“非法获取计算机信息系统数据罪”涉及的若干认定标准

1、非法获取计算机信息系统数据罪”涉及的若干认定标准中华人民共和国刑法第285条包含三种计算机犯罪类型，其中第二款规 定的情形为 “非法获取计算机信息系统数据罪” ，该罪名是2009年刑法修正案补 充的罪名。由于刑法规定过于笼统，为对该罪名进行准确的定罪量刑，2011年， 最高院又颁布了关于办理危害计算机信息系统安全刑事案件应用法律若干问题 的解释，对该罪名适用进行了更加详细的规定。本文试结合司法解释的规定和 司法实践对该罪名的构成及认定标准进行探讨。一、非法获取计算机信息系统数据罪的构成要件刑法第285条规定：违反国家规定，侵入国家事务、国防建设、尖端科 学技术领域的计算机信息系统的， 处三年以

2、下有期徒刑或者拘役。 违反国家规定， 侵入前款规定以外的计算机信息系统或者采用其他技术手段， 获取该计算机信息 系统中存储、 处理或者传输的数据， 或者对该计算机信息系统实施非法控制， 情 节严重的，处三年以下有期徒刑或者拘役， 并处或者单处罚金； 情节特别严重的， 处三年以上七年以下有期徒刑，并处罚金。根据上述规定，“非法获取计算机信息系统数据罪”应当具备以下构成要件：1、行为人为自然人，单位不构成本罪；2、行为人的行为违反了国家规定；3、行为人非法侵入进入计算机系统或类似侵入的其他技术手段；4、行为人获取了系统中的数据；5、行为达到了“情节严重”的标准。 对于“情节严重”的标准，根据关于办

3、理危害计算机信息系统安全刑事案 件应用法律若干问题的解释 第一条的规定： 非法获取计算机信息系统数据或者 非法控制计算机信息系统， 具有下列情形之一的， 涉嫌非法侵入计算机信息系统 罪：（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息 十组以上的；（二）获取第（一）项以外的身份认证信息五百组以上的；（三）非法控制计算机信息系统二十台以上的；（四）违法所得五千元以上或者造成经济损失一万元以上的；（五）其他情节严重的情形。实施前款规定行为， 具有下列情形之一的， 应当认定为非法侵入计算机信息 系统罪规定的“情节特别严重” ：（一）数量或者数额达到前款第 （一）项至第（四）项规定标

4、准五倍以上的； （二）其他情节特别严重的情形。二、单位是否适用本罪根据刑法第30条的规定：公司、企业、事业单位、机关、团地事实的 危害社会的行为，法律规定为单位犯罪的，应当负刑事责任。由于刑法第285条并未将单位列为本罪的犯罪主体， 因此，本条罪名的主体只能是具有刑事责任 能力的自然人。但是，笔者在经办此类案件的过程中， 发现如果不将单位列为犯罪主体， 将 无法有效的进行案件的侦办以及定罪量刑，并与刑法的罪刑一致的原则相违背。首先，目前公布的部分案件属于单位以经营为目的， 获取第三方公司计算机 系统的数据并加以利用， 由于单位犯罪主体， 导致侦查机关不合理扩大犯罪嫌疑 人的范围。在江苏公安局办

5、理的最新一起案例中，某科技公司为获取4S店维修保养记录，侵入了汽车4S店计算机系统并获取汽车维修保养数据，在整个行为 过程中，科技公司员工系接受单位的指派， 在其职责范围之内参与数据获取及加 工、交易，属于履行劳动义务的行为，其本身并无犯罪故意。但是公安机关在侦 办案件过程中， 因不能对单位立案并为了防止犯罪嫌疑人遗漏， 不合理的扩大范 围，对该单位几乎所有员工均立案侦查并采取刑事强制措施。刑法不将单位列为本罪的主体， 不仅导致实施该行为的单位逃脱处罚， 并且 将扩大打击面，对本来只是接受单位指令履行工作职责的员工列入打击范围。其次，在单位实施上述行为过程中， 接受委派的自然人并未获取数据，

6、也未 取得违法所得， 在单位内部员工分工不同的情况下， 司法机关如何对不同的自然 人认定数据数量和违法所得也将面临困难和争议。从目前我们所经办的案件来看， 公安机关为了形成完整的证据链， 往往以“共 同犯罪”的名义，将参与案件的技术人员、管理人员等均认定为直接责任人，而 对各自然人之间是否具备共同犯意缺乏考量。 为此，我们建议将单位列为本案的 主体。二、“国家规定”的范围认定刑法条文中对于类似“违反国家规定”的表述有两种： “违反国家规 定”和“违反国家相关规定” ；后者只在侵犯公民个人信息犯罪条文中出现， 其他罪名均采用的是“违反国家规定”的表述。根据2011年最高人民法院发布的关于准确理解

