搜索
搜索
010-58256011
尚权推荐丨皮勇、祁治国、孙晴:使用模拟软件代他人抢挂就诊号牟利的行为如何定性
作者:尚权律所 时间:2023-03-10
编者按
近期,医疗领域出现了一种新型犯罪——“号贩子”借助恶意软件抢占医疗机构就诊号谋取利益,并与上下游行为人形成黑灰产业链。为了厘清该类行为的性质,有效惩治相关犯罪,本刊遴选一起行为人使用模拟软件代他人抢挂就诊号牟利的案件,邀请专家学者就相关问题进行研讨,敬请关注。
特邀嘉宾
案情简介
关于李某和刘某制作或使用甲软件代他人抢挂就诊号的行为性质:
第一种意见认为,甲软件属于一种“外挂”软件,只是通过破解人机验证机制、抓包等手段对B医院挂号系统实施控制,经由“作弊”影响挂号结果。故刘某的行为构成非法控制计算机信息系统罪,李某则触犯提供非法控制计算机信息系统程序、工具罪。
第二种意见认为,甲软件冒充B医院官方App向挂号系统传输虚假指令,通过模拟高频点击,修改、删除数据等方式迅速挤占挂号资源或对原挂号结果加以篡改,使B医院挂号系统运行受到破坏性干扰。在甲软件上线运行时,B医院挂号系统已无法实现原有功能,甚至存在彻底崩溃的可能。因此,二行为人成立破坏计算机信息系统罪的共犯。
关于刘某、马某获取或提供患者身份信息的行为性质:
第一种意见认为,虽然有关信息均系患者主动提供,但根据相关司法解释,马某知道或应当知道刘某利用公民个人信息实施犯罪仍向其提供公民个人信息的行为,刘某为了实施犯罪收集公民个人信息的行为,均应按侵犯公民个人信息罪定性处理。
第二种意见认为,患者向马某提供个人信息的目的是挂就诊号,马某将该信息提供给刘某及刘某后续的使用行为均未超出患者同意范围,这在很大程度上阻却了该行为的违法性。从刘某角度看,收集患者个人信息的行为与所实施的信息网络犯罪存在想象竞合,择一重罪处断即可,故前者无须单独评价。从马某角度看,难以认定其对于刘某利用患者信息实施犯罪具有明知,结合有关信息的性质和数量,可判定其行为不构成侵犯公民个人信息罪。
研讨问题
问题一:三种罪名的适用范围如何界定
人民检察:破坏计算机信息系统罪,非法控制计算机信息系统罪和提供非法控制计算机信息系统程序、工具罪均是刑法中规制信息网络犯罪的重要罪名。三者的适用范围如何界定?该案中,刘某使用甲软件代他人抢挂就诊号的行为应如何定性?李某为刘某制作甲软件的行为如何定性?
皮勇:这三个罪名所规制的犯罪行为侵害计算机信息系统安全的方式和程度不同。破坏计算机信息系统犯罪侵害计算机信息系统完整性、可用性和保密性,非法控制计算机信息系统犯罪侵害计算机信息系统可用性、保密性,二者均直接侵害计算机信息系统安全;而提供非法控制计算机信息系统程序、工具犯罪则间接侵害计算机信息系统安全。显然,前二者对计算机信息系统安全的危害更为直接和严重,其中,破坏计算机信息系统安全犯罪的危害最为严重,这也是破坏计算机信息系统罪法定刑更重的主要原因。
构成破坏计算机信息系统罪要求行为造成计算机信息系统不能正常运行,且作为该罪构成要件的“后果”由计算机信息系统不能正常运行引起,即具有二次因果关系。计算机信息系统不能正常运行既可以是永久性的,也可以是临时性的,即行为人停止实施危害行为后计算机信息系统可以恢复正常运行,无论是哪一种情况,都属于因危害行为“造成计算机信息系统不能正常运行”。最高人民法院指导案例145号张竣杰等非法控制计算机信息系统案(以下简称指导案例145号)的裁判要点中提到,构成破坏计算机信息系统罪需要犯罪行为造成计算机信息系统“功能实质性破坏或者不能正常运行”,因此,无论实施刑法第286条规定的哪种危害行为,包括对计算机信息系统功能进行删除、修改、增加、干扰,或者对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加操作,或者故意制作、传播计算机病毒等破坏性程序,只有危害行为引起计算机信息系统不能正常运行,并因此引起严重后果的,才能齐备该罪的构成要件。
非法控制计算机信息系统罪强调行为人对计算机信息系统的控制是非法的,至于是否造成计算机信息系统不能正常运行不是该罪的构成要件。如果行为人非法控制计算机信息系统并严重占用系统资源,使得计算机信息系统不能正常运行,且因此引起严重后果,则既可以构成破坏计算机信息系统罪,也可以构成非法控制计算机信息系统罪,由于前者是重罪,应按前者定罪处罚。
提供非法控制计算机信息系统程序、工具罪是独立的犯罪。即使下游行为不构成犯罪,或行为人没有认识到下游行为是犯罪,也可构成该罪。该罪能够遏制为网络违法犯罪提供技术性支持的行为,从犯罪生态上铲除典型网络犯罪的前行为。如果提供有关程序、工具的行为既构成该罪,又构成下游犯罪的帮助犯,则应按想象竞合犯的处理原则定罪处罚。
该案中,首先,刘某的行为破坏了B医院挂号系统整体的完整性和可用性。B医院的挂号系统与PC端浏览器界面或手机端App共同组成与客户之间人机交互的应用系统,而不是仅靠挂号系统独立发挥作用。刘某的行为切断了挂号系统与手机端App之间的联系,假冒正常客户挂号,以高频点击阻截正常客户的挂号请求,使得B医院的挂号系统整体不能完成原定的挂号功能。
其次,只有甲软件被使用时会干扰挂号系统正常运行,但是,这种临时性干扰同样属于干扰计算机信息系统功能的行为。这造成了两种后果:一是正常客户不能利用该挂号系统挂到需要的号;二是其非法的代挂号行为给刘某带来了数额较大的非法收益。应当对二者加以综合评价,认定其造成挂号系统不能正常运行并引起严重后果。故刘某的行为可以认定为破坏计算机信息系统罪。
