1、精心整理“非法獲取計算機信息系統(tǒng)數據罪”涉及的若干認定標準中華人民共和國刑法第285條包含三種計算機犯罪類型，其中第二款規(guī)定的情形為“非法 獲取計算機信息系統(tǒng)數據罪”，該罪名是2009年刑法修正案補充的罪名。由于刑法規(guī)定過于籠統(tǒng)， 為對該罪名進行準確的定罪量刑，2011年，最高院又頒布了關于辦理危害計算機信息系統(tǒng)安全 刑事案件應用法律若干問題的解釋，對該罪名適用進行了更加詳細的規(guī)定。本文試結合司法解釋 的規(guī)定和司法實踐對該罪名的構成及認定標準進行探討。一、非法獲取計算機信息系統(tǒng)數據罪的構成要件刑法第285條規(guī)定：違反國家規(guī)定，侵入國家事務、國防建設、尖端科學技術領域的計算 機信息系統(tǒng)的，處三年

2、以下有期徒刑或者拘役。違反國家規(guī)定，侵入前款規(guī)定以外的計算機信息系 統(tǒng)或者采用其他技術手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸的數據，或者對該計算機 信息系統(tǒng)實施非法控制，情節(jié)嚴重的， 處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特 別嚴重的，處三年以上七年以下有期徒刑，并處罰金。根據上述規(guī)定，“非法獲取計算機信息系統(tǒng)數據罪”應當具備以下構成要件：I1、行為人為自然人，單位不構成本罪；2、行為人的行為違反了國家規(guī)定；3、行為人非法侵入進入計算機系統(tǒng)或類似侵入的其他技術手段；4、行為人獲取了系統(tǒng)中的數據；5、行為達到了“情節(jié)嚴重”的標準。對于“情節(jié)嚴重”的標準，根據關于辦理危害計算機

3、信息系統(tǒng)安全刑事案件應用法律若干問 題的解釋第一條的規(guī)定：非法獲取計算機信息系統(tǒng)數據或者非法控制計算機信息系統(tǒng)，具有下列情形之一的，涉嫌非法侵入計算機信息系統(tǒng)罪：（一）獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上的；（二）獲取第（一）項以外的身份認證信息五百組以上的；（三）非法控制計算機信息系統(tǒng)二十臺以上的；（四）違法所得五千元以上或者造成經濟損失一萬元以上的；（五）其他情節(jié)嚴重的情形。實施前款規(guī)定行為，具有下列情形之一的，應當認定為非法侵入計算機信息系統(tǒng)罪規(guī)定的 “情 節(jié)特別嚴重”：（一）數量或者數額達到前款第（一）項至第（四）項規(guī)定標準五倍以上的；（二）其他情節(jié)特別

4、嚴重的情形。二、單位是否適用本罪根據刑法第30條的規(guī)定：公司、企業(yè)、事業(yè)單位、機關、團地事實的危害社會的行為， 法律規(guī)定為單位犯罪的，應當負刑事責任。由于刑法第285條并未將單位列為本罪的犯罪主體， 因 此，本條罪名的主體只能是具有刑事責任能力的自然人。但是，筆者在經辦此類案件的過程中，發(fā)現如果不將單位列為犯罪主體，將無法有效的進行案 件的偵辦以及定罪量刑，并與刑法的罪刑一致的原則相違背。首先，目前公布的部分案件屬于單位以經營為目的， 獲取第三方公司計算機系統(tǒng)的數據并加以 利用，由于單位犯罪主體，導致偵查機關不合理擴大犯罪嫌疑人的范圍。在江蘇公安局辦理的最新 一起案例中，某科技公司為獲取4S店

5、維修保養(yǎng)記錄，侵入了汽車4S店計算機系統(tǒng)并獲取汽車維修 保養(yǎng)數據，在整個行為過程中，科技公司員工系接受單位的指派， 在其職責范圍之內參與數據獲取 及加工、交易，屬于履行勞動義務的行為，其本身并無犯罪故意。但是公安機關在偵辦案件過程中， 因不能對單位立案并為了防止犯罪嫌疑人遺漏，不合理的擴大范圍，對該單位幾乎所有員工均立案、I /偵查并采取刑事強制措施。_ 匚*_| 1/；刑法不將單位列為本罪的主體，不僅導致實施該行為的單位逃脫處罰， 并且將擴大打擊面，對 本來只是接受單位指令履行工作職責的員工列入打擊范圍。其次，在單位實施上述行為過程中，接受委派的自然人并未獲取數據，也未取得違法所得，在單位內

