【非法获取计算机信息系统数据、非法控制计算机信息系统罪】
【提供侵入、非法控制计算机信息系统程序、工具罪】
一、法条分析
主体:年满十六周岁的一般主体,单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
客体:社会主义管理秩序
主观方面:故意
客观方面:非法侵入、非法获取、非法控制、非法提供四类针对计算机信息系统的行为。
二、司法解释
最高人民法院、最高人民检察院研究室负责人就
《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》答记者问
(2011年8月30日)
最高人民法院、最高人民检察院联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》),自2011年9月1日起施行。为帮助广大司法人员和社会公众进一步正确理解《解释》的精神和内容,最高人民法院、最高人民检察院研究室负责人就相关问题回答了记者提问。
问:请介绍一下《解释》出台的背景。
答:随着信息技术和互联网业的快速发展,计算机在现代社会中发挥着越来越重要的作用。计算机的普及在极大地方便了人民群众工作生活的同时,其自身的安全问题也日益突出。为保护计算机信息系统的安全,1997年刑法规定了非法侵入计算机信息系统罪和破坏计算机信息系统罪。针对维护计算机信息系统安全方面出现的新情况,2009年2月28日全国人大常委会通过的《刑法修正案(七)》增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪。这些规定对于维护计算机信息系统安全,打击计算机网络犯罪发挥了重要作用。
近年来,网络犯罪呈上升趋势,我国面临黑客攻击、网络病毒等违法犯罪活动的严重威胁,是世界上黑客攻击的主要受害国之一。据《中国互联网状况》白皮书,2009年我国被境外控制的计算机IP地址达100多万个;被黑客篡改的网站达4.2万个;被“飞客”蠕虫网络病毒感染的计算机每月达1800万台,约占全球感染主机数量的30%。而据公安部提供的情况,近5年来,我国互联网上传播的病毒数量平均每年增长80%以上,互联网上平均每10台计算机中有8台受到黑客控制,公安机关受理的黑客攻击破坏活动相关案件平均每年增长110%。从司法实践来看,制作传播计算机病毒、侵入和攻击计算机信息系统的犯罪增长迅速,非法获取计算机信息系统数据、非法控制计算机信息系统的犯罪日趋增多,制作销售黑客工具、倒卖计算机信息系统数据和控制权等现象十分突出。这些违法犯罪行为具有严重的社会危害性,不仅破坏了计算机信息系统运行安全与信息安全,而且危害了国家安全和社会公共利益,侵害了公民、法人和其他组织的合法权益。
严厉打击危害计算机信息系统安全犯罪,加大对信息网络安全的保护力度,刻不容缓。然而,在办理危害计算机信息系统安全案件的过程中,适用刑法相关规定遇到了一些问题,需要进一步明确:一是刑法第二百八十五条、第二百八十六条规定的有关术语,如“专门用于侵入、非法控制计算机信息系统的程序、工具”和“计算机病毒等破坏性程序”等,其含义需作进一步明确。二是刑法第二百八十五条、第二百八十六条涉及的“情节严重”、“情节特别严重”、“后果严重”、“后果特别严重”等规定缺乏具体认定标准,办案部门认识不一,难以操作。三是对于倒卖计算机信息系统数据和控制权等行为的定性、以单位名义或者形式实施危害计算机信息系统安全犯罪的处理、危害计算机信息系统安全共同犯罪的处理等疑难问题,司法实务部门反映突出。鉴此,为适应司法实践需要,明确危害计算机信息系统安全犯罪的法律适用问题,最高人民法院、最高人民检察院联合制定了《解释》。
问:请介绍一下《解释》的主要内容。
答:《解释》共有十一条,主要规定了以下几个方面的内容:一是明确了非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,破坏计算机信息系统罪等犯罪的定罪量刑标准;二是规定了对明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒的行为,以掩饰、隐瞒犯罪所得罪追究刑事责任;三是明确了对以单位名义或者单位形式实施危害计算机信息系统安全犯罪的行为,应当追究直接负责的主管人员和其他直接责任人员的刑事责任;四是规定了危害计算机信息系统安全共同犯罪的具体情形和处理原则;五是明确了“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”的具体范围、认定程序等问题;六是界定了“计算机信息系统”、“计算机系统”、“身份认证信息”、“经济损失”等相关术语的内涵和外延。
问:《解释》在制定过程中有哪些考虑?
