不会自动跳出来出现在该网站公开的网页中,也不会影响目标计算机的正常运行和使用。只有在外网点击搜索引擎时,赌博广告才会跳出来被检索到。被告人借用了政府网站高权重的功能,在检索中排名靠前,较一般网站更容易被搜索到。行为人所实施修改、增加的行为,目的是为利用,是一种控制计算机接受被上传的网页链接代码的操作,不影响目标服务器本身的正常运行,应认定为对计算机信息系统实施非法控制的行为。
刑法第二百八十五条第二款对非法控制计算机信息系统行为规定了两类方式,一种为侵入式的,是比较直接、简单的控制方式,另一种为其他技术手段方式。实施非法控制,都要侵入计算机信息系统内,该款所述的其他技术手段,应理解为相对于单纯侵入式的控制而言,所实施的控制手段更多、更复杂一些。本案中行为人的控制,就相对复杂一些,是脱离了行为人的直接操作的控制,应认定为刑法第二百八十条第二款规定的采取其他技术手段实施计算机信息系统控制的行为。
(三)准确界分非法控制计算机信息系统罪与破坏计算机信息系统罪的本质区别、处罚原则,体现罪责刑相适应原则,维护法律适用的统一性
1.非法控制计算机信息系统罪与破坏计算机信息系统罪的根本区分,在于其行为是否造成计算机的信息系统数据不完整或不能运行正常状态。前述阐明,两罪在修改、增加等客观行为上多有重合,但非法控制计算机信息系统罪的修改和增加具有一定的限度和范围,不会造成计算机信息系统不能正常运行或影响计算机系统正常运行的后果。反之,破坏计算机信息系统罪的修改和增加,应当存在造成计算机信息系统不能正常运行或影响计算机系统正常运行的结果。行为人通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,若未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪。符合刑法第二百八十五条第二款规定的,应当认定为非法控制计算机信息系统罪。
2.行为人在实施对计算机信息系统非法控制过程中,同时侵犯了不同客体,应按罪责刑相统一的原则,对行为人择重罪处罚。本案中,行为人实施非法控制的计算机既有国家政府机关的,也有普通单位的,如何对其定罪处罚,审判中也存在争议。一种观点认为,由于刑法第二百八十五条第二款规定非法控制计算机信息系统罪的对象为除国家事务、国防建设、尖端科学技术领域以外的计算机信息系统,故本案应以非法侵入计算机信息系统罪与非法控制计算机信息系统罪数罪并罚;另一种观点认为,因行为人在整个犯罪过程中出于一个罪过,实施了一个行为,同时触犯了两个罪名,属于想象竞合犯,本案应以一罪从重处罚,即按非法控制计算机信息系统罪论处。实务中,对国家事务等计算机信息系统实施非法控制一般分为两类行为,一种是对国家事务等计算机信息系统实施非法控制的行为;另一种是分别对国家事务等计算机信息系统和普通计算机信息系统实施非法控制的行为。如何选择罪数,也是实务中争议较大的问题。
刑法第二百八十五条第一款、第二款将非法侵入和非法控制计算机信息系统的犯罪对象明确进行了划分,前者为国家事务、国防建设、尖端科学技术领域的计算机信息系统,后者为国家事务、国防建设、尖端科学技术领域以外的计算机信息系统。有观点认为,两罪的对象法条划分很明确,是并列不相容的关系;按照罪行法定原则,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,应当以非法侵入计算计算机信息系统定罪处刑。我们认为,这种理解过于机械和片面。首先,从两罪的犯罪情节和社会危害性来看,非法控制要比非法侵入的行为更进一步,犯罪情节更恶劣,危害后果更大。其次,从刑罚的严厉程度来看,刑法规定非法侵入计算机信息系统罪只有一个格次,法定最高刑只有3年有期徒刑;而对于非法控制计算机信息系统罪等罪名却规定了两个格次,法定最高刑可达7年有期徒刑,可见,非法控制计算机信息系统罪的处罚要比非法侵入计算机信息系统罪的处罚更重。这就符合危害大、处罚重的基本原则。国家事务、国防建设、尖端科学技术领域计算机信息系统肩负着关乎国家安全、民生大计等公共利益的重要职责,对其实施犯罪所产生的危害后果远比普通计算机信息系统要大得多,处罚和打击必定更加严厉。再次,从重罪吸收轻罪的基本原则来看,侵入是非法控制的前提,非法控制首先要实施侵入,两者具有牵连关系,但也可各自独立成罪,应按照牵连犯择一重罪的原则处罚,而非数罪并罚。非法控制计算机信息系统罪比非法侵入计算机信息系统罪处罚更重,故选择一重罪处罚,也有其理论根据。因此,应以非法控制计算机信息系统罪一罪予以处罚。
【注释】
执笔人:江苏省南京市鼓楼区人民法院 王燕
编审人:最高人民法院案例指导工作办公室 石磊
*该文为2019年度国家社科基金重大研究专项“运用司法解释弘扬社会主义核心价值观研究”(批准号19VHJ002)阶段性成果。
[1]“刑法学者热议最高人民法院第26批指导性案例”,载2021年1月20日中国法院网,https://www.chinacourt.org/article/detail/2021/01/id/5762233,shtml。
|