周立波
近年来,随着信息网络技术的不断发展,危害计算机信息系统和网络安全的犯罪行为逐渐增多。与此同时,在司法实践中,作为规制网络犯罪核心罪名之一的破坏计算机信息系统罪的刑法适用也相应地呈现高频态势。笔者通过对无讼案例库中100个破坏计算机信息系统罪案例的分析,发现破坏计算机信息系统罪在司法实践中存在较多问题,有必要在新的时代背景下对传统的破坏计算机信息系统罪进行反思,以期使本罪更好地发挥打击犯罪和保障自由的双重规制功能,不断适应刑法理论和实践的新发展。
为了能够对破坏计算机信息系统罪目前的司法现状有更直观的认识,笔者以“案由:破坏计算机信息系统罪”和“文书形式:判决”为关键词,在无讼案例库进行了搜索,共搜索到310个已经判决的案例。在此基础上,笔者又按照搜索到的案例与“破坏计算机信息系统罪”的相关性程度抽取100个关联性较高的案例进行统计分析,①需要说明的是,“关联性”程度的高低是通过搜索案例时使用的关键词与搜索到的案例中出现这些关键词次数的多少来进行衡量评价的,也即所搜索的案例中关键词出现的频率高,则意味着案例的关联性程度高,反之则亦然。以此来探究破坏计算机信息系统罪在司法实践中的基本现状。
对上述100个案例进行统计发现,检察院、辩护人与法院这三方主体对同一个行为在定性上完全一致的有44个,这也即意味着公诉机关指控的罪名、辩护人辩护的罪名与法院最终认定的罪名(包括一审法院与二审法院认定不一致的情形)出现过争议的有56个,占到一半以上的数量。并且,有些破坏计算机信息系统的行为,在实践认定过程中不仅出现两种不同罪名的争议,甚至出现三种不同罪名的争议:例如,在杨某破坏计算机信息系统罪一案中②参见北京市海淀区人民法院(2016)京0108刑初1084号刑事判决书。,公诉机关指控的罪名是破坏计算机信息系统罪,被告人和辩护人认为只构成非法获取计算机信息系统数据罪,而被害单位的诉讼代理人则认为应该以盗窃罪认定,法院最终认定的罪名为非法获取计算机信息系统数据罪。类似这样的争议还出现在破坏计算机信息系统罪与其他罪名的争议之中。
笔者经过梳理归纳,出现争议较多的主要有以下五种破坏计算机信息系统的行为类型:一是对于破坏计算机信息系统中财产性数据的行为,在定性时与盗窃罪、非法获取计算机信息系统数据罪的争议较大。如行为人增加游戏账户中的充值数额或游戏币;通过修改网络间传输数据的方式为手机账户充值电信资费;对于收银系统中的收银数据进行删除修改从而侵吞所收取的现金等。二是对于开发、制作外挂程序和私服干扰计算机信息系统运行的行为,在定性时与非法经营罪、侵犯著作权罪的争议较大。如行为人制作游戏外挂软件进行出售牟利;私自架设网络服务器进行出租等。三是修改、删除计算机信息系统中的数据导致使用人不能正常使用的行为,在定性时与非法控制计算机信息系统罪的争议较大。如行为人修改账户密码数据、用户权限数据锁定电脑或手机等。四是对于实施破坏计算机信息系统的行为导致网络服务中断、生产经营受损的行为,在定性时与破坏生产经营罪的争议较大。如行为人对网吧进行DDos攻击导致网络服务中断;在网络论坛进行大量的恶意发帖导致网站无法运行等。五是对于以破坏计算机信息系统为名索取财物的情形,在定性时与敲诈勒索罪的争议较大。如行为人利用苹果手机的抹掉功能以删除手机中的数据相威胁索取被害人财物;对计算机数据库进行加密以数据库的恢复使用为名索要财物等。以上这些行为类型是目前破坏计算机信息系统罪在定性时出现争议较多的情形。此外,破坏计算机信息系统罪与非法侵入计算机信息系统罪,提供侵入、非法控制计算机信息系统的程序、工具罪,侵犯公民个人信息罪,诈骗罪,伪造国家机关证件罪等罪名也曾出现定性上的争议。
笔者对上述100个案例进行归纳梳理后发现,司法实践中对某些特定类型犯罪的罪数形态的认定和处理并没有形成统一的认识。特别是一些行为人为达到非法占有他人财产的目的而实施了破坏计算机信息系统的行为,司法实践部门在认定罪数形态时存在不同的认识。例如,在梁某破坏计算机信息系统罪一案中(以下简称案例一)③参见江苏省淮安市淮安区人民法院(2016)苏0803刑初666号一审刑事判决书。,被告人梁某在网上购买大量苹果iCloud账户和密码,通过骗取被害人的信任,登录被害人“苹果云端”将“查找我的iphone”功能设置成丢失或抹掉,远程锁定被害人的苹果手机,致使手机不能正常运行,后以“解锁费”名义向被害人共计索要人民币14950元。法院审理认为,被告人梁某对计算机信息系统功能进行干扰,造成计算机信息系统不能正常运行,直接认定为破坏计算机信息系统罪。