答:为确保《解释》的内容科学合理,能够适应形势发展、满足司法实践需要,我们在起草过程中,着重注意把握了以下几点:
第一,科学合理确定危害计算机信息系统安全犯罪的定罪量刑标准。为给司法实务提供可操作的定罪量刑标准,《解释》的不少条款都涉及到数量或者数额。基于严厉打击危害计算机信息系统安全犯罪的考虑,我们立足司法实践,切实贯彻宽严相济刑事政策,对数量数额标准作出了相应规定。在制定过程中,我们组织专门力量深入司法实践,了解具体案件,为确定行为的社会危害性程度提供了依据,并充分听取了各方意见,最终确定了定罪量刑的相关数量或者数额标准。例如,根据数据的重要性程度不同,对非法获取计算机信息系统数据罪的入罪标准予以合理区分,非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的构成犯罪,而非法获取其他身份认证信息五百组以上的,才构成犯罪;根据司法实践的具体情况,并考虑有效惩治和震慑非法控制计算机信息系统犯罪的需要,将非法控制计算机信息系统罪的入罪标准规定为二十台以上。
第二,注重斩断危害计算机信息系统安全犯罪的利益链条。近年来,危害计算机信息系统安全犯罪猖獗和泛滥的深层次原因,是制作黑客工具、销售黑客工具、非法获取数据、非法控制计算机信息系统、倒卖非法获取的数据、倒卖非法控制的计算机信息系统的控制权等各个环节分工合作,形成了环环相扣的利益链条。因此,打击危害计算机信息系统安全犯罪的关键是要斩断利益链条,这是制定《解释》所要解决的核心问题之一。《解释》的相关规定明确了制作黑客工具、销售黑客工具、非法获取数据、非法控制计算机信息系统、倒卖非法获取的数据、倒卖非法控制的计算机信息系统的控制权等各种行为的刑事责任,有利于从源头上切断利益链条,有效遏制危害计算机信息系统安全犯罪的蔓延和泛滥。
第三,有效解决打击危害计算机信息系统安全犯罪司法实践中反映突出的法律适用问题。多年来,司法机关在办理危害计算机信息系统安全犯罪案件的过程中遇到了困难。在《解释》起草过程中,我们立足于司法实践,明确了危害计算机信息系统安全犯罪的定罪量刑标准,并特别解决了掩饰、隐瞒计算机信息系统数据和控制权行为的定性、以单位名义或者形式实施危害计算机信息系统安全犯罪的处理原则、危害计算机信息系统安全共同犯罪的处理原则等长期困扰司法实践的突出问题。
问:如何处理掩饰、隐瞒计算机信息系统数据、控制权行为?
答:目前,收购、代为销售或者以其他方法掩饰、隐瞒计算机信息系统数据和控制权的行为已经非常泛滥,甚至形成了大规模的网上交易平台。为严厉打击这一行为,《解释》规定,明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒的,以掩饰、隐瞒犯罪所得罪定罪处罚。主要有如下考虑:一是计算机信息系统数据和控制权是一种无形物,属于“犯罪所得”的范畴,理应成为掩饰、隐瞒犯罪所得罪的对象。
将计算机信息系统数据、控制权解释为犯罪所得,符合罪刑法定原则。二是从刑法体系看,刑法第三百一十二条的掩饰、隐瞒犯罪所得罪的上游犯罪应该涵盖第一百九十一条洗钱罪规定的上游犯罪以外的所有犯罪,理应适用于第二百八十五条、第二百八十六条规定的危害计算机信息系统安全犯罪。三是作出这种解释,也是司法实践的现实需要。从危害计算机信息系统安全犯罪的现状来看,掩饰、隐瞒计算机信息系统数据、控制权的现象十分突出,不予以打击将无法切断危害计算机信息系统安全犯罪的利益链条,难以切实保障计算机信息系统安全。
问:如何处理危害计算机信息系统安全犯罪的共犯问题?
