打开APP

穿透破坏计算机信息系统罪的犯罪客体

叶荷律师 
2023-02-14 16:00

☝ 点击上方头像或+关注,查看作者往期文章~



作者:叶荷 曾任世界500强企业等大型机构高管,现为深圳律师,专注于数据治理、商事争议、网络犯罪。


基于深度学习的计算机技术正在成为数字经济发展主流,但在司法实践中,对于数字新生态的反应仍相对滞后:理论界与实务界对破坏计算机信息系统罪(以下简称“破坏罪”)为代表的几个典型罪名的适用认识不一,尤以破坏罪的定性及其与相关竞合罪名的界分、罪数形态方面的争议[1]为甚。


笔者认为,破坏罪应当在充分尊重立法宗旨的前提下,穿越技术固化和刑事对策“失灵”的迷思,把握其犯罪客体与保护法益,实现刑法对网络安全和社会秩序的源头治理功能。


01

“计算机信息系统”的司法释义


2011年两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)将“计算机信息系统”定义为“具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等”。此后两高也通过一系列指导性案例对计算机信息系统的适用范围做了扩充和相应指引,先后确认智能手机终端、企业的机械远程监控系统、环境质量监测系统等属于计算机信息系统,采用锁定智能手机、用棉纱等物品堵塞环境监测采样设备、冒用买家身份侵入评价系统删改购物评价、劫持域名、“DNS劫持”等致使系统不能使用的行为均构成破坏罪。


尽管法律条文、《解释》和指导案例对破坏罪皆多有着墨,但由于:1.本罪适用范围的扩充;2.本罪犯罪行为常见于同时侵犯多个客体如财产权利、知识产权、公共秩序、社会管理秩序等情形,控辩双方和审判机构对涉案行为的辨析复杂度较高;3.本罪存在天然的技术门槛,法律规则与技术规范的贴合不易,故对本罪的理解适用一直存在不少争议,同案不同判并不鲜见。


02

关于破坏罪定性的主要争议


实务界有人总结本罪定性的主要争议点有二:1.对藉处理(修改、增删)系统中的“程序”和“数据”直接获取财物行为的定性;2.如何认定对程序、数据进行处理以谋利,但又不符合刑法第287条的行为[2]。可以说本罪的定性争议主要集中在对破坏罪的犯罪客体的判定,其中又以对数据类犯罪的规制问题最为突出。


1. 破坏罪对数据类犯罪的规制困境


刑法第286条第2款中明确了系统中存储、处理或传输的数据和应用程序属于破坏罪的犯罪客体,对于这类数据类犯罪的界定目前存在两种对立的意见——即认为司法实践中该“数据”的解释过宽或过窄。有学者认为数据法益独立化乃大势所趋,而“数据”和“程序”“仍附属于计算机信息系统而未作为独立犯罪对象”[3]之现状让破坏罪“成为一些数据类违法犯罪行为的口袋罪”——通过处理数据而获取利益,“更多侵犯的是数据本身的安全性,是一种侵犯数据法益的违法犯罪行为,而非典型的破坏罪行为,但目前的司法实践都以破坏罪进行定罪处罚”[4]。另一方面,因为处于流动状态的数据要素已成为社会基础资源,其法益保护范围远大于传统观点中固定的物理系统所界定的范围,因此有声音试图从扩张本条款中的“数据”定义来解决这类问题,比如提出:作为一种权宜之计,虚拟货币也应作为计算机信息系统数据进行保护[5]


上述规制困境属于现今网络犯罪审判疑难问题的表现,最高法喻海松法官认为这是源于沿袭传统犯罪的刑事对策在日新月异的网络犯罪面前产生了一定程度上的失灵,由此提出刑事对策应在扩张网络犯罪圈的范围惩治网络犯罪黑产链融合法律规范与技术规则三个方面做出调整。[6]囿于篇幅,下文仅就目前讨论较少的“法律与技术的融合”予以阐述。


