非法获取计算机信息系统数据罪问题研究

关于“违反国家规定”的理解与适用

司法实践中，认定“非法获取计算机信息系统数据罪”时，应当注意把握如下四个关键性要件:一是“违反国家规定”;二是“侵入”或者“采用其他技术手段”;三是“获取该计算机信息系统中存储、处理或者传输的数据”;四是“情节严重”。这四个要件分别指向如下:一是刑法保护的法益(或者称法律意图保护的社会关系或社会秩序);二是犯罪所采用的手段或路径;三是犯罪行为具体的目标指向;四是行为危害程度大小。司法机关在实际办理本罪案件过程中，提出了如何理解和适用本罪规定的“违反国家规定”的问题。这是一个看似简单明了，甚至无须深究，但实则是涉及罪与非罪的大问题。对此理论界主要有以下两种不同的观点:一种观点认为，从立法技术上，这属于声明性质的规定，强调的是对法益的捍卫和保护(或者可以理解为对犯罪客体的指明)，其指向的应当是国家通过宪法、法律、行政法规和部门规章等规范性文件建立起来的一整套制度体系，既可能是某一或某些具体的条文规定，也可能是制度体系的核心精神。无论怎样理解，都不宜将其局限于某一特定条文规定。这种立法技术，在《刑法》第286、288条均有相同的体现，如果实践中强求找出相对应的“国家规定”，则可能失之偏颇②。

另一种观点认为，根据《刑法》第96条的规定，违反国家规定，是指违反全国人大及其常委会制定的法律和决定，国务院制定的行政法规、规定的行政措施、的决定和命令。根据这一规定，要构成相应的犯罪，行为必须以违反全国人大及其常委会和国务院有关的明文规定为前提，否则不能追究行为人的刑事责任。笔者认为，针对本罪名中“违反国家规定”的理解与适用，既不能以纯粹的“法益论”为根据，这样易走上法律“虚无主义”的歧途，违背罪行法定的基本刑法原则，毕竟《刑法》第96条对“违反国家规定”做了非常明确的解释，但也不能完全局限于第二种“机械论”的观点。具体到本罪名，大前提是行为人主观上都是出于故意，侵犯的客体都是计算机信息系统的安全。如果以第一种观点论，则“违反国家规定”指的是行为人违反了国家通过全国人大常委会《维护互联网安全的决定》、国务院《计算机信息系统安全保护条例》等等法律、法规建立起来的计算机信息系统安全保护制度;如果以第二种观点论，“违反国家规定”则是:第一，行为人违反全国人大常委会《关于维护互联网安全的决定》第三条第(三)项“利用互联网侵犯他人知识产权”和第四条第(二)项“非法截获他人其他数据资料”的规定(有的犯罪行为可能与侵犯著作权罪或侵犯商业秘密罪形成竞合犯的关系)。第二，行为人违反了国务院《中华人民共和国计算机信息系统安全保护条例》第七条“任何组织或个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全”之规定。因此，笔者的观点倾向于后者。

实践中，有办案人员将“违反国家规定”与犯罪手段或方法联系起来理解，希望在“国家规定”中找关于犯罪方法或手段的直接规定，且有些与计算机有关的犯罪确实能够找到，但是这不能反过来证明这种理解就是正确的，应当说这种理解是狭隘和片面的。就本罪名来说，上述法条已经将对法益的违反与犯罪手段的利用进行了分别叙述，并对所采用的犯罪手段做了明确的规定，如此联系起来理解显然不符合法条本意。

对于“侵入”和“采用其他技术手段”的界定

根据《刑法》及其司法解释的规定，构成非法获取计算机信息系统数据罪的犯罪手段或路径有两个:一是“侵入”;二是“采用其他技术手段”，下面分别进行分析。

(一)“侵入”的界定

《现代汉语词典》的解释是“(敌人)进入境内;(外来的或有害的事物)进入内部”［1］。显然这个“侵入”的解释带有贬义色彩和进攻性意味。在非法获取计算机信息系统数据罪中，“侵入”是指行为人在没有得到许可时，违背计算机信息系统控制人或权利人的意愿，进入其无权进入的计算机信息系统中。非法侵入行为可以分为两类:一是非法用户侵入信息系统，即无权访问特定信息系统的人员通过破解、盗取密码等方式非法侵入该信息系统;二是合法用户的越权访问，即有权访问特定信息系统的用户，未经批准、授权或者未办理相关手续而擅自访问该信息系统或者调取系统内部数据资源。合法用户越权侵入计算机信息系统，其身份即由合法变为非法。这种越权侵入同上述无权侵入在性质上是相同的。实践中常见的侵入方式主要表现为行为人采用破解密码、盗取密码、强行突破安全工具等方法，或者利用他人网上认证信息进入其本无权进入的计算机信息系统。但是我们也应当看到，由于计算机犯罪是新型犯罪，计算机技术日新月异，“侵入”的方式也将随着计算机技术的不断革新而花样翻新，刑法条文和司法解释不可能穷尽列举所有可能“侵入”的手段和方式，这就要求我们在司法实践中不能僵化地、机械地对“侵入”一词进行界定。［2］

