社会问题法律化 法律问题专业化
专业问题技术化 技术问题细节化
【最高人民法院司法解释】
第二条 具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:
(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;
(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;
(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。
第五条 具有下列情形之一的程序,应当认定为刑法第二百八十六条第三款规定的“计算机病毒等破坏性程序”:
(一)能够通过网络、存储介质、文件等媒介,将自身的部分、全部或者变种进行复制、传播,并破坏计算机系统功能、数据或者应用程序的;
(二)能够在预先设定条件下自动触发,并破坏计算机系统功能、数据或者应用程序的;
(三)其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序。
第十条 对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。
第十一条 本解释所称“计算机信息系统”和“计算机系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。
本解释所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。
本解释所称“经济损失”,包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。
——《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(2011年8月1日,法释〔2011〕19号)
【链接:最高人民法院法官著述】
(二)界定危害计算机信息系统安全犯罪中术语的范围
1.“专门用于侵入、非法控制计算机信息系统的程序、工具”的范围界定
《解释》第2条明确了刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”的具体范围。
本条解释的关键是对刑法第二百八十五条第三款规定的“专门”一词的涵义作出明确。参考立法机关编写的相关论著,刑法第二百八十五条第三款的“专门用于侵入、非法控制计算机信息系统的程序、工具”,“是指行为人所提供的程序、工具只能用于实施非法侵入、非法控制计算机信息系统的用途。”可见,其区别于一般的程序、工具之处在于此类程序、工具专门是用于违法犯罪目的,而不包括那些既可以用于违法犯罪目的又可以用于合法目的的“中性程序”。因此。“专门”是对程序、工具本身的用途非法性的限定,是通过程序、工具本身的用途予以体现的。而程序、工具本身的用途又是由其功能所决定的,如果某款程序、工具在功能设计上就只能用来违法地实施控制、获取数据的行为,则可以称之为“专门工具、程序”。我们认为,从功能设计上可以对“专门用于侵入、非法控制计算机信息系统的程序、工具”作如下限定:
首先,程序、工具本身具有获取计算机信息系统数据,控制计算机信息系统的功能。刑法第二百八十五条第三款的用语是“专门用于侵入、非法控制计算机信息系统的程序、工具”,从字面上看,没有涉及“专门用于非法获取数据的工具”。但是,从刑法规范的逻辑角度而言,刑法第二百八十五条第三款应当是前两款的工具犯。换言之,通过侵入计算机信息系统而非法获取数据的专门性程序、工具也应当纳入“专门用于侵入计算机信息系统的程序、工具”的范畴,这并未超越刑法用语的规范含义。因此,“专门用于侵入、非法控制计算机信息系统的程序、工具”,既包括专门用于侵入、非法控制计算机信息系统的程序、工具,也包括通过侵入计算机信息系统而非法获取数据的专门性程序、工具。顺带需要提及的是,基于同样的理由,刑法第二百八十五条第三款后半句规定的“明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具”,这里的“侵入”既包括非法侵入计算机信息系统行为,也包括通过侵入计算机信息系统而非法获取数据的行为。由于专门用于实施非法侵入计算机信息系统的程序、工具较为少见,而且难以从功能上对其作出界定,对其主要应通过主观设计目的予以判断(即本条第(3)项的规定)。基于上述考虑,这里主要强调了程序、工具本身的获取数据和控制功能。
