【理解与适用】两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》
点击阅读:最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释(法释〔2011〕19号 自 2011年 9月 1日 起施行)
《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的理解与适用
作者:喻海松(最高人民法院) 来源:《人民司法》2011年第19期
最高人民法院、最高人民检察院联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号,以下简称《解释》),自2011年9月1日起施行。《解释》的颁行,对于依法惩治危害计算机信息系统安全犯罪活动,维护正常的计算机网络运行秩序,具有重要意义。为便于司法实践中正确理解和适用,现就《解释》的制定背景及经过、起草中的主要考虑、主要内容、时间效力等问题介绍如下。
一、《解释》的制定背景及经过
随着计算机信息技术和互联网的快速发展,计算机信息系统在现代社会中发挥着越来越重要的作用,大量的经济活动、社会交往和日常生活都依赖于计算机信息系统的正常运行。计算机信息系统的普及极大地方便了人民群众的工作生活,但其自身的安全问题也日益突出。为保护计算机信息系统的安全,1997年《中华人民共和国刑法》(以下简称《刑法》)对危害计算机信息系统安全的犯罪作了规定:第285条对非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为作了规定;第286条对破坏计算机信息系统功能,破坏计算机信息系统中的数据和应用程序,制作、传播计算机病毒等破坏性程序的行为作了规定。针对维护计算机信息系统安全方面出现的新情况,《中华人民共和国刑法修正案(七)》对《刑法》关于危害计算机信息系统安全的犯罪作了补充:在《刑法》第285条增加第2款,对违反国家规定,侵入第1款规定的计算机信息系统以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制的行为作了规定;在《刑法》第285条增加第3款,对提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为作了规定。这些规定对于保护计算机信息系统安全,打击计算机网络犯罪发挥了重要作用。
2010年6月,国务院新闻办公室发表了《中国互联网状况》白皮书,维护互联网安全是其中的重要内容。根据《中国互联网状况》白皮书,近年来,我国面临黑客攻击、网络病毒等违法犯罪活动的严重威胁,网络犯罪呈上升趋势,成为世界上黑客攻击的主要受害国之一。据不完全统计,2009年我国被境外控制的计算机IP地址达100多万个;被黑客篡改的网站达4.2万个;被“飞客”蠕虫网络病毒感染的计算机每月达1800万台,约占全球感染主机数量的30%。而据公安部提供的情况,近5年来,我国互联网上传播的病毒数量平均每年增长80%以上,互联网上平均每10台计算机中有8台受到黑客控制,公安机关受理的与黑客攻击破坏活动相关的案件平均每年增长110%。而且,犯罪分子通过非法控制计算机信息系统、非法获取计算机信息系统数据、制作销售黑客工具等行为牟取巨额利润,进而逐步形成由制作黑客工具、销售黑客工具、非法获取计算机信息系统数据、非法控制计算机信息系统、倒卖非法获取的计算机信息系统数据、倒卖非法控制的计算机信息系统的控制权等各个环节构成的利益链条。
目前,严厉打击危害计算机信息系统安全犯罪,加大对信息网络安全的保护力度,刻不容缓。然而,在办理危害计算机信息系统安全案件的过程中,适用《刑法》相关规定遇到了一些问题,需要进一步明确:(1)《刑法》第285条、第286条规定的有关术语,如“专门用于侵入、非法控制计算机信息系统的程序、工具”和“计算机病毒等破坏性程序”等,其含义需进一步明确。(2)对犯罪行为的情节和后果缺乏可量化的衡量标准。《刑法》第285条、第286条涉及的“情节严重”、“情节特别严重”、“后果严重”、“后果特别严重”等规定缺乏具体认定标准,办案部门认识不一,难以操作。(3)对于倒卖计算机信息系统数据、控制权等行为的定性、以单位名义或者单位形式实施危害计算机信息系统安全犯罪的处理、危害计算机信息系统安全共同犯罪的处理等疑难问题,司法实务部门反映突出。有鉴于此,为适应司法实践需要,明确危害计算机信息系统安全犯罪的法律适用问题,在中央有关部门的大力协作下,最高人民法院会同最高人民检察院,于2009年下半年启动了《解释》的制定工作。
“两高”抽调专门力量,负责起草司法解释。在充分了解当前危害计算机信息系统安全犯罪活动情况、司法实践遇到的问题的基础上,有关部门多次研究论证,拟出了《解释》初稿。2010年3月至6月,“两高”研究室会同公安部网络安全保卫局,对《解释》初稿进行了多次研究、修改,并前往案件多发地区进行调研,听取当地法院、检察、公安系统同志的意见。2010年7月至8月,“两高”研究室将解释稿送请“两高”相关部门征求意见,并征求了全国部分高级人民法院、省级人民检察院和公安厅(局)的意见。根据反馈意见,形成专家论证稿,听取了赵秉志、陈兴良、张明楷等法律专家和方滨兴、季听华等技术专家的意见。之后将解释稿送请全国人大常委会法工委刑法室、工业和信息化部办公厅、国家安全部法制办、国家保密局政法司征求意见。几经综合研究,反复修改,形成了《解释》(送审稿),分别于2011年6月20日由最高人民法院审判委员会第1524次会议、2011年7月11日由最高人民检察院第十一届检察委员会第63次会议通过,自2011年9月1日起施行。
