2011年8月29日,最高人民法院、最高人民检察院联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下称《解释》),于9月1日起施行。《解释》针对危害计算机信息系统安全刑事犯罪及其单位犯罪、共同犯罪等问题,进一步明确了适用法律依据并规定了具体的定罪量刑标准。这是最高人民法院、最高人民检察院为进一步打击危害计算机信息系统安全犯罪,维护信息安全和网络安全,保障互联网行业健康发展的一个重要举措。为便于深入理解和掌握《解释》的基本精神和主要内容,现就《解释》的有关问题解读如下。
一、制定《解释》的背景及过程
为保护计算机信息系统安全,1997年刑法和2000年全国人大常委会《关于维护互联网安全的决定》作出了相关规定,2009年《刑法修正案(七)》增加规定了非法获取计算机信息系统数据、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪。随着计算机信息技术的不断发展,危害计算机信息系统安全犯罪也呈现出新的形式和特点,特别是当前黑客攻击破坏活动非常猖獗,危害计算机信息系统安全犯罪已经逐步形成由制作黑客工具、销售黑客工具、非法获取数据、非法控制计算机信息系统、倒卖非法获取的数据、倒卖非法控制的计算机信息系统控制权等各个环节构成的利益链条,有关部门和公安机关反映有的法律适用问题需要进一步明确。
2010年2月,公安部向“两高”发函,商请研究制定办理黑客攻击破坏活动刑事案件相关司法解释。之后,“两高”、公安部组成调研组共同在北京、上海、浙江等地开展多次调研活动,针对当前司法实践中制约依法惩治危害计算机信息系统安全犯罪的主要问题,起草了司法解释稿,并广泛征求和听取了当地公安、检察、法院等有关部门的意见。2010年7月至2011年1月,“两高”就该解释分别书面征求了全国法院系统、检察院系统及全国人大常委会法工委、工业和信息化部、国家安全部、国家保密局等单位和部门的意见。召开专家论证会,听取了北京大学、清华大学、中国人民大学、中国政法大学、北京邮电大学等单位的专家学者的意见。经综合各方面的意见,多次研究修改,2011年6月20日由最高人民法院审判委员会第1524次会议、2011年7月11日由最高人民检察院第十一届检察委员会第63次会议分别审议通过了《解释》。
二、《解释》的主要内容及适用
(一)关于非法获取计算机信息系统数据、非法控制计算机信息系统罪的定罪量刑标准。《解释》第一条共分三款,明确了刑法第二百八十五条第二款非法获取计算机信息系统数据、非法控制计算机信息系统罪的两档定罪量刑标准。
第一款规定了“情节严重”的五项具体认定标准。具体来说,第一项、第二项以非法获取身份认证信息的数量为标准。根据司法实践的情况,综合考虑行为的社会危害性,区分不同类型的身份认证信息作了规定:获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上即属“情节严重”;获取网上金融服务以外的其他网络服务的身份认证信息五百组以上的,应当认定为“情节严重”。主要考虑是:司法实践中,行为人非法侵入他人计算机信息系统的主要目的之一,是非法窃取该计算机信息系统中存储、处理或者传输的数据,其中用于认证用户身份的身份认证信息又是窃取的重点,此类数据通常是网络安全的重要防线,与计算机信息系统安全紧密相关,有必要予以重点保护。目前,非法获取网络金融服务的账号、密码等身份认证信息的犯罪活动较为猖獗,行为人主观恶性较大,而且极易给被害人造成经济损失,其数量标准应从严规定。非法获取其他网络服务的身份认证信息,在实践中情况比较复杂,如有的网站安全防范措施不到位,有的论坛大量账号处于闲置状态,因此其数量标准不宜过低,避免刑事打击面过大。需要说明的是,由于在获取有的网络服务身份认证信息的同时,也必然获取其账号名下的游戏装备、虚拟货币等“虚拟财产”,而刑法理论界和实务界对于“虚拟财产”的范畴及其能否成为侵财类犯罪的犯罪对象,都存在较大争议,因此本款仅从构成危害计算机信息系统安全犯罪的角度作了规定。第三项以非法控制计算机信息系统的数量为标准,规定非法控制计算机信息系统二十台以上的,应当认定为“情节严重”。主要考虑是:黑客利用各种木马程序、后门程序侵入计算机信息系统后,不破坏计算机信息系统的原有功能或者数据,而是通过对他人计算机信息系统进行非法控制实施特定操作行为。