feedId:58706759555518464+userId:69351397311164416


破坏计算机信息系统罪的认定-载《人民法院报》2022年3月3日

46

破坏计算机信息系统罪的认定

清华大学法学院教授 张明楷

载《人民法院报》2022年3月3日

 

刑法第二百八十六条前三款规定了破坏计算机信息系统罪的三种行为类型,其中,第二款并未规定影响或者破坏计算机信息系统正常运行这一特征。于是,对于缺乏这一特征的行为能否认定为破坏计算机信息系统罪,在理论上与实践上均存在争议。争议的背后,主要是对刑法第二百八十六条第二款的保护法益与行为对象存在不同看法。本文侧重刑法第二百八十六条第二款规定的破坏计算机信息系统罪发表浅见,以求教于同仁。

    

一、保护法益

    

刑法第二百八十六条规定的第一种类型是,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重;第二种类型是,违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的;第三种类型是,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重。三种类型的构成要件行为并不相同,但都以“后果严重”为要件。

    

从文理解释上说,第一种类型需要“造成计算机信息系统不能正常运行”,而且还必须“后果严重”。对此可能做出两种解读:(1)“后果严重”是指对计算机信息系统功能本身造成的后果严重;(2)“后果严重”是指计算机信息系统不能正常运行的后果严重。从司法实践来看,这两种解读可能只是形式不同,不一定影响对案件的具体认定。这是因为,如果行为对计算机信息系统功能造成了严重后果或者说严重破坏了计算机信息系统功能,就必然导致计算机信息系统不能正常运行。但从法条的表述来看,应当是由于计算机信息系统不能正常运行,进而造成的后果严重。既然如此,就可以认为,刑法第二百八十六条第一款的保护法益,就是计算机信息系统的正常运行。

    

第三种类型不需要行为达到“造成计算机信息系统不能正常运行”的程度,但要求“影响计算机信息系统正常运行”。与第一种类型相比,之所以降低了要求,是因为计算机病毒等破坏性程序的性质与特点决定了第三种行为类型存在严重的危险性,即使计算机信息系统还在运行,也可能在预先设定的条件下自动触发,进而破坏计算机信息系统功能、数据和应用程序,而且后果的范围会特别广泛,一台计算机上的病毒可能传染到无数计算机上。所以,第三种类型虽然有后果严重的要求,但不需要导致计算机信息系统不能正常运行,只要对计算机信息系统的正常运行产生不利影响即可。所以,刑法第二百八十六条第三款的保护法益也是计算机信息系统的正常运行。

    

存在争议的是第二种类型,刑法第二百八十六条第二款虽然也要求“后果严重”,但并没有要求计算机信息系统不能正常运行或受到影响。从法条表述上看,只要行为对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,造成了后果严重,即使没有破坏计算机信息系统功能,计算机信息系统仍然正常运行,也成立第二种类型的破坏计算机信息系统罪。应当认为,刑法第二百八十六条第二款的保护法益,就是数据和应用程序的真实性、完整性与可利用性,以及他人对数据和应用程序的占有、使用、处分等权利。就数据保护而言,刑法第二百八十六条第二款与第二百八十五条第二款规定的非法获取计算机信息系统数据罪是相同的,只不过非法获得计算机信息系统罪如同窃取商业秘密一样,主要侵害了他人对数据的占有、使用、处分等权利,而没有侵害数据的真实性、完整性与可利用性,因而其法定刑轻于破坏计算机信息系统罪。

    

二、数据

    

