非法获取计算机信息系统数据罪的犯罪构成和辩护要点分析
- 浏览:501
随着信息网络技术的发展和数字经济的兴起,通过网络技术手段非法获取数据的新类型犯罪不断出现,国家安全、经济发展和社会稳定面临新的挑战,在加大打击犯罪力度的同时,认定罪与非罪,此罪与彼罪存在很大分歧,此即是本文所探讨的内容。
《刑法》第二百八十五条第二款非法获取计算机信息系统数据罪的规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。是否构成该罪,应从“非法”、“采用其他技术手段”、“获取”、“数据”、网络安全以及是否具有可罚性等方面准确把握。
(一)具备资格但超出允许范围开展业务,可能系违规或者违反合同约定行为,不应被评价为刑法上的“非法”。
在刑法规制的行为范围中,有些行为的性质对社会是有害无益的,在社会价值评判体系和利益衡量系统中,已经被判定是不能够增进个人或者社会福祉,因此在整体上被禁止。对此,法律规定上一般不用再额外加上“非法”这样的表述,例如:故意杀人罪、强奸罪等。还有一些行为其性质本身是中立无害的,但是从事此类活动需要主体具备特殊的资质、技能等,或者是国家对准入门槛设置了专门的审核标准,因此一般需要许可或批准才能从事此类行为。当刑法条文中在具体行为前面加有“非法”的表述,或者在“违反国家规定”之外又在行为前面规定“非法”时,需要把“非法”与“违规”相区分。这里的“非法”强调的是没有根据国家规定从事相关活动必须具备的资格,未获得进入某个领域从事相关业务的许可。如果行为人具备了资质或者是获得许可,但是违反国家规定或者行业要求的各种限制条件,超范围、超额度、改型号、超品类、低标准等从事相关业务的,属于行政法上的违规行为。此类行政法上的“违规”行为,通常不能被评价为刑法意义上的“非法”,除非刑法上专门设置了针对此类违规的犯罪,否则只能按照一般的行政违规行为处理。例如,《刑法》第336 条第1款非法行医罪是指未取得医生执业资格的人非法行医;第 2 款擅自为他人进行节育复通手术是指未取得医生执业资格的人非法行医;擅自为他人进行节育复通手术进行节育罪;对照第 335 条医疗事故罪是指取得医生资格的“医务人员由于严重不负责任,造成就诊人死亡或者严重损害就诊人身体健康。”同理,非法制造枪支罪与违规制造枪支罪也是如此。可见,立法者在刑法典中区分了“非法”和“违规”,区别在于有无取得从事相关业务活动的许可、同意或者批准,取得了许可、同意或者批准的,行为性质至多属于“违规”。
(二)有资格但超范围实施某行为认定的“非法”,必须是法律明文规定为犯罪的。
如非法采矿罪,即使取得采矿证,超越采矿许可证规定的矿区范围开采矿产资源的,未按采矿许可证规定的矿种开采矿产资源的(共生、伴生矿种除外),也认可为非法采矿罪。原因在于《最高人民法院、最高人民检察院关于办理非法采矿、破坏性采矿刑事案件适用法律若干问题的解释》(法释[2016]25号,2016年12月1日)第二条明确将超授权认定为“未取得采矿许可证”范围之内,而司法解释并未将超越书面合同约定范围解释为未取得资格,故将此认定为非法,没有法律依据。
(三)即使有资格但超越书面合同约定范围实施某种行为被认定为“非法”,还需重点审查虽超过书面合同约定,是否在实际合同履行过程中得到过对方授权或者允许。
根据刑法第96条的规定,刑法中所称的违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。而针对计算机、互联网方面具体的国家规定是指:《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于维护互联网安全的决定》《计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》等。涉及非法获取计算信息系统数据的国家规定主要细化在《计算机信息网络国际联网安全保护管理办法》第六条中,关于“任何单位和个人不得从事下列危害计算机信息网络安全的活动:(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的”。在司法实务中,存在虽然合同中约定范围仅限于A,但是合同允许对方做到B范围内,故在具体案件审查中,需要提供合同相对人默认或者允许的证据。根据案例(2021)浙0521刑初34号,二审(2021)浙05刑终87号裁判要旨:本案中,张同原为千寻公司的分销商,在作为分销商期间,即存在数据转发行为,分销系统服务协议中虽有账号需要实名认证的内容,但鉴于分销系统服务协议中没有明确禁止转发行为,对该阶段转发数据的行为,公诉机关未指控为犯罪,符合刑法的谦抑性,所以只要合同相对人没有明确禁止使用,都不能认定为非法获取。
