计算机信息系统安全犯罪疑点解析——从辩护视角
作者:丁风 浙江靖霖宁波律师事务所副主任
来源:微信公号 刑事辩护参考。经作者特别授权。
刑法285条第2款规定:违反国家规定,侵入计算机信息系统,获取数据,构成非法获取计算机信息系统数据罪。
此处的国家规定是指哪些规定?最高人民法院《关于准确理解和适用刑法中“国家规定”的有关问题的通知》第一条对此予以了强调,否认了部门规章等属于“国家规定”,同时,有条件承认以国务院办公厅名义制发的文件为“国家规定”。一般认为,主要是指《中华人民共和国计算机信息系统安全保护条例》(1994年2月18日通过,2011年1月8日修订)、《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日)。而不包括《软件产品管理办法》。(该办法规定了软件产品的登记与备案制度,但是它是工信部出台的部门规章,不是“国家规定”)随着信息技术的发展,各类内置有可以编程、安装程序的操作系统的数字化设备广泛应用于各个领域,其本质于传统的计算机信息系统没有差别。
那么,凡是自动化设备就是计算机信息系统?答案是否定的。
《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》将计算机信息系统界定为“具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备”。其中网络设备是指路由器、交换机等组成的用于连接网络的设备;通信设备包括手机、通信基站等用于提供通信服务的设备;自动化控制设备是指在工业中用于实施自动化控制的设备,如电力系统的监测设备、制造业中的流水线控制设备等。根据《中华人民共和国计算机信息系统安全保护条例》第2条,“本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”。通过该条可知,计算机信息系统必须由计算机和其他相关、配套的设备、设施构成,其前提是必须存在计算机。辩护人可以据此提出一些设备并不存在计算机,无法拟制为计算机信息系统。与计算机信息系统安全有关的数据最为重要的是用于身份的身份认证信息。但是,身份认证信息,不是指某一个单个信息,而是指可以确认用户在计算机信息系统上操作权限的认证信息的一个组合。比如使用ID(用户名)、密码、动态口令、手机认证码等4项信息方能完成一次转账操作,那么这4项信息构成一组身份认证信息,缺一不可。若在案证据中身份认证信息数据不完整(缺失某一关键项),辩护人可以据此提出被告人获取的不是身份认证信息。
在计算机犯罪案件中,往往会在被告人计算机中查获大量疑似“身份认证信息”数据。但是数据具有易变性,特别是存在于网络中的数据,随时可能发生变化。在被告人非法获取一组“身份认证信息”后,在办案时该组信息就可能发生变化,比如密码信息被修改、ID被注销,导致这组“身份认证信息”无法登陆或获取操作权限。
一般认为,认定一组“身份认证信息”,不应当以在办案过程中是否可以实际登陆使用为判断标准,而应结合被告人非法获取身份认证信息的方法判断该身份认证信息在被非法获取时是否可用为依据。假设被告人1月1日非法获取一组支付宝身份认证信息,并成功登陆支付宝,那么支付宝服务器中必然留存被告人使用某台计算机(以网卡物理地址进行识别)在1月1日某时间段使用该组身份信息登陆数据库的记录,而到了8月1日被告人被抓获时,该组身份认证信息已被修改(可能是真实用户修改了密码,也可能是支付宝公司注销了ID),导致该组信息无法正常登陆。实践中,侦查机关往往不会调取被告人计算机网卡物理地址、被侵入的服务器登陆日志等证据来证实该组数据曾经可用,辩护人可据此提出被查获的数据不属于身份认证信息或控方指控的信息数量有误。由于网络金融服务的身份认证信息,事关金融安全,需要给予特别保护,故司法解释规定非法获取网络金融服务的身份认证信息10组以上即属于情节严重,而其他身份认证信息需要500组以上。而实践中侦查机关较少调取相关证据证明被告人侵入的对象具有网络金融服务资质。
辩护人可以据此提出被告人获取的数据不属于网络金融服务身份认证信息,从而减轻被告人罪责。根据最高人民法院《<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>理解与适用》,实践中发生的出于好奇、显示网络技术等目的而实施的打包盗窃论坛身份认证信息等行为,即使获取身份认证信息略微超过500组的,由于社会危害性不大,应当适用刑法第13条但书的规定,不宜纳入刑事打击的范围。
