计算机网络犯罪规制中的“未经授权”与“超越授权”
——中美比较研究*

2020-02-22 06:28高仕银
时代法学 2020年1期
关键词:计算机信息计算机网络刑法

高仕银

(中国社会科学院,北京 100732)

计算机的更新换代和网络技术的突飞猛进,使得计算机网络的功能与升级速度、在社会中的应用效度以及人们对其依赖的程度远远超出预想。有学者曾预言:不管你多么贫困与孤独,但值得注意的是,在你的生活中几乎不可能不涉及到计算机(1)Michael Gemignani, Computer Crime: The Law in’80, 13 Ind. L. Rev. 681(1980).。在计算机网络技术环境下,人类社会的生活全面表现为现实与虚拟的有机结合,使得现代人的生活、学习、工作、交往等都深深地烙上了技术的特征。计算机网络技术促进了许多重大的变化,特别是在信息处理与交流中,其以非常重要的方式改观着我们对世界的认知,也许,计算机带来的最大冲击是突破了我们所熟知的物质世界的时间和空间的障限(2)Josh L. Wilson, Jr., Electronic Village: Information Technology Create New Space, 6 Computer-Law Journal 365,370(1985).。然而科学技术又是一把双刃剑,用之不当则社会与个人皆受其害。

计算机网络的广泛运用在造福社会的同时也滋生了对计算机网络技术的滥用,导致计算机网络犯罪的发生(3)Law Enforcement Assistance Administration, U.S. Dept. of Justice, Computer Crime vi (1979).。在计算机网络犯罪中,侵入计算机网络系统的行为是犯罪成立的前提要件和基础性行为。刑事法意义上判断计算机网络系统是否遭受侵入的主要依据就是行为人对计算机网络的访问行为是否有权。未经授权或超越授权访问计算机网络,则为非法入侵,构成犯罪。中国和美国在规制计算机网络犯罪上都规定或确立了以“未经授权”与“超越授权”的访问行为判断依据(4)美国关于计算机网络犯罪的规制分为联邦和州两个部分,相关介述可参见:Susan W. Brenner, State Cybercrime Legislation in the United States of America: A Survey, 7 Rich. J.L. & Tech.,28 (2001). 本文研究范围只涵摄美国联邦层面。。本文从比较法的视角对中美规制计算机网络犯罪中的“未经授权”与“超越授权”进行探讨,通过对照分析中美两国相关立法条文和司法解释与案例判解,为我国计算机网络犯罪规制中的“未经授权”与“超越授权”所规定内涵的进一步完善提供些许借鉴和参考。

一、刑法相关规定的适用范围及行为的违法性判断

(一)“未经授权”与“超越授权”的适用范围

计算机犯网络罪是一个变化的概念,在不同时期有着不同的称谓。早期的描述有“计算机犯罪”“与计算机有关的犯罪”或“利用计算机犯罪”。当数字技术普遍应用以后,对这一犯罪的用语诸如“高科技犯罪”或“信息犯罪”又增加并被收入到字典词汇中。因特网的出现,又把这类犯罪称作“网络犯罪”(cybercrime),还有的称其为“虚拟空间犯罪”“IT犯罪”“信息技术犯罪”等(5)S. W. Brenner, Cybercrime Metrics: Old Wine, New Bottle? 9 Virginia Journal of Law and Technology,4(2004).。相关官方规范性文件也对这类犯罪有不同表述,欧洲委员会制定的《计算机犯罪公约》对这类犯罪的用语采用的是“Cybercrime”,而美国联邦《计算机欺诈与滥用法》(Computer Fraud and Abuse Act)则使用“Computer Crime”,中国刑法中规定的是与“计算机信息系统”有关的犯罪。这些称谓和说法各有理据,在计算机和因特网环境下,有的称谓侧重于计算机,而有的表述又偏向于因特网。基于我国刑法的规定,本文使用“计算机网络犯罪”来指称与计算机网络有关的犯罪行为。

计算机网络犯罪用语的多样性体现出计算机网络犯罪的复杂性和发展性。自计算机网络犯罪产生以来,人们对计算机网络犯罪的概念本身并未达成统一的认识,正因为如此,我们很难给计算机网络犯罪下一个确切的定义(6)Joseph M. Olivenbaum, Ctral-Alt-Delet: Rethinking Federal Computer Legislation, 27 Seton Hall L. Rev. 575, 576(1997).。计算机犯罪的复杂性有时甚至是一种难以描述的现象,其没有一个全面而又能够独立展现出准确合理的且让大家都接受的概念(7)Marc D Goodman and Susan W Brenner, The Emerging Consensus on Criminal Conduct in Cyberspace, 10 International Journal of Law and Information Technology no.2, 145(2002).。不过,即使是这样的情况,也并不影响人们对计算机网络犯罪的认识和对之有效地进行相应的法律规制。各国可以根据自己的情况作出决定和规定,这通过以下表述可以得到说明:考虑到信息技术的发展,欧洲议会根据1989年以来有关犯罪的增加,信息时代无形财产的重大价值,以及进一步促进研究、推动技术发展的愿望和潜在的高风险等情况,建议各国应当根据各自的法律传统、文化和兼顾现行法律的适用情况来考虑作为犯罪惩罚的行为(8)国际刑法学会.国际刑法学会关于打击电脑犯罪的建议稿[A].王世洲译.我的一点家当:王世洲刑事法译文集[C].北京:中国法制出版社,2005.166.。

虽然在计算机网络犯罪的准确称谓和精确定义上不能达成一致,但大家对计算机网络犯罪的分类还是形成了比较广泛的共识。一般而言,计算机网络犯罪包括三种类别:第一类,以计算机网络为目标的犯罪,指计算机或计算机网络成为犯罪的对象,例如黑客入侵、恶意软件、病毒程序或对操作系统的攻击等;第二类,以计算机网络为工具的犯罪,将计算机网络作为工具实施原来就存在的传统犯罪,比如,儿童色情、人肉搜索、著作权侵犯以及诈骗等;第三类,计算机的使用作为犯罪的附带情形,指计算机既不是攻击目标,也未作为工具,而是用来提供犯罪证据,诸如在计算机中发现谋杀犯的地址,被害人与加害人之间的对话等,在这些情况下计算机不是构成犯罪的因素,但是犯罪证据的贮存器(9)Computer Crime and Intellectual Property Section, US Department of Justice, The National Information Infrastructure Protection Act of 1996, Legislative Analysis (1996). 参见:http://www.cybercrime.gov/1030 analysis.html,2018年10月25日最后访问。。虽然这是美国司法部的分类,但就计算机网络犯罪的全球化样态而言,上述分类与其他国家和地区的分类大同小异。美国司法部对计算机犯罪的上述分类也得到了其他一些国家,如澳大利亚、加拿大以及英国等的赞同并在其国内也按此区分,同时这一做法也被国际社会采纳(10)A. Rathmell, Handbook of Legislative Procedures of Computer and Network Misuse in EU Countries, Study for the European Commission Directorate-General Information Society, 16(2002).。 “未经授权”与“超越授权”的适用规制对象为上述第一类,即以计算机网络为目标的犯罪,主要涵摄范围为那些针对计算机网络系统的软件、数据信息与程序资料等实施的犯罪行为。

(二)行为违法性的判断

人们对计算机网络的使用通过访问(access)行为来完成。访问本是用于现实物质世界中的一个概念,其被引入到计算机网络数字语境中用来表示人机界面活动的过程。“访问”一词在计算机网络犯罪法中被认为是一个主动式的动词,意思是“获取路径进入”,如果被动地接受来自其他计算机的信息——但该信息不是通过直接访问那台计算机获取,也没有唆使他人去访问那台计算机,与其他人也没有代理关系——就不属于“访问”,即使接收者知道信息来源于那台计算机(11)Role Models America, Inc. v. Jones, 305 F. Supp.2d 564-68(D Maryland 2004).。 法律所关注的重点是被告人对被害计算机的“访问”行为,并进而判断其是否属于有权访问(12)Orin S. Kerr, Computer Crime Law, 2nd ed., West, a Thomson business, 27(2009).。 计算机网络访问行为是人对计算机网络系统的数据指令输入行为,这种数据指令的输入行为可以从形式和实质两个层面去分析判断,不同层面的分析判断会产生不同的认定结果。

形式判断是根据计算机接受与传播指令的工作原理来对访问行为作出的观察。计算机网络系统在运行过程中以“0”和“1”的代码组合方式相互之间通过发送和接受信息完成通讯交流。例如当某一用户访问网站时,其使用的计算机便向运载该网站的计算机发出访问指令,请求载负网站的计算机发回网页数据,当这些数据被发回到用户的计算机上时,其界面即显示出网站内容(13)Preston Gralla, How the Internet Works, 8th ed., Que, 130(2006).。从计算机运行的角度而言,计算机访问就是行为人与计算机之间实现的人机对话性的交流。这种人机对话实现的访问主要包含两种方式:其一是访问者向计算机输入命令(command),指示计算机根据其命令操作某项任务,计算机根据指令要求作出运行;其二是用户向计算机发出指令请求发回信息,计算机对此作出反应,向使用者传回相关信息。形式层面的计算机访问行为体现出的是使用者与计算机网络之间的相互关系,其从计算机网络运行的物理功能出发来看待访问行为。只要有使用者对计算机的指令输入行为,计算机对此作出任务处理就形成访问。当使用者输入命令请求,计算机对此作出回应,然后根据指令运行相关任务即是访问,而不问在此过程中是否完全实现使用者的访问目的。

