非法控制计算机信息系统罪与破坏计算机信息系统罪的认定与区分
审判参考案例【第1574号】温某某非法控制计算机信息系统案——非法控制计算机信息系统罪与破坏计算机信息系统罪的认定与区分
一、基本案情
被告人温某某,男,19××年×月×日出生。2021年10月22日被逮捕。
北京市朝阳区人民检察院以被告人温某某犯非法控制计算机信息系统罪,向北京市朝阳区人民法院提起公诉。
北京市朝阳区人民法院经审理查明:被告人温某某于2021年1月至3月,利用北京重信公司经营的“小阅平台”的弱密码系统漏洞,通过远程技术手段获取该平台管理员账号,进而利用管理员权限对该平台内客户账号进行控制,并为其使用的客户账号充值,实现“小阅平台”免费为其完成订单的目的,从中获利共计100余万元。温某某到案后赔偿被害单位经济损失221万元,并获得谅解。
北京市朝阳区人民法院经审理认为,被告人温某某违反国家规定,通过远程技术对计算机信息系统实施非法控制,其行为已构成非法控制计算机信息系统罪,且属情节特别严重,依法应予惩处。依照《中华人民共和国刑法》第二百八十五条第二款、第五十二条、第五十三条、第六十一条、第六十四条、第穴十七条第三款及《中华人民共和国刑事诉讼法》第十五条之规定,判决如下:
被告人温某某犯非法控制计算机信息系统罪,判处有期徒刑四年六个月,并处罚金人民币五万元。
判决后,公诉机关未抗诉,被告人未上诉。判决已发生法律效力。
二、主要问题
如何准确认定非法控制计算机信息系统罪与破坏计算机信息系统罪?非法控制计算机信息系统罪与破坏计算机信息系统罪如何区分?
三、裁判理由
刑法第二百八十五条第二款规定了非法控制计算机信息系统罪,第二百八十六条规定了破坏计算机信息系统罪。实践中,大量相关犯罪的行为手段完全可能同时触犯非法控制计算机信息系统罪和破坏计算机信息系统罪。因非法控制计算机信息系统罪与破坏计算机信息系统罪的条文规定存在一定交叉,实践中在两罪的区分上存在一定分歧。如本案中,就存在被告人的行为构成非法控制计算机信息系统罪和破坏计算机信息系统罪两种意见。因此,有必要厘清两罪的认定要件及关系。
(一)非法控制计算机信息系统罪的认定
非法控制计算机信息系统是指,行为人通过技术手段,使(国家事务、国防建设、尖端科学技术领域以外的)计算机信息系统处于其掌握之下,能够通过对计算机信息系统发送指令,使计算机信息系统按照其指令操作或运行。
1.本罪的控制厩包括完全控制,也包括部分控制
按照控制程度的不同,行为人对计算机信息系统的控制包括对整个计算机信息系统的全部控制,也包括对计算机信息系统中部分程序或应用的控制。只要行为人实现操控计算机按照其指令操作或运行,都属于本罪的控制行为。本案中,行为人通过技术手段获取计算机信息系统中“小阅平台”的账号管理权限,包括浏览、下载数据库内用户信息、修改管理账户的用户名和密码,增加平台用户的账号余额等全部平台的操作权限,控制计算机信息系统中的应用程序,属于对计算机信息系统的部分控制。
2.本罪的控制并不要求行为人实施进一步侵害行为
根据刑法规定,行为人只要通过技术手段实现对计算机信息系统的控制,情节严重的,即构成非法控制计算机信息系统罪。从犯罪构成角度而言,本罪的成立并不要求行为人控制计算机信息系统后实施进一步的侵害行为,相反,如果行为人控制计算机信息系统后实施其他侵害行为,完全可能构成其他犯罪。刑法第二百八十七条规定的“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚”,正是本意。
3.本罪不要求造成计算机信息系统不能运行的后果
行为人对计算机信息系统之所以实施非法控制,是为了操作计算机信息系统,实现计算机信息系统按照其指令运行,而不是为了对计算机信息系统实施破坏。无论是从本罪的立法意图还是基于对刑法条文的理解和解释,本罪的成立不要求行为人的控制行为造成计算机信息系统不能运行酌后果。故本案中,行为人控制平台账号管理权限后,虽然并未对计算机信息系统功能造成实质性损害,也并未造成计算机信息系统不能正常运行,但不影响非法控制计算机信息系统罪的成立。
4.本罪的成立要求行为“情节严重”
根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号,以下简称《解释》)第一条第一款之规定,非法获取计算机信息系统数据或非法控制计算机信息系统“情节严重”是指下列情形之一:“(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。”本案符合第四项,且属于司法解释规定的“情节特别严重…情形。
(二)破坏计算机信息系统罪的认定
破坏计算机信息系统是指,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,或者对计算机信息系统中存储、处理、传输的数据和应用程序删除、修改、增加,或者制作、传播破坏性程序,影响计算机系统正常运行。
1.本罪的犯罪构成包括三种类型
刑法第二百八十六条第一款、第二款、第三款分别规定了破坏计算机信息系统罪的三种类型。第一种是功能破坏型,即对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行。
所谓造成计算机信息系统不能正常运行,是指计算机信息系统不能运行和不能按原来的设计要求运行。第二种是数据和应用程序破坏型,即对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加操作,破坏计算机信息系统中数据和应用的完整性。第三种是故意制作、传播破坏性程序破坏型,即通过制作、传播计算机病毒等破坏性程序,对计算机内部运行造成干扰,影响计算机系统正常运行。
