近年来，危害计算机信息系统安全犯罪及相关犯罪呈上升趋势，各类新型刑事案件层出不穷。随着信息技术的迭代替代，违法犯罪手段不断变化，针对或利用计算机信息系统的犯罪越来越多。在梳理相关案件的处理后，我们发现同一案件有不同的判决；随着科技的发展，新型案件不断出现。如何用传统刑法理论规范新型案件，法律的适用需要进一步明确。

为进一步明确法律适用，2017年、2018年、2020年发布了9个危害计算机信息系统安全犯罪指导性案例。指导性案例往往在法律适用过程中解释一个点，但如何通过这个点解释一条线或面的问题，结合后续的法律规定和司法实践。本文结合33 -36号指导性案例的裁判要旨，对危害计算机信息系统安全罪的司法认定进行了分析。

33号案件——李炳龙破坏计算机信息系统案的裁判要旨指出，通过修改域名解析服务器的方向劫持域名，导致计算机信息系统无法正常运行，是破坏计算机信息系统的行为。

33号考试旨在说明什么是伤害？或者解释修改域名解析是一种破坏形式，但计算机信息系统无法正常运行的原因是什么？换卡算吗？擅自登录计算机信息系统，通过增加账号非法获取计算机信息系统数据，但不影响系统正常运行，利润在5000元以上，是否属于增加计算机数据的破坏性行为？指导性案例并不能告诉我们答案。

案例34号——黎俊杰破坏计算机信息系统案的裁判要旨指出，利用购物网站的购买者身份进行欺诈，修改存储在计算机信息系统中的数据进入网站内部评价系统删除购物评价的操作，应视为破坏计算机信息系统的行为。案例35号——曾梁兴、王嵎生破坏计算机信息系统案判决书要旨指出，智能手机终端应当认定为受刑法保护的计算机信息系统。锁定智能手机导致无法使用的行为，可视为破坏计算机信息系统。

这两个案例的目的是解释什么是计算机信息系统。购物评价系统和手机可以看作是计算机信息系统。那么，计算机信息系统到底是软件还是硬件呢？什么是计算机信息系统？如何理解我国《刑法》第二百八十七条，是法律拟制还是预告规定？指导性案例没有给我们明确的意见。

案例36号——魏梦龙、徐工、薛冬冬非法获取计算机信息系统数据案裁判要旨指出，超越授权范围使用账号、密码登录计算机信息系统，是入侵计算机信息系统的行为；入侵计算机信息系统后下载存储的数据，可视为非法获取计算机信息系统的数据。

36号考试旨在说明什么是入侵，什么是非法获取。但是，作为选择性犯罪，非法控制计算机信息系统罪、非法获取计算机信息系统数据罪与破坏计算机信息系统罪的界限在哪里，我们还需要进一步探索。

一、如何准确理解计算机信息系统

《关于办理危害计算机信息系统安全刑事案件适用法律若干问题的解释》第十一条第一款对“计算机信息系统”和“计算机系统”进行了统一定义，规定“计算机信息系统”和“计算机系统”是指具有自动数据处理功能的系统，包括计算机、网络设备、通信设备、自动控制设备等。

技术层面无法区分，所以统一概念适用。《刑法》第二百八十五条和第二百八十六条对两者进行了区分，本意是认为侵入计算机信息系统、破坏计算机信息系统功能、数据或者应用的对象应当是数据库、网站等提供信息服务的系统。如果传播计算机病毒只影响计算机操作系统本身，即使不影响系统上的信息服务，也应该受到惩罚。然而，随着计算机技术的发展，计算机操作系统离不开信息服务系统。比如很多操作系统本身提供WEB服务和FTP服务，入侵操作系统可以控制在操作系统上提供信息服务的系统。破坏操作系统的数据或功能也会破坏在操作系统上提供信息服务的系统的数据或功能。

实质内涵无法区分，应适用统一定义。司法解释将“计算机信息系统”和“计算机系统”定义为“具有自动数据处理功能的系统”，因为随着信息技术的发展，各种内置可编程、可安装程序的操作系统的数字设备被广泛应用于各个领域，其本质与传统计算机系统并无不同。这些设备可能被攻击破坏:互联网上出售的控制手机的木马程序可以通过无线网络从手机获取信息；通过无线网络传播病毒的案例也呈现快速增长趋势；工控设备中可能植入破坏性程序，使工控设备在一定条件下运行异常；在打印机、传真机等设备中，可以内置程序非法获取相关数据。总之，任何内置操作系统的智能设备都有可能成为入侵、破坏、传播计算机病毒的对象，因此应将这些设备的安全纳入刑法保护范围。