众所周知,在高度信息化、数字化的时代,数据的经济价值也迅速增长。因为通过互联网收集的大量信息,经过人工智能的处理,就形成了具有经济价值的大数据,这种大数据可以被各行各业利用,因而被称为“新的石油”“未来的原材料”。正因为如此,不少国家在侵犯财产罪中规定了对数据的犯罪。例如,法国刑法分则在第三卷“侵犯财产之重罪与轻罪”中,设有“侵犯数据自动处理罪”一章(一共10个法条),又如,意大利刑法在侵犯财产罪一章规定以数据、信息、程序为对象的信息欺诈罪。再如,瑞士刑法在侵犯财产罪一章规定了非法获取数据罪、非法进入数据处理系统罪、毁损数据罪等罪名。我国刑法虽然不是在侵犯财产罪中,而是在妨害社会管理秩序罪规定对数据的犯罪的,但这并不妨碍将数据的真实性、完整性、可利用性以及他人对数据的占有、处分等权利,解释为刑法第二百八十六条第二款的保护法益。既然如此,将他人在计算机信息系统中存储、处理或者传输的数据本身作为破坏计算机信息系统罪的第二种类型的行为对象,就不存在疑问。换言之,不应将计算机信息系统的功能解释第二种类型的行为对象与保护法益。

    

例如,2011年5月至2012年12月,被告人李骏杰联系需要修改中差评的某购物网站卖家,并从他人处购买发表中差评的该购物网站买家信息300余条。李骏杰冒用买家身份,骗取客服审核通过后重置账号密码,登录该购物网站内部评价系统,删改买家的中差评347个,获利9万余元。判决认定,李骏杰对计算机信息系统中存储的数据进行删除修改操作,其行为构成破坏计算机信息系统罪。这一判例能作为最高人民检察院的指导性案例,就充分说明了数据本身的需保护性。

    

有观点认为,破坏计算机信息系统罪的保护法益是计算机信息系统安全,而计算机信息系统安全不等同于数据安全,李骏杰的行为并未造成该计算机信息系统不能正常运行,故不应构成破坏计算机信息系统罪。然而,对刑法第二百八十六条第二款的理解与适用,不能只注重罪名;不能以李骏杰的行为没有“破坏”计算机信息系统为由,否认其行为符合第二款的规定。如上所述,刑法第二百八十六条第二款,并没有将计算机信息系统“安全”或者正常运行作为保护法益。如果将刑法第二百八十六条第二款的保护法益与第一款的保护法益作相同理解,第二款就丧失了存在的必要性(通过对数据与应有程序的不正当操作导致计算机信息系统功能破坏的,当然也符合刑法第二百八十六条第一款的规定),而且导致以数据与应用程序为行为对象的计算机犯罪存在明显的漏洞。李骏杰的行为虽然没有妨害计算机信息系统的正常运行,但导致计算机信息系统中存储、处理或者传输的数据产生了不正常的变化,亦即侵害了计算机信息系统中存储、处理或者传输的数据的真实性、完整性与可利用性,妨害了公众对评价系统数据的使用。即使该行为没有对系统的数据处理功能本身产生影响,也不影响破坏计算机信息系统罪的成立。基于同样的理由,进入道路交通违法信息管理系统或公安交通管理综合应用平台,删除车辆违章数据的行为;进入国家考试管理网站,篡改大量考试成绩的行为;进入电力公司信息系统对众多用户用电计费等数据进行非法修改的行为,也均成立破坏计算机信息系统罪。

    

当然,如果行为人在他人的计算机信息系统中增加的数据与该计算机信息系统中存储、处理或者传输的数据没有关系,对后者不产生任何影响,则不可能构成破坏计算机信息系统罪。因为这一行为没有侵害数据的真实性、完整性与可利用性,也没有侵害他人对数据的占有、使用、处分等权利。

    

三、应用程序

    

与“数据”相比,“应用程序”则比较宽泛,需要加以限制。这是因为,相关司法解释将违法所得5000元规定为“后果严重”。但如果只要对他人计算机信息系统中的任何应用程序进行删除、修改、增加的操作,违法所得5000元就认定为破坏计算机信息系统罪,就明显扩大了犯罪的成立范围。

    

