根据《刑法》第285条第2款规定,非法获取计算机信息系统数据罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统中存储、处理或者传输的数据的行为。情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
最高检第36号指导案例认为,本罪中“侵入”的实质是“未经授权或超越授权进入计算机信息系统”,而不要求采取“技术手段”。这一观点在实务中引起了争议,有观点认为,本罪旨在保护计算机网络安全,采取非技术手段进入计算机系统的不会侵犯到本罪所保护的法益。但在司法实践中,似乎已逐步形成向“是否有权获取”这一实质标准靠拢的趋势。这一标准是否合理?“技术手段”如何界定?“侵入”是否必须以“技术手段”为前提?“未经授权或超越授权”又应如何界定?是以无许可性授权为准,还是要求违反既有的禁止性规范?仅访问未复制的行为是否构成“获取”?“违反国家规定”对应的前置性规范又应如何理解?本文将结合实践案例,对以上本罪构成要件中的争议问题逐一解析。
关于“技术手段”的界定
非法获取计算机系统数据罪的客观行为手段包括“侵入或者采用其他技术手段”。这里的“技术”,从本罪的立法目的和立法解释来看,应限制为“计算机网络技术”,如钓鱼网站、撞库软件、流量劫持、黑客攻击等。本罪相关立法释义中指出,“其他技术手段是关于行为人可能采用的手段的兜底性规定,是针对实践中随着计算机技术的发展可能出现的各种手段作出的规定。刑法之所以将行为人非法获取他人计算机信息系统中的数据的手段限定在侵入或其他技术手段,是因为本罪针对互联网上各种危害计算机网络安全的犯罪作出的规定。采用网络技术手段以外的其他手段,如进入他人办公室直接实施秘密复制行为的,不属于本款规定的行为。”
然而,从司法实践来看,对“其他技术手段”的适用有被扩大解释的趋势,如诈骗、买卖等明显不符合“网络技术手段”的行为也被认定为本罪。这也是对前述立法解释中提及的“其他技术手段是关于行为人可能采用的手段的兜底性规定”的一种解读。例如:【案例一】(2019)浙03刑终1117号案件中,被告人刘某、孟某某创建“BTCETH担保交易群”微信群,以对以太币提供交易担保的名义发展成员。被害人朱某在该微信群里发布出售以太币的信息,刘某、孟某某经合谋后由刘某通过微信联系被害人并谎称以每个以太币5000多元的价格收购朱某50个以太币。被害人将以太币转到刘某指定的以太坊钱包后,刘某、孟某某即将被害人的微信“拉黑”并“踢出”微信群。后孟某某将获取的以太币等虚拟货币出售套现30余万元并与刘某予以瓜分。该案中,检察机关指控诈骗罪,二审继续以诈骗罪提起抗诉,认为非法获取计算机信息系统数据是被告人为了实现诈骗而采取的犯罪手段,应择一重罪以诈骗罪认定。一审、二审法院以“以太币”是依据特定的算法通过大量的计算产生,实质上是动态的数据组合,其法律属性是计算机信息系统数据”而非刑法意义上的“公私财物”,最终以非法获取计算机信息系统数据罪定罪。法院认为,“其他技术手段”是指“侵入”之外的其他犯罪手段,具有兜底性,囊括所有可采用的技术手段。本案中,被告人通过微信发出其收购以太币的虚假信息而取得被害人的信任,被害人因此将以太币转入其指定的以太坊钱包,但被告人随即通过将被害人微信拉黑并踢出微信群等手段,导致被害人无法即时对其进行追踪,该手段行为利用了微信作为即时通讯应用程序所具有的远程性、非接触性等技术特点,来实现其即能非法获取以太币又能“隐身”的目的,此效果类似于以上所述的“从他人计算机信息系统中骗取”,属于非法获取计算机信息系统数据罪的“其他技术手段”范畴。本案以“微信所具有的远程性、非接触型的技术特点”与本罪中的“其他技术手段”强行挂钩,实属牵强。按照该逻辑,只要通过微信或其他网络通讯平台获取到计算机信息系统数据,都可以认定为“利用技术手段”,这显然是一种扩大解释。同时,这段裁判说理甚至显得有些欲盖弥彰,先以“其他技术手段”的兜底性为铺垫,后又将利用微信的远程性、非接触型等同于利用“技术手段”,一方面否认其他技术手段必须是网络技术手段,另一方面又解释本案行为也应视为采取了网络技术手段。
笔者认为,本罪的“其他技术手段”应限为“计算机网络技术”。“其他技术手段”固然是本罪行为手段的兜底性规定,但“兜底”是立法者对于立法当时尚未出现的网络技术的兜底,不能将其扩大解读为“其他手段”。案例一中,行为人侵犯的是虚拟财产(以太币),虽不属于法定货币,但可以兑换、具有客观价值和财产属性,可认定为刑法意义上的财物【虚拟货币的财产属性问题,本文不作展开,感兴趣的读者可参考(2021)浙0102刑初479号、(2022)浙01刑终123号案例】。本案中,行为人并没有采取任何网络技术手段,不构成本罪;即便是采取了网络技术手段,也是基于非法占有的侵财性故意,对计算机信息系统数据的侵犯故意是处于次要地位,从主观故意角度和“择一重罪论处”的角度,都应认定为诈骗罪。
“侵入”是否需以“采取技术手段”为前提?