(二)“采用其他技术手段”的适用

“采用其他技术手段”是在“侵入”之外的另一类犯罪手段，性质上属于我们常说的兜底性条款。与上述“侵入”比较，这类犯罪手段呈中性和客观色彩，并且囊括了所有的可采用的技术方法。仅就技术方法而言，不仅包括非法的方法，甚至也包括形式上“合法”的方法。但有一个最基本的前提，即:没有得到许可、违背计算机信息系统控制人或所有人的意愿，无权进入却进入了。以上两种手段或路径描述了本罪犯罪构成的客观方面的表现。概而言之，本罪的客观方面由“侵入系统”+“获取数据”，或是“其他手段”+“获取数据”两种行为模式构成。

关于“情节严重”的理解与适用

非法获取计算机信息系统数据罪属于情节犯。在刑法理论中，情节犯由两方面的要素构成，一是行为人实施了非法获取计算机信息系统数据的违法行为，二是其违法行为所造成的危害已达到刑法规定的犯罪程度，需要动用刑罚予以惩治。前者规定的是行为违法性的“质”，后者规定的是行为危害程度的“量”。情节犯就是这个“质”与“量”的统一。本罪名中“情节严重”就是对构成本罪社会危害性“量”的规定。因此，行为人的违法行为情节严重与否，是区分非法获取计算机信息系统数据罪与非罪的重要标准之一。何为“情节严重”?最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)中规定了五种在司法上可以认定为“情节严重”的情形，即非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为《刑法》第285条第2款规定的“情节严重”:(1)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的;(2)获取第(1)项以外的身份认证信息500组以上的;(3)非法控制计算机信息系统20台以上的;(4)违法所得5千元以上或者造成经济损失1万元以上的;(5)其他情节严重的情形。《解释》规定的上述五种“情节严重”的情形中，前四种情况由于客观上造成了现实的、可量化的后果，因此在理解和实际运用上没有什么困难，但是对于第五种“其他情节严重的情形”的理解和认定，确实是比较困难的，也是争议最大的。从立法(包括司法解释等规范性文件的制定)技术上说，该等条款属于“兜底性条款”，目的是为了应对现实情况的复杂性，给予具体司法办案人员一定的根据具体个案的客观情况进行灵活处理的余地，授予其一定范围的自由裁量权。有学者结合具体司法实践中的具体情况提出如下观点:从理论上说，这里的其他严重情节至少包括获取信息的数量、次数、手段、潜在危险性等，从实质上判断其行为的法益侵害性和有责性是否达到需要刑罚处罚的程度，既要防止将没有达到刑罚处罚程度的行为认定为犯罪而随意入罪，又要防止将达到刑罚处罚程度的行为排除在犯罪之外而放纵犯罪［2］。笔者认为这种观点提出了认定本罪“其他情节严重的情形”的一些方法和思路，是值得研究和借鉴的。

非法获取计算机信息系统数据罪与侵犯商业秘密罪的竞合关系

非法获取计算机信息系统数据罪行为人的行为目标指向是获取计算机信息系统中存储、处理或者传输的数据，就犯罪行为侵犯的对象而言，在本罪中，法律关注的是数据存在的方式而不是数据的内容范围，至于这些数据是数据权利人搜集整理的，还是数据权利人独创的，抑或是其他的类型，即不管数据权利人拥有知识产权(包括商业秘密或著作权或者其他权利)，还是没有知识产权，法律并无限定。如果犯罪行为人通过实施本罪，获取的是权利人的著作权或商业秘密等数据，其行为就可能与侵犯著作权罪或侵犯商业秘密罪形成一种法条竞合关系，以下笔者将对本罪与侵犯商业秘密罪的竞合关系进行深入研究。根据《刑法》第219条的规定，侵犯商业秘密罪，是指以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密，或者非法披露、使用或者允许他人使用其所掌握的或获取的商业秘密，给商业秘密的权利人造成重大损失的行为。笔者认为，研究非法获取计算机信息系统数据罪与侵犯商业秘密罪的竞合关系，应当主要关注以下两个方面的问题:其一，行为人通过实施本罪获取的数据是否属于商业秘密?其二，行为人通过实施本罪获取数据的行为是否给商业秘密的权利人造成重大损失?