6、部員工分工不同的情況下，司法機關如何對不同的自然人認定數據數量和違法所得也將面臨 困難和爭議。從目前我們所經辦的案件來看，公安機關為了形成完整的證據鏈，往往以“共同犯罪”的名義， 將參與案件的技術人員、管理人員等均認定為直接責任人，而對各自然人之間是否具備共同犯意缺 乏考量。為此，我們建議將單位列為本案的主體。二、“國家規(guī)定”的范圍認定刑法條文中對于類似“違反國家規(guī)定”的表述有兩種：“違反國家規(guī)定”和“違反國家相關規(guī)定”；后者只在侵犯公民個人信息犯罪條文中出現，其他罪名均采用的是“違反國家規(guī)定”的表述。根據2011年最高人民法院發(fā)布的關于準確理解和適用刑法中“國家規(guī)定”的有關問題通知的規(guī)定，本

7、條罪名所指的“國家規(guī)定”包括：1、全國人大及其常委會所發(fā)布的法律、決定；2、國務院制定的行政法規(guī)；3、國務院規(guī)定的行政措施、發(fā)布的命令和決定；4、國務院辦公廳名義制發(fā)的文件，符合下列條件的：有明確的法律依據或者同相關行政法規(guī)不相抵觸；經國務院常務會議討論通過或者經國務院批準；在國務院公報上公開發(fā)布其中第三項系憲法規(guī)定的國務院的職權范圍，其發(fā)布行政措施、決定、命令只是國務 院履行行政管理職能的方式，其內容一般仍然為發(fā)布行政法規(guī)或文件。以上規(guī)定，排除了國務院下屬機構發(fā)布的部門規(guī)章以及其他規(guī)范性法律文件以及與上述文 件位階類似的地方性法規(guī)、規(guī)章等。根據目前的統(tǒng)計，涉及本條罪名的“國家規(guī)定”主要包括：

8、國務院中華人民共和國計算機信息系統(tǒng)安全保護條例、計算機信息網絡國際聯網安全保護管理辦法（國務院批準公安部發(fā)布）、全國人大常委會發(fā)布的關于加強網絡信息保護的決定、網絡安全法。三、“非法侵入”的認定本罪所指的“侵入”從行為上講，指的是未經授權或超越授權進入計算機信息系統(tǒng)的行為。對于計算機系統(tǒng)的管理人或控制人而言， 此種侵入違背了其自身的意愿，并且侵入損害了計算機系 統(tǒng)的安全秩序。此處侵入具有以下特征：1 、侵入的系統(tǒng)不屬于國家安全、國防安全及尖端科技領域的計算機系統(tǒng)，否則構成285條第丫丨/'一款的罪名。a_ D _ | 1/ 2 、此種侵入應當未獲授權。行為人是否享有進入計算機信息系統(tǒng)的

9、相關權限主要根據其在單位中的工作內容、職務等確定，主要表現形式為工作責任書、崗位職責、勞動合同、保密協議、與 授權有關的通知、公告、管理制度等。如果行為人進入系統(tǒng)獲得了合法授權，貝U不構成本罪。實踐 中爭議較大的是授權不明的情況下如何處理？如計算機系統(tǒng)的管理人合法授權其員工進入、使用該系統(tǒng)，被授權人具有與其身份相符的口令、 密碼、賬戶，此時被授權人將系統(tǒng)中的數據傳輸給與其 工作內容無關的第三方是否構成“非法侵入” ？此外，如果管理人知道或應當知道其授權人員正獲 取計算機系統(tǒng)數據，但并未采取進一步的措施阻止該行為，是否應當認定其默認了被授權人的行 為？筆者認為，本條罪名保護的是計算機信息系統(tǒng)的安

10、全性，如果計算機系統(tǒng)的管理人或控制人并未明確表示或采取公開的措施防止獲取授權的人員通過計算機系統(tǒng)獲取數據及轉移數據，那么應當認為計算機系統(tǒng)控制人并不認為該種行為對其計算機系統(tǒng)的安全構成侵犯并不具有尋求法律保 護的意愿，此時不應當將上述行為認定為本罪的“非法侵入”。如果獲得授權的員工的行為損害了計算機系統(tǒng)管理人其他的權益，如商業(yè)秘密、財產權益等， 則應當以其他罪名認定。3、侵入具有秘密性，并違背計算機系統(tǒng)管理人的意愿。三、數據性質及數據數量的認定刑法對于“計算機數據”并無專門定義，我們可以參考 最高人民法院關于適用刑事訴訟法的 解釋第93條規(guī)定，該規(guī)定列舉了電子數據的范圍包括：電子郵件、電子數據

11、交換、網上聊天記 錄、博客、微博客、手機短信、電子簽名、域名等。從計算機語言的角度解讀，計算機數據包含一精心整理切由二進制符號組合而成的字母、數字、圖像、影音等外在表現形式。1本罪保護的數據范圍。國家制定刑法打擊犯罪的目的系保護具有價值的法益，打擊的行為應當具有社會危害性。由于“數據”的概念幾乎囊括了計算機系統(tǒng)中所有的信息，而并非所有數據均具有法律的保護價值，在 現有立法技術也不能對數據的表現形式具體列明， 因此，對于法律保護的數據范圍，沒有明確規(guī)定。 最高院的司法解釋也只列舉了“身份認證信息”一種情形。筆者認為，盡管不能窮盡數據類型，但 可以排除不應當納入本罪保護范圍的部分數據類型：（1）、