许多黑客通过非法控制大量计算机信息系统组建“僵尸网络”,进而操纵“僵尸网络”攻击网站、弹出广告、推广流氓软件,严重扰乱网络管理秩序。据统计,全世界“僵尸网络”的75%位于我国,有的“僵尸网络”控制的计算机信息系统甚至多达数十万台,已成为我国互联网安全的重大隐患,有必要予以刑事打击。第四项以违法所得数额和造成经济损失数额为标准,规定违法所得五千元以上或者造成经济损失一万元以上的,应当认定为“情节严重”。主要考虑是实践中行为人非法获取数据、非法控制计算机信息系统的主要目的是牟利,且容易给相关权利人造成经济损失,如利用非法获取的上网账号免费上网,利用非法控制的计算机信息系统点击网站、广告等。第五项则是兜底条款。
第二款根据本罪的性质和危害程度,并参照以往有关司法解释,以“情节严重”的五倍为标准,规定了“情节特别严重”的情形。
第三款明确了明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的行为的定罪处罚问题。实践中,有的行为人非法控制计算机信息系统后,通过倒卖控制权获利,购买者明知是他人非法控制的计算机信息系统,而使用该计算机信息系统的控制权,使得该计算机信息系统继续处于被控制状态,其行为实质也是非法控制行为,故第三款明确规定对此种行为适用前两款关于非法控制计算机信息系统罪的定罪量刑标准。
(二)关于“专门用于侵入、非法控制计算机信息系统的程序、工具”的具体范围。《解释》第二条明确了刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”的具体范围。本条解释的难点是对“专门用于侵入、非法控制计算机信息系统的程序、工具”中的“专门”一词予以明确。经研究认为,所谓“专门”体现为程序、工具本身用途的非法性,而程序、工具的用途又是由其功能所决定的,如果某款程序、工具在功能设计上决定其只能用来非法实施控制、获取数据的行为,则可以纳入“专门用于侵入、非法控制计算机信息系统的程序、工具”的范畴。其主要包括三方面特征:一是此类程序、工具本身具有避开或者突破计算机信息系统安全保护措施的功能。有的木马程序既可用于合法目的也可用于非法目的,属于“中性程序”。通常情况下,黑客使用的木马程序可以故意逃避杀毒程序的查杀、防火墙的控制,其区别于“中性程序”的主要特征是能够“避开或者突破计算机信息系统安全保护措施”,如自动停止杀毒软件的功能、自动卸载杀毒软件等,在互联网上广泛销售的所谓“免杀”木马程序即属于此种类型的木马程序。二是此类程序、工具获取数据和控制功能,在设计上能在未经授权或者超越授权的状态下得以实现。这是专门程序、工具区别于“中性程序”的典型特征,是其违法性的集中体现。三是此类程序、工具本身具有获取计算机信息系统数据,控制计算机信息系统的功能。这里主要强调了程序、工具本身的获取数据和控制功能。
基于上述考虑,本条第一项、第二项分别将符合以上三个特征的“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能”和“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能”的程序、工具列为“专门用于侵入、非法控制计算机信息系统的程序、工具”。第三项是兜底条款,主要考虑是:在黑客攻击破坏活动中还存在很多为实施违法犯罪活动而专门设计的程序、工具,比如攻击者针对某类网吧管理系统的漏洞专门设计的侵入程序,针对某个网络银行系统专门设计专用的侵入程序,此类程序难以进行详细分类并一一列举,也难以准确地概括其客观特征。因此,本项规定主要通过程序、工具设计者的主观目的作出界定,将“其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具”也列入“专门用于侵入、非法控制计算机信息系统的程序、工具”的范围。
(三)关于提供侵入、非法控制计算机信息系统程序、工具罪的定罪量刑标准。《解释》第三条共分两款,明确了刑法第二百八十五条第三款提供侵入、非法控制计算机信息系统的程序、工具罪的两档定罪量刑标准。
