破坏计算机信息系统罪的教义学反思与重构

王华伟

(北京大学 法学院，北京 100871)

一、问题的提出

随着信息网络社会的纵深发展，近年来破坏计算机信息系统罪的司法案例迅速攀升。甚至有观点认为，该罪已经呈现了“口袋化”的趋势。关于破坏计算机信息系统罪的处罚边界，尤其是本罪的保护法益定位、实行行为的规范内涵、罪量要素的具体认定等问题，在理论界存在明显争议，在实务领域相互对立的判例并不罕见。即使是最高司法机关所颁布的指导性案例，是否在一定程度上存在内在抵牾，也不无疑问。例如，在最高检2017年发布的第9批指导性案例中，司法机关对破坏计算机信息系统罪的适用采取了一种相当宽松的立场。流量劫持(域名劫持)、删改购物评价、锁定智能手机的行为，通通被法院认定为破坏计算机信息系统罪，其裁判要旨得到了最高检的充分肯定(1)参见最高人民检察院指导性案例第33号李丙龙破坏计算机信息系统案，第34号李骏杰等破坏计算机信息系统案，第35号曾兴亮、王玉生破坏计算机信息系统案。。而最高法于2021年发布的第145号指导性案例，则对破坏计算机信息系统罪的适用呈现明显收紧的态度，没有将修改、增加计算机信息系统数据的行为一概认定为破坏计算机信息系统罪(2)参见最高人民法院指导案例第145号张竣杰等非法控制计算机信息系统案。。在网络犯罪态势越发严峻的当下，到底如何对破坏计算机信息系统罪进行理解与适用，从而准确划定罪与非罪的边界，厘清此罪与彼罪的区别，亟待从法教义学层面进行系统梳理，对此本文将结合若干典型案例进行深入阐述。

二、保护法益的重新定位

罪名保护法益的定位在很大程度上将会决定教义学解释的方向，由此影响构成要件要素具体内涵的认定。破坏计算机信息系统罪的司法适用之所以争议重重，很重要的原因之一就在于没有在该罪的保护法益问题上形成妥当的理解与共识，对此有必要予以明确。

第一，破坏计算机信息系统罪的保护法益并非一种社会秩序法益，而是个体法益。较为传统且颇有影响力的观点认为，本罪“侵害的客体是国家对计算机信息系统安全的管理秩序”(3)王作富主编：《刑法分则实务研究(中)》，北京：中国方正出版社，2010年，第1209页；邢永杰：《破坏计算机信息系统罪疑难问题探析》，《社会科学家》2010年第7期。。这种根据罪名章节位置来认定本罪保护秩序性法益的理解，也在权威判例中得到了支持(4)参见吕梅青、朱宏伟《童莉、蔡少英破坏计算机信息系统案》，中华人民共和国最高人民法院刑事审判第一、二、三、四、五庭主办：《刑事审判参考》总第86集，北京：法律出版社，2013年，第73页。。但是，这样的理解已经不再契合破坏计算机信息系统罪在当下社会语境和刑法体系中所应扮演的角色。首先，本罪虽然被规定在《刑法》第六章第一节之中，但是这并不必然意味着本罪所保护的首先或主要是一种社会秩序法益。罪名在《刑法》分则中的体系位置对保护法益的确定具有一定的指导性，但也并不绝对。其次，本罪在立法设置时，法律制定者也并未特别强调破坏计算机信息系统应当对社会管理秩序和公共秩序形成破坏。按照高铭暄教授的记载，1997年新增此罪，“旨在加强对计算机信息系统的管理和保护，保障计算机信息系统功能的正常发挥，维护计算机信息系统的安全运行”(5)高铭暄：《中华人民共和国刑法的孕育诞生和发展完善》，北京：北京大学出版社，2012年，第513页。。正因如此，在立法论上，将本罪放置在《刑法》第六章第一节是否妥当本身就存在一定争议(6)参见王华伟《我国网络犯罪立法的体系性评价与反思》，《法学杂志》2019年第10期。。再次，将本罪的保护法益定位为一种秩序性法益也将使得本罪远远落后于网络社会的发展步伐。在当下社会，计算机广泛普及，个体占有率极高，如果仍然认为本罪只能或者主要保护秩序性法益，那么本罪的适用将会受到过度限缩。最后，从国际比较的层面来看，在较为具有代表性的国家的刑法中，破坏计算机犯罪的法益也并未限定在公共秩序范畴之内。例如，美国《计算机欺诈与滥用法》第1030(a)(5)条对破坏计算机的行为进行了规定，该条以行为(如传输程序、信息、代码，非法侵入等)对计算机造成损害作为构成要件的核心，并未涉及扰乱公共秩序的要素(7)See 18 U.S.C. § 1030 (a) (5).。《日本刑法典》第234条之二规定了损坏电子计算机等妨害业务罪，其构成要件与破坏计算机信息系统罪有一定的相似性。学者通常认为，本罪的保护法益是电子计算机业务的顺利进行(8)[日]大谷实：《刑法各论(新版第2版)》，黎宏译，北京：中国人民大学出版社，2008年，第136页；[日]西田典之：《日本刑法各论(第三版)》，刘明祥、王昭武译，北京：中国人民大学出版社，2007年，第102页。。

第二，破坏计算机信息系统罪的保护法益并非计算机信息系统的不可侵犯性和形式完整性。一方面，由于我国《刑法》第285条第1款专门规定了非法侵入计算机信息系统罪，从体系解释的角度来看，破坏计算机信息系统罪所规制的显然并非仅仅非法侵入计算机信息系统的行为。另一方面，仅仅损害了计算机信息系统形式完整性的行为，也不能构成本罪。破坏计算机信息系统罪的构成要件行为采用了“删除”“修改”“增加”的表述，而未直接使用“破坏”的概念，字面上并没有特别强调行为的毁弃性特征，如果仅对其进行形式性解读，容易将本罪的保护法益理解为计算机信息系统的形式完整性。但这样一来，破坏计算机信息系统罪成了一种门槛极低的罪名，背离了立法设置初衷。

