发布时间 : 星期五 文章“非法获取计算机信息系统数据罪”涉及的若干认定标准更新完毕开始阅读
“非法获取计算机信息系统数据罪”涉及的若干认定标准
《中华人民共和国刑法》第285条包含三种计算机犯罪类型,其中第二款规定的情形为“非法获取计算机信息系统数据罪”,该罪名是2009年刑法修正案补充的罪名。由于刑法规定过于笼统,为对该罪名进行准确的定罪量刑,2011年,最高院又颁布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,对该罪名适用进行了更加详细的规定。本文试结合司法解释的规定和司法实践对该罪名的构成及认定标准进行探讨。
一、非法获取计算机信息系统数据罪的构成要件
《刑法》第285条规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
根据上述规定,“非法获取计算机信息系统数据罪”应当具备以下构成要件: 1、行为人为自然人,单位不构成本罪; 2、行为人的行为违反了国家规定;
3、行为人非法侵入进入计算机系统或类似侵入的其他技术手段; 4、行为人获取了系统中的数据; 5、行为达到了“情节严重”的标准。
对于“情节严重”的标准,根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条的规定:非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,涉嫌非法侵入计算机信息系统罪:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(二)获取第(一)项以外的身份认证信息五百组以上的; (三)非法控制计算机信息系统二十台以上的;
(四)违法所得五千元以上或者造成经济损失一万元以上的; (五)其他情节严重的情形。
实施前款规定行为,具有下列情形之一的,应当认定为非法侵入计算机信息系统罪规定的“情节特别严重”:
(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;
(二)其他情节特别严重的情形。 二、单位是否适用本罪
根据《刑法》第30条的规定:公司、企业、事业单位、机关、团地事实的危害社会的行为,法律规定为单位犯罪的,应当负刑事责任。由于刑法第285条并未将单位列为本罪的犯罪主体,因此,本条罪名的主体只能是具有刑事责任能力的自然人。
但是,笔者在经办此类案件的过程中,发现如果不将单位列为犯罪主体,将无法有效的进行案件的侦办以及定罪量刑,并与刑法的罪刑一致的原则相违背。
首先,目前公布的部分案件属于单位以经营为目的,获取第三方公司计算机系统的数据并加以利用,由于单位犯罪主体,导致侦查机关不合理扩大犯罪嫌疑人的范围。在江苏公安局办理的最新一起案例中,某科技公司为获取4S店维修保养记录,侵入了汽车4S店计算机系统并获取汽车维修保养数据,在整个行为过程中,科技公司员工系接受单位的指派,在其职责范围之内参与数据获取及加工、交易,属于履行劳动义务的行为,其本身并无犯罪故意。但是公安机关在侦办案件过程中,因不能对单位立案并为了防止犯罪嫌疑人遗漏,不合理的扩大范围,对该单位几乎所有员工均立案侦查并采取刑事强制措施。
刑法不将单位列为本罪的主体,不仅导致实施该行为的单位逃脱处罚,并且将扩大打击面,对本来只是接受单位指令履行工作职责的员工列入打击范围。
其次,在单位实施上述行为过程中,接受委派的自然人并未获取数据,也未取得违法所得,在单位内部员工分工不同的情况下,司法机关如何对不同的自然人认定数据数量和违法所得也将面临困难和争议。
从目前我们所经办的案件来看,公安机关为了形成完整的证据链,往往以“共同犯罪”的名义,将参与案件的技术人员、管理人员等均认定为直接责任人,而对各自然人之间是否具备共同犯意缺乏考量。为此,我们建议将单位列为本案的主体。
二、“国家规定”的范围认定
