非法获取计算机信息系统数据罪-计算机信息系统客观要件中几个关键词的理解
来源:长昊商业秘密律师(非法获取计算机信息系统数据罪、非法获取计算机信息系统数据)
一、客观要件中几个关键词的理解
1.计算机信息系统
《解释》第11条给出了“计算机信息系统”和“计算机系统”的定义,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。我们需要判断的是网站是否属于计算机信息系统。从用户的角度来看,用户通过浏览器所看到的画面是网页,而网站是由单个或多个网页集合而成的。从管理者的角度来看,网站基本的组成包括域名、空间服务器、网站程序、数据库等。本案中被侵入的网站均是拥有注册功能的企业门户网站,这些网站均具备自动处理数据的功能,均属于计算机信息系统。
1994年国务院出台了《计算机信息系统安全保护条例》,该条例第2条明确了计算机信息系统的定义。是指由计算机及其相关的和配套的、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。前述《解释》第11条的定义无论内涵还是外延均广于条例的规定。这不难理解。因为随着计算机信息技术的发展,数据的存储、处理方式和能力都在发生着日新月异的变化,而网络终端设备的多样化,带来网民数量的快速增加据中国互联网络信息中心2017年8月4日发布的统计报告显示…,截至2017年6月,中国网民规模达到7,51亿,占全球网民总数的五分之一手机网民数量达7,24亿,占比96,3%。中国网站数量达到506万个。网络已完全融人了人们的生产和生活,这使得网络安全的重要性日益凸显。立法者希望更有效地保护计算机信息系统的安全,对网络犯罪行为进行更合理地规制,必然会尽可能地把需要保护的对象纳入到保护范围中来。因此。本文认为,大到整个网络,小到个人主页,只要是具备自动处理数据功能的系统,均应属于计算机信息系统,纳入刑法保护的范围。
2.侵入、非法控制
“侵入”计算机信息系统行为是指通过终端设备对他人的计算机信息系统进行非法访问,或者对其进行数据截收的行为。“侵入”行为比较常见的有这样几种表现形式:一是盗取他人访问密码,冒充合法用户实施侵入;二是合法用户越权访问;三是利用技术手段进入本无权进入的计算机系统,比如破解保护措施,或者利用计算机系统的漏洞,从而侵入计算机及其相关设备:四是通过“陷阱门”、“后门”进行非法入侵。具体到本案,根据钟某的供述以及在其电脑中找到的源代码,可对短信轰炸机迫使网站短时间内发送多条验证短信的方式作如下表述:其先发送“POST”命令至该网站,即从本地数据发送一个注册要求到服务器,然后通过“GET”命令实现服务器数据发送到本地的数据读取在这个过程中。其使用抓包软件抓取信息,从而获知后台运行数据,然后避开后台设置的限制,循环提交注册要求,服务器就会循环发送验证码到注册手机号码该软件的“侵人”性主要体现在这一过程中短信轰炸机在运行中并非从客户端正常访问网站,而是从本地绕开安全保护措施,直接提交注册信息至网站的服务器,这样就避开了网站设置的规定时间内不能重复注册、图型验证等安全保护措施,符合《解释》第2条“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能”的表述服务器接收到注册请求后返回的验证码正是计算机信息系统数据,这个数据被软件使用者获取,直接发送到了目标手机号码。由于该数据对于实际未注册的被骚扰人来说是没用的信息,也就成为了垃圾信息,但不能因此判定数据无意义。对于注册用户来说,没有正确的验证码是无法完成注册的。
所谓“非法控制”。比较常见的是行为人利用网站漏洞将木马植入到网站上,在用户访问网站时利用客户端漏洞将木马移植到用户计算机上,或在互联网上传播绑有木马的程序或文件。当用户连接到互联网上时,该程序就会通知黑客,来报告IP地址以及预先设定的商品。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改他人计算机的参数设定、复制文件、窥视他人硬盘中的内容等,从而达到控制他人计算机的目的。行为人的目的在于控制,让他人计算机接受自己的指令。据此,本文认为,“非法控制”是指通过各种技术手段使他人计算机信息系统处于行为人的掌控之中,接受行为人发出的指令,完成相应的操作活动。本案中,钟某的主要目的在于获取验证码,并非控制网站,更没有实施破坏行为。破坏计算机信息系统罪要求违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重。显然在本案中“疯狗轰炸机”并非病毒,它并不是直接攻击网站。也没有删除、修改、增加数据的功能,更没有造成网站不能正常运行的后果。所以该罪名不予考虑从其不断寻找有漏洞网站,以替代发现漏洞予以完善的网址这一点来看,钟某等人的行为仅是侵入,并未达到非法控制的程度。