第三，破坏计算机信息系统罪的保护法益应当是计算机信息系统的正常运行。首先，这里保护法益的直接指涉对象是计算机信息系统本身，而不是计算机信息系统的数据处理结果。换言之，仅仅只是外在地、间接地影响了计算机信息系统的数据处理结果，而并未直接影响计算机信息系统本身，不宜认定构成本罪。如果不对此加以限定，本罪将可能在司法实践中被不当拓展为一种妨害业务类的犯罪。其次，对计算机信息系统正常运行的影响，必须达到一定的严重程度，但又并不必然要求造成根本性、不可逆的损害后果。一方面，通过删除、修改、增加、干扰的方式来影响计算机信息系统正常运行的行为非常宽泛，因此立法者为《刑法》第286条前3款行为都设置了指征违法性程度的罪量要件。这意味着，即使相关行为初步符合构成要件类型，但是如果法益侵害程度轻微也不构成本罪。但是另一方面，也不能极端化地认为，本罪行为对计算机信息系统或计算机信息系统中的数据和应用程序的破坏必须达到彻底损毁的程度。理论上有观点认为，“在破坏计算机信息系统数据和应用程序的行为方式中，产生严重后果主要是指使用户重要的计算机数据和资料遭到不可恢复的严重破坏”(9)邢永杰：《破坏计算机信息系统罪疑难问题探析》，《社会科学家》2010年第7期。。但这一理解过于苛刻，即使数据和应用程序遭受的是可恢复的破坏，也仍然可能构成本罪。最后，《刑法》第286条第2款尽管没有明文规定“造成计算机信息系统不能正常运行”或“影响计算机系统正常运行”，但是该款行为的保护法益同样应当是计算机信息系统的正常运行。有学者指出，“在现有法律规定之外，另外给该罪第2款单独增加‘造成计算机信息系统功能不能正常运行’的入罪条件，既不符合罪刑法定原则，也容易造成司法实践中的认识差异”(10)赵宁：《厘清“修改数据式”破坏计算机信息系统罪》，《检察日报》2020年4月24日第3版。。然而，按照这样一种逻辑，第286条第2款实际上很容易蜕变为单纯保护数据完整性的独立罪名，与破坏计算机信息系统罪的基本属性显得格格不入。破坏计算机信息系统罪本质上属于虚拟空间的毁弃型犯罪，虽然计算机信息系统中的数据和应用程序可以成为其行为对象，但破坏行为的最终效果仍然应当落脚于计算机信息系统本身。

三、实行行为的规范校准

关于破坏计算机信息系统罪的实行行为的理解，在司法实务中存在诸多争议，并且主要集中于前两款规定。对此，本文将结合对相关典型案例的评析，提出认定该罪实行行为的教义学标准，以求实现对本罪实行行为的规范校准。

(一)破坏计算机信息系统功能的行为

《刑法》第286条第1款对破坏计算机信息系统功能的行为作出了规定，即对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行。对这一行为类型，目前司法实务存在着对构成要件进行形式化、字面化、扩张化解读的趋势。针对这一局面，本文提出该款行为应当具有指向性、直接性和毁弃性的基本特征，以此来制约本罪的不当扩大适用现象。

1.行为的指向性

行为的指向性是指本罪构成要件所规定的删除、修改、增加、干扰行为，应当指向计算机信息系统功能而实施，仅仅通过改变自身状态来影响计算机信息系统实际运行效果的，不能构成破坏计算机信息系统罪。

[张某某等破坏计算机信息系统案](11)参见张某某与陶某破坏计算机信息系统罪一审判决书，(2014)秦刑初字第97号。2012年5月，被告人张某某为牟利而委托黄某编写了名为“第一名”的软件，通过被告人陶某等人对外销售，违法所得18800元。经鉴定，该软件利用百度根据网页点击量对关键词搜索结果进行排名的原理，通过自动点击相关网页的方式增加点击量，可以对百度搜索关键词排序功能造成干扰。

本案的法院判决认为，被告人张某某、陶某违反国家规定，对计算机信息系统功能进行干扰，造成计算机信息系统不能正常运行，构成破坏计算机信息系统罪。在理论界，对此案则存在两种不同的见解。一种观点认为，被告人虽然没有侵入百度搜索引擎的运营服务器内部进行数据修改，但“第一名”软件对百度的服务器人为传递了错误的反馈信息，严重影响了其检索功能的正常发挥，构成本罪实行行为中的干扰。而另一种观点则认为，干扰是对计算机信息系统运行机理造成的破坏，如果干扰行为没有导致计算机信息系统运行机理发生重大变化，就不是破坏计算机信息系统罪意义上的干扰(12)参见朱赫等《破坏计算机信息系统案件法律适用研讨》，《人民检察》2015年第8期。，法院判决“属于迁就网络治理现实需求扩大化与入罪化的客观解释”(13)刘艳红：《网络时代刑法客观解释新塑造：“主观的客观解释论”》，《法律科学》(西北政法大学学报)2017年第3期。。

笔者认为，将本案行为定性为破坏计算机信息系统，已经明显突破了破坏计算机信息系统罪的适用范围。“第一名”软件的核心功能在于改变相关网页的点击量，以此实现在百度搜索系统中排序更好的目标。但是，这一行为仅仅改变了软件使用者网页的自身状态，而非指向百度公司的计算机信息系统及其功能。破坏计算机信息系统罪属于一种积极的作为犯罪，因此其行为应当体现出外在的指向性。而且，这种外在的指向性与本罪的毁弃性特征紧密结合在一起。如果缺乏这种外部指向性，那么充其量只能说该行为给计算机信息系统造成了一定影响，但不能将这种影响称之为一种破坏。打一个形象的比方，假设我们给某驾战斗机涂上隐形材料，使其无法被对方雷达系统所监测，此时我们显然不能认为，该行为破坏了雷达系统及其对应的计算机信息系统。

问题的症结之一在于《刑法》第286条第1款规定的“干扰”行为。“干扰”的含义较为模糊，其中主动“干预”的意蕴可能被淡化甚至消解，以至于这一概念逐渐被泛化理解为“扰乱”“产生消极影响”的意思。而通过改变自身状态，同样可能给对方造成消极影响。就在这样一种语义逐渐置换的过程中，破坏行为的指向性被瓦解。这样的一种裁判逻辑尤为值得警惕。在目前的网络生态中，存在大量违规软件，它们不会破坏相关计算机信息系统的功能，但是客观上可以发挥某种“作弊”的效果，给计算机信息系统带来消极影响，如果都按照本案中的思路来分析，可能将有大量类似恶意行为被过度犯罪化。

