文|束司斌
在当今数字化时代,计算机信息系统的安全问题日益凸显,而其中的犯罪行为更是引起了广泛关注。本文将对我国危害计算机信息系统安全类犯罪简要介绍,并根据办案经验探讨司法实践中对于这一类犯罪的分歧要点。
一、我国危害计算机信息系统相关罪名
我国与计算机信息系统安全相关的罪名规定在《刑法》第二百八十五条、第二百八十六条。分别为:
(1)非法侵入计算机信息系统罪——侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统;
(2)非法获取计算机信息系统数据罪——侵入(国家事务、国防建设、尖端科学技术领域)以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据;
(3)非法控制计算机信息系统罪——侵入(国家事务、国防建设、尖端科学技术领域)以外的计算机信息系统或者采用其他技术手段,对该计算机信息系统实施非法控制;
(4)提供侵入、非法控制计算机信息系统程序、工具罪——提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具。
(5)破坏计算机信息系统罪——对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行。
从以上罪名可看出,刑法意义上对计算机信息系统的侵犯行为包括几类:侵入、获取数据、控制、破坏。
其中,如果犯罪对象为国家事务、国防建设、尖端科学技术领域的计算机信息系统的,只要侵入即构成犯罪(非法侵入计算机信息系统罪),而无论侵入之后是否采取任何行动。如果将他人的计算机信息系统比作一间房屋,则相当于进门就构成犯罪,即使进门之后什么也没做(没有拿屋里的家具、没有和屋主抢夺房屋的控制权、也没有打砸房屋)就离开了,进门行为本身就构成犯罪了。
如果犯罪对象为该三类计算机信息系统之外的,则构成犯罪的行为标准相较于侵入更高,需要针对计算机信息系统中的“内容物”进行侵占或破坏。类比到房屋中,就例如拿屋里的东西(获取计算机信息系统数据)、抢夺房屋控制权(控制计算机信息系统)、破坏房屋(破坏计算机信息系统)。除此之外,为侵入或非法控制计算机信息系统提供程序、工具的也构成犯罪。因为开发程序、工具是需要一定的专业知识和能力的,而下游开展黑色产业的人员没有这个能力,就找上游其他人提供工具,上下游一起构成了黑灰产业链。因此,从上游打击的角度,如果提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,便直接构成提供侵入、非法控制计算机信息系统程序、工具罪。这也成为了目前该类犯罪最为广泛适用的罪名之一。
除了非法侵入计算机信息系统罪,其他罪名皆以达到情节严重或后果严重为要件之一。最高人民法院与最高人民检察院于2011年发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称为“《两高解释》”)对上述罪名的行为认定、“情节严重”或“后果严重”的标准进行了具体规定。
二、司法实践中关于危害计算机信息系统类犯罪的分歧要点
在笔者与公检法就涉危害计算机信息系统安全类的行为的罪名认定进行沟通的过程中,发现辩方与控方的分歧点主要为以下几点。
(一)“不正常”的结果和“不正常”的行为
笔者认为,危害计算机信息系统安全类犯罪与大多数传统犯罪的重要不同之一在于——罪与非罪的判断核心在于行为,而非结果。
在仅考虑一般、不考虑特殊情况(如正当防卫)的前提下,在传统的人身伤害类案件中,对他人的伤害已经造成,导致这个后果的行为肯定是不合法的,只是因其客观行为与主观认识的不同,可能会存在此罪与彼罪的区别。同理,在传统的侵财类案件中,行为人非法获取他人财物的行为已经构成侵权行为,只是因其具体行为可能存在盗窃罪、诈骗罪等此罪与彼罪的区别。这些人身伤害或财产损害结果几乎不可能系由合法行为导致。
但是,危害计算机信息系统安全类案件则不同。那些“不正常”的结果,技术上可能可以通过“合法”的行为实现,甚至有时根本无需用到“侵入”这种手段。因此,在此类案件中,不能一概地以结果的“不正常”或“非法性”倒推行为的“违法性”。诚然,该类犯罪构成存在情节或后果的要求,但该等“情节严重”或“后果严重”的标准是很低的。
根据《两高解释》规定,非法获取计算机信息系统数据、非法控制计算机信息系统罪“情节严重”的认定标准为:
(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(二)获取第(一)项以外的身份认证信息五百组以上的;