此外,刘某通过甲软件避开手机端App,直接登录B医院的挂号系统进行操作不属于非法控制前述挂号系统的行为。刘某并未使用甲软件侵入计算机信息系统,其登录挂号系统是正常向其发送请求数据,未超出普通访问客户权限范围;其高频发送请求只是使其请求较之于其他正常客户更快地在B医院挂号系统上完成请求操作,未实施DOS攻击或严重消耗挂号系统资源,不属于非法控制挂号系统的行为,不构成非法控制计算机信息系统罪。
李某明知刘某利用甲软件干扰B医院挂号系统正常运行且从中非法牟利,仍为其制作和提供甲软件,构成破坏计算机信息系统罪的共犯。同时,其行为还属于明知他人利用信息网络实施犯罪而为其犯罪提供技术支持的行为,且情节严重,构成帮助信息网络犯罪活动罪。由于破坏计算机信息系统罪是重罪,按照刑法第287条之二第3款的规定,对李某应按破坏计算机信息系统罪定罪处罚。
祁治国:破坏计算机信息系统犯罪与非法控制计算机信息系统犯罪区分的关键在于行为人的行为是否具有刑法意义上的破坏性,即刑法第286条第1款规定的“造成计算机不能正常运行”。非法控制计算机信息系统犯罪不会对计算机信息系统功能造成严重破坏。如果一个行为既具有非法控制计算机信息系统的效果,又严重破坏该计算机信息系统,可能同时构成两罪,属想象竞合犯,应择一重罪处理。而提供非法控制计算机信息系统程序、工具罪规制的是为非法控制计算机信息系统的实施者提供专门用于控制计算机信息系统的程序、工具,或者明知他人实施非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为,但是行为人并未直接参与非法控制计算机信息系统。
该案中,刘某的行为具有刑法意义上的“破坏性”,属于干扰医院挂号系统功能的行为。计算机信息系统功能应当包括其内部数据处理功能和外在实用性。两者属一体两面——外在实用性是依靠内部数据处理功能来实现的,内部数据处理功能最终要指向外在实用性。甲软件并未删除数据,只是增加了挂号成功数据。即使通过正规途径挂号也会增加挂号相关数据,故有关行为似乎对计算机信息系统数据的内部功能没有大的破坏。但是,甲软件具有自动、高速、绕过验证的抢号功能,形成对医院挂号系统的欺骗。这些虚假指令已经对挂号系统内部数据处理产生干扰,最终影响了其外在实用性。此外,甲软件还通过高频点击,在同一时间将数十个抢号信息占满信息系统,把其他挂号人挡在外面,严重干扰了挂号系统供患者公平公正挂号的功能。
此外,李某提供甲软件的行为也构成破坏计算机信息系统罪,系刘某共犯。根据最高人民法院、最高人民检察院2011年公布的《关于办理危害计算机信息系统安全刑事案件应用法律问题的解释》第9条,李某明知刘某实施刑法第286条规定的犯罪行为而提供相关程序、工具,应按破坏计算机信息系统罪的共犯处理。
孙晴:围绕保护计算机信息系统安全来区分、把握三个罪名的罪状与立法目的,有利于清晰界定其各自的适用范围。破坏计算机信息系统罪保护的法益是计算机信息系统功能的完整性和正常运行状态,主要指向计算机信息系统功能及计算机信息系统中存储、处理或传输的数据和应用程序。根据最高法指导案例145号裁判要点,认定破坏计算机信息系统罪的关键在于“造成系统功能实质性破坏或者不能正常运行”。非法控制计算机信息系统罪保护的法益是计算机信息系统的保密性和可控性,主要指向计算机信息系统合法占有、控制人的使用权或控制权。提供非法控制计算机信息系统程序、工具罪属于帮助行为正犯化的范例,能够更为明确地警示有关违法犯罪分子,同时提示办案人员提供有关程序、工具行为的社会危害性。
实践中,多样化的计算机犯罪行为之间存在互相嵌套的可能性,相关罪名的竞合适用常存争议,而犯罪行为侵犯的法益内容和其本质特征决定了此罪与彼罪的界限。破坏计算机信息系统犯罪的本质特征是对计算机信息系统功能造成实质性破坏,使之不能正常运行。非法控制计算机信息系统犯罪的本质特征是对计算机信息系统控制人的使用、控制权加以剥夺或限制,使其不能按照自己的意志控制、使用计算机信息系统。故破坏计算机信息系统多表现为对计算机信息系统的软件、硬件、数据、功能进行破坏,导致计算机信息系统不能正常运行。非法控制计算机信息系统多表现为未经授权或超越授权控制计算机信息系统。两者的区分关键并非客观方面的删除、修改、增加、干扰行为,而是这些客观行为的效果是导致计算机信息系统本身不能正常运行还是剥夺了计算机信息系统控制人的控制、使用权。而“不能正常运行”既包括完全不能运行,也包括不能按照原来设计的方式运行,通常表现为计算机信息系统运行的崩溃、中断、迟缓等情形。当然,实务中对于系统访问受限、响应速度变慢、部分功能无法正常使用、处理能力变慢等达到何种程度可以认定为“不能正常运行”,有时会有争议。
该案中,甲软件挂号成功率在90%左右。就诊号是有限资源,甲软件90%左右的成功率意味着B医院挂号平台的功能已无法正常实现,其核心功能遭到破坏,已不能按原来设计的方式运行。因此,对刘某的行为应认定为破坏计算机信息系统罪。关于软件制作者李某,其与刘某有着紧密的交流沟通,对刘某“号贩子”身份及开发挂号软件具体用途的主观明知是具体而详细的。甲软件是为实施犯罪而专门开发,没有其他合法用途,开发行为是整个犯罪过程中的重要一环,与该案犯罪活动关系紧密。所以,李某成立破坏计算机信息系统罪的共犯。
问题二:如何把握信息网络犯罪中共犯的追责范围
人民检察:在信息网络犯罪中,行为人成立共犯应具备什么样的主观心态?该案中,马某明知刘某可能会借助抢号软件代他人挂号牟利,仍为其提供有挂号需求的患者信息,能否成立该信息网络犯罪的共犯?