实质判断是以访问行为是否具体达到了访问的效果而作出的观察。访问的判断是看使用者是否实际上进入了计算机网络系统。比如某用户想使用一个受账号与密码保护的网站,于是先向计算机输入指令,该计算机根据其指令向目标网站计算机发出请求,当用户的计算机界面上显示出该网站的登录网页时,其要求输入有效账号和密码。如果同现实生活中的情况作对比,这个时候的计算机网页界面就相当于面对一个上了锁的门,向网页中输入有效账号与密码就相当于使用钥匙去开门锁(14)Trulock v. Freech, 275 F.3d 391, 409(4th Circuit 2001).。使用者输入正确账号密码就是对计算机的访问。从实现访问目的的角度来看,实质层面的计算机网络访问就是需要对数据信息的获取。即便有人机互动的过程,而没有实现访问目的,也不是访问行为。形式与实质的判断方法对同一个访问行为的认定具有差别。就上述设有账号密码的网页例子而言,使用者向计算机输入命令要求传回设有账户密码的网页界面,这一过程,从形式判断来看无疑属于访问,因为用户发出了指令,计算机对此也作出了反应;但从实质判断来看,其并不算访问,因为还没进入到欲查看的网页内部。这如同现实中到了有锁的门前,虽然敲了门,但还没有开锁从门进去。

无论是形式还是实质的判断,访问行为本身不是计算机网络犯罪成立的决定性要件。构成犯罪的访问行为必须是未获得授权。“未经授权”与“超越授权”在计算机网络犯罪中成为用来判断访问行为的合法与否的标准。换言之,如果是计算机的所有者或者合法权利者授权许可对计算机的访问,则不存在犯罪行为(15)Cybercrime Convention, Explanatory Report.参见:http://conventions.coe.int/treaty/en/reports/html/ 185. htm,2019年4月25日最后访问。。但是,在决定计算机访问具有犯罪性的“未经授权”和“超越授权”这两个要件中,是否授权和是否超出授权范围就影响着访问行为的性质,决定着行为的违法性与否。因此,对授权的理解与判断就显得至为重要,确立了授权也就给访问行为的违法与否做好了定位。同时,在计算机网络虚拟环境中的授权与现实世界中的授权是否相同,需要深入探讨,不能简单等而视之。下文从中美两国在立法和司法特别是具体案例的判决入手,深入展开对“未经授权”和“超越授权”的分析研究。

二、行为违法性判断的立法与司法规定辨析

(一)美国立法关于非法访问违法性的判断

美国国会在1984年通过的《全面控制犯罪法》(Comprehensive Crime Control Act)中制定了有关计算机网络犯罪的条文。《全面控制犯罪法》是一部包含众多类别刑法条文的法案集,其中关于联邦第一个计算机网络犯罪的刑事立法位于该法律集的2102(a)节,具体名称为“伪造接入设备与计算机欺诈及滥用法”(Counterfeit Access Device and Computer Fraud and Abuse Act)(16)Comprehensive Crime Control Act of 1984, Pub. L. No. 98-473, tit.22, §2102(a), 98, Stat.1837,2190(1984).。这一法条在1986年修正时,正式被定名为《计算机欺诈与滥用法》(Computer Fraud and Abuse Act,简称:CFAA),成为美国联邦规制计算机网络犯罪的法律,并被编载入美国《联邦法典》第18编刑事法律部分,位列第1030条。1030条明确规定,构成计算机网络犯罪的基础性行为是“未经授权访问”(access without authorization)与“超越授权访问”(exceeding authorized access)。在1030条规定的7种犯罪中,除了1030(a)(5)(A)(i)与(a)(7)款所规制的计算机犯罪类别相对比较特殊以外(17)1030(a)(5)(a)(i)款禁止未经授权传输指令而导致计算机危害;1030(a)(7)款规定的是以技术威胁危害计算机进行敲诈。,其他的犯罪都以“未经授权”或“超越授权”访问作为犯罪成立的基本要件。

其中,(a)(1)至(a)(3)项所规定的犯罪是直接以非法访问计算机网络作为犯罪成立的具体要件,而(a)(4)与(a)(5)及(a)(6)项的犯罪规定中则以非法访问计算机网络作为基础要件,再增加构成具体个罪的要件(如诈骗、计算机危害等)形成不同的犯罪类别。在非法访问计算机网络犯罪中,(a)(1)项规定的是未经授权或超越授权访问计算机获取有关美国国家安全与机密信息的行为(18)18 U.S.C § 1030(a)(1)(West 2000&Supp.2009).;(a)(2)项规定的是未经授权或超越授权访问属于金融财政、政府部门或者其他受保护的计算机并获取其中的信息的行为(19)18 U.S.C § 1030(a)(2)(West 2000&Supp.2009).;(a)(3)项规定了未经授权访问非公共使用的专用于或归属于美国政府部门及其他行政机构的计算机(20)18 U.S.C § 1030(a)(3)(West 2000&Supp.2009).,这一项规定只是关于非法访问的侵入性犯罪,适用于那些未经授权而访问联邦计算机的行为(21)Senate Report, 99-432(1986), reprinted in 1986 U.S.C.C.A.N. 279, 2484.。(a)(2)项是1030条规定中使用频度最高的犯罪条款(22)Orin S. Kerr, Computer Crime Law, 2nd ed., West, a Thomson business, 27(2009).。作为非法计算机访问犯罪中最主要的(a)(2)与(a)(3)项,虽然都是以访问行为的非法性来成立犯罪,但其也有区别,主要包括以下几个方面:其一,(a)(3)项的适用范围要比(a)(2)项窄,其只涵括政府部门的计算机;其二,根据(a)(3)项的规定,其是单纯的入侵性条款,即只要非法访问即成立犯罪,而不像(a)(2)款还要求获取信息;其三,(a)(3)项只要求非法访问行为由“未经授权”构成,而没有“超越授权”的要求。

1030条在规定了“未经授权”和“超越授权”的同时,对“超越授权”予以了专门的定义:已经获得授权访问计算机,并利用这一授权访问去攫取或修改计算机中的信息,但行为人没有被授权做出如此的攫取或修改(23)18 U.S.C § 1030(e)(6)(2008).。对于“未经授权”的内涵,立法则选择了回避,司法判例也认为其虽然没有在法条中作出规定,但一般都认为“授权”是从通常意义上去理解,不存在也不会产生任何技术性或含糊的内涵,因此也就没有必要对陪审团作出在该用语含义上的指引(24)United States v. Morris, 928 F 2d 504, 511(2nd Circuit 1991).。但是对“授权”的具体判断,美国联邦司法实务部门经过多年积累,发展出了一套比较成熟的认定标准,对此下文将展开详细分析。在1030条中,“未经授权”与“超越授权”这两种非法计算机访问的判断是针对不同行为人而设定的,即“内部人”(insiders)和“外部人”(outsiders)。“内部人”主要是指属于政府机关、公司企业等单位的员工、雇员、代理人等;“外部人”主要是指那些诸如黑客、此部门或单位的员工使用计算机访问彼部门或单位的计算机等情形。“内部人”和“外部人”的立法区分在美国联邦计算机网络犯罪规制上主要表现为:“外部人”访问计算机的行为是“未经授权”而构成犯罪,“内部人”是那些获得了一定授权的计算机使用者,但在访问过程中超越了使用权限而触犯本法之规定(25)Senate Report No. 104-357, at 11(1996). 可参见:http://thomas.loc.gov/cgi-bin/cpquery/?&dbname =cp 104 & sid =cp1048G4aK&refer=&r_n=sr357.104&item=&&&sel=TOC_45112&, 2019年4月25日最后访问。。从1030条规定可以看出,“授权”是计算机网络访问行为是否属于犯罪的“着色剂”,是否给予了授权或是否超出了授权的意思范围,就可以给无色的计算机访问行为添加上犯罪的有色元素。