二、《解释》起草中的主要考虑
为确保《解释》的内容科学合理,能够适应形势发展、满足司法实践需要,我们在起草过程中,着重注意把握了以下几点:
第一,科学合理地确定危害计算机信息系统安全犯罪的定罪量刑标准。为给司法实务提供可操作的定罪量刑标准,《解释》的不少条款都涉及数量或者数额。基于严厉打击危害计算机信息系统安全犯罪的考虑,我们立足司法实践,切实贯彻宽严相济刑事政策,对数量、数额标准作出了相应规定。在制定过程中,我们组织专门力量深入司法实践,了解具体案件,为确定行为的社会危害性程度提供了依据,并充分听取了各方意见,最终确定了定罪量刑的相关数量或者数额标准。例如,根据数据的重要性程度不同,对非法获取计算机信息系统数据罪的入罪标准予以合理区分:非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的构成犯罪,而非法获取其他身份认证信息500组以上的构成犯罪。根据司法实践的具体情况,并考虑有效惩治和震慑非法控制计算机信息系统犯罪的需要,将非法控制计算机信息系统罪的人罪标准规定为20台以上。
第二,注重斩断危害计算机信息系统安全犯罪的利益链条。近年来,危害计算机信息系统安全犯罪猖獗和泛滥的深层次原因是形成了环环相扣的利益链条。因此,打击危害计算机信息系统安全犯罪的关键就是要斩断利益链,这是制定《解释》所要解决的核心问题之一。《解释》的相关规定明确了制作黑客工具、销售黑客工具、非法获取计算机信息系统数据、非法控制计算机信息系统、倒卖非法获取的计算机信息系统数据、倒卖非法控制的计算机信息系统的控制权等各种行为的刑事责任,有利于从源头上切断利益链条,有效遏制危害计算机信息系统安全犯罪的蔓延和泛滥。
第三,有效解决打击危害计算机信息系统安全犯罪司法实践中反映突出的法律适用问题。多年来,司法机关在办理危害计算机信息系统安全犯罪案件的过程中遇到了法律适用的困难。在《解释》起草过程中,我们为适应司法实践需要,明确了危害计算机信息系统安全犯罪的定罪量刑标准,并特别解决了掩饰、隐瞒计算机信息系统数据、控制权行为的定性、以单位名义或者单位形式实施危害计算机信息系统安全犯罪的处理原则、危害计算机信息系统安全共同犯罪的处理原则等长期困扰司法实践的突出问题。
三、《解释》的主要内容
《解释》共11个条文,大体而言,可以划分为如下三大块内容:(1)明确危害计算机信息系统安全犯罪的定罪量刑标准,对《刑法》第285条、第286条涉及的“情节严重”、“情节特别严重”、“后果严重”、“后果特别严重”的具体情形作出规定;(2)界定危害计算机信息系统安全犯罪中术语的范围,对“计算机信息系统”、“计算机系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”等术语的内涵和外延予以明确;(3)解决办理危害计算机信息系统安全犯罪中有关法律适用的疑难问题,对掩饰、隐瞒计算机信息系统数据、控制权行为的定性、以单位名义或者单位形式实施危害计算机信息系统安全犯罪的处理原则、危害计算机信息系统安全共同犯罪的处理原则等问题作出明确规定。
(一)明确危害计算机信息系统安全犯罪的定罪量刑标准
1.非法获取计算机信息系统数据、非法控制计算机信息系统行为的定罪量刑标准
《解释》第1条共分为3款,明确了《刑法》第285条第2款规定的非法获取计算机信息系统数据、非法控制计算机信息系统罪中“情节严重”、“情节特别严重”的具体情形。
第1款规定了“情节严重”的具体认定标准。主要包括下列情形:第一项以获取网络金融服务的身份认证信息的数量为标准。与计算机信息系统安全相关的数据中最为重要的是用于认证用户身份的身份认证信息(如口令、证书等),此类数据通常是网络安全的第一道防线,也是网络盗窃的最主要对象,特别是非法获取电子银行、证券交易、期货交易等网络金融服务的账号、口令等身份认证信息,故应对网络金融服务的身份认证信息予以重点保护。根据司法实践的情况,综合考虑行为的社会危害性,获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上即属“情节严重”。第二项以获取网络金融服务以外的身份认证信息的数量为标准。对于网络金融服务以外的其他网络服务,如网络即时通讯、网络邮箱等,网络盗窃者非法获取这些身份认证信息的案件也较为多发。获取其他网络服务的身份认证信息500组以上的,应当认定为“情节严重”。需要注意的是,对于实践中发生的出于好奇、显示网络技术等目的而实施的打包盗窃论坛身份认证信息等行为,即使获取身份认证信息略微超过500组的,由于社会危害性不大,也应当适用《刑法》第13条“但书”的规定,不宜纳入刑事打击的范围。在司法实践中,要准确把握第一项和第二项规定的一组身份认证信息的概念。所谓一组身份认证信息,是指可以确认用户在计算机信息系统上操作权限的认证信息的一个组合。