最高人民法院、最高人民檢察院聯合發布了《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下簡稱《解釋》),自2011年9月1日起施行。為幫助廣大司法人員和社會公眾進一步正確理解《解釋》的精神和內容,最高人民法院、最高人民檢察院研究室負責人就相關問題回答了記者提問。
問:請介紹一下《解釋》出臺的背景。
答:隨著信息技術和互聯網業的快速發展,計算機在現代社會中發揮著越來越重要的作用。計算機的普及在極大地方便了人民群眾工作生活的同時,其自身的安全問題也日益突出。為保護計算機信息系統的安全,1997年刑法規定了非法侵入計算機信息系統罪和破壞計算機信息系統罪。針對維護計算機信息系統安全方面出現的新情況,2009年2月28日全國人大常委會通過的《刑法修正案(七)》增設了非法獲取計算機信息系統數據、非法控制計算機信息系統罪,提供侵入、非法控制計算機信息系統程序、工具罪。這些規定對于維護計算機信息系統安全,打擊計算機網絡犯罪發揮了重要作用。
近年來,網絡犯罪呈上升趨勢,我國面臨黑客攻擊、網絡病毒等違法犯罪活動的嚴重威脅,是世界上黑客攻擊的主要受害國之一。據《中國互聯網狀況》白皮書,2009年我國被境外控制的計算機IP地址達100多萬個;被黑客篡改的網站達4.2萬個;被“飛客”蠕蟲網絡病毒感染的計算機每月達1800萬臺,約占全球感染主機數量的30%。而據公安部提供的情況,近5年來,我國互聯網上傳播的病毒數量平均每年增長80%以上,互聯網上平均每10臺計算機中有8臺受到黑客控制,公安機關受理的黑客攻擊破壞活動相關案件平均每年增長110%。從司法實踐來看,制作傳播計算機病毒、侵入和攻擊計算機信息系統的犯罪增長迅速,非法獲取計算機信息系統數據、非法控制計算機信息系統的犯罪日趨增多,制作銷售黑客工具、倒賣計算機信息系統數據和控制權等現象十分突出。這些違法犯罪行為具有嚴重的社會危害性,不僅破壞了計算機信息系統運行安全與信息安全,而且危害了國家安全和社會公共利益,侵害了公民、法人和其他組織的合法權益。
嚴厲打擊危害計算機信息系統安全犯罪,加大對信息網絡安全的保護力度,刻不容緩。然而,在辦理危害計算機信息系統安全案件的過程中,適用刑法相關規定遇到了一些問題,需要進一步明確:一是刑法第二百八十五條、第二百八十六條規定的有關術語,如“專門用于侵入、非法控制計算機信息系統的程序、工具”和“計算機病毒等破壞性程序”等,其含義需作進一步明確。二是刑法第二百八十五條、第二百八十六條涉及的“情節嚴重”、“情節特別嚴重”、“后果嚴重”、“后果特別嚴重”等規定缺乏具體認定標準,辦案部門認識不一,難以操作。三是對于倒賣計算機信息系統數據和控制權等行為的定性、以單位名義或者形式實施危害計算機信息系統安全犯罪的處理、危害計算機信息系統安全共同犯罪的處理等疑難問題,司法實務部門反映突出。鑒此,為適應司法實踐需要,明確危害計算機信息系統安全犯罪的法律適用問題,最高人民法院、最高人民檢察院聯合制定了《解釋》。
問:請介紹一下《解釋》的主要內容。
答:《解釋》共有十一條,主要規定了以下幾個方面的內容:一是明確了非法獲取計算機信息系統數據、非法控制計算機信息系統罪,提供侵入、非法控制計算機信息系統程序、工具罪,破壞計算機信息系統罪等犯罪的定罪量刑標準;二是規定了對明知是非法獲取計算機信息系統數據犯罪所獲取的數據、非法控制計算機信息系統犯罪所獲取的計算機信息系統控制權,而予以轉移、收購、代為銷售或者以其他方法掩飾、隱瞞的行為,以掩飾、隱瞞犯罪所得罪追究刑事責任;三是明確了對以單位名義或者單位形式實施危害計算機信息系統安全犯罪的行為,應當追究直接負責的主管人員和其他直接責任人員的刑事責任;四是規定了危害計算機信息系統安全共同犯罪的具體情形和處理原則;五是明確了“國家事務、國防建設、尖端科學技術領域的計算機信息系統”、“專門用于侵入、非法控制計算機信息系統的程序、工具”、“計算機病毒等破壞性程序”的具體范圍、認定程序等問題;六是界定了“計算機信息系統”、“計算機系統”、“身份認證信息”、“經濟損失”等相關術語的內涵和外延。
問:《解釋》在制定過程中有哪些考慮?