(二)中国立法关于非法访问违法性的判断

我国《刑法》第285条规定的非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪与第286条规定的破坏计算机信息系统罪中都以空白罪状“违反国家规定”作为犯罪成立的重要构成要件之一。根据这两个法条的内涵,行为人的行为只有首先违反了“国家规定”才能进一步地评价其行为是否构成法条规定的符合上述罪名的计算机网络犯罪。因此,从我国刑法对计算机犯罪的规定来看,犯罪行为违法性的评价基础在于“违反国家规定”。只有那些不符合国家规定的访问计算机信息系统的行为才能按照《刑法》第285条和286条来加以规制。虽然我国刑法对于构成计算机网络犯罪的前提要求是“违反国家规定”,但总的来说,“中国《刑法》中的第285条打击的是未经授权访问的行为,而286条处理的是损害计算机系统中数据的行为”(26)Kam C Wong and Georgiana Wong, Cyberspace Governance and Internet Regulation in China, compiled in Cyber-crime:the Challenge in Asia, edited by Roderic Broadhurst and Peter Grabosky, Hong Kong University Press,67(2005).。如前文所述,1030条中规定的构成计算机网络犯罪的基础性要件是“未经授权或超越授权”访问,这里的“未经授权或超越授权”在犯罪的构成要件上的功能就相当于我国《刑法》第285条和286条中的“违反国家规定”。

从以上考察可以看出,美国《联邦法典》1030条关于判断计算机网络访问是否违法所设定的“未经授权”与“超越授权”要件与我国刑法中关于构成计算机犯罪所规定的“违反国家规定”具有异曲同工之处。但相较于美国法规定中的“未经授权”和“超越授权”这一计算机网络犯罪的违法性构成要件而言,中国刑法中规定的“违反国家规定”在作为我国计算机网络犯罪成立的前提性构成条件时,立法并没有如美国法规定那样,对其中的内涵加以定义说明。“违反国家规定”与其他空白罪状相比,其指向的内容未限定具体的范围,涵摄的空间比较广泛。对于其内涵的理解须把握刑法总则和分则的关系。这一关系决定《刑法》第285条和286条中的“违反国家规定”必须受到《刑法》第96条的限制。我国刑法分则空白罪状中违反的“国家规定”应具有以下条件:1.“国家规定”的制定主体是全国人大及其常委会、国务院;2.“国家规定”是经过法定的程序制定并按照法定程序公开发布的;3.“国家规定”能够代表国家的整体意志,以国家强制力反映出普遍的约束力;4.“国家规定”在表现形式上,必须是全国人大及其常委会制定的法律和决定、国务院制定的行政法规、国务院规定的行政措施、国务院发布的决定和命令(27)刘德法,尤国富.论空白罪状中的“违反国家规定”[J].法学杂志,2011,(1):15-17.。据此,“国家规定”是指由全国人民代表大会通过的宪法和法律;全国人大常委会通过的法律以及带有单行法规性质的决定或者对现行法律作出某些修改、补充的规定以及以国务院名义制定或发布的有关法规性质的文件。这一理解符合我国《刑法》第96条的规定及罪刑法定原则的要求。但是,由地方国家权力机关制定的地方性法规、由国务院各部委和地方政府制定的行政规章,由于不是全国权力机关和国务院制定的,不能将其列入“国家规定”的范围。这是因为,根据我国宪法的规定,国务院制作的规定与各部委制作的规定名称不同(前者称为行政规章,后者称为部门规章),效力不同(前者的效力高于后者),既然《刑法》第96条没有明确各部委可以视为其制作主体,自然不能对其作扩大解释(或许可称为类推解释)(28)王恩海.论我国刑法中“违反国家规定”兼论刑法条文宪政意义[J].东方法学,2010,(1):22-28.。在“违反国家规定”的内涵范围确立之后,即可以确定计算机犯罪条文中“违反国家规定”的具体指称内容。

确定我国《刑法》第285条和286条中的“违反国家规定”的内容,一方面要以《刑法》第96条的规定为依据,另一方面也要以计算机网络犯罪及其保护法益为根基。按照这两方面的要求,《刑法》第285条和286条中所指的“国家规定”应该是由全国人大及其常委会和以国务院的名义制定或发布的规范和保护我国计算机信息系统有关的法律、法规,主要包括:1. 1994年2月18日由国务院颁布的《中华人民共和国计算机信息系统安全保护条例》;2. 1996年2月1日由国务院颁布并于1997年5月20日经国务院修正并颁布的《中华人民共和国计算机信息网络国际联网管理暂行规定》;3. 2000年9月25日由国务院颁布的《互联网信息服务管理办法》;4.2000年12月28日由全国人大常委会审议通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》;5. 2001年12月20日由国务院颁布的《计算机软件保护条例》;6.2012年12月28日由全国人大常委会审议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》;7. 由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行的《中华人民共和国网络安全法》等。不是以全国人大常委会和国务院的名义制定或发布的规定,不属于刑法规定意义上的“国家规定”,不能作为定罪处刑的依据,这是罪刑法定原则的必然要求。如有学者认为《计算机信息网络国际联网安全保护管理办法》属于有关计算机信息系统的“国家规定”而可适用到刑法中(29)赵秉志,于志刚.计算机犯罪及其立法和理论之回应[J].中国法学,2001,(1):148-163.。这种认识明显不符合刑法规定的要求,因为该《办法》是以公安部的名义发布,诸如此类的规章还包括公安部发布的《计算机病毒防治管理办法》等都不能作为《刑法》第285条和286条中“国家规定”的指向内容。

在美国法律规定中,计算机网络犯罪成立与否的前提是考量“授权”。现实生活中存在的是否授权比较容易区分和确定,主要原因在于有物理空间场域和人体本身作为有力的判断依据,即以人的身体事实上进入到特定的场所为基础,只要权利人对此行为有否定的意思即可判断授权的不存在。正如美国《模范刑法典》所规定的那样,权利人通过口头表态或者依法作出禁止进入的告知以及合理的提示,亦或设置了与外界隔离的防止外人进入的设施都表明没有授权的存在(30)Model Penal Code § 221.2(2)(1962).。一般而言,判断是否授权的典型情况就是权利人在住宅外的围栏上挂着“禁止进入”的标识,正常人如置若罔闻闯而进之,则构成非法入侵。但同样是授权,其在虚拟空间中对访问行为的正当与否的判断则比较困难。计算机在现代社会已经成为人们日常生活的普及品,每天都有数以亿计的用户在通过计算机实现访问行为,划分出访问行为授权与非授权的界限相当重要。这是因为根据1030条的规定,确立哪些访问是“未经授权”或者“超越授权”通常决定着行为的犯罪与否。如果不能够正确而准确的对计算机虚拟空间中的“授权”作出明晰的区分,则会影响到访问行为的正确定性。同时,由于计算机网络环境下的访问行为不存在像现实生活中的侵入行为那样需要人身体自身参与,而只是通过计算机的交互反应来完成访问的目的,使用者的访问是通过计算机界面得以完成的。换言之,在计算机系统间的交互反应这一前提下,使用者根据自己的访问需要而发出指令让计算机执行,计算机运行命令并获取相关路径,再传回信号资料完成访问任务。但由于计算机网络的虚拟性特征,使用者在通过计算机执行访问行为的时候,对于被访问计算机所设置的一些限制进入的路径可以通过技术方式“绕行”,从而使得其中的授权情况表现得非常复杂。同样,在中国刑法中,“违反国家规定”也是一个很难直接明确的要件,在判断上也无法直接从法条语义中得出恰当的结论。

美国《联邦法典》1030条中的“未经授权”与我国《刑法》第285条和286条中规定的“违反国家规定”一样,都属于开放性的构成要件,都会随着计算机网络技术的发展而在内容上有所变化。因为在立法者看来,计算机网络技术在不断升级更新,对计算机网络的访问也随之呈现出动态发展的特征,因此具体地确立何为“未经授权”并不理智,反而会给司法实践带来诸多障限,而事实也证明立法难以给出一个恰当的定义(31)Ric Simmons, The Failure of the Computer Fraud and Abuse Act: Time to Take a New Approach to Regulating Computer Crime, 329 George Washington Law Review(2016).。所谓“违反国家规定”的内容会发展变化,是由于“国家规定”并非仅指设置刑法条文时已有的规定。随着社会的发展和国家行政管理的需要,“国家规定”的内容将不断增加或被修订,该“国家规定”可能是行为之前早就有的,也可能是行为前刚颁发和修订的,有些还可能是刑法超前预设的,与其他部门法相比,行政法具有明显的易变性,需要经常性的废、改、立,以适应复杂多变的行政管理需要(32)刘德法,尤国富.论空白罪状中的“违反国家规定”[J].法学杂志,2011,(1):15-17.。这种动态性特征决定了“违反国家规定”如“未经授权”一样,立法很难对其指称内容按照明确性原则的要求作出具体规定。因此,美国和中国在计算机网络犯罪违法性构成的设定上虽然具有异曲同工之妙,但是立法却未能解决对这一构成要件的明确判断,两国都将这一任务交由司法实践来完成。

三、司法运行中的实证考察

(一)中国司法解释中的“未经授权”与“超越授权”

