APP下载

论危害计算机信息系统犯罪
——基于刑法规范的类型分析

2015-03-06先德奇

政法学刊 2015年1期
关键词:系统安全竞合计算机信息

先德奇

(四川警察学院 法学系,四川 泸州 646000)

论危害计算机信息系统犯罪
——基于刑法规范的类型分析

先德奇

(四川警察学院 法学系,四川 泸州 646000)

危害计算机信息系统犯罪为以计算机为工具的犯罪、以计算机为对象的犯罪与网络犯罪的交集。该罪为典型的行政犯,危害行为以网络为手段,保护客体为计算机信息系统安全即公共网络秩序的正常运行。以计算机信息系统安全保护为规范目的,刑法形成了危害计算机信息系统犯罪的类型和体系:将非法侵入计算机信息系统罪设置为行为犯,将非法获取计算机信息系统数据、非法控制计算机信息系统罪规定为情节犯,将破坏计算机信息系统罪设计成结果犯,并将危害计算机信息系统的共犯行为独立规定为提供侵入、非法控制计算机信息系统的程序、工具罪。在本类罪的司法判定中,必须注意行为的双重违法性和犯罪的竞合现象,以实现准确定罪量刑的目的。

概念辨析;保护法益;规范目的;双重违法;犯罪竞合

中国第34次《互联网络发展状况统计报告》显示,截至2014年6月,我国网民规模已达6.32亿,互联网普及率为46.9%,互联网发展由“广”及“深”,网民生活全面“网络化”。①数据来源:中国互联网信息中心(CNNIC)第34次《中国互联网络发展状况统计报告》,第4页。犯罪行为与社会生活共生。伴随计算机及网络技术的发展,计算机犯罪、网络犯罪等新型犯罪滋生,且表现出隐蔽性、高技术性、范围广和危害大的特点。我国互联网络安全面临着“网站用户信息泄漏增多,境外网络攻击增加,针对网上银行的钓鱼威胁加剧,工业控制系统安全事件增长,手机恶意程序多发,木马僵尸网络活动猖獗,DDoS攻击呈现频率高、规模大和转嫁攻击”②国家互联网应急中心,《2011年中国互联网网络安全态势报告》,2012年3月19日发布。等多方面违法犯罪行为的威胁。据统计,网络犯罪每年给全球造成的经济损失约4450亿美元,其中仅中国就超过450亿美元。③美智库:网络犯罪每年致4450亿美元损失,新华网http://news.xinhuanet.com/world/2014-06/10/c_1111069429.htm,2014年6月10日。这为我国计算机和网络犯罪的法律规制提出了严重警示。

1997年,刑法新设非法侵入计算机信息系统罪和破坏计算机信息系统罪两个罪名,开始对计算机信息系统安全进行重点保护,但侵入型犯罪仅限于国家事务、国防建设和尖端科学技术领域三大信息系统,在危害行为的类型上也略显单一。2009 年,《刑法修正案(七)》以前述两罪为基础,增加非法获取计算机信息系统数据、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统的程序、工具罪两个罪名,拓展、完善了侵入型危害计算机信息系统犯罪,将刑法的保护触角从三大领域延伸到所有公共计算机信息系统和互联网络系统,同时增加“获取”、“控制”型行为类型,从而严密、体系化了危害计算机信息系统犯罪。

立法理念上,我国计算机信息系统犯罪是将整个计算机信息系统作为一种公共秩序,予以“超个人法益”的保护,体现了整体性规范保护的特征。以规范论的视角分析,“所有具体的秩序都会沦为法律的规则,而一切的法和一切的秩序,也都只能被定义为类似于‘法规则之象征’的概念”,“每一项法律规则、每一项法律规范,都规制了许多个案。这些规则立于个案以及具体情事之上;并因此以‘规范’的身份,超越于具体的个案以及变化万端的具体情状与人类意志等单纯事实,去进行某程度的衡酌的思考。”[1]51具体审视刑法中危害计算机信息系统犯罪的类型概念、个罪的构成特征,探寻其立法目的,对于区分有关计算机违法与犯罪的行为,对于此罪与彼罪的界限识别,皆具有重要的方法论意义。

