一、什么是“计算机信息系统”

最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)第11条将“计算机信息系统”和“计算机系统”统一界定为“具备自动处理数据功能的系统”,包括“计算机、网络设备、通信设备、自动化控制设备”等具体设备。

进一步而言,首先,所谓计算机信息系统必须具备的基础功能是自动处理数据,没有这项功能的系统不能被称为计算机信息系统。其次,它的载体是“计算机通信设备等设备”,所以对计算机信息系统的理解应当作一个区分。计算机信息系统的核心在于既有硬件又有软件,其是软件和硬件的集成,也就是说单软件本身可能具备自动处理数据的功能,但缺少硬件载体无法构成计算机信息系统;而单纯的硬件设备比如移动硬盘,通常不能独立地完成数据的处理,所以也不是计算机信息系统;而像电脑这类既有硬件作为载体同时又能自动处理数据的设备才能被称为计算机信息系统。

二、什么是“侵入”计算机信息系统

《解释》第2条对于“专门用于侵入、非法控制计算机信息系统的程序、工具”作了一个界定,要求是“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据或对计算机信息系统实施控制的功能”。可见,侵入的行为核心在于避开或者突破计算机信息系统安全保护措施,但是对这个问题司法解释并未进一步说明,因此需要对计算机信息系统安全保护措施进行充分的解释与认定。

我们认为,计算机信息系统安全保护措施保护的是系统安全,其核心是一种防御性的措施。在实践中,计算机信息系统之间交互过程中会存在一些验证性的措施,比如验证码、滑块解锁等,此类验证措施是否属于计算机信息系统安全保护措施,这个问题在实践中还存在争议,因此,理解“安全保护措施”还需要回归侵入行为的实质和核心,也就是要判定是否未经授权或超越授权。

计算机信息系统的保护措施一定是与计算机信息系统的操作权限息息相关的。如果行为人规避保护措施后非法地拿到特定的访问权和控制权,那这个行为是侵入行为;而如果本身就有权限,只是在权限的行使过程中需要做一些类似人机这样的验证和区别行为的,则不能被认为是避开或者突破计算机信息系统安全保护措施。同样,这里侵入的核心既然是以权限为样态的,那么《解释》规定的“其他技术手段”便需要作出进一步的解释,也即“其他技术手段”并不一定要具有技术性,主要局限在骗取、窃取或者超越权限使用的情况。比如行为人没有权限操作其他计算机信息系统,但是它的所有者在操作的时候行为人在边上偷偷地看到了操作口令、密码,然后行为人利用偷看到的操作口令,密码登录操作系统,这个行为看似没有技术性,但是也叫侵入,因为行为达到了侵入的核心要求,即原本没有权限但是非法获得了权限并操作,这种行为是“其他技术手段”的典型示例。

三、什么是“造成计算机信息系统不能正常运行”

破坏计算机信息系统犯罪的后果中有一项是“造成计算机信息系统不能正常运行”,这一概念应当如何理解?

面对一台电脑,如果把它砸了,当然不能正常运行,但这样的行为是故意毁坏财物,而不是破坏计算机信息系统。破坏计算机信息系统针对的是计算机信息系统的核心——自动处理数据的功能,只有破坏行为影响计算机信息系统核心运行的功能,也即数据处理准确性的时候,才可以认定为计算机系统不能正常使用。

这样的破坏行为看似需要很高的技术性,但其实不然,例如,某环保排污的企业采用在排污监测口放棉花或者撕开管道等方式,使环保排污监测设备不能准确地采集其排污信息,这种行为被认定为破坏计算机信息系统罪。法院的裁判理由是,企业的外部干扰行为虽然是堵棉花、接暗管,但影响了整个环保监测系统对于数据的准确运行和判断,致使环保监测系统不能正常使用,从而构成破坏计算机信息系统罪。