比如,某些网上银行需要用户名、密码和动态口令就可以转账,那么用户名、密码和动态口令就是一组身份认证信息;有的网上银行除上述三项信息外还需要手机认证码才可以转账,缺一不可,那么这四项信息才能构成一组身份认证信息。但是,对于身份认证信息,特别是密码信息,很多用户有经常更改的习惯,故认定一组身份认证信息不应以在办案过程中是否可以实际登录使用为判断标准,而应结合其非法获取身份认证信息的方法判断该身份认证信息在被非法获取时是否可用为依据。比如,使用木马程序能有效截获用户输入的账号、密码,则不管该密码当前是否可用,只要是使用该木马程序截获的账号、密码,就应认定为一组有效身份认证信息。第三项以非法控制计算机信息系统的数量为标准。在非法侵入计算机信息系统后,并未破坏计算机信息系统的功能或者数据,而是通过控制计算机信息系统实施特定操作的行为被称为“非法控制计算机信息系统”。很多攻击者通过控制大量计算机信息系统形成僵尸网络(Botnet)。据统计,全世界的僵尸网络75%位于我国,有的僵尸网络控制的计算机信息系统甚至多达数十万台,这已成为我国互联网安全的重大隐患。为了解决上述问题,将非法控制计算机信息系统台数作为衡量情节严重的标准之一,即非法控制计算机信息系统20台以上的,应当认定为“情节严重”。第四项以违法所得或者经济损失的数额为标准。非法获取计算机信息系统数据、非法控制计算机信息系统行为的主要目的是牟利,且易给权利人造成经济损失,故将违法所得数额和财产损失数额作为衡量情节严重的标准之一,即违法所得5000元以上或者造成经济损失1万元以上的,应当认定为“情节严重”。第五项是关于兜底条款的规定。此外,第2款根据计算机网络犯罪的性质和危害程度,并参照以往有关司法解释,以“情节严重”的5倍为标准,对“情节特别严重”作了规定。
明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用,使得该计算机信息系统继续处于被控制状态,实际上是对该计算机信息系统实施控制,应当认定为非法控制计算机信息系统,故第3款明确规定对此种行为适用前两款关于非法控制计算机信息系统行为的定罪量刑标准。
2.提供侵入、非法控制计算机信息系统程序、工具行为的定罪量刑标准
《解释》第3条共分为2款,明确了《刑法》第285条第3款规定的提供侵入、非法控制计算机信息系统程序、工具罪中“情节严重”、“情节特别严重”的具体情形。
第1款明确了“情节严重”的具体认定标准。对于提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为,主要从以下几个方面认定“情节严重”:一是提供程序、工具的人次。其中,第一项规定提供网银木马等能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具5人次以上的,属于“情节严重”;第二项规定提供盗号程序、远程控制木马程序等其他专门用于侵入、非法控制计算机信息系统的程序、工具20人次以上的,属于“情节严重”;第三项规定明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具5人次以上的,属于“情节严重”;第四项规定明知他人实施其他侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具20人次以上的,属于“情节严重”。二是违法所得和经济损失数额。提供此类工具的行为主要以获利为目的,正是在非法获利的驱动下,互联网上销售各类黑客工具的行为才会泛滥,且往往会给权利人造成经济损失,故第五项将违法所得5000元以上或者造成经济损失1万元以上作为认定“情节严重”的标准之一。三是对于其他无法按照提供的人次、违法所得数额、经济损失数额定罪的,第六项设置了兜底条款。此外,第2款规定“情节严重”和“情节特别严重”之间为5倍的倍数关系。
3.破坏计算机信息系统功能、数据或者应用程序行为的定罪量刑标准
《解释》第4条共分为2款,明确了《刑法》第286条第1款、第2款规定的破坏计算机信息系统罪中“后果严重”、“后果特别严重”的具体情形。
第1款规定了“后果严重”的具体认定标准。对于破坏计算机信息系统功能、数据或者应用程序的行为,主要从以下几个方面认定“后果严重”:一是破坏计算机信息系统的数量。第一项规定造成10台以上计算机信息系统的主要软件或者硬件不能正常运行的,属于“后果严重”。需要注意的是,“计算机信息系统的主要软件或者硬件不能正常运行”,不能仅仅理解为计算机信息系统不能启动或者不能进入操作系统等极端情况,而是既包括计算机信息系统主要软件或者硬件的全部功能不能正常运行,也包括计算机信息系统主要软件或者硬件的部分功能不能正常运行。根据《刑法》第286条第2款的规定,“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”,也是破坏计算机信息系统的方式之一。需要强调的是,从司法实践来看,破坏计算机信息系统数据、应用程序的案件,主要表现为对数据进行删除、修改、增加的操作,鲜有破坏应用程序的案件。