汇业评论

文 | 何四为 汇业律师事务所 合伙人

《中华人民共和国刑法》第285条包含三种计算机犯罪类型，其中第二款规定的情形为“非法获取计算机信息系统数据罪”，该罪名是2009年刑法修正案补充的罪名。由于刑法规定过于笼统，为对该罪名进行准确的定罪量刑，2011年，最高院又颁布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，对该罪名适用进行了更加详细的规定。本文试结合司法解释的规定和司法实践对该罪名的构成及认定标准进行探讨。

一、非法获取计算机信息系统数据罪的构成要件

《刑法》第285条规定：违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

根据上述规定，“非法获取计算机信息系统数据罪”应当具备以下构成要件：

1.行为人为自然人及单位；

2.行为人的行为违反了国家规定；

3.行为人非法侵入进入计算机系统或类似侵入的其他技术手段；

4.行为人获取了系统中的数据；

5.行为达到了“情节严重”的标准。

对于“情节严重”的标准，根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条的规定：非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：

（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；

（二）获取第（一）项以外的身份认证信息五百组以上的；

（三）非法控制计算机信息系统二十台以上的；

（四）违法所得五千元以上或者造成经济损失一万元以上的；

（五）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为非法侵入计算机信息系统罪规定的“情节特别严重”：

（一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的；

（二）其他情节特别严重的情形

二、单位适用本罪的认定

根据《刑法》第30条的规定：公司、企业、事业单位、机关、团地事实的危害社会的行为，法律规定为单位犯罪的，应当负刑事责任。2015年刑法第285条在修订前并未将单位列为本罪的犯罪主体，本条罪名的主体只能是具有刑事责任能力的自然人。

但是，笔者在经办此类案件的过程中，发现如果不将单位列为犯罪主体，将无法有效的进行案件的侦办以及定罪量刑，并与刑法的罪刑一致的原则相违背。

首先，目前公布的部分案件属于单位以经营为目的，获取第三方公司计算机系统的数据并加以利用，由于单位犯罪主体，导致侦查机关不合理扩大犯罪嫌疑人的范围。在江苏公安局办理的最新一起案例中，某科技公司为获取4S店维修保养记录，侵入了汽车4S店计算机系统并获取汽车维修保养数据，在整个行为过程中，科技公司员工系接受单位的指派，在其职责范围之内参与数据获取及加工、交易，属于履行劳动义务的行为，其本身并无犯罪故意。但是公安机关在侦办案件过程中，因未对单位立案并为了防止犯罪嫌疑人遗漏，不合理的扩大范围，对该单位几乎所有员工均立案侦查并采取刑事强制措施。

刑法如不将单位列为本罪的主体，不仅导致实施该行为的单位逃脱处罚，并且将扩大打击面，对本来只是接受单位指令履行工作职责的员工列入打击范围。

其次，在单位实施上述行为过程中，接受委派的自然人并未获取数据，也未取得违法所得，在单位内部员工分工不同的情况下，司法机关如何对不同的自然人认定数据数量和违法所得也将面临困难和争议。

从目前我们所经办的案件来看，如不对单位立案，公安机关为了形成完整的证据链，往往以“共同犯罪”的名义，将参与案件的技术人员、管理人员等均认定为直接责任人，而对各自然人之间是否具备共同犯意缺乏考量。

2015年刑法修正案九修改了第285条的规定，将单位列为本罪的犯罪主体，修订后条文规定：单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

三、“国家规定”的范围认定

《刑法》条文中对于类似“违反国家规定”的表述有两种：“违反国家规定”和“违反国家相关规定”；后者只在侵犯公民个人信息犯罪条文中出现，其他罪名均采用的是“违反国家规定”的表述。