答:同传统犯罪不同,危害计算机信息系统安全犯罪活动分工细化,形成了利益链条,导致危害计算机信息系统安全犯罪活动迅速蔓延。为斩断危害计算机信息系统安全犯罪的利益链条,《解释》第九条专门对危害计算机信息系统安全犯罪的共犯问题作出了规定,并根据宽严相济刑事政策的要求,对共犯的成立设置了独立的定罪量刑标准,对情节严重的行为予以刑事惩治。具体而言,主要有如下三种共同犯罪形式:一是明知他人实施破坏计算机信息系统犯罪行为,而为其提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具的;二是明知他人实施危害计算机信息系统安全犯罪行为,为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助的;三是明知他人实施危害计算机信息系统安全犯罪行为,通过委托推广软件、投放广告等方式向其提供资金的。
问:如何界定“计算机信息系统”和“计算机系统”的范围?
答:刑法第二百八十五条、第二百八十六条使用了“计算机信息系统”、“计算机系统”两种表述,其中刑法第二百八十六条第三款有关制作、传播计算机病毒等破坏性程序的条款中使用的是“计算机系统”,其他条款使用的则是“计算机信息系统”。刑法区分这两者的原意是考虑侵入计算机信息系统、破坏计算机信息系统功能、数据或者应用程序的对象应当是数据库、网站等提供信息服务的系统,而传播计算机病毒如果只影响计算机操作系统(计算机系统)本身,即使不对系统上的信息服务造成影响也应当受到处罚。但随着计算机技术的发展,计算机操作系统与提供信息服务的系统已密不可分。如很多操作系统自身也提供WEB(互联网)服务、FTP(文件传输协议)服务,而侵入操作系统也就能够实现对操作系统上提供信息服务的系统实施控制,破坏操作系统的数据或者功能也就能够破坏操作系统上提供信息服务的系统的数据或者功能,从技术角度无法准确划分出提供信息服务的系统和操作系统。而且,从保护计算机信息系统安全这一立法目的出发,对这两种表述进行区分没有必要。不论危害的是计算机操作系统还是提供信息服务的系统,只要情节严重或者造成严重后果的,都应当追究刑事责任。因此,《解释》对“计算机信息系统”和“计算机系统”作了统一界定。
随着信息技术的发展,各类内置有可以编程、安装程序的操作系统的数字化设备广泛应用于各个领域,其本质与传统的计算机信息系统和计算机系统已没有差别。而且,任何内置有操作系统的具备自动处理数据功能的设备都可能成为侵入、破坏和传播计算机病毒的对象,应当将这些设备的安全纳入刑法保护范畴。因此,《解释》采用了概括加例举的解释方法,将“计算机信息系统”、“计算机系统”界定为“具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。”其中,网络设备是指路由器、交换机等组成的用于连接网络的设备;通信设备包括手机、通信基站等用于提供通信服务的设备;自动化控制设备是指在工业中用于实施自动化控制的设备,如电力系统中的监测设备、制造业中的流水线控制设备等。
三、参考案例
欧阳某甲等盗窃案
——植入代码远程控制手机,在机主不知情的情况下恶意扣费行为的定性
【关键词】
刑事 盗窃罪 后台控制 手机增值业务 恶意扣费 非法控制计算机信息系统罪
【基本案情】
2020年,被告人欧阳某甲为扣取“老人机”机主的话费,将写有恶意扣费功能的代码提供给熊某(另案处理),由熊某将该恶意代码写入“老人机”主板并交给生产厂商,使得大量带有恶意扣费程序的“老人机”流入市场。2021年8、9月,欧阳某甲与被告人毛某、蒋某杰商议,由毛某与手机增值业务代理商对接,获取增值业务通道号码、控制指令等参数,并将上述参数提供给欧阳某甲用于实施控制“老人机”发送扣费指令,从而得以扣取被害人手机话费、拦截扣费短信;蒋某杰负责对接手机增值业务代理商收取违法所得、制作对账单。之后,各被告人按约定比例分成。