一、危害计算机信息系统犯罪之概念辨析

所谓危害计算机信息系统犯罪,是指违反国家规定,侵入、破坏、窃取计算机信息系统数据以及非法控制计算机信息系统,危害计算机信息系统安全,情节严重的行为。危害计算机信息系统犯罪为“类罪名”,是在对刑法分则规定的具体计算机犯罪行为进行抽象、概括的基础上,展开的理论分类。其要旨是从整体上对刑法规定的计算机犯罪的本质、各个罪的规范目的与构成状况进行类型梳理,以实现个罪的协调与规范理解。

危害计算机信息系统犯罪的特征为:1)“违反国家规定”的前置条件设置,决定了本类犯罪为行政犯,属刑法禁止之恶。形式上以行政违法为必要条件且符合刑法分则各本条罪状规定要求的行为,始得成立犯罪。2)本类犯罪规定的“侵入”、“破坏”、“窃取”及“控制”等类型行为,具有以网络为手段的特点。对直接针对计算机及其网络实施的外力行为,如使用铁锹破坏计算机与网络设备,则不属于本类罪的行为范畴,而应列入普通的财产犯罪。3)本类犯罪表现为对计算机信息系统安全的侵害与威胁。国务院《计算机信息系统安全保护条例》(1994年)明确将计算机信息系统安全规定为保护计算机信息系统的目的,并将计算机信息系统界定为“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统”。侵害计算机信息系统安全为危害计算机信息系统犯罪的本质。

理论上划清危害计算机信息系统犯罪与网络犯罪、计算机犯罪等概念之间的界限,有利于消除实践中的混乱。社会生活的数字化和虚拟化,使网络开始进入大数据技术基础上的“万物互联”时代,计算机犯罪凸显网络化特点,不具有网络化特征的计算机犯罪无异于普通财产犯罪,网络犯罪成为当下涵摄性更强更能反映社会生活态势的概念。网络犯罪是指通过现代通信网络(因特网、移动电话网等),以计算机、手机等智能终端为手段实施的各种犯罪行为;而计算机犯罪泛指涉及计算机的犯罪,一般可分为以计算机为工具的犯罪和以计算机为对象的犯罪。以计算机为工具的犯罪是指通过计算机实施传统的犯罪和通过计算机实施新兴的针对计算机及网络系统的犯罪;以计算机为对象的犯罪包括针对计算机及网络设备(硬件)本身的犯罪,以及针对计算机及其网络系统的犯罪,前者可划入财产犯罪的范畴,后者属于新兴的保护客体。逻辑上,网络犯罪与计算机犯罪之间属于交叉关系。

对刑法规范进行体系性分析,综合危害计算机信息系统犯罪的网络行为特征和信息系统为对象的特点,危害计算机信息系统犯罪正好为以计算机为工具的犯罪、以计算机为对象的犯罪以及网络犯罪之交集,即:我国刑法规定的侵害计算机信息系统犯罪实质是通过计算机及其网络针对计算机和网络系统本身进行的犯罪。其中,各概念间的关系可图示如下,阴影部分为危害计算机信息系统犯罪:

二、危害计算机信息系统犯罪之本质分析

犯罪的本质是指犯罪行为的法益侵害性,我国学界通说称为犯罪客体(保护法益),即指刑法所保护的而为犯罪行为所侵害的法益。而法益是“根据宪法的基本原则,由法所保护的、客观上可能受到侵害或威胁的人的生活利益”。[2]-167坚持实质刑法观的立场,犯罪客体的分析是刑法进行罪刑研究的基础,是犯罪的实质侧面对形式侧面的填充与限制,为探寻刑法文本规范目的的重要方法。具体讨论危害计算机信息系统犯罪的法益侵害性,可以从以下三个层面进行理解:

