行為人“超越權限”侵入計算機信息系統並獲取電子數據是否構成犯罪?本案例結合司法解釋的具體規定、“侵入”行為的常見形式和實質要件進行分析,並從證據審查角度就如何判斷為超越權限予以闡釋。
【裁判要旨】
超越授權權限進入計算機信息系統,其本質仍是違背了被害方的意願,仍屬於非法獲取計算機信息系統數據罪中的侵入他人計算機信息系統的行為。
【控辯主張】
公訴機關指控:2016年6月至9月間,被告人衛某、龔某、薛某利用違規登錄、查詢、下載的方式,侵入百度在線網絡技術(北京)有限公司鳳巢系統,獲取該計算機信息系統中存儲的客戶數據用於牟利,違法所得共計人民幣37 260元。被告人衛某、龔某、薛某於2016年9月19日被公安機關抓獲。
公訴機關以非法獲取計算機信息系統數據罪對被告人龔某、衛某、薛某提起公訴。
被告人辯稱:被告人衛某及其辯護人、龔某及其辯護人、薛某對公訴機關指控的罪名和基本事實均無異議,但是被告人衛某對違法所得的數額提出了異議。被告人薛某的辯護人提出了無罪辯護的意見,認為被告人薛某並沒有違反國家規定,不成立該罪。
【基本案情】
法院公開審理查明:2016年6月至9月間,被告人龔某在明知衛某使用賬號目的的情況下,向被告人衛某提供自己所掌握的百度鳳巢系統內部賬號和密碼。被告人衛某利用龔某所提供的賬號和密碼,違規登陸百度在線網絡技術(北京)有限公司鳳巢系統,查詢、下載該計算機信息系統中存儲的客戶數據,並交由被告人薛某出售給他人,違法所得共計人民幣37 000元。其中,被告人衛某非法獲利人民幣24 000元,被告人薛某非法獲利人民幣13 000元。2016年9月19日,被告人衛某、龔某、薛某被公安機關抓獲歸案,後如實供述了上述事實。
【判案理由】
法院經審理認為:被告人衛某、龔某、薛某違反國家規定,侵入計算機信息系統,獲取計算機信息系統中存儲的數據,情節特別嚴重,其行為均已構成非法獲取計算機信息系統數據罪。
檢察院指控被告人衛某、龔某、薛某違法所得數額,沒有扣除被告人衛某與被告人薛某之間合法的紅包往來共計人民幣260元,在被告人衛某有此辯解而無充分證據予以否定的情況下,上述人民幣260元應予排除。
關於被告人薛某的辯護人發表的無罪辯護意見,法院認為,根據《計算機信息系統安全保護條例》第七條規定“任何組織或者個人,不得利用計算機信息系統從事危害國家利益、集體利益和公民合法利益的活動,不得危害計算機信息系統的安全”,被告人薛某所實施的行為違反了前述規定,侵犯了非法獲取計算機信息系統數據罪保護的客體,其發表的無罪辯護意見無事實和法律依據,法院不予採納。
【定案結論】
法院依照《中華人民共和國刑法》第二百八十五條第二款、第六十七條第三款、第二十五條第一款、第五十三條、第六十四條之規定,判決:
1.被告人衛某犯非法獲取計算機信息系統數據罪,判處有期徒刑四年,罰金人民幣四萬元;
2.被告人薛某犯非法獲取計算機信息系統數據罪,判處有期徒刑四年,罰金人民幣四萬元;
3.被告人龔某犯非法獲取計算機信息系統數據罪,判處有期徒刑三年九個月,罰金人民幣四萬元。
【解說】
在本案審理過程中,對刑法條文中“侵入”行為的認定、“違反國家規定”的理解、被告人量刑是三大焦點問題。
1.侵入行為的認定
刑法第二百八十五條第二款規定,非法獲取計算機信息系統數據罪是指“違反國家規定,侵入計算機信息系統或者採用其他技術手段,獲取計算機信息系統數據,情節嚴重”的行為。可見,侵入計算機信息系統或者採用其他技術手段是該罪的構成要件。
