本文主要根据威科先行公示的所有判决结果为破坏计算机信息系统罪案例(指导性案例、经典案例等)以及于2019年1月1日以来公示的341份破坏计算机信息系统罪的判决书,就此罪的裁判思路做一类型化总结,以为企业刑事合规风险点的查找提供参考。裁判思路的展示重点关注裁判现状,一种已有的裁判思路,即使是错误或者存在争议的,都可能再次出现;点评则反映笔者对裁判思路的思考,并结合理论与实务观点就辩护思路予以提示。
(一)“数据”“应用程序”均可以单独成为犯罪对象,并不要求行为同时破坏数据和应用程序
案例:在(2020)沪0112刑初821号案件中,法院认为,计算机信息系统的“数据”或者“应用程序”被破坏,均会对计算机信息系统安全造成损害。从刑法条文文义及保护计算机信息系统功能和数据安全的角度而言,对刑法第二百八十六条第二款“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”的规定,应理解为“数据”“应用程序”均可以单独成为犯罪对象,并不要求行为同时破坏数据和应用程序。
点评:本案定罪的核心依据是“破解相关共享单车企业后台服务器的安全保护机制,非法增加品牌共享单车企业服务器储存、处理的数据”。
(二)删除数据和应用程序
1.冒用购物网站买家身份进入网站内部评价系统删改购物评价,属于对计算机信息系统内存储数据进行修改操作。
案例:在(2015)浙杭刑终字第311号案件中(最高检发布第九批指导性案例之二【检例第34号】)2011年5月至2012年12月,被告人李骏杰在工作单位及自己家中,单独或伙同他人通过聊天软件联系需要修改中差评的某购物网站卖家,并从被告人黄福权等处购买发表中差评的该购物网站买家信息300余条。李骏杰冒用买家身份,骗取客服审核通过后重置账号密码,登录该购物网站内部评价系统,删改买家的中差评347个,获利9万余元。经查:被告人胡榕利用职务之便,将获取的公民个人信息分别出售给被告人黄福权、董伟、王凤昭。法院认定被告人李骏杰的行为构成破坏计算机信息系统罪,判处有期徒刑五年;被告人胡榕的行为构成出售公民个人信息罪,判处有期徒刑十个月,并处罚金人民币二万元;被告人黄福权、董伟、王凤昭的行为构成非法获取公民个人信息罪,分别判处有期徒刑、拘役,并处罚金。
点评:本案已经于2024年3月2日被宣布失效,有专家推测理由是“本案例就针对计算机信息系统数据增删改构成破坏计算机信息系统罪的适用较为宽泛。而近年来,司法实务就针对计算机信息系统数据增删改构成破坏计算机信息系统罪,实际赘加了“造成系统功能实质性破坏或者不能正常运行”的要件。在34号检例中,最高检认为“购物网站评价系统是对店铺销量、买家评价等多方面因素进行综合计算分值的系统,其内部储存的数据直接影响到搜索流量分配、推荐排名、营销活动报名资格、同类商品在消费者购买比较时的公平性等。买家在购买商品后,根据用户体验对所购商品分别给出好评、中评、差评三种不同评价。所有的评价都是以数据形式存储于买家评价系统之中,成为整个购物网站计算机信息系统整体数据的重要组成部分。侵入评价系统删改购物评价,其实质是对计算机信息系统内存储的数据进行删除、修改操作的行为。这种行为危害到计算机信息系统数据采集和流量分配体系运行,使网站注册商户及其商品、服务的搜索受到影响,导致网站商品、服务评价功能无法正常运作,侵害了购物网站所属公司的信息系统安全和消费者的知情权。行为人因删除、修改某购物网站中差评数据违法所得25000元以上,构成破坏计算机信息系统罪,属于“后果特别严重”的情形,应当依法判处五年以上有期徒刑。”笔者认为,这种数据修改行为并没有对信息系统功能造成破坏。最高检宣布34号案例失效,显然也认同这一观点,且同时认为这些被删改的数据不具有价值性,也不“干扰”计算机信息系统功能;或者即使有价值,也不赞同将数据的“价值性”作为破坏计算机信息系统罪的构成要件。类似案件辩护思路以非法控制计算机信息系统罪来展开为宜。而如果不是登录购物网站内部评价系统,只是在页面增删改一些信息数据,则属于有偿增删帖的行为,系非法经营行为。
