《刑法》第六章第一节规定了8项针对与利用计算机犯罪的罪名,具体有:(1)刑法第285条的非法侵入计算机信息系统罪;(2)非法获取计算机信息系统罪;(3)非法控制计算机信息系统罪;(4)提供侵入、非法控制计算机信息系统的程序、工具罪;(5)破坏计算机信息系统罪;(6)拒不履行信息网络安全管理义务罪;(7)非法利用信息网络罪;(8)帮助信息网络犯罪活动罪。这些罪名中,除了第二项、第三项罪名设有两个罪刑档次、法定最高刑是七年之外,其他罪名的法定刑一般在三年以下有期徒刑。
这可以看出,针对计算机信息系统犯罪侵犯的法益相对较轻。以非法侵入计算机信息系统罪为例,本罪保护的法益是未经许可进入计算机系统,但尚未对计算机系统造成具体危险或实害风险,侵害的是计算机信息系统拥有者的同意权。
从各罪名分布上看,前五项罪名是针对计算机信息系统犯罪的罪名,后三项则是利用信息网络犯罪的罪名。其中,第一项、第四项罪名是保护阻挡层法益的罪名,第二、第三、第五项罪名是保护背后层法益的罪名。
阻拦层法益与保护层法益的甄别点在于:阻拦层罪名是打击犯罪的提前化,从法益存在侵害抽象危险的时点就开始打击。而保护层法益罪名,则是法益侵害具体现实化的犯罪。
因此,刑法第285条的非法侵入计算机信息系统罪的保护法益较为稀薄,法定刑设置也较低,法定最高刑是三年有期徒刑。刑法设置针对计算机信息系统犯罪的罪名从非法侵入计算机信息系统罪开始,本罪的解析,有助于整体了解本罪所保护的法益,以及对罪名各要素的理解。
“侵入”的理解
刑法第285条非法侵入计算机信息系统罪是空白罪状,没有对“侵入”进行定义。一般来说,对罪名特定要素的理解,是从本罪保护的法益展开的。
刑法第285条规定的非法侵入计算机信息系统罪是一项行政犯,其行政法根据是《网络安全法》。而《网络安全法》第21条对网络安全作了间接描述。该条款规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
基于此可以看出,网络安全包括:不被干扰和被破坏、不允许未经授权的访问、不发生网络数据泄露或被窃取及篡改。秉持这样的理解立场,刑法第285条的非法侵入与第245条规定的非法侵入住宅罪的“侵入”有相同之意,都是在指未经授权的进入,使特定空间的安宁性被破坏。区别点在于:后者是对实体房屋内的日常生活安宁被破坏,而前者是虚拟空间的信息网络安全受到威胁。
两高《关于办理危害计算机信息系统安全刑事案件应用若干问题的解释》(法释〔2011〕19号,2011年9月1日起实施)虽然没有对“侵入”具体的解释,但该解释第二条对提供侵入、非法控制计算机信息系统的程序、工具罪作出细化性规定。所谓“侵入”是指:“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的”。
最高检发布的指导案例卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案(检例第36号)中亦指出:非法获取计算机信息系统数据罪中的“侵入”,是指违背被害人意愿、非法进入计算机信息系统的行为。其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。
“侵入”的司法判断
司法实践中,非法侵入计算机信息系统的手段及其表现形式包括:(1)采用技术破解;(2)非法获得账户密码进行登录;(3)未经授权使用事先知道的他人账号、密码;(4)猜测他人账号、密码非法登录;(5)超出授权范围使用账号、密码等方式。(6)通过黑客软件侵入计算机系统。
可以看出,前述六种形态在具体案件中仍然存在较大的判断难度。比如,通过技术破解侵入计算机信息系统,假如行为确实使用了技术性手段,但是否都属于侵入计算机信息系统,何谓突破了授权呢?
最高检发布的叶源星、张剑秋提供侵入计算机信息系统程序、谭房妹非法获取计算机信息系统数据案(检例第68号)就侵入行为作出具体的认定:一是结合被侵入的计算机信息系统的安全保护措施,分析涉案程序是否具有侵入的目的,是否具有避开或者突破计算机信息系统安全保护措施的功能;二是结合计算机信息系统被侵入的具体情形,查明涉案程序是否在未经授权或超越授权的情况下,获取计算机信息系统数据。
这里可以看出,计算机系统拥有者只有设置了安全保护措施,才意味着技术性措施被突破,计算机信息系统被突破。假如不存在安全性保护措施,则意味着计算机信息系统对公众开放,也就无所谓被侵入。
《网络安全法》第10条规定:“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”
以搜索引擎网络爬虫技术为例,爬虫行为通过访问信息系统,获取信息系统记录的信息。这里获取的信息,既可能是公民个人信息,也可能是其他信息。很多网站为了防范非正常用户(通常是竞争对手或其他商业用户)获取数据,一般采取措施实施反爬虫。那么,行为人绕开反爬虫技术获取信息,就可能构成犯罪。
反之,假如特定网站并没有设置反爬虫措施,那么通过中性的爬虫技术获取信息,则不会构成犯罪。
再比如,司法实践中,对于行为人使用浏览器插件的行为是否构成非法侵入计算机信息系统罪呢?笔者认为,有别于撞库类软件、手机验证码软件、批量密码找回软件、洗号软件、扫号软件、账号解除异常、钓鱼链接、钓鱼木马程序等具有突破或避开计算机信息系统安全保护措施,未经授权或超越授权获取计算机信息系统数据的功能,浏览器源代码开发的浏览器插件在日常生活中十分常见,安装插件可实现浏览网页中过滤掉无效信息,或者快速检索、复制、粘贴有效的网页信息。