在界定清楚“技术手段”后,下一个问题是,本罪中的“侵入”又是否应以“采取技术手段”为前提?对这一点,理论和实践中均存在争议。从正反立场分别展开来看:
(一)正方立场(技术手段为必备要件)
1、从本罪立法目的和保护法益角度,本罪规定在刑法“妨害社会管理秩序罪”第一节“扰乱公共秩序罪”中,着眼于对网络公共安全秩序的保护,打击的是互联网上各种危害计算机网络数据安全的犯罪行为。若获取数据的行为未对网络安全和秩序造成干扰或损害,则不属于本罪规制的范围。《网络安全法》第76条第2款规定,网络安全是指“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。这一规定表明,危害计算机信息系统网络数据安全的行为,指向的对网络的攻击、侵入、干扰和破坏,危害信息系统数据的完整性、保密性和可用性。由此,如果通过非技术手段,如以数据权利人授权的账号密码登入计算机系统获取到了信息,则没有对网络安全秩序造成损害,没有影响网络的运行状态,未侵犯本罪所保护的法益,不构成本罪。
2、从立法技术来看,“侵入或者采用其他技术手段”,二者在行为属性上应当具有同质性。立法采取的表述是“其他技术手段”,表明“侵入”也应以利用“技术手段”为前提。
3、本罪相关立法释义中指出,本罪中的“侵入”,是指未经授权或者他人同意,通过技术手段进入计算机信息系统。例如通过技术手段突破他人计算机信息系统安全防护设置,进入他人计算机信息系统,入侵他人网站并植入“木马程序”在用户访问该网站时机侵入用户计算机信息系统建立色情、免费软件下载等网站,吸引用户访问并在用户计算机信息系统中植人事先“挂”好的“木马”程序。无论行为人采用何种手法,其实质是违背他人意愿进入他人计算机信息系统。违背他人意愿,包括行为人采用技术手段强行进入如破坏他人计算机安全防护系统进入,也包括未征得他人同意或者授权擅自进入……至于采用网络技术手段以外的其他手段,如进入他人办公室直接实施秘密复制行为的,不属于本款规定的行为。
4、实践中有案例体现了对“技术手段”的要求。【案例二】(2020)沪01刑终519号案件中,被告人沈晓航在某游戏公司任职期间,利用其运营管理权限,通过后台登录游戏玩家账户,为游戏玩家在其各自游戏账户内添加游戏币并从中获利。一审法院判决被告人构成本罪,二审法院改判职务侵占罪。关于是否构成本罪,二审认为,关键在于原审被告人是否系侵入计算机信息系统。“……未经授权或同意,通过技术手段进入计算机信息系统的,应当认定为侵入。根据沈晓航的岗位职责,欢乐互娱公司为沈晓航配发的管理账号有登录游戏后台系统乃至向玩家账户发放游戏币的权限,沈晓航进入后台系统无需上级审批,其未对计算机信息系统实施侵入,亦未采用其他技术手段拦截数据等,综上,其行为不符合非法获取计算机信息系统数据罪的构成要件。”但该案的出罪逻辑,是“未采取技术手段”,还是“未超越授权、其行为在授权范围内”?具体将在下文中探讨。
(二)反方立场(技术手段不是必备要件)
《刑法》第285条所规定的非法侵入计算机信息系统罪,非法获取计算机信息系统数据罪,提供侵入计算机信息系统程序、工具罪,三个罪名均涉及“侵入”。非法侵入计算机信息系统罪相关立法解释中【3】指出,“所谓侵入,是指未取得国家有关主管部门合法授权或批准,通过计算机终端访问国家重要计算机信息系统或者进行数据截收的行为。”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条规定,具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的,应当认定为“专门用于侵入计算机信息系统的程序、工具”。所谓“避开或者突破计算机信息系统安全保护措施”,是指数据权利人、或者说计算机信息系统的控制者,通常会采取设置身份认证、密码验证等措施保护数据安全,未经授权无法进入系统。典型如非法爬虫软件,可以通过规避身份校验、破解加密算法等手段,避开或突破以上安全保护措施得以“侵入”计算机系统。