尚权推荐SHANGQUAN RECOMMENDATION

尚权推荐丨于兴泉、马圣昆:非法获取计算机信息系统数据罪与非法控制计算机信息系统罪实务认定辨析

作者:尚权律所 时间:2022-07-04

一、非法获取计算机信息系统数据、非法控制计算机信息系统罪的概念

 

(一)立法起源

 

根据CNNIC统计数据显示,1996年1月,中国公用计算机互联网(CHINANET)全国骨干网建成并正式开通,全国范围的公用计算机互联网络开始提供服务,中国互联网络自此得以起步。在随后的1997年《刑法》中,为适应这一时代变革,也相应的增加制定了计算机犯罪类罪名。彼时由于私人计算机还没有在全民的范围内被广泛使用,《刑法》中仅规定了非法侵入计算机信息系统罪和破坏计算机信息系统罪这两种计算机犯罪类罪名,其所指向的犯罪类型,是相对特定的非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为,和破坏计算机信息系统的行为。但针对一般社会民众私人计算机的入侵和控制行为,则尚未纳入刑事制裁的范畴。

 

随着越来越多的私人计算机开始在全国范围内普及,一些指向私人计算机系统的入侵和控制行为逐渐凸显:制作传播计算机病毒、侵入和攻击计算机信息系统的犯罪增长迅速,非法获取计算机信息系统数据、非法控制计算机信息系统的犯罪日趋增多,制作销售黑客工具、倒卖计算机信息系统数据和控制权等现象更是层出不穷。考虑到这种案件可能造成的私人计算机使用者强烈不安全感以及其严重的社会危害性,司法机关认为有必要在实务中利用刑法对这类案件进行规制。扩张使用盗窃罪就是当时所广泛尝试的一种规范方式。但这样的处理模式毕竟药不对症,对于一些无法评估具体财产价值的账户名、密码等犯罪对象,在以盗窃罪进行规制时难免显得过于牵强,定罪量刑缺乏法理依据,广受争议。因此在2009年《刑法修正案(七)》正式生效后,《刑法》中增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪等新罪名,用以维护计算机信息系统安全,以及打击私人领域的计算机网络犯罪。

 

(二)罪名理解

 

根据现行《刑法》第二百八十五条第二款的规定,非法获取计算机信息系统数据、非法控制计算机信息系统罪是指“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的行为”。从实践的角度理解,本罪的行为模式主要包含如下两种:

 

一是以入侵或者其他技术手段获取计算机信息系统中的相关数据。理解这一种犯罪模式,首先要明晰的就是“入侵”以及“其他技术手段”具体对应的行为表现形式为何。根据《最高人民检察院关于印发最高人民检察院第九批指导性案例的通知》中《检例第36号:卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案》的定性方面来看,“侵入”的概念应当是指违背被害人意愿、非法进入计算机信息系统的行为。其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。更为通俗的说,“入侵”可以是未经他人同意,采取破解密码等技术手段,突破、穿越、绕过或者解除特定计算机信息系统的安全防护体系,擅自进入该系统,也可以是对数据的物理性拷贝和复制,设立假冒网站,欺骗用户输入账号、密码等信息,还可以是对于计算机系统的越权登录。而在侵入计算机信息系统后下载其储存的数据,便可以认定为非法获取计算机信息系统数据。

 

另一种行为表现形式,在于对他人的计算机信息系统实现非法控制。关于“非法控制”的理解,目前的司法解释和法律法规中没有特别明确的规定,但在《人民司法(应用)》2011年第19期刊登的《最高人民法院<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>的理解与适用》一文中,最高人民法院根据立法背景和立法目的,将“通过控制大量计算机信息系统形成僵尸网络”作为非法控制计算机的主要例证。而在僵尸网络(Botnet)的概念项下,“控制服务器(Control Server)”是指控制和通信的中心服务器,僵尸网络的“控制”行为,主要是通过一对多的向某目标网站进行分布式拒绝服务(DDos)攻击,或者是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。从这一概念做推演理解,不难识别出,该《解释》及其《理解适用》中的控制及转移控制的概念,与前述的入侵和获取数据的行为模式均不相同,而是一种更高程度的资源占取,导致合法用户的控制权被大比例的剥夺甚至是形成攻击者的排他性使用,如果将涉及计算机信息系统类犯罪中的“控制”和“入侵”概念作比较,控制的概念应当是在时间线上晚于入侵发生,并且在对于计算机系统的使用权限上高于入侵的概念。

 

在达成了前述的行为构成后,如果行为的社会危害性达到了“情节严重”的程度,就有可能被纳入刑事制裁的范畴之内,根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,本罪“情节严重”的情况大体可以分为如下几种:一是获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上;二是获取前项以外的身份认证信息五百组以上;三是非法控制计算机信息系统二十台以上;四是违法所得五千元以上或者造成经济损失一万元以上。并且当数量或者数额达到前述四项规定标准的五倍以上时,则构成“情节特别严重”,对应的刑档也将从“三年以下有期徒刑或者拘役”提升至“三年以上七年以下有期徒刑”。