有网络安全专家对新旧网络治理规则的演变路径做了总结:从以网络和系统为中心到以数据为中心、从关注网络边界到跟踪数据流转路径、从单品各自为阵到一致性安全原则、从被动响应到持续风险评估。[7]现今风险导向型的治理制度在法律界更多体现在行政监管和政企合规建设当中(如发改委2022年初提出的“数据可信流通体系”建设),但在司法裁判中尚未见成体系的刑事规制路径,实践中的困难主要与技术与法律两套规则的脱节有关,而这两套规则的融合在产业界一般体现在数据运营(DataOps)等方法论上,即将利益相关方纳入到数据全生命周期中的集成链条中进行数据管控。笔者认为,数据类型犯罪在适用破坏罪的时候可以借鉴数据治理或数据合规中的一些理念,尽可能避免前述刑事对策适用的困境。


2.破坏罪规制数据类犯罪的数据识别问题


在计算机信息系统所搭建的各个端口或框架中,数据形成的信息流在法律、技术、各类业务场景所相融而成的通道中交互,从而产生价值。数据类犯罪的定性不可避免需要遵从数据流通的客观规律,这些规律的利用又依赖于数据识别这一前提,即根据不同等级的数据类别--核心数据重要数据一般数据形成差异化的评价和管控。按照《数据安全法》和《重要数据识别指南(征求意见稿)》的定义,三种数据类别泾渭分明:关系国家安全、国民经济命脉、重要民生、重大公共利益的系核心数据;一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的为重要数据;其他则为一般数据。也就是说数据的识别是直接从总体国家安全观出发,以数据损害的后果为标尺进行的,这与相关罪名的犯罪客体和刑事归责判定规则相契合,与传统罪名的构成要件并不相斥,也不必限于危害计算机信息系统类罪名范畴。因此即便对“计算机信息系统”的外延有宽窄之疑,也并不当然影响对犯罪客体损害后果的衡量和因果关系的辨别。而数据识别还可根据各项规范、标准做更多的细化,并审察数据生命周期各个环节中行为参与人的行为性质。


3. 计算机信息系统的边界


数据识别等数据治理手段有助于解决数据类犯罪的规制困境,关于“计算机信息系统”的技术解读同样不容忽视,因“计算机犯罪行为本质上仍然是一种计算机技术行为”[8]。当前软硬件趋一体化、“软件定义边界”(SDP)、“软件定义一切”的网络安全架构已属业界共识,以往依赖计算机硬件系统的边界正在淡化,取而代之的是智能化的人机联合主体和以数据为中心(如近期热议的ChatGPT大型语言模型)的网络生态。在此背景下,“计算机信息系统”本身的定义也日渐模糊:一则网络攻击手段的翻新与自动化使得行为参与人的行为性质不易甄别,加之网络犯罪产业链上行刑交叉、刑民交叉等问题又增加了辨析的复杂度;二则关于人机联合主体(如自动驾驶)实施的行为是否能适用危害计算机信息系统类罪名还有较大讨论空间(有学者直指自动驾驶的刑事归责困境,包括主体责任争议、证据规则立法滞后、因果关系紊乱、注意义务界限模糊、科创保障与量刑原则兼顾困难等[9])。


由上,破坏罪的定性及其界分需要在其所根植的技术框架内做评价,需将其法益评价、罪数形态放置在网络生态逐渐智能化、自动化、无边界的技术语境中进行考量,对计算机系统这类属于网络环境类的客体,与作为资产和生产要素的数据算法、数据推理、数据开发等延伸出来的财产类客体的关系予以厘定,以避免涉多重客体时出现重复评价的隐患,或者困于技术固化的思维定势中混淆相关罪名。

03

破坏罪的竞合与界定


1.破坏罪与相关罪名的竞合概况


相关竞合罪名包括涉财产性数据时与盗窃罪的界分、涉利用计算机技术索取财物时与敲诈勒索罪的界分、涉外挂程序干扰行为时与非法经营罪侵犯著作权罪的界分等[10],此外破坏罪还常与诈骗罪内幕交易罪侵犯公民个人信息罪非法侵入计算机信息系统罪等罪名发生竞合。上述罪名的竞合根源仍是前述的多重犯罪客体所致,下文将以破坏罪、非法控制计算机信息系统罪和其他相关罪名的界分举例说明。