除此之外,实践中常见的还有一类行为,是未经授权的行为人通过盗窃、买卖账号密码等方式,获取到了经过授权的帐户密码从而进入该系统,该行为同样可被视为避开了计算机信息系统的安全保护措施,也就是说,“避开或者突破计算机信息系统安全保护措施”,并不必然依靠网络技术手段才能实现。因此,从体系解释的角度,本罪中的“侵入”,应落脚到有无“授权”,而不受“技术手段”的限制。同时,此处的未经授权,也与“违法国家规定”中所引用的“未经允许”【4】一脉相承(具体将在下文第“五”点中展开)。事实上,自最高人民检察院公布第36号指导案例【案例三,具体见下述】后,实践中诸多案例均采取了这一观点。
(三)反方立场更符合立法趋势
笔者支持反方立场,认为本罪的“侵入”无需以采取技术手段为前提。本罪的“侵入”,是指未经授权或者超越授权进入计算机信息系统的行为。技术性侵入和非技术性侵入(未经或超越授权)均应纳入本罪调整范围,如果行为人在获取数据过程中,未采取“侵入”或“其他技术手段”,而是通过如“进入他人办公室通过u盘拷贝数据”(实质上未进入计算机系统)获取,则不构成本罪。同时,判定是否“未经或超越授权”,尤其对于经授权得以进入、查看系统数据的行为人,需结合数据权利人有无针对数据获取进行相关禁止性规定、有无采取反数据获取的保护措施等,严格审查认定行为人在获取数据时是否符合“未经或超越授权”的主观故意。
关于正方立场的驳斥:第一,从本罪立法目的和保护法益来看,未经或超越授权的获取行为,同样可认定为对网络安全秩序造成了干扰或损害。打个比方,数据权利人所持有的“计算机信息系统”好比一个房子,权利人(公司)授权员工进入系统,相当于公司作为房主,把房屋钥匙给了员工。房主是期待员工共同守护房屋安全秩序,在房主不知情、更未经房主允许的情况下,员工把钥匙给了陌生人,陌生人使用该钥匙进入了房屋,可视为是对房屋安全的干扰。同样是钥匙进门(“未采取技术手段”),但陌生人未经房主授权,可认定为“侵入”。第二,根据全国人大常委会《立法技术规范(试行)(一)》(2009)第13.3条“‘或者’表示一种选择关系,一般只指其所连接的成分中的某一部分”之规定,本罪中的“侵入”与“其他技术手段”为选择关系,这并不代表二者行为需具备同质性,“技术性侵入”“非技术性侵入”“非侵入技术性手段”均可能成为本罪中的数据获取方式。第三,案例二的出罪,是基于无证据证明行为人未经或超越授权,而不是因为其未采取技术手段。
同时,从立法层面,笔者认为,对“侵入”采取“未经授权或超越授权”的实质标准,更加符合本罪设立时所意图保护的法益,但有必要通过司法解释等形式进一步予以明确,以避免实务中可能产生的分歧。
如何界定“获取”?
从技术角度,根据ISO/IEC电子数据取证标准体系ISO/IEC 27037:2012《信息技术-安全技术-电子证据识别.收集.获取和保存指南》中对“获取”(acquisition)的定义:在特定的数据集合中进行数据副本创建的过程(process of creating a copy of data within a defined set)。同时对于该条款的注释亦明确“获取的内容是对于拟获取的数据信息的备份(The product of an acquisition is a potential digital evidence copy)。”根据上述定义,“获取”是对于既有数据的复制行为。从法律角度,参考《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中关于电子数据的收集、提取的取证行为,该取证事实上正是一个“获取”行为。对电子数据的取证,是已经存在的数据的备份、复制(如无法提取可以采取打印、拍照、录像等方式固定电子数据),同时强调需保存原始介质。由此,不管是从技术角度,还是从法律角度,都可将“获取”数据定义为对数据的备份、复制。也就是说,需发生了对数据进行备份、复制的行为才可能认定为本罪,单纯访问、浏览数据的行为,不构成本罪。
如何界定“未经授权”和“超越授权”?