皮勇:在信息网络犯罪中,成立共犯仍需满足刑法总则中共同犯罪的成立条件。一般而言,共犯和正犯应具有双向的意思联络,同时希望或放任有关犯罪的发生。如果成立帮助犯,那么帮助行为人可以具有单向的帮助意图,但必须认识到具体犯罪。该案中,马某明知刘某可能会利用抢号软件代他人挂号牟利,仍为其提供有挂号需求的患者信息,在马某的认识层面,对刘某是否使用具有破坏计算机信息系统功能的抢号软件挂号并不确知,更未认识到刘某是否实施犯罪行为以及具体犯罪的性质,不具有实施破坏计算机信息系统犯罪的共同故意,不能成立破坏计算机信息系统罪的共同犯罪。马某认识到刘某可能利用抢号软件代挂号,也可能利用私人关系代挂号,对刘某实施行为的内容和性质的认识处于不确定状态。因此,认定马某具有实施破坏计算机信息系统罪的共同故意缺乏确凿、充分的证据。
祁治国:利用抢号软件贩卖医院就诊号的案件中的行为人往往有多个层级:上层是使用抢号软件抢就诊号的人,如该案中的刘某;下层是寻找患者、收取抢号费的人,如该案中的马某等人;此外,还可能存在更下层的参与者。是否对所有参与贩卖就诊号的人员都要定罪,应具体情况具体分析。如果下层参与者仅实施寻找患者、提供患者信息、收取抢号费的帮助行为,而在主观层面对上层行为人利用计算机软件抢号根本没有认识,则无法认定下层参与者构成破坏计算机信息系统罪;有关人员违反行政法律法规的,可依法予以行政处罚。
要认定下层参与者与上层行为人具有共同犯罪的故意,需要下层参与者与上层行为人之间有意思联络,在认识层面,下层参与者需明知上层行为人的行为必然或可能发生危害社会的结果,而上层行为人需明知下层参与者在为自己的行为提供帮助。因此,下层参与者要成立共犯,起码在主观上应当明知他人在实施符合犯罪构成要件的行为。该案中,下层参与者马某对上层行为人刘某贩卖号源的行为是明知的,贩卖号源本身并非犯罪行为。但是,马某对刘某是否实施破坏计算机信息系统行为的认识并不明确,因为刘某可能会内外勾结取得号源,也可能使用不具有破坏性的软件抢号等。因此,在无法证明马某主观上明知刘某实施的具体行为时,要认识到其行为可能导致的危害结果更无从谈起,故马某无法认定为破坏计算机信息系统罪的共犯。要注意不能以“可能明知”代替主观认识因素中的“明知”,否则会不当扩大刑事打击范围。
孙晴:随着信息网络犯罪的出现和发展,共同参与该类犯罪的人往往不会面对面“共谋”。认定其犯意联络时,传统共犯理论面临现实挑战。在信息网络犯罪中,成立共犯的主观要件是对自己参与行为性质的明知。具体而言,这种“明知”可分为“知道”和“应当知道”。其中“应当知道”以程序法为视角分析限定,系为降低证明标准,结合案件具体情况,运用相应的证据规则推定行为人“知道”的一种证明方法,一般指结合行为人的认知能力、人生经历、行为方式以及其他客观因素等综合推定出行为人的明知,但有相反证据证明的除外。这种推定一般有相应的规范依据,比如最高法、最高检2019年公布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第11条,就列举了七种可以认定行为人明知他人利用信息网络实施犯罪的情形。
该案中,马某对刘某是否会借助抢号软件代他人挂号牟利的认知如果只是基于不同信息源在自我认识上的组合、想象与推测,则这种认知程度不能达到刑法中“明知”的确切程度,不宜将马某作为该信息网络犯罪的共犯处理。假如马某知道刘某代为挂号的途径系使用某种具体的抢号软件,长期、多次为其提供有挂号需求的患者信息,从中抽成获利等,则存在认定马某构成信息网络犯罪共犯的空间。
问题三:如何判定侵犯公民个人信息罪中“信息主体同意”的效力
人民检察:信息主体同意能否阻却侵犯公民个人信息犯罪违法性?该案中刘某、马某获取或提供的患者身份信息均系患者为了挂就诊号主动提供,行为人的行为是否构成侵犯公民个人信息罪?