第一款规定了“情节严重”的六项具体认定标准。具体来说,第一项、第二项以提供专门用于侵入、非法控制计算机信息系统的程序、工具的人次数量为标准,区分不同类型的程序、工具作了规定:提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;提供用于非法获取网络金融服务身份认证信息以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的,应当认定为“情节严重”。第三项、第四项以明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的人次数量为标准,区分明知内容的不同作了规定:明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的;明知他人实施其他侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的,应当认定为“情节严重”。第五项以违法所得数额和造成经济损失数额为标准,规定违法所得五千元以上或者造成经济损失一万元以上的,应当认定为“情节严重”。主要考虑是实践中行为人非法提供黑客程序、工具的主要目的是牟利,正是在非法获利的驱动下互联网上销售各类黑客程序、工具的行为才会日益泛滥,且容易给相关权利人造成经济损失,因此有必要作出规定。第六项是兜底条款。
第二款以“情节严重”的五倍为标准,规定了“情节特别严重”的情形。
(四)关于破坏计算机信息系统功能、数据或者应用程序的行为,构成破坏计算机信息系统罪的定罪量刑标准。《解释》第四条共分两款,明确了刑法第二百八十六条第一款、第二款破坏计算机信息系统功能、数据或者应用程序的行为,构成破坏计算机信息系统罪的两档定罪量刑标准。
第一款规定了“后果严重”的六项具体认定标准。具体来说,第一项、第二项以破坏计算机信息系统的数量为标准,规定造成十台以上计算机信息系统的主要软件或者硬件功能不能正常运行,或者对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的操作,应当认定为“后果严重”。主要考虑:一是计算机信息系统是由硬件、操作系统及其他相关软件组合而成,行为人违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统的主要软件或者硬件功能不能正常运行,事实上已经造成计算机信息系统不能正常运行的后果。二是行为人违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,事实上也已造成破坏计算机信息系统的后果。第三项以违法所得数额和造成经济损失数额为标准,规定违法所得五千元以上或者造成经济损失一万元以上的,应当认定为“后果严重”。第四项针对特定类型的计算机信息系统作出专门规定:造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的,应当认定为“后果严重”。主要理由是:在网络上存在很多为其他计算机信息系统提供基础服务的系统,如域名解析服务器、路由器、身份认证服务器、计费服务器等,对这些服务器实施攻击可能导致大量的计算机信息系统瘫痪,比如一个域名解析服务器可能为数万个网站提供域名解析服务,对其实施拒绝服务攻击将可能导致数万个网站无法访问,表面上其攻击行为仅破坏了一台服务器的功能,但由此引发的后果却非常严重,有必要予以特殊保护。第五项是兜底条款。
第二款规定了“后果特别严重”的具体认定标准。破坏计算机信息系统的数量、违法所得和造成经济损失的数额在“后果严重”和“后果特别严重”的标准之间掌握为五倍的倍数关系。此外考虑到国家机关或者金融、电信、交通、教育、医疗、能源领域的计算机信息系统主要用于提供公共服务,破坏其功能或者数据会致使生产、生活受到严重影响或者造成恶劣社会影响,严重扰乱社会正常秩序,损害人民群众的切身利益,因此将其也作为“后果特别严重”的情形之一予以规定。