2. 删帖
案例: 在(2014)杭滨刑初字第106号案件中,行为人冒用淘宝买家身份骗取淘宝账号密码重置后,非法登录淘宝评价系统从而删除、修改淘宝买家的中差评347个,从中获利9万余元。辩护人提出应当适用《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》第七条规定,本院认为,该解释规定适用于网络经营者在其自身控制的网络系统内,未经许可从事的有偿删除信息等行为,而被告人李某某的犯罪行为系非法侵入和破坏他人计算机信息系统的无权行为,不适用该解释规定。被告人李某某犯破坏计算机信息系统罪,判处有期徒刑五年。
点评:本案并不是对数据库的数据进行删除,而恰恰是以用户的名义登录,对网页信息进行删除,更合适适用非法经营罪。
(三)增加数据和应用程序
1.违规向系统中录入技术职称等数据,或利用营销平台私自投放广告
案例:在(2020)辽0203刑初339号案件中,被告人黄某某出资成立被告单位泉州某某科技有限公司,并招募被告人陈某某等人从事软件开发和系统研发等业务。2019年9月,为了为被告单位牟利,被告人黄某某等经合议后,利用被告单位的计算机,通过技术手段入侵了大连市某服务中心网站并获得了对数据库增删改查的权限。入侵成功后,由被告人陈某某对外推广,声称可以办理能够网络验证的专业技术职称证书。经他人委托,被告单位向大连市某服务中心网站数据库写入詹某等人的个人信息,并收取费用人民币22000元,该费用汇入被告单位财务账户供该单位运营及发放工资、分红使用。法院以破坏计算机信息系统罪对被告人定罪处罚。
点评:这类案件,行为人往往获得了系统的控制权限,从而得以对数据或应用程序进行增加。此类行为,一般不涉及对系统功能的破坏或干扰,应当以非法控制计算机信息系统罪予以辩护或裁判。
2.在游戏里未经授权生成礼包,后领取礼包内的装备和道具予以交易,非法牟利。
案例:在(2021)沪0106刑初152号案件中,2018年4月起,被告人田某在担任上海逗屋公司运营员期间,未经授权在游戏“自由之战2”中私自生成61个CDKEY礼包,并通过注册多个游戏账号领取部分礼包内的游戏装备和道具。嗣后,田某将领取有上述游戏装备、道具的游戏账号通过“淘手游”平台出售,同时将领取的游戏装备、道具直接通过“自由之战2”游戏中的交易行出售,共计违法获利至少人民币1.7万余元。法院认为,被告人田某构成破坏计算机信息系统罪。
点评:此类案件也有很多被判为非法获取计算机信息系统数据罪。此类行为并没有对系统功能造成破坏或者干扰,以非法获取计算机信息系统数据罪定罪处罚更为妥当。
(四)修改数据和应用程序
1.修改信息系统账号或密码,排除权利人登录的,被认定为破坏计算机信息系统
(1)修改主机系统的root密码,排除权利人登录