2011年《解释》第十一条第一款采用概括说明的解释方法，即在界定“计算机信息系统”和“计算机系统”的同时，还列举了“计算机”、“网络设备”、“通信设备”、“自动化控制设备”等具体情况。其中，网络设备是指由路由器、交换机等组成的设备。用于连接网络；通信设备包括手机、通信基站等提供通信服务的设备；自动控制设备是指工业上用于实施自动控制的设备，如电力系统中的监控设备、制造业中的流水线控制设备、物联网GPS信息服务系统、环境质量监测采样设备等。

第二，危害计算机信息系统行为的本质

根据《中华人民共和国网络安全法》，网络安全是指“采取必要措施，防止网络上的攻击、入侵、干扰、破坏、非法使用和事故，使网络处于稳定可靠的运行状态，并有能力保证网络数据的完整性、保密性和可用性”。该规定表明，网络安全法主要保护网络可用性和数据安全。因此，客观上，危害计算机信息系统安全主要表现为利用计算机信息系统的安全漏洞，危害信息系统的数据和可用性。具体的例子有:

侵入计算机信息系统罪——以技术或者其他手段，未经授权/超越授权，故意访问相关计算机信息系统，获取数据读取权。

非法获取计算机信息系统数据罪——以技术或者其他手段，未经授权/超越授权，故意访问相关计算机信息系统，进行数据读取操作。

非法控制计算机信息系统罪——以技术或者其他手段，未经授权/超越授权，故意访问相关计算机信息系统，获取数据的添加、删除、修改的权利，计算资源的使用权，或者放置控制程序进行操作。

破坏计算机信息系统罪——通过技术或者其他手段，在未经授权/超越授权的情况下，故意访问相关计算机信息系统，影响目标系统可用性，执行数据添加、删除、修改操作，使原有计算资源不可用。

根据被侵害计算机信息系统的不同，常见的危害行为包括:流量攻击、应用漏洞攻击、流量劫持和网络钓鱼攻击。所涉及的具体类型和含义，建议您阅读最高人民检察院第一检察厅于2019年7月9日编纂的《网络犯罪案件法律术语解释汇编》。

第三，法律适用的差异

在界定计算机信息系统概念和范畴的前提下，界定相关犯罪的行为本质。但即便如此，由于犯罪类型的多样性和新颖性以及法律语言的概括性，法律适用上的差异仍然是不可避免的，主要表现为:

非法控制与破坏很难区分

相关规定的初衷应该是“破坏”比“控制”对社会的危害更大，因为“破坏”意味着计算机信息系统无法正常运行。但是，我们能简单地把删除、修改、添加和干扰计算机信息系统的行为视为破坏吗？同时，“干扰”作为一个开放包容的词，在法律上与“删除”、“修改”、“增加”并列，意思是“干扰”与这三种行为性质相似，但方式不同，即行为人不直接删除、修改或增加计算机信息系统的功能或数据，而是采用其他方式干扰计算机信息系统的正常运行。可以说“计算机信息系统不能正常工作”限制了“干扰”的程度，但并没有相关的司法解释明确这一限定性表述的规范内涵。

很难认定计算机信息系统不能正常运行

“未能正常运行”不仅包括完全故障，还包括未能按照最初设计的方式运行。在实践中，通常表现为计算机信息系统运行的崩溃、中断、强制和延迟。比如某家纺公司网站被流量攻击的情况下，流量攻击后，网站的服务功能在2小时左右无法正常运行。根据案件中数据库的数据分析表、远程检查记录、电子邮件复印件、电子数据取证检查报告，可以确定网站流量大幅下降。又如被告用棉纱堵塞环境空气体采样器采样孔或拆解采样器的行为，引起采样器内部气流场变化，导致监测数据失真，影响对环境空气体质量的正确评价。是以非技术手段干扰计算机信息系统功能的行为，也被认定为导致计算机信息系统无法正常运行。

以上案例虽已认定，但如何认定“不能正常工作”的标准，是否包括系统访问受限、响应速度慢、部分功能不能正常工作、处理能力慢等情况，仍存在争议。对于在不影响系统整体功能正常使用的情况下，如何识别某些用户相关数据的增加、修改和删除，目前还没有统一的认识。

确定经济损失的困难

2011年《解释》第十一条第三款规定:“经济损失，包括危害计算机信息系统的犯罪行为直接给用户造成的经济损失，以及用户恢复数据和功能所发生的必要费用。”在司法实践中，通过违法所得或者经济损失认定侵害计算机信息系统犯罪的严重情节或者后果是相当常见的，但经济损失的认定仍然是司法实践中的难点。原因是经济损失数额难以准确评估，相应评估、鉴定的主体和程序没有法律规定；有人认为经济损失可以根据市场价格认定，但市场价格或指导价也有一定缺失；同时，经济损失的范围难以确定，各经济主体之间也没有统一的标准。员工的安全费用和加班费是否应视为经济损失？如果可以确定上述费用是受害公司自己提供的，如何审查？