在白某敲诈勒索罪一案中(以下简称案例二)④参见吉林省长春市中级人民法院(2017)吉01刑终276号二审裁定书。,被告人白某雇佣他人攻击被害公司的棋牌游戏服务器及另一公司的游戏服务器,致使游戏服务器瘫痪无法正常运行,并以此向对方勒索共计价值51360元游戏币。一审法院认为,被告人白某敲诈勒索他人财物,数额巨大,构成敲诈勒索罪。而在曾某、王某破坏计算机信息系统罪一案中(以下简称案例三)⑤参见最高检第九批指导性案例(检例第35号)。,被告人曾某与王某结伙或者单独使用聊天社交软件,诱骗被害人先注销其苹果手机上原有的ID,再使用被告人提供的ID及密码登录。利用苹果手机相关功能将被害人手机的ID密码进行修改,远程锁定被害人的苹果手机,此后以解锁为条件索要钱财,共锁定苹果手机11部,索得人民币合计7290元。法院审理认为,行为人通过修改被害人手机的登录密码,远程锁定被害人的智能手机设备,使之成为无法开机的“僵尸机”,属于对计算机信息系统功能进行修改、干扰的行为,造成10台以上智能手机系统不能正常运行,构成破坏计算机信息系统罪。同时,行为人采用非法手段锁定手机后以解锁为条件,索要钱财,在数额较大或多次敲诈的情况下,其目的行为又构成敲诈勒索罪。在此案件中,手段行为构成的破坏计算机信息系统罪与目的行为构成的敲诈勒索罪之间成立牵连犯,应当从一重罪处断以破坏计算机信息系统罪论处。而在叶某、邓某犯破坏计算机信息系统罪、敲诈勒索罪一案中(以下简称案例四)⑥参见浙江省宁波市江北区人民法院(2015)甬北刑初字第444号一审刑事判决书。,被告人叶某、邓某结伙经事先策划,利用黑客技术侵入宁波多家公司的计算机信息系统,在未予备份的情况下删除系统中存储的数据,并以帮助恢复数据为名,向被害单位敲诈共计9300余元。法院审理认为,被告人对计算机信息系统中存储的数据进行删除,其行为已构成破坏计算机信息系统罪。被告人以非法占有为目的,采用要挟的方法多次索取他人财物,其行为又构成敲诈勒索罪,依法对两罪进行数罪并罚。从上述这些案例来看,尽管犯罪形态并不完全一致,但行为人的行为方式基本一样,即都是通过实施破坏计算机信息系统的行为来达到索要钱财的目的。对于这种行为类型,司法实践中在认定时对行为是构成一罪还是数罪的认识并不一致,如案例一和案例二都直接认定为一罪,而案例三和案例四都认定为两罪。同时,在认为构成数罪的情况下,对数罪进行具体处理认定时也不一样,如案例三是按照牵连犯原则从一重处罚,而案例四则直接对两罪进行数罪并罚。由此可见,司法实践中对破坏计算机信息系统罪罪数形态的认识存在较大的分歧。
对上述破坏计算机信息系统罪的行为定性和罪数形态存在的争议进行进一步的统计分析发现,司法实践部门在一些争议行为的最终定性上都偏向于以破坏计算机信息系统罪进行认定处罚,由此出现了犯罪认定的“口袋化”趋势。这主要体现在以下两个方面:
一方面,破坏计算机信息系统罪逐渐成为一些传统犯罪和其他纯正网络犯罪的口袋罪。在对上述56个曾出现罪名认定争议的司法案例进行统计发现,最后认定为破坏计算机信息系统罪的有45个,占比高达80.36%。也即意味着,最终认定为其他罪名的仅为11个。其中认定为盗窃罪的1个⑦参见福建省福州市鼓楼区人民法院(2016)闽0102刑再1号再审刑事判决书。,认定为敲诈勒索罪的1个⑧参见吉林省长春市中级人民法院(2017)吉01刑终276号二审裁定书。,认定为非法经营罪的1个⑨参见上海市徐汇区人民法院(2016)沪0104刑初1178号一审刑事判决书。,认定为破坏生产经营罪的1个⑩参见湖南省湘潭市中级人民法院(2017)湘03刑终93号一审刑事判决书。,认定为非法获取计算机信息系统数据罪的2个⑪参见北京市海淀区人民法院(2016)京0108刑初1084号一审刑事判决书。贵州省遵义市红花岗区人民法院 (2016)黔0302刑初162号一审刑事判决书。,认定为非法控制计算机信息系统罪的3个⑫参见吉林省长春市中级人民法院(2017)吉01刑终331号一审刑事判决书。海南省第二中级人民法院(2017)琼97刑终74号二审刑事判决书。安徽省蚌埠市禹会区人民法院(2016)皖0304刑初246号一审刑事判决书。,认定为提供侵入、非法控制计算机信息系统的程序、工具罪的2个⑬参见浙江省苍南县人民法院 (2017)浙0327刑初546号一审刑事判决书。江苏省常州市天宁区人民法院(2016)苏0402刑初736号一审刑事判决书。,其他的都以破坏计算机信息系统罪定罪处罚。在这些犯罪行为的认定过程中,盗窃罪、敲诈勒索罪、非法经营罪等属于传统的侵犯财产和危害经济秩序类犯罪,因这些犯罪行为在信息网络时代往往通过计算机网络实施,其所实施的行为基本同时都符合破坏计算机信息系统罪目前的构成要件,司法实践部门出于认定的便利或定案的惰性,往往都以破坏计算机信息系统罪进行规制。对于其他纯正的危害计算机信息系统的犯罪,因在实施非法获取、非法控制或提供工具程序行为的过程中往往都会对计算机信息系统数据进行修改、删除、增加,所以也往往都以破坏计算机信息系统罪认定处罚。