2021年9月至2023年2月,被告人欧阳某甲、毛某、蒋某杰伙同丁某强、朱某庆等手机增值业务代理商(均另案处理)扣取被害人手机话费共计人民币3479899.47元(币种下同)。丁某强、朱某庆等手机增值业务代理商向毛某、蒋某杰转账共计2069546.69元。后毛某、蒋某杰转账结算给欧阳某甲1679086.75元。
2022年7月,被告人欧阳某乙受被告人欧阳某甲的指使参与共同犯罪,负责与被告人毛某对接,通过控制后台下发订购任务,其所涉盗窃犯罪金额共计2180602.21元。
江苏省常州市金坛区人民法院于2024年2月6日作出(2023)苏0413刑初613号刑事判决:被告人欧阳某甲犯盗窃罪,判处有期徒刑十二年,并处罚金人民币三十万元;被告人毛某犯盗窃罪,判处有期徒刑十年,并处罚金人民币十八万元;被告人蒋某杰犯盗窃罪,判处有期徒刑八年,并处罚金人民币十二万元;被告人欧阳某乙犯盗窃罪,判处有期徒刑五年八个月,并处罚金人民币五万元。宣判后,被告人欧阳某甲、毛某、蒋某杰提出上诉。江苏省常州市中级人民法院于2024年4月23日作出(2024)苏04刑终60号刑事裁定:驳回上诉,维持原判。
【裁判理由】
本案的争议焦点为:被告人欧阳某甲等人通过植入代码远程控制手机,在机主不知情的情况下恶意扣费行为的定性。
其一,被告人欧阳某甲等人的行为构成盗窃罪。所涉行为完全符合《中华人民共和国刑法》第二百六十四条关于盗窃罪的规定。具体而言:(1)手机话费属于盗窃罪的犯罪对象。手机话费通过支付对价获得,由金钱购买所得,其经济价值能够被货币衡量,具有明显的财产属性,属于他人财物。本案中,机主因手机被远程操作订购增值服务并扣费,遭受了财产损失,数额高达3479899.47元,达到了盗窃数额特别巨大的标准。(2)实施了秘密窃取公私财物的行为。欧阳某甲指使他人将带有恶意扣费功能的代码植入手机主板,并伙同被告人毛某、蒋某杰、欧阳某乙等人,与手机增值业务代理商对接,获取增值业务通道号码、控制指令等参数,而后通过服务器远程操控手机,自动发送短信、屏蔽扣费提示,在机主不知情的情况下为其秘密订购增值业务,扣取用户话费,从中非法获利,其取财方式具有秘密性,符合盗窃罪的手段特征。
其二,被告人欧阳某甲等人的行为同时构成非法控制计算机信息系统罪,应当择一重罪处断。刑法第二百八十五条第二款对非法控制计算机信息系统罪作了规定:“……对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”本案中,欧阳某甲等人写入恶意扣费代码、远程操控他人手机的行为符合非法控制计算机信息系统罪的犯罪构成。非法控制计算机信息系统罪的最高刑为七年有期徒刑,并处罚金,相比较而言,犯盗窃罪,数额特别巨大的,判处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产,故盗窃罪属于重罪。因此,本案应当以处罚较重的盗窃罪定罪处罚。
【裁判要旨】
通过植入代码等手段远程控制他人手机,秘密开通增值业务、扣取他人手机话费,非法获利,符合刑法第二百六十四条规定的,应当以盗窃罪论处。所涉行为同时构成非法控制计算机信息系统罪等其他犯罪的,依照处罚较重的规定定罪处罚。
【关联索引】
《中华人民共和国刑法》第264条、第285条第2款
一审:江苏省常州市金坛区人民法院(2023)苏0413刑初613号刑事判决(2024年2月6日)
二审:江苏省常州市中级人民法院(2024)苏04刑终60号刑事裁定(2024年4月23日)