笔者认为,“未经授权”适用于“外部黑客”,即行为人没有被授权访问计算机信息系统及系统内特定数据;“超越授权”适用于“内部黑客”,即行为人被授权访问,但其超越了对数据获取的限制。具体结合实践案例来看:
(一)“未经授权人”通过“被授权人”获取数据的情形
【案例三】(2017)京0108刑初392号案件(最高检第36号指导性案例)中,被告人龚旭因工作需要,获取了某大型互联网公司内部系统的账号、密码、令牌等信息,并有权在工作范围内查看相关数据。龚旭与被告人卫梦龙合谋后,将其获取的内部系统账号、密码、令牌提供给卫梦龙。卫梦龙利用龚旭的账号登录该公司内部系统,下载系统中存储的数据。随后,卫梦龙将非法获取的数据交给薛东东在网上出售牟利。法院认为,非法获取计算机数据罪中的“侵入”,是指违背被害人意愿,非法进入计算机系统的行为,包括采用技术手段突破系统防护进入系统、未经被害人许可擅自进入系统、超出授权范围进入系统等。本案中,龚旭向卫梦龙提供公司账号、密码、令牌等行为,虽然不涉及技术手段侵入,但二人合谋登录公司内部系统获取数据的行为,明显超出了正常的授权范围,因此,使用超出授权范围的账号、密码、令牌登录系统,也构成侵入计算机系统的行为,因此,被告人的行为构成非法获取计算机数据罪。
从内部员工处获取账号、以员工账号登入系统的行为,不涉及“技术手段”,但龚旭、卫梦龙二人均因“超出授权”而获罪。该“超出授权”,具体指向什么行为?如果龚旭并未将帐户提供给卫梦龙,而是通过自行登入帐户获取,是否还构成本罪?该案承办法官在相关文章【5】中指出,“本案被告人龚某与他人勾结擅自登录公司内部管理开发系统下载数据,明显超出所获权限,具体表现在以下方面:第一,被告人龚某违背公司禁止员工出借账号、密码的规定,擅自将账号、密码、token令牌等提供给卫某某使用;第二,被告人龚某虽有权限进入单位账理系统,但并没有权限下载与其正常业务无关的客户信息。”
笔者认为,首先,龚旭提供账户给卫梦龙的行为,无疑是“未经授权”的。龚旭是拥有公司内部系统账号密码信息的人,得到了公司合法授权,但卫梦龙没有。卫梦龙的授权只能来自龚旭,而龚旭并没有权利进行这样的“转授权”,且该行为被公司明令禁止,因此,认定卫梦龙未经授权,没有争议,在此基础上认定龚旭应对此行为承担共同责任,也有一定法理基础。但能否直接以龚旭“没有权限下载”来认定未经或超越授权,笔者认为不能。具体将在下一案例中展开。
(二)被授权人自行获取数据的情形
【案例四】(2017)粤0402刑初1879号一案中,被告人张廷亮在三灶人民医院从事计算机信息管理工作期间,每月都将该医院的计算机信息系统的统方数据提取出来,非法倒卖给被告人黄浩文。法院认为,关于被告人张廷亮辩护人提出被告人张廷亮利用管理员身份获取三灶医院的统方数据是违纪行为不构成非法获取计算机系统数据罪的意见。经查,所谓侵入计算机信息系统,是指未经授权或者超越授权,获得删除、增加、修改或者获取计算机信息系统存储、处理或者传输数据的权限。侵入的本质特征是未经授权或者超越授权。从本案看,被告人张廷亮虽然是三灶医院的信息管理员,其有权限进入计算机信息系统并维护计算机信息系统的安全,但三灶医院同时规定未经批准不得私自下载数据,因此,被告人张廷亮获取三灶医院统方数据的行为属于超越权限非法侵入计算机系统获取数据的行为,构成非法获取计算机信息系统数据罪。
该案中,被告人张廷亮拥有合法权限进入医院计算机信息系统,访问后便自然能获取到数据。法院认为,医院对其的授权仅限于“进入系统(查看)”,但不能“下载”,因此属于“超越权限”。两个问题值得思考:首先,该认定是否合理?“超越权限”中的权限应如何理解?其次,法院认定张廷亮“超越权限”的事实基础,是医院规定未经批准不得私自下载数据。如果没有此类规定,张廷亮是否还构成本罪?医院以给员工分配账号的方式授权员工访问系统,员工得以查看系统信息。医院赋予员工系统账号的目的,是为了员工个人工作需要,如医生需要查看病人过往的开药数据,以给出更准确的治疗方案。但通常而言,医院没有也不可能明令许可员工“下载/获取用药数据”,可以说,对于能否下载数据,医院通常是没有对应规定的。那么,是否只要医院无此类针对获取行为的授权许可,员工获取信息的行为即可认定为“超越授权”?还是说,需在医院明确规定“未经许可不得获取信息”或者“禁止任何员工获取信息”的情况下,员工的获取行为才能认定为“超越授权”?