另一方面,破坏计算机信息系统罪逐渐成为一些数据类违法犯罪行为的口袋罪。通过对上述100个案例中以破坏计算机信息系统罪定罪的89个案例进行统计,发现其中以刑法第286条第1款进行认定的有34个,以刑法第286条第2款进行认定的有51个,以刑法第286条第3款进行认定的只有4个。⑭需要说明的是,在《刑法》第286条破坏计算机信息系统罪构成要件的设置中,总共有三个条款,分别对应三种不同的行为类型。笔者为考察每一种行为类型在司法实践中的适用情况,对这三种行为类型分别进行了统计。从这一统计结果可以看出,司法实践中适用破坏计算机信息系统罪第2款进行规制的司法案例占了一半以上。也即绝大多数案例中都是因为对计算机信息系统中的数据实施了删除、增加、修改的破坏行为而被认定为破坏计算机信息系统罪。通过对上述51个案例的进一步分析归类可以发现,有些数据的破坏确实导致了计算机信息系统不能正常运行,此类案件有16个,占比31.4%。如对网吧服务器中的服务数据进行格式化操作,删除系统数据,导致网吧服务不能正常运行⑮参见黑龙江省牡丹江市西安区人民法院(2017)黑1005刑初57号一审刑事判决书。;对电脑数据库中的“索引”文件删除,导致电脑系统瘫痪,致使某公司的票务系统无法正常工作⑯参见广东省深圳市宝安区人民法院 (2016)粤0306刑初7626号一审刑事判决书。,等等。而有些数据的破坏并不会导致计算机信息系统本身的正常运行,而更多的是对计算机信息系统中存储的数据的安全造成危害,此类案件有35个,占比68.6%。如非法删除交警支队计算机信息系统中的交通违章数据⑰参见江苏省灌云县人民法院 (2016)苏0723刑初394号一审刑事判决书。;非法删除教务管理系统中学生的处分数据信息⑱参见四川省崇州市人民法院(2016)川0184刑初611号一审刑事判决书。;非法修改工商局综合业务管理平台中企业的名称、经营犯罪等数据信息⑲参见山东省寿光市人民法院 (2016)鲁0783刑初301号一审刑事判决书。;违规删除电商平台中的差评记录⑳参见江苏省宿迁市宿豫区人民法院(2017)苏1311刑初38号一审刑事判决书。,等等。通过对这些数据进行删除、增加、修改操作从而获取相关利益,更多侵犯的是数据本身的安全性,是一种侵犯数据法益的违法犯罪行为,而非典型的破坏计算机信息系统的行为,但目前的司法实践都以破坏计算机信息系统罪进行定罪处罚。由此可见,破坏计算机信息系统罪已逐渐成为其他数据违法行为或数据类犯罪行为的口袋罪。
从上述司法实践的基本现状来看,破坏计算机信息系统罪在认定适用过程中存在较多问题。造成这些问题的原因多种多样,从司法实践部门来看,一方面,网络因素的介入使很多传统犯罪变得更加复杂。司法工作人员由于技术理解能力的不足和司法经验的不足,容易简单地套用破坏计算机信息系统罪用以解决某些案件的定性难题;另一方面,破坏计算机信息系统罪的法定刑偏高,因此,只要案件涉及到网络和计算机,无论是解释为“想象竞合犯”还是“牵连犯”,按照“从一重处罚”的规则都可以说于法有据,起码不会是错案。21于志刚:《口袋罪的时代变迁、当前乱象与消减思路》,载《法学家》2013年第3期。笔者认为,之所以在司法实践中会存在上述现象,在很大程度上不是因为司法工作人员的问题,而是破坏计算机信息系统罪的刑法规范本身出了问题,有必要从源头上寻找问题的突破点。
破坏计算机信息系统罪是1997年刑法典新增的罪名。此后20年,此罪的罪状没有发生任何变化。根据立法者当初的设想,破坏计算机信息系统罪旨在加强对计算机信息系统的管理和保护,保障计算机信息系统功能的正常发挥,维护计算机信息系统的安全运行。22高铭暄:《中华人民共和国刑法的孕育诞生和发展完善》,北京大学出版社2012年版,第513页。因此,对于破坏计算机信息系统罪所保护的法益,一开始主要是为了保护计算机信息系统的功能和运行安全。
