一、非法獲取計算機信息系統數據、非法控制計算機信息系統罪的概念
1.立法起源
根據CNNIC統計數據顯示,1996年1月,中國公用計算機互聯網(CHINANET)全國骨幹網建成並正式開通,全國範圍的公用計算機互聯網絡開始提供服務,中國互聯網絡自此得以起步。在隨後的1997年《刑法》中,為適應這一時代變革,也相應地增加制定了計算機犯罪類罪名。彼時由於私人計算機還沒有在全民的範圍內被廣泛使用,《刑法》中僅規定了非法侵入計算機信息系統罪和破壞計算機信息系統罪這兩種計算機犯罪類罪名,其所指向的犯罪類型,是相對特定的非法侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的行為,和破壞計算機信息系統的行為。但針對一般社會民眾私人計算機的入侵和控制行為,則尚未納入刑事制裁的範疇。
隨着越來越多的私人計算機開始在全國範圍內普及,一些指向私人計算機系統的入侵和控制行為逐漸凸顯:製作傳播計算機病毒、侵入和攻擊計算機信息系統的犯罪增長迅速,非法獲取計算機信息系統數據、非法控制計算機信息系統的犯罪日趨增多,製作銷售黑客工具、倒賣計算機信息系統數據和控制權等現象更是層出不窮。考慮到這種案件可能造成的私人計算機使用者強烈不安全感以及其嚴重的社會危害性,司法機關認為有必要在實務中利用刑法對這類案件進行規制。擴張使用盜竊罪就是當時所廣泛嘗試的一種規範方式。但這樣的處理模式畢竟葯不對症,對於一些無法評估具體財產價值的賬戶名、密碼等犯罪對象,在以盜竊罪進行規制時難免顯得過於牽強,定罪量刑缺乏法理依據,廣受爭議。因此在2009年《刑法修正案(七)》正式生效後,《刑法》中增設了非法獲取計算機信息系統數據、非法控制計算機信息系統罪;提供侵入、非法控制計算機信息系統程序、工具罪等新罪名,用以維護計算機信息系統安全,以及打擊私人領域的計算機網絡犯罪。
2.罪名理解
根據現行《刑法》第二百八十五條第二款的規定,非法獲取計算機信息系統數據、非法控制計算機信息系統罪是指「違反國家規定,侵入前款規定以外的計算機信息系統或者採用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的行為」。從實踐的角度理解,本罪的行為模式主要包含如下兩種:
一是以入侵或者其他技術手段獲取計算機信息系統中的相關數據。理解這一種犯罪模式,首先要明晰的就是「入侵」以及「其他技術手段」具體對應的行為表現形式為何。根據《最高人民檢察院關於印發最高人民檢察院第九批指導性案例的通知》中《檢例第36號:衛夢龍、龔旭、薛東東非法獲取計算機信息系統數據案》的定性方面來看,「侵入」的概念應當是指違背被害人意願、非法進入計算機信息系統的行為。其表現形式既包括採用技術手段破壞系統防護進入計算機信息系統,也包括未取得被害人授權擅自進入計算機信息系統,還包括超出被害人授權範圍進入計算機信息系統。更為通俗地說,「入侵」可以是未經他人同意,採取破解密碼等技術手段,突破、穿越、繞過或者解除特定計算機信息系統的安全防護體系,擅自進入該系統,也可以是對數據的物理性拷貝和複製,設立假冒網站,欺騙用戶輸入賬號、密碼等信息,還可以是對於計算機系統的越權登錄。而在侵入計算機信息系統後下載其儲存的數據,便可以認定為非法獲取計算機信息系統數據。