2.行为的直接性

行为的直接性是指本罪的构成要件行为除了指向计算机信息系统功能以外，通常还应当侵入计算机信息系统内部对其功能产生直接作用，行为人仅仅在系统外部干扰数据输入，从而间接影响最终数据输出结果的，不构成破坏计算机信息系统罪。

[李森等破坏计算机信息系统案](14)参见最高人民法院指导性案例第104号李森、何利民、张锋勃等人破坏计算机信息系统案。西安市长安区环境空气自动监测站通过环境空气质量自动监测系统采集、处理监测数据。2016年2月至3月间，被告人李森、张锋勃等人多次用棉纱堵塞采样器的方法，干扰子站内环境空气质量自动监测系统的数据采集功能，造成该站多个时间段内监测数据严重失真。

对于本案，法院判决意见认为，李森等人的行为构成破坏计算机信息系统罪。基本的逻辑和理由在于，环境质量监测系统属于刑法上的计算机信息系统，李森等人用棉纱堵塞采样器的行为造成了计算机信息系统的监测数据失真，影响对环境空气质量的正确评估，属于对计算机信息系统功能进行干扰，造成计算机信息系统不能正常运行。而且，法院判决还援引了2016年最高法、最高检《关于办理环境污染刑事案件适用法律若干问题的解释》第10条第1款的规定。

初步看来，该判决似乎有理有据，而且被最高人民法院遴选为指导性案例。然而，实际上该判决意见代表了司法实务对本罪的一种典型误读。《刑法》第286条第1款中的“删除、修改、增加、干扰”行为，应当直接针对计算机信息系统的功能发生作用，而非间接影响计算机信息系统的数据处理结果即可构成。这样一种理解的根本原因在于，破坏计算机信息系统罪乃是网络空间针对计算机信息系统的毁弃型犯罪，如不严格把握破坏行为的“直接性”要求，势必会导致本罪适用范围不当扩张。正因如此，有学者指出，“破坏计算机信息系统功能的行为，是指行为人在不法侵入计算机系统内部后，再对系统的功能本身进行破坏”(15)周光权：《刑法软性解释的限制与增设妨害业务罪》，《中外法学》2019年第4期。。而与此相反，支持本案判决意见的学者认为，破坏计算机信息系统罪中的“干扰”行为可以分为内部干扰和外部干扰，而本案被告人的行为即属于后一种情况(16)叶小琴、高彩云：《破坏计算机信息系统行为的刑法认定——基于最高人民法院第104号指导性案例的展开》，《法律适用》2020年第14期。。笔者认为，本罪的构成是否一定以行为人不法侵入计算机信息系统内部为前提条件，或许在技术层面尚难完全定论，但从目前的状况来看，侵入计算机信息系统通常是基本的前置步骤。退一步说，即使在所谓外部干扰的情形下，干扰行为也应当直接影响计算机信息系统的功能本身。而在本案中，被告人李森等人只是在计算机信息系统的外部，通过影响数据源输入的方式来间接影响计算机信息系统的最终数据输出结果。在整个行为过程中，计算机信息系统的功能本身并没有受到任何破坏，系统的数据处理功能完好无损。换言之，计算机信息系统仍然正常运行，只是数据处理结果受到了间接操控而已。同样打个形象的比方，假设甲在出售猪肉时，往待售的猪肉中大量注水，收购方乙用电子秤称重，结果重量严重不实。此时我们不能认为甲破坏了乙的电子秤，实际上他只是非法操控了称重数据。同理，在破坏计算机信息系统罪的适用过程中，如果认为以任何方式影响计算机信息系统最终输出数据的行为都符合构成要件，无疑会使本罪偏离毁弃型犯罪的本质，从而削弱罪刑法定这一基本原则。

3.行为的毁弃性

行为的毁弃性是指本罪的构成要件行为在具有指向性和直接性的基础上，应当实质性地破坏计算机信息系统功能，如果行为只是排除或限制了权利人对计算机信息系统功能的占有使用，而系统本身完好无损，也不宜认定构成破坏计算机信息系统罪。

[曾兴亮、王玉生破坏计算机信息系统案](17)参见最高人民检察院指导性案例第35号。2016年10月至11月，被告人曾兴亮与王玉生诱骗被害人先注销其苹果手机上原有的iCloud ID，再使用被告人提供的ID及密码登录。随后，曾、王二人立即在电脑上使用新的ID及密码登录，利用苹果手机相关功能将被害人的手机设置修改，远程锁定被害人的手机，以解锁为条件索要钱财。

本案的生效判决认为，被告人曾兴亮、王玉生的行为构成破坏计算机信息系统罪。最高检的指导性意见更是清楚地指出，被告人“通过修改被害人手机的登录密码，远程锁定被害人的智能手机设备，使之成为无法开机的‘僵尸机’，属于对计算机信息系统功能进行修改、干扰的行为”(18)万春、缐杰、张杰：《〈最高人民检察院第九批指导性案例〉解读》，《人民检察》2017年第23期。。理论上，也有学者认为“这是对网络意义上‘破坏’行为的‘适时性’理解”(19)高铭暄、孙道萃：《网络时代刑法解释的理论置评与体系进阶》，《法治研究》2021年第1期。。但是，这样的一种判例立场在无形中助长了破坏计算机信息系统罪的宽泛适用。这里涉及破坏计算机信息系统功能行为的定型性问题，理论上对此鲜有讨论。这一点十分类似于实体空间中的毁弃型犯罪——故意毁坏财物罪的司法适用，有必要借鉴性地从中梳理出相关理论脉络。

关于故意毁坏财物罪的行为，理论上历来存在物质损毁说、有形侵害说、效用侵害说等各种不同立场。本文认为，出于实行行为定型性和罪刑法定原则的考虑，不宜采取完全的效用侵害说。如果完全以财物所有人对财物的效用和利益为标准，那么相关行为很有可能会突破国民对“故意毁坏财物”这一概念语义的预期和理解，从而将许多民事侵权行为不当地进行定罪处刑。单纯排除财物占有的行为，显然已经突破了“毁坏”的语义射程范围。单纯限制财物占有的行为，更是不宜被评价为故意毁坏财物。而对于作为虚拟空间毁弃型犯罪的破坏计算机信息系统罪，在解释论上也同样应当采取审慎的立场强调实行行为的定型性，不能使计算机信息系统所有人或权利人的主观效用评价凌驾于刑法概念的文义解释之上。