虽然在我国刑法关于计算机网络犯罪规制的条文中没有直接规定“未经授权”与“超越授权”,而是以“违反国家规定”来作出了相同功能性的设定。不过在我国刑法条文之外被学界称作“副法”体系(33)林维.刑法解释的权力分析[M].北京:中国人民公安大学出版社,2010.440.的最高司法解释中,虽然没有对“违反国家规定”予以进一步的说明,但是对《刑法》第285条第3款进行解释的时候,却与美国法规定的用语完全相同,明确规定了“未经授权”与“超越授权”。详言之,2011年8月1日最高人民法院和最高人民检察院(以下简称两高)联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下称《解释》),并于2011年9月1日起开始施行。该《解释》是自1997年刑法规定计算机网络犯罪后我国最高司法机关首次作出的正式回应。该《解释》一共包括11个条文,详细地对《刑法》第285条和286条中各罪所包含的“情节严重”“经济损失”“后果严重”“共同犯罪”等加以规定和说明。其中,《解释》第2条规定:具有下列情形之一的程序、工具,应当认定为《刑法》第285条第3款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:1.具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;2.具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的。

从上述《解释》第2条的规定来看,其是对《刑法》第285条第三款确立的“提供侵入、非法控制计算机信息系统的程序、工具罪”的详细解释。在《解释》中两处提到了“未经授权”与“超越授权”,即“未经授权或者超越授权获取计算机信息系统数据的功能的”和“未经授权或者超越授权对计算机信息系统实施控制的功能的”。《解释》第2条的目的在于给司法机关指明哪些属于刑法关于计算机犯罪规定中禁止使用的程序、工具。但从该条的第一款和第二款规定的前半段内容可知,这些程序、工具都具有“避开或者突破计算机信息系统安全保护措施”的功能。因此,当行为人使用这些能够避开或者突破计算机信息系统的安全保护措施的程序或工具而实施了侵入或非法地控制计算机信息系统的行为,就构成《刑法》第285条或286条规定的非法入侵计算机信息系统罪或非法控制计算机信息系统罪。所谓“避开或者突破计算机信息系统安全保护措施”就是不按照计算机信息系统设定的安全保护措施的要求以正常的登录方式实现访问。一般而言,计算机信息系统被设置安全保护措施,如账户密码等,是为了给予特定的被赋予了一定访问权限的人使用,反之则禁止滥用。这完全表明设置安全保护措施的相关单位或个人对于使用者是否同意的态度,也即是否授权使用。行为人利用技术手段而通过使用一些程序或工具避开计算机信息系统中设定的安全保护措施而侵入或非法控制的行为,就是未经授权或者超越授权访问。刑法将提供这种可以入侵或非法控制计算机信息系统的程序或工具的行为规定为犯罪,并与实施侵入或非法控制计算机信息系统罪的行为处以相同的刑罚,是为了从源头上防范这一类型的犯罪。至于两高在《解释》中为何选择“未经授权”与“超越授权”这一表述,并没有说明理由,更是在整个《解释》中没有再进一步地详细的对何为“未经授权”和“超越授权”作出定义。这使得这一解释的结果存在着较大缺陷,至少是不能很好的对司法机关在适用这两个术语时作出明确的指引。

(二)美国法院判解:立法定义外确认“未经授权”的三大标准

反观美国联邦司法实务部门,其得益于英美法系判例制度的优势,虽然对“超越授权”这一违法性构成要件因立法已有明确定义而未作过多的解释,但是在实践中联邦法院根据案件的具体情况对1030条中所规定的“未经授权”进行了充分全面的解释并形成了对后面法院判案具有指导性意义的判解结论。综合来看,自1984年美国国会制定并出台《计算机欺诈与滥用法》以来,美国联邦法院结合典型案例对是否属于“未经授权”的解释主要发展出了三种判断依据:第一种是根据程序编码设定的权限为准(简称:程序编码设限);第二种是以服务协议条款规定的权限为参考(简称:服务协议设限);第三种是以代理人法的规定为依据(简称:代理人法则标准)。

1.程序编码设限标准

“程序编码设定的权限”是指计算机系统的权利人为了防止非法的访问等侵入行为会通过设置程序编码的形式来实现和加强对计算机的保护。这种权限设置通过技术性手段把相关的安全程序安装到计算机的硬件和软件中。安全程序的主要功能就是以编制好的路径方式或账号密码等来对每一个用户的使用权作出限制,只有根据计算机的权利人所设定的访问方式如输入账号密码才能正常地实现对计算机的访问和使用。这种以程序编码方式对每一个用户设定的表现为账户密码等方式的做法就是为了排除那些随意或故意去访问他人计算机的行为(34)John R. Vacca, Computer and Information Security Handbook, Morgan Kaufmann, 128(2009).。1984年美国国会通过1030条的时候即确定本条最首要且基本的规制对象就是那些涉及到私密领域的计算机,之所以是私密领域是因为政府以及金融机构等的计算机都以程序编码设置了诸如账号密码之类的严格登录要求,从而能够保护其中的重要数据,不开放给社会大众访问(35)Patricia L. Bellia, Defending Cyberproperty, 79 New York University Law Review 2164, 2254(2004).。如果使用者不根据程序编码所设定的访问路径,如按要求输入有效账号密码等,而是以其他的技术性手段,如传播病毒或以电子排码方式不断攻击登录界面直至猜测到有效账号密码获得访问等(36)Nicholas R. Johnson, “I Agree” to Criminal Liability: Lori Drew’s Prosecution under §1030(a)(2)(c) of the Computer Fraud and Abuse Act, and Why Every Internet User should Care, Journal of Law, Technology & Policy, 583(2009).,则会产生对访问的授权是否有效的判断。

关于以程序编码所设定的权限为依据对计算机访问行为的授权作出判决的最著名且影响深远的判例是美利坚诉莫里斯案(United States v. Morris)(37)基本案情:在康奈尔大学读博的莫里斯设计了一个名为“蠕虫”(worm)的程序,并把该“蠕虫”发布到网络中,目的为了证明当时的计算机网络安全措施不足以防范他所发现的漏洞,结果美国境内大多数计算机都受到严重冲击,不断“死机”,运行瘫痪。案发后,莫里斯被控未经授权访问计算机犯罪。莫里斯辩称其行为至多算“超越授权”,而不是“未经授权”访问计算机,同时还辩称认定“超越授权”访问的证据也不足。法院判决认为,被告人莫里斯在因特网中故意释放蠕虫病毒,造成教育机构及军事机关等单位的计算机瘫痪和功能损坏,给联邦的计算机网络造成严重危害,莫里斯“未经授权”访问计算机的行为触犯了1030条(a)款(5)(A)项,判处莫里斯3年缓刑,400小时社区服务,罚金10050美元以及有关的监督管理费。参见: United States v. Morris, 928 F. 2d 510(2d Cir. 1991).。在美利坚诉莫里斯案中,审判法院创设了关于判断何时是未经授权访问的规则,即“预设功能”(intended function)检验标准。根据法院的判解,莫里斯的行为属于未经授权访问是因为他利用了几个程序的漏洞而没有按照这些程序的预定功能方式去进行访问。正如法院所指出的那样,莫里斯使用这些计算机程序“与它们的预设功能没有任何关系”(38)United States v. Morris, 928 F. 2d 510(2d Cir. 1991).。这是因为他所使用的SENDMAIL程序是专门用来收发电子邮件的,而指示服务守护进程(finger demon)程序是让用户向其他使用者询问信息。但是莫里斯“既没有发送或接收电子邮件,也没有去搜寻其他计算机用户的信息;取而代之的是他发现在这两个应用程序中存在安全漏洞,并把这些漏洞作为实现未经授权访问其他计算机的特殊路径”(39)United States v. Morris, 928 F. 2d 510(2d Cir. 1991).。虽然第二巡回上诉法院没有就“预设功能”标准展开详尽的论说,但其主要是从计算机使用团体中的一般行为规范中发展出来的。根据这些规范,计算机软件的制作者设计出的程序都是为了运行既定的功能,计算机网络提供者提供并许可用户使用这些程序的功能。提供者一般都会无保留地授权用户在计算机上使用这些程序的预定功能,但并没有授权用户去发现并利用程序中的漏洞而运行其非预设的功能(40)Pekka Himanen, The Hacker Ethic: and the Spirit of the Information Age, Random House, 121(2001).。因此,当计算机的使用者利用程序漏洞并以此非预定的方式去访问计算机就形成“未经授权”(41)Orin S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statute, 78 New York University Law Review, 1632, (2003).。