根据 2011年最高人民法院发布的《关于准确理解和适用刑法中“国家规定”的有关问题通知》的规定，本条罪名所指的“国家规定”包括：

1.全国人大及其常委会所发布的法律、决定；

2.国务院制定的行政法规；

3.国务院规定的行政措施、发布的命令和决定；

4.国务院办公厅名义制发的文件，符合下列条件的：有明确的法律依据或者同相关行政法规不相抵触；经国务院常务会议讨论通过或者经国务院批准；在国务院公报上公开发布。

其中第三项系《宪法》规定的国务院的职权范围，其发布行政措施、决定、命令只是国务院履行行政管理职能的方式，其内容一般仍然为发布行政法规或文件。

以上规定，排除了国务院下属机构发布的部门规章以及其他规范性法律文件以及与上述文件位阶类似的地方性法规、规章等。

根据目前的统计，涉及本条罪名的“国家规定”主要包括：国务院《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》（国务院批准公安部发布）、全国人大常委会发布的《关于加强网络信息保护的决定》、《网络安全法》。

四、“非法侵入”的认定

本罪所指的“侵入”从行为上讲，指的是未经授权或超越授权进入计算机信息系统的行为。对于计算机系统的管理人或控制人而言，此种侵入违背了其自身的意愿，并且侵入损害了计算机系统的安全秩序。此处侵入具有以下特征：

1.侵入的系统不属于国家安全、国防安全及尖端科技领域的计算机系统，否则构成285条第一款的罪名。

2.此种侵入应当未获授权。行为人是否享有进入计算机信息系统的相关权限主要根据其在单位中的工作内容、职务等确定，主要表现形式为工作责任书、岗位职责、劳动合同、保密协议、与授权有关的通知、公告、管理制度等。如果行为人进入系统获得了合法授权，则不构成本罪。实践中争议较大的是授权不明的情况下如何处理？如计算机系统的管理人合法授权其员工进入、使用该系统，被授权人具有与其身份相符的口令、密码、账户，此时被授权人将系统中的数据传输给与其工作内容无关的第三方是否构成“非法侵入”？此外，如果管理人知道或应当知道其授权人员正获取计算机系统数据，但并未采取进一步的措施阻止该行为，是否应当认定其默认了被授权人的行为？

笔者认为，本条罪名保护的是计算机信息系统的安全性，如果计算机系统的管理人或控制人并未明确表示或采取公开的措施防止获取授权的人员通过计算机系统获取数据及转移数据，那么应当认为计算机系统控制人并不认为该种行为对其计算机系统的安全构成侵犯并不具有寻求法律保护的意愿，此时不应当将上述行为认定为本罪的“非法侵入”。

如果获得授权的员工的行为损害了计算机系统管理人其他的权益，如商业秘密、财产权益等，则应当以其他罪名认定。

3.侵入具有秘密性，并违背计算机系统管理人的意愿。

五、数据性质及数据数量的认定

刑法对于“计算机数据”并无专门定义，我们可以参考《最高人民法院关于适用刑事诉讼法的解释》第93条，该条规定列举电子数据的范围包括：电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等。从计算机语言的角度解读，计算机数据包含一切由二进制符号组合而成的字母、数字、图像、影音等外在表现形式。

1.本罪保护的数据范围。

国家制定刑法打击犯罪的目的系保护具有价值的法益，打击的行为应当具有社会危害性。由于“数据”的概念几乎囊括了计算机系统中所有的信息，而并非所有数据均具有法律的保护价值，在现有立法技术也不能对数据的表现形式具体列明，因此，对于法律保护的数据范围，没有明确规定。最高院的司法解释也只列举了“身份认证信息”一种情形。笔者认为，尽管不能穷尽数据类型，但可以排除不应当纳入本罪保护范围的部分数据类型：

（1）已经公开的数据。如企业基本工商信息、政府发布的各类公告、命令等文件、已经通过公开渠道向社会发布的信息。上述数据已经公开，获取后对社会不具有危害性。

（2）涉及犯罪的信息。法律保护的应当是合法的数据，违法的信息不具有法律保护的价值，不应当列入保护范围。如计算机系统存储或传输的犯罪信息被获取，反而有利于国家打击犯罪。

（3）综合认定为不具有保护价值的信息。由于本罪属于“情节犯”，只有达到严重后果的行为才能认定为犯罪。如获取的数据对计算机系统控制人或管理人未造成严重后果的，应认定为情节轻微，不应当作为犯罪处理。