在本案中，从形式上来看，被告人的行为似乎属于《刑法》第286条第1款中的“修改”和“干扰”，但是经过仔细分析则发现本案构成要件符合性存在较大疑问。其一，《刑法》第286条第1款中“修改”和“干扰”的对象乃是“计算机信息系统功能”。并非对计算机信息系统的软硬件进行任何“修改”和“干扰”都能构成本罪。通过诱骗的方式，在被害人的配合下修改iCloud ID及密码的行为，只是对计算机信息系统的非核心组成部分进行了重设，并没有破坏计算机信息系统的功能本身。其二，《刑法》第286条第1款还要求行为“造成计算机信息系统不能正常运行”。但是，本案中被告人的行为只是通过修改账户秘密的方式，使得被害人无法直接使用该计算机信息系统。计算机信息系统及其功能仍然完好无损，对知晓新设密码的被告人来说，更是完全可以无障碍登录使用。这里所谓的“锁定”“僵尸机”实际上是从被害人的角度，纯粹对其财物效用受限进行的描述。从本质上来看，上述行为的含义接近于排除或限制权利人对计算机信息系统的占有使用。而这种单纯排除或限制占有的行为，还不能称之为对计算机信息系统功能的破坏。打一个形象的比方，假设行为人甲将乙家房门上的进门密码进行修改，抑或甲将乙房门钥匙加以藏匿，使得乙无法进入住宅居住，此行为显然不能被评价为甲故意毁坏了乙的住宅。同样，对计算机信息系统的密码进行修改，也不能称之为对计算机信息系统本身及其功能的破坏。

(二)破坏计算机信息系统数据和应用程序的行为

《刑法》第286条第2款定义了对计算机信息系统数据和应用程序进行破坏的行为。基于本罪属于毁弃型犯罪的基本定位，破坏计算机信息系统数据和应用程序的行为，同样应当具备影响计算机信息系统正常运行的特征，如此才能准确限定本罪适用范围。但是，计算机信息系统的正常运行可以包括计算机信息系统数据处理功能的正常运行和计算机信息系统重要使用功能的正常运行两种类型，前者可能与《刑法》第286条第1款行为存在一定竞合关系，后者则可能与部分网络虚拟财产犯罪发生竞合。

1.对系统数据处理功能的破坏

如果行为对计算机信息系统中存储、处理或者传输的数据和应用程序进行了删除、修改、增加的操作，但是该行为并未对系统的数据处理功能产生实际影响，妨害计算机信息系统的正常运行，则不能认定构成破坏计算机信息系统罪。

[张竣杰等非法控制计算机信息系统案](20)参见最高人民法院指导性案例第145号张竣杰等非法控制计算机信息系统案。2017年7月至9月，被告人张竣杰等人向113台目标服务器植入木马程序进行控制，获取目标服务器后台操作权限，将添加了赌博关键字并设置自动跳转功能的静态网页上传至目标服务器，提高赌博网站广告被搜索引擎命中几率。

对于本案，公诉机关以破坏计算机信息系统罪对被告人提起公诉，而最终法院判决采纳了辩护意见，认为被告人虽对目标服务器的数据实施了修改、增加的侵犯行为，但未造成该信息系统功能实质性的破坏，或不能正常运行，也未对该信息系统内有价值的数据进行增加、删改，仅构成非法控制计算机信息系统罪。该案例最终被遴选为最高人民法院指导性案例，其判决意见和法律适用思路得到了最高司法机关的认可。这一指导性案例一经发布，迅速引发学界热议。学者们敏锐地察觉到，该判决中透露出某种限缩适用破坏计算机信息系统罪的意蕴，而这与过去最高法、最高检发布的相关指导性案例存在较大差异。

仔细分析本案几名被告对作案手法的供述即可发现，被告人的核心行为分为两部分。其一，通过木马程序等恶意软件，获取对目标网站服务器后台进行浏览、增加、删除、修改等行为的控制权。其二，以目标网站源代码为模板进行修改，加入赌博关键词以及跳转到赌博网站的跳转代码后，形成新的静态网页，并将该静态网页悄悄上传到目标网站。当用户在搜索引擎搜索赌博关键词时，即可搜索到上述静态网页，用户点击该网页就会跳转到赌博网站。由于目标网站系政府网站，在搜索排名中权重大，被告人通过上述方式，可以使赌博网站的关键词很容易被搜索引擎收录，赌博网站因此也会在搜索引擎的排名中靠前(21)参见江苏省南京市鼓楼区人民法院刑事判决书，(2018)苏0106刑初487号。。尽管被告人将新的静态网页上传至目标网页，但是这一行为并不会导致目标网站无法正常访问，其只是秘密地利用了目标网站的搜索权重，以“搭便车”的方式提升其他网站的搜索排名，与流量劫持(尤其是DNS域名劫持)存在明显的区别。

对于这类行为，笔者认为不宜认定构成破坏计算机信息系统罪。过去之所以部分司法机关将该行为定性为破坏计算机信息系统，深层原因在于过于形式化地理解了《刑法》第286条第2款的规定。然而，对本款中规定的实行行为，即对计算机信息系统中数据和应用程序的修改和增加，同样应当结合本罪的保护法益来加以限缩性理解。如果对计算机信息系统中的数据和应用程序的修改或增加，不会对计算机信息系统的数据处理功能产生显著的消极影响，即不会对其正常运行带来实质性的影响，那么该种“修改、增加”并不具有破坏性的本质特征，因此不具有真正意义上的构成要件符合性。事实上，部分司法判例已经遵循了这种内在逻辑。例如，在基本类似于本案行为模式的沈志强、沈某破坏计算机信息系统罪案中，法院以同样的理由否定了检察院提出的构成破坏计算机信息系统罪的指控，并最终认定涉案行为只构成非法控制计算机信息系统罪(22)参见江苏省南京市浦口区人民法院刑事判决书，(2019)苏0111刑初908号。。

2.对系统重要使用功能的破坏

如果对计算机信息系统中数据和应用程序进行删除、修改、增加的行为虽然没有损坏系统的数据处理功能，但是直接妨害了该系统的重要使用功能，仍属于影响计算机信息系统正常运行，可能构成破坏计算机信息系统罪。