(五)关于“计算机病毒等破坏性程序”的具体范围。《解释》第五条明确了刑法第二百八十六条第三款规定的“计算机病毒等破坏性程序”的具体范围。“计算机病毒等破坏性程序”具有寄生性、传染性、潜伏性、隐蔽性、可触发性等特点,对于计算机信息系统和互联网都具有巨大的危害和破坏性,可能会消耗大量的资金、人力和计算机资源,甚至破坏各种文件及数据,造成计算机及网络的瘫痪,带来难以挽回的损失。具体包括以下三类程序:一是能够通过网络、存储介质、文件等媒介,将自身的部分、全部或者变种进行自我复制、传播,并破坏计算机系统功能、数据或者应用程序的程序。此类程序即“计算机病毒”,其特点是容易引起大规模传播,而且一经传播即无法控制其传播范围,对计算机信息系统安全具有较大危害性。二是能够在预先设定条件下自动触发,并破坏计算机系统功能、数据或者应用程序的程序。此类程序即“逻辑炸弹”,一旦符合预先设定条件被触发即可破坏计算机信息系统功能或者程序,即使是在未触发之前仍存在潜在的破坏性,也应属于“破坏性程序”。三是为实施破坏计算机系统功能、数据或者应用程序的违法犯罪行为而专门设计的程序。此类程序难以进行详细分类并一一列举,也难以准确地概括其客观特征,主要通过程序设计者的主观目的作出界定,即“其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序”。
(六)故意制作、传播计算机病毒等破坏性程序的行为,构成破坏计算机信息系统罪的定罪量刑标准。《解释》第六条共分两款,明确了刑法第二百八十六条第三款故意制作、传播计算机病毒等破坏性程序的行为,构成破坏计算机信息系统罪的两档定罪量刑标准。
第一款明确了“后果严重”的五项具体认定标准。第一项、第二项针对不同类型的“计算机病毒等破坏性程序”分别规定了标准:制作、提供、传输第五条第一项规定的程序,导致该程序通过网络、存储介质、文件等媒介传播的,应当认定为“后果严重”;造成二十台以上计算机系统被植入第五条第二、三项规定的程序的,应当认定为“后果严重”。理由:一是第五条第一项规定的程序能够自我复制、传播,容易引起大规模传播,而且无法控制其传播范围,也难以对被侵害的计算机逐一取证确认其危害后果,对计算机系统安全具有较大的危害性。因此,只要行为人实施制作、提供、传输行为,就应当认定为“后果严重”。二是第五条第二、三项规定的程序在未触发之前只具有潜在的破坏性,只有在计算机系统被植入该程序后,才对计算机系统安全构成现实威胁。这里,规定二十台作为认定“后果严重”的标准。第三项、第四项以提供计算机病毒等破坏性程序的人次、违法所得数额、经济损失数额为标准,规定提供计算机病毒等破坏性程序十人次以上、违法所得五千元以上或者造成经济损失一万元以上,应当认定为“后果严重”。第五项是兜底条款。
第二款明确了“后果特别严重”的具体认定标准。鉴于计算机病毒的危害特点,第一项规定制作、提供、传输第五条第一项规定的程序,导致该程序通过网络、存储介质、文件等媒介传播,致使生产、生活受到严重影响或者造成恶劣社会影响的,应属“后果特别严重”。第二项的相关数量数额标准在“后果严重”和“后果特别严重”之间掌握为五倍的倍数关系。第三项是兜底条款。
(七)关于明知是非法获取计算机信息系统数据、非法控制计算机信息系统犯罪所获取的数据、控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒行为的定性问题。《解释》第七条共分三款,明确了对明知是非法获取计算机信息系统数据、非法控制计算机信息系统犯罪所获取的数据、控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒行为,以掩饰、隐瞒犯罪所得罪追究刑事责任的定罪量刑标准。
《刑法修正案(六)》、《刑法修正案(七)》先后两次对1997年刑法第三百一十二条进行了修改,形成了现在的规定:“明知是犯罪所得及其产生的收益而予以窝藏、转移、收购、代为销售或者以其他方法掩饰、隐瞒的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;情节严重的,处三年以上七年以下有期徒刑,并处罚金。”“单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。”经研究认为,刑法第二百八十五条第二款非法获取计算机信息系统数据、非法控制计算机信息系统罪的犯罪所得,即计算机信息系统数据、控制权,可以成为掩饰、隐瞒犯罪所得罪的犯罪对象。主要理由:一是从刑法修改的出发点和立法精神来看,刑法第三百一十二条的对象不限于赃物,而是涵括除刑法第一百九十一条洗钱罪的上游犯罪以外的所有犯罪的犯罪所得及其产生的收益。二是计算机信息系统数据、控制权是一种无形物,可以纳入广义的财物范畴,将计算机信息系统数据、控制权解释为犯罪所得,符合立法原意。三是本条解释适应司法实践的现实需要。从危害计算机信息系统安全犯罪的现状来看,转移、收购、代为销售计算机信息系统数据、控制权的现象十分突出,不予以打击将难以切断危害计算机信息系统安全犯罪的利益链条,难以切实保障计算机信息系统安全。在征求意见的过程中,公安、检察、法院系统和刑法专家对本条规定均持支持和肯定态度。