(三)非法控制计算机信息系统二十台以上的;
(四)违法所得五千元以上或者造成经济损失一万元以上的;
数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的即认定为“情节特别严重”。
提供侵入、非法控制计算机信息系统的程序、工具罪“情节严重”的认定标准为:
(一)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;
(二)提供第(一)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的;
(三)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的;
(四)明知他人实施第(三)项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的;
(五)违法所得五千元以上或者造成经济损失一万元以上的;
数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的即认定为“情节特别严重”。
因此,“行为”才是危害计算机信息系统类案件违法性判断的核心。
《两高解释》第二条对“侵入”行为进行了规定,“专门用于侵入、非法控制计算机信息系统的程序、工具”是指:(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的。
由上述条文内容分析可知,侵入的本质是未经授权或超越授权;获取计算机信息系统数据或获得计算机信息系统的控制权,这是行为的可能后果;侵入的手段是避开或者突破计算机信息系统安全保护措施。就此可见,构成“侵入”的前提是这个计算机信息系统存在安全保护措施,如果都没有这个措施,何谈“避开或者突破”呢?
那么有没有可能在不“避开或者突破计算机信息系统安全保护措施”的情况下,实现看似“不正常”的目的呢?当然有可能。比如,某改机程序可以实现对手机设备参数进行修改。一些第三方软件可能存在获取手机设备参数的需求,如果使用该改机程序,则可实现改变第三方软件获取到的参数的目的。这并不是一个“正常”的结果,但是这一结果并没有通过“避开或者突破计算机信息系统安全保护措施”的方式来实现。该程序的原理为:在第三方软件发起请求之前,即先修改手机参数,这样第三方软件调取到的直接就是修改后的数据。该程序修改的是设备本身的数据,对于第三方软件本身、第三方软件的进程以及第三方软件获取到的数据没有进行任何处理或影响。
回到房屋的例子,如果是传统盗窃罪的情景,那么行为人进到房屋偷东西了即构成犯罪,而无论他是怎么进来的。但是在危害计算机信息系统安全类犯罪中,更应该关注的是行为人是如何实现他的目的的。有可能他是破门而入的;也有可能他是直接走进来的,因为门开着或者根本就没有门;还有可能他根本就没进屋,在门外就能自行实现自己的目的。那在后两种情形下,又何谈“避开或者突破计算机信息系统安全保护措施”呢?
当然,如果最后造成了危害结果,比如行为人仍然获取了计算机信息系统的数据,并不是行为人就不用承担任何责任,其仍可能构成其他罪名,此外也可能构成民事侵权或行政违规。但是危害计算机信息系统安全类罪名保护的法益是计算机信息系统安全,如果行为人并没有影响到他人的计算机信息系统安全,则不应构成危害计算机信息系统类犯罪。
另外需要注意的是,在非法获取计算机信息系统数据、非法控制计算机信息系统罪中,手段包括“侵入”或“其他技术手段”。但是在提供侵入、非法控制计算机信息系统程序、工具罪中,属于违法提供的程序、工具的仅限于“侵入”和“非法控制”。并不是所有“技术手段”都是非法的,只是那些“专门用于侵入、非法控制计算机信息系统的程序”是非法的。如果某一程序、工具并没有“侵入”或“非法控制”功能,或虽有此功能但还存在合法使用场景的,那么对外提供这一程序、工具就不构成该罪。
更不用说,在罪与非罪之外,还存在大量此罪和彼罪混淆的情况。一个连是否构成“侵入”都尚存争议的程序,最后却被扣上了“非法控制”或“破坏性程序”的帽子。
在危害计算机信息系统安全类犯罪中,一个“不正常”的结果并不是原罪。由于刑法是最为严厉的处罚措施,适用刑法必须严格遵守罪刑法定原则。对于涉嫌危害计算机信息系统安全类犯罪的,就应当以法律法规为依据,对其技术手段进行分析,紧扣其是否具有“侵入”、“非法控制”、“破坏性”等功能来认定,紧扣其是否侵害了第三方的计算机信息系统安全来认定。如果不符合相关法律法规的定义,那么不构成就是不构成。根据罪刑法定原则,即不应判处相关罪名。
(二)鉴定意见就是全部?