对于超越授权,实践中存在几种不同理解:第一种观点关注“目的”,认为是指违反数据权利人授权的目的访问特定计算机;第二种观点关注“访问”,违反数据权利人对数据访问的限制,访问了被禁止访问数据的行为(此处的权限应理解为“访问”权限);第三种观点关注“获取”,违反了对数据获取的限制,行为人有权访问但无权获取的情况下获取数据的行为(此处的权限应理解为“获取”权限)。
第一种观点,笔者认为是对“超越授权”的一种扩大解读。回到医院的例子上来说,如果以授权目的来认定是否超越授权,首先,“授权目的”如何理解?行为人作出疑似超越授权的行为前,医院如果没有清晰的授权范围,如何认定行为人违反了这一授权范围?其次,如果医院划定了授权范围如“员工只能基于个人工作需要访问系统”,那么员工如果帮他人查询某病人的数据、或者基于学术科研需要、公益需要提供给了有关团体,这类行为是否都应认定为超越授权?这一判定,实质是让数据权利人通过其制定的条款、规范来确定行为人的刑事责任,将公司与员工的关系变成刑法层面监管与被监管的关系。以授权人的授权目的来判定,会导致以私权利、私人政策的变化,或者说“被害人”一方的主观意志,来决定行为人是否构成犯罪,有违主客观一致的定罪原则,也有违罪刑法定原则。(本罪的构成要件还需“违反国家规定”,但基于现有的法律体系,违反上述私人政策,可能会被直接认定为“违反国家规定”,导致该要件变得可有可无。具体将在下述第“五”点中展开)
第二种观点在美国最高法院在Van Buren v. United States一案中得以体现。美国《计算机欺诈与滥用法》(The Computer Fraud and Abuse Act, 下称“CFAA”)第1030(a)(2)条规定:“任何人……在没有授权的情况下故意访问计算机网络,或超出授权的访问范围,从而获得……美国任何部门或机构的信息;或任何受保护的信息,都违反了CFAA”。第1030(e)(6)条将“超越授权访问”定义为“在获得授权的情况下访问计算机,并利用这种访问获得或改变计算机中访问者无权获得或改变的信息。”2021年6月3日,美国最高法院发布了关于Van Buren v. United States的意见,对“超越授权”进行了解释。该案基本案情为:Van Buren是一名警察,违规在警察数据库中搜索一名妇女的车牌,以确认她是否是一名卧底警察,并以此换取了6000美元的报酬,且其接受过培训,培训明确要求不得将警方数据库用于“任何个人用途”。后其因超越第1030(a)(2)条规定的授权而被指控违反了CFAA。最高法院最终认为,Van Buren利用他可以访问的警方数据库访问他人的个人记录,并不违反CFAA。CFAA的规制范围不包括以不当动机获取其本来就可以获取的数据的人,CFAA确立的是一种“门开或门关标准”(a gates-up-or-down inquiry),计算机系统或系统内特定区域可以访问为“门开”,不可访问为“门关”,而CFAA所要禁止的是以黑客手段侵入保密区域的行为,要违反CFAA关于“未经授权”或“超过授权”访问的禁令,一个人必须绕过其无权绕过的“门”。当一个人在获得授权的情况下访问计算机,其只有访问了属于其访问禁区的特定区域,其才构成“超越授权访问”。例如,如果一个雇员本来可以访问文件夹Y,则其不可能因从文件夹Y中获取数据用于被禁止的目的而违反CFAA,进而构成犯罪;相反,只有一个雇员访问其被禁止访问的文件夹X,才是违反CFAA的行为。同时,美国最高法院还指出,法院指出,政府认为“无权获得”是指一个人不被允许以特定的方式或情况获得信息,如果采用政府的解释,可能会将“每一个违反计算机使用政策的行为”定为犯罪,导致数百万本来守法的公民成为罪犯和CFAA的违法者【6】。笔者认为,该案例中的“超越权限访问”实质是指有权限访问计算机,但无权访问计算机特定区域的数据,针对特定数据的访问、获取行为而言,本质仍是一种“无权访问”。同时可以注意到,该案中的数据权利人明确要求不得将警方数据库用于“任何个人用途”,即对访问、查看数据的目的作了禁止性规定。如果采取前述第一种“是否违反权利人授权的目的”的标准,该案无疑是符合“超越权限”的;采取第三种“有权访问但无权获取”的标准,该案行为人获取、使用了特定数据并以此牟利,也是符合“超越权限”的,而最高法院没有得出这样的结论。也就是说,按美国最高法院对该案的解读,事实上并不存在“超越授权”,只有“未经授权”,或者说,并未区分“访问”和“获取”这两个概念。不管“超越授权”还是“未经授权”,指向的均是无权访问特定数据的行为,只要行为人是在获得访问权限的情况下访问计算机数据,不管数据权利人有无禁止其获取数据,行为人均不违反CFAA。