冯某提供侵入、非法控制计算机信息系统程序、工具案
——提供侵入、非法控制计算机信息系统程序、工具罪的认定
【裁判要旨】行为人违反规定,向他人提供专门用于侵入、非法控制计算机信息系统的程序、工具,情节严重的,构成提供侵入、非法控制计算机信息系统程序、工具罪。
【案号】一审:(2011)甬鄞刑初字第1358号 再审:(2012)浙甬刑抗字第2号 再审:(2012)甬鄞刑再字第2号
【案情】
原公诉机关:浙江省宁波市鄞州区人民检察院。
原审被告人:冯慧志。
浙江省宁波市鄞州区人民法院经审理查明:被告人冯慧志为获利制作了钓鱼网站和木马病毒程序,专门用于在互联网上盗取他人使用的QQ聊天工具。2010年8月至2011年6月,被告人冯慧志以贩卖的形式将其制作的钓鱼网站和木马病毒程序提供给覃某、王忠某、王鹏某、王某等人使用,利用户名为刘某、潘某、韦某等人的银行卡收钱,非法获利达10000余元。覃某、王忠某、王鹏某、王某等人利用被告人冯慧志提供的钓鱼网站和木马病毒程序实施诈骗行为,分别以诈骗罪被判处有期徒刑5年至1年8个月并处罚金的刑罚。
【审判】
浙江省宁波市鄞州区人民法院认为,被告人冯慧志非法向他人提供专门用于侵入、非法控制计算机信息系统的程序、工具,情节严重,其行为已构成提供侵入、非法控制计算机信息系统程序、工具罪,公诉机关指控的罪名成立。被告人冯慧志在庭审中能自愿认罪,可酌情予以从轻处罚。依照刑法第二百八十五条第三款、第六十一条、第六十四条,和最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第3条第1款第(5)项之规定,判决:一、被告人冯慧志犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑1年2个月,并处罚金人民币1万元;二、被告人冯慧志违法所得人民币10000元,予以没收,上缴国库;三、责令被告人退还给各被害人相关经济损失。
判决生效后,浙江省宁波市人民检察院于2012年9月18日以有新的证据证明原审判决原审被告人冯慧志犯罪事实确有错误,并导致量刑畸轻为由,以甬检刑抗[2012]2号刑事抗诉书,向浙江省宁波市中级人民法院提出抗诉。
后根据原审被告人冯慧志的犯罪事实、犯罪性质、情节和对于社会的危害程度,经法院审判委员会讨论决定,对原审被告人冯慧志依照刑法第二百八十五条第三款、第六十一条、第六十四条,和最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第3条第1款第(2)项、第(6)项的规定,判决:一、维持本院(2011)甬鄞刑初字第1358号刑事判决书第(三)项。二、撤销本院(2011)甬鄞刑初字第1358号刑事判决书第(一)项、第(二)项的判决,即被告人冯慧志犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑1年2个月,并处罚金人民币1万元。被告人冯慧志违法所得人民币10000元,予以没收,上缴国库。三、原审被告人冯慧志犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑3年6个月,并处罚金人民币30000元。四、原审被告人冯慧志违法所得人民币22000元予以没收,上缴国库。
【评析】
随着信息化时代的到来,各类计算机犯罪也接踵而至,其犯罪手法之高、专业化之强给刑法的规制带来了严峻挑战。为有力回应和直面这一挑战,刑法修正案(七)增补了原有的计算机犯罪的条款,增设了非法获取计算机系统数据罪和提供用于侵入、非法控制计算机信息系统的程序、工具罪。2011年8月,最高人民法院、最高人民检察院发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》),为提供用于侵入、非法控制计算机信息系统的程序、工具案件提供了可操作的标准。但审判实务中对如何认定提供用于侵入、非法控制计算机信息系统的程序、工具罪仍有诸多需要厘清之处,本文拟结合冯慧志案阐明提供用于侵入、非法控制计算机信息系统的程序、工具罪的司法认定。