因此,对于《刑法》第286条中“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加操作”的规定,应当理解为“数据”、“应用程序”均可以成为犯罪对象,而并不要求一次破坏行为必须同时破坏数据和应用程序,这样才能实现对计算机信息系统中存储、处理或者传输的数据、应用程序的有效保护,有效维护计算机信息系统安全。基于上述考虑,第二项规定对20台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的,应当认定为“情节严重”。二是违法所得、经济损失的数额。第三项规定违法所得5000元以上或者造成经济损失1万元以上的,属于“后果严重”。三是针对特定类型的计算机信息系统作出的特殊规定。在网络上存在很多为其他计算机信息系统提供基础服务的系统,如域名解析服务器、路由器、身份认证服务器、计费服务器等,对这些服务器实施攻击可能导致大量的计算机信息系统瘫痪。比如,一个域名解析服务器可能为数万个网站提供域名解析服务,对其实施拒绝服务攻击将可能导致数万个网站无法访问,表面上其攻击行为仅破坏了一台服务器的功能,但由此引发的后果却远大于此。因此,针对特定类型或者特定领域计算机信息系统的攻击是互联网上危害最为严重的攻击行为,应当对此作出专门规定。第四项规定造成为100台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为1万以上用户提供服务的计算机信息系统不能正常运行累计1小时以上的,属于“后果严重”。司法实践中应当注意的是,认定被破坏的计算机信息系统是否属于本款第四项中的“为一万以上用户提供服务的计算机信息系统”或第2款第二项中的“为五万以上用户提供服务的计算机信息系统”,可按如下方法:有注册用户的,按照其注册用户数量统计,没有注册用户的,按照其服务对象数量统计。此外,第五项为兜底条款。
第2款规定了“后果特别严重”的具体情形。第一项规定,通常情况下,“后果严重”和“后果特别严重”之间为5倍的倍数关系。第二项针对为其他计算机信息系统提供基础服务或者其他服务的特定类型的计算机信息系统作出特殊规定。此外,国家机关或者金融、电信、交通、教育、医疗、能源领域的计算机信息系统主要用于提供公共服务。考虑到此类计算机信息系统的特殊性,第三项将破坏该类计算机信息系统的功能、数据或者应用程序,致使生产、生活受到严重影响或者造成恶劣社会影响的情形规定为“情节特别严重”。
需要注意的是,《解释》第4条只是明确了破坏计算机信息系统功能、数据或者应用程序行为的“后果严重”、“后果特别严重”的具体情形,是否构成犯罪,还需要结合《刑法》规定的其他要件判断。而根据《刑法》第286条第l款、第2款的规定,破坏计算机信息系统功能和破坏计算机信息系统数据、应用程序行为的人罪要件并不相同,前者要求“造成计算机信息系统不能正常运行”,而后者不需要这一要件。因此,在司法实践中,需要依据《刑法》和《解释》的规定,根据具体案件情况进行分析判断,确保定罪量刑的准确。
4.故意制作、传播计算机病毒等破坏性程序行为的定罪量刑标准
《解释》第6条共分为2款,明确规定了故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行行为的定罪量刑标准。
根据《刑法》第286条第3款的规定,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,是破坏计算机信息系统的一种情形。在起草过程中,着重考虑了如下两个问题:一是如果仅制作计算机病毒等破坏性程序而不传播,就不可能“影响计算机系统正常运行”,故制作计算机病毒等破坏性程序的行为不可能独立构成犯罪。换言之,《刑法》第286条第3款本身并不属于“制作、提供工具罪”,故对于互联网上制作、销售计算机病毒等破坏性程序的行为无法独立打击。二是将向他人提供(也即人到人的“传播”)计算机病毒等破坏性程序的行为都纳入“传播”的范畴,但同时也要求其行为必须最终导致“影响计算机系统正常运行”的后果,即其制作、提供的计算机病毒等破坏性程序最终被使用并产生后果,避免突破《刑法》条文的规定。
在此基础上,第1款明确了“情节严重”的具体认定标准。《解释》第5条第一项规定的计算机病毒等破坏性程序具有自我复制传播特性,传播方式容易引起大规模传播。由于此类程序一经传播即无法控制传播面,也无法对被侵害的计算机逐一取证确认其危害后果,因此,本款第一项规定制作、提供、传输该类程序,只要导致该程序通过网络、存储介质、文件等媒介传播的,即应当认定为“后果严重”。而“逻辑炸弹”等其他破坏性程序在未触发之前,并不破坏计算机系统,只存在潜在的破坏性,只有向被侵害计算机系统植入该程序,才满足“影响计算机系统正常运行”的要件。因此,第二项规定向20台以上计算机系统植入其他破坏性程序的,应当认定为“后果严重”。以提供计算机病毒等破坏性程序的人次、违法所得数额、经济损失数额作为衡量“后果严重”的标准,第三项、第四项规定提供计算机病毒等破坏性程序10人次以上、违法所得5000元以上或者造成经济损失1万元以上的,属于“后果严重”。此外,第五项为兜底条款。