第三种观点,也是笔者支持的观点。“超越授权”应理解为,超越了对数据获取的限制,超越“访问”权限获取数据的行为。同时,认定超越授权,需以数据权利人明确禁止行为人获取数据(包括发布相关禁止性规定、或采取了反数据获取的保护措施等)为前提。对于内部被授权人可能非法获取、使用数据的问题,数据权利人可以根据特定人员的职责,采取措施对其进行更为精确的、动态的授权,行为人只有避开、突破了已有的禁止性规定或技术保护措施,才构成超越授权。回到案例四来看。如果医院已经授权行为人访问相关数据的同时,并未对数据的下载(获取)或使用采取任何限制措施,应视为对行为人可能发生的下载数据的行为是明知、甚至默许的。此时,医院并无“未经许可不得下载数据”“禁止下载数据”等规定,或者有此类规定但未履行告知义务,致使行为人对此不明知也不可能明知,行为人就不具备“超越授权”的主观故意,不构成“超越授权”。这一结论与案例二的出罪逻辑也是一致的,案例二中,行为人进入后台系统无需上级审批,意味着公司并未采取任何反数据获取的保护措施,裁判文书中也未体现公司的任何禁止性规定,因此,也未认定行为人构成本罪。
同时,这一标准,通过要求数据权利人事先建立必要的数据保护机制,为潜在的违法犯罪行为设定明确的事前预警,在法理层面实现了双重价值:其一,有效消除实务中对行为人主观恶意认定的障碍,防范执法裁量权的滥用;其二,构建起兼顾数据安全和数据开放流通的平衡机制,在充分保障数据权利人合法权益的同时,为互联网时代下的数据保留了必要的开放空间。
(三)通过盗用、猜试账号密码等方式获取数据的情形
【案例五】童某、蔡某某破坏计算机信息系统罪一案【7】中,被告人童某根据被告人蔡某某提供的交通违章信息,在交通警察大队配给其使用的电脑上,采用盗用的他人的用户名、猜试密码(部分工作人员的密码所有协管员都知道,但部分工作人员的密码是利用工作之便偷看并记住其中一部分后,通过猜试的方式得到的)的方式进入道路交通违法信息管理系统,非法处理违章车辆37部、违章诏录770条、应缴纳罚款金额共计人民币80850元。2011年10月,有关部门就违反国家规定,对交警部门计算机信息系统中存储的交通违章信息进行删除,收取违章人员的好处行为的定性问题征求最高人民法院研究室意见。该案审理过程中,关于本案的定性主要有如下几种意见:(1)构成非法侵入计算机信息系统罪;(2)构成非法控制计算机信息系统罪;(3)构成破坏计算机信息系统罪;(4)构成盗窃罪;(5)构成诈骗罪。最高人民法院研究室经研究认为:被告人童某显然实施的是“侵入”计算机信息系统。……司法实践中,一些侵入、破坏计算机信息系统等危害计算机信息系统犯罪案件,往往表现为通过植入木马等黑客手段,具有相当的技术含量。而本案中,童某主要通过多次猜试密码的方式进入道路交通违法信息管理系统,并无过高技术含量。但是,对于行为是否符合犯罪构成要件,不应拘泥于具体形式,应当从规范角度予以评判。本案中,被告人童某虽然系交警大队协管员,但并不具有进入道路交通违法信息管理系统的权限。因此,其通过猜试密码的方式进入该计算机信息系统的行为,从规范意义上无疑属于“侵入”。从规范意义而言,即使被告人童某非法获悉了他人的用户名和密码,从而直接进入计算机信息系统,也属于无权进入,构成“侵入”。
该案中,法院考量的同样是“授权”。行为人基于自身权限无法获取数据的前提下,不管是借用有授权的他人账号获取、还是通过盗窃猜试密码的方式获取,均构成“侵入”。
(四)小结
回到前述“房子与钥匙“的比方来看:三个案件均是“用钥匙进的房屋”,不涉及技术手段,但均因未经或超越授权而获罪。案例三中,员工未经公司授权把钥匙给了他人,“他人”未经授权,二人因未经授权的共同犯罪而获罪;在案例四中,员工超出公司授权把房内物品信息复制给了他人,因超越授权而获罪;在案例五中,行为人偷了员工钥匙进入房间,因未经授权而获罪。“未经授权”,应理解为行为人没有被授权访问计算机信息系统,包括未经授权人通过借用、盗窃、猜试得出被授权人的账号密码访问的行为;“超越授权”,应理解为被授权人违反了对数据获取的限制,避开或突破了数据权利人已有的禁止获取数据的相关规定,或反数据获取的技术保护措施。