其次,程序、工具本身具有避开或者突破计算机信息系统安全保护措施的功能。有不少木马程序既可用于合法目的也可用于非法目的,属于“中性程序”,比如Windows系统自带的TerminalService(终端服务)也可以用于远程控制计算机信息系统,很多商用用户运用这种远程控制程序以远程维护计算机信息系统。通常情况下,攻击者使用的木马程序必须故意逃避杀毒程序的查杀、防火墙的控制,故此类木马程序区别于“中性的”商用远程控制程序的主要特征是其具有“避开或者突破计算机信息系统安全保护措施”的特征,如自动停止杀毒软件的功能、自动卸载杀毒软件功能等,在互联网上广泛销售的所谓“免杀”木马程序即属于此种类型的木马程序。因此,本条将“专门用于避开或者突破计算机信息系统安全保护措施”作为界定标准之一。
最后,程序、工具获取数据和控制功能,在设计上即能在未经授权或者超越授权的状态下得以实现。这是专门程序、工具区别于“中性程序、工具”的典型特征,是该类程序违法性的集中体现。例如“网银大盗”程序,其通过键盘记录的方式,监视用户操作,当用户使用个人网上银行进行交易时,该程序会恶意记录用户所使用的账号和密码,记录成功后,程序会将盗取的账号和密码发送给行为人。该程序在功能设计上即可在无需权利人授权的情况下获取其网上银行账号、密码等数据。“中性”程序、工具不具备在未经授权或超越授权的情况下自动获取数据或者控制他人计算机信息系统的功能。
基于上述考虑,本条第(1)、(2)项将具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能或者对计算机信息系统实施控制的功能的程序、工具列为“专门用于侵入、非法控制计算机信息系统的程序、工具”。这两类程序都符合了上述三个要件,明显有别于“中性程序”,能够被认定为“专门性程序、工具”。此外,第(3)项还列出了其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。在黑客攻击破坏活动中还存在很多专门为实施违法犯罪活动而设计的程序、工具,比如攻击者针对某类网吧管理系统的漏洞专门设计的侵入程序,针对某个网络银行系统设计专用的侵入程序,此类程序难以进行详细分类并一一列举,也难以准确地概括其违法性的客观特征。因此,此处规定并不是通过程序的客观特性界定其范围,而是通过设计者的主观动机予以界定,具体哪些程序属于这一范畴应当具体情形具体分析。
2.“计算机病毒等破坏性程序”的范围界定
《解释》第5条明确了刑法第二百八十六条第三款规定的“计算机病毒等破坏性程序”的具体范围。主要涵括了如下三类程序:第(1)项将能够通过网络、存储介质、文件等媒介,将自身的部分、全部或者变种进行自我复制、传播,并破坏计算机系统功能、数据或者应用程序的程序(计算机病毒)纳入计算机病毒等破坏性程序范围。此类程序的危害性主要是其传播方式容易引起大规模传播,而且一经传播即无法控制其传播面,也无法对被侵害的计算机逐一取证确认其危害后果。第(2)项将能够在预先设定条件下自动触发,并破坏计算机系统数据、功能或者应用程序的程序(逻辑炸弹)纳入计算机病毒等破坏性程序的范围。此类程序一旦被触发即可破坏计算机信息系统数据、功能或者应用程序,但在未触发之前仍存在潜在的破坏性。第(3)项将其他专门设计用于破坏计算机系统数据、功能或者应用程序的程序纳入计算机病毒等破坏性程序的范围。
3.“计算机信息系统”和“计算机系统”的范围界定
《解释》第11条第1款对“计算机信息系统”和“计算机系统”的内涵和外延进行了界定。