2. 破坏罪、非法控制计算机信息系统罪与相关罪名的界分


对“破坏”和“非法控制”两罪的关系,有排他互斥包容竞合两种不同观点,理论界多倾向于包容说,其中又有想象竞合与法条竞合[11]的分野,实务判例中的控辩思路和法官释法说理则多持排他论最高法指导案例145号中,法院认为检察院指控破坏罪罪名不当,因行为人“虽对目标服务器的数据实施了修改、增加的侵犯行为,但未造成该信息系统功能实质性的破坏,或不能正常运行,也未对该信息系统内有价值的数据进行增加、删改,其行为不属于破坏罪中的对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的行为,应认定为非法控制计算机信息系统罪。”学界大多认同最高法法官在《网络犯罪刑事诉讼程序意见暨相关司法解释理解与适用》(人民法院出版社,2014年出版)一书中的解释,即非法控制行为的本质在于未经授权或者超越授权而获取他人部分操作权限这一行为特征。换言之,“非法控制”目的是要通过其行为使得计算机信息系统的应用程序按照行为人的意图运作,或改变既定的运作模式或程序,使得系统既定的运作规则失效。这与“破坏”的行为有一定的重合之处,即二者都构成对系统原规则的损坏。


笔者认同两罪属独立罪名,应予以区分。理由一是两罪的犯罪客体和保护法益并不相同,二是两罪的独立属性有助于厘清技术手段和犯罪目的的关系,及两罪与其他交叉罪名的关系。


破坏罪的犯罪客体是计算机信息系统的正常运行,《解释》和指导案例虽扩充了“计算机信息系统”的定义,也对“破坏”的手段做了与时俱进的释明,但并未扩展该罪的犯罪客体和保护法益,即便网络新生态产生的诸多新问题导致刑事对策某种程度的失灵,但如果既有的法律关系和犯罪构成要件依然不变,则尊重立法主旨和犯罪构成仍然是最优解(包括前文提及的数据类犯罪,借助数据识别和数据流转规律的解析,可以在既有的刑法框架内把握实然的犯罪客体),司法判断仍然能穿透技术壁垒以及犯罪手段与犯罪客体混淆所产生的迷雾,析出刑法所要保护的法益。


我国目前行政监管机构累积的政策制订与执法经验较为丰富,国家网信办、工信部和公安部于2022年12月25日联合发布《互联网信息服务深度合成管理规定》,明确深度合成技术的服务提供者和技术支持者所需履行的备案手续、安全评估等,其中行刑衔接处仍然会导向计算机犯罪的技术属性,及其多重犯罪客体并存的现状。


由此,如何甄别技术手段与犯罪客体的关系在实践中就成为罪名定性的关键,控辩和裁判思路可参见如下案例:


案例1. 辽宁省高级人民法院刑事判决书(2020)辽刑终242号

针对上诉人提出的“非法获取计算机信息系统数据、非法控制计算机系统罪与内幕交易罪应属牵连犯而择一重罪处罚”的上诉理由,二审法院认为:“非法获取计算机信息系统数据、非法控制计算机系统罪是指侵入计算机信息系统,或者采用其他技术手段,获取计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的行为,该行为以实施非法控制为目的,给网络安全带来极大的隐患,对国家信息网络的安全造成严重威胁,严重扰乱了社会管理秩序。”而内幕交易罪“侵犯的客体是国家对证券、期货交易的管理制度和投资者的合法权益”,上诉人“实施两个不同的事实和行为,侵犯两个法益,且两种行为均属犯罪既遂,不能评价为刑法理论的牵连犯而择一重罪处罚”,故该上诉理由不成立。