第2款规定“后果特别严重”的认定标准。计算机病毒容易引起大规模传播,且一经传播即无法控制传播面,故第一项特别规定制作、提供、传输计算机病毒等破坏性程序,导致该程序通过网络、存储介质、文件等媒介传播,致使生产、生活受到严重影响或者造成恶劣社会影响的,应属“后果特别严重”。在其他情况下,“后果严重”和“后果特别严重”之间为5倍的倍数关系。
(二)界定危害计算机信息系统安全犯罪中术语的范围
1.“专门用于侵入、非法控制计算机信息系统的程序、工具”的范围界定
《解释》第2条明确了《刑法》第285条第3款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”的具体范围。
本条解释的关键是对《刑法》第285条第3款规定的“专门”一词的含义作出明确。参考立法机关编写的相关论著,《刑法》第285条第3款中的“专门用于侵入、非法控制计算机信息系统的程序、工具”,是指行为人所提供的程序、工具只能用于实施非法侵入、非法控制计算机信息系统的用途。可见,其区别于一般的程序、工具之处在于此类程序、工具是专门用于违法犯罪目的的,而不包括那些既可以用于违法犯罪目的又可以用于合法目的的“中性程序、工具”。因此,“专门”是对程序、工具本身的用途非法性的限定,是通过程序、工具本身的用途予以体现的。而程序、工具本身的用途又是由其功能所决定的,如果某款程序、工具在功能设计上就只能用来违法地实施控制、获取数据的行为,就可以称之为“专门工具、程序”。我们认为,从功能设计上可以对“专门用于侵入、非法控制计算机信息系统的程序、工具”作如下界定:
首先,程序、工具本身具有获取计算机信息系统数据,控制计算机信息系统的功能。《刑法》第285条第3款的用语是“专门用于侵入、非法控制计算机信息系统的程序、工具”,从字面上看,没有涉及“专门用于非法获取数据的工具”。但是,从刑法规范的逻辑角度而言,《刑法》第285条第3款应当是前两款的工具犯。换言之,通过侵入计算机信息系统而非法获取数据的专门性程序、工具也应当纳入“专门用于侵入计算机信息系统的程序、工具”的范畴,这并未超越刑法用语的规范含义。因此,“专门用于侵入、非法控制计算机信息系统的程序、工具”,既包括专门用于侵入、非法控制计算机信息系统的程序、工具,也包括通过侵入计算机信息系统而非法获取数据的专门性程序、工具。顺带需要提及的是,基于同样的理由,《刑法》第285条第3款后半句规定的“明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具”中的“侵入”既包括非法侵入计算机信息系统行为,也包括通过侵入计算机信息系统而非法获取数据的行为。由于专门用于实施非法侵人计算机信息系统的程序、工具较为少见,而且难以从功能上对其作出界定,对其主要应通过主观设计目的予以判断(即本条第三项的规定)。基于上述考虑,这里主要强调了程序、工具本身的获取数据和控制功能。
其次,程序、工具本身具有避开或者突破计算机信息系统安全保护措施的功能。有不少木马程序既可用于合法目的也可用于非法目的,属于“中性程序”。比如,windows系统自带的Terminal Service(终端服务)也可以用于远程控制计算机信息系统。很多商用用户运用这种远程控制程序以远程维护计算机信息系统。通常情况下,攻击者使用的木马程序必须故意逃避杀毒程序的查杀、防火墙的控制,故此类木马程序区别于“中性程序”。商用远程控制程序的主要特征是其具有“避开或者突破计算机信息系统安全保护措施”的功能,如自动停止杀毒软件的功能、自动卸载杀毒软件的功能等。在互联网上广泛销售的所谓“免杀”木马程序即属于此种类型的木马程序。因此,本条将专门用于“避开或者突破计算机信息系统安全保护措施”作为界定标准之一。
最后,程序、工具的获取数据和控制功能,在设计上即能在未经授权或者超越授权的状态下得以实现。这是专门程序、工具区别于“中性程序、工具”的典型特征,是该类程序违法性的集中体现。例如,“网银大盗”程序通过键盘记录的方式,监视用户操作,当用户使用个人网上银行进行交易时,该程序会恶意记录用户所使用的账号和密码,记录成功后,程序会将盗取的账号和密码发送给行为人。该程序在功能设计上即可在无需权利人授权的情况下获取其网上银行的账号、密码等数据。“中性程序、工具”不具备在未经授权或超越授权的情况下自动获取数据或者控制他人计算机信息系统的功能。
基于上述考虑,本条第一项、第二项将具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能或者对计算机信息系统实施控制的功能的程序、工具列为“专门用于侵入、非法控制计算机信息系统的程序、工具”。这两类程序、工具都符合了上述三个要件,明显有别于“中性程序、工具”,能够被认定为专门性程序、工具。此外,第三项还列出了其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。在黑客攻击破坏活动中还存在很多专门为实施违法犯罪活动而设计的程序、工具,如针对某类网吧管理系统的漏洞专门设计的侵入程序,针对某个网络银行系统设计专用的侵入程序。此类程序难以进行详细分类并一一列举,也难以准确地概括其违法性的客观特征。因此,此项规定并不是通过程序的客观特性界定其范围,而是通过设计者的主观动机予以界定,具体哪些程序属于这一范畴应当具体情形具体分析。
2.“计算机病毒等破坏性程序”的范围界定