答:為確保《解釋》的內容科學合理,能夠適應形勢發展、滿足司法實踐需要,我們在起草過程中,著重注意把握了以下幾點:
第一,科學合理確定危害計算機信息系統安全犯罪的定罪量刑標準。為給司法實務提供可操作的定罪量刑標準,《解釋》的不少條款都涉及到數量或者數額。基于嚴厲打擊危害計算機信息系統安全犯罪的考慮,我們立足司法實踐,切實貫徹寬嚴相濟刑事政策,對數量數額標準作出了相應規定。在制定過程中,我們組織專門力量深入司法實踐,了解具體案件,為確定行為的社會危害性程度提供了依據,并充分聽取了各方意見,最終確定了定罪量刑的相關數量或者數額標準。例如,根據數據的重要性程度不同,對非法獲取計算機信息系統數據罪的入罪標準予以合理區分,非法獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上的構成犯罪,而非法獲取其他身份認證信息五百組以上的,才構成犯罪;根據司法實踐的具體情況,并考慮有效懲治和震懾非法控制計算機信息系統犯罪的需要,將非法控制計算機信息系統罪的入罪標準規定為二十臺以上。
第二,注重斬斷危害計算機信息系統安全犯罪的利益鏈條。近年來,危害計算機信息系統安全犯罪猖獗和泛濫的深層次原因,是制作黑客工具、銷售黑客工具、非法獲取數據、非法控制計算機信息系統、倒賣非法獲取的數據、倒賣非法控制的計算機信息系統的控制權等各個環節分工合作,形成了環環相扣的利益鏈條。因此,打擊危害計算機信息系統安全犯罪的關鍵是要斬斷利益鏈條,這是制定《解釋》所要解決的核心問題之一。《解釋》的相關規定明確了制作黑客工具、銷售黑客工具、非法獲取數據、非法控制計算機信息系統、倒賣非法獲取的數據、倒賣非法控制的計算機信息系統的控制權等各種行為的刑事責任,有利于從源頭上切斷利益鏈條,有效遏制危害計算機信息系統安全犯罪的蔓延和泛濫。
第三,有效解決打擊危害計算機信息系統安全犯罪司法實踐中反映突出的法律適用問題。多年來,司法機關在辦理危害計算機信息系統安全犯罪案件的過程中遇到了困難。在《解釋》起草過程中,我們立足于司法實踐,明確了危害計算機信息系統安全犯罪的定罪量刑標準,并特別解決了掩飾、隱瞞計算機信息系統數據和控制權行為的定性、以單位名義或者形式實施危害計算機信息系統安全犯罪的處理原則、危害計算機信息系統安全共同犯罪的處理原則等長期困擾司法實踐的突出問題。
問:如何處理掩飾、隱瞞計算機信息系統數據、控制權行為?
答:目前,收購、代為銷售或者以其他方法掩飾、隱瞞計算機信息系統數據和控制權的行為已經非常泛濫,甚至形成了大規模的網上交易平臺。為嚴厲打擊這一行為,《解釋》規定,明知是非法獲取計算機信息系統數據犯罪所獲取的數據、非法控制計算機信息系統犯罪所獲取的計算機信息系統控制權,而予以轉移、收購、代為銷售或者以其他方法掩飾、隱瞞的,以掩飾、隱瞞犯罪所得罪定罪處罰。主要有如下考慮:一是計算機信息系統數據和控制權是一種無形物,屬于“犯罪所得”的范疇,理應成為掩飾、隱瞞犯罪所得罪的對象。
將計算機信息系統數據、控制權解釋為犯罪所得,符合罪刑法定原則。二是從刑法體系看,刑法第三百一十二條的掩飾、隱瞞犯罪所得罪的上游犯罪應該涵蓋第一百九十一條洗錢罪規定的上游犯罪以外的所有犯罪,理應適用于第二百八十五條、第二百八十六條規定的危害計算機信息系統安全犯罪。三是作出這種解釋,也是司法實踐的現實需要。從危害計算機信息系統安全犯罪的現狀來看,掩飾、隱瞞計算機信息系統數據、控制權的現象十分突出,不予以打擊將無法切斷危害計算機信息系統安全犯罪的利益鏈條,難以切實保障計算機信息系統安全。
問:如何處理危害計算機信息系統安全犯罪的共犯問題?