首先,危害计算机信息系统犯罪的保护客体是一种生活利益,即客体对实践活动中主体(个体或群体)需要(生存与发展)的满足,该生活利益具有客观的社会现实基础:“法律不管小事情”,生活中的利益只有达到一定的重要程度才能进入法的视野,进而为法律所保护。因为法律将生活利益分为纯道德利益与法益,前者为道德所规范,后者为法律所调整。法律与道德的分野,是法律科学化、现代化的标志之一。而进入法益领域,“刑法则只管大事情”。法益首先由从民法、行政法、社会法及至宪法等法律(一次法)予以保护,只有当重大法益(影响群体的生存与发展)经一次法系统不能进行恰当的调整、保护时,才该刑法(二次法)粉墨登场,通过刑事制裁最后进行防止,此乃刑法碎片性和谦抑性产生的根源。从发生学意义上看,正是随着计算机及网络技术的发展与普及,计算机、手机等智能终端成为人们工作、学习及生活的基本工具,网络成为影响人生存发展的基础条件,智能终端和网络的正常运行成为重要的生活利益并非得二次法予以保护,于是公共网络秩序最终成为刑法的保护客体。

其次,危害计算机信息系统犯罪的保护客体(公共网络秩序),体现了法益的社会性(超个人法益)和刑法规范的目的性。进而以观念论视角分析法益,“保护客体只不过是特殊——法律学的概念构成的产物,或者说,保护客体(法益)本身是不存在的,只有当将共同体价值作为刑罚法规的目的客体纳人视野时,保护客体才获得生命。”[3]生活利益经由刑法规范评价被赋予立法目的和价值意蕴,在此过程中,群体和立法者的价值观念影响着个罪保护法益的重要程度和种类划分。在传统“天人合一”的社群主义文化向外扩展而形成一种人际间的“礼俗秩序”的导向思维影响下[4],我国危害计算机信息系统犯罪的保护客体立足于社会法益(集体利益)即公共秩序来予以制度化;而具有个人主义特质的西方现代文化偏好个人利益的追求、社会认可和个性张扬,坚持“社会利益也是由具体的个人利益组成的”,其危害计算机信息系统方面的犯罪一般通过保护个人法益(财产)来进行类型化建构。如德国刑法典对计算机信息系统的保护,是在第27章第303条a、b损害财物罪中,通过违法类型即“变更数据”和“破坏计算机”(包括硬件和数据)的规定进行的,其保护法益偏重于个人的权利和利益。[5]204

最后,只有当犯罪行为侵害或威胁到公共网络秩序时,才能成立危害计算机信息系统犯罪。所谓公共网络秩序,意指不特定多数人的计算机信息系统安全即互联网计算机和网络设备的正常通信秩序。公共网络秩序是利用现代电子储存、交换、处理和互联技术搭建的虚拟公共空间,正是其公共性和开放性带来了网络的便捷性。在虚拟的公共空间里,智能终端操纵下的网络行为是可以自由访问、下载相关信息和数据的,而对一些私密性或重要性的空间与信息数据,人们一般设置特殊程序予以保护,禁止他人未授权的非法进入,否则就违反了规矩从而具有了行为的危害性。因此,危害计算机信息系统犯罪中规定的“侵入”、 “控制”、 “获取”和“破坏”计算机信息系统的行为,必须具有侵害或威胁到具体公共计算机信息系统安全(如金融信息系统安全)或整个公共网络系统正常运行的性质,才能将危害行为判定为本类犯罪。否则,不成立犯罪或只成立他种犯罪。如用U盘将病毒传入未联网的计算机信息系统,破坏计算机系统运行的,构成民事侵权或普通财产犯罪;通过非法控制、破坏并侵入互联网络的个人计算机信息系统或获取信息数据,必须达到能影响公共秩序(不特定多数)的程度,才能成立本类罪,故2011年两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,一般都把计算机数量解释为10台或20台以上、网络金融服务的身份认证信息10组或其他信息500组以上。