另一種行為表現形式,在於對他人的計算機信息系統實現非法控制。關於「非法控制」的理解,目前的司法解釋和法律法規中沒有特別明確的規定,但在《人民司法(應用)》2011年第19期刊登的《最高人民法院<關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋>的理解與適用》一文中,最高人民法院根據立法背景和立法目的,將「通過控制大量計算機信息系統形成殭屍網絡」作為非法控制計算機的主要例證。而在殭屍網絡(Botnet)的概念項下,「控制服務器(Control Server)」是指控制和通信的中心服務器,殭屍網絡的「控制」行為,主要是通過一對多的向某目標網站進行分佈式拒絕服務(DDos)攻擊,或者是利用服務請求來耗盡被攻擊網絡的系統資源,從而使被攻擊網絡無法處理合法用戶的請求。從這一概念做推演理解,不難識別出,該《解釋》及其《理解適用》中的控制及轉移控制的概念,與前述的入侵和獲取數據的行為模式均不相同,而是一種更高程度的資源佔取,導致合法用戶的控制權被大比例的剝奪甚至是形成攻擊者的排他性使用,如果將涉及計算機信息系統類犯罪中的「控制」和「入侵」概念作比較,控制的概念應當是在時間線上晚於入侵發生,並且在對於計算機系統的使用權限上高於入侵的概念。
在達成了前述的行為構成後,如果行為的社會危害性達到了「情節嚴重」的程度,就有可能被納入刑事制裁的範疇之內,根據《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》,本罪「情節嚴重」的情況大體可以分為如下幾種:一是獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上;二是獲取前項以外的身份認證信息五百組以上;三是非法控制計算機信息系統二十台以上;四是違法所得五千元以上或者造成經濟損失一萬元以上。並且當數量或者數額達到前述四項規定標準的五倍以上時,則構成「情節特別嚴重」,對應的刑檔也將從「三年以下有期徒刑或者拘役」提升至「三年以上七年以下有期徒刑」。
二、當前實務中的困境
該罪設立的時候,實務中的判決數量非常少,網絡上公開的判決也主要散見於一些嚴重的黑客案件、計算機病毒案件以及一些較為嚴重的金融身份信息竊取案件,並且常常和信用卡詐騙的犯罪行為構成手段與目的之用。2016年之後,由於網絡虛擬財產的概念逐漸得到重視,關於網絡遊戲賬戶的「盜號」類案件開始以此類的罪名規制。2020年後,打擊計算機網絡犯罪的力度進一步加強,以本罪處罰利用入侵攝像頭系統窺探隱私行為的判例零星出現,除了一些入侵攝像頭後錄製他人隱私並進行傳播和販賣的案件外,僅用於個人觀看的情況也存在被處以刑罰的判例。
但現存的問題在於,網絡上所公開的購買攝像頭權限進行偷窺的案件中,在沒有其他的轉賣、擴散等行為,僅用於個人觀看的情況下,法院對於行為人的行為定性尚不存在統一的標準。例如在《谷福傑非法獲取計算機信息系統數據、非法控制計算機信息系統》一案中,主審法院認為被告人的行為構成非法獲取計算機信息系統數據罪,不法獲取的他人攝像頭系統賬戶密碼被認定為他人身份認證信息,並以《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第一條第二款的標準(是否非法獲取身份認證信息五百組以上)判斷構成情節嚴重,應當受到刑事追訴。而在《胡永勇、吳子洋非法獲取計算機信息系統數據、非法控制計算機信息系統罪》一案中,主審法院認為被告人從他人處通過購買、交換的方式非法獲取被破解的被害人家中攝像頭設備ID賬號及密碼,並添加到自己手機「雲視通」APP里,非法窺探他人隱私的行為構成對攝像頭的控制,應當適用《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第一條第三款的標準(是否非法控制計算機信息系統二十台以上)認定行為是否達到「情節嚴重」的追訴條件。
需要強調的是,雖然非法獲取計算機信息系統數據和非法控制計算機信息系統兩種犯罪行為均被規定在我國《刑法》第二百八十五條的第二款項下,但是兩種行為的本質是存在明顯差別的。