7、和适用刑法中“国家 规定”的有关问题通知的规定，本条罪名所指的“国家规定”包括：1、全国人大及其常委会所发布的法律、决定；2、国务院制定的行政法规；3、国务院规定的行政措施、发布的命令和决定；4、国务院办公厅名义制发的文件，符合下列条件的：有明确的法律依 据或者同相关行政法规不相抵触； 经国务院常务会议讨论通过或者经国务院 批准；在国务院公报上公开发布。其中第三项系宪法规定的国务院的职权范围，其发布行政措施、决 定、命令只是国务院履行行政管理职能的方式，其内容一般仍然为发布行政 法规或文件。以上规定， 排除了国务院下属机构发布的部门规章以及其他规范性法律 文件以及与上述文件位阶类似的地方性法规

8、、规章等。根据目前的统计，涉及本条罪名的“国家规定”主要包括：国务院中 华人民共和国计算机信息系统安全保护条例 、计算机信息网络国际联网安 全保护管理办法（国务院批准公安部发布）、 全国人大常委会发布的关于 加强网络信息保护的决定、网络安全法。三、“非法侵入”的认定本罪所指的“侵入”从行为上讲， 指的是未经授权或超越授权进入计算机 信息系统的行为。 对于计算机系统的管理人或控制人而言， 此种侵入违背了其自 身的意愿，并且侵入损害了计算机系统的安全秩序。此处侵入具有以下特征：1、侵入的系统不属于国家安全、国防安全及尖端科技领域的计算机系统，否则构成285条第一款的罪名。2、此种侵入应当未获授权。

9、 行为人是否享有进入计算机信息系统的相关权限主要根据其在单位中的工作内容、职务等确定，主要表现形式为工作责任书、 岗位职责、劳动合同、保密协议、与授权有关的通知、公告、管理制度等。如果 行为人进入系统获得了合法授权， 则不构成本罪。 实践中争议较大的是授权不明 的情况下如何处理如计算机系统的管理人合法授权其员工进入、 使用该系统， 被 授权人具有与其身份相符的口令、 密码、账户，此时被授权人将系统中的数据传 输给与其工作内容无关的第三方是否构成 “非法侵入” 此外，如果管理人知道或 应当知道其授权人员正获取计算机系统数据， 但并未采取进一步的措施阻止该行 为，是否应当认定其默认了被授权人的行为

10、笔者认为，本条罪名保护的是计算机信息系统的安全性，如果计算机系统 的管理人或控制人并未明确表示或采取公开的措施防止获取授权的人员通过计 算机系统获取数据及转移数据， 那么应当认为计算机系统控制人并不认为该种行 为对其计算机系统的安全构成侵犯并不具有寻求法律保护的意愿， 此时不应当将 上述行为认定为本罪的“非法侵入” 。如果获得授权的员工的行为损害了计算机系统管理人其他的权益， 如商业秘 密、财产权益等，则应当以其他罪名认定。3、侵入具有秘密性，并违背计算机系统管理人的意愿。 三、数据性质及数据数量的认定 刑法对于“计算机数据”并无专门定义，我们可以参考最高人民法院关于 适用刑事诉讼法的解释第9

11、3条规定，该规定列举了电子数据的范围包括：电 子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、 域名等。从计算机语言的角度解读，计算机数据包含一切由二进制符号组合而成 的字母、数字、图像、影音等外在表现形式。1、本罪保护的数据范围。 国家制定刑法打击犯罪的目的系保护具有价值的法益， 打击的行为应当具有 社会危害性。由于“数据”的概念几乎囊括了计算机系统中所有的信息，而并非 所有数据均具有法律的保护价值， 在现有立法技术也不能对数据的表现形式具体 列明，因此，对于法律保护的数据范围，没有明确规定。最高院的司法解释也只 列举了“身份认证信息”一种情形。笔者认为，尽管不能穷尽数