(一)关于“商业秘密”的认定

对于“商业秘密”的刑法界定，我国刑法沿用了《反不正当竞争法》等10条第3款之规定，《刑法》第219条规定:“本条所称的商业秘密，是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。据此，可以认为我国立法关于商业秘密的构成要件可以归纳为:秘密性(不为公众所知悉)、价值性(能为权利人带来经济利益、具有实用性)、管理性(权利人采取了保密措施)及合法性。这里需要强调的是，“企业保密信息”与“商业秘密”的关系问题。企业保密信息并不一定是商业秘密。从司法实践中的具体案件来看，大多数的案件因为企业把它作为商业秘密，但是因为不符合商业秘密的法定条件而被驳回。真正能够得到法律支持的是少数。企业保密技术也不一定是商业秘密。有这样一则案例，案情是:武汉X公司告天津X公司侵权，涉案事实为17套图纸，涉案图纸承载的技术信息是冷轧硅钢成套设备中的5种单体工业槽。报案单位认为涉案设备“冷轧板带处理线上的酸洗槽、清洗槽、刷洗槽、热水喷淋槽”是保密技术，但是冶金工业信息标准研究院出具的《科技检索报告》检索出与涉案设备有关的国内108项有关的公开资料，充分说明涉案图纸属于公知技术信息，既便它被武汉X公司采取了技术保密措施，也不符合商业秘密法定要件，因此不是商业秘密。实践当中大量存在企业单方面认定的商业秘密范围当中包含公知信息的情况。司法机关进行审查时，应当依法把这些企业认为属于商业秘密而实际上不构成商业秘密的信息剔除出商业秘密的保护范围。一个可资借鉴的方法是委托具有相应资质的第三方鉴定机构进行商业秘密鉴定并出具鉴定报告。

(二)关于“重大损失”的认定

根据《刑法》第219条的规定，要构成侵犯商业秘密罪，行为人的行为必须给商业秘密权利人造成重大损失，否则只能按照普通的民事侵权行为来处理。但是，在司法实践中，“重大损失”究竟应当如何理解及其如何计算至今仍未得到有效解决。据学者统计，在我国司法实践中，以侵犯商业秘密罪被起诉到法院而最终司法机关认定不构成该罪的案件中，大多数是以不存在“重大损失”或证明“重大损失”的证据不充分为理由。因此，对侵犯商业秘密行为造成的“重大损失”予以合理、准确地认定，是查处和准确打击侵犯商业秘密犯罪的关键。考察我国法律体系对侵犯商业秘密行为的规制逻辑，侵犯商业秘密被视为一种典型的不正当竞争行为，我国《反不正当竞争法》第20条明确规定:经营者违反本法规定，给被侵害的经营者造成损害的，应当承担损害赔偿责任，被侵害的经营者的损失难以计算的，赔偿额为侵权人在侵权期间因侵权所获得的利润。2006年最高人民法院《关于审理不正当竞争民事案件应用法律若干问题的解释》第17条规定，侵犯商业秘密行为的损害赔偿额，可以参照确定侵犯专利权的损害赔偿额的方法进行。根据《中华人民共和国专利法》第60条的规定，侵犯专利权的赔偿数额，按照权利人因被侵权所受到的损失或者侵权人因侵权所获得的利益确定;被侵权人的损失或者侵权人获得的利益难以确定的，参照该专利许可使用费的倍数合理确定。据此有学者提出以下认定模式［3］:(1)以侵权行为给权利人造成的损失为第一认定顺序;(2)以侵权人的获利为第二认定顺序;(3)以商业秘密的许可使用费为第三认定顺序;(4)特殊情形下，考虑商业秘密的自身价值。

在厘清侵犯商业秘密罪的上述两个问题之后，笔者认为，如果行为人实施非法获取计算机信息系统数据之犯罪行为时，其获取的数据符合数据权利人的商业秘密的构成要件，且给数据权利人造成的损失达到侵犯商业秘密罪规定的“重大损失”程度，则其犯罪行为既构成了非法获取计算机信息系统数据罪，也构成了侵犯商业秘密罪，形成了法律理论上的竞合关系，司法机关可以根据竞合犯的处理原则，择其重罪认定和处罚。

与传统的杀人、抢劫等犯罪相比较，非法获取计算机信息系统数据罪具有非常强的专业性特点，其犯罪手段的专业性、复杂性和隐蔽性，均是传统的刑事犯罪无法比拟的，并且随着计算机信息技术的日益飞速发展，该犯罪行为所涵盖的犯罪手法也必将不断地发展和更新，社会危害性也会越来越大。本文以《刑法修正案(七)》为基点，从“违反国家规定”“情节严重”“侵入”或“采用其他技术手段”等关键性要件入手，对非法获取计算机信息系统数据罪的理解与适用进行深入探讨，并对非法获取计算机信息系统数据罪与侵犯商业秘密罪的竞合进行研究，提出自己的观点，望能起到抛砖引玉的作用。（本文作者：孙玉荣 单位：北京工业大学法律系）