根据刑法第二百八十五条第三款的规定,提供用于侵入、非法控制计算机信息系统的程序、工具罪是指提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的行为。本罪并无对于犯罪主体的特别规定,因此是一般主体;而对于本罪的犯罪客体,一般认为是指计算机信息系统安全。对本罪主体和客体的把握容易理解,而对于本罪罪状的司法认定与把握,应当突出对本罪的客观方面和主观方面的理解。
一、客观方面:被告人制作专门程序、工具供他人实施违法犯罪活动。
本罪的客观方面表现为两种情况:一是提供专门用于侵入、非法控制计算机信息系统的程序、工具。二是明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具。其中有以下几个方面的问题需要明确:
1.本罪的犯罪对象:专门抑或其他程序、工具。
从罪状规定来看,本罪的犯罪对象有两种,即专门用于侵入、非法控制计算机系统的程序、工具以及其他程序、工具。对于第二种犯罪对象,需要对罪状进行合理解释,即这种程序、工具应当是有其他用途但也可用于侵入、非法控制计算机信息系统的程序和工具。这实际包含了两层意思:一是这种程序和工具必须具有对计算机信息系统安全造成侵犯的可能性,在功能上可以实现对计算机信息系统的非法控制和侵入;二是这种程序不以专门性为必要,既可以是具有其他用途,但在不当使用时即会产生危害后果。
“所谓专门用于非法侵入计算机系统的程序、工具,主要是指专门用于非法获取他人登录网络应用服务、计算机系统的账号、密码等认证信息以及智能卡等认证工具的计算机程序、工具;所谓专门用于非法控制计算机信息系统的程序、工具,主要是指可用于绕过计算机信息系统或者相关设备的防护措施,进而实施非法入侵或者获取目标系统中数据信息的计算机程序。”{1}因此,前述的第一种犯罪对象,实际排除了该项工具、程序具有合法用途的可能性。《解释》第2条对于这种类型的犯罪对象进行了明确的界定:(1)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(2)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制功能的;(3)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。而第二种犯罪对象,则强调有造成危害后果的可能性即可,其本身的用途并无限制。这说明,若提供的是专门的程序、工具,被提供者是否实际使用,不影响犯罪的成立;若提供的不是专门的,而是普通的程序、工具,只有被提供者实际使用,才能认定提供者构成犯罪。
2.本罪的客观行为:提供。
本罪的客观行为从罪状规定上较为简单,仅表述为“提供”一词。“提供”在我国刑法各罪的规定中并不少见,就该词本身而言,也属于耳熟能详的普通用语。立法机关将提供解释为向他人供给,也有观点解释的更为宽泛,是指研制、出售和无偿提供。这里的提供并不限于有偿提供,只是客观上实施了向他人供给的行为,使得他人实现了对物的控制。当然,在此还需要注意的是,对于提供后的行为或者状态对于提供行为界定的影响。从刑法基本原理来看,诸如提供、介绍等行为一般是对于某项犯罪的实行行为的帮助,本身并不能构成独立的实行行为。但立法者也会考虑到某些帮助行为本身就具有较大的社会危害性,有单独评价的必要,因此,便将较为严重的帮助行为直接规定为实行行为。这也意味着通过法律拟制而成为实行行为的帮助行为,在社会危害性的严重程度上,和一般意义的实行行为是等量齐观的。具体到本罪,对于提供的判断也要建立在行为人会造成危害后果的基础之上。如果提供行为所造成的社会危害性并不严重到和计算机犯罪的实行行为相当的程度,就不宜将其认定为犯罪。
