刑事论文

非法获取计算机信息系统数据罪认定中两个难题

浏览量：时间：2017-08-21

非法获取计算机信息系统数据罪认定中两个难题

作者：李勇

原文发表于《中国检察官》（案例版）2012年第4期。

新罪名非法获取计算机信息系统数据罪中的“非法侵入”和“情节严重”，在实体理解上，应采用实质解释论进行界定；证据认定上需要结合电子证据和书证等客观证据综合把握。

一、案例导入

非法获取计算机信息系统数据罪是刑法修正案（七）增加的新罪名，由于计算机及互联网的普及，新型的计算机犯罪越来越多。非法获取计算机信息系统数据罪的成立有两个基本条件：一是手段行为必须是非法侵入计算机信息系统；二是必须达到情节严重。司法实践中，对于上述“非法侵入”和“情节严重”两个条件的认定，无论是实体理解上还是证据认定上都存在争议。笔者结合一起典型案例，对这两个问题从实体和证据方面进行探讨。
案例：被告人谷某2003年至2007年系上海某资讯科技集团公司（以下简称上海公司）研发部主管，因研发工作需要被授权用户名和密码进入公司数据库的计算机系统后台，谷某没有按照公司规定在使用后即删除用户名和密码，故意存储在电脑中。2009年谷某被调至该集团公司的子公司南京某资讯科技有限公司（以下简称南京公司）任技术开发部WDP（一种自动化办公系统平台）主管，因岗位发生变化而不再有权进入数据库的计算机系统后台，只是有权通过WDP工作平台读取少量的数据，且会有读取记录、乱码等限制。2011年7月被告人谷某因嫌薪水低而想辞职，于是将2007年在上海从事研发工作期间得到的数据库后台系统的用户名和密码调出来试用，发现仍然能够使用，于是先后多次登录计算机系统后台，通过专用软件从该数据库导出1700余份数据（占该公司全部数据的80%，该公司每年销售数据利润2亿余元）及WDP平台的全部配置文件，并通过电子邮件传输、存储至家中电脑内。
该案争议的焦点集中在以下两点：一是谷某是公司内部员工，而且有权通过WDP平台读取少量数据，是否属于非法侵入计算机信息系统；二是尽管司法解释列举了该罪“情节严重”的四种具体情形后，用了兜底条款“其他情节严重的情形”，本案中谷某获取的计算机系统数据没有泄露出去，没有获取利益，是否属于“其他情节严重的情形”。
二、关于非法侵入的理解与认定
（一）实体方面之“非法侵入”的理解
“非法”的认定相对容易，是指违反法律、法规、规章，主要包括国务院《中华人民共和国计算机信息系统安全保护条例》、公安部《计算机信息网络国际联网安全保护管理办法》等。“侵入”的实质含义是指行为人在没有得到许可时违背计算机信息系统控制人或权利人的意愿进入其无权进入的计算机信息系统中。对于侵入的理解必须从这一实质含义出发，按照实质解释论进行理解。所谓实质解释是指在遵循罪刑法定原则前提下，对构成要件的解释不能停留在法条的字面含义上，必须以保护法益为指导，考虑处罚的必要性和妥当性，在刑法用语可能具有的含义内确定构成要件的具体内容。 [1]由于计算机犯罪是新型犯罪，计算机技术日新月异，“侵入”的方式也随着计算机技术的不断革新而花样翻新，刑法条文和司法解释不可能穷尽列举所有可能 “侵入”的手段和方式，这就决定了实质解释论在计算机犯罪方面的重要意义。不能僵化地、机械地理解，更不能将“常见当成真理”，比如，常见的侵入方式是外部人员破解密码、盗取密码、使用木马程序等，就不能据此认为内部人员不可能成为侵入的主体。