2.服务协议设限标准

“服务协议条款规定的权限”是指用“服务协议条款”来对计算机网络中的访问行为进行限制或做出相关要求。凡是使用过计算机的人在访问网站或者下载传播某些文档资料时都会经常遇见其中设定或弹出的对话框,要求使用者必须阅读有关的服务协议条款,在选择“同意”或“已经阅读并知道访问的权利与义务”等这一类的条目之后,才能继续进行接下去的访问行为。在访问行为被认定为是未经授权之前,需要确定行为人违反了计算机网络服务协议的规定(42)Orin S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statute, 78 New York University Law Review, 1637, (2003).。这就意味着那些存在于计算机网络中的明确的或者含糊的服务协议条款对于使用者的访问行为的授权与否具有决定作用。这种情形下的解释所发生的案例通常涉及到网络服务商或者网站提供者,他们与用户之间存在着协议或者服务条款,也包括那些雇员与原单位之间的案件,因为他们之间订有雇用合同或者员工手册。在涉及雇用关系的案件中,这些合同从保密协定到员工手册等呈现出多样形式,在计算机非法访问案件中法院只是从中考察所需要的能够表明未经授权的部分(43)Katherine Mesenbring Field, Agency, Code, or Contract: Determining Employee’s Authorization Under the Computer Fraud and Abuse Act, 107 Michigan Law Review, 827(2009).。服务协议和程序编码设限具有重要的区别。用现实世界中的情况来作一个比喻的话,计算机访问行为中的程序编码设限和服务协议设限的区别就像是使用上锁的紧闭的门将陌生人拒在外面和在前门入口处贴一张告知“闲人免进”(44)Orin S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statute, 78 New York University Law Review, 1646, (2003).。至于行为人在计算机访问行为中违反了上述的服务协议条款,是否可以作为认定1030条中规定的“未经授权”的依据,进而认定为刑事犯罪,在美利坚诉洛莉·德鲁案(United States v. Lori Drew)(45)基本案情:13岁少女梅根·美尔与洛莉·德鲁的女儿是网友,两人关系一度火热,后来双方逐渐交恶断绝来往。2006年9月,梅根在大型社交网站聚友网(MySpace)实名注册了自己的账户,不久便收到一个名叫乔希·埃文斯的交友请求。乔希·埃文斯在聚友网中的形象是一名16岁的帅气男孩,少女梅根很快与他在网上密切交往,且对之非常倾慕。但这个网友“帅哥”是洛莉·德鲁虚构的,她为试探梅根是否对她的女儿说了一些恶毒谣言,便下载了一张男孩照片,她没有遵守聚友网关于使用真名和照片的规定,而使用假名“乔希·埃文斯”在聚友网中注册。梅根与网友“帅哥”在网上密切交往了20多天后,“乔希”突然对她恶语中伤,同时还鼓动在线其他好友对梅根进行谩骂攻击,遭受恶劣欺辱的梅根倍感绝望继而在家中卧室上吊自杀身亡。 参见:United States v. Drew, 259 F.R.D. at 449 (C.D California, 2009).中有明确的体现。

在美利坚诉洛莉·德鲁一案中,美国联邦法院认为网站的服务协议条款可以用来设立访问的授权及其范围,但不能以违反服务协议条款为由来认为其违犯了计算机网络犯罪法中规定的未经授权或超越授权,因为网站服务协议条款属于一种合同,违反这种合同应该属于民事诉讼的范畴,而不能作为刑事案件来追诉。网站的服务协议条款在确立何为“授权”或“超越授权”的基础上,还可以相应地用来决定某人访问该网站信息或服务的行为是否构成犯罪的话,那么1030条中的相关规定就存在着不可接受的模糊性。因为其没有明确的规定究竟是违反任何一个还是所有的亦或某一些服务协议条款就构成未经授权访问。如果规定违反任何服务协议条款就可以构成未经授权访问,那么法条不明确的问题就可能得到解决;但这反而又使得法条变得极为宽泛并导致其违反了明确性原则中所要求的为刑法适用提供恰当的指引。将违反服务协议条款作为构成1030条相关犯罪的基础,就等于是让网站的所有者最终成为犯罪行为的定义者。这将导致更严重的模糊性问题,有些网站的服务协议条款本身表述就非常不清晰,使得访问者很难合理的确定这些条款的内涵,有些网站所规定的服务协议条款范围及适用是其所有者根据自己的特定目的或喜好所制定,完全没有标准(46)United States v. Drew, 259 F.R.D. at 465 (C.D California, 2009).。法院以宪法上的明确性原则来判定以“违反服务协议条款”为据来解释刑法的不恰当性,最终撤销了对洛莉违犯1030条的指控。虽然本案是一审,由加利福利亚州中心区联邦地方法院判决,但是其作出的判解理由非常正确有力,强调了刑法解释的严谨性和合宪性,秉承了刑法在法益保护和人权保障方面所必须遵循的基本原则。因而使得洛莉在一审之后由于控方未提起上诉即生效成为终审判决。由这一判决所形成的一个基本结论是:诸如服务协议条款这样的合同内容可以用来判断访问是否获得授权,但不能将其作为认定构成刑事犯罪的依据。

3.代理人法则标准

“以代理人法则作出判断”是指以代理中的相关理念来判断计算机访问行为的授权与否是基于普通法上的代理人规则来作出的,并且适用这一法则来判断的案件主要涉及雇员对雇主的计算机访问行为是否属于未经授权或者超越授权。根据代理人规则,雇员与雇主之间存在着的代理关系确立了两者之间的特殊义务与责任,其并不以其他合同的方式呈现和执行。在代理中很重要的是雇员对于雇主具有忠实的义务,这一义务要求他的行为必须有利于雇主或者所在的企业。当雇员所获取的利益有悖于雇主时——例如雇员开始为雇主的竞争对手工作,那他代表雇主从事的授权性行为即终止(47)William A. Gregory, The Law of Agency and Partnership, 3rd ed. West Group, 11-15(2001).。根据这种理念,把代理人规则引用到1030条规定中授权访问行为的认定这一问题上,就表现为当一名雇员使用雇主的计算机进行访问但并不是为了雇主利益时,即意味着他已不再是进行授权的访问行为。美国的一些法院在审理雇员使用雇主的计算机进行访问所产生的涉及1030条中授权的认定时采纳了代理人规则。因为这些案件大多表现为雇员通过访问其工作单位的计算机复制、修改或者删除这些计算机中的数据信息,然后辞职去与原单位有竞争关系的企业工作或者自己经营与原单位有竞争性的公司。在这种情况下,雇员所在的原单位或雇主即以违反代理人规则为由,并根据1030条的规定向法院提起控诉。华盛顿州西区联邦地方法院所审理的赛佳德仓储中心公司诉赛福佳德自存仓储公司案(48)基本案情:赛佳德仓储中心公司是美国一家大型仓储企业,属于仓储行业的领头羊,其在美国和欧洲都占据着绝对份额的市场。赛福佳德自存仓储公司是赛佳德仓储中心公司的直接竞争对手,其主要在美国境内和国外开展经营自存式仓储服务。赛福佳德自存仓储公司以高薪报酬买通了赛佳德仓储中心公司的一个地方部门经理埃里克·利兰及其他几个员工,让他们为其工作。埃里克·利兰在原公司中属于管理层,其对原公司计算机系统中的机密商业计划、市场拓展规划以及其他的商业秘密等数据信息有全部访问权限。埃里克·利兰等利用在原公司工作的职务之便,不断地将原公司计算机中的各类商业秘密以及专有信息通过电子邮件发给赛福佳德自存仓储公司。案发后,赛佳德仓储中心公司向华盛顿州西区联邦地方法院提起诉讼,认为埃里克·利兰故意未经授权访问该公司的计算机或超越授权访问该公司计算机并从中获取信息,这一行为违反了联邦计算机犯罪法中的非法访问规定。参见Shurgard Storage Centers, Inc. v. Safeguard Self Storage, Inc. 119 F. Supp. 2d 1121, 1125(W.D. Wash. 2000).(Shurgard Storage Centers, Inc. v. Safeguard Self Storage, Inc.)是美国第一件也是影响深远的适用代理人法则判决的案例(49)Garrett D. Urban, Causing Damage without Authorization: the Limitations of Current Judicial Interpretations of Employee Authorization under the Computer Fraud and Abuse Act, 52 William and Mary Law Review 1369, 1377(2011).。

在“赛佳德仓储中心公司诉赛福佳德自存仓储公司案”中,判断计算机访问是否授权所依据的代理人法则在解释上没有太多的限制。根据法院的判解,只要雇员使用雇主计算机的行为与雇主的利益不一致时,就可以认为该雇员已经不是雇主的忠实代理人,因而他对雇主计算机的访问就是未经授权。其中决定访问行为的授权与否的关键因素是雇员的动机,如果动机不纯就按照代理人法则认定不再具有授权的资格。因此,在赛佳德案中,华盛顿州西区联邦地方法院对“未经授权”采取了广义解释(50)Graham M. Liccardi, The Computer Fraud and Abuse Act: a Vehicle for Litigating Trade Secrets in Federal Court, 8 The John Marshall Review of Intellectual Property Law, 164(2008).。由于本案是使用代理人法则来解释计算机访问未经授权的第一个案例,因此其也开创了对“未经授权”进行广义解释的先河。虽然赛佳德仓储中心公司诉赛福佳德自存仓储公司是以1030条为依据提起的民事诉讼,但其中关于对计算机访问授权的认定也对后来的刑事案件在此问题上的判解产生了影响。前述的美利坚诉洛莉·德鲁案中控方关于以违反网站服务协议条款来认定访问的未经授权判解就是从中受到的启示。