皮勇:构成侵犯公民个人信息罪的前提是违反国家有关规定。按照个人信息保护法等法律法规及部门规章的规定,一般而言,在信息主体知情同意的情况下取得、提供其个人信息,不属于该罪罪状中的“违反国家有关规定”。但是,在特殊情况下即使信息主体知情同意,如果行为人获取、提供个人信息行为违反了合理、正当、必要、诚信原则,或者从事了危害国家安全、公共利益的活动,此类行为仍然违反了国家有关规定,具有违法性,可构成侵犯公民个人信息罪。
该案中,刘某、马某的行为不构成侵犯公民个人信息罪。患者向马某提供身份信息用于代为挂号,是基于真实意思的表示;同时,对马某将该信息用于挂号或提供给其他人用于挂号,处于其认识和同意的意思范围内。可见,马某没有实施非法获取、提供他人个人信息的行为,也没有实施损害患者利益的其他行为,其行为没有违反国家有关规定,没有侵犯个人信息权益和扰乱个人信息安全管理秩序,不构成侵犯公民个人信息罪。刘某接受马某提供的患者个人信息并用于代患者挂号,没有损害信息主体的个人信息权益,其获取行为不具有违法性,也不构成侵犯公民个人信息罪。
祁治国:该案中存在获取公民个人信息的行为,即抢号者搜集患者同意并主动提供的用于抢挂就诊号的身份证号等公民个人信息。那么相关人员是否系非法获取公民个人信息,进而构成侵犯公民个人信息罪呢?答案是否定的。一方面,根据个人信息保护法第13条,经信息主体同意可以处理他人信息,但必须在其授权范围内使用。如果在抢号事项以外处理患者个人信息,就超出了患者授权范围,可能涉嫌侵犯公民个人信息罪。该案中,抢号一方在患者授权范围内使用其个人信息,并未侵犯患者个人信息权益。另一方面,从违法阻却事由的角度来看,被害人有处分自己特定权利的自由,通说认为被害人可以处分财产、名誉、自由等方面的权益,个人信息权益也是可以处分的对象。可见,患者主动允许他人使用,一般可以阻却抢号者构成侵犯公民个人信息罪。
孙晴:关于侵犯公民个人信息罪的保护法益存在两种观点:一种是“个人法益说”,认为该罪属于保护个人法益的自然犯,具体可分为“隐私权说”“人格尊严权说”“私人生活安宁说”“个人信息自决权说”等;另一种是“超个人法益说”,认为“违反国家有关规定”是侵犯公民个人信息罪的构成要件要素之一,该罪不仅保护个人权益,其构成要件还要求违反国家规范信息管理秩序的相关规定,属于保护超个人法益的法定犯,具体可分为“公共信息安全说”“社会新型管理秩序说”等。但目前多数观点认为侵犯公民个人信息罪保护的是一种个人法益。罪状中出现“违反国家有关规定”虽然是法定犯的典型特征,但不应认为这是法定犯的固有标识,因自然犯也可能涉及“违反国家有关规定”。进而言之,如果侵犯公民个人信息的行为违反国家有关规定,但对公民个人法益不具有侵害性,也不宜认定为侵犯公民个人信息罪。
该案中,患者向马某提供个人信息的目的是挂就诊号,马某将该信息提供给刘某以及刘某后续的使用行为均处在患者同意的使用范围内,该同意阻却马某、刘某提供或获取公民个人信息的刑事违法性,因此不宜认定二人行为构成侵犯公民个人信息罪。至于刘某利用这些个人信息在“抢号软件”上挂号的行为违反了“国家有关规定”,认定其构成破坏计算机信息系统罪已能全面评价;马某则因不成立破坏计算机信息系统罪的共犯而免予刑事评价。
问题四:刑事案件中证据存疑时违法所得如何认定
人民检察:该案中刘某共计为他人挂号近两百个。由于支付手段多样化,部分款项缺乏支付记录,刘某违法所得的准确数额难以查明。根据刘某等人的供述和证人证言,刘某每挂号一次收取100元至300元不等的好处费。如何看待存疑有利于被告人原则在刑事案件证据审查中的地位和作用?刘某的违法所得数额如何认定?
皮勇:认定犯罪应当事实清楚,证据确凿、充分,在存疑的情况下应遵循有利于被告人的原则。该案中,刘某为他人代挂号近两百个的事实是清楚的,有关证据确凿、充分,可以证明其行为影响B医院挂号系统正常运行并造成严重后果。在违法所得数额方面,如果不能查实具体数额,应当按照可以相互印证的证据来认定,即根据刘某供述的最低收费金额和证人证言进行认定,按照每次收费100元和代挂号的人数相乘来计算违法所得数额。
祁治国:根据最高法、最高检2011年公布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第4条,破坏计算机信息系统罪罪状中“后果严重”的认定依据包括违法所得5000元以上。但在实务中,要查清该类案件中违法所得的具体数额有时难度较大。比如,转账收取挂号费用时,下层“号贩子”在收取患者资金后,会逐级转给上层“号贩子”,直至犯罪链条的最上层行为人。“号贩子”为了逃避侦查往往将资金混同转账,转账数额与每笔挂号费用并不一一对应,以致无法识别到底哪些资金是挂号费。同时,犯罪链条中的每层行为人都要获取好处费,每层的好处费甚至每次的好处费都不固定,计算方法相当复杂。于是,在查清挂号次数的前提下,只能根据口供和证言确定抢挂就诊号获利的情况,一般查明的只是一个获利幅度,比如每个号获利100~300元等。此时,应当坚持在证据存疑时作出有利于被告人的选择,以最低获利金额作为获利数额的计算标准。因此,以100元每次作为标准,再乘以抢到的就诊号数量,即可计算出刘某的违法所得数额。
孙晴:存疑有利于被告人原则的适用,使得疑罪从无、无罪推定等理念真正落实到刑事案件的证据审查和事实认定中,是解决证据矛盾和事实存疑问题的“利器”。但在“好用”的同时,也要注意到“存疑有利于被告人”原则的适用是有条件的,“存疑”指的是合理怀疑,是以客观的证据和事实为基础的怀疑,而非主观臆断和猜测,因而要确保在符合条件的前提下准确适用、规范适用、充分适用。