从《刑法》第286条的规定来看,破坏计算机信息系统罪的主要行为类型有三种:一是破坏计算机信息系统功能类,即违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的行为。二是破坏计算机信息系统数据和应用程序类,即违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为。三是制作传播破坏性程序类,即故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。第一种和第三种行为类型都在罪状描述中直接指明了必须造成“计算机信息系统不能正常运行”和“影响计算机信息系统正常运行”,明确了此两种行为类型所要保护的法益是“计算机信息系统的正常运行”,符合立法者设立此罪时的立法原意。但值得注意的是,在第二种行为类型的罪状描述中并没有要求破坏数据和应用程序的犯罪行为必须造成计算机信息系统不能正常运行的后果。也即意味着,从文本含义来看,破坏数据和应用程序类的破坏计算机信息系统犯罪所保护的对象应是计算机信息系统中的数据和应用程序,只要对数据和应用程序进行删除、修改、增加,达到司法解释规定的“后果严重”的标准,就可以认定为破坏计算机信息系统罪。这不禁让人产生这样的疑问,即破坏计算机信息系统罪所保护的法益到底是计算机信息系统运行的安全还是计算机信息系统中数据和应用程序的安全,还是两者兼而有之?
金融风暴说来就来了,像非典似的转眼间席卷了全国。沿海地区受损最大,一些出口企业被一个巨浪打翻了。深圳一些大企业,呛了一口水,骤然缩身,员工大减。没了订单的小企业猝不及防,倒得很快。据说全深圳被金融风暴冲倒了两百多家企业。
由于破坏计算机信息系统罪罪状设置的不同,理论界对此罪构成要件之一的“后果严重”产生了不同的认识,特别是对破坏数据和应用程序犯罪行为中“后果严重”的理解。一种观点认为,这里的后果严重,是指使国家重要的计算机信息系统功能、数据和应用程序被破坏,严重破坏计算机信息系统的运行,或者影响计算机信息系统的正常运行,使正常的工作秩序遭到严重破坏等等,即因计算机信息系统不能正常运行而造成各种各样的严重后果。23陈兴良:《规范刑法学(第二版)》(下册),中国人民大学出版社2008年版,第814页。另一种观点认为,其他行为类型中的“严重后果”需要造成计算机信息系统不能正常运行或者影响计算机系统的运行,但第二种行为类型的“严重后果”应解读为“使用户重要的计算机数据和资料遭到不可恢复的破坏,影响正常的工作和生活,因数据和应用程序被破坏而造成重大经济损失等。”24邢永杰:《破坏计算机信息系统罪疑难问题探析》,载《社会科学家》2010年第7期。也即意味着,第二种行为类型的严重后果并不必然需要造成计算机信息系统不能正常运行。可见,第二种行为类型侧重保护的是计算机信息系统的数据和应用程序,而不是整个计算机信息系统的功能和正常运行。
由此可以看出,对于破坏计算机信息系统罪所要保护的法益范围,不同的人有不同的理解,并没有形成统一的认识。由于一个具体犯罪的法益具有合理确定犯罪圈、划定刑罚处罚范围以及在司法实践中区分此罪和彼罪、合理确定罪数的功能,法益范围的不明将直接导致司法实践部门在对刑法规范理解和适用过程中的混乱。上述司法实践中出现的破坏计算机信息系统罪的行为定性问题、罪数形态问题、“口袋化”问题在绝大程度上都是因为对破坏计算机信息系统罪法益保护范围的理解不一致而导致。
1.“计算信息系统数据和应用程序”规范内涵的扩张
2011年两高颁布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)。《解释》第4条规定了破坏计算机信息系统功能、数据或者应用程序“后果严重”的五种情形,分别为:(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的。(二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的。(三)违法所得五千元以上或者造成经济损失一万元以上的。(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的。(五)造成其他严重后果的。其中第二种情形,在《解释》中只规定了对计算机信息系统中存储、处理或者传输的数据实施相关行为的破坏,与《刑法》第286条第2款的规定并不一致,也即在司法解释中删除了对“应用程序”这一对象的破坏。换言之,《解释》将刑法规范中对“数据和应用程序”的破坏直接规定为对“数据”的破坏。