内容详情
柳锦目律师团队
Tel:13952031715
超越授权范围使用账号密码登陆是否属于侵入计算机信息系统?
公司将系统账号密码交给员工使用,员工未经公司许可,私下将账号密码交给第三人使用,第三人用账号密码登陆公司系统的行为是否构成侵入计算机信息系统?登陆后获取数据的行为是否构成非法获取计算机信息系统数据罪?
来源:原创 | 作者:柳锦目 | 发布时间: 2022-01-26 | 649 次浏览 | 分享到:

——兼评最高检第36号指导案例

专业文章,请根据需要选择阅读,谢谢。

问题模型:公司将系统账号密码交给员工使用,员工未经公司许可,私下将账号密码交给第三人使用,第三人用账号密码登录公司系统的行为是否构成侵入计算机信息系统?登录后获取数据的行为是否构成非法获取计算机信息系统数据罪?(为节省时间可忽略案例直接看问题模型)

相关案例:最高检第36号指导案例-卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案

基本案情:被告人卫梦龙曾于2012年至2014年在北京某大型网络公司工作,被告人龚旭供职于该大型网络公司运营规划管理部,两人原系同事。被告人薛东东系卫梦龙商业合作伙伴。因工作需要,龚旭拥有登录该大型网络公司内部管理开发系统的账号、密码、Toke令牌(计算机身份认证令牌),具有查看工作范围内相关数据信息的权限。但该大型网络公司禁止员工私自在内部管理开发系统查看、下载非工作范围内的电子数据信息。2016年6月至9月,经事先合谋,龚旭向卫梦龙提供自己所掌握的该大型网络公司内部管理开发系统账号、密码、Toke令牌。卫梦龙利用龚旭提供的账号、密码、Toke令牌,违反规定多次在异地登录该大型网络公司内部管理开发系统,查询、下载该计算机信息系统中储存的电子数据。后卫梦龙将非法获取的电子数据交由薛东东通过互联网出售牟利,违法所得共计37000元。

司法观点:

1.超出授权范围使用账号、密码登录计算机信息系统,属于侵入计算机信息系统的行为;侵入计算机信息系统后下载其储存的数据,可以认定为非法获取计算机信息系统数据。

2.非法获取计算机信息系统数据罪中的侵入,是指违背被害人意愿、非法进入计算机信息系统的行为。其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。

3.本案中,被告人龚旭将自己因工作需要掌握的本公司账号、密码、Toke令牌等交由卫梦龙登录该公司管理开发系统获取数据,虽不属于通过技术手段侵入计算机信息系统,但内外勾结擅自登录公司内部管理开发系统下载数据,明显超出正常授权范围。超出授权范围使用账号、密码、Toke令牌登录系统,也属于侵入计算机信息系统的行为。

作者观点:该案例考量了登录行为授权的瑕疵性(违背了系统所有人的意愿),登录和获取数据行为的不当性,被获取数据的私密性。并考虑到数据财产价值认定较为困难,以侵犯商业秘密罪入罪金额要求较高等因素,最后定非法获取计算机信息系统数据罪,具有一定的合理性。但作者认为该案例中司法观点对于超越授权的理解没有结合计算机网络犯罪的技术特点和行业的客观实际,并且案例将刑法规定的侵入的方式扩张解释为包括非技术手段也是明显不符合刑法的立法本意的。同时会导致司法实践中将非法获取计算机信息系统数据同时又构成其他犯罪的行为一边倒地简单归为非法获取计算机信息系统数据罪,而不再考虑刑法保护法益、罪名犯罪构成、个人法益优先的法益保护位阶等因素。同时,还可能造成被害人认定错误和真正的被害人诉讼权利受阻的困境,这些都使得非法获取计算机信息系统数据罪正在慢慢成为互联网时代新的“口袋罪”。

一、非法获取计算机信息系统数据罪的犯罪构成

【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

入罪条件:

1.违反国家规定。

2.侵入(三类以外)计算机信息系统或者采用其他技术手段。

3.获取该计算机信息系统中存储、处理或者传输的数据。

4.情节严重。

其中获取数据是客观行为,这个行为要构成非法获取计算机信息系统数据罪是有前提的,条件1和2就是对这个获取行为入罪前提。

(一)关于违反国家规定。目前多数有罪判决的法院认为部分都引用了《计算机信息系统安全保护条例》第七条的规定,(如卫梦龙、薛东东等非法获取计算机信息系统数据、非法控制计算机信息系统案一审刑事判决书载明:本院认为,根据《计算机信息系统安全保护条例》第七条规定“任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全”, 被告人薛东东所实施的行为违反了前述规定,侵犯了非法获取计算机信息系统数据罪保护的客体。——(2017)京0108刑初392号)。但是,该条规定是规制利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,以及从事危害计算机信息系统的安全行为的。与本案例所涉及的未经信息系统所有人同意,超越授权利用账号密码登录计算机信息系统是否构成侵入是完全没有关联的。关于本罪违反国家规定的范围,根据 刑法 第 九十六条 的规定,“国家规定”仅限于全国人大及其常委会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。而刑法修正案(九)将原第二百五十三条之一的“违反国家规定”修改为“违反国家有关规定”,后者的范围明显更广。“国家有关规定”还包括部门规章,这些规定散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。而刑法修正案(九)仅对侵犯公民个人信息罪的“国家规定”修改为“违反国家有关规定”,可见计算机信息系统安全类犯罪的国家规定不能扩大理解为包含部门规章。而对于未经授权或超越授权获取计算机信息系统数据的法律规定,只有两个司法解释,下文将详述。

(二)关于侵入计算机信息系统或者采用其他技术手段。这个条件是判断获取数据行为是否构成非法获取计算机信息系统数据罪的关键,这里通过一个或者,将侵入和采用其他技术手段作为两个并列的情况进行表述,但对于其他手段还是用了“技术”两个字加以限定,这里说明这里的其他手段必须是和侵入程度相当的技术手段。如果扩大解释为非技术手段,那就突破了刑法的立法本意,而且也会涉及到一个保护法益错误的问题。

二、司法解释对于“未经授权或超越授权获取计算机信息系统数据”的相关规定

目前对于“未经授权或超越授权获取计算机信息系统数据”的相关法律规定,只有两个司法解释:

1. 《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》

第二条  具有下列情形之一的程序、工具,应当认定为 刑法 第 二百八十五条 第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:

(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;

(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;

……

这个条款是关于认定“专门用于侵入、非法控制计算机信息系统的程序、工具”的,其中“具有避开或者突破计算机信息系统安全保护措施”和“未经授权或者超越授权”是对获取计算机信息系统数据的两个前提条件限定,而且这两个条件是表述为递进式的,其本质是要求获取数据的这个未经授权或者超越授权的行为是具有“具有避开或者突破计算机信息系统安全保护措施”的技术性功能的,这与使用账号密码登录的非技术侵入型是有根本区别的。

2. 最高人民法院 最高人民检察院《关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释(三)》

第三条 采取非法复制、未经授权或者超越授权使用计算机信息系统等方式窃取商业秘密的,应当认定为刑法第二百一十九条第一款第一项规定的“盗窃”。

以贿赂、欺诈、电子侵入等方式获取权利人的商业秘密的,应当认定为刑法第二百一十九条第一款第一项规定的“其他不正当手段”。

这个条款实际上是规定了未经授权或者超越授权使用计算机信息系统的行为在获取的数据具有商业秘密属性时,构成侵犯商业秘密罪。而对于“盗窃”的认定正说明了刑法上把这种未经授权的行为评价为其他类型(此处为侵犯商业秘密)犯罪的手段。即使手段违法,依据第二百八十七条  【利用计算机实施犯罪的提示性规定】利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。应当构成侵犯商业秘密罪。

三、法益考量

侵入计算机信息系统罪和非法获取计算机信息系统数据罪作为刑法第285条规定在刑法分则第六章妨害社会管理秩序罪,保护的是网络安全这个公共法益,保护的是数据的私密性而不是数据本身所承载的财产性权益,虽然计算机信息系统网络安全包含了数据的安全,但这个安全的概念没有超出系统安全防护定义,所以这两个罪名考量的是行为人有没有侵害计算机信息系统安全,非法获取数据行为考量的也是计算机信息系统安全意义上的数据安全,而不是数据作为财产性权益的获取手段上的授权的瑕疵。

所以,如果仅仅是未经授权将账号密码转交第三人使用,第三人采用账号密码正常登录,并未有任何技术手段绕开或突破计算机信息系统技术防护措施,没有危害计算机信息系统安全,是不构成计算机信息系统安全类犯罪。现实中,考虑到所获取数据的不同情况,即所谓的获取数据行为所针对目标的非法性,则有可能构成侵犯公民个人信息罪、侵犯著作权罪、财产型犯罪等,这里评价的也是数据本身所反映的被刑法保护的财产性法益。

