（不起诉）互联网犯罪入歧途--天才留学生非法控制知名网络公司的内网系统涉嫌犯罪

律师观点分析

【案情简介】

案件名称：费某非法获取计算机信息系统罪、侵犯公民个人信息罪

办案机关：上海市公安局徐汇分局

主要案情：2021年3月，当事人发现上海某某科技有限公司徐汇分公司所运营的某趣游戏网页上的漏洞，这个漏洞立即激发了当事人意欲一窥究竟的好奇心，继而利用漏洞读取了页面的数据库密码以及配置文件信息，利用配置信息获取了该游戏公司某员工的服务器控制权，并在该员工的电脑上安装恶意软件，控制了该游戏公司内网的服务器，同时获取了该公司约上万条花名册数据（经鉴定：其获取的数据中包含姓名、手机号码规则的记录共12642条），拷贝后存放于自己的个人电脑中，因当事人的侵入行为所导致的被害单位损失金额约人民币206810.74元。

而后当事人在入侵游戏公司内网的情况下，利用非法权限在该游戏公司内网的数台服务器安装了后门程序，通过服务器修改了游戏数据库，为自己的游戏账户添加了上亿元游戏金币和多项游戏装备，后被该公司网络安全部门发现后报警。

2021年4月22日，当事人在江苏南京被公安机关抓获，上海市公安局徐汇分局以当事人涉嫌非法控制计算机信息系统罪将其刑事拘留。

2022年2月14日公安机关以当事人涉嫌侵犯公民个人信息罪和非法获取计算机信息系统罪两罪诉至检察机关。

【控辩交锋】

（一）控辩双方争议焦点

1. 1.当事人被控侵犯公民个人信息罪和非法获取计算机信息系统罪两罪是否适当？是否应当定一个罪名？

2. 2.被害单位修复漏洞花费的资金是否能认定为当事人造成的被害单位的损失？如果修复资金等于损失金额，修复资金的数额该认定多少？

3. 3.当事人能否取保候审，哪个时间点成功的概率更大，当事人能否不起诉结案？

（二）控方意见

侵犯公民个人信息罪是指违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的行为；窃取或者以其他方法非法获取公民个人信息的，依照侵犯公民个人信息罪的规定处罚。当事人从被害单位内网下载包含姓名、手机号码规则的记录共12642条，系采用其他方法获取公民个人信息的情形，该行为应当按照侵犯公民个人信息罪定罪处罚。

非法获取计算机信息系统数据、非法控制计算机信息系统罪，是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，情节严重的行为。当事人侵入被害单位内网，获取被害单位信息，造成被害单位损失，达到情节严重的情形，当事人的行为同时涉嫌非法获取计算机信息系统数据罪，应当以上述两罪对当事人定罪处罚。

被害单位修复漏洞花费的资金即为当事人造成的被害单位的损失，修复资金的数额根据被害单位提供的证据材料进行计算。被害单位出具了具体的修复成本，包括参与修复的员工的工资、工时、职级，数字证书合同等证据，上述费用相加合计206810.74元。

最终的处理结果会根据最终认定的案件事实讨论后决定，如果最终认定当事人涉及两个罪名或者损失金额仍然为206810.74元（五万元以上属情节特别严重），则当事人的情况比较严重，处罚结果较重；如果只犯一个罪名且损失金额在五万元以下，不起诉理由充分的，可提交办案机关另行讨论。

（三）辩护思路

本案造成的明显损害后果是被害单位的损失，前期尽快与被害单位达成和解，同时依据事实提出详细的当事人符合取保候审条件的法律分析，先为当事人争取取保候审，取保成功当事人获得一定自由之后再就本案的罪名、金额等问题展开持久辩护。

本案当事人被控两个罪，其中侵犯公民个人信息罪的处罚在三年以下，非法获取计算机信息系统数据罪的处罚在三年以上七年以下，以两罪处罚明显对当事人不利，因此，辩护人以罪名数量为辩护基础，将两罪变更为一罪，减少当事人的罪名。

如果顺利打掉侵犯公民个人信息罪，以非法获取计算机信息系统数据罪定罪处罚，本案的下一步的关键点是损失金额的认定，超过五万元处罚在三年以上七年以下，五万以内为三年以下，损失数额较少的情况下弥补损失才可能争取到不起诉结果，因此，辩护人将损失金额作为本案的辩护要点之一。

