谢君泽:破坏计算机信息系统“功能”的实例分析 | 专栏
中国民商法律网
责任编辑:李欣南
图片:师文、李欣南
我国现行刑法第286条第一款规定了破坏计算机信息系统“功能”的犯罪,然而,至于什么是信息系统的“功能”?怎么样算是破坏信息系统的“功能”?实务界与学术界均存在不同的理解。本文从两个经典实例案件开展讨论,将第286条第一款所说的“功能”定位为信息系统的“服务功能”,对理论研究和实务非常有启示意义。
我国现行刑法第286条第一款规定了破坏计算机信息系统“功能”的犯罪,即:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。然而,至于什么是信息系统的“功能”?怎么样算是破坏信息系统的“功能”?实务界与学术界均存在不同的理解。笔者试图以两个经典实例案件开展讨论。
1“功能”的技术理解:系统自身功能
在某一案件中,犯罪嫌疑人通过SQL注入的方法入侵被害人公司的服务器并修改服务器上存储的业务数据,但该入侵行为并不影响被害服务器为其他用户提供正常的各种网络服务。
对于这种行为,检察院认为,是属于破坏信息系统的“功能”,并以此提起公诉。这种理解往往为大多数技术人员所支持。技术人员一般认为,信息系统作为一个有机整体,它的“功能”是按照特定的技术架构和技术规则对相关数据进行处理、传输、存储等有序操作和管理。由于本案的犯罪嫌疑人通过SQL注入的方法破坏了信息系统对数据进行操作、管理的特定规则,因此这种犯罪行为属于我国现行刑法第286条第一款规定的“对计算机信息系统功能进行删除、修改、增加、干扰”。笔者认为,这种观点其实是将第286条第一款所说的“功能”等同于信息系统的自身功能。
2“功能”的法律理解:系统服务功能
然而,在另一DDOS攻击案件中,又有司法人员否认了“功能”是指“信息系统自身功能”的观点。
我们知道,DDOS攻击案件中,嫌疑人往往是通过控制大量的“肉鸡”(被黑客远程控制的机器),在同一时间内对目标服务器发起海量的恶意访问,使目标服务器的CPU、网络带宽等资源被严重占用,从而使被害人服务器无法为其他用户提供正常的各种网络服务。绝大多数情况下,DDOS攻击并不直接入侵被害人服务器,或者对其中的数据进行删除、修改、增加等。换言之,如果说第286条第一款所说的“功能”等同于信息系统的自身功能,那么DDOS攻击案件就不构成对信息系统“功能”的侵犯。
然而,承办的司法人员认为,虽然DDOS攻击并不破坏信息系统的自身功能,但DDOS攻击破坏了服务器对外提供“服务”的功能。也就是说,破坏信息系统的“功能”,不在于信息系统本身是否正常运行,而在于信息系统能否正常地为用户提供“服务”。显然,这种观念认为,第286条第一款所说的“功能”是指信息系统所提供的“服务功能”。至少,不仅是信息系统的自身功能。
3两种“功能”观的法律效应:网络攻防研究者的法律地位
实际上,我们不难发现,信息系统的“自身功能”与信息系统的“服务功能”具有紧密的关联性。信息系统的“服务功能”,作为信息系统的对外表现,是信息系统设计与运行的根本目的。而信息系统的“自身功能”是信息系统实现“服务功能”的内在基础,直接关系到信息系统能否有效对外提供“服务功能”。
从技术上讲,当信息系统的“自身功能”损害到达一定程度时,会使信息系统的“服务功能”受到影响。具体而言,当与“服务功能”有关的系统程序或应用程序遭到破坏时,往往会使信息系统的“服务功能”遭受影响。而,若仅是修改与执行“服务功能”相关程序无关的存储数据时,并不必然造成信息系统“服务功能”的影响,如前所述的SQL注入修改业务数据案件。与此相对,信息系统的“服务功能”受到影响,不必然是由信息系统“自身功能”损害而引起,也可能是因通信堵塞或中断所造成的,如前所述的DDOS攻击堵塞通信信道。
不管若何,这两种“功能”观的孰是孰非,立法者并未给出统一的解释。作为司法者的两高在2011年发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》对于信息系统的“功能”亦未作出界定。
笔者认为,对信息系统“功能”的界定是十分重要的,尤其是对于从事网络攻防的研究者。比如,著名的“乌云网”就是以收集和报告漏洞为主要目标。实际上,我国民间还存在诸多从事网络攻防的研究者。他们对于提高我国的网络安全水平具有重要的作用。
然而,由于网络的特性及网络安全的特殊性,漏洞收集或攻防研究势必要对互联网中的大量服务器进行漏洞扫描或安全测试。从技术上讲,这种漏洞扫描或安全测试或多或少会破坏目标服务器的自身功能。然而,从法的指引、评价、预测、教育等功能来讲,笔者认为,仍不宜将此类行为定性为犯罪。当然,如果在漏洞扫描或安全测试之余,又继续实施非法控制计算机信息系统、非法获取计算机信息系统数据、破坏计算机信息系统等违法犯罪行为的,则另当别论。
总的来说,在现阶段,将第286条第一款所说的“功能”定位为信息系统的“服务功能”,笔者认为更为适宜。