2.本罪的核心要件系可用性破坏
本罪旨在加强对计算机信息系统的管理和保护,保护计算机信息系统安全和功能,确保计算机信息系统安全运行,核心是确保计算机信息系统的可用性,即计算机信息系统能够按照授权主体的要求可被访问和被使用的属性。破坏计算机信息系统行为的评价重点在于破坏了计算机信息系统的可用性,包括使计算机信息系统失去使用功能、不能正常运行或者计算机信息系统不能按照授权主体的指令要求运行。
刑法第二百八十六条第一款规定的功能破坏型和第三款规定的故意制作、传播破坏性程序破坏型,均属于使计算机信息系统或计算机系统不能正常运行。第二款规定的数据和应用程序破坏型,刑法条文虽未明文要求造成计算机信息系统不能正常运行,但仍以破坏计算机信息系统可用性为前提:(1)基于体系解释,第二款与第一款、第三款规定的行为危害性应当同质,即“破坏”计算机信息系统,造成计算机信息系统可用性破坏,仅对数据实施删除、修改、增加的行为不构成本罪。(2)基于实质解释,实践中确实存在通过删除、增加、修改非主要数据或应用程序非法控制计算机信息系统,并未影响计算机信息系统可用性的行为,其实质仍属于非法控制计算机信息系统的手段。(3)最高人民法院第145号指导性案例——被告人张某杰等非法控制计算机信息系统案亦明确,通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,符合刑法第二百八十五条第二款规定的,应当认定为非法控制计算机信息系统罪。
此外,可用性破坏还包括造成计算机信息系统不能按照授权主体指令要求运行。行为人通过实施删除、修改、增加数据或应用程序等手段排他性控制计算机信息系统,虽未影响计算机信息系统的正常运行,但造成授权主体无法正常操控计算机信息系统,可认定为”后果严重”,也属于破坏计算机信息系统行为。本案中,行为人获取后台登录权限后,并未更改登录密码等,未对他人使用造成障碍,未排除授权主体正常使用,行为人更改系统内个体用户的账户内金额也不影响平台用户正常使用,属于对计算机信息系统的并存控制,因而不属于破坏计算机信息系统。
3.本罪成立要求行为“后果严重”
前述《解释》第四条规定,破坏计算机信息系统功能、数据或者应用程序,具有下列情形之一的,应当认定为刑法第二百八十六条第一款和第二款规定的“后果严重”:“(一)造成十台以上计算机信息系统的主要软件或硬件不能正常运行的;(二)对二十台以上计算机信息系统中存储、处理或传输的数据进行删除、修改、增加操作的;(三)违法所得五千元以上或者造成经济损失一万元以上的;(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;(五)造成其他严重后果的。”特别需要指出的是,《解释》第二项、第三项虽然并未要求造成计算机信息系统不能正常运行的后果,但并不意味着构成破坏计算机信息系统罪不需要造成计算机信息系统可用性破坏。《解释》第六条规定了故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,“后果严重”的情形。
(三)非法控制计算机信息系统罪与破坏计算机信息系统罪的区分
1.对象要件不同
非法控制计算机信息系统罪针对的是国家事务、国防建设、尖端科学技术领域以外的计算机信息系统。而破坏计算机信息系统罪没有对象的限制。侵入三类领域计算机信息系统,构成侵入计算机信息系统罪;侵入后非法获取国家秘密等信息的,还构成窃取、刺探国家秘密罪等;侵入后控制计算机信息系统,不论是否造成计算机信息系统可用性破坏,均不能认定非法控制计算机信息系统罪,如同时有修改、增加、删除数据、应用程序等行为,造成计算机信息系统不能正常运行或者实施完全控制、造成授权人不能正常使用的,按照破坏计算机信息系统罪处理。
2.行为要件不同
非法控制计算机信息系统罪重在“控制”,即通过技术手段使计算机信息系统能够按照其指令运行。破坏计算机信息系统罪重在“破坏”,即实施删除、修改、增加、干扰等行为,使计算机信息系统不能正常运行或不能按照设计运行。
3.后果要件不同
构成非法控制计算机信息系统罪要求“情节严重”,侧重于行为手段的危害性。而破坏计算机信息系统罪要求“后果严重”,侧重于行为造成的后果危害性。刑法条文用语不同亦有此意。虽然《解释》对“情节严重”和“后果严重”部分规定相同,但如前所述,《解释》并非对构成要件的解释,不能认定刑法条文中“情节严重”和“后果严重”是同一概念。
4.竞合处理
非法控制计算机信息系统罪与破坏计算机信息系统罪存在竞合关系。行为人针对三类领域以外的计算机信息系统通过实施删除、修改、增加等操作,非法控制计算机信息系统,但未造成计算机信息系统不能正常运行或者不能按照授权人指令要求运行的,以非法控制计算机信息系统罪定罪处罚,而不能一律认定为破坏计算机信息系统罪,确保罪责刑相适应;同时构成犯罪的,从一重处罚。
本案中,行为人对他人计算机信息系统实施非法控制后,对系统中存储的数据进行删除、增加,从而实现对增加的数据进行使用进而获利,但并未造成计算机系统功能实质性破坏或者不能正常运行,也未造成授权人不能操控计算机信息系统;行为人主观目的是控制计算机信息系统后利用,而非破坏计算机信息系统,不能认定破坏计算机信息系统罪,以非法控制计算机信息系统罪定罪处罚符合罪刑法定原则。人民法院对被告人以非法控制计算机信息系统罪定罪量刑,是正确的。
(撰稿:最高人民法院刑三庭付想兵
北京市朝阳区人民法院习文
审编:最高人民法院刑三庭罗国良)