犯罪数额存疑是比较常见的情况,要注意区分现有证据能够准确认定的部分和不能认定的存疑部分,只对存疑那部分适用“存疑有利于被告人”原则。同时,在存疑部分内部,还要紧扣已有在案证据,在证据框架内分层认定,而不是“一刀切”式地一味就低。该案中,刘某违法所得数额的计算应分情况考虑:对于能够准确认定的部分,若根据刘某等人的供述、证人证言和支付记录能够准确计算,则不存在疑问;对于缺乏支付记录的部分,需要结合现有证据情况,若能确定其支付手段,则应以该支付方式下的现有支付记录就低确定支付金额;若不能确定支付手段,则根据总体收取好处费的标准就低以100元每次为准计算支付金额。
来源:《人民检察》2023年第2期
作者:皮 勇 ,同济大学上海国际知识产权学院教授、博士生导师
祁治国,北京市西城区人民检察院检察长
孙 晴,北京市人民检察院第二分院检察委员会委员、第四检察部主任
特邀嘉宾
案情简介
关于李某和刘某制作或使用甲软件代他人抢挂就诊号的行为性质:
第一种意见认为,甲软件属于一种“外挂”软件,只是通过破解人机验证机制、抓包等手段对B医院挂号系统实施控制,经由“作弊”影响挂号结果。故刘某的行为构成非法控制计算机信息系统罪,李某则触犯提供非法控制计算机信息系统程序、工具罪。
第二种意见认为,甲软件冒充B医院官方App向挂号系统传输虚假指令,通过模拟高频点击,修改、删除数据等方式迅速挤占挂号资源或对原挂号结果加以篡改,使B医院挂号系统运行受到破坏性干扰。在甲软件上线运行时,B医院挂号系统已无法实现原有功能,甚至存在彻底崩溃的可能。因此,二行为人成立破坏计算机信息系统罪的共犯。
关于刘某、马某获取或提供患者身份信息的行为性质:
第一种意见认为,虽然有关信息均系患者主动提供,但根据相关司法解释,马某知道或应当知道刘某利用公民个人信息实施犯罪仍向其提供公民个人信息的行为,刘某为了实施犯罪收集公民个人信息的行为,均应按侵犯公民个人信息罪定性处理。
第二种意见认为,患者向马某提供个人信息的目的是挂就诊号,马某将该信息提供给刘某及刘某后续的使用行为均未超出患者同意范围,这在很大程度上阻却了该行为的违法性。从刘某角度看,收集患者个人信息的行为与所实施的信息网络犯罪存在想象竞合,择一重罪处断即可,故前者无须单独评价。从马某角度看,难以认定其对于刘某利用患者信息实施犯罪具有明知,结合有关信息的性质和数量,可判定其行为不构成侵犯公民个人信息罪。
研讨问题
问题一:三种罪名的适用范围如何界定
人民检察:破坏计算机信息系统罪,非法控制计算机信息系统罪和提供非法控制计算机信息系统程序、工具罪均是刑法中规制信息网络犯罪的重要罪名。三者的适用范围如何界定?该案中,刘某使用甲软件代他人抢挂就诊号的行为应如何定性?李某为刘某制作甲软件的行为如何定性?
皮勇:这三个罪名所规制的犯罪行为侵害计算机信息系统安全的方式和程度不同。破坏计算机信息系统犯罪侵害计算机信息系统完整性、可用性和保密性,非法控制计算机信息系统犯罪侵害计算机信息系统可用性、保密性,二者均直接侵害计算机信息系统安全;而提供非法控制计算机信息系统程序、工具犯罪则间接侵害计算机信息系统安全。显然,前二者对计算机信息系统安全的危害更为直接和严重,其中,破坏计算机信息系统安全犯罪的危害最为严重,这也是破坏计算机信息系统罪法定刑更重的主要原因。
构成破坏计算机信息系统罪要求行为造成计算机信息系统不能正常运行,且作为该罪构成要件的“后果”由计算机信息系统不能正常运行引起,即具有二次因果关系。计算机信息系统不能正常运行既可以是永久性的,也可以是临时性的,即行为人停止实施危害行为后计算机信息系统可以恢复正常运行,无论是哪一种情况,都属于因危害行为“造成计算机信息系统不能正常运行”。最高人民法院指导案例145号张竣杰等非法控制计算机信息系统案(以下简称指导案例145号)的裁判要点中提到,构成破坏计算机信息系统罪需要犯罪行为造成计算机信息系统“功能实质性破坏或者不能正常运行”,因此,无论实施刑法第286条规定的哪种危害行为,包括对计算机信息系统功能进行删除、修改、增加、干扰,或者对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加操作,或者故意制作、传播计算机病毒等破坏性程序,只有危害行为引起计算机信息系统不能正常运行,并因此引起严重后果的,才能齐备该罪的构成要件。
非法控制计算机信息系统罪强调行为人对计算机信息系统的控制是非法的,至于是否造成计算机信息系统不能正常运行不是该罪的构成要件。如果行为人非法控制计算机信息系统并严重占用系统资源,使得计算机信息系统不能正常运行,且因此引起严重后果,则既可以构成破坏计算机信息系统罪,也可以构成非法控制计算机信息系统罪,由于前者是重罪,应按前者定罪处罚。
提供非法控制计算机信息系统程序、工具罪是独立的犯罪。即使下游行为不构成犯罪,或行为人没有认识到下游行为是犯罪,也可构成该罪。该罪能够遏制为网络违法犯罪提供技术性支持的行为,从犯罪生态上铲除典型网络犯罪的前行为。如果提供有关程序、工具的行为既构成该罪,又构成下游犯罪的帮助犯,则应按想象竞合犯的处理原则定罪处罚。
该案中,首先,刘某的行为破坏了B医院挂号系统整体的完整性和可用性。B医院的挂号系统与PC端浏览器界面或手机端App共同组成与客户之间人机交互的应用系统,而不是仅靠挂号系统独立发挥作用。刘某的行为切断了挂号系统与手机端App之间的联系,假冒正常客户挂号,以高频点击阻截正常客户的挂号请求,使得B医院的挂号系统整体不能完成原定的挂号功能。
其次,只有甲软件被使用时会干扰挂号系统正常运行,但是,这种临时性干扰同样属于干扰计算机信息系统功能的行为。这造成了两种后果:一是正常客户不能利用该挂号系统挂到需要的号;二是其非法的代挂号行为给刘某带来了数额较大的非法收益。应当对二者加以综合评价,认定其造成挂号系统不能正常运行并引起严重后果。故刘某的行为可以认定为破坏计算机信息系统罪。