案例:在最高法院公报案例吕薛文破坏计算机信息系统案中,被告人吕薛文在成功入侵被害主机系统并取得最高权限后,吕薛文非法开设了两个具有最高权限的帐号和一个普通用户帐号,以便长期占有该主机系统的控制权。期间,吕薛文于2月2日至27日多次利用gzlittle帐号上网入侵广州主机,对该主机系统的部分文件进行修改、增加、删除等一系列操作,非法开设了三个帐号送给他人使用;先后3次非法修改广州主机系统的root密码,致使该主机系统最高权限密码3次失效,造成该主机系统管理失控约15个小时。当广州主机网管员第一次发现使用自己设置的root密码无法进入主机的超级用户状态对主机进行管理时,吕薛文上网主动要求与网管员对话,询问网管员是否将密码丢失了,声称他能将密码修改回来。当网管员询问其是否将网管员设置的密码修改了时,吕薛文矢口否认。在此情况下,网管员为能进入并操作主机,只得同意吕薛文“帮助”他将密码修改回来。吕薛文随即将root密码已经改为root123密码一事通知了网管员。网管员经试验root123密码可用后,为安全起见,又把root123设置为另一密码。但是网管员随后即发现,他刚改过的这一密码,又被改回为只有吕薛文和网管员知道的root123密码。2月26日下午,广州主机采取了封闭普通用户登录进入该主机的措施后,只有吕薛文仍能以非法手段登录进入,期间该主机的root密码第三次失效,吕薛文再次主动与网管员交谈,虽然仍否认自己修改了主机的密码,但是将能够进入主机的新root密码告诉了网管员。吕薛文实施了入侵行为后,把其使用的帐号记录删除,还将拨号信息文件中的上网电话号码改为12345678或00000000,以掩盖其入侵行为。此外,1998年2月12日,被告人吕薛文还利用.Lss程序和所获得的密码对蓝天BBS主机进行攻击,在取得该主机的最高权限后提升LP帐号为最高权限用户帐号,以便长期取得该主机的最高权限。法院认为,被告人吕薛文利用其掌握的知识入侵广州主机、蓝天BBS主机信息系统,取得控制该系统的最高权限,实施了增设最高权限的帐户和普通帐户,对广州主机存储、处理和传输的数据进行删改、监测,3次修改广州主机的最高权限密码等3种破坏行为。计算机信息系统上的帐号和密码,是以数据形式表现出来的计算机信息系统功能的一部分。被告人吕薛文对计算机信息系统上的帐号和密码进行修改、增加,其行为触犯了刑法第二百八十六条第一款的规定。而吕薛文在广州主机系统中安装并调试网络安全监测软件,则是对计算机信息系统中存储、处理或者传输的应用程序进行删除、修改、增加的操作,其行为触犯了第二百八十六条第二款的规定,危害了计算机信息系统的安全,造成广州主机管理失控、不能正常运行的严重后果,构成破坏计算机信息系统罪,应当依法处以刑罚。
点评:本案是1999.08.19裁判的指导性案例,当时非法控制计算机信息系统罪还没有写入刑法。本案除了实现行为人自己登录并排除管理员登录,自己控制计算机信息系统这个目的和事实外,并没有造成计算机信息系统功能受损,没有造成系统不能正常运行。这属于典型的非法控制计算机信息系统行为。就如房子,如果仅仅是门锁被他人控制,主人进不去,虽然无法使用房间,但是并没有影响到房间功能本身的存在,他人进入房间也一样可以发挥房间供人居住使用的功能。这种控制门锁的行为,至多属于对房间使用功能的干扰。裁判认为,“计算机信息系统上的帐号和密码,是以数据形式表现出来的计算机信息系统功能的一部分”,如果这个结论是正确的,那么任何一种盗取帐号和密码并修改以排除权利人登录的情形,就均构成破坏计算机信息系统罪。但是这个结论何以得出?有什么技术方面的依据?值得研究。
(2)锁定智能手机导致机主不能使用的行为,被认定为破坏计算机信息系统。