危害计算机信息系统罪中的“严重后果”问题

至于2011年《解释》中破坏计算机信息系统罪的一个严重后果，即“为100多个计算机信息系统提供域名解析、身份认证、计费等基础服务或者为1万多个用户提供服务的计算机系统不能正常运行一个小时以上”，在实践中也存在一个理解上的难题:1万多个用户在这里应该如何理解？

我们处理了一起家纺网站被攻击的案件，并以注册用户数起诉。但法院不认可这种计算方法，认定公司在事发前多年提供的关于网站用户数量的新闻报道和申请材料，结合网站提供的会员数据，足以认定网站注册会员数量超过1万人。但由于网站的注册会员数量是由评估机构根据受害公司提供的条件固定的，无法有效淘汰被重复注册的用户，因此无法对注册用户进行证据不足的认定。又如33号检查案，在办案中被域名劫持的用户数量的确定也是一个有争议的问题。检察机关起诉、法院判决时，用户数按独立IP用户计算。但在论证过程中，有专家指出，按照独立的IP用户来计算用户数量，不符合现实和技术现实。经过综合考量，认定独立用户数的指导性案例采取了较为谨慎的概括性表述，指出:“认定受损计算机信息系统服务用户数，可以根据计算机信息系统的功能和使用特点，结合网站注册用户和浏览用户的具体情况，做出客观判断。”

很难区分危害计算机信息系统安全的犯罪和计算机犯罪

《刑法》第二百八十七条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。”对这一规定的理解仍有分歧。

指导案例《刑事审判参考》第110卷第1202期“赵红领等盗窃案”中，对破坏计算机信息系统罪的法律适用进行了解释，即刑法第287条应视为“例外规定”。“计算机实施的一切相关犯罪，无论行为手段是否构成相关计算机犯罪，都应当以相关犯罪论处而不再认定。

同时，在“曾梁兴、王嵎生破坏计算机信息系统”一案中，在满足数额较大或多次敲诈勒索的情况下，锁定他人智能手机并以解锁为条件索要钱财的案件，被认定为“应当以牵连犯破重罪”。《刑事审判参考》第101卷第1049期“杨立涛诈骗案”也指出，“其手段行为不违反计算机信息系统安全罪的，应当依照刑法有关规定定罪处罚，否则应当依照牵连犯的处罚原则从重罪处罚”。

四.适用法律的规则

针对上述问题，我们梳理了指导性案例，并结合其他一些典型案例，针对破坏计算机信息系统罪，细化了以下法律适用规则:

准确定义非法侵入

第二百八十五条第一款规定的非法侵入计算机信息系统罪和第二款规定的非法获取计算机信息系统罪、非法控制计算机信息系统罪中，有“违反国家规定侵入计算机信息系统”的规定。我们认为，入侵是指未经他人授权或同意进入计算机信息系统。其表现形式包括利用技术手段破坏或逃避系统保护进入计算机信息系统、未经被害人授权进入计算机信息系统、未经被害人授权进入计算机信息系统。在指导案例36号——魏梦龙、徐工、薛冬冬非法获取计算机信息系统数据案中，也曾明确表示“使用超出授权范围的账号和密码登录计算机信息系统，是入侵计算机信息系统的行为”。

因果关系的综合认定

基于危害计算机信息系统刑事案件的特殊性，因果关系的认定可以从以下几个方面考虑:

首先，采用不同方式证明危害计算机信息系统罪因果关系的相关要件。属于基本入罪标准的犯罪事实需要严格证明的；作为因果过程的具体表现，可以采取审慎的自由评价和综合认定。具体来说，就是要合理结合计算机信息系统遭受攻击和无法正常运行的方式，学习吸收概率论，识别它们。

第二，在认证过程中，危害计算机信息系统犯罪因果关系的证明需要考虑“整体性”，运用评价、经验规则、逻辑推理、确认规则和推定技术等方法进行综合认定。比如在一起家纺网站被攻击的案件中，为了证明网络攻击是被告实施的，我们采用了以下证明方法:利用特殊技术分析攻击来源，通过锁定攻击IP追踪攻击路径。结合IP地址，确认被告在事发期间使用该IP地址上网，进而明确被告网络身份与真实身份之间的身份关系。提取电子数据，提取网络攻击时各被告微信群的聊天记录。说明微信群内容反映被害人网站在攻击期间被攻击瘫痪，从而明确攻击是被告人所为。一般认为，如果有证据表明被告实施了政治攻击，攻击类型和特征与被告实施的攻击一致，且攻击时间与被攻击时间重合，则可以认为网络攻击是被告实施的。