非法獲取數據和非法控制計算機都是純粹的計算機犯罪,是非法侵入信息系統罪的補充罪行和下游罪行,各自擁有其獨立的保護範圍和立法目的。前者強調的是對於計算機的入侵和個人信息的獲取,而後者則更為重視對於他人計算機控制權或運行資源的非法佔用。如果將侵入行為也解釋為非法控制,就架空了法條的內容設置,超出了侵入行為應有的文本意義,擴大了侵入行為的外延。由此,對於「非法控制」的解釋,應嚴格限定在可證明的控制行為範圍內。行為人實施了侵入行為甚至多次侵入,不應據此認定行為人對系統進行了非法控制。
前述利用入侵他人攝像頭進行偷窺的案件定性,當下實務中尚存在一定爭議,並且由於偷窺類刑事案件的現有公開判例較少,甚至無法在實務中歸納出所謂的「多數觀點」。但對於這類行為定性的釐清仍然是很有必要的,因為按照非法獲取數據來認定違法行為,在行為人獲取個人信息五百組以上時方才入刑;而如果以非法控制計算機來認定違法行為,則控制的計算機數量超過二十台就達到了刑事追訴的標準。這可能導致同一個案件,在不同的行為性質認定標準下,對於被告人違法行為的刑法評價會產生「不構成犯罪」和「情節特別嚴重」的巨大差別。
三、實例探究
以此真實案例分析:被告人通過社交平台非法獲取他人云視通等網絡攝像頭設備賬號及密碼,並通過雲視通等軟件上添加上述賬號、密碼,並實現對他人攝像頭內容的觀看,公訴機關初步認為被告人的行為是對他人攝像頭的非法控制,其構成非法控制計算機信息系統罪,並且以其所登錄的攝像頭數量作為標準,評價其非法控制的計算機信息系統數量。
筆者認為,公訴機關在對該案件的處理上,可能忽視了非法獲取計算機信息系統數據和非法控制計算機信息系統之間的差異,導致對本案的定性不夠精準。
首先,本案中被告人的違法行為尚達不到「控制」的高度。從《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》中關於非法獲取計算機信息系統數據或者非法控制計算機信息系統「情節嚴重」的認定標準分析,在不法獲取信息的入罪標準上,要麼對應較為龐大數量的數據信息獲取,例如獲取身份認證信息五百組以上;要麼直接對應行為人的不法經濟獲益以及被害人的財產損失或財產損失的高度可能性,例如違法所得五千元以上或者造成經濟損失一萬元以上;獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上等。與此相對的,控制計算機系統的入刑標準,僅僅要求控制二十台以上,遠低於其他獲取信息的數量要求。因此要使該解釋項下各類犯罪行為表現形式滿足「同罪同罰」的基本法律原則,則至少應當保持數種所列舉情形的社會危害性相當。也就是說,非法控制他人計算機系統在入罪數量上低於非法獲取計算機數據,則所對應的單體社會危害性就理應高於簡單的數據獲取,這與前文中「控制」與「入侵」之間關係的理解是相一致的。一些觀點認為本罪中對於非法控制的認定不需要達到排他控制的標準,但是筆者認為,非法控制者達到與計算機系統的合法擁有者「平權使用」的標準之上應該是一種合理要求。
從立法目的出發,以典型的黑客攻擊控制計算機信息系統作為例證,如果要被告人的違法行為達到「控制」的標準,一種可以被接受的基本情況在於,當「控制者」和「其他使用者」同時下達異向指令的時候,計算機系統應當跟隨「控制者」的指令做出反饋。但在本案中,行為人僅僅是能對攝像頭的錄製內容進行觀看,無法在攝像頭的開關、方向角度,系統管理以及儲存數據增刪等方面進行任何對應的操作,更無法拒絕合法使用者的正常操作。甚至於只要合法使用者稍加留心,為自己的攝像頭設立簡單且必備的「更改初始密碼」這種隱私保護措施,被告人的數據獲取通道就被截斷了。這樣的使用行為,認為其達到了「控制」的標準,極其牽強。