本条第一款结合非法获取计算机信息系统数据、非法控制计算机信息系统罪的具体行为方式,规定明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒,违法所得数额在五千元以上的,以掩饰、隐瞒犯罪所得罪定罪处罚。第二款规定违法所得数额在五万元以上的,应当认定为掩饰、隐瞒犯罪所得罪“情节严重”的情形。第三款规定单位犯罪的,定罪量刑标准依照自然人犯罪的定罪量刑标准执行。
(八)关于以单位名义或者单位形式实施危害计算机信息系统安全犯罪如何追究刑事责任的问题。《解释》第八条明确了对以单位名义或者单位形式实施危害计算机信息系统安全犯罪的行为,应当追究直接负责的主管人员和其他直接责任人员的刑事责任。
刑法第二百八十五条、第二百八十六条规定的危害计算机信息系统安全犯罪是自然人犯罪。但在司法实践中,不少危害计算机信息系统安全犯罪是以单位名义或者单位形式组织实施的。由于相关司法机关在具体案件办理过程中,对以单位名义或者单位形式实施危害计算机信息系统安全犯罪应如何追究刑事责任的问题容易产生认识分歧,导致此类案件往往难以处理。经研究,在《解释》中专设一条予以明确规定。主要考虑是:第一,对以单位名义或者形式实施危害计算机信息系统安全犯罪追究直接负责的主管人员和其他直接责任人员的刑事责任,是司法实践的现实需要。由于组织实施危害计算机信息系统安全犯罪有一定的技术、资金要求,实践中不少此类案件是一些网络公司、增值服务公司组织实施的。这些公司并非为了进行违法犯罪活动而设立,设立后也不是以实施犯罪为主要活动,其实施的犯罪行为往往以其他合法的主营业务为掩护或依托,依照刑法和现有司法解释的规定难以追究刑事责任,实践中导致不少严重危害计算机信息系统安全的行为无法得到有效惩治。第二,对以单位名义或者形式实施犯罪的案件追究直接负责的主管人员和其他直接责任人员的刑事责任符合刑法的规定,也是当前打击犯罪、维护社会秩序的需要。
(九)关于危害计算机信息系统安全共同犯罪的具体情形和定罪量刑标准。《解释》第九条共分两款,明确了危害计算机信息系统安全犯罪共同犯罪的具体情形,并单独规定了定罪量刑标准。
第一款具体规定了三项定罪量刑标准:一是提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具,违法所得五千元以上或者提供十人次以上的。主要考虑是:根据刑法二百八十五条第三款的规定,将明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而向其提供程序、工具的行为单独入罪,而对于“明知他人实施破坏计算机信息系统功能或者数据的犯罪行为,而为其提供程序或者工具”的行为未作规定,因此本项将其作为共同犯罪处理。二是提供互联网接人、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助,违法所得五千元以上的。三是通过委托推广软件、投放广告等方式向其提供资金五千元以上的。各项中的数量数额标准按照公安机关提供的实际营利模式情况计算得出,其社会危害性基本相当。
第二款“情节特别严重”或者“后果特别严重”的标准与第一款的标准之间掌握为五倍的倍数关系。
(十)关于“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”的认定方法问题。《解释》第十条明确对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。