对于司法解释中这样一个有意无意的改变,两高的解释部门并没有作出有针对性的说明,而只是在对《解释》作相关说明时提到,“从司法实践来看,破坏数据、应用程序的案件,主要表现为对数据进删除、修改、增加的操作,鲜有破坏应用程序的案件。因此,对于《刑法》第286条‘对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作’的规定,应当理解为‘数据’‘应用程序’均可以成为犯罪对象,而并不要求一次破坏行为必须同时破坏数据和应用程序,这样才能实现对计算机信息系统中存储、处理或者传输的数据、应用程序的有效保护,有效维护计算机信息系统安全。”25喻海松:《〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉的理解与适用》,载《人民司法》2011年第19期。但是这样的说明,并不能成为删除“应用程序”这一对象的理由,如此解释,事实上违反了司法解释是基于刑法规范进行解释的这一基本原则。
更为严重的是,这样的解释也有意无意地扩张了原来刑法所确立的“计算机信息系统数据和应用程序”的规范内涵。根据破坏计算机信息系统罪的立法原意,虽然刑法条文在破坏数据和应用程序的行为类型中没有“造成计算机信息系统不能正常运行”的罪状描述,但有一点较为明确,这些数据和应用程序应属于计算机信息系统中的数据和应用程序。换言之,对这些数据和应用程序的删除、增加、修改会直接影响计算机信息系统的运行或造成计算机信息系统不能运行的严重后果。如删除计算机信息系统中的系统文件、数据库、系统程序,直接导致计算机信息系统崩溃、运行中断等严重后果。但按照《解释》的规定,“数据”并不需要与计算机信息系统直接相关,也不需要数据能直接影响计算机信息系统的运行,只要是计算机信息系统中的数据都可以理解为计算机信息系统数据。如此一来,《解释》使刑法规范中“计算机信息系统数据和应用程序”不当地扩大为计算机信息系统中的所有数据,成为司法实践中以破坏计算机信息系统罪去打击所有涉及到计算机数据类犯罪的源头。
2.“后果严重”定量标准的扩张
破坏计算机信息系统罪属于结果犯,在三种犯罪行为类型的构成要件中都有“后果严重”的规范要件。从上述可以看出,对于“后果严重”的定量标准,在2011年《解释》中通过列举的方式进行了明确,主要从破坏计算机信息系统的台数、计算机信息系统使用的用户、提供服务的时间,以及违法所得和经济损失等要素进行评价和衡量。但在这些衡量要素中,有些与计算机信息系统的运行有直接或者间接的关系,而有些则没有任何的关系。如第一种情形“造成十台以上计算机信息系统的主要软件或者硬件不能正常运行”和第四种情形“造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上”,这两种情形都直接造成了计算机信息系统不能正常运行。但第二种情形“对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作”和第三种情形所规定的“违法所得五千元以上或者造成经济损失一万元以上”,从字面含义看,与计算机信息系统的运行并没有直接的联系。应当看到,破坏计算机信息系统罪规定在刑法分则第六章妨害社会管理秩序罪中,属于扰乱公共秩序类的犯罪。后果严重的程度应从其所破坏或扰乱的公共秩序这一角度考量才能作出合理的评价。而“违法所得和经济损失”的评价因素却是基于财产和经济的角度,两者在很大程度上不具有对等性。换言之,用财产性利益的评价要素去衡量扰乱公共秩序的严重程度不具有正当性,也极易造成人们对破坏计算机信息系统罪定性认识的混乱。如在司法实践中,只要出现对计算机信息系统中的数据进行删除、修改、增加,从中获利5000元以上或造成当事人经济损失1万元以上的就按照破坏计算信息系统罪定罪处罚,极易造成破坏计算机信息系统罪是财产类犯罪的假象。
在刑法中,财产性利益的评价要素主要用于财产类犯罪中,如盗窃罪中“数额较大”的定量标准就以盗窃财产数额的大小来决定。而在破坏计算机信息系统罪中,则不宜只有纯粹的财产性评价要素作为“后果严重”这一构成要件的评价标准。如果要使用这一评价要素,也应严格地对此作出限制,即违法所得和造成经济损失必须与计算机信息系统的正常运行有直接的关联。如果单纯以违法所得和经济损失的数额大小去评价和衡量破坏计算机信息系统行为后果的严重性,则会造成“后果严重”认定标准的偏离,并在很大程度上扩大了破坏计算机信息罪的打击范围。
