本文通过对非法获取计算机信息系统数据罪的深入分析,希望能够正确认识该罪名及其各种表现形式,防范和阻止计算机犯罪行为,推动该类立法进步,为计算机网络信息技术在我国健康发展,创造安全的外部环境。
第一章 非法获取计算机信息系统数据罪概述
第一节 非法获取计算机信息系统数据罪的概念及其特征
“非法获取计算机信息系统数据罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机系统中存储、处理或者传输的数据,情节严重的行为。”
与其它犯罪比较,非法获取计算机信息系统数据罪,有以下几个方面的特征:
一、本罪的行为对象是刑法第 285 条第 1 款规定的计算机信息系统以外的普通计算机信息系统中存储、处理或者运输的数据,计算机信息系统中存储的数据,是指用户在计算机信息系统的硬盘或者其他存储介质中保存的信息。处理的数据,是指他人计算机信息系统正在运行中的信息。传输的数据,是指他人计算机信息系统各设备、设施之间或者与其他计算机信息系统之间正在进行交换、输送、传送的信息。
二、本罪的行为方式是两种:(一)侵入计算机信息系统获取数据。即未经他人同意,采取破解密码等技术手段,突破、穿越、绕过或者解除特定计算机信息系统的安全防护体系,擅自进入该系统。(二)采用其他技术手段获取数据。如对数据的物理性拷贝和复制,设立假冒网站,欺骗用户输入账号、密码等信息获取计算机信息系统数据。
三、构成本罪要求情节严重。根据最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(2011 年 8 月 1日)第 1 条的规定,具有下列情形之一的,应当认定为情节严重:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息 10 组以上的。(二)获取第 1 项以外的身份认证信息 500 组以上的。(三)非法控制计算机信息系统20 台以上的。(四)违法所得 5000 元以上或者造成经济损失 1 万元以上的。(五)其他情节严重的情形。”①
........................
第二节 国外关于惩治非法获取计算机信息系统数据的刑事立法
一、美国《非法侵入和计算机欺诈、滥用法》
美国作为一个互联网大国,计算机的使用和普及程度都居于世界前列,在计算机信息网络给给美国人民带来方便、快捷、高效的工作和生活同时,与此相关的计算机信息网络犯罪也应运而生,优质的互联网服务条件为美国的网络犯罪提供了必要的基础平台,世界上首例网络信息犯罪案件就发生在美国的高科技聚集地硅谷,这起犯罪案件的发生,引起美国政府的高度重视,成为推动美国刑事立法和司法工作的加速器,也使美国在计算机信息网络犯罪领域有了提前的发展。
《非法侵入和计算机欺诈、滥用法》(the counterfeit access device andcomputer fraud and abuse act)是美国国会于 1984 年 10 月 12 日通过的一部关于计算机信息网络犯罪的法律,其主要目的是保护金融机构、医疗部门及其联邦政府的计算机信息系统不受非法侵害,禁止未经用户授权而非法侵入和获取相关部门和机构的金融信息、货币信息,医疗部门的治疗数据以及关于国家安全、领土安全等的信息数据,而非法买卖、传输由美国政府使用或为政府等公共安全部门服务的计算机密码、网络令牌等行为,也在法律规定的禁止行列,并且这种行为必须有主观故意,才能被追究刑事责任,该法被认为是惩治黑客攻击计算机网络犯罪的里程碑,同时也是最常在司法实践中被广泛适用的一部联邦法律。
进入二十一世纪以后,网络技术、计算机信息应用有了新的发展,为了顺应时代的发展,1996 年 7 月《非法侵入和计算机欺诈、滥用法》被再次修订,法律规定:故意非法入侵连接互联网的计算机信息网络系统,并且没有经过电脑用户的批准或者授权,获取受保护,设定访问限制以及业已分类的网络数据,或者预谋这样行为的,就应当受到法律的刑事追究,以上所说的网络数据主要包括:国家和国防安全数据文件、法律法规数据和文件、医疗保障数据、信用卡数据信息、金融服务信息,以及其它的以网络数据形式存载于政府或者个人电脑上的需要保密的数据信息,构成犯罪需要符合法律规定的以下三个条件:一是未经用户授权而非法进入他人计算机信息系统。二是得到了网络数据。三是行为人必须是故意。如果网络数据被转移,并且据为己有,则属于盗窃,如果是为了获得非法利益而转移他人网络信息数据估价超过 5000 美元的,将会从重处罚,最高可以限制人身自由 15 年。①修订后的法律条文包括了个人网络信息和数据安全,范围更广,该法最新于 2008 年修订,并且对于本罪的量刑和定罪做了进一步的完善。②
...........................