刑法第二百八十五条、第二百八十六条使用了“计算机信息系统”、“计算机系统”两种表述,其中刑法第二百八十六条第三款有关制作、传播计算机病毒等破坏性程序的条款中使用的是“计算机系统”,其他条款使用的则是“计算机信息系统”。本条对这两种表述作了统一界定,原因如下:一是从技术角度看,这两种表述已无法区分。刑法第二百八十五条、第二百八十六条立法区分这两者的原意是考虑侵入计算机信息系统、破坏计算机信息系统功能、数据或者应用程序的对象应当是数据库、网站等提供信息服务的系统,而传播计算机病毒如果只影响计算机操作系统(计算机系统)本身,即使不对系统上的信息服务造成影响也应当受到处罚。但随着计算机技术的发展,计算机操作系统与提供信息服务的系统已密不可分。如很多操作系统自身也提供WEB(互联网)服务、FTP(文件传输协议)服务,而侵入操作系统也就能够实现对操作系统上提供信息服务的系统实施控制,破坏操作系统的数据或者功能也就能够破坏操作系统上提供信息服务的系统的数据或者功能,从技术角度无法准确划分出提供信息服务的系统和操作系统。二是从保护计算机信息系统安全这一立法目的出发,对这两种表述进行区分没有必要。不论危害的是计算机操作系统还是提供信息服务的系统,只要情节严重或者造成严重后果的,都应当追究刑事责任。三是经对美、德等国的网络犯罪立法进行研究,这些国家均在立法中使用单一的计算机系统、计算机等术语,而未对计算机信息系统和计算机系统做出区分。
本款将“计算机信息系统”和“计算机系统”统一界定为“具备自动处理数据功能的系统”,原因如下:一是具备自动处理数据功能的系统都可能成为被攻击的对象,有必要将其纳入刑法保护范畴。随着信息技术的发展,各类内置有可以编程、安装程序的操作系统的数字化设备广泛应用于各个领域,其本质与传统的计算机系统已没有任何差别。这些设备都可能受到攻击破坏:互联网上销售的专门用于控制手机的木马程序,可以通过无线网络获取手机中的信息;通过蓝牙、WIFI(将电脑、手持设备等终端以无线方式互相连接的技术)等无线网络传播病毒的案件也呈现快速增长态势;在工业控制设备中可能植入破坏性程序,使得工业控制设备在特定条件下运行不正常;在打印机、传真机等设备中可以内置程序非法获取相关数据。总之,任何内置有操作系统的智能化设备都可能成为入侵、破坏和传播计算机病毒的对象,因此应当将这些设备的安全纳入刑法保护范畴。二是本定义借鉴了多个国家有关法律的相关定义。如美国将计算机定义为“具备自动处理数据的功能的一个或者一组设备”,欧盟网络犯罪公约将计算机定义为“由软件和硬件构成的用于自动处理数据的设备”,其出发点都是将保护计算机信息系统安全的法律适用于所有具有自动处理数据功能的设备。
为使相关界定更加明确,方便司法实践适用,本款采用了概括加例举的解释方法,即在对“计算机信息系统”、“计算机系统”作归纳定义的同时,还例举“计算机”、“网络设备”、“通信设备”、“自动化控制设备”等具体情形。其中,网络设备是指路由器、交换机等组成的用于连接网络的设备;通信设备包括手机、通信基站等用于提供通信服务的设备;自动化控制设备是指在工业中用于实施自动化控制的设备,如电力系统中的监测设备、制造业中的流水线控制设备等。
4.“身份认证信息”的范围界定
由于《解释》多处涉及“身份认证信息”这一术语,第11条第2款明确了“身份认证信息”的内涵和外延。考虑到司法实践的具体情形,采用了概括加例举的方法,将“身份认证信息”界定为用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。从实践来看,数字签名、生物特征等都属于身份认证信息。
5.“经济损失”的范围界定
《解释》第11条第3款明确了“经济损失”的计算范围,具体包括危害计算机信息系统犯罪行为给用户造成的直接经济损失,以及用户为恢复数据、功能而支出的必要费用。需要注意的是,破坏计算机信息系统功能、数据给用户带来的预期利益的损失不能纳入“经济损失”的计算范围。
6.危害计算机信息系统安全犯罪案件的检验问题
考虑到危害计算机信息系统安全犯罪案件的司法认定专业性强,为确保相关案件依法得到稳妥、正确处理,《解释》第10条专门规定对于是否属于“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)第6条规定:“公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。”因此,对于相关情形难以确定的,应当根据案件具体涉及的领域,从省级以上的公安部门、国家安全部门、保密部门或者其他有关部门中选取确定检验部门。从实践来看,进行检验的部门主要应当是省级以上公安机关。
——喻海松:《〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉的理解与适用》,载《人民司法·应用》2011年第19期。
来源:《最高人民法院司法观点集成(新编版)·刑事卷IV》1745页
观点编号875