在司法實踐中,“侵入計算機信息系統”的常見表現形式為破解或者盜竊身份認證信息、強行突破安全工具等方式來侵入計算機信息系統。而本案中的行為人進入計算機信息系統的方式有所不同——本案被告人龔某系被害公司的員工,外部人員利用其內部權限登陸被害公司系統,獲取存儲於被害公司的數據。對於這種利用內部權限登陸計算機信息系統獲取數據的行為能否認定為刑法規定的“侵入”?這是本案定罪的關鍵。
雖然本案中行為人的方式不同於一般情形,但審慎分析可知,其行為仍然可定性為“侵入”。理由在於:根據2011年兩高《關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第2條對“專門用於侵入、非法控制計算機信息系統的程序、工具”的解釋,認定侵入工具的要件是“具有避開……系統安全保護措施,未經授權或者超越授權獲取計算機信息系統數據”;換言之,未經授權或者超越授權是判定“侵入”的實質要件。
而本案中被告人的行為首先客觀上超越了被害方的授權範圍。具體表現在其一,被告人龔某將賬號、密碼、token令牌等提供給非公司員工衛某使用:被害公司允許員工使用公司內部的賬號和密碼,但公司明令禁止員工擅自出借賬號、密碼;其二,行為人登陸系統後下載了無權下載的數據:被告人龔某雖有權限進入管理系統,但根據被害方規定,並沒有權限下載與其正常業務無關的客戶信息。同時,被告人進入系統的主觀目的也在於超越授權範圍去獲取相應信息系統內數據。綜上所述,雖然本案中被告人採取了相對“溫和”的手段,但卻符合超越被害公司的授權範圍去獲取計算機信息系統數據這一行為本質,因此應認定為“侵入”。
超越被害方授權範圍的行為屬於“侵入”行為是刑法的題中之義,但從證據的角度應該如何判斷被告人的行為超越被害方的授權範圍呢?
一方面,應審查行為人的權限。行為人的權限在證據上主要依賴於書證。一般而言,被害單位會根據本單位工作人員的工作內容、職務等賦予其進入計算機信息系統的相關權限,主要體現為工作責任書、崗位職責、勞動合同、保密協議等客觀性證據;同時結合被告人自己的供述、證人證言等主觀性證據來輔助判斷被告人的權限。①本案中,公訴機關提供了被害單位員工的證言、舉報材料、崗位職責情況說明等來證明被告人龔某的賬戶沒有下載其他商戶百度推廣數據的權限。
另一方面,審查行為。侵入計算機信息系統的行為主要依靠電子證據來予以認定。被告人侵入計算機系統會留下信息記錄,獲取數據的方式、輸入的身份認證以及獲取的數據,會形成電子證據,一般體現為文字、數字、表格、圖片、聲音、圖像、視頻等。因此,認定非法獲取計算機信息系統數據罪需要偵查機關及時對涉案的計算機進行扣押、查封,並及時進行電子證據提取和計算機遠程勘驗。本案中,公訴機關出示的衛某與龔某之間的微信聊天記錄,被害單位出具的下載客戶數據的記錄明細可證明為衛某利用龔某權限下載數據的事實。
2.違反國家規定的辨析
本案在庭審過程中,被告人的律師對“違反國家規定”提出了異議,他們認為“違反國家規定”是違反國傢俱體的規定,但目前尚無具體規定,被告人的行為只違反了被害公司的內部規定,因而不成立非法獲取計算機信息系統數據罪。
對上述異議,我們首先需要對“違反國家規定”在刑法中的文義和功能進行全面的把握。
我國刑法總則第九十六條闡釋了“違反國家規定”,指違反全國人民代表大會及其常務委員會制定的法律和決定,國務院制定的行政法規、規定的行政措施、發佈的決定和命令。其他規章制度不包含在其中。刑法分則中“違反國家規定”的含義應與總則一致;但“違反國家規定”這一表述在分則具體條款中的功能不盡相同。
一類是作為構成要件要素而被規定在條文中;例如,刑法第一百三十三條規定“違反交通運輸管理法規,因而發生重大事故…..”,本條中的“違反國家規定”是典型的構成要件要素,因為條文中只規定了危害結果,卻沒有指示行為類型;什麼行為構成交通肇事罪,必須參照交通運輸管理法規加以認定。