第二章 非法获取计算机信息系统数据罪的行为分析
第一节 实行行为的违法性:“违反国家规定”
相关的计算机网络信息犯罪的刑罚条文中都有“违反国家规定”这样的表述,我国刑法的具体规定,违反国家规定是指,是指违反国务院制定的行政法规、行政措施以及发布的命令和决定,当然在更高层级上,也违反了全国人大及其常委会出台的决定和法律。而结合《刑法典》第 285 条第 2 款的规定,考虑该犯罪发生的特殊领域,笔者认为,国家规定并不是国家颁布的法律法规的所有规定,而是仅指与计算机互联网信息网络系统为对象进行保护的相关的法律法规。例如:“全国人民代表大会常务委员会通过的《维护互联网的决定》、国务院发布的《计算机信息系统安全保护条例》等。”
在这里笔者认为需要讨论的问题主要有两个:
(一)国务院发布的有关规定是否包括国务院有关部门发布的规章。笔者认为,国务院有关部门发布的规章不属于行政法规。但是,计算机信息系统以及互联网的安全管理是比较复杂和专业的领域,国务院不可能对此领域发布如此详细和具体的管理规定,这又属于有关主管部门(如信息产业部、公安部等)的管理领域,因此这些部门会发布有关安全管理的规章,如果否认这些规章属于这里的“国家规定”,那么,就可能给违法犯罪分子,留下法律漏洞。因此,关于计算机互联网信息网络系统安全管理,保护的规章是由国务院相关业务部门所颁布的也可以扩大解释到国家规定的范围内,而且,在实际工作中,国务院对有关部门在此方面发布的重要管理规章还会予以批准,如《计算机信息网络国际联网安全保护管理办法》就是经国务院批准,而由公安部发布的。
.............................
第二节 侵入行为
所谓侵入计算机信息系统:是指未经计算机用户批准或授权,超出用户所授权限,删除、修改、复制互联网计算机信息网络系统中所储存或者传输的电子网络数据权限。行为人利用非法手段入侵用户计算机网络信息系统,应当把握以下几点:
一、侵入的本质特征是未经用户批准、授权或者超出用户授权范围,而对用户计算机网络信息系统中储存、传输的数据非法删除、修改或者复制获取的权限是否具有违法性,能否称为“侵入”,关键就在于是否获得授权。如果没有获得用户授权,而对计算机用户的网络信息进行篡改、复制或者获取的权限,则属于“侵入”。
二、侵入的后果是获得操作权限。侵入是指未经用户批准、授权或者超出用户授权范围,非法获取篡改、复制或者窃取用户互联网计算机信息网络系统中储存、传输电子网络数据的权限,也可以是通过对数据的赠、删、改,进而执行计算机信息系统的特定功能或者对功能进行增、删、改。需要注意的是,这里的操作权限并不限于全部权限,还应当包括部分权限,也就是说,侵入行为在很多的时候并不能获得对全部数据的增、删、改权限,只是获得对部分数据的增、删、改权限,但这并不妨碍将其认定为“侵入”。
三、超越授权的具体情形。从司法实践来看,对于超越授权的情形,要注意把握以下几点:其一,通过不同的计算机操作方式和技术改进,私自提高授权范围,窃取网络信息系统中,用户传输、储存的电子数据信息更高的增、删、改权限的,属于超越授权,应当认定为侵入。例如:在网络攻击中,很多攻击方法属于“提高权限”的攻击方法,亦及通过合法渠道获得某个系统的一般权限后,利用系统的漏洞将自己的权限提升到管理员的权限以获得对系统的控制权。其二,违反授权的权限范围或者时间范围,获取用户的网络信息,并进行删除、增减或修改的,属于法律所规定的超越授权,可以认定为侵入。例如:有的公司雇员在辞职后,仍然使用在原公司拥有的登录权限获取原公司计算机中存储的数据,即属于违反授权的时间范围超越授权进行访问。
................................