本案中,被告人冯慧志为获利制作了钓鱼网站和木马病毒程序,专门用于在互联网上盗取他人使用的QQ聊天程序、工具,该程序、工具本身具有避开或者突破计算机信息系统安全保护措施的功能,或者具有获取计算机信息系统数据、控制计算机信息系统的功能,且避开或者突破计算机信息系统安全保护措施及其获取数据和控制功能,在设计上即能在未经授权或者超越授权的状态下得以实现。被告人冯慧志将制作的病毒程序、工具有偿提供给他人使用,促使他人利用该程序、工具实现侵入、非法控制计算机信息系统而从事非法诈骗活动,危害计算机信息系统的安全,符合本罪客观方面的基本特征。
二、主观方面:被告人故意提供程序、工具从中获利。
1.本罪包括间接故意犯罪。
从罪状规定来看,本罪属于典型的故意犯罪,但对于是否包括间接故意的情形,理论上存在一定的争议。大多数论述并未将本罪严格限制为直接故意犯罪,但也有论者指出:“行为人不可能将上述程序、工具放任他人占有,因而不可能出于间接故意的犯罪态度。”笔者认为,不宜对此处的故意犯罪进行限缩解释,本罪也应当包括间接故意的情形。这是因为:第一,从我国的刑事立法习惯来看,从未在罪状中将一项犯罪明确规定为只能由直接故意构成。而这往往是通过刑法解释来完成的。这主要体现在目的犯的范畴中:当刑法条文中出现了对犯罪目的抑或犯罪动机的描述时,基于通说对于“间接故意犯罪中不存在犯罪目的和犯罪动机”的认识,排除了间接故意存在于上述犯罪中的可能性。但本罪中并无犯罪动机和犯罪目的的法定表述,而且,从目前的司法实践来看,也并未将本罪视为非法定的目的犯,即并不在条文中规定某一犯罪所需的特殊目的,而需要法官根据一定的原则予以补充的情形。因此,将本罪限定为直接故意犯罪缺乏法律依据,也不符合司法实践现状。第二,从本罪的特殊性来看,也不宜将本罪限定为直接犯罪。虽然刑法中大多数的故意犯罪在实践中都体现为直接故意犯罪的状态,本罪也不例外,但完全有可能出现行为人在明知自己的提供行为可能会造成危害计算机信息系统安全的后果,但依然放任该危害后果发生的情况。这是由本罪犯罪对象的特殊性所决定的。对于第一种犯罪对象,由于强调程序、工具在危害计算机信息系统安全上的专门性,而这种专门性的判断具有相当的专业性,可能行为人对此也只是一知半解,无法确定自己的提供行为是否就会造成危害后果,对此持一种听之任之的放任态度。对于第二种犯罪对象,由于其可能危害到计算机系统安全,但行为人的提供行为也不一定就意味着其希望他人使用该工具实现危害后果的发生。因为完全可能出现他人未使用行为人的程序、工具的情形,或者使用该程序、工具从事正当操作的情形。这在多人同时向同一人提供程序、工具的情形时,体现得更为明显。因此,笔者认为,本罪在主观方面上应当包括间接故意的情形。
2.明知的证明与推定。
对于提供用于侵入、非法控制计算机信息系统的专门工具、程序的行为,并没用对于明知内容的法定规定;而对于提供具有危害性可能的非专门工具、程序的行为,则需要明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为为必要。相比较而言,立法者认为后者在法律适用时需要参照更为严格的标准。那么,对于这里的明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为应当如何理解呢?