其次,以登錄的攝像頭個數來評價被告人行為的社會危害性並不妥當。此類案件均是以某個APP作為媒介,在綁定了一定的賬戶密碼後實現對攝像頭內影像的觀看,從進入攝像頭系統的路徑看,少數攝像頭設備號對應一個攝像頭通道,而多數的情況為一個攝像頭設備號對應多個攝像頭通道。因此在本案中,可能出現被告人僅獲取一組身份認證信息,進入一個系統後便對應多個攝像頭設備的情況。但需要明確的是,最高人民法院、最高人民檢察院研究室負責人就《關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》答記者問時曾表示,計算機系統應當是具備自動處理數據功能的系統,包括網絡設備、通信設備和自動化控制設備,攝像頭並不隸屬於所列舉的三種設備之任一。因此應當理解,對於《刑法》第二百八十五條項下規定的數種計算機系統犯罪而言,其直接指向的犯罪對象是一個又一個獨立的計算機系統,法律所保護的對象,也是計算機系統的私密性和正常運行能力,而非對於攝像頭這類系統的輸入和輸出設備進行保護。同理,判斷計算機信息系統類犯罪的社會危害性或罪責嚴重程度,應該着眼於受到影響的計算機系統數量,而非具體登錄的攝像頭數量。本案中,被告人利用一組賬戶、密碼進入一個攝像頭系統,可以構成一個犯罪單位。無論在這個犯罪單位中,具體對應一個還是多個輸入、輸出設備,由於這些輸入和輸出設備沒有成立獨立的新系統,受到侵害的,仍然是一個計算機系統。因此判斷本罪的具體罪責情況,不應該糾結於被告人實際觀看和登錄的攝像頭數量,而是應該關注被告人所獲得的,能夠進入計算機系統的賬戶密碼組數,在賬戶名和密碼相同的情況下,則應該根據被告人實際進入的計算機信息系統數量來確定其行為的社會危害性。
最後,從犯罪構成上看,該案更符合非法獲取計算機信息系統數據。本案中的被告人是通過購買攝像頭設備號的用戶名和密碼,實現對他人隱私的窺探。窺探隱私固然是不道德甚至構成違法犯罪的行為,但這並不是此類犯罪所侵犯的,足以被評價為犯罪行為的社會法益。從非法獲取計算機信息系統數據、非法控制計算機信息系統罪在我國《刑法》中設立的背景和立法沿革的角度來看,應當明晰這一法規主要所規制的行為,是對於他人私密信息的不法探知,即非法為自己或他人探知不屬於自己的、他人為了防止非法獲得而做了特殊安全處理的數據。更為通俗的說,行為人之所以受到刑法處罰,不僅僅是因為未經允許的觀看了他人的隱私,造成了個人敏感信息的侵權,更多的是在於對他人計算機系統中數據的不正當截獲,導致「維護個人計算機系統私密性和安全性」的社會價值遭到破壞。這與世界各國關於計算機類犯罪的理念是相一致的,例如《德國刑法》在第15章「侵害私人生活和秘密」中第202條非法探知數據罪就是在做如此規定。本案中,行為人能夠被評價為犯罪的法益侵害行為,並非對於他人隱私的侵犯,或是對個人計算機系統控制權的奪取,而是對他人攝像頭設備的賬戶名及密碼的不法獲取,此乃入侵攝像頭窺探隱私違法性之根本。而根據《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》中的解釋,行為人所不法獲取的這種賬號、口令、密碼、數字證書等,均歸屬於「身份認證信息」的範疇。
另外,此類案件中的被告人購買賬戶和密碼登錄攝像頭的目的在於窺探他人隱私,具體的手段則是通過軟件獲取賬戶密碼非法入侵併獲取包含被害人隱私的影像數據。行為人的主觀故意僅在於對被害人私密影像數據信息的不法獲取,而不在於對整個影像系統的不法控制。客觀方面行為人也僅是通過非法獲取計算機數據信息並實現個人觀看,並不存在對於整個影像系統更多的操作控制使其達到某種活動狀態。因此總體來說,無論是從罪責相一致,還是從主客觀相統一的角度來說,將行為人的行為認定為非法獲取計算機信息系統數據罪,更為準確。
作者簡介
於興泉,大成律師事務所刑委會執行主任。執業二十餘年,以經濟類犯罪、職務犯罪案件為專業方向,關注企業高管犯罪現象,辦理過大量企業高管涉罪案件。發表有《法治是最好的營商環境》《從律師角度看當前民營企業家的司法困境》《郵幣卡電子化交易的法律定性問題》等多篇專業文章,著有《單位犯罪實務精解》。
馬聖昆,中國政法大學刑事司法學院刑法學碩士,專業方向為職務犯罪與經濟犯罪。