此外,刘某通过甲软件避开手机端App,直接登录B医院的挂号系统进行操作不属于非法控制前述挂号系统的行为。刘某并未使用甲软件侵入计算机信息系统,其登录挂号系统是正常向其发送请求数据,未超出普通访问客户权限范围;其高频发送请求只是使其请求较之于其他正常客户更快地在B医院挂号系统上完成请求操作,未实施DOS攻击或严重消耗挂号系统资源,不属于非法控制挂号系统的行为,不构成非法控制计算机信息系统罪。
李某明知刘某利用甲软件干扰B医院挂号系统正常运行且从中非法牟利,仍为其制作和提供甲软件,构成破坏计算机信息系统罪的共犯。同时,其行为还属于明知他人利用信息网络实施犯罪而为其犯罪提供技术支持的行为,且情节严重,构成帮助信息网络犯罪活动罪。由于破坏计算机信息系统罪是重罪,按照刑法第287条之二第3款的规定,对李某应按破坏计算机信息系统罪定罪处罚。
祁治国:破坏计算机信息系统犯罪与非法控制计算机信息系统犯罪区分的关键在于行为人的行为是否具有刑法意义上的破坏性,即刑法第286条第1款规定的“造成计算机不能正常运行”。非法控制计算机信息系统犯罪不会对计算机信息系统功能造成严重破坏。如果一个行为既具有非法控制计算机信息系统的效果,又严重破坏该计算机信息系统,可能同时构成两罪,属想象竞合犯,应择一重罪处理。而提供非法控制计算机信息系统程序、工具罪规制的是为非法控制计算机信息系统的实施者提供专门用于控制计算机信息系统的程序、工具,或者明知他人实施非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为,但是行为人并未直接参与非法控制计算机信息系统。
该案中,刘某的行为具有刑法意义上的“破坏性”,属于干扰医院挂号系统功能的行为。计算机信息系统功能应当包括其内部数据处理功能和外在实用性。两者属一体两面——外在实用性是依靠内部数据处理功能来实现的,内部数据处理功能最终要指向外在实用性。甲软件并未删除数据,只是增加了挂号成功数据。即使通过正规途径挂号也会增加挂号相关数据,故有关行为似乎对计算机信息系统数据的内部功能没有大的破坏。但是,甲软件具有自动、高速、绕过验证的抢号功能,形成对医院挂号系统的欺骗。这些虚假指令已经对挂号系统内部数据处理产生干扰,最终影响了其外在实用性。此外,甲软件还通过高频点击,在同一时间将数十个抢号信息占满信息系统,把其他挂号人挡在外面,严重干扰了挂号系统供患者公平公正挂号的功能。
此外,李某提供甲软件的行为也构成破坏计算机信息系统罪,系刘某共犯。根据最高人民法院、最高人民检察院2011年公布的《关于办理危害计算机信息系统安全刑事案件应用法律问题的解释》第9条,李某明知刘某实施刑法第286条规定的犯罪行为而提供相关程序、工具,应按破坏计算机信息系统罪的共犯处理。
孙晴:围绕保护计算机信息系统安全来区分、把握三个罪名的罪状与立法目的,有利于清晰界定其各自的适用范围。破坏计算机信息系统罪保护的法益是计算机信息系统功能的完整性和正常运行状态,主要指向计算机信息系统功能及计算机信息系统中存储、处理或传输的数据和应用程序。根据最高法指导案例145号裁判要点,认定破坏计算机信息系统罪的关键在于“造成系统功能实质性破坏或者不能正常运行”。非法控制计算机信息系统罪保护的法益是计算机信息系统的保密性和可控性,主要指向计算机信息系统合法占有、控制人的使用权或控制权。提供非法控制计算机信息系统程序、工具罪属于帮助行为正犯化的范例,能够更为明确地警示有关违法犯罪分子,同时提示办案人员提供有关程序、工具行为的社会危害性。
实践中,多样化的计算机犯罪行为之间存在互相嵌套的可能性,相关罪名的竞合适用常存争议,而犯罪行为侵犯的法益内容和其本质特征决定了此罪与彼罪的界限。破坏计算机信息系统犯罪的本质特征是对计算机信息系统功能造成实质性破坏,使之不能正常运行。非法控制计算机信息系统犯罪的本质特征是对计算机信息系统控制人的使用、控制权加以剥夺或限制,使其不能按照自己的意志控制、使用计算机信息系统。故破坏计算机信息系统多表现为对计算机信息系统的软件、硬件、数据、功能进行破坏,导致计算机信息系统不能正常运行。非法控制计算机信息系统多表现为未经授权或超越授权控制计算机信息系统。两者的区分关键并非客观方面的删除、修改、增加、干扰行为,而是这些客观行为的效果是导致计算机信息系统本身不能正常运行还是剥夺了计算机信息系统控制人的控制、使用权。而“不能正常运行”既包括完全不能运行,也包括不能按照原来设计的方式运行,通常表现为计算机信息系统运行的崩溃、中断、迟缓等情形。当然,实务中对于系统访问受限、响应速度变慢、部分功能无法正常使用、处理能力变慢等达到何种程度可以认定为“不能正常运行”,有时会有争议。
该案中,甲软件挂号成功率在90%左右。就诊号是有限资源,甲软件90%左右的成功率意味着B医院挂号平台的功能已无法正常实现,其核心功能遭到破坏,已不能按原来设计的方式运行。因此,对刘某的行为应认定为破坏计算机信息系统罪。关于软件制作者李某,其与刘某有着紧密的交流沟通,对刘某“号贩子”身份及开发挂号软件具体用途的主观明知是具体而详细的。甲软件是为实施犯罪而专门开发,没有其他合法用途,开发行为是整个犯罪过程中的重要一环,与该案犯罪活动关系紧密。所以,李某成立破坏计算机信息系统罪的共犯。
问题二:如何把握信息网络犯罪中共犯的追责范围
人民检察:在信息网络犯罪中,行为人成立共犯应具备什么样的主观心态?该案中,马某明知刘某可能会借助抢号软件代他人挂号牟利,仍为其提供有挂号需求的患者信息,能否成立该信息网络犯罪的共犯?