总之,犯罪的法益侵害标准实现了对犯罪的分类机能、违法性评价机能、刑事政策机能和解释论机能,[2]198-248犯罪的法益侵害判断限缩了犯罪成立要件的内容和范围,向形式法治注入了一副 “防恣意剂”,为行为的类型化和违法性判断划定了边界,满足了人们在罪刑法定大纛下对确定性的寻求。

三、危害计算机信息系统犯罪个罪之设立

围绕计算机信息系统安全保护的主线,可以准确把握各个罪的罪状规定与设立目的。根据危害行为的外在特征,可以将危害计算机信息系统犯罪分为侵入、控制型和破坏型两类。

(一)侵入、控制型危害计算机信息系统犯罪

1.非法侵入计算机信息系统罪。据刑法第285条第一款规定,非法侵入计算机信息系统罪是指非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。立法鉴于前述三大领域在国家安全与国力发展方面的重要性,特别予以绝对性的保护,将本罪设定为行为犯:只要违反国家规定,侵入三大信息系统的,不论侵入的动机与目的为何,也不论在侵入后是否有继续实施窃取信息、控制或攻击系统等进一步的危害行为,凡侵入行为本身就构成犯罪。[6]590这为本罪的危害行为设置了较低的入罪门槛。主观上,本罪必须是以故意的心态实施侵入行为即明知是三大系统而侵入,对于行为人因过失或意外原因(如机缘巧合、误打误撞)侵入三大信息系统,但经系统警示退出系统或者意识到是国家重要信息领域主动退出系统的,不成立犯罪;行为人意识到自己侵入国家重要信息领域不退出或经警示不退出的,则具备犯罪故意的心态而应成立本罪。

2.非法获取计算机信息系统数据、非法控制计算机信息系统罪与提供侵入、非法控制计算机信息系统程序、工具罪。由于现代信息技术和互联网产业在生活中各领域的发展与应用,2009年《刑法修正案(七)》在非法侵入计算机信息系统罪的基础上新增设了前述两个罪名,作为刑法第285条的第二款和第三款,保护除了三大信息系统外的计算机信息系统安全,构成了整个侵入、控制型危害计算机信息系统犯罪。由此,非法获取计算机信息系统数据、非法控制计算机信息系统罪的设立要旨在于:1)本罪的计算机信息系统是指前述三大系统之外的普通系统,如金融、医疗、交通、教育、社会保障等公共网络系统;2)因普通系统较之三大系统保护利益的次重要性,本罪设立为情节犯,且对危害行为实施的程度和危害性设置了更高的入罪标准:只有在行为人采取非法侵入或其他手段的基础上,继续实施了控制普通系统或获取普通系统中的数据等行为且情节严重的情况下,才能构成本罪;单纯的非法侵入行为和情节较轻的控制、获取行为,只能按行政违法处理。①2011年7月,两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》将本罪的“情节严重”和“情节特别严重”进行了量化:“情节严重”包括网络金融服务的身份认证信息十组以上、其他身份认证信息五百组以上、非法控制计算机信息系统二十台以上,以及违法所得五千元以上或者造成经济损失一万元以上等情形,而“情节特别严重”主要将前述情节的五倍以上作为标准。

至于提供侵入、非法控制计算机信息系统程序、工具罪(刑法第285条第三款),由于其行为离法益侵害的距离较远,比侵入、控制和窃取等实行行为的危害性更轻,故刑法仍将其规定为情节犯且设立了更高的入罪标准。事实上,“提供行为”原本属于非法侵入计算机信息系统罪和非法获取计算机信息系统数据、非法控制计算机信息系统罪之共犯行为(教唆或帮助行为),而刑法将其独立规定为犯罪,目的是为了彰显“提供行为”的社会危害性,以警示违法犯罪人和提示司法人员。独立成罪相比按共犯处理,量刑上排除了按从犯处理的减轻、免除处罚的适用,立法间接加重了本类行为的刑罚处罚。