“违反国家规定”的界定
(一)“国家规定”的范围
《刑法》分则条文中,有不少罪名以“违反国家规定”为犯罪构成要件之一。如违法发放贷款罪、逃汇罪、虚假广告罪、非法经营罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、破坏计算机信息系统罪等。根据《刑法》第96条【8】、最高人民法院《关于准确理解和适用刑法中“国家规定”的有关问题的通知》(法发[2011]155号)【9】的规定,刑法中的“国家规定”可以总结为:
第一,全国人民代表大会及其常务委员会通过的法律、带有单行法性质的决定,以及以修正案、立法解释等形式对现行法律作出的修改、补充的规定。
第二,国务院制定的行政法规、规定的行政措施、发布的决定和命令。其中,“行政法规”,根据《立法法》《行政法规制定程序条例》相关规定,是指由国务院总理签署并以国务院令的形式公布的规范性文件,具体名称有“条例”“规定”“办法”等。“行政措施”“决定”“命令”,需是由国务院决定,通常以行政法规或者国务院制发文件的形式加以规定。
第三,以国务院办公厅名义制发的、符合一定条件的文件。需符合的条件包括:(1)有明确的法律依据或者同相关行政法规不相抵触;(2)经国务院常务会议讨论通过或者经国务院批准;(3)在国务院公报上公开发布。
第四,刑事审判实践中对有关案件所涉及的“违反国家规定”的认定,需依照相关法律、行政法规及司法解释的规定准确把握,对于违反地方性法规、部门规章的行为,不得认定为“违反国家规定”。对被告人的行为是否“违反国家规定”存在争议的,应当作为法律适用问题,逐级向最高人民法院请示。
由此,对于法条明确规定需符合”违反国家规定”的罪名,有无“违反国家规定”可能成为无罪辩护的突破点。司法实践中即有因不符合”违反国家规定”而出罪的案例,如“李彦生、胡文龙非法经营案”(《刑事审判参考》第1077号)中,法院认为李彦生、胡文龙经营有偿讨债业务,尽管违反了《国家经济贸易委员会、公安部、国家工商行政管理局于2000年6月15日联合发布的《关于取缔各类讨债公司严厉打击非法讨债活动的通知》(国经贸综合【 2000)568号)以及最高人民法院、最高人民检察院、公安部于2013年4月23日联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字【2013】12号),但这些通知从制发主体以及发布形式来看,均不属于前面所列的三类”国家规定“,李彦生、胡文龙行为不构成犯罪。该案件最终以检察院撤回起诉结案。
(二)本罪相关的“国家规定”
从已公开的本罪相关裁判文书来看,对于行为人违反的“国家规定”具体指向何内容,鲜少有案例作了具体说明。关于非法获取计算机数据的行为可能违反的“国家规定”包括但不限于:
1、全国人民代表大会常务委员会 《关于维护互联网安全的决定》( 2000.12.28 发布)【本篇法规被《全国人民代表大会常务委员会关于修改部分法律的决定》(2009)修订】;
2、国务院《中华人民共和国计算机信息系统安全保护条例》(2011.01.08发布);
3、国务院《计算机信息网络国际联网安全保护管理办法》(2011.01.08发布);
4、全国人民代表大会常务委员会主席令《中华人民共和国网络安全法》(2016.11.07 发布);
5、国务院《互联网信息服务管理办法》(2024.12.06 发布)。
上述诸多针对计算机、互联网信息安全的法律法规,从具体内容来看,均是偏原则性的、笼统的规定,类似《网络安全法》第27条“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动”;《计算机信息系统安全保护条例》第7条“任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全”等。这类前置规范所称的“危害计算机信息系统安全”,本身就是本罪需要判定的问题。“什么样的行为危害了计算机信息系统安全”,需要“国家规定”给出进一步的明确指引,否则,“违反国家规定”的这一构成要件,事实上就会变得可有可无。从罪刑法定层面而言,应是a行为违反国家规定,同时符合“侵入”等方式获取数据,才能认定本罪;而不是a行为符合“侵入”,因此属于危害计算机系统安全的行为,也因此符合“违反国家规定”。