（四）辩护过程

关于取保候审的问题：

辩护人向公安机关出具法律意见，意见中就身份认证信息、控制计算机系统数量的计算方式、损失金额的认定范围等法律事实和相关计算计专业术语展开论证，在厘清上述问题的基础上，把握取保候审的黄金时机。第一个时机拘留二十天左右，按照刑诉法规定，律师提出取保候审申请后，办案机关三天内予以回复，如果当事人刚刚被拘留，办案机关还未对案件展开调查，怎么可能三天内先放人呢？而二十天左右案情大致清晰，律师此时提出一份入情入理的申请，成功率必然倍增；第二个时机，审查逮捕阶段的七天，如果七天内检察院做出不批准逮捕的决定，那么当事人就可以被释放或取保。

关于第一个时机，家属委托的第一位律师在当事人被拘留的第二天提交了取保申请，当天被驳回，目前仍处于同一阶段（公安侦查阶段），不可能在第一位律师的取保被驳回后更换一个律师马上再次申请，经与办案民警反复沟通，结合当事人的实际案情，我们以上述律师意见的形式提出了无罪辩护法律意见，尝试在第一阶段争取到当事人被释放的结果，无罪的律师意见提出后，公安机关在认真研究律师意见后回复案情较为复杂，仍需报检，由检察机关做出是否逮捕的决定。

案件进入检察院审查逮捕阶段后，我们采取“骑墙式辩护策略”，一方面律师意见认为当事人的行为没有达到刑事立案标准，可不批捕；另一方面深入研究案件事实，按照案件事实即便达到立案标准，仍存在可以利用相对不捕策略不对当事人进行批捕的可能，我们及时联系到被害单位，在检察院审查逮捕阶段与被害单位达成和解，双管齐下最终为当事人在审查起诉阶段争取到不批捕的结果，当事人成功获得取保候审。

关于当事人被指控两个罪名的问题：

辩护人提出当事人的行为不能按照两个罪名处罚，最多按照非法获取计算机信息系统数据罪处罚，从两方面展开辩护。

一、根据最高检印发《检察机关办理侵犯公民个人信息案件指引》的通知规定：“对于违反国家有关规定，采用技术手段非法侵入合法存储公民个人信息的单位数据库窃取公民个人信息的行为，也符合刑法第二百八十五条第二款非法获取计算机信息系统数据罪的客观特征，同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪的，应择一重罪论处”。上述文件中规定的情形就是本案当事人的情况，当事人的情况有法可依，应当按照上述规定的内容择一重罪处罚。

二、实务判例中与本案类似的案例，对于同时触犯上述两个罪名的案件，也是按照从一重罪的方式判罚的。

1.最高人民检察院法律政策研究室组织编写的《网络犯罪指导性案例实务指引》一书中，卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案“三人合谋违反规定多次登录某大型网络公司内部管理开发系统，查询、下载该计算机信息系统中储存的电子数据，后将非法获取的电子数据出售牟利“，该案最终以非法获取计算机信息系统数据罪一罪判罚。（检例第36号）。

2.山东省临沂市罗庄区人民法院（2017）鲁1311刑初332号判决书，杜某某侵犯公民个人信息案，杜某某使用漏洞工具，通过植入木马的方式，取得山东省普通高等学校招生考试信息平台网站管理权限，非法获取山东省高考考生个人信息64万余条，并对外出售。该案最终以侵犯公民个人信息罪一罪判罚。（后附判决书）

因此，辩护人提出不能按照当事人同时犯两个罪起诉，最多指控当事人涉嫌非法获取计算机信息系统罪的意见。

关于被害单位的损失金额问题：

辩护人对指控当事人造成被害单位经济损失206810.7的事实提出三方面意见：

一、被害单位提出修复漏洞花费的人工成本179622.99元，计入本案被害单位的损失金额是不对的，原因有以下两个。

1.当事人能够进入被害单位计算机系统是因被害单位的计算机系统出现了漏洞，这个漏洞是当事人进入之前就已经存在的，不是当事人造成的，当事人只是通过这个已经存在的漏洞进入了被害单位的计算机信息系统，那么修复漏洞的成本与当事人无关，当事人的入侵行为只是让被害单位及时发现漏洞并且修复漏洞。就像小偷通过破了的窗户钻进了家里一样，窗子本来就破了，小偷的进入只是让主人发现窗子破了的问题，修窗子要付钱跟小偷有什么关系，这个例子跟我们本案是一样的道理，修复系统漏洞的人工成本不应计入本案被害单位的损失金额。