(二)破坏型危害计算机信息系统犯罪

破坏型危害计算机信息系统犯罪只有一个罪名,即刑法第286条规定的破坏计算机信息系统罪。本罪的犯罪对象包含了所有联网的计算机信息系统,为结果犯,只有当对计算机系统的破坏行为造成后果严重时,才构成犯罪。其中,破坏行为的构成有三种模式:1)违反国家规定,对计算机系统的功能实施删除、修改、增加、干扰等破坏行为,导致计算机系统不能正常运行,后果严重的;2)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序本身实施删除、修改、增加等破坏行为,后果严重的;3)故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的。而后果严重,通常指国家重要领域计算机系统的功能遭到破坏,给国家、社会或个人造成重大经济损失,以及造成恶劣的社会影响等情形。①《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条将“后果严重”解释为造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的,对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的,违法所得五千元以上或者造成经济损失一万元以上的,造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的等情形;“后果特别严重”主要将前述情节的五倍以上作为标准。

就刑的角度比较,由于破坏型危害计算机信息系统犯罪的破坏行为之危害程度大于侵入、控制型危害计算机信息系统犯罪之侵入、控制与提供行为,在法定刑配置上,前者重于后者:破坏型危害计算机信息系统犯罪后果严重的,处五年以下的有期徒刑或者拘役;后果特别严重的,法定刑升格为处五年以上的有期徒刑(最高可达15年有期徒刑)。而侵入、控制型危害计算机信息系统犯罪基本法定刑为3年以下有期徒刑或者拘役,对非法获取计算机信息系统数据、非法控制计算机信息系统罪与提供侵入、非法控制计算机信息系统程序、工具罪两个具体犯罪,因行为人往往带有获利的目的,立法增设了附加刑——并处或单处罚金;情节特别严重的,法定刑升格为3年以上7年以下的有期徒刑(最高刑不超过7年有期徒刑),并处罚金。

四、危害计算机信息系统犯罪之认定

上述四个具体犯罪的设置及其罪刑规范结构,组成了刑法保护计算机信息系统安全的犯罪体系,是维系我国网络公共秩序正常运行的最后防线。在司法实践中,遵循以下原理(原则),对刑法条文的规范理解及犯罪的认定,具有重要的方法论意义。

(一)行政犯的双重违法性判断

就形式违法性分析,危害计算机信息系统犯罪构成要件设计成“违反国家规定+刑法上的其他成罪条件(具体为危害行为或情节严重、后果严重等)”的空白罪状模式,属开放的犯罪构成,为典型的行政犯,其行为具有双重违法性即行政违法性与刑事违法性的特征。结合刑法第96条对“违反国家规定”的解释,危害计算机信息系统犯罪的成立,必须首先是属于违反了全国人大及其常委会或国务院颁发的法律、法规、决定或命令中规定的行政违法行为,再结合刑法具体罪刑规范的构成要件要素,在双重违法性判断都成立的基础上才能判定为犯罪。换言之,危害计算机信息系统犯罪的成立,其犯罪行为、犯罪对象和保护法益等内容与界限受到行政法律法规的制约,其危害程度、主体条件及责任要素等还得受到刑事法律的规范,只有违反行政法律关系的内容,又符合刑法入罪条件的行为,才成立犯罪。双重违法性标准的要求,限缩了开放的犯罪构成要件之不确定性程度,进而实现刑法的谦抑性目的。

(二)犯罪竞合的判断与处理

在犯罪认定的过程中,刑法规范对案件事实的评价(符合性判断)存在复杂的竞合关系,厘清这些关系是准确定罪量刑的前提,也是罪刑法定原则和罪刑相适应原则的基本要求。基于不同法条之间存在包容和交叉关系而对案件事实作出的复数犯罪评价现象被称为法条竞合;基于同一行为的多种法益侵害后果而使不同法条对案件事实产生复数犯罪评价的现象被称为想象竞合。法条竞合原理是为了避免法律的“重复评价”问题,原则上适用特别法条优于普通法条的规则,而想象竞合则是要避免因重复评价带来的“一行为二罚”问题,适用从一重罪处断的原则。