《解释》第5条明确了《刑法》第286条第3款规定的“计算机病毒等破坏性程序”的具体范围。主要涵括了如下三类程序:第一项把能够通过网络、存储介质、文件等媒介,将自身的部分、全部或者变种进行复制、传播,并破坏计算机系统功能、数据或者应用程序的程序纳入计算机病毒等破坏性程序的范围。此类程序的危害性主要是其传播方式容易引起大规模传播,而且一经传播即无法控制传播面,也无法对被侵害的计算机逐一取证确认其危害后果。第二项将能够在预先设定条件下自动触发,并破坏计算机系统数据、功能或者应用程序的程序(如逻辑炸弹)纳入计算机病毒等破坏性程序的范围。此类程序一旦被触发即可破坏计算机系统数据、功能或者应用程序,但在未触发之前仍存在潜在的破坏性。第三项将其他专门设计用于破坏计算机系统数据、功能或者应用程序的程序纳入计算机病毒等破坏性程序的范围。
3.“计算机信息系统”和“计算机系统”的范围界定
《解释》第1l条第1款对“计算机信息系统”和“计算机系统”的内涵和外延进行了界定。
《刑法》第285条、第286条使用了“计算机信息系统”、“计算机系统”两种表述,其中《刑法》第286条第3款中使用的是“计算机系统”,其他条款使用的则是“计算机信息系统”。本条对这两种表述作了统一界定,原因如下:一是从技术角度看,这两种表述已无法区分。《刑法》第285条、第286条立法区分这两者的原意是考虑侵入计算机信息系统、破坏计算机信息系统功能、数据或者应用程序的对象应当是数据库、网站等提供信息服务的系统,而传播计算机病毒如果只影响计算机操作系统(计算机系统)本身,即使不对系统的信息服务造成影响也应当受到处罚。但随着计算机技术的发展,计算机操作系统与提供信息服务的系统已密不可分。例如,很多操作系统自身也提供WFB(互联网)服务、FTP(文件传输协议)服务,而侵入操作系统也就能够实现对操作系统上提供信息服务的系统实施控制,破坏操作系统的数据或者功能也就能够破坏操作系统上提供信息服务的系统的数据或者功能,从技术角度无法准确划分出提供信息服务的系统和操作系统。二是从保护计算机信息系统安全这一立法目的出发,对这两种表述进行区分没有必要。不论危害的是计算机操作系统还是提供信息服务的系统,只要情节严重或者造成严重后果的,都应当追究刑事责任。三是经过对美、德等国的网络犯罪立法进行研究可以看出,这些国家均在立法中使用单一的计算机系统、计算机等术语,而未对计算机信息系统和计算机系统进行区分。
本款将“计算机信息系统”和“计算机系统”统一界定为“具备自动处理数据功能的系统”,原因如下:一是具备自动处理数据功能的系统都可能成为被攻击的对象,有必要将其纳入刑法保护范畴。随着信息技术的发展,各类内置有可以编程、安装程序的操作系统的数字化设备被广泛应用于各个领域,其本质与传统的计算机系统已没有任何差别。这些设备都可能受到攻击和破坏:互联网上销售的专门用于控制手机的木马程序,可以通过无线网络获取手机中的信息;通过蓝牙、wi—Fi(将个人电脑、手持设备等终端以无线方式互相连接的技术)等无线网络传播病毒的案件也呈现快速增长态势;在工业控制设备中可能植入破坏性程序,使得工业控制设备在特定条件下运行不正常;在打印机、传真机等设备中可以内置程序非法获取相关数据。总之,任何内置有操作系统的智能化设备都可能成为入侵、破坏和传播计算机病毒的对象,因此应当将这些设备的安全纳入刑法保护范畴。二是本定义借鉴了多个国家有关法律的相关定义。例如,美国将计算机定义为“具备自动处理数据的功能的一个或者一组设备”,欧盟网络犯罪公约将计算机定义为“由软件和硬件构成的用于自动处理数据的设备”,其出发点都是将保护计算机信息系统安全的法律适用于所有具有自动处理数据功能的设备。
为使相关界定更加明确,方便司法实践适用,本款采用了概括加例举的解释方法,即在对“计算机信息系统”、“计算机系统”作归纳定义的同时,还例举“计算机”、“网络设备”、“通信设备”、“自动化控制设备”等具体情形。其中,“网络设备”是指由路由器、交换机等组成的用于连接网络的设备;“通信设备”包括手机、通信基站等用于提供通信服务的设备;“自动化控制设备”是指在工业中用于实施自动化控制的设备,如电力系统中的监测设备、制造业中的流水线控制设备等。
4.“身份认证信息”的范围界定
由于《解释》多处涉及“身份认证信息”这一术语,第11条第2款明确了“身份认证信息”的内涵和外延。考虑到司法实践的具体情形,采用了概括加例举的方法,将“身份认证信息”界定为用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。从实践来看,数字签名、生物特征等都属于“身份认证信息”。
5.“经济损失”的范围界定
《解释》第11条第3款明确了“经济损失”的计算范围,具体包括危害计算机信息系统犯罪行为给用户造成的直接经济损失,以及用户为恢复数据、功能而支出的必要费用。需要注意的是,破坏计算机信息系统功能、数据给用户带来的预期利益的损失不能纳入“经济损失”的计算范围。
6.危害计算机信息系统安全犯罪案件的检验问题