2.被害单位提供的人工成本金额远高于实际成本，违背专业常识，被害单位提供的人工成本明细显示其安排九名员工其中甚至包含了总监级的员工进行了长达二三十天的系统修复，何其复杂的工程，这个员工配置和所花费的时间研发一款新的APP也该打包上线运营了，但被害单位竟堂而皇之的举证证明这是用于修复一个普通漏洞所需的员工配置和耗费的时长。本案中的系统修复工作实际只需要一个开发岗位的普通员工修改代码，另需一名测试人员辅助，测试后打包上线即可，耗时一个小时到一天不等，发版更新时间是不是期间一直延续到了被害单位写的截止时间2021年的5月7日辩护人不确定，但是发版更新时间是被害单位按照自身的情况处置，期间不花费工时，更不会产生员工费用。

因此，辩护人提出人工成本不应当计入本案被害单位损失金额，即使计入也不能按照179622.99元远远高于实际花费的金额认定。

二、被害单位列举的三类游戏道具2万余元不能计入本案的损失金额。辩护人经向当事人询问了解，上述游戏道具全部在当事人游戏账户中，没有使用，且上述账户已被被害单位封禁，被害单位可以有权限随时收回，实际仍在被害单位的掌控之中。因此，不应当算作是被害单位的损失。

三、被害单位更换数字签名证书8仟余元不能计入本案的损失金额，根据报案人证言提出被害单位须要更换电子签名证书的情形，仅仅是一种“假设”下的情形，并没有任何证据表明本案中当事人的行为造成了这一“假设”情形的出现，被害单位这一费用的支出充其量可以算作一种尚不确定是否会发生的“期待利益的损失”。因此，不能认定当事人的行为与该项费用的支出存在刑法上的因果关系，不应当算作是被害单位的损失。

综上，辩护人认为本案中被害单位没有因当事人的行为发生额外的经济损失，最多将修复漏洞的实际花费计入被害单位的经济损失。

关于不起诉的问题：

辩护人提出上述罪名、损失金额等问题如果按照律师意见认定，当事人的犯罪情节则比较轻微，没有造成被害单位严重的经济损失，又能如实供述案件事实，依法可以从轻处罚；当事人自愿认罪认罚，可以从宽处罚；当事人向被害单位退赔了远超被害单位实际损失的赔偿金，取得被害单位谅解，主动化解矛盾，减轻危害后果，可以酌情从轻处罚。基于此，贵院在查明本案事实的基础上，对当事人的行为精准定性，可以对他做出不起诉的决定。

【承办结果】

检察机关对当事人做出相对不捕的决定，当事人被取保候审；罪名减少，由侵犯公民个人信息罪、非法获取计算机信息系统罪两罪减少为非法获取计算机信息系统罪一罪；损失金额降低，由之前的206810.7元降低至2万元。

2022年9月30日，案件历时一年六个月，检察机关最终同意辩护人的意见，对当事人做出不起诉决定，在检察院审查起诉阶段提前结案，案件没有进入法院审判阶段。

【办案心得】

计算机网络技术飞速发展，网络空间正在逐步发展成为与现实空间相独立的虚拟空间，严肃法制净化网络空间近年来也被视为各地司法建设的重要项目，计算机相关犯罪案件数量呈现高速增长的趋势。

为此类新型犯罪进行辩护，律师除了要具备处理普通刑事案件的基础辩护技能以外，还需要了解计算机相关术语的内涵和基础知识，只有更清晰地了解计算机网络在犯罪活动中的存在形式，才能既公平公正地让犯罪活动得到应有的惩戒，又能有效地维护当事人的合法权益。

广大互联网从业人士应意识到计算机网络并非法外之地，律师虽然需要积极维护当事人的合法权益，但是仍然希望广大互联网从业人士积极学习法律法规知识，自律慎独不可随意利用网络手段行非法之事。

附相关法律法规：

《刑法》第二百八十五条第二款【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

《刑诉法》第一百七十七条　【法定不起诉的条件】犯罪当事人没有犯罪事实，或者有本法第十六条规定的情形之一的，人民检察院应当作出不起诉决定

【酌定不起诉的条件】对于犯罪情节轻微，依照刑法规定不需要判处刑罚或者免除刑罚的，人民检察院可以作出不起诉决定。

【不起诉案件的处理】人民检察院决定不起诉的案件，应当同时对侦查中查封、扣押、冻结的财物解除查封、扣押、冻结。对被不起诉人需要给予行政处罚、处分或者需要没收其违法所得的，人民检察院应当提出检察意见，移送有关主管机关处理。有关主管机关应当将处理结果及时通知人民检察院。