破坏计算机信息系统罪在司法实践中出现的各种乱象,是传统危害计算机信息系统犯罪在信息网络犯罪行为不断更新迭代下规制不适的一个缩影。刑事立法中任何犯罪的设立都有其时代背景和立法局限。在网络犯罪不断发展的时代背景下,破坏计算机信息系统罪作为传统的计算机犯罪,一方面在贯彻罪刑法定原则下应尽可能激发其规制的潜力,另一方面对于本罪的规制功能也应有清醒的认识,避免其成为打击信息网络犯罪的“万能钥匙”。通过对破坏计算机信息系统罪司法实践的梳理和问题原因的分析,笔者认为,为更好地发挥破坏计算机信息系统罪打击犯罪和保障自由的刑法功能,需要从以下两个方面做出调整。
1.明确法益范围:以“计算机信息系统的运行安全”为具体法益
法益即刑法保护的利益,是刑法学理论中的基础性概念。尽管法益是一个颇具争议性的概念,26杨兴培:《刑法学:诸多名词概念亟需斟酌》,载《法治研究》2018年第2期;张明楷:《法益初论》,中国政法大学出版社2000年版,第1页。但人们已基本达成共识,也即法益是刑法建立刑罚正当性的前提和特定行为入罪化的实质标准。27舒洪水、张晶:《近现代法益理论的发展及其功能化解读》,载《中国刑事法杂志》2010年第9期。法益具有立法上确定犯罪和法定刑的指导功能,也有司法上对构成要件进行解释的功能。法益的保护范围决定着一个犯罪刑法规范的边界。从刑法理论而言,刑法保护的都是具体的法益,并且刑事立法上规定的具体罪名都有其所保护的特定法益。如果一个犯罪在设置刑法规范时所保护的法益过于宽泛,则可能导致这个犯罪与其他犯罪的界限难以区分,也可能导致这个犯罪在司法实践中被进一步地“口袋化”。
由上分析,从破坏计算机信息系统罪目前的刑法规范设置来看,立法者在设置此罪时所要保护的法益范围并不明确。除了计算机信息系统运行安全被一致认可为破坏计算机信息系统罪所保护的法益外,也有观点认为破坏计算机系统所保护的法益还包括计算机信息系统中数据的安全以及计算机信息系统所有人与合法用户的合法权益。28高铭暄、马克昌主编:《刑法学(第七版)》,北京大学出版社、高等教育出版社2016年版,第534页。对于计算机信息系统的运行安全,是破坏计算机信息系统罪设置时需要最直接保护的利益,理应属于破坏计算机信息系统罪的保护法益,而对于计算机信息系统中数据的安全和计算机信息系统所有人与合法用户的合法权益是否应该成为破坏计算机信息系统罪的法益,则需要进一步地辨析。
笔者认为,计算机信息系统中的数据安全法益和所有人与合法用户的合法权益这两种法益都不应成为破坏计算机信息系统罪所要保护的法益。首先,数据安全法益有其独立的内涵,不属于破坏计算机信息系统罪专门保护的法益。在大数据时代,数据不仅属于计算机信息系统的重要组成部分,而且很多情况下有其独立的财产价值和附着的人身利益。在计算机信息系统中存储、传输和处理的很多数据并不与计算机信息系统的运行有直接的关联,而是有其自身独立的价值。如教务信息管理系统中的学生信息,工商行政管理系统中的企业信息,以及游戏网站中的账户数值,这些数据信息直接体现的是数据拥有主体的人身利益或财产价值,与计算机信息系统本身的运行安全并没有直接的关联。换言之,对这些数据信息的删除、增加、修改并不会导致计算信息系统不能正常运行,而更多损害的是数据拥有者的相关权益。如果用破坏计算机信息系统罪强行去规制这些犯罪行为,则会突破破坏计算机信息系统罪法益保护的范围,导致破坏计算机信息系统罪被口袋化,并且会更进一步地损害国民对犯罪的预测可能性。例如,在司法实践中,对于修改游戏账户中的账户值而进行盗窃的行为,检察机关以行为人对计算机信息系统中数据的增加指控构成破坏计算机信息系统罪。但行为人始终认为自己并没有删除、修改被害单位的计算机信息系统,没有导致计算机信息系统不能正常运行,即使有罪也不认为自己的行为构成破坏计算机信息系统罪。29参见杨国辉破坏计算机信息系统罪一案,北京市海淀区人民法院(2016)京0108刑初1084号刑事判决书。如果把这样的行为认定为破坏计算机信息系统罪,则在一定程度上会导致破坏计算机信息系统犯罪的认定与人们对破坏计算机信息系统罪的一般认识相去甚远,影响司法制裁的公信力。其次,所有人与合法用户的合法权益这种法益过于模糊,应进行明确。刑法所保护的法益应是经验上可以把握的实体。“若保护的法益抽象得无法让人把握,则该对象不能被看做法益。例如,将无法还原为具体法益的社会秩序、工作秩序、社会心理秩序等作为保护法益,必然导致处罚范围的不确定。”30张明楷:《法益保护与比例原则》,载《中国社会科学》2017年第7期。具体犯罪的法益应该是具体明确的,而合法用户的合法权益却是广泛无边的。对这种合法权益应进行限制,以明确破坏计算机信息系统罪的法益保护范围。