考虑到危害计算机信息系统安全犯罪案件的司法认定专业性强,为确保相关案件依法得到稳妥、正确处理,《解释》第10条专门规定对于是否属于“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)第6条规定:“公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。”因此,对于相关情形难以确定的,应当根据案件具体涉及的领域,从省级以上的公安部门、国家安全部门、保密部门或者其他有关部门中选取确定检验部门。从实践来看,进行检验的部门主要应当是省级以上公安机关。
(三)解决办理危害计算机信息系统安全犯罪中有关法律适用的疑难问题
1.掩饰、隐瞒计算机信息系统数据、控制权行为的定性
《解释》第7条明确了明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒行为的定性问题。
危害计算机信息系统安全犯罪活动的一个重要特点是分工细化。例如,在非法获取计算机信息系统数据活动中,制作非法获取数据的程序、传播用于非法获取数据的程序、非法获取数据、获取数据后销赃获利、使用数据等行为通常由不同人员实施。在这些行为中,由于行为人之间事前无通谋,欠缺共同犯罪故意,难以依据共同犯罪予以打击。目前,收购、代为销售或者以其他方法掩饰、隐瞒计算机信息系统数据、控制权的行为已经泛滥,甚至形成了大规模的网上交易平台。
《中华人民共和国刑法修正案(六)》、《中华人民共和国刑法修正案(七)》两次对《刑法》第312条进行了修改,形成了现在的表述。从现在的规定来看,《刑法》第312条的对象不限于赃物,而是涵括除《刑法》第19l条规定的洗钱罪的上游犯罪以外的所有犯罪的犯罪所得及其产生的收益。因此,《刑法》第312条的适用范围就扩大到了除《刑法》第191条规定的上游犯罪以外的所有犯罪。基于上述考虑,《刑法》第285条第2款也应当成为《刑法》第312条的适用范围。明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒的,应当构成掩饰、隐瞒犯罪所得罪。针对司法实践的具体情形,《解释》第7条第1款规定明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒的,违法所得数额在5000元以上的,以掩饰、隐瞒犯罪所得罪追究刑事责任。第2款规定违法所得数额在5万元以上的,应当认定为“情节严重”。针对单位犯罪的情形,第3款专门规定单位犯罪的,定罪量刑标准依照自然人犯罪的定罪量刑标准执行。
需要说明的是,《刑法》第312条规定的“犯罪所得”过去多限于财产、物品等,将其适用于计算机信息系统数据、控制权是否可行,有关方面认识不一。经慎重研究,我们认为,计算机信息系统数据、控制权可以成为掩饰、隐瞒犯罪所得罪的犯罪对象。主要有如下考虑:一是计算机信息系统数据、控制权是一种无形物,属于“犯罪所得”的范畴,理应成为掩饰、隐瞒犯罪所得罪的犯罪对象。将计算机信息系统数据、控制权解释为犯罪所得,符合罪刑法定原则。二是从刑法体系看,《刑法》第312条规定的掩饰、隐瞒犯罪所得罪的上游犯罪应该涵盖除第191条洗钱罪规定的上游犯罪以外的所有犯罪,理应适用于危害计算机信息系统安全犯罪。三是作出这种解释也是司法实践的现实需要。从危害计算机信息系统安全犯罪的现状来看,掩饰、隐瞒计算机信息系统数据、控制权的现象十分突出,不予以打击将无法切断危害计算机信息系统安全犯罪的利益链条,难以切实保障计算机信息系统安全。
此外,在起草过程中,有建议主张对倒卖计算机信息系统控制权的行为直接按非法控制计算机信息系统罪定罪处罚。经认真研究认为,该建议不宜采纳。因为在倒卖控制权的过程中,行为人可能事实上并未控制他人计算机信息系统,故不宜按照非法控制计算机信息系统罪定罪处罚,而只能以掩饰、隐瞒犯罪所得罪定罪处罚。
2.以单位名义或者单位形式实施危害计算机信息系统安全犯罪的处理规则
《解释》第8条明确了以单位名义或者单位形式实施危害计算机信息系统安全犯罪如何追究刑事责任的问题。
《刑法》第285条、第286条规定的危害计算机信息系统安全犯罪系自然人犯罪。而从司法实践来看,非法侵入计算机信息系统,非法获取计算机信息系统数据,非法控制计算机信息系统,提供侵入、非法控制计算机信息系统的程序、工具以及破坏计算机信息系统行为,不少是由单位实施。公安机关查处这类案件后,往往难以处理。为切实惩治危害计算机信息系统安全犯罪,确保相关案件顺利移送起诉、依法审判,本条规定以单位名义或者单位形式实施危害计算机信息系统安全犯罪,达到《解释》规定的定罪量刑标准的,应当依照《刑法》第285条、第286条的规定追究直接负责的主管人员和其他直接责任人员的刑事责任。主要考虑如下:
第一,对以单位名义或者单位形式实施危害计算机信息系统安全犯罪的案件追究直接负责的主管人员和其他直接责任人员的刑事责任,是司法实践的现实需要。由于危害计算机信息系统安全活动的实施有一定的技术、资金要求,实践中此类案件不少是一些网络公司、增值服务公司所为。这些公司并非为了进行违法犯罪活动而设立,设立后也不是以实施犯罪为主要活动,故无法按照自然人犯罪对其追究刑事责任。在此背景下,如对以单位名义或者单位形式实施的危害计算机信息系统安全犯罪不作出明确规定,司法机关对此种行为将难以追究刑事责任,必然会导致不少严重危害计算机信息系统安全的行为无法得到有效惩治。而追究直接负责的主管人员和其他直接责任人员的刑事责任,符合刑法的规定,也是当前打击犯罪、维护社会秩序的需要。