皮勇:在信息网络犯罪中,成立共犯仍需满足刑法总则中共同犯罪的成立条件。一般而言,共犯和正犯应具有双向的意思联络,同时希望或放任有关犯罪的发生。如果成立帮助犯,那么帮助行为人可以具有单向的帮助意图,但必须认识到具体犯罪。该案中,马某明知刘某可能会利用抢号软件代他人挂号牟利,仍为其提供有挂号需求的患者信息,在马某的认识层面,对刘某是否使用具有破坏计算机信息系统功能的抢号软件挂号并不确知,更未认识到刘某是否实施犯罪行为以及具体犯罪的性质,不具有实施破坏计算机信息系统犯罪的共同故意,不能成立破坏计算机信息系统罪的共同犯罪。马某认识到刘某可能利用抢号软件代挂号,也可能利用私人关系代挂号,对刘某实施行为的内容和性质的认识处于不确定状态。因此,认定马某具有实施破坏计算机信息系统罪的共同故意缺乏确凿、充分的证据。
祁治国:利用抢号软件贩卖医院就诊号的案件中的行为人往往有多个层级:上层是使用抢号软件抢就诊号的人,如该案中的刘某;下层是寻找患者、收取抢号费的人,如该案中的马某等人;此外,还可能存在更下层的参与者。是否对所有参与贩卖就诊号的人员都要定罪,应具体情况具体分析。如果下层参与者仅实施寻找患者、提供患者信息、收取抢号费的帮助行为,而在主观层面对上层行为人利用计算机软件抢号根本没有认识,则无法认定下层参与者构成破坏计算机信息系统罪;有关人员违反行政法律法规的,可依法予以行政处罚。
要认定下层参与者与上层行为人具有共同犯罪的故意,需要下层参与者与上层行为人之间有意思联络,在认识层面,下层参与者需明知上层行为人的行为必然或可能发生危害社会的结果,而上层行为人需明知下层参与者在为自己的行为提供帮助。因此,下层参与者要成立共犯,起码在主观上应当明知他人在实施符合犯罪构成要件的行为。该案中,下层参与者马某对上层行为人刘某贩卖号源的行为是明知的,贩卖号源本身并非犯罪行为。但是,马某对刘某是否实施破坏计算机信息系统行为的认识并不明确,因为刘某可能会内外勾结取得号源,也可能使用不具有破坏性的软件抢号等。因此,在无法证明马某主观上明知刘某实施的具体行为时,要认识到其行为可能导致的危害结果更无从谈起,故马某无法认定为破坏计算机信息系统罪的共犯。要注意不能以“可能明知”代替主观认识因素中的“明知”,否则会不当扩大刑事打击范围。
孙晴:随着信息网络犯罪的出现和发展,共同参与该类犯罪的人往往不会面对面“共谋”。认定其犯意联络时,传统共犯理论面临现实挑战。在信息网络犯罪中,成立共犯的主观要件是对自己参与行为性质的明知。具体而言,这种“明知”可分为“知道”和“应当知道”。其中“应当知道”以程序法为视角分析限定,系为降低证明标准,结合案件具体情况,运用相应的证据规则推定行为人“知道”的一种证明方法,一般指结合行为人的认知能力、人生经历、行为方式以及其他客观因素等综合推定出行为人的明知,但有相反证据证明的除外。这种推定一般有相应的规范依据,比如最高法、最高检2019年公布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第11条,就列举了七种可以认定行为人明知他人利用信息网络实施犯罪的情形。
该案中,马某对刘某是否会借助抢号软件代他人挂号牟利的认知如果只是基于不同信息源在自我认识上的组合、想象与推测,则这种认知程度不能达到刑法中“明知”的确切程度,不宜将马某作为该信息网络犯罪的共犯处理。假如马某知道刘某代为挂号的途径系使用某种具体的抢号软件,长期、多次为其提供有挂号需求的患者信息,从中抽成获利等,则存在认定马某构成信息网络犯罪共犯的空间。
问题三:如何判定侵犯公民个人信息罪中“信息主体同意”的效力
人民检察:信息主体同意能否阻却侵犯公民个人信息犯罪违法性?该案中刘某、马某获取或提供的患者身份信息均系患者为了挂就诊号主动提供,行为人的行为是否构成侵犯公民个人信息罪?