 

二、当前实务中的困境

 

该罪设立的时候,实务中的判决数量非常少,网络上公开的判决也主要散见于一些严重的黑客案件、计算机病毒案件以及一些较为严重的金融身份信息窃取案件,并且常常和信用卡诈骗的犯罪行为构成手段与目的之用。2016年之后,由于网络虚拟财产的概念逐渐得到重视,关于网络游戏账户的“盗号”类案件开始以此类的罪名规制。2020年后,打击计算机网络犯罪的力度进一步加强,以本罪处罚利用入侵摄像头系统窥探隐私行为的判例零星出现,除了一些入侵摄像头后录制他人隐私并进行传播和贩卖的案件外,仅用于个人观看的情况也存在被处以刑罚的判例。

 

但现存的问题在于,网络上所公开的购买摄像头权限进行偷窥的案件中,在没有其他的转卖、扩散等行为,仅用于个人观看的情况下,法院对于行为人的行为定性尚不存在统一的标准。例如在《谷福杰非法获取计算机信息系统数据、非法控制计算机信息系统》一案中,主审法院认为被告人的行为构成非法获取计算机信息系统数据罪,不法获取的他人摄像头系统账户密码被认定为他人身份认证信息,并以《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条第二款的标准(是否非法获取身份认证信息五百组以上)判断构成情节严重,应当受到刑事追诉。而在《胡永勇、吴子洋非法获取计算机信息系统数据、非法控制计算机信息系统罪》一案中,主审法院认为被告人从他人处通过购买、交换的方式非法获取被破解的被害人家中摄像头设备ID账号及密码,并添加到自己手机“云视通”APP里,非法窥探他人隐私的行为构成对摄像头的控制,应当适用《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条第三款的标准(是否非法控制计算机信息系统二十台以上)认定行为是否达到“情节严重”的追诉条件。

 

需要强调的是,虽然非法获取计算机信息系统数据和非法控制计算机信息系统两种犯罪行为均被规定在我国《刑法》第二百八十五条的第二款项下,但是两种行为的本质是存在明显差别的。

 

非法获取数据和非法控制计算机都是纯粹的计算机犯罪,是非法侵入信息系统罪的补充罪行和下游罪行,各自拥有其独立的保护范围和立法目的。前者强调的是对于计算机的入侵和个人信息的获取,而后者则更为重视对于他人计算机控制权或运行资源的非法占用。如果将侵入行为也解释为非法控制,就架空了法条的内容设置,超出了侵入行为应有的文本意义,扩大了侵入行为的外延。由此,对于“非法控制”的解释,应严格限定在可证明的控制行为范围内。行为人实施了侵入行为甚至多次侵入,不应据此认定行为人对系统进行了非法控制。

 

前述利用入侵他人摄像头进行偷窥的案件定性,当下实务中尚存在一定争议,并且由于偷窥类刑事案件的现有公开判例较少,甚至无法在实务中归纳出所谓的“多数观点”。但对于这类行为定性的厘清仍然是很有必要的,因为按照非法获取数据来认定违法行为,在行为人获取个人信息五百组以上时方才入刑;而如果以非法控制计算机来认定违法行为,则控制的计算机数量超过二十台就达到了刑事追诉的标准。这可能导致同一个案件,在不同的行为性质认定标准下,对于被告人违法行为的刑法评价会产生“不构成犯罪”和“情节特别严重”的巨大差别。

 

三、实例探究

 

以此真实案例分析

 

被告人通过社交平台非法获取他人云视通等网络摄像头设备账号及密码,并通过云视通等软件上添加上述账号、密码,并实现对他人摄像头内容的观看,公诉机关初步认为被告人的行为是对他人摄像头的非法控制,其构成非法控制计算机信息系统罪,并且以其所登录的摄像头数量作为标准,评价其非法控制的计算机信息系统数量。

 

笔者认为,公诉机关在对该案件的处理上,可能忽视了非法获取计算机信息系统数据和非法控制计算机信息系统之间的差异,导致对本案的定性不够精准。

 

首先,本案中被告人的违法行为尚达不到“控制”的高度。从《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中关于非法获取计算机信息系统数据或者非法控制计算机信息系统“情节严重”的认定标准分析,在不法获取信息的入罪标准上,要么对应较为庞大数量的数据信息获取,例如获取身份认证信息五百组以上;要么直接对应行为人的不法经济获益以及被害人的财产损失或财产损失的高度可能性,例如违法所得五千元以上或者造成经济损失一万元以上;获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上等。与此相对的,控制计算机系统的入刑标准,仅仅要求控制二十台以上,远低于其他获取信息的数量要求。因此要使该解释项下各类犯罪行为表现形式满足“同罪同罚”的基本法律原则,则至少应当保持数种所列举情形的社会危害性相当。也就是说,非法控制他人计算机系统在入罪数量上低于非法获取计算机数据,则所对应的单体社会危害性就理应高于简单的数据获取,这与前文中“控制”与“入侵”之间关系的理解是相一致的。一些观点认为本罪中对于非法控制的认定不需要达到排他控制的标准,但是笔者认为,非法控制者达到与计算机系统的合法拥有者“平权使用”的标准之上应该是一种合理要求。