第二,对以单位名义或者单位形式实施危害计算机信息系统安全犯罪的案件追究直接负责的主管人员和其他直接责任人员的刑事责任,在司法文件中有先例可循。例如,1998年最高人民法院《关于审理拒不执行判决、裁定案件具体应用法律若干问题的解释》第4条规定:“负有执行人民法院判决、裁定义务的单位直接负责的主管人员和其他直接责任人员,为了本单位的利益实施本解释第三条所列行为之一,造成特别严重后果的,对该主管人员和其他直接责任人员依照刑法第三百一十三条的规定,以拒不执行判决、裁定罪定罪处罚。”而该解释第3条所涉及的拒不执行人民法院判决、裁定罪即为自然人犯罪。
3.危害计算机信息系统安全共同犯罪处理规则
《解释》第9条明确了危害计算机信息系统安全共同犯罪的认定标准和处理原则。
与传统犯罪不同,危害计算机信息系统安全犯罪活动分工细化,形成了利益链条。为危害计算机信息系统违法犯罪行为提供用于破坏计算机信息系统功能、数据的程序,提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助,通过委托推广软件、投放广告等方式向其提供资金等行为十分突出,行为人从中牟取了巨大利润,也使得实施危害计算机信息系统安全犯罪活动的技术门槛日益降低。例如,在司法实践中,很多实施危害计算机信息系统安全犯罪活动的行为人只有初中文化程度,其往往是通过购买用于破坏计算机信息系统功能、数据的程序、工具或者获取技术帮助进而实施危害计算机信息系统安全犯罪的。再如,通过互联网搜索引擎可以发现,黑客培训广告铺天盖地。可以说,危害计算机信息系统安全犯罪活动的分工细化和进而形成的利益链条,导致了危害计算机信息系统安全犯罪活动迅速蔓延。
本条规定的目的就是打击黑客攻击破坏活动的相关利益链条:由于《刑法》第285条第3款将明知他人实施侵入、非法控制计算机信息系统而向其提供程序、工具的行为入罪,而对于明知他人实施破坏计算机信息系统功能、数据或者应用程序的犯罪行为,而为其提供程序或者工具的行为并未单独入罪处罚,第一项将其作为共犯处理;第二项将向危害计算机信息系统安全的行为提供帮助获利的行为作为共犯处理;第三项将从危害计算机信息系统安全行为获得帮助并向其提供资金的行为作为共犯处理。
需要特别说明的是,网络环境下的共同犯罪具有殊于传统共同犯罪的特性。在传统犯罪中,一个人通常只能是单个人或者少数人的共犯。而在网络犯罪中,一个人往往能够成为很多人的共犯。例如,用于破坏计算机信息系统功能、数据或者应用程序的程序、工具的制造者,可以向数以万计甚至更多的破坏计算机信息系统行为人提供程序、工具,成为破坏计算机信息系统实行行为的帮助犯。在这种背景下,一方面,要求抓获所有接受帮助行为的实行犯并查清相关情况,在司法实践中不具有可操作性;另一方面,可能存在所有的实行行为均未达到入罪标准,但帮助犯由于向数以万计的实行行为提供了帮助,其行为性质反而更严重的情况,对帮助犯更有惩罚的必要。故而,基于宽严相济刑事政策的考量,按照最高人民法院、最高人民检察院《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释(二)》第7条,最高人民法院、最高人民检察院、公安部《关于办理网络赌博犯罪案件适用法律若干问题的意见》第2条的思路,本条对于共犯的成立设置了独立的定罪量刑标准,对情节严重的行为予以刑事惩治。
在司法适用过程中,需要注意如下两个问题:一是跨国共同犯罪的处理问题。由于网络的无国界特性,危害计算机信息系统安全犯罪行为和犯罪结果可能分别发生在中华人民共和国领域内外。根据《刑法》第6条第3款的规定,犯罪的行为或者结果有一项发生在中华人民共和国领域内的,就认为是在中华人民共和国领域内犯罪。因此,对于这类危害计算机信息系统安全犯罪案件,只要其危害后果最终发生在中华人民共和国领域内,就应当认为是在中华人民共和国领域内犯罪,应当适用我国《刑法》的相关规定。在此前提下,可能对境外实行犯无法实际行使刑事管辖权,在境外实行犯未归案的情况下,对于境内为境外实行犯提供帮助的行为人,应当依照本条确定的规则处罚。二是帮助犯在共同犯罪中的类型认定问题。与传统犯罪不同,网络犯罪中的帮助犯在共同犯罪中所起的作用具有一定的特殊性和复杂性,并非只起次要和辅助作用,也可能起主要作用。因此,对于行为人帮助他人实施《刑法》第285条、第286条规定的行为的,应当根据其在共同犯罪中的作用予以认定,既可以认定为主犯,也可以认定为从犯。
四、《解释》的时间效力
在司法适用中,需注意《解释》的时间效力问题。《解释》自2011年9月1日起施行。考虑到《解释》施行后,不少危害计算机信息系统安全犯罪案件尚未处理或者正在处理过程中,在此有必要明确《解释》的时间效力问题。根据最高人民法院、最高人民检察院《关于适用刑事司法解释时间效力问题的规定》的规定,对于《解释》施行前发生的行为,由于行为时没有相关司法解释,对于《解释》施行后尚未处理或者正在处理的案件,应当依照《解释》的规定办理。需要注意的是,对于《解释》施行前已办结的案件,按照当时的法律,认定事实和适用法律没有错误的,不再变动。
免责声明:本号所有资料均来源于网络、报刊等公开媒体及书籍,本文仅供参考。如需引用,请以正式文件为准。