[李骏杰等破坏计算机信息系统案](23)参见最高人民检察院指导性案例第34号。2011年5月至2012年12月，被告人李骏杰联系需要修改中差评的某购物网站卖家，并从他人处购买发表中差评的该购物网站买家信息300余条。李骏杰冒用买家身份，骗取客服审核通过后重置账号密码，登录该购物网站内部评价系统，删改买家的中差评347个，获利9万余元。

本案的判决意见认为，被告人李骏杰对计算机信息系统中存储的数据进行删除修改操作，其行为构成破坏计算机信息系统罪。后本案被遴选为最高人民检察院第34号指导性案例。对此，肯定性的意见认为，该判决在立法规范“空缺”与刑法解释应急之间作出了合理取舍，力图在解释限度内解决问题(24)高铭暄、孙道萃：《网络时代刑法解释的理论置评与体系进阶》，《法治研究》2021年第1期。。但是，对于本案判决理论上也不乏批评的声音。主要的意见在于，“设立破坏计算机信息系统罪保护的法益是计算机信息系统安全，而计算机信息系统安全不等同于数据安全”，故该罪不宜用于评价侵入计算机信息系统有偿删除不利评价的行为(25)王安异：《虚构网络交易行为入罪新论——以〈中华人民共和国电子商务法〉第17条规定为依据的分析》，《法商研究》2019年第5期。。犯罪人虽然骗取重置密码、冒充合法用户登录并修改数据，但并未造成该计算机信息系统不能正常运行，“故不应构成破坏计算机信息系统罪”(26)皮勇：《论中国网络空间犯罪立法的本土化与国际化》，《比较法研究》2020年第1期。。

这一案例相当具有代表性，它集中体现了学界对《刑法》第286条第2款保护法益的不同理解，由此也直接影响了对该款实行行为以及行为对象——“计算机信息系统中存储、处理或者传输的数据和应用程序”边界的界定。而且，这一问题的结论对司法实务具有举足轻重的意义，因为近年来《刑法》第286条第2款的适用非常频繁。例如，非法侵入道路交通违法信息管理系统或公安交通管理综合应用平台，删除车辆违章信息(27)吕梅青、朱宏伟：《童莉、蔡少英破坏计算机信息系统案》；冯莉：《孙小虎破坏计算机信息系统案》，中华人民共和国最高人民法院刑事审判第一、二、三、四、五庭：《刑事审判参考》总第86集，北京：法律出版社，2013年，第71、77页。，非法侵入景区检售票系统，对景区门票数据进行修改(28)参见聂昭伟《赵宏铃等盗窃案》，中华人民共和国最高人民法院刑事审判第一、二、三、四、五庭主办：《刑事审判参考》总第110集，北京：法律出版社，2018年，第56页。等行为，往往都被认定符合破坏计算机信息系统罪的构成要件，而这些行为是否“造成计算机信息系统不能正常运行”则不无疑问。

学理上对《刑法》第286条第2款“数据”的范围也完全没有形成共识，甚至有向两极化发展的趋势。最高法的法官曾在案例评析中指出，《刑法》第286条第1款的行为主要是针对计算机的系统文件，而286条第2款所指向的数据和应用程序则不包括系统文件和系统程序(29)吕梅青、朱宏伟：《童莉、蔡少英破坏计算机信息系统案》，中华人民共和国最高人民法院刑事审判第一、二、三、四、五庭主办：《刑事审判参考》总第86集，北京：法律出版社，2013年，第74页。。这样的一种理解并不妥当。之所以得出这样的结论，可能的原因在于论者认为《刑法》第286条第1款强调了“造成计算机信息系统不能正常运行”，而《刑法》第286条第2款则没有。然而，以“系统文件”和“非系统文件”作为界分两款规定适用的标准，会得出诸多不妥当的结论。一方面，《刑法》第286条第1款和第2款本身就并非完全互斥的关系，对计算机信息系统数据进行删除、修改、增加的行为，可能同时对计算机信息系统功能造成破坏。而另一方面，这种观点也意味着《刑法》第286条第2款的行为对象“数据”可能与计算机信息系统的正常运行脱钩，使得该款蜕变成为纯粹保护计算机信息系统内数据安全的条文，其适用范围脱离立法规范目标的束缚。

与此截然不同的观点则认为，“与计算机信息系统运行有关的数据，属于计算机信息系统中系统功能、应用程序的组成部分，如计算机信息系统中的系统文件、数据库等”，这些才是《刑法》第286条第2款规制的范畴(30)周立波：《破坏计算机信息系统罪司法实践分析与刑法规范调试——基于100个司法判例的实证考察》，《法治研究》2018年第4期。。此外，还有学者类似地认为，应当区分核心数据、应用程序和非核心数据、应用程序，只有直接关系到计算机信息系统正常运行和安全的数据和应用程序，才属于本罪对象(31)俞小海：《破坏计算机信息系统罪之司法实践分析与规范含义重构》，《交大法学》2015年第3期。。这种观点试图对破坏计算机信息系统罪第2款行为的构成要件进行限缩解释，遏制该罪沦为口袋罪名的趋势。然而，该种观点初衷虽好，但是实际上有意无意地将这里的“计算机信息系统的正常运行”仅仅狭义解释成“系统数据处理功能的正常运行”，走到了解释论的另外一个极端，过度限缩了本罪的适用，与司法实务的普遍性理解差异过大，难以得到广泛认同。一方面，如果将《刑法》第286条第2款的“数据和应用程序”与系统运行中的数据处理功能绝对化地加以绑定，这意味着所有对数据和应用程序进行删除、修改、增加的行为都破坏了计算机信息系统功能，造成了计算机信息系统不能正常运行，这将导致《刑法》第286条第2款的规定完全可以被《刑法》第286条第1款所包含和吸收，失去了立法论上存在的必要性。另一方面，如果认为只有计算机信息系统中的系统文件、数据库或所谓核心数据、应用程序才可以成为本罪第2款的行为对象，实际上过度限缩了“破坏”的含义，为毁弃型犯罪设置了过高的入罪门槛，从而难以全面保护法益。