《刑法》条文中对于类似“违反国家规定”的表述有两种:“违反国家规定”和“违反国家相关规定”;后者只在侵犯公民个人信息犯罪条文中出现,其他罪名均采用的是“违反国家规定”的表述。
根据 2011年最高人民法院发布的《关于准确理解和适用刑法中“国家规定”的有关问题通知》的规定,本条罪名所指的“国家规定”包括:
1、全国人大及其常委会所发布的法律、决定; 2、国务院制定的行政法规;
3、国务院规定的行政措施、发布的命令和决定;
4、国务院办公厅名义制发的文件,符合下列条件的:有明确的法律依据或者同相关行政法规不相抵触;经国务院常务会议讨论通过或者经国务院批准;在国务院公报上公开发布。
其中第三项系《宪法》规定的国务院的职权范围,其发布行政措施、决定、命令只是国务院履行行政管理职能的方式,其内容一般仍然为发布行政法规或文件。
以上规定,排除了国务院下属机构发布的部门规章以及其他规范性法律文件以及与上述文件位阶类似的地方性法规、规章等。
根据目前的统计,涉及本条罪名的“国家规定”主要包括:国务院《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》(国务院批准公安部发布)、全国人大常委会发布的《关于加强网络信息保护的决定》、《网络安全法》。
三、“非法侵入”的认定
本罪所指的“侵入”从行为上讲,指的是未经授权或超越授权进入计算机信息系统的行为。对于计算机系统的管理人或控制人而言,此种侵入违背了其自身的意愿,并且侵入损害了计算机系统的安全秩序。此处侵入具有以下特征: 1、侵入的系统不属于国家安全、国防安全及尖端科技领域的计算机系统,否则构成285条第一款的罪名。
2、此种侵入应当未获授权。行为人是否享有进入计算机信息系统的相关权限主要根据其在单位中的工作内容、职务等确定,主要表现形式为工作责任书、岗位职责、劳动合同、保密协议、与授权有关的通知、公告、管理制度等。如果
行为人进入系统获得了合法授权,则不构成本罪。实践中争议较大的是授权不明的情况下如何处理如计算机系统的管理人合法授权其员工进入、使用该系统,被授权人具有与其身份相符的口令、密码、账户,此时被授权人将系统中的数据传输给与其工作内容无关的第三方是否构成“非法侵入”此外,如果管理人知道或应当知道其授权人员正获取计算机系统数据,但并未采取进一步的措施阻止该行为,是否应当认定其默认了被授权人的行为
笔者认为,本条罪名保护的是计算机信息系统的安全性,如果计算机系统的管理人或控制人并未明确表示或采取公开的措施防止获取授权的人员通过计算机系统获取数据及转移数据,那么应当认为计算机系统控制人并不认为该种行为对其计算机系统的安全构成侵犯并不具有寻求法律保护的意愿,此时不应当将上述行为认定为本罪的“非法侵入”。
如果获得授权的员工的行为损害了计算机系统管理人其他的权益,如商业秘密、财产权益等,则应当以其他罪名认定。
3、侵入具有秘密性,并违背计算机系统管理人的意愿。 三、数据性质及数据数量的认定
刑法对于“计算机数据”并无专门定义,我们可以参考《最高人民法院关于适用刑事诉讼法的解释》第93条规定,该规定列举了电子数据的范围包括:电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等。从计算机语言的角度解读,计算机数据包含一切由二进制符号组合而成的字母、数字、图像、影音等外在表现形式。
1、本罪保护的数据范围。
国家制定刑法打击犯罪的目的系保护具有价值的法益,打击的行为应当具有社会危害性。由于“数据”的概念几乎囊括了计算机系统中所有的信息,而并非所有数据均具有法律的保护价值,在现有立法技术也不能对数据的表现形式具体列明,因此,对于法律保护的数据范围,没有明确规定。最高院的司法解释也只列举了“身份认证信息”一种情形。笔者认为,尽管不能穷尽数据类型,但可以排除不应当纳入本罪保护范围的部分数据类型:
(1)、已经公开的数据。如企业基本工商信息、政府发布的各类公告、命令等文件、已经通过公开渠道向社会发布的信息。上述数据已经公开,获取后对