计算机信息系统的安全机制分为二类: 一是对用户进行常规识别，通常采用用户名加密码的方式，以确定用户的身份，从而防止非法入侵者侵入系统；二是系统内部用户对系统资源的访问控制，也即对合法用户的访问权限进行限制。根据上述安全机制，非法侵入行为也可以分为两类：一是非法用户侵入信息系统, 也即无权访问特定信息系统的人员非法侵入该信息系统。如冒充合法用户、破解密码、盗取密码等；二是合法用户的越权访问，也即有权访问特定信息系统的用户，未经批准、授权或者未办理相关手续而擅自访问该信息系统或者调取系统内部数据资源。一般情况下，某一计算机信息系统的合法用户是有权访问该信息系统或者调取其内部数据资源的。但是，合法用户的访问权也是有限制的，换言之，其访问权一般只限于访问该信息系统的某些部分，或者只能调取该信息系统内部资源信息的某些部分。访问权的大小和级别通常是根据用户的身份、地位、工作岗位、工作需要而决定的。合法用户只能在其所拥有的访问权限以内行使访问权，任何未经批准、授权的越权访问，均属于非法侵入。从实质解释的角度讲，这种越权侵入同上述无权侵入在性质上是相同的，在侵害计算机系统安全这一保护法益上也是相同的。换言之，合法用户越权侵入系统，其身份即由合法变为非法。
前述案例中，该公司计算机系统数据库后台只有极个别的人可以不受限制地进入并导出数据，而被告人谷某案发时的权限仅限于通过WDP工作平台读取少量且有各种限制的数据，其违反规定擅自使用以前利用开发软件之机获取的用户名和密码，登录计算机系统后台导出数据，就属于越权侵入，符合非法获取计算机信息系统数据罪所要求的“非法侵入”的本质特征。
（二）证据方面“非法侵入”之认定
由于计算机犯罪的特殊性，其证据的审查与认定也具有特殊性。非法获取计算机信息系统数据罪中“非法侵入”的证据认定，关键在于以下两个方面：一是行为人的权限。行为人的权限在证据上主要依赖于书证。一般而言，被害单位会根据本单位工作人员的工作内容、职务等赋予其进入计算机信息系统的相关权限，主要体现为工作责任书、岗位职责、劳动合同、保密协议等客观性证据；同时结合被告人自己的供述、证人证言等主观性证据来辅助判断被告人的权限。坚持以客观证据为主，以主观证据为辅的原则。在前述案例中，通过审查被告人谷某从2007年直到2011年的劳动合同和岗位职责说明书，发现被告人谷某于2007年在上海公司工作期间，其岗位职责是数据处理软件的研发和数据加工，具有进入数据库后台的权限。但2009年到南京公司后，其岗位职责发生重大变化，由原来的数据处理软件研发和数据加工变更为办公自动化工作平台WDP的维护和升级，而WDP不能直接进入数据库后台，只能读取少量的数据，且会有读取记录、乱码等限制。二是侵入计算机信息系统的行为。主要靠电子证据来认定。被告人侵入计算机系统会留下信息记录，获取数据的方式、输入的身份认证以及获取的数据，会形成电子证据，一般体现为文字、数字、表格、图片、声音、图像、视频等。因此，认定非法获取计算机信息系统数据罪需要侦查机关及时对涉案的计算机进行扣押、查封，并及时进行电子证据提取和计算机远程勘验。在前述案例中，公安机关网监部门对被告人谷某办公室电脑、被告人谷某的电子邮箱、被害单位数据库后台进行勘验。通过对电子证据提取笔录和远程勘验笔录的审查，发现被告人谷某从其工作使用的电脑D盘内调取了其2007年在上海公司使用过的用户名和密码，先后四次登陆公司数据库后台，导出1700余份数据表，又通过电子邮箱传输到其住处的电脑内。这些客观性的电子证据锁定了谷某侵入计算机信息系统并获取数据的事实。
三、关于情节严重的理解与认定
（一）实体方面“情节严重”之理解