12、据类型，但可以 排除不应当纳入本罪保护范围的部分数据类型：1）、已经公开的数据。如企业基本工商信息、政府发布的各类公告、命 令等文件、 已经通过公开渠道向社会发布的信息。 上述数据已经公开， 获取后对 社会不具有危害性。（2）、涉及犯罪的信息。法律保护的应当是合法的数据，违法的信息不具 有法律保护的价值， 不应当列入保护范围。 如计算机系统存储或传输的犯罪信息 被获取，反而有利于国家打击犯罪。（3）、综合认定为不具有保护价值的信息。由于本罪属于“情节犯” ，只有 达到严重后果的行为才能认定为犯罪。 如获取的数据对计算机系统控制人或管理 人未造成严重后果的，应认定为情节轻微，不应当作为犯罪处理。

13、2、身份认证信息的认定。根据最高院关于办理危害计算机信息系统安全刑事案件应用法律若干问题 的解释第一条的规定， 获取十组以上结算、 交易身份认证信息或500组以上其 他身份认证信息的，认定为“情节严重” 。所谓“身份认证信息”，是由一系列口令、账户、密码、数字证书等组成， 能够在人机交互模式下进入计算机信息系统的数据。 不属于身份认证信息范畴的 数据，不能按照司法解释规定的身份认证信息的数量进行定罪。 身份认证信息是 否构成“一组”，应当以自然人能否在掌握上述信息后通过计算机信息系统的认 证并进入该系统。因此，如果只是获得了身份认证信息的一部分或者该身份认证信息经核实无 法正常进入系统， 均不

14、能认定为有效的一组身份认证信息。 在司法实践中， 如果 行为人获取该信息时有效， 但侦查过程中因数据变动失效， 原则上应当视为有效 信息。对于获取其他数据是否达到 “情节严重” 的标准，可以综合考虑数据的数量、 数据市场价值、 数据获得成本、 数据泄露对数据所有人或管理人可能造成的后果 等因素，条件允许的情况下，可以申请价值鉴定。四、违法所得的认定 根据最高院关于办理危害计算机信息系统安全刑事案件应用法律若干问题 的解释第一条的规定，违法所得超过5000元的，符合“情节严重”的标准。但是实践中对于“违法所得”的认定标准存在不同意见。根据现有法律及司法解释的规定， 对于“违法所得” 在不同的法律

15、条文中同 时存在两种判定标准：一种系按照“非法经营收入”认定；一种系按照“非法获 利”认定。在第一种认定模式下， 违法所得指的是犯罪分子因犯罪行为获得的所 有财物，包括金钱和物品。如最高人民法院、最高人民检察院关于适用犯罪嫌 疑人、被告人逃匿、死亡案件违法所得没收程序若干问题的规定第六条规定： 通过实施犯罪直接或者间接产生、 获得的任何财产， 应当认定为刑事诉讼法第二 百八十条第一款规定的“违法所得” ；违法所得已经部分或者全部转变、 转化为 其他财产的， 转变、 转化后的财产应当视为前款规定的“违法所得” 。第二种认 定模式下，违法所得仅仅指扣除相关合理经营成本后的获利。如最高人民法院关于审

16、理非法出版物刑事案件具体运用法律若干问题的解释第十七条规定：本解 释所称“经营数额”，是指以非法出版物的定价数额乘以行为人经营的非法出版 物数量所得的数额。本解释所称“违法所得数额” ，是指获利数额。具体到非法获取计算机信息系统数据罪，笔者认为，应当采取第二种标准， 即按照获利金额计算违法所得。理由如下：1、 “获利说”符合最高院的司法精神。 如 最高人民法院研究室关于非法 经营罪中“违法所得”认定问题的研究意见中认为：非法经营罪中的“违法所 得”，应是指获利数额，即以行为人违法生产、销售商品或者提供服务所获得的 全部收入（即非法经营数额） ，扣除其直接用于经营活动的合理支出部分后剩余 的数额。同时认为，“非法经营数额”和“违法所得数额”在刑法表述上系两个 不同且并存的概念，应当严格依据法律规定的概念界定其范围， 而不能扩大解释。参考上述意见，笔者认为，本罪的“违法所得”应当采取获利说，而不能进 行扩大解释。只有在法律明文规定按照非法经营所得计算违法所得情况下，才能 依据经营数额认定。否则， 根据“法无禁止即可行”的刑法原则， 在争议情况下 应作出有利于被告人的条文解读，认定违法所得指“获利数额” 。2、除非直接进行交易，单独的数据并不能用于市场交换并获取经营收入， 而需要结合其他投入方能实