笔者认为，《刑法》第286条第2款中的实行行为以及行为对象“数据和应用程序”应当与计算机信息系统的正常运行有直接关联，但是与《刑法》第286条第1款不同，这里的“系统正常运行”并非仅指计算机信息系统的“数据处理功能”正常运行，而是也包括计算机信息系统的“重要使用功能”正常运行。例如，在本案购物网站的信誉评价系统中，计算机信息系统的“数据处理功能”是在物理层面维持该评价系统运行的基本要件，但是除此之外，该评价系统的“重要使用功能”则在于对电商卖家信誉情况进行准确评分。如果对该计算机信息系统中的“差评”数据进行删除、修改，则导致用户评价丧失了真实性和准确性，严重削弱了信用评价的基础，因而该评价系统的重要使用功能遭到破坏，可以被认定为“系统不能正常运行”。

类似地，交通违法信息管理系统的主要功能当然是准确记载和管理相关交通违章信息，景区检售票系统的主要功能也是准确记录和认证检售票相关信息，而修改交通违法信息管理系统中的交通违章信息(数据)，修改景区检售票系统中的门票数据，尽管没有造成整个系统崩溃，但同样属于严重影响了系统正常运行。这类行为虽然没有破坏计算机信息系统的数据处理功能，但是在对计算机信息系统及其数据进行直接影响的基础上，严重损害了其重要使用功能，被认定构成一种破坏性行为是恰当的。而且，该类行为由于直接物理性地改变了计算机信息系统的数据存在状态，将其评价为“破坏”行为也并不具有纯粹效用侵害说所存在的弊端。

3.与虚拟财产犯罪的竞合

由于网络虚拟财产犯罪可能借助修改、增加相关数据的方式来实施，如果该行为破坏了计算机信息系统的数据处理功能或重要使用功能，则可能与虚拟财产犯罪发生想象竞合，应当从一重罪论处。

[顾靖盗窃案](32)参见上海市浦东新区人民法院刑事判决书(2015)浦刑初字第1882号。本案被遴选为上海市高级人民法院参考性案例第57号。被告人顾靖于2014年11月先后3次通过本人电脑远程登录“龙之谷”游戏服务器，修改服务器内其先行注册的共计24个账号的游戏金币数量与游戏角色等级，其后将修改数据获得的游戏金币出售牟利，违法所得29775元。

对于本案被告人修改游戏数据库数据，非法获取游戏金币的行为，上海市浦东新区法院明确认定构成盗窃罪，而不构成修改数据型的破坏计算机信息系统罪。但是，司法实务中存在不少立场完全相反的判决。例如，有的被告人非法侵入电信公司的计算机信息系统，修改其中的数据，对使用电信公司宽带的网络用户进行非法开通和提升。对于该行为，有的法院认定其不构成以网络带宽为对象的盗窃罪，而是属于对计算机信息系统内的数据进行修改，构成破坏计算机信息系统罪(33)参见曾亮等破坏计算机信息系统案，重庆市渝中区人民法院刑事判决书(2009)中区刑初字第854号。。再如，同样是非法侵入游戏公司的计算机信息系统修改数据，大量增加账户内游戏“银两”并出售给游戏玩家获利，北京地区的法院判决认定该行为构成破坏计算机信息系统罪，而没有提及盗窃罪的适用问题(34)参见杨世雄等破坏计算机信息系统案，北京市第一中级人民法院刑事裁定书(2011)一中刑终字第614号。。此外，对于利用黑客技术侵入网上商城非法充值积分并予以出售的行为，也有法院判决明确认定构成破坏计算机信息系统罪而非盗窃罪(35)参见胡赞某破坏计算机信息系统案，福建省福州市中级人民法院刑事裁定书(2019)刑终字第390号。。

与上述司法判决不同，顾靖盗窃案中的判决意见详细地阐述了本案不构成破坏计算机信息系统罪的理由。其核心的逻辑在于，从罪责刑均衡的体系性角度来看，《刑法》第286条第2款中对数据和应用程序进行的操作也应与第1款和第3款一样达到影响计算机系统正常运行的程度。而本案中被告人的行为没有影响计算机信息系统的安全和正常运行，对其他游戏玩家也不产生影响，故不构成本罪(36)参见上海市浦东新区人民法院刑事判决书(2015)浦刑初字第1882号。类似的判决意见，也可参见李军盗窃、非法获取计算机信息系统数据案，上海市徐汇区人民法院刑事判决书(2019)沪0104刑初927号。。显然，法院判决对《刑法》第286条第2款进行了非常严格的限缩性解释，这在过去的理论和实务中都是相对少数的观点。

但是这样的立场值得再仔细斟酌。破坏计算机信息系统罪(尤其是《刑法》第286条第2款)并非完全不能适用于以非法获取财物为目的的网络虚拟财产犯罪之中。实践中，相当一部分网络虚拟财产犯罪以一定的网络破坏性手段作为前提，这种情况下行为同样可能构成破坏计算机信息系统罪。顾靖盗窃案的判决意见之所以否定了破坏计算机信息系统罪的构成，实际上是将“造成计算机信息系统不能正常运行”这一法律没有明文规定的要素融入了对《刑法》第286条第2款的解释之中，并且将“计算机信息系统不能正常运行”狭窄地解释为“系统数据处理功能不能正常运行”。但是如此一来就过度限缩了本罪的适用，而且也达不到所谓罪责刑均衡的效果。在本案中，被告人修改和增加了游戏公司计算机信息系统中的数据，首先在形式上已经具备了《刑法》第286条第2款初步的构成要件符合性。尽管这一行为并没有导致该计算机信息系统的数据处理功能无法正常运行，没有造成系统在物理层面彻底紊乱或崩溃，但是该修改、增加数据的行为已经严重侵害了游戏公司的虚拟货币发行机制。虚拟货币的发行机制是网络游戏之所以能够正常运行的核心组成部分，对这一机制的侵害形成了对游戏公司的计算机信息系统中重要使用功能的破坏，其法益侵害性完全可以与对数据处理功能进行破坏的行为相当，因而可以构成破坏计算机信息系统罪。在此基础上，如果非法获取虚拟财产的行为同时符合盗窃罪的构成要件，则应当认定形成想象竞合从一重罪论处。