第三章 非法获取计算机信息系统数据罪的对象分析..........................18
第一节“计算机信息系统”和“计算机系统”..........................18
第二节 身份认证信息..............................20
第四章 非法获取计算机信息系统数据罪主体的分析..........................22
第一节 犯罪主体的刑事责任年龄是否应该降低.......................22
第二节 单位是否应该成为该罪的犯罪主体..............................27
第五章 对非法获取计算机信息系统数据罪的建议.........................31
第一节 建立经济损失的评估标准.......................31
第二节 增设资格刑........................34
第五章 对非法获取计算机信息系统数据罪的建议
第一节 建立经济损失的评估标准
通过上文的分析可知,非法获取计算机信息系统数据罪所侵犯的犯罪对象是计算机信息系统中所存储的电子数据,那么,这些电子数据的价值如何评判,如何能转化为可实际操控和评估的实际损失,就是一个值得研究的问题,因为电子数据价值评估的结果,直接与实际经济损失想联系,而犯罪行为造成的实际经济损失,将会直接影响到对犯罪嫌疑人的定罪量刑,因此,对于怎样科学评估犯罪行为所造成的实际经济损失,就是一个急需解决的重要问题,而在现实生活中,对于非法窃取计算机信息系统数据所造成的经济损失的评估标准就有了不同的观点和看法,如果同案不同判,或者相同的经济损失标准,定罪量刑却出现了很大的差别,就有可能影响到刑法的权威性和严肃性,因此,建立一套系统的经济损失评估标准,使司法机关在办理案件过程中有法可依,有章可循就显得尤为重要。
具体到全国各地的情况来看,怎样评估被非法获取的电子数据的实际价值,存在着不同的标准和做法,以下通过实际发生的案例来说明情况:在广东省广州市发生的一起计算机互联网非法获取电子数据案中,犯罪嫌疑人李某是一名在校的大学生,在玩电脑游戏的过程中,由于需要大量的虚拟游戏币,而自己又不想花钱充值去购买,就通过非法手段,利用自己所掌握的互联网技术,侵入其他电脑用户计算机系统,获取他人的虚拟游戏币 36000 元,用于自己打电脑游戏换新的装备,案发后,在对实际的经济损失进行评估时,是按照广州市物价局价格认证中心所出具的价格鉴定结论书,对虚拟游戏币 36000 元按照实际充值的人民币价格对其认定,最后得出的结论是:经济损失的实际价值是 61000 元,人民法院最终依据这个价格鉴定结论书,认定李某所造成的危害结果特别严重,①进而认定其构成非法获取计算机信息系统数据罪,对李某依法进行定罪量刑,判处其有期徒刑三年,并处罚金 25000 元。②
.........................
结语
计算机、互联网、大数据等信息网络科学技术的发展正在深刻的影响和改变着人类社会生活的方方面面,这一趋势还将不断的深入和强化,颠覆人类对网络技术和计算机的构想和认知,随着互联网技术和信息技术的快速发展,计算机信息网络犯罪也呈持续增长,不断上升之势,为了有效打击危害计算机网络安全犯罪活动,立法部门和司法部门也不断通过各种法律手段,打击网络犯罪,提高人们对计算机网络犯罪的认识和防范,本文通过对非法获取计算机信息系统数据罪的深入分析,希望能够正确认识该罪名及其各种表现形式,防范和阻止计算机犯罪行为,推动该类立法进步,为计算机网络信息技术在我国健康发展,创造安全的外部环境。
参考文献(略)