案例:在最高检发布第九批指导性案例之三【检例第35号】案件中,2016年10月至11月,被告人曾兴亮与王玉生结伙或者单独使用聊天社交软件,冒充年轻女性与被害人聊天,谎称自己的苹果手机因故障无法登录“iCloud”(云存储),请被害人代为登录,诱骗被害人先注销其苹果手机上原有的ID,再使用被告人提供的ID及密码登录。随后,曾、王二人立即在电脑上使用新的ID及密码登录苹果官方网站,利用苹果手机相关功能将被害人的手机设置修改,并使用“密码保护问题”修改该ID的密码,从而远程锁定被害人的苹果手机。曾、王二人再在其个人电脑上,用网络聊天软件与被害人联系,以解锁为条件索要钱财。采用这种方式,曾兴亮单独或合伙作案共21起,涉及苹果手机22部,锁定苹果手机21部,索得人民币合计7290元;王玉生参与作案12起,涉及苹果手机12部,锁定苹果手机11部,索得人民币合计4750元。法院认定被告人曾兴亮、王玉生的行为构成破坏计算机信息系统罪,分别判处有期徒刑一年三个月、有期徒刑六个月。
点评:最高检认为行为人通过修改被害人手机的登录密码,远程锁定被害人的智能手机设备,使之成为无法开机的“僵尸机”,属于对计算机信息系统功能进行修改、干扰的行为,构成破坏计算机信息系统罪。笔者以为,本案与吕薛文案一样,本质属于排除权利人对计算机信息系统的控制,属于非法控制计算机信息系统的行为,没有破坏计算机信息系统功能,没有造成系统不能正常运行,不构成破坏计算机信息系统罪。参见
http://www.360doc.com/content/22/0926/11/32260249_1049392469.shtml。
2.使用抓包软件获取和修改数据
(1)利用抓包软件抓取和替换游戏玩家的支付代码,更换支付对象,并使用VPN+FD方式进行游戏充值,属于对数据的修改
(2)利用抓包软件对系统数据进行修改,获取礼品卡出售牟利
(3)利用“Fidder”等软件拦截并修改在线充值平台发送的数据,实现少支付而多充值的目的。
点评:此类案件在过去曾经出现过利用系统漏洞,将长链接中代表金额的信息(数据)予以修改,实现少支付而多充值的案件,被认定为非法获取计算机信息系统数据罪或财产犯罪的案件。上述案件不同的是利用软件拦截并修改数据,以破坏计算机信息系统罪认定。其实,侵害的法益都是数据安全或者财产权益。仅仅手段不同就认定不同的罪名。这与破坏计算机信息系统罪的保护法益似乎存在冲突。本案系统功能难以认定为被破坏,只能从数据的价值性角度来认定破坏计算机信息系统罪。上述案件类型相同,需要统一裁判尺度,司法实践中,很多都以非法获取计算机信息系统数据罪来认定,按照非法获取计算机信息系统罪来辩护,不失为有效的辩护思路。
3.修改数据,获取财产性利益
(1)自助终端的源代码,获取全部销售资金
点评:对源代码的修改,涉及到破坏系统功能,属于破坏计算机信息系统。
(2)修改数据,获取系统中处理的财产性利益
案例:在(2020)吉0521刑初77号案件中收费员将正常缴费车辆修改为绿色通道免费车型,再由二人拍摄其他非绿色通道车辆或其他车道绿色通道车辆的车辆照片及车牌号上传至“快快绿通车”网站,伪造绿色通道车辆通行记录的方法,将通行车辆司机交纳的通行费截留私分。法院认定为破坏计算机信息系统罪。
点评:本案不涉及到对功能的修改,以非法控制计算机信息系统罪认定比较适宜。
(3)利用3D动态图像和通过修改手机IMEI码,干扰支付宝等账户认证系统发挥功能