根据刑法第二百八十五条第一款的规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,即构成非法侵入计算机信息系统罪。从司法实践来看,非法侵入计算机信息系统罪在适用中存在的困难是“国家事务、国防建设、尖端科学技术领域”(以下称“三大领域”)的概念较为模糊,难以准确把握,实践中容易产生分歧意见。经研究认为,从立法精神看,必须严格把握“三大领域”计算机信息系统的范围,不宜作扩大解释。鉴于目前对“三大领域”作出准确界定有一定困难,需要结合司法实践进一步深入研究,《解释》先就“三大领域”的认定问题作出规定。主要理由:一是根据《计算机信息系统安全保护条例》第六条的规定,公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。在实践中,司法机关应当委托省级以上公安机关进行检验,公安机关可以根据案件具体涉及的领域,向国家安全、保密或者其他有关主管部门中征求意见。二是司法机关作出司法认定,不是以有关主管部门的检验结论为唯一依据,还要结合行为人的侵入行为、方法、后果等案件具体情况认定。同时,考虑到“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”的认定具有较强专业性,为确保相关案件依法正确、稳妥处理,本条对有关司法认定问题也作了规定。
(十一)关于“计算机信息系统”、“计算机系统”、“经济损失”、“身份认证信息”等相关术语的含义。《解释》第十一条共分三款,分别对本解释中的“计算机信息系统”、“计算机系统”、“经济损失”、“身份认证信息”等相关术语的内涵和外延作了明确。
第一款对本解释中“计算机信息系统”和“计算机系统”的内涵和外延进行了界定。刑法二百八十六条、第二百八十六条使用了“计算机信息系统”与“计算机系统”两种表述,其中刑法二百八十六条第三款有关制作、传播计算机病毒等破坏性程序的条款中使用的是“计算机系统”,其他条款使用的则是“计算机信息系统”。为避免司法实践中产生认识分歧,本款对这两种表述作了统一界定,主要考虑:一是从技术角度看,区分不具实质意义。随着计算机技术的发展,计算机操作系统与提供信息服务的系统已密不可分。二是从保护计算机信息系统安全的目的出发,区分不具现实意义。不论破坏的是计算机操作系统还是破坏提供信息服务的系统,只要造成严重后果或者有严重情节,都应当受到同等的处罚。三是经对美国、德国等国的网络犯罪立法进行研究,这些国家均在立法中使用单一的计算机系统、计算机等术语,而未对计算机信息系统和计算机系统做出区分。经征求意见,技术专家均认为在目前的计算机技术条件下,“计算机信息系统”和“计算机系统”没有本质区别。本款将“计算机信息系统”和“计算机系统”统一界定为“具备自动处理数据功能的设备”,原因如下:一是具备自动处理数据功能的设备都可能成为被攻击的对象,有必要将其纳入刑法保护范畴。随着信息技术的发展,各类内置有可以编程、安装程序的操作系统的数字化设备广泛应用于各个领域,其本质与传统的计算机系统已没有任何差别。这些设备都可能受到攻击破坏:如互联网上有人销售专门用于控制手机的木马程序,可以通过无线网络获取手机中的信息;如在工业控制设备中可能植入破坏性程序,使得工业控制设备在特定条件下运行不正常;如在打印机、传真机等设备中可以内置程序秘密获取相关数据。总之,任何内置有操作系统的智能化设备都可能成为入侵、破坏和传播计算机病毒的对象,因此应当将这些设备的安全纳入刑法保护范畴。二是本定义借鉴了多个国家有关法律的相关定义。如美国将计算机定义为“具备自动处理数据的功能的一个或者一组设备”,欧盟网络犯罪公约将计算机定义为“由软件和硬件构成的用于自动处理数据的设备”,其出发点都是将保护计算机信息系统安全的法律适用于所有具有自动处理数据功能的设备。为使相关界定更加明确,方便司法机关理解、适用,本款采用了概括加列举的解释方法,即在对“计算机信息系统”和“计算机系统”作归纳定义的同时,还列举“计算机、网络设备、通信设备、自动化控制设备”等具体设备。其中,网络设备是指路由器、交换机等用于连接网络的设备;通信设备包括手机、通信基站等用于提供通信服务的设备;自动化控制设备是指在工业中用于实施自动化控制的设备,如电力系统中的监测设备、制造业中的流水线控制设备等。
第二款明确了本解释中“经济损失”的计算范围,具体包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。需要注意的是,破坏计算机信息系统功能、数据给用户间接造成的经济损失,如用户损失的预期利益等,不能纳入“经济损失”的计算范围。
第三款明确了本解释中“身份认证信息”的内涵和外延。考虑到司法实践的具体情况,采用了概括加列举的方法,将“身份认证信息”界定为用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。