2.身份认证信息的认定。

根据最高院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条的规定，获取十组以上结算、交易身份认证信息或500组以上其他身份认证信息的，认定为“情节严重”。

所谓“身份认证信息”，是由一系列口令、账户、密码、数字证书等组成，能够在人机交互模式下进入计算机信息系统的数据。不属于身份认证信息范畴的数据，不能按照司法解释规定的身份认证信息的数量进行定罪。身份认证信息是否构成“一组”，应当以自然人能否在掌握上述信息后通过计算机信息系统的认证并进入该系统。

因此，如果只是获得了身份认证信息的一部分或者该身份认证信息经核实无法正常进入系统，均不能认定为有效的一组身份认证信息。在司法实践中，如果行为人获取该信息时有效，但侦查过程中因数据变动失效，原则上应当视为有效信息。

对于获取其他数据是否达到“情节严重”的标准，可以综合考虑数据的数量、数据市场价值、数据获得成本、数据泄露对数据所有人或管理人可能造成的后果等因素，条件允许的情况下，可以申请价值鉴定。

六、违法所得的认定

根据最高院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条的规定，违法所得超过5000元的，符合“情节严重”的标准。但是实践中对于“违法所得”的认定标准存在不同意见。

根据现有法律及司法解释的规定，对于“违法所得”在不同的法律条文中同时存在两种判定标准：一种系按照“非法经营收入”认定；一种系按照“非法获利”认定。在第一种认定模式下，违法所得指的是犯罪分子因犯罪行为获得的所有财物，包括金钱和物品。如《最高人民法院、最高人民检察院关于适用犯罪嫌疑人、被告人逃匿、死亡案件违法所得没收程序若干问题的规定》第六条规定：通过实施犯罪直接或者间接产生、获得的任何财产，应当认定为刑事诉讼法第二百八十条第一款规定的“违法所得”；违法所得已经部分或者全部转变、转化为其他财产的，转变、转化后的财产应当视为前款规定的“违法所得”。第二种认定模式下，违法所得仅仅指扣除相关合理经营成本后的获利。如最高人民法院《关于审理非法出版物刑事案件具体运用法律若干问题的解释》第十七条规定：本解释所称“经营数额”，是指以非法出版物的定价数额乘以行为人经营的非法出版物数量所得的数额。本解释所称“违法所得数额”，是指获利数额。

具体到非法获取计算机信息系统数据罪，笔者认为，应当采取第二种标准，即按照获利金额计算违法所得。理由如下：

1.“获利说”符合最高院的司法精神。如《最高人民法院研究室关于非法经营罪中“违法所得”认定问题的研究意见》中认为：非法经营罪中的“违法所得”，应是指获利数额，即以行为人违法生产、销售商品或者提供服务所获得的全部收入（即非法经营数额），扣除其直接用于经营活动的合理支出部分后剩余的数额。同时认为，“非法经营数额”和“违法所得数额”在刑法表述上系两个不同且并存的概念，应当严格依据法律规定的概念界定其范围，而不能扩大解释。

参考上述意见，笔者认为，本罪的“违法所得”应当采取获利说，而不能进行扩大解释。只有在法律明文规定按照非法经营所得计算违法所得情况下，才能依据经营数额认定。否则，根据“法无禁止即可行”的刑法原则，在争议情况下应作出有利于被告人的条文解读，认定违法所得指“获利数额”。

2.除非直接进行交易，单独的数据并不能用于市场交换并获取经营收入，而需要结合其他投入方能实现。在笔者经办的案件中，行为人获取原始数据后，往往需要依托自身的经营平台，对该数据进行传输、过滤、加工后方能形成具有市场交易价值的服务或产品。在上述收入获取的过程中，除原始数据来源不合法以外，其他为获取经营收入而支出的房租、设备、行政成本、人工成本等均属于合法投入，如果将经营收入直接认定为“违法所得”，属于变相的将行为人的合法财产一并认定为非法所得的行为。

因此，本罪在认定违法所得时，应当扣除合理的支出，按照实际的获利金额认定。如实际获利金额不足以达到最低的量刑标准的，则不能适用该种情形下的法律标准。