案例2. 上海市闵行区人民法院刑事判决书(2020)沪0112刑初821号

被告单位某公司创设“全能车”项目,突破计算机安全保护措施,伪装品牌单车月/季卡用户,致其系统“用户识别”功能无法正常运行等目的,非法许可他人使用被害单位车辆,谋取巨额利润。公诉机关指控该单位多名责任人犯破坏罪共同犯罪,该单位实际控制人的辩护人和其他几名被告的辩护人对破坏罪的指控提出异议,主要理由包括:“破坏罪的对象是被害单位的计算机系统”,现有证据“不能证实相关品牌共享单车计算机系统的数据受到修改、破坏”;“也不能证实“全能车”项目造成相关品牌共享单车计算机系统不能正常运行”;涉案项目“抓取、破译第三方平台数据,从而利用第三方平台发出指令,该行为更符合非法获取计算机信息系统数据、非法控制计算机信息系统罪的构成要件”。法院认为:“计算机信息系统的‘数据’或者‘应用程序’被破坏,均会对计算机信息系统安全造成损害”,该单位的行为“虽未造成品牌共享单车公司的服务器不能正常运行,但其破解相关共享单车企业后台服务器的安全保护机制,非法增加品牌共享单车企业服务器储存、处理的数据,违法所得达9,320万余元”,“构成破坏计算机信息系统罪,且属后果特别严重。”其“为向受害单位服务器发送开锁请求数据,通过网络抓包、反编译APP等技术手段,非法获取并解密相关品牌共享单车APP与其服务器之间的通信数据,还构成非法获取计算机信息系统数据罪”。上述“非法获取计算机信息系统数据行为与破坏计算机信息系统行为是手段与目的关系,可从一重罪处断,以破坏计算机信息系统罪定罪处罚。”

结 语


在“万物互联”趋近之时,司法对于危害计算机信息系统类犯罪的定性所要面临的挑战与追问越来越多,然而刑法所保护的众多法益与秩序并未发生实质变化,就依然可以发挥其朴素的源头治理作用,前提是行走于其中的人如何穿越固化的思维,将信息碎片纳入到动态的法律关系中进行整体的评价。


注释:

[1] 参见周立波:“破坏计算机信息系统罪司法实践分析与刑法规范调适-基于100个司法判例的实证考察”,载《法治研究》2018年第4期。

[2] 赵宁:“司法实践中认定破坏计算机信息系统罪疑难问题研究”,载《上海公安学院学报》2021年8月。

[3] 贾斯瑶、郭旨龙:“数据犯罪刑事治理的新思路—以流量造假行为为切入点”,载《中国检察官》2022年第7期。

[4] 同注[1]。

[5] 参见张春莉:“虚拟货币的刑法属性及保护路径”,载《浙江社会科学》2022年第11期。

[6] 喻海松:“网络犯罪的刑事对策与审判疑难问题解析”,《人民司法(案例)》 2018年第23期。

[7] 郭灵:“数据安全左移成为数据保护策略演进的核心方向”,载公众号“CCIA数据安全工作委员会”,2022年11月9日。

[8] 李刚、李涛:“非法控制计算机信息系统罪与破坏计算机信息系统罪之辨析—以短缩的二行为犯为视角”,载《中国检察官》2021第14期。

[9] 程凡卿:“自动驾驶刑事风险研究—刑事追责的困境与对策”,载《比较法研究》2022年第5期。

[10] 同注[1]。

[11] 参见王禹:“计算机信息系统犯罪的行为透视—以“破坏”和“非法控制”的界限与竞合为视角”,载《江西警察学院学报》2019年第2期。


无讼小编如果您觉得这篇文章还不错,欢迎转发分享、点赞收藏,您也可以在下方评论区留下自己的观点,和大家一起讨论。



主编:靖力

责编:梁萌

审核:刘逸凡 王雅玉 陈丽娟

声明:本文为作者原创投稿,文章内容仅为作者观点,不代表「无讼」立场,不作为针对任何个案的法律意见;未经本平台许可,禁止转载。

4