美国联邦司法实务部门关于计算机访问授权与否的判断从与计算机本体紧密相关的情况入手,解释依据主要为程序编码设限和网站服务协议条款,也就是说计算机的所有者或者类似的权利人可以通过设置程序编码或使用者服务协议条款来限制和规范他人对其计算机的访问范围与访问方式。相应地,计算机的使用者会因为规避设定的程序编码或者违反服务协议条款而被认为是无授权的访问行为,从而涉及到滥用计算机并以1030条作为依据展开问责。以程序编码限定访问行为的做法就是计算机的权利人通过在软件程序中设置登录密码等从而限制使用者特定的计算机访问权限(51)Lawrence Lessing, Code and other Laws of Cyberspace, Basic Books, 68-70(2006).。行为人规避程序编码的方式主要有两种:一是假以他人身份登录,如未经同意使用他人密码或猜测出密码;二是从程序编码中找出缺陷,然后利用制作的程序攻入漏洞实现访问(52)Bruce Schneier, Secrets and Leis: Digital Security in a Networked World, Wiley, 175(2004).。前述判例中莫里斯为了显示其才华而突破被他发现的计算机程序缺陷释放蠕虫病毒的行为即是如此。

使用者服务协议条款则是计算机的权利人通过制定相关使用合同来明确规定使用者的权利与义务。如果访问行为人与权利人先前存在合作关系,则合同表现为服务协议条款(Terms of Service),如果不存在即以使用协议条款(Terms of Use)的方式表现(53)Orin S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statute, 78 New York University Law Review, 1645, (2003)。但不管哪种行为方式,都是访问者没有按照其协议条款的具体规定来行使访问行为,如上述案件中洛莉以虚假的身份信息注册账户的行为即属于此种情况。除了程序编码设限与使用服务协议条款作为判断依据外,代理人法则成为在不属于上述两种判断依据下的替代性选择且主要适用于民事赔偿(54)1030条在规定刑事处罚的同时,也规定了受害人可以提起民事赔偿。但1030条中的民事救济条款不是类似于中国刑事附带民事诉讼的规定,根据该法即使被害人提起了民事赔偿等方面的诉讼,如果计算机网络犯罪行为仍有值得刑事处罚的必要,则依然可以由司法机关提起刑事控诉与审判。根据1030条的规定,任何人因他人违反1030条而遭受到损害或者损失的,可以对违法者提起民事诉讼并获得损害赔偿或者停止侵害的禁止令以及其他相等同的民事救济;但提起民事诉讼须符合下列五种情况之一:1.一年之内给一人(包括法人)以上造成的损害累计5千美元以上;2.修改或破坏(或潜在的修改与破坏)与医疗检查、诊断、治疗或一人以上的护理的数据信息;3.造成人身伤害;4.对公共卫生或安全造成威胁;5.对使用于国防、国家安全或司法行政部门的计算机网络造成损害。参见:18 U.S.C. § 1030(a)(5)(B) (2006).,使其主要用来解决雇员对雇主计算机访问的情形。

在“未经授权”的解释判断取用标准上,美国联邦法院判例的普遍选择“程序编码设限”来作为刑事案件中授权判断的依据。虽然有控方以“服务协议条款”作为参考来判断存在“未经授权”的情况,但是经过洛莉案的判决之后,没有一个被告人因违反网站的服务协议条款而被当作1030条(a)(2)款规定的犯罪来处理(55)D. Money Laundering, Rule of Lenity, 112 Harvard Law Review, 475, n64 (November 2008).。“代理人法则”的判断依据由于其解释的宽泛性在刑事案件中也为联邦法院所不采。美国联邦法院在刑事案件中以程序编码设限作为判断计算机网络访问的未经授权,其最大优益之处是能很好地控制1030条的适用面,可以将那些“情节显著轻微危害不大的”计算机网络使用行为排除在刑法规制的范围之外(56)Warren Thomas, Lenity on Me: LVRC Holdings LLC v. Brekka Points the Way toward Defining Authorization and Solving the Split over the Computer Fraud and Abuse Act, 27 Georgia State University Law Review, 385(2011).。这是因为1030条在规制计算机犯罪中存在着既要实现对法益的有效保护又要体现对人权的有力保障,具体表现为:一方面要保证广大的计算机用户尽可能的在网络世界中畅享自由,另一方面又要保护计算机的数据信息安全及其使用者的隐私。打击计算机网络犯罪行为可以有效的保护信息安全与隐私,但过分的刑法适用就会侵害计算机用户的个人自由。因此,这种相互牵扯而体现的潜在张力要求必须对犯罪的构成要件予以恰当的厘定,反映在1030条上就是“未经授权”的确立要符合刑法规制的要求。在关于计算机网络访问中“未经授权”的判断上,美国联邦法院通过判决明确地表明在刑事案件中只能适用程序编码设限作为判断的依据,这些判例成为新的规则,对后来发生的案件发生着重要的指引作用。

(三)中国法院判决检视:“未经授权”与“超越授权”判词乏力

1.判决文书纵览

通过登录“中国裁判文书网”,搜索与计算机网络犯罪有关案件的法院判决,并且为了尽可能达到全搜索,在“刑事案件”项下分别输入三组关键词:“未经授权”“超越授权”“计算机信息系统”(20条);“未经授权”“计算机信息系统”(65)和“超越授权”“计算机信息系统”(22条)。检索范围为自2011年《解释》明确规定“未经授权”和“超越授权”以来的全部载网判决,去除重复检索结果后,一共检索到有关案件判决文书65份(57)详细参见“中国裁判文书网”:http://wenshu.court.gov.cn.。其中,载网判决文书的最早生成时间为2013年1月20日,最新载入时间为2018年12月13日;基层人民法院判决书53份,中级人民法院判决书11份,高级人民法院驳回申诉书1份。在65份判决书中,同时出现“未经授权”和“超越授权”表述的有15份;单独出现“未经授权”表述的有50份,“超越授权”单一表述的判决仅检索到1份(58)该文书为辽宁省高级人民法院于2018年5月30日作出的何明东驳回通知书。参见“中国裁判文书网”:http://wenshu.court.gov.cn. 案件名称:何明东驳回通知书,2019年4月28日最后访问。。经过细致梳理分析65份判决文书,关于“未经授权”和“超越授权”在判词中的存在形式主要有两种:一种是在判决主文中载明;一种是在判决主文之后的附件中以“相关法律条文”的形式出现。

(1)判决正文中的“未经授权”与“超越授权”

根据判决文书正文中“未经授权”和“超越授权”的使用情况和法官对这两个用语的说理阐释程度进行判断,本文将其分为“直引用法”和“解释用法”两类。“直引用法”,顾名思义就是直接将《解释》中规定的“未经授权”或“超越授权”引用到判决文本中相应需要处,而不进行任何解释与说明。简而言之,就是机械式的简单照搬照抄。这种“直引用法”又分“原句直用”和“原句转用”。“原句直用”就是将《解释》中规定的“未经授权或者超越授权获取计算机信息系统数据的功能的”直接原句植入判决书中。例如,2016年9月30日由广西壮族自治区某市中级人民法院作出终审裁定的陈某等犯“侵入、非法控制计算机信息系统程序、工具罪”和“提供侵入、非法控制计算机信息系统程序、工具罪”一案中,法院判决文书中唯一一处使用“未经授权”和“超越授权”的表述为:“经查,公安机关在陈某在场及见证人见证的情况下对陈某销售的木马程序的源代码进行侦查实验,证实该木马程序的源代码具有盗取QQ号和密码的功能,即具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能”(59)详细参见“中国裁判文书网”:http://wenshu.court.gov.cn,案件名称:陈军辉、罗显冠提供侵入、非法控制计算机信息系统程序、工具二审刑事裁定书,2019年5月1日最后访问。。原句被直接引用后,没有展开论证,而是作为结尾来使用。

“原句转用”是将《解释》中规定的“未经授权或者超越授权获取计算机信息系统数据的功能的”或“未经授权或者超越授权对计算机信息系统实施控制的功能的”两句话中的“未经授权”或“超越授权”两个词组提取出来转换后使用于判决书中。例如,由北京市第一中级人民法院在2018年5月9日作出的二审维持原判的终审裁定中,对“未经授权”和“超越授权”的表述为:“提供侵入、非法控制计算机信息系统的程序、工具罪的客观表现是提供专门用于侵入、非法控制计算机信息系统的程序、工具,且情节严重的行为,其本身应具有获取计算机信息系统数据、控制计算机信息系统的功能,具有避开或者突破计算机信息系统安全保护措施的功能,其获取数据和控制功能在设计上即能在未经授权或者超越授权的状态下得以实现”(60)详细参见“中国裁判文书网”:http://wenshu.court.gov.cn,案件名称:庞银平等提供侵入、非法控制计算机信息系统程序、工具二审刑事裁定书,2019年5月2日最后访问。。经统计,在检索搜集到的65份判决文书中,类似于上述广西法院的“直引用法”的判决一共有62份,占95.3%。在这类判决中,“未经授权”和“超越授权”的适用更多是从汉语字面意义上来表述,而非法律语义特别是未结合计算机网络技术特征来进行专门使用。