答:同傳統犯罪不同,危害計算機信息系統安全犯罪活動分工細化,形成了利益鏈條,導致危害計算機信息系統安全犯罪活動迅速蔓延。為斬斷危害計算機信息系統安全犯罪的利益鏈條,《解釋》第九條專門對危害計算機信息系統安全犯罪的共犯問題作出了規定,并根據寬嚴相濟刑事政策的要求,對共犯的成立設置了獨立的定罪量刑標準,對情節嚴重的行為予以刑事懲治。具體而言,主要有如下三種共同犯罪形式:一是明知他人實施破壞計算機信息系統犯罪行為,而為其提供用于破壞計算機信息系統功能、數據或者應用程序的程序、工具的;二是明知他人實施危害計算機信息系統安全犯罪行為,為其提供互聯網接入、服務器托管、網絡存儲空間、通訊傳輸通道、費用結算、交易服務、廣告服務、技術培訓、技術支持等幫助的;三是明知他人實施危害計算機信息系統安全犯罪行為,通過委托推廣軟件、投放廣告等方式向其提供資金的。
問:如何界定“計算機信息系統”和“計算機系統”的范圍?
答:刑法第二百八十五條、第二百八十六條使用了“計算機信息系統”、“計算機系統”兩種表述,其中刑法第二百八十六條第三款有關制作、傳播計算機病毒等破壞性程序的條款中使用的是“計算機系統”,其他條款使用的則是“計算機信息系統”。刑法區分這兩者的原意是考慮侵入計算機信息系統、破壞計算機信息系統功能、數據或者應用程序的對象應當是數據庫、網站等提供信息服務的系統,而傳播計算機病毒如果只影響計算機操作系統(計算機系統)本身,即使不對系統上的信息服務造成影響也應當受到處罰。但隨著計算機技術的發展,計算機操作系統與提供信息服務的系統已密不可分。如很多操作系統自身也提供WEB(互聯網)服務、FTP(文件傳輸協議)服務,而侵入操作系統也就能夠實現對操作系統上提供信息服務的系統實施控制,破壞操作系統的數據或者功能也就能夠破壞操作系統上提供信息服務的系統的數據或者功能,從技術角度無法準確劃分出提供信息服務的系統和操作系統。而且,從保護計算機信息系統安全這一立法目的出發,對這兩種表述進行區分沒有必要。不論危害的是計算機操作系統還是提供信息服務的系統,只要情節嚴重或者造成嚴重后果的,都應當追究刑事責任。因此,《解釋》對“計算機信息系統”和“計算機系統”作了統一界定。
隨著信息技術的發展,各類內置有可以編程、安裝程序的操作系統的數字化設備廣泛應用于各個領域,其本質與傳統的計算機信息系統和計算機系統已沒有差別。而且,任何內置有操作系統的具備自動處理數據功能的設備都可能成為侵入、破壞和傳播計算機病毒的對象,應當將這些設備的安全納入刑法保護范疇。因此,《解釋》采用了概括加例舉的解釋方法,將“計算機信息系統”、“計算機系統”界定為“具備自動處理數據功能的系統,包括計算機、網絡設備、通信設備、自動化控制設備等。”其中,網絡設備是指路由器、交換機等組成的用于連接網絡的設備;通信設備包括手機、通信基站等用于提供通信服務的設備;自動化控制設備是指在工業中用于實施自動化控制的設備,如電力系統中的監測設備、制造業中的流水線控制設備等。