鉴定意见在危害计算机信息系统安全类案件中的重要性不言而喻。鉴定意见的结论对案件的定性基本上有决定性作用,说是“一文定胜负”也不为过。但实践中基本不可能存在认定案涉程序没问题的鉴定意见,因此大多数情况也就是“一文定负”。就是如此重要的文件,在实践中却存在很多问题。
1、那些年,我们看不懂的鉴定意见
不可否认的是,危害计算机信息系统安全类案件因为涉及到技术层面的分析,纯法律人理解起来不可避免地会存在一些困难。实践中,部分司法人员对鉴定意见的倚赖性非常高,法治环境相对传统的地区尤甚。因为自身欠缺技术方面的专业知识,故而鉴定人员说什么就是什么。鉴定意见的分析部分也难以理解,所以就直接看结论部分。结论那一栏写的是什么就直接按此定罪。虽然在2012年修改后的《刑事诉讼法》中已经取消“鉴定结论”的提法而改为“鉴定意见”,体现了鉴定专家所出具的意见属于“意见证据”的属性,但直接将鉴定意见作为结论并作为定案依据的情况并不鲜见。
鉴定意见如此之重要,直接关系到犯罪嫌疑人、被告人的定罪量刑,更应当确保其结论是客观、严谨、负责任的,是在有充分依据下作出的,但现实中的鉴定意见往往漏洞百出。
2、鉴定结论:是否有定性的资格?
《刑法》中规定的危害计算机信息系统安全类犯罪,共涉及三个专门概念:“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”。
《两高解释》第十条规定,“第二百八十五条、第二百八十六条规定的‘国家事务、国防建设、尖端科学技术领域的计算机信息系统’、‘专门用于侵入、非法控制计算机信息系统的程序、工具’、‘计算机病毒等破坏性程序’难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。”与《刑法》中的规定完全对应。
根据上述规定,最高法、最高检早于2011年即划定红线,即《刑法》第285、286条中所涉三个带有专业性要求的定性工作(也是定罪量刑的最根本依据),应当且只能由“省级以上负责计算机信息系统安全保护管理工作的部门”来进行。
但是,在笔者参与办理的案件中,一个连鉴定程序都漏洞百出的普通鉴定机构都能在鉴定结论上写上案涉程序属于“破坏性程序”。以此为例,部分鉴定机构之所以这样写,是因为其根据《声像资料司法鉴定执业分类规定》取得了“电子数据鉴定”资格。《声像资料司法鉴定执业分类规定》第二十条关于电子数据功能性鉴定的表述是对“电子数据功能性鉴定包括对软件、电子设备、计算机信息系统和破坏性程序的功能进行鉴定”。但这是否意味着其能对程序进行上述定性呢?并不是。这里需要区分两个概念,“对破坏性程序的功能进行鉴定”和“确定是否属于破坏性程序”,二者含义截然不同。
什么是“对功能进行鉴定”?因为法律工作者并不精通于技术,所以需要专业人员把一个程序背后的一串串代码进行翻译成普通人能看懂的文字内容,以说明这个程序通过怎样的过程、实现了什么功能。而对这一过程的阐释尤为重要,因为法律人员需要基于这一过程来判断,这个程序是否通过避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取了数据或对计算机信息系统实施了控制。以上过程才是“对程序的功能进行鉴定”,至于如何定性应由司法人员根据鉴定人员对过程和功能的描述来自行判断,而不应由没有相应资质的司法鉴定机构直接下结论。
《声像资料司法鉴定执业分类规定》第二十条规定避开了定性的表述,正是与《两高解释》第十条相呼应。如此一来,电子数据鉴定范围的划定才是周延的,没有重复或矛盾之处。即,对功能的描述工作由一般司法鉴定机构做,但定性工作必须由“省级以上负责计算机信息系统安全保护管理工作的部门”来进行。程序是否具有破坏性的鉴定内容更为复杂,且该定性相当严重,并不是一般司法鉴定机构有资格作出的结论。上述带有定性的电子数据功能鉴定,都是超越目前一般的鉴定机构的鉴定资质的。
3、认定标准:技术标准or法律标准?