3.专门
本罪的罪状表述包含两个部分,因此,这类程序、工具也有两种:
一种是对应前半部分,即“提供专门用于侵入、非法控制计算机信息系统的程序、工具”。“专门”是对程序、工具本身的用途非法性来进行限定的,是指行为人所提供的程序、工具是专门用于违法犯罪目的。而不包括那些既可以用于违法犯罪目的又可以用于合法目的的“中性程序”。具体到本案,钟某开发制作的这款软件的功能就是“轰炸”。即通过短时间内多次发送信息的方式干扰他人正常生活。对此,我国《治安管理处罚法》第42条第5款明确将其规定为违法行为。除此以外,该款软件没有其他的用途。因此,符合“专门”性的要求。
另一种程序、工具对应罪状表述的后半部分,即“明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具”。这种程序、工具有其他用途,但也可用于侵入、非法控制计算机信息系统。此时,这种程序、工具不以专门性为必要,可以是具有其他正当用途,但在不当使用时即会产生危害后果。区分上述两种程序、工具的意义在于被提供者是否实际使用对犯罪成立的影响。本文认为,对于“专门”性的程序、工具。行为人在设计、制作该程序时,主观恶性明显,例如病毒,盗号软件等,这些程序、工具的存在。本身就对信息网络的安全造成严重威胁,严重扰乱社会管理秩序。有必要予以刑事打击。故只要行为人将该程序、工具提供给他人,达到《解释》要求的人次等标准,即使没有证据证实被提供者实际使用,也不影响犯罪的成立。而对于“中性程序”,只有收集到足够的证据证实被提供者实际使用,且用于违法犯罪行为,才能认定提供者构成本罪,否则很难判定提供行为具有严重的社会危害性。
4.提供
“提供”是指向他人供给,既包括出于营利目的的有偿供给,如本案中的网上销售:也包括不以营利为目的的免费供给,比如将程序贴在网上供人免费下载。既包括向特定对象提供,也包括向不特定的社会公众提供。本案中钟某等人就是以营利为目的。通过网上销售的方式,有偿地将这种程序提供给不特定的社会公众。
(二) 主观要件的理解
有观点认为,提供侵入、非法控制计算机信息系统程序、工具罪在犯罪的主观方面不仅限于直接故意,还应当包括间接故意的情形。本文认为,该罪的主观方面只能是直接故意,不可能出于间接故意或者是过失的心理态度对此,可以结合行为人对“提供”行为的主观意志来分析。
如前所述。“提供”就是行为人将上述程序、工具有偿或无偿地交给他人。行为人对于交付物显然是有一定认识的。前文也分析了该罪状中包括两类程序、工具。对于“专门”性工具而言,由于它的“专门”性,作为个中高手的行为人很清楚其功能和用途,也就当然明知他人使用这些工具、程序去实施何种行为。对于“中性程序”,行为人需明知他人可能实施违法犯罪行为,但被提供者可能实施违法犯罪活动,也可能不实施。只有被提供者实际将该程序、工具用于违法犯罪活动,行为人的提供行为才有社会危害性和刑事可罚性此时行为人“明知”的内容只要有概括认识即可。就“提供”行为本身来说。行为人当然是直接故意。对于行为人主观方面的证明,可结合其供述以及客观行为表现来综合判定。综上,本文认为提供侵入、非法控制计算机信息系统程序、工具罪在犯罪的主观方面只能是直接故意。
(三)情节严重的把握
本罪为情节犯,只有情节严重的才构成犯罪。根据《解释》第3条第2项、第5项的规定,提供二十人次以上:违法所得五千元以上或者造成经济损失一万元以上属于情节严重加重犯与基本犯在情节方面的倍比关系是五倍。本案中,钟某提供人次达七百一十五人次,违法所得达十万余元。两项均属情节特别严重。钟某某提供人次达八十人次,这一项达情节严重标准。《解释》对于“情节严重”、“情节特别严重”采取列举方法作出了相应的解释规定但司法解释不可能穷尽现实中各种复杂情形,在处理具体案件时应当在司法解释的基础上,结合立法原意以及案件的各种主、客观情节对“情节严重”作出综合性的判断。