司法实际中,被告人往往事先输入的大量基础数据,然后将软件设置为自动运行状态,自动获取身份认证信息。有些被告人在被抓获后,程序可能仍然在自动运行,继续获取身份认证信息等数据。
一般认为,在被告人被抓获后,其已无法控制、获取数据自动产生的数据,辩护人可以据此提出这部分数据应当认定为未遂。案例:上海浦东人民法院(2015)浦刑初字第5087号非法获取计算机信息系统数据,是否包括从他人处获得?刑法第312条规定的“犯罪所得”一般限于财产、物品。司法解释规定,计算机信息系统数据、控制权虽不属于财、物,但亦可适用于该罪。若行为人事前无同谋,单纯买卖他人非法获取的身份认证信息的行为,由于行为人并非从计算机系统中获取数据,并未控制他人计算机信息系统,故应当认定为掩饰、隐瞒犯罪所得罪。
实践中,行为人单纯出于报复、泄愤动机而实施对计算机信息系统功能进行删除、修改、增加、干扰,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的情况较为少见,更多的是通过实施破坏计算机信息系统行为而实现其他目的,由此极有可能出现一个行为同时侵犯数个法益触犯不同罪名之情形。
在此情况下,关于破坏计算机信息系统罪是否与其他犯罪数罪并罚,司法实践持有不同的立场。比如以干扰、破坏计算机信息系统作为威胁索取财物案为例,实践中有三种不同认识:第二种认定为破坏计算机信息系统罪和敲诈勒索罪两罪,并数罪并罚;第三种认为行为同时构成构成破坏计算机信息系统罪和敲诈勒索罪,但是依据我国刑法理论的想象竞合犯,按对想象竞合犯“从一重罪处断”的处罚原则,应以破坏计算机信息系统罪论处。辩护人可以据此提出被告人属于想象竞合犯,不属于数罪。
为研发、制作游戏软件外挂程序出售或通过制作的外挂程序从事有偿代练升级如何定性有三种不同认识:
有的法院在认定时将研发、制作游戏软件外挂程序出售的行为解释为未经著作权人许可,复制发行计算机软件之行为,进而将该种行为认定为侵犯著作权罪 。有的法院在认定时将研发、制作游戏软件外挂程序出售、有偿代练的行为解读为违反国家规定,未经国家主管部门批准,也未获得游戏软件公司许可和授权的出版非法互联网出版物的行为 ,从而认定构成非法经营罪 。有的法院认为对计算机信息系统中传输的数据进行修改的操作,干扰网络游戏服务端计算机信息系统功能,实施危害计算机信息系统安全的行为,进而认定构成破坏计算机信息系统罪。辩护人可以据此选择对被告人有利的罪名进行辩护。俞小海:《破坏计算机信息系统罪之司法实践分析与规范含义重构 》虚拟财产是否属于财产?实践中存在分歧。
有观点认为构成盗窃;
《人民司法》:侵入他人游戏账号窃取虚拟财产构成非法获取计算机信息系统数据罪根据司法解释,通过病毒非法控制20台计算机属于情节严重,非法控制100台计算机属于情节特别严重。行为人利用木马程序非法控制他人计算机,被控制计算机系统中的“攻击日志”是认定控制数量的关键。
从技术层面上理解,计算机系统中“攻击日志”项显示“否”,表明有此日志,若数据不全,不能证明该主机被攻击。“攻击日志”项显示“缺失”,表明此日志不存在。在“攻击日志”“缺失”、无“入侵日志”、无“抓包文件”,只有“流量图”的情况下,仅证明涉案主机不能正常运行,而非证明该主机被攻击,亦不能证明攻击行为是何人所实施;在只有“抓包文件”和“流量图”的情况下,可以证明涉案主机被攻击,同样不能证明攻击行为是何人所实施。辩护人可以据此提出控方指控的被控制计算机数量有误的意见。是。刑法第285条、第286条使用了“计算机信息系统”和“计算机系统”两种表述,其中刑法第286条第三款有关制作、传播计算机病毒等破坏性程序的条款中使用的是“计算机系统”,其他条款使用的是“计算机信息系统”。
根据《最高人民法院、最高人民检察院研究室负责人<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>答记者问》,刑法区分两者的原意是考虑侵入计算机信息系统、破坏计算机信息系统功能、数据或者应用程序的对象应当是数据库、网站等提供信息服务的系统,而传播计算机病毒如果只影响计算机操作系统(计算机系统)本身,即使不对系统上的信息服务造成影响也应当受到处罚。随着计算机技术的发展,计算机操作系统与提供信息服务的系统已密不可分,从技术角度无法准确划分出提供信息无误的系统和操作系统。从保护计算机信息系统安全这一立法目的出发,对这两种表述进行区分没有必要。
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。