皮勇:构成侵犯公民个人信息罪的前提是违反国家有关规定。按照个人信息保护法等法律法规及部门规章的规定,一般而言,在信息主体知情同意的情况下取得、提供其个人信息,不属于该罪罪状中的“违反国家有关规定”。但是,在特殊情况下即使信息主体知情同意,如果行为人获取、提供个人信息行为违反了合理、正当、必要、诚信原则,或者从事了危害国家安全、公共利益的活动,此类行为仍然违反了国家有关规定,具有违法性,可构成侵犯公民个人信息罪。
该案中,刘某、马某的行为不构成侵犯公民个人信息罪。患者向马某提供身份信息用于代为挂号,是基于真实意思的表示;同时,对马某将该信息用于挂号或提供给其他人用于挂号,处于其认识和同意的意思范围内。可见,马某没有实施非法获取、提供他人个人信息的行为,也没有实施损害患者利益的其他行为,其行为没有违反国家有关规定,没有侵犯个人信息权益和扰乱个人信息安全管理秩序,不构成侵犯公民个人信息罪。刘某接受马某提供的患者个人信息并用于代患者挂号,没有损害信息主体的个人信息权益,其获取行为不具有违法性,也不构成侵犯公民个人信息罪。
祁治国:该案中存在获取公民个人信息的行为,即抢号者搜集患者同意并主动提供的用于抢挂就诊号的身份证号等公民个人信息。那么相关人员是否系非法获取公民个人信息,进而构成侵犯公民个人信息罪呢?答案是否定的。一方面,根据个人信息保护法第13条,经信息主体同意可以处理他人信息,但必须在其授权范围内使用。如果在抢号事项以外处理患者个人信息,就超出了患者授权范围,可能涉嫌侵犯公民个人信息罪。该案中,抢号一方在患者授权范围内使用其个人信息,并未侵犯患者个人信息权益。另一方面,从违法阻却事由的角度来看,被害人有处分自己特定权利的自由,通说认为被害人可以处分财产、名誉、自由等方面的权益,个人信息权益也是可以处分的对象。可见,患者主动允许他人使用,一般可以阻却抢号者构成侵犯公民个人信息罪。
孙晴:关于侵犯公民个人信息罪的保护法益存在两种观点:一种是“个人法益说”,认为该罪属于保护个人法益的自然犯,具体可分为“隐私权说”“人格尊严权说”“私人生活安宁说”“个人信息自决权说”等;另一种是“超个人法益说”,认为“违反国家有关规定”是侵犯公民个人信息罪的构成要件要素之一,该罪不仅保护个人权益,其构成要件还要求违反国家规范信息管理秩序的相关规定,属于保护超个人法益的法定犯,具体可分为“公共信息安全说”“社会新型管理秩序说”等。但目前多数观点认为侵犯公民个人信息罪保护的是一种个人法益。罪状中出现“违反国家有关规定”虽然是法定犯的典型特征,但不应认为这是法定犯的固有标识,因自然犯也可能涉及“违反国家有关规定”。进而言之,如果侵犯公民个人信息的行为违反国家有关规定,但对公民个人法益不具有侵害性,也不宜认定为侵犯公民个人信息罪。
该案中,患者向马某提供个人信息的目的是挂就诊号,马某将该信息提供给刘某以及刘某后续的使用行为均处在患者同意的使用范围内,该同意阻却马某、刘某提供或获取公民个人信息的刑事违法性,因此不宜认定二人行为构成侵犯公民个人信息罪。至于刘某利用这些个人信息在“抢号软件”上挂号的行为违反了“国家有关规定”,认定其构成破坏计算机信息系统罪已能全面评价;马某则因不成立破坏计算机信息系统罪的共犯而免予刑事评价。
问题四:刑事案件中证据存疑时违法所得如何认定
人民检察:该案中刘某共计为他人挂号近两百个。由于支付手段多样化,部分款项缺乏支付记录,刘某违法所得的准确数额难以查明。根据刘某等人的供述和证人证言,刘某每挂号一次收取100元至300元不等的好处费。如何看待存疑有利于被告人原则在刑事案件证据审查中的地位和作用?刘某的违法所得数额如何认定?
皮勇:认定犯罪应当事实清楚,证据确凿、充分,在存疑的情况下应遵循有利于被告人的原则。该案中,刘某为他人代挂号近两百个的事实是清楚的,有关证据确凿、充分,可以证明其行为影响B医院挂号系统正常运行并造成严重后果。在违法所得数额方面,如果不能查实具体数额,应当按照可以相互印证的证据来认定,即根据刘某供述的最低收费金额和证人证言进行认定,按照每次收费100元和代挂号的人数相乘来计算违法所得数额。
祁治国:根据最高法、最高检2011年公布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第4条,破坏计算机信息系统罪罪状中“后果严重”的认定依据包括违法所得5000元以上。但在实务中,要查清该类案件中违法所得的具体数额有时难度较大。比如,转账收取挂号费用时,下层“号贩子”在收取患者资金后,会逐级转给上层“号贩子”,直至犯罪链条的最上层行为人。“号贩子”为了逃避侦查往往将资金混同转账,转账数额与每笔挂号费用并不一一对应,以致无法识别到底哪些资金是挂号费。同时,犯罪链条中的每层行为人都要获取好处费,每层的好处费甚至每次的好处费都不固定,计算方法相当复杂。于是,在查清挂号次数的前提下,只能根据口供和证言确定抢挂就诊号获利的情况,一般查明的只是一个获利幅度,比如每个号获利100~300元等。此时,应当坚持在证据存疑时作出有利于被告人的选择,以最低获利金额作为获利数额的计算标准。因此,以100元每次作为标准,再乘以抢到的就诊号数量,即可计算出刘某的违法所得数额。
孙晴:存疑有利于被告人原则的适用,使得疑罪从无、无罪推定等理念真正落实到刑事案件的证据审查和事实认定中,是解决证据矛盾和事实存疑问题的“利器”。但在“好用”的同时,也要注意到“存疑有利于被告人”原则的适用是有条件的,“存疑”指的是合理怀疑,是以客观的证据和事实为基础的怀疑,而非主观臆断和猜测,因而要确保在符合条件的前提下准确适用、规范适用、充分适用。
犯罪数额存疑是比较常见的情况,要注意区分现有证据能够准确认定的部分和不能认定的存疑部分,只对存疑那部分适用“存疑有利于被告人”原则。同时,在存疑部分内部,还要紧扣已有在案证据,在证据框架内分层认定,而不是“一刀切”式地一味就低。该案中,刘某违法所得数额的计算应分情况考虑:对于能够准确认定的部分,若根据刘某等人的供述、证人证言和支付记录能够准确计算,则不存在疑问;对于缺乏支付记录的部分,需要结合现有证据情况,若能确定其支付手段,则应以该支付方式下的现有支付记录就低确定支付金额;若不能确定支付手段,则根据总体收取好处费的标准就低以100元每次为准计算支付金额。
来源:《人民检察》2023年第2期
作者:皮 勇 ,同济大学上海国际知识产权学院教授、博士生导师
祁治国,北京市西城区人民检察院检察长
孙 晴,北京市人民检察院第二分院检察委员会委员、第四检察部主任