另一類只是為了指示違法性而存在,或者只是相關表述的同位語,並非構成要件。比如刑法第三百三十九條第一款規定“違反國家規定,將境外的固體廢物進境傾倒、堆放、處置的,…”,已將《固體廢物汙染環境防治法》第24條的內容詳細表述;因此這裡的“違反國家規定”不具備構成要件要素的功能,即使刪除其實也不影響本條的實質內容②。
回到本案所涉及的刑法第285條第二款,“違反國家規定”宜認定為構成要件要素,因為本條後文“侵入前款規定以外的計算機信息系統或者採用其他技術手段,獲取該計算機信息系統中……的數據”中,“採用其他技術手段”含義十分寬泛,正常登錄、誤打誤撞均在其文義之內;因此須將“違反國家規定”作為此條的構成要件,本條款認定為違法行為的範圍才算合理。
確定了“違反國家規定”為構成要件要素之後,本案中被告的行為是否有違反國家規定之處呢?答案也是肯定的。
我國已出臺了一系列國家保護計算機信息系統安全的法規,具體到本案中的行為,行為人違反了《全國人民代表大會常務委員會關於維護互聯網安全的決定》第三條第(三)項“利用互聯網侵犯他人知識產權”,和《中華人民共和國計算機信息系統安全保護條例》第七條“任何組織或者個人,不得利用計算機信息系統從事危害國家利益、集體利益和公民合法利益的活動,不得危害計算機信息系統的安全”等條款的規定。雖然並無確切描述本案中作案行為應予禁止的國家規定,但行為人違反上述一般性的規定,仍可認定是違反國家規定的行為。
3.龔某的量刑
法庭辯論階段,本案控辯雙方主要圍繞著量刑問題展開辯論。被告人龔某的辯護人提出被告人龔某僅僅提供了賬號、密碼,並沒有實際獲取數據,屬於共同犯罪中的從犯;且被告人龔某沒有任何獲利,更是獲得了被害方的諒解,建議法官對被告人龔某從輕處罰。對此控方表示被告人龔某提供賬號、密碼的行為在本案起著關鍵性的作用,其不屬於從犯;同時雖然被告人龔某沒有實際獲利,但其主觀上有牟利的動機,並不能因為其沒有實際獲利對其從輕處罰。
對於能否認定被告人龔某為從犯,根據刑法第27條對從犯的解釋,應主要考察被告人龔某在本案中是否起著次要或者輔助的作用。在實踐中,認定從犯時,要根據行為人在共同犯罪中所處的地位、實際參與的程度等進行具體分析。
就本案而言,龔某不宜認定為從犯。理由在於:第一,龔某在本案中發揮著關鍵作用、而非次要或輔助作用;離開了龔某的行為,整個犯罪無法進行。如果沒有龔某提供的賬號、密碼,被告人衛某不可能侵入被害方的計算機信息系統獲取數據。第二,龔某參與程度高,貫穿案件始終。衛某每一次侵入被害方的計算機信息系統,龔某都積極配合,提供侵入所需要的Token密碼;離開龔某的參與,衛某的侵害行為將只能中斷。第三,龔某對共同故意形成的作用大。當衛某提出利用龔某內部權限獲取數據的想法時,龔某明確表示願意合作、積極主動地促成共同犯意的達成。
另一方面,雖然龔某不屬於從犯,卻也的確存在從輕的情節。根據刑法規定,法定從輕情節包括自首、坦白、立功等;在司法實踐中,酌定從輕的因素包括犯罪的動機、手段、損害結果、犯罪後態度等。在本案中,龔某在到案後能如實供述、認罪態度較好、並取得了被害人諒解,符合相關從輕情節,最終裁判時也對其做出了從輕處罰。
【註釋】
1.李勇,“非法獲取計算機信息系統數據罪認定中的兩個難題”, 《中國檢察官·經典案例版》2012年第4期。
2.蔣鈴,“刑法中‘違反國家規定’的理解和適用”,《中國刑事法雜誌》2012年第7期。
閱讀更多 北京海淀法院 的文章