12、已經公開的數據。如企業(yè)基本工商信息、政府發(fā)布的各類公告、命令等文件、已經通過公開渠道向社會發(fā)布的信息。上述數據已經公開，獲取后對社會不具有危害性。（2）、涉及犯罪的信息。法律保護的應當是合法的數據， 違法的信息不具有法律保護的價值， 不應當列入保護范圍。如計算機系統(tǒng)存儲或傳輸的犯罪信息被獲取，反而有利于國家打擊犯罪。（3）、綜合認定為不具有保護價值的信息。由于本罪屬于“情節(jié)犯”，只有達到嚴重后果的V I行為才能認定為犯罪。如獲取的數據對計算機系統(tǒng)控制人或管理人未造成嚴重后果的，應認定為情節(jié)輕微，不應當作為犯罪處理。2、身份認證信息的認定。根據最高院關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律

13、若干問題的解釋第一條的規(guī)定，獲取十組以上結算、交易身份認證信息或500組以上其他身份認證信息的，認定為“情節(jié)嚴 重”。所謂“身份認證信息”，是由一系列口令、賬戶、密碼、數字證書等組成，能夠在人機交互模 式下進入計算機信息系統(tǒng)的數據。不屬于身份認證信息范疇的數據，不能按照司法解釋規(guī)定的身份 認證信息的數量進行定罪。身份認證信息是否構成“一組”，應當以自然人能否在掌握上述信息后通過計算機信息系統(tǒng)的認證并進入該系統(tǒng)。因此，如果只是獲得了身份認證信息的一部分或者該身份認證信息經核實無法正常進入系統(tǒng)， 均不能認定為有效的一組身份認證信息。在司法實踐中，如果行為人獲取該信息時有效，但偵查過 程中因數據變動

14、失效，原則上應當視為有效信息。對于獲取其他數據是否達到“情節(jié)嚴重”的標準，可以綜合考慮數據的數量、數據市場價值、數據獲得成本、數據泄露對數據所有人或管理人可能造成的后果等因素，條件允許的情況下，可以申請價值鑒定。四、違法所得的認定根據最高院關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋第一條的規(guī)定，違法所得超過5000元的，符合“情節(jié)嚴重”的標準。但是實踐中對于“違法所得”的認定 標準存在不同意見。精心整理根據現有法律及司法解釋的規(guī)定，對于“違法所得”在不同的法律條文中同時存在兩種判定標 準：一種系按照“非法經營收入”認定；一種系按照“非法獲利”認定。在第一種認定模式下，違 法所

15、得指的是犯罪分子因犯罪行為獲得的所有財物，包括金錢和物品。如最高人民法院、最高人民檢察院關于適用犯罪嫌疑人、被告人逃匿、死亡案件違法所得沒收程序若干問題的規(guī)定 第六條 規(guī)定：通過實施犯罪直接或者間接產生、獲得的任何財產，應當認定為刑事訴訟法第二百八十條第 一款規(guī)定的“違法所得”；違法所得已經部分或者全部轉變、轉化為其他財產的，轉變、轉化后的 財產應當視為前款規(guī)定的“違法所得”。第二種認定模式下，違法所得僅僅指扣除相關合理經營成 本后的獲利。如最高人民法院關于審理非法出版物刑事案件具體運用法律若干問題的解釋第十七條規(guī)定：本解釋所稱“經營數額”，是指以非法出版物的定價數額乘以行為人經營的非法出版物

16、 數量所得的數額。本解釋所稱“違法所得數額”，是指獲利數額。具體到非法獲取計算機信息系統(tǒng)數據罪， 筆者認為，應當采取第二種標準，即按照獲利金額計 算違法所得。理由如下：、I />1“獲利說”符合最高院的司法精神。如最高人民法院研究室關于非法經營罪中“違法所a_ r D _| 1/得”認定問題的研究意見中認為：非法經營罪中的“違法所得”，應是指獲利數額，即以行為人 違法生產、銷售商品或者提供服務所獲得的全部收入（即非法經營數額），扣除其直接用于經營活動的合理支出部分后剩余的數額。同時認為，“非法經營數額”和“違法所得數額”在刑法表述上系兩個不同且并存的概念，應當嚴格依據法律規(guī)定的概念界定其范圍，而不能擴大解釋。參考上述意見，筆者認為，本罪的“違法所得”應當采取獲利說，而不能進行擴大解釋。只有在法律明文規(guī)定按照非法經營所得計算違法所得情況下，才能依據經營數額認定。否則，根據“法無禁止即可行”的刑法原則，在爭議情況下應作出有利于被告人的條文解讀，認定違法所得指“獲 利數額”。2、除非直接進行交易，單獨的數據并不能用于市場交換并獲取經營收入，而需要結合其他投 入