笔者认为,此处明知的规定,只需要行为人对于他人实施侵入、非法控制计算机信息系统的一种或者某种违法犯罪行为的可能性即可,对于具体的违法犯罪行为的内容、后果不需要认识。同时,即便是行为人对于他人实施侵入、非法控制计算机信息系统的违法犯罪活动持怀疑态度,认为其可能实施违法犯罪活动,也可能不实施,但如前所述,本罪属于一般意义的故意犯罪,间接故意也可构成本罪,因此,这种相对模糊的认识也不影响本罪的认定。由于立法对于此种情形的主观明知做出了直接规定,因此自然成为了一个重要的待征事实。
对于明知的证明标准,立法并未明确,需要司法实践从严把握。笔者认为,除了需要仔细分析被告人供述外,还要采取刑事推定的方法予以证明。该明知的证明标准为:(1)被告人供述其提供的程序、工具时,明知他人利用该程序、工具实施如获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息等违法犯罪活动;(2)被提供者供述被告人提供程序、工具时,明知其利用该程序、工具侵入、非法控制计算机信息系统而从事违法犯罪活动;(3)被告人在提供程序、工具时,宣称该程序、工具具有避开或者突破计算机信息系统安全保护措施的功能,或者具有获取计算机信息系统数据,控制计算机信息系统的功能,且可以利用该程序、工具从事违法犯罪活动,进而获取非法利益的目的;(4)被告人提供侵入、非法控制计算机信息系统的程序、工具的目的是从中获利或以此为主要生活来源;(5)有QQ聊天记录,证实被告人提供程序、工具时,明知被提供人实施违法犯罪活动;(6)其他明知或应当明知的情形。
本案中,冯慧志制作钓鱼网站和木马病毒程序,作为专门提供他人侵入、非法控制计算机信息系统的程序、工具,以100至500元不等的价格有偿获利,希望或放任他人侵入、非法控制计算机信息系统而获取数据,进而实施诈骗行为。因此,被告人冯慧志在犯罪活动中,制作专门侵入、非法控制计算机信息系统的木马病毒程序、工具,提供给他人就有可能被利用而实施违法犯罪活动。
三、情节方面:被告人的犯罪行为达到情节特别严重的标准。
根据《解释》第3条的规定,提供侵入、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为刑法第二百八十五条第三款规定的情节严重:(一)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具5人次以上的;(二)提供第(一)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具20人次以上的;(三)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具5人次以上的;(四)明知他人实施第(三)项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具20人次以上的;(五)违法所得5000元以上或者造成经济损失1万元以上的;(六)其他情节严重的情形。实施前款规定行为,具有下列情形之一的,应当认定为提供侵入、非法控制计算机信息系统的程序、工具情节特别严重:(一)数量或者数额达到前款第(一)项至第(五)项规定标准5倍以上的;(二)其他情节特别严重的情形。该《解释》从使用次数、违法所得、经济损失数额等方面对情节严重进行了界定,但笔者认为,由于情节是具有综合性的要件,因此在把握上不宜局限于《解释》所明确规定的几种情形。具体而言,笔者认为可以从违法所得、提供工具次数、所帮助的犯罪的社会危害性程度来把握本罪的情节严重。除了《解释》所规定的情形外,还应当包括以下几种情况:(1)专门性工具、程序被大量下载、复制,流传范围较广,行为人对此明知或者应当明知的;(2)在提供的专门性工具中,能够实现对国家机关、金融机构等重要单位的计算机信息系统的侵入和非法控制的:(3)提供专门性工具侵入、控制计算机信息系统是为了搜集重要情报、公民身份认证信息的;(4)明知他人实施了较为严重的计算机犯罪而提供帮助的;(5)有下游犯罪,且造成了严重的危害后果,行为人在提供程序、工具时对其明知或者应当明知的;等等。
本案经再审认定,被告人冯慧志将其制作的钓鱼网站和木马病毒程序提供给诈骗犯罪被告人王忠某、王鹏某等众多人使用,至少136次,从中获利22000元,达到《解释》第3条规定的明知他人实施其他侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具达到20人次的五倍以上,属情节特别严重。
Chinese 
English