案例:在(2020)浙1081刑初1116号案件中,2020年2月至2020年5月,被告人杨超利用在网上向被告人万兴健等人购买或由被告人孙芳柱、微信昵称“不能把”(身份不清)等人非法提供的他人身份信息、高清人像图等,制作人像动态验证图像,利用OPPO_IMEI等软件修改手机IMEI码,冒用他人身份进行支付宝账户信息修改或实名认证,破坏计算机信息系统,后将上述支付宝账号提供给被告人孙芳柱或出售给微信昵称“不能把”等人。被告人杨超非法获利共计11000余元。法院认为,被告人杨超与人结伙,违反国家规定,对计算机信息系统中存储、处理的数据进行修改、增加的操作,后果严重,其行为已构成破坏计算机信息系统罪。被告人杨超犯破坏计算机信息系统罪,判处有期徒刑二年。
点评:国际移动设备识别码(IMEI),即通常所说的手机序列号、手机“串号”,用于在移动电话网络中识别每一部独立的手机等移动通信设备,相当于移动电话的身份证。本案属于对支付宝账户注册认证系统的欺骗,要认定破坏计算机信息系统罪的核心,是依据“干扰了支付宝认证系统”。如果要适用第二款,也要认定支付宝账户信息为有价值数据为前提(虽然笔者也不认同这一观点),而手机IMEI码是行为人的工具,不应作为被害对象。
(五) 屏蔽数据和应用程序
安装具有干扰、屏蔽功能的指令程序,封堵、引流、屏蔽中国联通、中国电信终端大带宽违规监测系统传输数据,改变数据传输路径,使用于监测的计算机信息系统无法全部获取传输数据,从而无法全部发现违规销售带宽的IP地址,直接导致监测、预警部分功能部分失效。
案例:在(2020)辽0112刑初200号案件中,法院认为,针对探针软件传输的数据或监督系统平台内处理的数据实施的删除、修改、干扰的行为均应认定为破坏计算机信息系统的行为。
点评:探针软件与监测系统形成功能相互依赖的计算机信息系统整体,系刑法保护的计算机信息系统。虽然法院认定行为人“直接对进入电信监督系统计算机的报警数据进行删除,或加入所谓“白名单”,使该系统监督、预警功能部分失效。”“采取直接删除的方式,使该系统计算机无法对报警数据进行分析、评价,进而造成计算机系统功能无法全部实现,系统功能目的部分遭到破坏。”但是,系统处理数据的能力或者功能依然存在,只是喂给系统的数据被增加或者删改,导致功能运行失去效果或无法全部实现。另外,屏蔽数据,并不属于增删改数据的行为类型,至多可以作为干扰系统功能效果来认定。
作者简介
游涛,微信:youtaojudge,中国法学会案例法学研究会理事,公安大学网络空间安全与法治协同创新中心研究员,北大法学院《金融犯罪与刑事合规》校外授课教师,中国人民大学法学院刑法学博士。
业务领域:刑事法律服务与合规建设,涵盖科技互联网、娱乐与新媒体版块刑事风控与合规解决方案,特别是职务犯罪、网络犯罪、金融证券犯罪、知识产权犯罪、电信诈骗等刑事法律服务,以及反舞弊、数据、娱乐社交等领域合规建设。
经历与成果:
曾任北京市某法院刑庭庭长,曾任某网络科技上市公司集团安全总监,从事法务、合规工作二十余年,曾借调最高法院工作。除指导大量案件外,还亲自办理1500余件各类刑事案件,“数据”“爬虫”“外挂”“快播”等部分案件被确定为最高检指导性案例、全国十大刑事案件或北京法院参阅案例。
多次受国家法官学院、国家检察官学院、公安部、司法部的邀请,为全国各地法官、检察官、警官、律师授课;多次受北大、清华等高校邀请讲座;连续十届担任北京市高校模拟法庭竞赛评委。
还为包括上市公司在内的多家企业完成全面合规体系建设以及数据安全、商业秘密、网络游戏、1v1、语音房等专项合规。
在《政治与法律》等法学核心期刊发表《网络游戏外挂刑法规制》《使用网络爬虫获取数据行为的刑事责任认定》等论文十余篇,在《刑事审判参考》等发表《P2P网络平台上淫秽视频传播行为的刑事责任》等案例分析二十余篇,专著《普通诈骗罪研究》。
热门跟贴