浏览器插件既可能是浏览器本身携带安装,也可能是用户自行下载安装到浏览器中,但这都不会对特定的网址带来系统安全威胁。
司法实践中,对于浏览器插件对相关网页平台形成广告过滤功能,也只是作为民事不正当竞争等侵权行为予以处理,不会以非法侵入计算机信息系统罪予以评价。
比如,在“720浏览器插件”不正当竞争一案((2018)粤73民终1022号)中,广州唯思软件股份有限公司开发的720浏览器在访问阳光公司旗下的视频网站芒果TV时,能够自动屏蔽视频网站的广告。但是,一审法院认为,这只是违反互联网领域商业道德的行为,但不属于违法行为。
“侵入”与“被侵入对象”的司法鉴定
当“侵入”无法由司法者独立作出判断时,应当考虑借助专业的司法判断。比如,在最高检颁布的指导案例——张剑秋提供侵入计算机信息系统程序、谭房妹非法获取计算机信息系统数据案(检例第68号)就指出:对有证据证明用途单一,只能用于侵入计算机信息系统的程序,司法机关可依法认定为“专门用于侵入计算机信息系统的程序”;难以确定的,应当委托专门部门或司法鉴定机构作出检验或鉴定。
在该案中,经过司法鉴定,明确了涉案的“小黄伞”软件具有以下功能特征:(1)“小黄伞”软件用途单一,仅针对某电商平台账号进行撞库和接入打码平台,这种非法侵入计算机信息系统获取用户数据的程序没有合法用途;(2)“小黄伞”软件具有避开或突破计算机信息系统安全保护措施的功能;(3)“小黄伞”软件具有绕过验证码识别防护措施的功能;(4)“小黄伞”软件具有非法获取计算机信息系统数据的功能。
除了需要对“侵入”行为作出鉴定以外,对“侵入对象”也应当考虑作出司法判断。对此,两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第10条规定:
对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。
有专门的实证司法判例数据统计(参见:《数据合规(四):非法侵入计算机信息系统罪大数据报告》)显示,国家事务计算机信息系统一般包括:(1)政府机构行政办公、业务系统;(2)公安机关的交警大队网站、交警警务云平台以及交通管理、登记系统(如交管12123平台)等;(3)公安机关的其他警务系统(如户籍管理系统、指挥中心系统)等、司法机关办公系统(以纪检监察网站为主);(4)事业单位(如银行征信查询系统、高校教育考试网站等)。
但是笔者认为,前述判例所认定的计算机信息系统中部分仍然值得商榷。河南省高级人民法院法官蔡智玉指出,“从体系解释的角度分析。刑法第二百八十五条将国家事务与国防建设、尖端科学技术领域三项并列,其用意在于这里的国家事务与国防建设、尖端科学技术领域等事务在重要性上具有相当的层次,即同样重要。因此这里的国家事务应当是指和国防建设、尖端科学技术领域一样对整个国家有重要意义的事务,也即全国层面的国家内部治理事务和外交事务。”(参见蔡智玉:《非法侵入计算机信息系统罪的认定》,载《人民法院报》2017年11月1日第6版)
《刑法》第285条规定的非法侵入计算机信息系统罪的犯罪对象分别是国家事务计算机信息系统、国防建设计算机信息系统、尖端科学技术领域的计算机信息系统。由于本罪是行为犯,不要求造成情节严重的后果,那就意味着侵入的对象属于重点领域的计算机信息系统。按照同等解释的原理,国家事务计算机信息系统,必须与国防建设与尖端科学技术领域的计算机信息系统具有等价性。
因此,一般性公共事务计算机信息系统不属于国家事务计算机信息系统,而与国防建设、尖端科技技术领域具有相当性的计算机信息系统才属于本罪的犯罪对象。
盈隆律师事务所
地址:广东省广州市越秀区东风中路418号
华以泰国际大厦6层
电话:020-83379916
【佛山】
盈隆(佛山)律师事务所
地址:广东省佛山市三水区南丰大道3号
百利达写字楼20层
电话:0757-87912008
【东莞】
盈隆(东莞)律师事务所
地址:广东省东莞市莞城区旗峰路200号中天大厦18层、23层
电话:0769-23369009
【贵阳】
盈隆(贵阳)律师事务所
地址:贵州省贵阳市观山湖区兴义路7号润鑫广场A栋23层
电话:0851-85525068
【海口】
盈隆(海口)律师事务所
地址:海南省海口市龙华区龙华路39-1号国寿大厦21层
电话:0898-65319137
【杭州】
盈隆(杭州)律师事务所
地址:浙江省杭州市滨江区滨盛路1508号海亮大厦16层
电话:0571-86682066
【珠海】
盈隆(珠海)律师事务所
地址:广东省珠海市香洲区兴业路88号优特总部大厦26层
电话:0756-2188099
【南沙】
盈隆(南沙)律师事务所
地址:广州市南沙区黄阁镇番中公路黄阁段23号602-604房
电话:020-34669833
【马来西亚吉隆坡】
马来西亚吉隆坡联合办公室
地址:Suite 23.07,Level 23,Menara 1 Mont' Kiara,1 Jalan Kiara,50480 Kuala Lumpur,Wilayah Persekutuan
电话:603-64130488
【澳门特别行政区】
澳门特别行政区联合办公室
地址:中国澳门南湾大马路763号联邦大厦7楼
电话:(853)66366191
【阿联酋迪拜】
阿联酋迪拜联合办公室
地址:National Bank of Abu Dhabi Building,Buhaira Cornich,Office:305-306 Sharjah-U.A.E.
电话:971-65222125