笔者认为,破坏计算机信息系统罪所保护的具体法益应是立法者设置此罪时确立的计算机信息系统的运行安全,不应包括计算机信息系统中的数据安全。而对于所有人与合法用户的合法权益也应限制在计算机信息系统运行安全这一具体的合法权益,由此明确破坏计算机信息系统罪的规制范围。
2.转变制裁思路:以专门的数据犯罪罪名制裁侵犯数据安全的行为
由上分析,随着大数据时代的到来,数据进一步显示出了其独立的价值功能,有其独立的法益。对于实践中出现的破坏计算机信息系统数据的行为,目前的司法实践部门基本以破坏计算机信息系统罪进行打击规制,这一司法实践的制裁思路理应得到转变。因为对计算机信息系统中数据的破坏毕竟不同于对计算机信息系统正常运行的破坏。计算机信息系统中的数据并不必然都直接与计算机信息系统的运行有关。由此,从宏观角度而言,应对计算机信息系数据与计算进信息系统中存储的其他数据进行区分,确立区分制的犯罪制裁思路,使破坏计算机信息系统罪回归本来的制裁范围,也使其他侵犯数据法益的行为用专门的数据犯罪罪名进行更好的打击制裁。具体而言,应区分两种情况:
一是,对计算机信息系统数据采取各种破坏行为,造成计算机信息系统不能正常运行的,应以破坏计算机信息系统罪进行规制。这里的数据必须是与计算机信息系统运行有关的数据,属于计算机信息系统中系统功能、应用程序的组成部分,如计算机信息系统中的系统文件、数据库数据等。这些数据才是破坏计算机信息系统罪规制的范畴。
二是,对计算机信息系统中的数据实施侵害,根据数据所体现的不同法益用相应的罪名进行规制。事实上,我国刑法对数据信息的保护除了用计算机类犯罪罪名(非法获取计算机信息系统数据罪和破坏计算机信息系统罪)进行规制外,还有专门的数据犯罪罪名,如侵犯公民个人信息罪、侵犯商业秘密罪、非法获取国家秘密罪、泄露内幕信息罪等。当计算机信息系统中的数据属于上述特定性质的数据信息时,理应通过这些专门的数据犯罪进行制裁。例如,对计算机信息系统中存储的有关个人身份的数据信息实施删除、增加、修改行为,其侵犯的更多的是公民个人信息法益,理应用侵犯公民个人信息类犯罪来进行规制。此外,对于计算机信息系统中有关财产性利益的数据,应适用相关的财产类犯罪来进行规制。如行为人在秘密情况下对游戏系统中账户数据的修改增加,在实际不支付钱款的情况下增加自己账户的游戏币,其客观上侵犯的是游戏公司的虚拟财产利益,而并没有导致游戏系统不能正常运行,在将虚拟财产普遍解释为财物的情况下,应适用盗窃罪进行规制。
由此,通过对计算机信息中的数据进行二元划分,转变破坏计算机信息系统罪对侵犯计算机信息系统数据行为一刀切的制裁思路,将侵犯计算机信息系统运行无关的数据行为进行分流制裁,用专门的数据犯罪罪名进行规制,可以避免破坏计算机信息系统罪与其他数据类犯罪在刑法适用上的纠缠不清,也可以避免破坏计算机信息系统罪的口袋化趋势,实现刑法打击的精确性和正当性。
1.立法层面:规范破坏计算机信息系统罪的构成要件
从刑事立法角度而言,刑法规范的设置及刑法条文的描述直接影响犯罪的本质属性和处罚范围。破坏计算机信息系统罪属于危害计算机信息系统运行安全的犯罪,应在刑法罪状的描述中直接予以体现,由此缩小司法解释的适用空间,收缩口袋。笔者建议,对《刑法》第286条破坏计算机信息系统罪第2款的罪状进行重新调适,在罪状条文中增加“导致计算机信息系统不能正常运行”的构成要件,明确破坏数据和应用程序类犯罪行为的规范含义,使破坏计算机信息系统罪回归到刑法本应规制的范围。
具体而言,破坏计算机信息系统罪第2款的规范内容应在法益保护范围的指导下进行修正。一方面,将“导致计算机信息系统不能正常运行”明确作为《刑法》第286条第2款的构成要件,将条文设置成“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,导致计算机信息系统不能正常运行,后果严重的,依照前款的规定处罚”。从《刑法》第286条的规定来看,破坏计算机信息系统罪中危害到计算机信息系统运行安全的有两种不同表述,分别是第1款中的“导致计算机信息系统不能正常运行”和第3款中的“影响计算机系统运行”。这两种表述的内涵并不一样,在危害后果的程度上有区别,前面一种的危害程度高,后面一种的危害程度低。至于采用哪一种表述,应结合不同破坏行为的特点,采用适合行为类型的罪状表述。从破坏计算机信息系统罪中犯罪行为的作用对象来看,计算机信息系统数据和应用程序与计算机信息系统功能都属于计算机信息系统内部的犯罪对象,而计算机病毒等破坏性程序属于计算机信息系统之间传播的破坏性因素。