对于危害计算机信息系统安全类程序、工具的定性应当遵从技术标准还是法律标准?笔者认为,在刑法上的定性应当按照法律标准。司法部的鉴定操作规范中,专门有一篇关于破坏性程序鉴定的操作规范——《破坏性程序操作规范》,其与刑法中对“破坏性程序”的定义并不相同。如果按照该规范作出鉴定意见,就可能会作出属于“破坏性程序”的结论,法院就会依此认定为犯罪,但实际上并不符合刑法上的定义。
如上海市第三人民法院就“小白改机”一案的论述所言:
技术规范意义上的破坏性程序与刑法第286条所指破坏性程序存在着本质区别。鉴定机构对计算机软件进行功能鉴定的主要依据是《破坏性程序操作规范》第3.2条规定: 破坏性程序是对计算机信息系统的功能或计算机信息系统中储存、处理或者传输的数据等进行未经授权的获取、删除、增加、修改、干扰及破坏等的应用程序。可见其强调的是非授权性,哪怕只是起干扰作用,亦可归入技术规范意义上的破坏性程序,与严重影响计算机正常运行、破坏性极大的计算机病毒有很大不同。从入罪门槛及相关法律规定上看,刑法意义上的破坏性程序的危害程度应与计算机病毒基本相当,并非只需具有非授权性即可认定。
故“小白改机”软件即使被鉴定为技术规范意义上的破坏性程序,也不宜据此认为属刑法所规定的计算机病毒等破坏性程序。1
技术标准和法律标准的不一致,加之部分司法人员对鉴定意见的高度依赖,导致存在部分情况下司法上对于程序的定性是按照技术标准而非法律标准作出的,这并不符合立法本意。
黑灰产固然需要打击,但施以刑罚处罚并不是唯一的打击方式,更不能完全倚赖刑法予以打击。一方面,技术也是最重要的反击手段。网络攻防是一个持久的话题,黑灰产技术和网络安防技术的发展本来就是在上有政策、下有对策的关系中往复交替。如果网络安全保护完全靠公安抓人,那可能也没什么网络安全可言了。另一方面,部分灰产问题也有赖于行业治理来改善。例如虚假刷量的问题,当今时代虚假流量盛行,从推广、公关角度而言,完全真实的流量的生存空间越来越窄,恶性竞争导致越来越多主体转而寻求假量。如果不从需求端进行管理,那灰产也只会“野火烧不尽,春风吹又生”。对于确实需要刑法打击的,则应严格遵守罪刑法定原则,以客观、负责的态度加以审视,而不是让“这个结果不正常”的主观想法先入为主。
作者简介
束司斌,中国政法大学法学和侦查学(网络犯罪方向)双专业背景,具有世界500强公司工作经验。参与办理多起网络犯罪案件,包括游戏、外挂、加速器、改机软件等涉刑案件;为涵盖电商、游戏、社交、短视频、直播、广告等领域的多家互联网企业提供过合规法律服务。
业务领域:网络犯罪、企业合规治理、白领犯罪。
1:参见:陈兵、刘华锋:《长案释法|徐某、潘某等人提供侵入、非法控制计算机信息系统程序、工具案》,2021年1月22日发布于“上海长宁法院”公众号,https://mp.weixin.qq.com/s/9P5QJqodYR640Ql8Pyw7CA。
声明:本文来自网络法实务圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。