“解释用法”就是在引用《解释》关于“未经授权”和“超越授权”的规定后,结合计算机网络犯罪案件的具体情况,同时根据计算机网络技术的发展特点和最新类型,在判决中对什么是“未经授权”或“超越授权”作出一定的法理解释。法官重点围绕行为人的相关访问行为或者是使用的相关技术措施(即访问软件、程序等)是否获得“授权”进行法律层面和技术层面的初步解读和阐述,使“未经授权”或“超越授权”的判断具有相当的依据,同时也对其语义内涵予以了一定的展开,作出了丰富其定义的努力。这一点不但体现了司法实务中的法官的务实担当精神,更在学理和法理上具有探索建构中国刑事法语境下计算机网络犯罪“未经授权”和“超越授权”违法性判断标准的开创性价值意义,非常值得肯定。不过值得注意的是,从搜集到的65份判决文书中进行甄别统计,使用“解释用法”的这类判决只有3份,占比仅为4.7%,反映出当前在我国司法实务部门中对这一问题的探索力度还不够深入,面也不够广。下文以浙江省绍兴市中级人民法院判决为例,对“解释用法”的运行情况进行具体分析。

(2)判决文书附件中的“未经授权”与“超越授权”

在检索到的判决文书中,部分判决文书虽然是涉及计算机网络犯罪的案件,但在判决文书正文中并没有出现“未经授权”或“超越授权”,也无相关的解读和说明,而是在判决正文后附上的“相关法律条文”中,详细列举出《解释》中关于“未经授权”和“超越授权”的具体条文。例如,2017年4月27日上海市徐汇区人民法院在苏某犯非法获取计算机信息系统数据罪,叶某犯提供侵入、非法控制计算机信息系统的程序、工具罪的一审判决中,针对苏某和叶某实施的行为为何构成判决之罪不但未作深入的法理性论述,也没有直接引用《解释》中的“未经授权”和“超越授权”,而是以事实性阐述甚至是同义反复简要说明俩被告人的行为构成犯罪:“本院认为,苏某违反国家规定,采用技术手段获取计算机信息系统数据,情节特别严重,其行为已构成非法获取计算机信息系统数据罪,应予处罚。被告人叶某向他人提供专门用于侵入、非法控制计算机信息系统的程序、工具,情节严重,其行为已构成提供侵入、非法控制计算机信息系统的程序、工具罪,应予处罚”(61)详细参见“中国裁判文书网”:http://wenshu.court.gov.cn,案件名称:陈军辉、罗显冠提供侵入、非法控制计算机信息系统程序、工具二审刑事裁定书,2019年4月29日最后访问。。在检索到的65份判决文书中,以附件形式列举《解释》规定的“未经授权”和“超越授权”规定的这类判决占10份,占比为15.3%。从这类判决文书的存在样态来看,大体可以解读出的意思可能有两层:一是承办法官觉得案情简单,不需要引用“未经授权”或“超越授权”这样比较专业的规定用语,就如前述上海法院的案例;二是法官在判案过程中对《解释》关于“未经授权”和“超越授权”的规定理解和把握不准,索性就干脆不直接引用,也不作说明,而是在正文后附上有关法律规定,由当事人结合案例自己进行解读。

2.具体案例解析:张大云等犯提供侵入、非法控制计算机信息系统程序、工具罪

(1)基本案情(62)本案涉及的罪行较多,但与本文相关主要罪行是提供侵入、非法控制计算机信息系统程序、工具罪,因为都属于多人违犯同一种罪的串案,且构成同种罪的行为方式相同,限于篇幅本文从裁判文书中只提取一个犯罪行为予以分析阐述。该文书为浙江省绍兴市中级人民法院于2017年3月3日(2017)浙06刑终43 号刑事裁定书,“中国裁判文书网”:http://wenshu.court.gov.cn. 案件名称:王贵兴、张大云侵犯公民个人信息二审刑事裁定书,2019年4月29日最后访问。

2014年11月开始,被告人张大云伙同非同案共犯杨某根据非同案共犯马某提供的用户需求,开发制作了“林某1”“凌某”系列软件,并由马某销售给他人用于批量获取淘宝、支付宝系统中的数据信息。被告人叶星明知上述系列软件的功能和用途,仍于2015年3月开始受雇于被告人张大云等人,并从事系列软件的开发、维护工作。经查,通过运行“林某1”“凌某”系列软件,能够规避多重限制条件,批量获取淘宝、支付宝系统中的数据信息。被告人张大云等人通过销售“林某1”“凌某”系列软件获利人民币234万余元,被告人张大云分得其中的25%。被告人张大云与非同案共犯杨某共同承担了被告人叶星的工资收入人民币4万余元。2015年9月27日,被告人张大云被公安民警抓获归案。后在被告人张大云的协助下,公安民警于同日将被告人叶星抓获归案。绍兴市越城区人民法院于2016年12月24日作出(2016)浙0602刑初1145号刑事判决,被告人张大云犯提供侵入计算机信息系统程序罪,判处有期徒刑四年六个月,并处罚金人民币五万元;被告人叶星犯提供侵入计算机信息系统程序罪,判处有期徒刑二年六个月,并处罚金人民币三万元。

张大云、叶星等不服提出上诉。张大云上诉提出:“林某1”软件功能仅限于在浏览器中正常操作能完成的功能,软件仅将固有功能简化,目的在于提高效率,未进入计算机后台窃取数据,不具有突破淘宝安全防护系统的功能;“林某1”软件使用的数据是经用户授权的,原判认定未经授权错误;其辩护人提出:原判认定“林某1”系列软件具有避开或突破计算机系统安全保护措施的功能错误;仅对“林某1”系列软件中的一款作了鉴定,且未指出能突破淘宝安全防护系统的功能或行为以及未得到授权的数据;自动更换IP作用是提升网站服务器的速度,不能使数据不安全;无证据证明人机识别、IP登陆数量、数字验证、图片验证等措施属安全防护系统;软件模拟正常操作过程,无规避措施,不能威胁数据安全;“林某1”软件无侵入、非法控制计算机系统的功能,不能获取计算机系统中的数据,不是专门用于侵入、非法控制计算机系统的程序、工具;软件不能避免用户使用非法账户信息,输入正确的账户及密码即应认定为得到了用户授权。叶星上诉提出:原判认定“林某1”系列软件可规避安全防护系统,直接威胁数据安全错误,侦查机关仅就第一款软件“凌某”出品(015)淘宝扫号器全自动版的软件源代码进行鉴定,且鉴定报告亦未明确该软件能突破淘宝安全防护系统;“林某1”工作室的信息均有用户授权,账号密码均为用户导入,用户购买的用途是否合法其不知情;其辩护人认为:“林某1”“凌某”软件不具有突破安全防护系统的功能,突破淘宝公司人机识别、IP登录限量、数字、图片验证等操作规则,不等于突破计算机安全防护系统,仅是简便操作;“林某1”“凌某”系列软件中的数据是经过用户授权的,账号密码均为用户输入,他人非法获取数据的责任不应由叶星承担。

绍兴市中级人民法院对张大云、叶星及其各自辩护人的上诉理由及辩护意见,进行了如下评析:淘宝有限公司安全部门职员证人金某证实人机识别系统是阿某反作弊关键系统,该系统为淘宝、支付宝等30多个应用提供安全防护服务,安全防护的目的就是防止机器批量操作盗取账号。而“林某1”系列软件可以绕过该识别系统,实现批量操作;张大云作为该软件的研发人员,对该软件如何突破防护有详细而稳定的供述;“林某1”系列软件在实际使用中确用于非法用途。淘宝、支付宝等应用的安全防护措施的目的就在于防止批量操作,而“林某1”系列软件突破了该项防护,实现批量操作的目的,故应认定为具有避开或突破计算机系统安全防护措施的功能。张大云及其辩护人提出该软件模拟正常操作,仅可提高效率不应认定为具有避开或突破计算机系统安全防护措施的功能的上诉意见不成立。对于张大云、叶星及其辩护人均提出“林某1”软件使用的数据经用户授权的意见,法院认为:“林某1”软件使用的数据来源非法;软件实现修改密码、解绑手机、换绑邮箱等批量操作系突破淘宝公司服务器安全防护措施而实现;修改密码、解绑手机、换绑邮箱等操作违背原账号所有人的意志。故该上诉意见不成立。绍兴市中级人民法院驳回张大云、叶星等人上诉,维持原判。