四、计算机网络安全意义上对“授权”的理解

什么是授权?在计算机信息系统中,授权的本质就是“限权”,具体表现为利用技术安全保护措施,对访问权限进行限制,这是信息自由流动原则和信息系统安全平衡的一个产物。比如试用期就是对时间的限制,用户账号和管理员账号区分是对管理权限的限制,身份令牌和生物特征识别是对身份的授权限制,账号密码就属于秘钥授权,这是最常用的一种通用性授权,其特点就是所有授权集于秘钥,不作其他验证。

基于此,我们从刑法上解释授权概念以及认定一个行为是否属于计算机犯罪意义上的侵入,都不能抛开技术手段这个前提。因为不论哪种授权类型,背后对应的都是某种技术安全防护措施。是否属于侵入,不能光从生活场景的语义去理解,不能仅仅用民事的授权概念来理解,而要看有没有绕开或突破计算机信息系统的技术安全防护措施,从而判定有无侵害计算机信息系统的网络安全这个被刑法保护的法益。所以我们评价一个超越授权的行为是否属于计算机信息系统安全意义上的侵入,一定要具体结合这个信息系统对访问采取的是那种具体授权验证方式,比如,一个信息系统如果只对访问行为进行账号密码的授权验证,而没有对实际使用者的真实身份进行验证(比如指纹、虹膜、人脸识别或者特殊的身份令牌等),那么任何使用账号密码验证登录的行为都被计算机信息系统视为合法的授权登录,至于实际使用者以什么方式获得的账号密码,则不是计算机信息系统安全类犯罪评价的因素,可能涉及民事法律关于账号使用约定的违约,也可能因为所获取数据是否具有财产属性以及密码获取手段的不法性而可能构成财产性犯罪,但都不构成非法获取计算机信息系统数据罪。这个道理很容易理解,如果用民事上的授权概念来扩张解释计算机信息系统安全类犯罪,那打击范围会不当扩大,比如我们当下流行的微信,QQ等社交媒体账号,几乎都清一色的在网络服务协议中约定,本账号仅限本人使用,不得买卖、转让或授权第三方使用。那么问题来了,使用别人的微信账号即使经过本人授权也不行,因为腾讯公司并没有授权,这就成了超越授权的行为,就会被认定为侵入计算机信息系统,这显然是荒谬的。法律不强人所难,我们不能以一个计算机信息系统本身没有进行验证的授权条件去要求用户,并以此认定用户的行为具有不法性。

显然,我们要将一个使用他人账号密码的行为评价为计算机犯罪意义上的侵入是有前提条件的,必须是该计算机信息系统有对使用者进行身份认证的技术防护措施,并对实际使用者进行身份认证的情况下,使用者利用账号密码,并利用技术手段绕开或突破身份认证措施,才构成侵入。这里需要注意的是,关于身份认证的措施同样必须是技术措施,如果是人工的身份识别,则可能构成诈骗罪(比如有的身份认证时用看门大爷来人工识别的就不属于技术措施,冒充身份欺骗的是看门大爷)。另外,如果这个身份认证的技术措施如果是独立于登录的计算机信息系统之外,则同样不构成对所登录计算机信息系统的侵入,只单独构成对这个独立的身份认证技术措施所述的计算机信息系统的侵入。(相关案例:曾上仕、熊长琼犯受贿罪杨茁、陈鹏华犯受贿罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪(2014)闽刑终字第253号)

所以,在本质上,任何的计算机网络犯罪领域的侵入始终绕不开技术手段。

在大量办理这类案件的过程中,我有个很深的体会:控辩双方的逻辑出发点之间有个很难跨越的鸿沟。

最后,将我在办理一起类似案件中与办案警官表达的话作为文章的结尾。

辩护人:X警官,你今天反复多次提到一句话,你说短短两个多月卖了两百多万,这肯定不能不追究。回来的路上我一直在琢磨这句话,我觉得从今天我们的沟通来看,专业上已经没有太大分歧,但是要说有罪无罪的分歧,我感觉就反应在这句话里。你看是不是这么个道理:明明不是你的数据,你凭啥弄过来卖了两百多万?这肯定不对,这肯定有问题。就是你凭啥把别人的数据卖了两百多万,而且又定不了非法经营。但是我觉得,我们既然从刑法层面考量这个问题,就不应该考虑凭啥卖两百多万,而应该考虑这两百多万是谁的损失?挣两百多万侵害了谁的利益,这种利益是不是刑法保护的法益?我想这应该就是当前出罪还是入罪的分歧点。把别人的东西弄过来卖了钱,这种行为肯定要受到法律的规制,但不一定是刑法。