例如,一般认为,手机App就是安装在智能手机或者平板电脑上的应用程序,这种应用程序也确实能够为用户的生活、工作和学习提供便利。由于5G网络的发展,手机App的应用范围不断扩大。如果行为人通过技术手段,在他人手机中增加某种应用程序,而且给他人生活提供了便利,仅因违法所得5000元以上就认定为刑法第二百八十六条第二款规定的破坏计算机信息系统罪,就明显不当(是否构成其他犯罪,则是另一回事)。

    

正因为如此,有观点认为,应当将“造成计算机信息系统不能正常运行”作为第二种行为类型的不成文的构成要件要素。但如前所述,刑法第二百八十六条第一款与第三款明文规定了“造成计算机信息系统不能正常运行”和“影响计算机信息系统正常运行”,不可能恰恰在第二款遗漏了这一构成要件要素。换言之,有理由认为,立法者是刻意不在第二款中规定这一要素,而不是过失遗漏了这一要素。虽然司法解释没有独立确定刑法第二百八十六条第二款的罪名,但第二款的构成要件行为明显不是对计算机信息系统正常运行的妨害。

    

本文认为,应当通过限制“应用程序”这一行为对象的范围来确定刑法第二百八十六条第二款的成立范围,亦即刑法第二百八十六条第二款中的“应用程序”是指对用户具有重要作用的应用程序(如计算机出厂前已经安装的重要应用程序),而不是一切应用程序。换言之,只有对“应用程序”进行删除、修改、增加的操作,直接妨害计算机信息系统的特定重要使用功能,后果严重的,才可能认定为破坏计算机信息系统罪。 

    

例如所谓“恶意挖矿”案。2018年1月至7月期间,安某利用其在某公司负责运营、维护内部服务器的便利,通过技术手段部署应用程序,超越授权,使用公司内网计算机信息系统编译挖矿程序,并利用工作便利在数月内多次登录并批量在内部服务器上部署挖矿程序,获取比特币、门罗币等虚拟货币,违法所得人民币10万元。安某虽然增加了应用程序,但增加的应用程序并不直接影响计算机信息系统的重要使用功能,其挖矿行为也并非对公司的计算机信息系统中存储、处理或者传输的数据进行了增加的操作,或者说对公司的计算机信息系统中存储、处理或者传输的数据与应用程序不产生影响。所以,安某的行为仅成立非法控制计算机信息系统罪,而不成立破坏计算机信息系统罪。

    

再如“非法刷机”案。行为人对处于手机批发商环节的全新待出售的手机系统,进行“定制化”的增加、删除、修改、干扰,或者直接使用篡改后的手机系统“刷机”,以替代原装正品手机信息系统,并在“改头换面”的手机上私自安装数十个应用软件,以此谋取非法利益。这类“非法刷机”案实际上包含了诸多具体行为,存在多方面的危害(如侵犯手机厂商的商业信誉、商品声誉与知识产权,侵犯手机用户的个人信息等),就本文所讨论的问题而言,实际上包括了两种行为类型:(1)“非法刷机”案中禁用、修改原手机系统的“应用市场”与“支付保护中心”的行为,使得手机终端用户无法通过系统应用软件下载通道进行应用下载、安装、管理,导致手机不能为用户提供移动支付保护的功能。上述功能对于手机用户具有重要意义,即使禁止或者修改上述功能不会影响手机的使用,也属于刑法第二百八十六条第二款规定的破坏计算机信息系统的行为。(2)“非法刷机”案中激活第三方应用设备管理器,增加伪装的系统开机向导,勾选所有App“关联启动”“自启动”和“后台活动”选项,以及安装指定应用并授予所有权限的行为,均属于刑法第二百八十五条规定的非法控制计算机信息系统的行为。当然,由于“非法刷机”案整体上可评价一个行为,故应认定为破坏计算机信息系统罪与非法控制计算机信息系统罪的想象竞合,从一重罪处罚。

    

此外还要说明的是,行为人增加、删除计算机信息系统中的一般应用程序,虽然不成立破坏计算机信息系统罪,但既可能构成民事侵权,也可能属于其他犯罪的预备行为。