四、罪量标准的严格限定

由于破坏计算机信息系统罪适用范围宽泛，将部分轻微犯行从本罪中剔除显得十分必要。对此，在《德国刑法典》第303b条破坏计算机罪中就有体现。按照德国立法者的设想，为了避免刑事可罚性过度扩张(37)Vgl. BT-Drucks. 16/3656, S. 13.，该罪的构成要件中实际存在着双重的罪量限制：其一，被破坏的计算机的数据处理功能应当是有重要意义的；其二，对数据处理功能的干扰(破坏)程度应当是严重的。如果作为行为对象的“数据处理”对他人来说并不具有重要意义，如仅仅是破坏一部计算器，那么就应当排除出罪(38)Vgl. Hilgendorf, Satzger/ Schluckebier/ Widmaier, Strafgesetzbuch Kommentar, 4. Aufl., 2019, § 303b Rn.5.。再如，当侵害行为没有带来很大的时间、精力、金钱上的花费，比如可以通过备份副本来恢复，那么被认为属于轻微的干扰，不应作为犯罪来处罚(39)Vgl. Hecker, Schönke/ Schröder, Strafgesetzbuch Hrsg. Kommentar, 30. Aufl., 2019, § 303b Rn.9.。

基于类似的考虑，在我国《刑法》第286条中也存在着罪量要素的设置。我国破坏计算机信息系统罪的实行行为同样具有很宽的涵盖面，“删除”“修改”“增加”“干扰”的行为很容易在类型上被符合，为了避免刑罚手段过度介入，作为入罪门槛的罪量要素应当严格把握。按照我国《刑法》第286条的规定，破坏计算机信息系统罪的三种行为类型都应当达到“后果严重”这一罪量标准才能构成犯罪。针对司法实务中适用较多的《刑法》286条第1款和第2款所规定的行为，2001年最高法、最高检《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)第4条对此作出了细化规定。该规定实际从以下五个维度展开了罪量要素的具体认定：其一，破坏计算机信息系统的数量；其二，违法所得数额；其三，经济损失数额；其四，破坏重要计算机信息系统的时间；其五，兜底条款。从现有案例的统计来看，适用较多的标准当属违法所得数额和经济损失数额，但也容易遭受质疑。

1.严格解释经济损失和违法所得

由于破坏计算机信息系统罪属于网络空间的毁弃型犯罪，作为罪量认定标准的经济损失应当与行为的破坏性存在直接关联，由系统破坏所间接引发的预期经济损失不能征表破坏行为本身的不法程度，因此不应计算在内。此外，本罪在基本性质上也不属于牟利型的财产犯罪，故应当对违法所得罪量认定标准的适用格外慎重。

[孙小虎破坏计算机信息系统案](40)参见江苏省宿迁市中级人民法院二审刑事裁定书(2012)宿中刑终字第0042号。2011年4月，被告人孙小虎采取盗用用户名和密码的方式，在接受他人请托、收受他人钱财后，多次登录公安交通管理综合应用平台，非法删除车辆违章数据1156条，非法收受人民币24000余元，涉案金额为14．425万元。

在本案中，被告人孙小虎非法侵入公安交管综合应用平台，通过删除车辆违章信息的方式非法获利，被判决构成删除数据型的破坏计算机信息系统罪。本案存在2.4万元的违法所得和14.425万元的经济损失，依据《解释》第4条第2款的规定，2.4万元仍属“后果严重”，而14.425万元则早已属于“后果特别严重”，按照经济损失的标准对被告人处罚更重。然而，法院判决意见否定了经济损失标准的适用，理由在于，本案14万余元是对应于被删除的交通违章数据、公安机关拟行政处罚的罚款，尚未被公安机关实际取得，具有不确定性和可恢复性，不能被认定为被告人犯罪行为所造成的经济损失。

《解释》第11条第3款规定，这里的“经济损失”包括危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。问题的关键在于，如何理解该规定中的“直接造成的经济损失”。显然，上述判决意见将间接经济损失予以排除的立场在结论上是正确的。但是，排除的根本原因不在于这种经济损失具有不确定性、可恢复性等特征。罪量要素的基本性质在于与行为不法的相关性，即通过设定行为的不法程度来限定刑事处罚范围。而破坏计算机信息系统罪本质上属于毁弃型犯罪，其罪量自然应当主要通过对计算机信息系统的破坏程度来衡量。通常来说，破坏程度越高，相应经济损失数额也越大。须格外注意，这里的经济损失应当直接来源于计算机信息系统本身所遭受的破坏，因为，本罪保护的是计算机信息系统本身的运行安全，而非计算机信息系统功能所服务的相关活动，这一点与实体空间故意毁坏财物罪的适用是一致的。例如，行为人故意毁坏了某小提琴家的小提琴，导致小提琴家不得不取消即将举行的商业演出，显然也不能把取消该演出所带来的经济损失计入故意毁坏财物罪的数额之中。同样，对公共交通管理平台进行破坏带来的直接损失，也不应当将该平台所服务的行政管理的预期收入计算在内。

与经济损失标准相并列，违法所得标准在理论上面临更多问题。违法所得是牟利型财产犯罪或经济犯罪中常用的罪量认定标准之一，但是很少用于毁弃型或破坏型的犯罪。例如，关于破坏交通工具罪，破坏交通设施罪，破坏电力设备罪，破坏易燃易爆设备罪，破坏广播电视设施、公用电信设施罪，故意毁坏财物罪，破坏生产经营罪，相关司法解释都只是采用了经济损失或财物损失而没有采用违法所得作为罪量认定标准。原因在于，违法所得与行为对受保护客体的毁坏或破坏程度通常并没有直接关联，甚至在相当一部分犯罪中根本就没有违法所得。

然而，在当下网络犯罪灰黑产野蛮生长的背景下，情况则有所不同。同样作为毁弃型犯罪的破坏计算机信息系统行为，频繁成为在网络空间获取非法利益的作案手段。破坏性的网络犯罪行为在事实层面具有了越来越强的牟利性特征，而且频繁与传统财产性犯罪产生交叉。但即使如此，在规范层面破坏计算机信息系统罪的本质不法属性仍然在于该行为对计算机信息系统本身的破坏，而非以此为手段进一步对其他财产法益造成的侵害，后者只能通过相关财产犯罪来进行评价。也正是在这种语境下，司法判决很容易将非法取财行为的罪量要素隐秘地“嫁接”在破坏计算机信息系统行为之上，这一点尤为值得警惕。例如，以破坏计算机信息系统作为要挟手段，向他人非法索要财物，违法所得大小并不能准确地反映针对计算机信息系统的破坏行为的不法程度。类似地，与他人达成交易，通过为他人删除或增加计算机信息系统中的数据(如交通违章记录)来非法牟取利益，严格来说，此时违法所得也并不能准确体现破坏行为本身的不法程度。这类非法交易的报价受到各种社会因素影响，具有较大的随意性和变动性，破坏行为对法益的侵害程度常常不是考虑的重点。但是在这类案例中，司法者将非法牟利行为的“违法所得”转化为破坏计算机信息系统行为的罪量要件似乎是自然而然的事情，着实令人担忧。