在司法解释中,对于“后果严重”的情形解释,是将数据和应用程序与功能放在同一条款同一层面进行解释,而对于破坏性程序“后果严重”的情形进行了单独解释。从刑事立法设置体系思维的角度,对破坏计算机信息系统数据和应用程序类犯罪的构成要件的设置可以借鉴破坏计算机信息系统功能类犯罪的构成要件,在《刑法》第286条第2款中设置“导致计算机信息系统不能正常运行”的罪状描述,以此明确破坏计算机信息系统罪法益保护的范围。另一方面,明确《刑法》第286条第2款的规范含义,也即对破坏数据和应用程序类的行为只有导致计算机信息系统不能正常运行,达到司法解释中“后果严重”的情形,才能按破坏计算机信息系统罪定罪处罚。如果只是破坏计算机信息系统数据和应用程序,但没有导致计算机信息系统不能正常运行,即使符合司法解释规定的“后果严重”的情形,仍不能以破坏计算机信息系统罪认定。
2.司法层面:对破坏计算机信息系统罪进行合理的解释
鉴于刑法规范文本含义自身存在的弹性空间,不同的人可能出现不同的理解。因此,为了正确的理解和适用刑法的规定,对刑法规范的司法解释显得十分必要。但司法解释也有其弊端,如果进行不当的扩大解释或错误解释,则反而损害刑法条文本来的规范内涵。因此,司法解释需慎重,基本的解释原则就是必须在刑法文本语义射程的范围之内进行解释。并且,司法解释必须结合犯罪行为自身的特点进行有针对性的解释。对于破坏计算机信息系统罪,为明确其刑法条文的规范内涵和防止其“口袋化”趋势,除了立法上对构成要件进行限制外,在司法层面应主要从以下三个方面着手,对可能出现泛化理解的核心罪状进行合理的解释。
一是对计算机信息系统数据的规范内涵应进行严格的限制解释。对于计算机信息系统数据的含义,刑法的规定为“计算机信息系统中存储、处理和传输的数据”。在2011年的《解释》第4条第2项中也只是沿用刑法的规定,并没有进行进一步的阐释说明。根据刑法的文本描述,计算机信息系统中的一切数据都属于计算机信息系统数据。如对这一规定不进行限制解释,则必然导致破坏计算机信息系统罪的泛化趋势。因为,计算机信息系统中的数据既包括组成计算机信息系统的系统数据、系统文件,也包括在计算机信息系统中的但不属于计算机信息系统组成数据的数据,如计算机信息系统中存储的文字数据、图片数据、视频数据等,对这些数据的删除、增加、修改,并不会必然导致计算机信息系统不能正常运行,只是危害到了这些数据本身的完整性、保密性和可用性,侵犯的是数据法益而不是计算机信息系统运行安全这一法益。对这些数据法益的侵犯,应由相关的数据类犯罪进行规制,而不应由破坏计算机信息系统罪进行规制。在司法实践中,计算机信息系统数据应理解为影响计算机信息系统运行的数据。
二是对财产型的“后果严重”的情形应进行合理的限定。如上所述,根据2011年的《解释》第4条第3项的规定,只要违法所得5000元或者造成经济损失1万元就符合破坏计算机信息系统罪“后果严重”的标准。在司法实践中,这一财产型“后果严重”的定量标准容易使人形成只要达到数额标准就认为符合这一规定的认识,导致破坏计算机信息系统罪适用范围的不断扩大。应当对财产型“后果严重”的情形在理解适用时进行限定。具体而言,应从两个方面着手:一是财产型的后果必须与破坏计算机信息系统行为具有关联性,也即违法所得和经济损失是基于实施了破坏计算机信息系统运行行为而产生。二是财产型后果中的经济损失必须是给被害人造成的直接经济损失,也即破坏计算机信息系统行为与其所造成的经济损失必须具有直接的因果关系,而不包括间接的经济损失。如此,才能体现破坏计算机信息系统罪是出于对计算机信息系统运行安全的保护,而不是为了保护计算机信息系统中涉及的财产利益。
三是对“计算机信息系统不能正常运行”这一规范内涵应进行单独的解释。鉴于计算机信息系统属于专业的计算机技术领域的概念,司法实践中对何为“计算机信息系统不能正常运行”的规范含义并没有统一的认识,并且常让人产生歧义。这将直接影响司法实践中对破坏计算机信息系统行为进行准确的定罪量刑。因“计算机信息系统是否正常运行”属于破坏计算机信息系统罪中造成严重后果中的核心评价要素,有必要对此作出统一的规范。在司法实践中,计算机信息系统不能正常运行主要表现为行为人实施的破坏行为导致了计算机信息系统运行的崩溃、中断、迟缓、干扰、强制等情形。所以,在必要时应归纳总结实践中发生的计算机信息系统不能正常运行的情形,将其上升为司法解释规范进行明文规定,以更好地指导司法实践部门对“计算机信息系统不能正常运行”这一规范内涵的理解和适用。