准确识别破坏

我们认为，应综合考虑行为性质和侵害法益，准确认定该罪。破坏计算机信息系统罪的客体是计算机信息系统的安全。破坏计算机信息系统罪需要造成计算机信息系统不能正常运行或者影响计算机信息系统原有功能正常运行。破坏计算机信息系统罪不能适用于不致使计算机信息系统正常运行的添加、删除、修改行为。

结合34号判决书的要旨，非法控制计算机信息系统罪与破坏计算机信息系统罪的核心区别在于，实施非法控制计算机信息系统罪的人只在目标计算机信息系统上放置控制程序或者取得对目标计算机信息系统中的数据进行添加、删除、修改的权利或者计算资源的使用权， 并且这些操作不影响目标计算机信息系统的正常运行，也不对计算机信息系统的功能进行实质性改变； 在破坏计算机信息系统罪中，操作者对目标计算机信息系统的操作导致计算机信息系统不能正常运行或者对计算机信息系统的功能产生重大影响。一般认为，通过在目标计算机信息系统中植入木马程序，实质上获得了计算机信息系统的控制权；将广告网页上传到目标计算机信息系统的行为，也是为了获得对计算机信息系统的控制权，达到“情节严重”，构成对计算机信息系统的非法控制。

结合36号检查案的裁判要旨，利用账号、密码超授权范围登录计算机信息系统，属于入侵计算机信息系统的行为；入侵计算机信息系统后下载存储的数据，可视为非法获取计算机信息系统的数据。那么，当入侵后获取数据时，也有增加计算机信息系统数据的行为，是否总是被视为破坏？

我们来看一个案例:2018年以来，被告人张多次通过其暗中窥探的账号和密码非法登录某资源交易平台，并在系统中添加管理员账号及相关单位子账号，查看平台中部分投标项目的投标情况和报价，并有偿提供给有投标意向的人，从中非法获利34，674.16元。本案中，公安机关将破坏计算机信息系统罪移送审查起诉，起诉和法院判决的罪名均为非法获取计算机信息系统数据罪。

我们认为，区分非法获取计算机信息系统数据罪与破坏计算机信息系统罪，主要考虑的是行为的危害结果。根据计算机信息系统是否不能正常运行的具体分析，分别适用相应的罪名。《刑法》第二百八十六条规定，删除、修改、增加或者干扰计算机信息系统功能，致使计算机信息系统不能正常运行或者违反国家规定，删除、修改、增加计算机信息系统中存储、处理、传输的数据和应用程序，造成严重后果的，构成破坏计算机信息系统罪。与本规定相比，删除、修改、增加计算机信息系统中存储、处理、传输的数据和应用程序，并不意味着计算机信息系统不能正常运行，但本规定的意义在于，添加、删除、修改数据和应用程序，会对原应用程序造成损害或者原存储的数据不能正常读取，否则不存在损害。对于行为人删除、增加或者修改数据的原始部分，但不会影响原始功能的行使和原始数据的读取，对计算机信息系统的功能没有实质影响。主观上，以获取和利用计算机信息系统数据为目的，以认定非法获取计算机信息系统数据罪为宜。也就是说，如果入侵后有增删改，将根据对计算机信息系统原有功能和数据的影响决定案件的法律适用，作为34号、36号检验案件的补充。

值得注意的是，根据2011年《解释》的规定，“违法所得五千元以上或者经济损失一万元以上”是破坏计算机信息系统罪、非法控制计算机信息系统罪的定罪条件。因此，在个别案件中，“违法所得”或“经济损失”不能作为判断行为人是否构成破坏计算机信息系统罪或非法控制计算机信息系统罪的依据，而应以行为人的主观故意和客观行为为依据。

刑法第287条的适用

行为人使用计算机实施犯罪，其手段行为不构成危害计算机信息系统安全罪的，按照目的行为定罪处罚；当其手段行为构成危害计算机信息系统安全罪时，一般情况下应按照从重处罚原则定罪量刑。

仍以“佳居35号”案为例，行为人通过锁定苹果手机勒索受害人。此时，如果行为人破坏计算机信息系统的行为和敲诈勒索行为都构成犯罪，前者“极其严重”，后者刚刚达到入罪标准。如果只对客观行为构成的犯罪定罪处罚，只能对被告人判处三年以下有期徒刑、拘役或者管制。因此，当被告人的手段行为和目的行为都构成犯罪时，他受到的处罚不如单纯的手段行为，这显然违背了简单的刑罚正义理念。因此，当行为人利用计算机实施的犯罪同时构成危害计算机信息系统安全罪、金融诈骗罪、盗窃罪等犯罪时，除法律另有规定外，一般应当按照从重定罪处罚的原则处理。第35号案件也证实了这一精神

基于此，根据指导性案例裁判指引，我们得出以下结论:利用信息网络实施犯罪，构成危害计算机信息系统安全罪等犯罪的，将处罚一项重罪，另一项犯罪可视为量刑情节。

转载提交说明