 

从立法目的出发,以典型的黑客攻击控制计算机信息系统作为例证,如果要被告人的违法行为达到“控制”的标准,一种可以被接受的基本情况在于,当“控制者”和“其他使用者”同时下达异向指令的时候,计算机系统应当跟随“控制者”的指令做出反馈。但在本案中,行为人仅仅是能对摄像头的录制内容进行观看,无法在摄像头的开关、方向角度,系统管理以及储存数据增删等方面进行任何对应的操作,更无法拒绝合法使用者的正常操作。甚至于只要合法使用者稍加留心,为自己的摄像头设立简单且必备的“更改初始密码”这种隐私保护措施,被告人的数据获取通道就被截断了。这样的使用行为,认为其达到了“控制”的标准,极其牵强。

 

其次,以登录的摄像头个数来评价被告人行为的社会危害性并不妥当。此类案件均是以某个APP作为媒介,在绑定了一定的账户密码后实现对摄像头内影像的观看,从进入摄像头系统的路径看,少数摄像头设备号对应一个摄像头通道,而多数的情况为一个摄像头设备号对应多个摄像头通道。因此在本案中,可能出现被告人仅获取一组身份认证信息,进入一个系统后便对应多个摄像头设备的情况。但需要明确的是,最高人民法院、最高人民检察院研究室负责人就《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》答记者问时曾表示,计算机系统应当是具备自动处理数据功能的系统,包括网络设备、通信设备和自动化控制设备,摄像头并不隶属于所列举的三种设备之任一。因此应当理解,对于《刑法》第二百八十五条项下规定的数种计算机系统犯罪而言,其直接指向的犯罪对象是一个又一个独立的计算机系统,法律所保护的对象,也是计算机系统的私密性和正常运行能力,而非对于摄像头这类系统的输入和输出设备进行保护。同理,判断计算机信息系统类犯罪的社会危害性或罪责严重程度,应该着眼于受到影响的计算机系统数量,而非具体登录的摄像头数量。本案中,被告人利用一组账户、密码进入一个摄像头系统,可以构成一个犯罪单位。无论在这个犯罪单位中,具体对应一个还是多个输入、输出设备,由于这些输入和输出设备没有成立独立的新系统,受到侵害的,仍然是一个计算机系统。因此判断本罪的具体罪责情况,不应该纠结于被告人实际观看和登录的摄像头数量,而是应该关注被告人所获得的,能够进入计算机系统的账户密码组数,在账户名和密码相同的情况下,则应该根据被告人实际进入的计算机信息系统数量来确定其行为的社会危害性。

 

最后,从犯罪构成上看,该案更符合非法获取计算机信息系统数据。本案中的被告人是通过购买摄像头设备号的用户名和密码,实现对他人隐私的窥探。窥探隐私固然是不道德甚至构成违法犯罪的行为,但这并不是此类犯罪所侵犯的,足以被评价为犯罪行为的社会法益。从非法获取计算机信息系统数据、非法控制计算机信息系统罪在我国《刑法》中设立的背景和立法沿革的角度来看,应当明晰这一法规主要所规制的行为,是对于他人私密信息的不法探知,即非法为自己或他人探知不属于自己的、他人为了防止非法获得而做了特殊安全处理的数据。更为通俗的说,行为人之所以受到刑法处罚,不仅仅是因为未经允许的观看了他人的隐私,造成了个人敏感信息的侵权,更多的是在于对他人计算机系统中数据的不正当截获,导致“维护个人计算机系统私密性和安全性”的社会价值遭到破坏。这与世界各国关于计算机类犯罪的理念是相一致的,例如《德国刑法》在第15章“侵害私人生活和秘密”中第202条非法探知数据罪就是在做如此规定。本案中,行为人能够被评价为犯罪的法益侵害行为,并非对于他人隐私的侵犯,或是对个人计算机系统控制权的夺取,而是对他人摄像头设备的账户名及密码的不法获取,此乃入侵摄像头窥探隐私违法性之根本。而根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中的解释,行为人所不法获取的这种账号、口令、密码、数字证书等,均归属于“身份认证信息”的范畴。

 

另外,此类案件中的被告人购买账户和密码登录摄像头的目的在于窥探他人隐私,具体的手段则是通过软件获取账户密码非法入侵并获取包含被害人隐私的影像数据。行为人的主观故意仅在于对被害人私密影像数据信息的不法获取,而不在于对整个影像系统的不法控制。客观方面行为人也仅是通过非法获取计算机数据信息并实现个人观看,并不存在对于整个影像系统更多的操作控制使其达到某种活动状态。因此总体来说,无论是从罪责相一致,还是从主客观相统一的角度来说,将行为人的行为认定为非法获取计算机信息系统数据罪,更为准确。

 

来源:大成辩护人

作者:于兴泉,大成律师事务所刑委会执行主任

         马圣昆,中国政法大学刑事司法学院刑法学硕士