非法获取计算机信息系统数据罪要求侵入或者采用其他技术手段获取计算机信息系统中存储、处理、传输的数据。本罪的侵入,是指未经授权或者他人同意,通过技术手段进入计算机信息系统。侵入通常是指通过“木马程序”,在用户访问该网站时,伺机侵入用户计算机信息系统;或建立色情、游戏等网站,吸引用户访问并在用户计算机系统中植入“木马程序””等。其他技术手段是立法者针对实践中随着计算机信息技术的发展可能出现的各种手段作出的兜底性规定。从文义解释和体系解释的角度理解,采用其他技术手段,是指采用侵入以外,与侵入功能相似的其他具有较高技术含量的手段。不论是侵入还是采用其他技术手段,都要求利用一定的网络技术手段。根据《两高关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条之规定,采取的程序、工具必须具有避开或者突破计算机信息系统安全保护措施的功能。所以,在技术认定时要慎重把握,采取的技术手段是为了避开或者突破计算机信息安全保护措施还是为了其他目的,譬如采取的技术是为了更好的使用数据而不是为了获取数据,不符合犯罪构成,故不能认定为本罪。
所谓获取,是指通过非法侵入等方式后,从他人计算机信息系统中非法取得数据的行为,立法机关对这里的“获取”明确解释为盗窃或者诈骗,指出:“获取包括从他人计算机信息系统中窃取,如直接侵入他人计算机信息系统,秘密复制他人存储的信息;也包括骗取,如设立假冒网站,在受骗用户登录时,要求用户输入账号、密码等信息。”
根据ISO/IEC电子数据取证标准体系ISO/IEC 27037:2012《信息技术-安全技术-电子证据识别.收集.获取和保存指南》中对“获取”(acquisition)的定义:在特定的数据集合中进行数据副本创建的过程(process of creating a copy of data within a defined set)。同时对于该条款的注释亦明确“获取的内容是对于拟获取的数据信息的备份(The product of an acquisition is a potential digital evidence copy)。”可见,“获取”的技术含义为获取者在主观意志的支配下对于既有数据的复制行为。
在计算机科学中,“数据”是所有能输入计算机并被计算机程序处理的符号的介质的总称,是用于输入电子计算机进行处理,具有一定意义的数字、字母、符号和模拟量等的通称。计算机存储和处理的对象十分广泛,表示这些对象的数据也随之变得越来越复杂。
在实务中,“数据”本身的认定往往不是案件争议的焦点,如笔者办理的该类案件,“数据”所有权成了案件焦点,即租用联通公司手机号注册QQ获取验证码完成注册,认定是否非法获取验证码时,需要判断是否经过所有者的允许,那么所有者是谁?是网络公司(腾讯)而不是联通公司,故公诉机关指控被告人非法获取联通公司计算机信息系统数据不符合客观事实。
数据安全涉及数据的保密性、完整性、可用性。非法获取数据类犯罪,实质是对数据保密性的侵犯。按照公开程度的不同,数据大致可以分为不公开的数据、半公开的数据、公开的数据。对于向大众公开的数据,因为不存在侵害权利人的保密意思,也不需要避开权利人的安全技术措施去获取,不能构成非法获取数据犯罪。但利用技术手段大量获取及利用他人未公开数据的行为,可能构成侵权。如2017年新浪微博诉脉脉不正当竞争案。对于不公开或者半公开的数据,要获取该数据必须获得数据权利人授权(例如身份验证、密码登录等方式)。行为人违背数据权利人的意愿,通过侵入或者采用其他技术手段非法获取相关数据,则不仅构成侵权,情节严重的,还可能构成犯罪。因为不公开或半公开的数据,权利人会对数据采用一定的保密措施,如果超过授权、避开或突破安全技术措施获取数据,则违背了权利人的保密意思,不但对他人利益造成侵害,也可能危及计算机信息系统以及数据本身的安全,可能触犯刑法。
在大数据时代,数据安全风险及其防范问题越来越受到国家立法的重视,法律保护的重心也从网络载体、信息内容逐步转到数据本身,从静态的计算机安全到动态的网络安全,发生着质的变化。随着网络安全法、数据安全法、个人信息保护法等法律的实施,我国对网络安全和数据安全的法律保护将更为严密。结合笔者办理案件,行为人租用联通公司手机码号后再将其租给他人注册QQ,从联通公司租用的手机码号只进行企业实名(联通业务,无需个人实名),他人真实身份信息备案到企业。他人向腾讯申请注册QQ,通过腾讯公司发送验证码完成注册。此时,考察重点是QQ没有个人实名认证,只是实名到企业,是否影响网络安全?答案是否定的,首先,实名制利于网络安全,但是未实名制不一定会影响网络安全;其次,他人用此手机码号是否妨害了腾讯公司数据安全防护措施,显然没有妨害,否则也不会发送验证码帮其完成注册;第三,实名制是为了快速确认使用者,以确保在发现违法犯罪行为时可迅速锁定行为人,具体到笔者办理的该案中,如果下游买家租用码号注册QQ进行了违法犯罪活动,因为实名备案到企业,出现投诉后企业可快速确定相应的码号进行下架,并不会影响确定使用者的身份。