(2)简要评析

通过对上述张大云、叶星等犯提供侵入、非法控制计算机信息系统程序、工具罪一案的初步梳理,可以看出其与类似案件的判决最大差别之处是本案在涉及“未经授权”和“超越授权”时,并未简单的加以引用,也不是在判决书末尾附上带有“未经授权”和“超越授权”的有关法律规定或司法解释。犯罪嫌疑人张大云及其辩护人对其行为是否“授权”进行了较为明确的辩解,即认为其使用的“林某1”软件目的在于提高效率,没有进入计算机后台窃取数据,不具有突破淘宝安全防护系统的功能,且提出“‘林某1’软件是经用户授权的,软件不能避免用户使用非法账户信息,输入正确的账户及密码即应认定为得到了用户授权”。张大云及其辩护人特别强调“输入正确的账号及密码即应认定为得到了用户授权”,涉及到在我国关于计算机网络犯罪中,特别是在“侵入”型犯罪中,行为人“授权”的认定标准,这与美国联邦计算机犯罪法中的相关规定和司法判解中已经得到公认并法定化的“程序编码设限”标准具有相当性,其辩解主张在我国司法实务中也具有一定的开创性。简而言之,无论是“未经授权”还是“超越授权”,其中的核心要件是“授权”,只有授权与否得到明确的认定,才能再进一步分析犯罪的构成要件符合与否。

本案中张大云、叶星及其辩护人虽然都在上诉中提出了输入正确账号密码即不应认为是未经授权的辩解意见,但又同时提出:“‘林某1’‘凌某’软件不具有突破安全防护系统的功能,突破淘宝公司人机识别、IP登录限量、数字、图片验证等操作规则,不等于突破计算机安全防护系统,仅是简便操作”的主张,明显不具有充分的说理性和辩驳力,站不住脚。这一点在绍兴市中级人民法院的判解回应中可以得到明确说明:人机识别系统是阿某反作弊关键系统,该系统为淘宝、支付宝等30多个应用提供安全防护服务,安全防护的目的就是防止机器批量操作盗取账号,“林某1”系列软件可以绕过该识别系统,突破了该项防护,实现批量操作的目的,故应认定为具有避开或突破计算机系统安全防护措施的功能。“林某1”软件使用的数据来源非法,软件实现修改密码、解绑手机、换绑邮箱等批量操作系突破淘宝公司服务器安全防护措施而实现;修改密码、解绑手机、换绑邮箱等操作违背原账号所有人的意志。绍兴市中级人民法院的判解说明了“授权”的缺失,特别是“修改密码、解绑手机、换绑邮箱等操作违背原账号所有人的意志”直接说明了未经授权的存在。

从上述案件的判决情况来看,上诉和审判双方都对“未经授权”进行了一定的申辩和解释,虽然两方都没有根据有关法律规定或司法解释进行条分缕析的解读或引用(实际上到目前为止,就“未经授权”或“超越授权”而言,也无相应的具体法条依据或认定标准可以直接适用),也没有如美国法院那样总结出具体的认定“未经授权”或“超越授权”的标准,但是走出了重要的一步,特别是绍兴市中级人民法院提出了类似于“程序编码设限”的认定思路,即突破系统设定的安全防护功能,就应认定为未经授权(当然,具体是未经授权还是超越授权,似还有进一步讨论的空间,但无论认定为“未经授权”还是“超越授权”都不影响行为的最终定性)。

从总体上看,中美两国法院在计算机网络犯罪中对“未经授权”和“超越授权”方面的判解,虽然据以认定的规定高度相似(即都是“未经授权”和“超越授权”),但在具体的认定内涵或判断依据上却存在很大不同。主要差异是目前中国法院对“未经授权”和“超越授权”在一定程度上存在着“集体性失语”,除了上述绍兴市中级人民法院在这一问题上有所拓展外,绝大部分法院在实践中都没有就“未经授权”或“超越授权”进行合理定义或精细解读(更遑论从司法判决中总结出类似美国判解的具有中国特色的认定标准)。在中国法院的判决中,对于谁授权或谁是授权主体(关于授权的主体,在搜集到的判决书中只有一个判决书简单的提出:“未经目标计算机授权”(63)该文书为大连市金州区人民法院于2016年4月1日对黄某犯提供侵入、非法控制计算机信息系统程序、工具罪的判决,参见“中国裁判文书网”:http://wenshu.court.gov.cn. 案件名称:黄翔提供侵入、非法控制计算机息系统程序、工具一审刑事判决书,2019年5月2日最后访问。),没有展开进行深入的说明;“超越授权”更是没有具体的阐述,大多数的判决都是直接援引司法解释中的原话或是将司法解释中的有关规定作为判决附文列后。因此,从某种程度上说,对于“未经授权”和“超越授权”的认定,中美两国司法可谓“貌合神离”。

四、结论

计算机网络犯罪以及其他非属于犯罪的计算机滥用行为都随着计算机技术的更新而改变,行为手段层出不穷。美国立法在计算机网络犯罪中设置“未经授权”和“超越授权”来判断行为人的访问行为合法与否,但没有对“未经授权”予以明确定义,而是让司法机关结合实践作出判解,形成判例规则。立法机关根本不可能以一个固定时期且处于计算机技术发展初期的关于对“未经授权”样态的认识来诠释当时和未来的行为模式。 在“未经授权”这一问题上,法院的判例以“规避程序编码设限”作为判断依据。出于对罪刑严格认定的考虑,美国法院在刑事案件上对发展出来的“服务协议条款”规则不予采用。没有一个法院已经作出判决认为违反一个合同式的规定(不管是违反网站的服务协议条款还是其他)构成计算机访问的未经授权,从而以《计算机欺诈及滥用法》的刑法条文来治罪(64)Nicholas R. Johnson, “I Agree” to Criminal Liability: Lori Drew’s Prosecution under §1030(a)(2)(c) of the Computer Fraud and Abuse Act, and Why Every Internet User should Care, Journal of Law, Technology & Policy, 577(2009).。因此,美国立法中“未经授权”在刑事案件中认定的核心义涵就是不能规避程序编码设限或是突破预设功能而擅自访问他人计算机。

计算机网络的重要意义在于其在源头设计上就提供了自由使用的价值(65)Lawrence Lessing, Code and other Laws of Cyberspace, Basic Books, 8(2006).。同时,计算机网络还存着重要的社会价值,体现在其可通过法律和技术的架构来保证广大用户能在计算机网络中有自己安全而私密的领域,使其不受到非法的侵扰与干涉(66)Paul M. Schwartz, Internet Privacy and the State, 32 Connecticut Law Review, 815(2000).。 然而,这两种价值之间存在着冲突。举例而言,黑客会认为自己具有探索性的计算机攻入行为是自由访问,但对于受访的被害者而言则会认为这是对其隐私与安全的侵犯(67)Michael Lee et al., Electronic Commerce, Hackers, and the Search for Legitimacy: a Regulatory Proposal, 14 Berkeley Technology Law Journal, 845(1999).。刑法的适用就需要游走于这两者冲突的边缘,而中美两国规制计算机网络犯罪的法律都是既要能够保证计算机网络使用的价值,又要保护其中的隐私及其安全。在以程序编码作为未经授权的判断依据下,计算机用户可以自由地使用网络、访问网站、收发邮件以及在其他的社交网站上自由地交流交往,而不用担心会因为违反使用服务协议条款等类似合约式规定而受到刑事追究(68)当然这并不意味着没有任何责任,计算机或网站的权利人对于违反其服务协议条款的行为人可以提起民事诉讼。。同时权利人通过程序编码以账号密码或防火墙等方式设定访问的限制,表明他们对计算机网络安全以及隐私的需求,不允许他人随便访问。通过技术性等方式来规避设定的程序编码而突破计算机中设置的安全障限从而攫得访问的行为严重威胁到权利人的隐私、利益及计算机数据信息的安全,其明显的体现出行为人具有严重的刑事犯罪性和非难可责性(69)Ethan Preston, Finding Fences in Cyberspace: Privacy and Open Access on the Internet, 6.1 Journal Technology Law & Policy 3(2000).参见:http://grove.ufl.edu/~techlaw/vo16/Preston.html(最后访问:2019年5月2日)。这对那些在自己计算机及其网站中设定了访问限制的情况能够提供完整的保护。

综上所述,由于我国司法解释中所使用的“未经授权”与美国立法中所规定的“未经授权”具有相同的规制功能,义涵也基本没有差别。因此,我们认为对我国司法解释中的“未经授权”在其内涵上可以参考美国判例结论来加以确定,即以程序编码设限作为判断计算机访问未经授权的标准。对于“超越授权”则在上述基础上可以确定为:行为人在获得一定授权使用计算机时,利用这一授权使用的机会去获取计算机信息系统中的数据或控制计算机信息系统,但行为人的数据获取或控制行为并没有得到授权。

猜你喜欢
计算机信息计算机网络刑法
BIM时代计算机信息技术在建筑工程中的应用
计算机信息技术在食品质量安全与检测中的应用
过度刑法化的倾向及其纠正
基于模式匹配的计算机网络入侵防御系统
浅析维护邮政计算机信息系统的策略
关于计算机网络存储技术分析
计算机网络环境下混合式教学模式实践与探索
计算机网络信息安全及防护策略
《刑法》第217条“复制发行”概念的解释与适用
探究大数据时代计算机信息处理技术的发展方向