危害计算机信息系统犯罪体系中,由于各个罪针对相同的犯罪对象(计算机信息系统)规定了不同的危害行为类型,因而会在具体案件审理中出现法条竞合现象:当危害行为侵入计算机信息系统(三大系统)并破坏计算机系统的程序和功能时,为非法侵入计算机信息系统罪与破坏计算机信息系统罪的法条竞合,应根据破坏计算机信息系统罪定罪处罚(特别法条);同理,当非法获取计算机信息系统的数据或非法控制计算机信息系统的行为导致计算机信息系统不能正常运行后果严重的,成立非法获取计算机信息系统数据、非法控制计算机信息系统罪与破坏计算机信息系统罪的法条竞合。因非法侵入计算机信息系统罪的犯罪对象仅限于三大系统,而非法获取计算机信息系统数据、非法控制计算机信息系统罪的犯罪对象为三大系统以外的系统,尽管规定了“侵入”、“获取”与“控制”等不同的行为类型,两个罪之间不存在法条竞合关系。

刑法第二百八十七条规定,“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。”该提示性条文的设置,表明了危害计算机信息系统犯罪与利用计算机信息系统实施的其他犯罪之间存在想象竞合关系:当危害行为通过非法侵入、非法控制或破坏计算机信息系统,或者非法获取计算机信息系统数据的方式,侵害财产、职务、公共安全等不同于计算机信息系统安全的法益而成立相关犯罪的,成立危害计算机信息系统犯罪与相关财产、职务、公共安全等犯罪的想象竞合犯,应选择重罪定罪量刑。如行为人非法侵入国家事务信息系统,获取系统中存储、处理、传输的国家秘密的,构成非法侵入计算机信息系统罪和非法获取国家秘密罪的想象竞合,应根据案件事实“择一重罪处断”。

[1]卡尔.施密特.论法学思维的三种模式[M].苏慧婕,译.北京:中国法制出版社,2012.

[2]张明楷.法益初论[M].北京:中国政法大学出版社,2000.

[3]转引自王安异.法益侵害还是规范违反[J].刑法论丛,2007,(11):287.

[4]韦森.个人主义与社群主义——东西方社会制序历史演进路径差异的文化原因[J].复旦学报(社会科学版),2003,(3):6.

[5]许久生.德国刑法典[M].庄敬华,译.北京:中国法制出版社,2000.

[6]全国人大常委会法工委刑法室.《中华人民共和国刑法》条文说明、立法理由及相关规定[M].北京:北京大学出版社,2009.

责任编辑:林 衍

On the Crimes of Imperiling Computer Information System-Type Analysis Based on Criminal Legal Norm

Xian De-qi

(Dept. of Law, Sichuan Police College, Luzhou 646000, China)

The crimes of imperiling computer information system mean the intersection among the crimes by means of computer, the crimes with computer being an object, and the cyber crimes. The crimes are typical administrative offence, and they are characterized by criminal behaviors relying in network, the protected object being as the security of computer information system, that is, the normal operation of the public network order.In orded to protect the computer information system safety, criminal law forms crime types and system of imperiling computer information system. At the same time a series of joint criminal actions are regulated an independent crime which is named the crime of providing intrusion, illegal control computer information systems program or tools.

discrimination of concepts; protective legal interest; regulative aim; dual illegality; crimes concurrence

2014-12-10基金项目:四川省教育厅青年基金(10SB026)资助

先德奇(1973- ),男,四川泸州人,四川警察学院法学系讲师,西南财经大学法学博士研究生,从事中国刑法学研究。

DF73

A

1009-3745(2015)01-0070-06

猜你喜欢

系统安全竞合计算机信息
《从竞争到竞合:粤港澳大湾区高等教育集群发展》推介
BIM时代计算机信息技术在建筑工程中的应用
新型电力系统安全稳定运行分析
计算机信息技术在食品质量安全与检测中的应用
铁路信号集中监测系统安全隔离机制研究
银行理财子公司:开辟大资管竞合之道
提升电力系统安全稳定性的有效措施探究
铁路信号系统安全输入输出平台
浅析维护邮政计算机信息系统的策略
探究大数据时代计算机信息处理技术的发展方向