当然,也有偏具体性的规定。具体到实践案例的适用,以常见的通过爬虫软件非法获取数据为例,违反的是《计算机信息网络国际联网安全保护管理办法》第6条第1款“未经允许,(任何单位和个人不得)进入计算机信息网络或者使用计算机信息网络资源”的规定。这一规定同样值得思考。此处的“未经允许”,显然指向的并非“国家”或者“公权力”的允许,而是计算机信息系统的控制人或数据权利人的允许。
也就是说,根据该规定,“未经权利人授权”的行为,可以被视为违反该规定、从而视为违反国家规定的行为。那么导致的结果是,这一类偏具体的国家规定,从构成要件的角度来看,同样会变得可有可无。如前篇讨论“侵入”时所指出的,“侵入”的本质在未经授权或超越授权,那么未经授权的行为,在符合“侵入”的同时,也因前述规定而符合“违反国家规定”。这样的认定是否合理?笔者认为,症结点在于,“未经(授权者)允许”的行为,并不当然等同于违反国家规定的行为。此处的“未经允许”,通常可分为两种情形,一种为违反了数据权利人的数据使用许可或者服务协议(如《robots协议》【10】)。另一种为,绕开了权利人采取的反数据获取的安全保护措施,如身份校验、访问频率限制等。权利人的此类“robots协议”,是否必然合法有效?在“北京微梦创科网络技术有限公司与北京字节跳动科技有限公司不正当竞争纠纷”一案中,二审法院认为,“反不正当竞争法不是权益保护法,其对互联网行业的竞争行为进行规制时不应过多考虑静态利益和商业成果,而应立足于竞争手段的正当性和竞争机制的健全性,更应考虑市场竞争的根本目标。对于网站经营者通过robots协议限制其他网站网络机器人抓取的行为,不应作为一种互联网经营模式进行绝对化的合法性判断,而应结合robots协议设置方与被限制方所处的经营领域和经营内容、被限制的网络机器人应用场景、robots协议的设置对其他经营者、消费者以及竞争秩序的影响等多种因素进行综合判断。根据前述分析,本案被诉行为应被认定为行使企业自主经营权的行为,但这并不意味着对于互联网企业所设置的任何robots协议,均能够基于企业自主经营权而当然地认定其具有正当性。”也就是说,这类协议所承载的是数据权利人的单方利益和单方意思表示,一方面,即使不考虑协议本书具备“格式条款”性质进而无效的情形,行为人违反这类协议,首先是一个违约行为,应放在民事领域去解决,而不应直接视作一个非法行为,动用刑法手段予以规制。另一方面,“违反国家规定”之所以成为本罪及其他诸多罪名的构成要件,其背后立法者的考虑,不仅是为了保护数据权利人的利益,更是为了平衡社会利益与国家利益。因此,直接以违反数据权利人的授权协议,来认定“违反国家规定”有失妥当。
总结
第一,本罪的“其他技术手段”应限为“计算机网络技术”。“其他技术手段”固然是本罪行为手段的兜底性规定,但“兜底”是立法者对于立法当时尚未出现的网络技术的兜底,不能将其扩大解读为“其他手段”。第二,本罪的“侵入”是指未经授权或者超越授权进入计算机信息系统的行为。判定是否“未经或超越授权”,尤其对于经授权得以进入、查看系统数据的行为人,需结合数据权利人有无针对数据获取进行相关禁止性规定、有无采取反数据获取的保护措施等,严格审查认定行为人在获取数据时是否符合“未经或超越授权”的主观故意。第三,“获取”数据是指对数据的备份、复制,单纯访问、浏览数据的行为,不构成本罪。第四,“未经授权”是指行为人没有被授权访问计算机信息系统及系统内特定数据,“超越授权”是指行为人被授权访问,但其违反了对数据获取的限制。同时,认定超越授权,需以数据权利人明确禁止行为人获取数据(包括发布相关禁止性规定、或采取了反数据获取的保护措施等)为前提。第五,“违反国家规定”所指向的前置性规范,大多是偏原则性的、笼统的规定,对应内容本身就是本罪需要判定的问题,“什么样的行为危害了计算机信息系统安全”,需要“国家规定”给出进一步的明确指引,否则,“违反国家规定”这一构成要件将会变得可有可无。第六,“违反国家规定”中涉及“未经允许(不得进入计算机信息网络)”的规定,“未经(权利人)允许”的行为,并不当然等同于违反国家规定的行为,不能直接以违反数据权利人的授权协议,来认定“违反国家规定”。
(本文作者:盈科袁晓雨律师 来源:微信公众号 盈科深圳律师事务所)