非法获取计算机信息系统罪是情节犯。刑法理论中的“情节犯”是指以情节严重为必要条件的犯罪类型。犯罪的本质是法益侵害，法益侵害性是质和量的统一，在质的意义上指法益侵害的有无，在量上指法益侵害的程度大小。刑法中存在一些行为难以通过强调、增加某种构成要件要素来使犯罪构成总体所反映的社会危害性达到应受刑罚惩罚的程度，或者是立法者不能预见所有情节严重的情形，在这种情况下，刑法会以“情节严重”作出综合性规定。所以“‘情节严重’作为构成要件，其特点是综合性，涉及客观方面、主体、主观方面等内容”。[2]这意味着此种情节不属于犯罪构成要件某一方面的要素，而是一个包括手段、目的、结果等主、客观方面的综合性构成要件要素。正是因为它是一个综合性的要件，所以无论是司法解释还是刑法条文都无法穷尽所有可能的情形，所以“情节严重”具体包括哪些情形需要结合具体个案，以法益侵害为指导，进行实质地、综合性的评定。两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》）规定，非法获取计算机信息系统数据罪的“情节严重”包括身份认证信息500组以上的、非法控制计算机信息系统20台以上的、违法所得5000元以上或者造成经济损失10000元以上的、其他情节严重的等五种情形。结合本案来看，前述司法解释的前四种情况都不符合，只能看是否符合兜底条款“其他严重情节”。从理论上说，这里的“其他严重情节”至少包括获取信息的数量、次数、手段、潜在的危险性等，从实质上判断其行为的法益侵害性和有责性是否到达需要刑罚处罚的程度，既要防止将没有达到刑罚处罚程度的行为认定为犯罪而随意入罪；又要防止将达到刑罚处罚程度的行为排除在犯罪之外而放纵犯罪。
结合前述案例来看，谷某侵入计算机信息系统获取的数据占公司全部数据的80%，价值近亿元，虽然没有泄露出去造成现实的经济损失后果，但是危险性巨大；谷某获取的WDP全部配置文件，可以迅速搭建一个与公司相同的程序，该公司WDP的开发成本200余万元，其获取的数据量之大，潜在的危险性之大，将其评价为“其他严重情节”并不违法刑法的规定，也符合刑法保护法益之目的。
（二）证据方面之“情节严重”的认定
《解释》中规定的前四种情况，即“身份认证信息500组以上的”、“非法控制计算机信息系统20台以上的”、“违法所得5000元以上或者造成经济损失10000元以上的”，由于在客观上造成了现实的后果，因此在证据的认定上比较简单。但是对于“其他严重情节”的认定是比较困难的，也是争议最大的。结合前述案例，认定属于“其他严重情节”关键在于两个问题：一是获取的信息数据与被害公司数据库中的数据进行比对，以确定其获取的数据量之大。通过审查电子证据提取笔录，发现公司数据库总共只有数据表2100余份，而被告人谷某非法获取了1700余份，且1700余份均包含在2100余份之内，具有对应性。而且电子证据提取笔录还表明谷某将WDP工作平台的全部配置文件全部导出。这在证据上就足以认定其获取的数据量之大。二是数据价值的评估。由于这种数据具有垄断性，不具有市场统一价格，物价部门无法进行价格鉴定。从证据的角度，一方面要对已经销售出去的数据与被告人获取的数据进行比对，通过销售合同记载的价格以及合同附件对应的数据进行比对；另一方面要对WDP开发成本进行核算，包括硬件购买凭证、员工工资凭证等会计资料，委托会计师事务所等中介机构进行审计。通过第三方审计出的价值，从证据角度认定行为情节的严重性。前述案例中，通过评估，被告人获取的数据价值1亿余元，为认定“其他严重情节”奠定了重要基础。
综上，笔者认为，前述案例中谷某的行为构成非法获取计算机信息系统数据罪。这一点也得到法院判决的认可，2012年2月6日，江苏省南京市建邺区人民法院以非法获取计算机信息系统数据罪判处谷某有期徒刑6个月，缓刑1年。计算机犯罪作为一种新的犯罪形式，“就犯罪构成而言，大致上是一个新的现象，但是并不是一个新的问题”，这正如用电脑来伤害他人，还是故意伤害罪；用电脑来杀人，也仍然构成故意杀人罪，所以只是一个对现有刑法条文的解释问题。[3]
注释