非法获取计算机信息系统数据、非法控制计算机信息系统罪的构成要件与处罚
非法获取计算机信息系统数据、非法控制计算机信息系统罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的行为。
本罪名为选择性罪名,可由办案人员根据案件的具体情况,分解或者并列适用。
一、构成要件
(一)客体要件。本罪所侵犯的客体是计算机信息系统的安全。
本罪的犯罪对象是国家事务、国防建设、尖端科学技术领域以外的计算机信息系统。计算机信息系统是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。
(二)客观要件。本罪客观方面表现为违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的行为。
所谓违反国家规定,具体是指违反国家关于计算机信息系统管理的各项法律、法规,主要有《中华人民共和国网络安全法》、《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等。
所谓侵入计算机信息系统,是指行为人采用破解密码、盗取密码、强行突破安全工具等方法,在没有得到许可时违背计算机信息系统控制人或所有人意愿进入其无权进入的计算机信息系统中,常见的方式是利用他人网上认证信息进入计算机信息系统,或者在计算机系统中植入木马、后门程序。“其他技术手段”是指“侵入”以外的技术手段。
所谓获取计算机信息系统中存储、处理或者传输的数据,是指掌握计算机信息系统内的数据,不限于实际取得或占有,既包括把数据复制出来,存于个人电脑、移动硬盘或电子邮箱等载体内,还包括进入计算机信息系统以后知悉系统内数据。
所谓非法控制计算机信息系统,是指在非法侵入计算机信息系统后,并未破坏计算机信息系统的功能或者数据,而是通过控制计算机信息系统实施特定操作的行为。如很多攻击者通过控制大量计算机信息系统形成僵尸网络(Botnet)等。
本罪为情节犯,非法获取计算机信息系统数据或者非法控制计算机信息系统须达到“情节严重”的程度,才能构成本罪。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释(法释〔2011〕19号)》(以下简称《解释》)第一条第一款的规定,具有下列情形之一的,应当认定为这里规定的“情节严重”:
(1)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的。这里所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。此类数据通常是网络安全的第一道防线,也是网络盗窃的最主要对象,特别是非法获取电子银行、证券交易、期货交易等网络金融服务的账号、口令等身份认证信息,故应对网络金融服务的身份认证信息予以重点保护。
(2)获取支付结算、证券交易、期货交易等网络金融服务以外的身份认证信息五百组以上的。所谓一组身份认证信息,是指可以确认用户在计算机信息系统上操作权限的认证信息的一个组合。比如,某些网上银行需要用户名、密码和动态口令就可以转账,那么用户名、密码和动态口令就是一组身份认证信息;有的网上银行除上述三项信息外还需要手机认证码才可以转账,缺一不可,那么这四项信息才能构成一组身份认证信息。但是,对于身份认证信息,特别是密码信息,很多用户有经常更改的习惯,故认定一组身份认证信息不应以在办案过程中是否可以实际登录使用为判断标准,而应结合其非法获取身份认证信息的方法判断该身份认证信息在被非法获取时是否可用为依据。比如,使用木马程序能有效截获用户输入的账号、密码,则不管该密码当前是否可用,只要是使用该木马程序截获的账号、密码,就应认定为一组有效身份认证信息。
需要注意的是,对于实践中发生的出于好奇、显示网络技术等目的而实施的打包盗窃论坛身份认证信息等行为,即使获取身份认证信息略微超过500组的,由于社会危害性不大,也应当适用《刑法》第13条“但书”的规定,不宜纳入刑事打击的范围。
(3)非法控制计算机信息系统二十台以上的。
(4)违法所得五千元以上或者造成经济损失一万元以上的。非法获取计算机信息系统数据、非法控制计算机信息系统行为的主要目的是牟利,且易给权利人造成经济损失,故将违法所得数额和财产损失数额作为衡量情节严重的标准之一。这里所称“经济损失”,包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用,不包括给用户带来的预期利益的损失。
(5)其他情节严重的情形。
根据《解释》第一条第三款的规定,明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照上述的规定定罪处罚。明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用,使得该计算机信息系统继续处于被控制状态,实际上是对该计算机信息系统实施控制,应当认定为非法控制计算机信息系统。
(三)主体要件。本罪的主体是一般主体,既可以是年满16周岁且具有完全刑事责任能力的自然人,也可以是单位。
(四)主观要件。本罪在主观方面表现为故意,即行为人明知自己的行为会产生非法获取计算机信息系统数据或者非法控制计算机信息系统的危害结果,而希望或放任这种结果的发生。
二、处罚
依照刑法第二百八十五条第二款的规定,自然人犯本罪的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
依照刑法第二百八十五条第四款的规定,单位犯本罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照本条第二款的规定处罚。
(一)“情节特别严重”的认定标准。根据《解释》第一条第二款的规定,非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为这里规定的“情节特别严重”:
(1)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息五十组以上的;
(2)获取支付结算、证券交易、期货交易等网络金融服务以外的身份认证信息二千五百组以上的。
(3)非法控制计算机信息系统一百台以上的;
(4)违法所得二万五千元以上或者造成经济损失五万元以上的;
(5)其他情节特别严重的情形。
根据《解释》第一条第三款的规定,明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,应当认定为非法控制计算机信息系统“情节特别严重”。
(二)共同犯罪的认定标准和处理原则。根据《解释》第九条的规定,明知他人实施非法侵入计算机信息系统行为,具有下列情形之一的,应当认定为共同犯罪,依照刑法第二百八十五条第二款和第四款的规定处罚:
(1)为其提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具,违法所得五千元以上或者提供十人次以上的;
(2)为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助,违法所得五千元以上的;
(3)通过委托推广软件、投放广告等方式向其提供资金五千元以上的。
实施上述规定行为,数量或者数额达到上述规定标准五倍以上的,应当认定为“情节特别严重”。
在司法实践中适用上述规定,需要注意以下两个问题:一是跨国共同犯罪的处理。由于网络的无国界特性,危害计算机信息系统安全犯罪行为和犯罪结果可能分别发生在中华人民共和国领域内外。根据《刑法》第6条第3款的规定,犯罪的行为或者结果有一项发生在中华人民共和国领域内的,就认为是在中华人民共和国领域内犯罪。因此,对于这类危害计算机信息系统安全犯罪案件,只要其危害后果最终发生在中华人民共和国领域内,就应当认为是在中华人民共和国领域内犯罪,应当适用我国《刑法》的相关规定。在此前提下,可能对境外实行犯无法实际行使刑事管辖权,在境外实行犯未归案的情况下,对于境内为境外实行犯提供帮助的行为人,应当依照上述确定的规则处罚。二是帮助犯在共同犯罪中的类型认定。与传统犯罪不同,网络犯罪中的帮助犯在共同犯罪中所起的作用具有一定的特殊性和复杂性,并非只起次要和辅助作用,也可能起主要作用。因此,对于行为人帮助他人实施非法侵入计算机信息系统行为的,应当根据其在共同犯罪中的作用予以认定,既可以认定为主犯,也可以认定为从犯。
(三)掩饰、隐瞒计算机信息系统数据、控制权行为的定性与处罚。危害计算机信息系统安全犯罪活动的一个重要特点是分工细化。例如,在非法获取计算机信息系统数据活动中,制作非法获取数据的程序、传播用于非法获取数据的程序、非法获取数据、获取数据后销赃获利、使用数据等行为通常由不同人员实施。在这些行为中,由于行为人之间事前无通谋,欠缺共同犯罪故意,难以依据共同犯罪予以打击。从危害计算机信息系统安全犯罪的现状来看,掩饰、隐瞒计算机信息系统数据、控制权的现象十分突出,不予以打击无法切断危害计算机信息系统安全犯罪的利益链条,难以切实保障计算机信息系统安全。依据刑法规定,《解释》第七条明确,明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒的,应当构成掩饰、隐瞒犯罪所得罪:
(1)明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒,违法所得五千元以上的,应当依照刑法第三百一十二条第一款的规定,以掩饰、隐瞒犯罪所得罪定罪处罚。
(2)实施前款规定行为,违法所得五万元以上的,应当认定为刑法第三百一十二条第一款规定的“情节严重”。
(3)单位犯罪的,定罪量刑标准依照第(1)款、第(2)款的规定执行。即执行自然人犯罪的定罪量刑标准。
相关法律法规条文
中华人民共和国刑法
第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
第三百一十二条 明知是犯罪所得及其产生的收益而予以窝藏、转移、收购、代为销售或者以其他方法掩饰、隐瞒的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;情节严重的,处三年以上七年以下有期徒刑,并处罚金。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释(法释〔2011〕19号)
第一条 非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:
(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(二)获取第(一)项以外的身份认证信息五百组以上的;
(三)非法控制计算机信息系统二十台以上的;
(四)违法所得五千元以上或者造成经济损失一万元以上的;
(五)其他情节严重的情形。
实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:
(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;
(二)其他情节特别严重的情形。
明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。
第七条 明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒,违法所得五千元以上的,应当依照刑法第三百一十二条第一款的规定,以掩饰、隐瞒犯罪所得罪定罪处罚。
实施前款规定行为,违法所得五万元以上的,应当认定为刑法第三百一十二条第一款规定的“情节严重”。
单位实施第一款规定行为的,定罪量刑标准依照第一款、第二款的规定执行。
第八条 以单位名义或者单位形式实施危害计算机信息系统安全犯罪,达到本解释规定的定罪量刑标准的,应当依照刑法第二百八十五条、第二百八十六条的规定追究直接负责的主管人员和其他直接责任人员的刑事责任。
第九条 明知他人实施刑法第二百八十五条、第二百八十六条规定的行为,具有下列情形之一的,应当认定为共同犯罪,依照刑法第二百八十五条、第二百八十六条的规定处罚:
(一)为其提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具,违法所得五千元以上或者提供十人次以上的;
(二)为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助,违法所得五千元以上的;
(三)通过委托推广软件、投放广告等方式向其提供资金五千元以上的。
实施前款规定行为,数量或者数额达到前款规定标准五倍以上的,应当认定为刑法第二百八十五条、第二百八十六条规定的“情节特别严重”或者“后果特别严重”。
第十条 对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。
第十一条 本解释所称“计算机信息系统”和“计算机系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。
本解释所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。
本解释所称“经济损失”,包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。
· 最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释