而且，按照《解释》第4条第2款的规定，违法所得数额达到2.5万元，即构成“后果特别严重”，处5年以上有期徒刑，这一标准在当下泛滥的网络犯罪中太过容易被满足。相比较而言，故意毁坏财物罪“数额巨大”的认定标准在很多省市通常按照5万元以上(个别如北京甚至10万元以上)来把握，明显高于破坏计算机信息系统罪，而相反刑罚幅度则轻缓许多，仅为3年以上7年以下有期徒刑。甚至是与此行为相牵连的盗窃罪，“数额巨大”标准也常常按照6万元以上来认定，刑罚幅度则仅为3年以上10年以下有期徒刑。因此，破坏计算机信息系统罪中“违法所得”的罪量认定，存在过度降低本罪重刑适用标准的嫌疑。

正因如此，有学者提出限缩性的观点，认为“违法所得必须是基于删除、增加、修改等行为本身所产生的违法所得，而非通过删除、增加、修改等行为将他人的财物转为自己所有”(41)俞小海：《破坏计算机信息系统罪之司法实践分析与规范含义重构》，《交大法学》2015年第3期。。更有学者认为，违法所得必须与计算机信息系统的正常运行有直接的关联，否则会造成后果严重认定标准的偏离(42)周立波：《破坏计算机信息系统罪司法实践分析与刑法规范调试——基于100个司法判例的实证考察》，《法治研究》2018年第4期。。这类思考无疑敏锐地察觉了问题所在。不过在本案中，被告人非法删除数据达到1156条，行为次数频繁、受众广泛，严重扰乱了公安交管平台计算机信息系统的正常使用功能，评价为“后果严重”实属合理。但是这也从侧面反映出，现有司法解释对破坏计算机信息系统罪罪量要素的认定缺乏真正合理的标准。在这种情况下，本罪罪量要素的认定应当尽量对违法所得标准持慎重态度，对破坏计算机信息系统行为的不法程度仍应进行实质性、综合性的衡量，避免形式化、机械化地适用司法解释规定。

2.避免隐性重复评价

《解释》所规定的五项“后果严重”罪量认定标准，属于对同一破坏行为从不同角度进行的考察，通常不能进行叠加计算，否则违背禁止重复评价原则。如果被告人的行为无法满足《解释》所明确列举的前四项罪量认定标准，那么原则上不应再综合这些情节，认定构成兜底标准中的“造成其他严重后果”。

[乐姿等破坏计算机信息系统罪](43)参见李晓《乐姿等破坏计算机信息系统案》，中华人民共和国最高人民法院刑事审判第一、二、三、四、五庭主办：《刑事审判参考》总第100集，北京：法律出版社，2015年，第62页。被告人乐姿、赵辉经预谋后指使被告人李琳、霍加敏对北京真情在线公司的网站服务器进行攻击。后李琳、霍加敏使用DDOS、CC的方式，多次对真情在线公司网站的服务器进行攻击，致使上述网站长时间内无法正常浏览。李琳、霍家敏共获利2500元。

在本案中，被告人的行为属于典型的破坏计算机信息系统，案件定性非常明晰，引发争议的问题在于，在无法准确查明经济损失、用户数量的情况下，罪量要素“后果严重”以及“后果特别严重”如何认定。起诉书指控四名被告构成破坏计算机信息系统罪，且后果特别严重，而法院则认为指控后果特别严重的事实没有充分的证据支持，依法不予认定。可见，较之于公诉机关的意见，法院判决对罪量认定保持了较为审慎的态度。

但是问题在于，结合裁判意见的说理可以发现，被告人的行为是否构成“后果严重”都并非没有可商榷的余地。其一，在案的证据难以准确认定受害公司遭受的经济损失，因此难以依据经济损失的标准来认定“后果严重”。其二，现有证据难以准确认定受害公司计算机信息系统提供服务的数量，也难以依据《危害计算机信息系统安全解释》第4条第1款第4项认定“后果严重”。也就是说，目前司法解释所明确列举的几项罪量认定标准，都无法被满足。然而，在此情况下，法院判决认为，综合考虑被告攻击计算机信息系统的次数、时间，以及造成的一定经济损失等因素，可以认定被告构成《危害计算机信息系统安全解释》第4条第1款第5项的兜底条款“造成其他严重后果”。在笔者看来，这一论证意见似是而非。在罪量要素的认定过程中，对被告行为的性质、情节等因素进行综合认定当然是正确的。然而，《危害计算机信息系统安全解释》第4条所规定的几种罪量认定标准，如果都是指向同一行为，对其不法程度进行叠加判断意味着存在对同一行为进行重复评价的嫌疑。破坏计算机信息系统的数量、时长、违法所得，都是对同一行为从不同角度所进行的的衡量，存在一定的内在交叉关系。例如，破坏计算机信息系统的时间越长，往往带来的经济损失就越大，二者实际上是一体两面的关系，在二者都未达到司法解释规定的标准时，不能认为由于破坏行为具有一定的时间长度，且带来了一定的经济损失，就可以叠加评价为“后果严重”。

五、结语

伴随信息网络技术与日常生活的深度融合以及互联网灰黑产业的不断扩张，破坏计算机信息系统罪的司法适用率迅速攀升。而与此同时，理论界与实务界对本罪性质的理解与构成要件的解释缺少基本共识。在此情形下，本文从保护法益的重新定位，实行行为的规范校准，以及罪量要素的严格认定三个方面，对破坏计算机信息系统罪的法教义学内涵进行了系统阐述，得出了以下基本结论：

第一，破坏计算机信息系统罪保护法益的性质不是社会秩序法益，而是个体法益，其内涵并非计算机信息系统的不可侵犯性和形式完整性，而是计算机信息系统的正常运行。本罪三款构成要件行为的解释，都应当受到上述保护法益定位的制约。

第二，目前司法实务存在着对《刑法》第286条第1款进行形式化、字面化、扩张化适用的趋势。针对这一现象，应当强调破坏计算机信息系统功能的行为必须具有指向性、直接性和毁弃性的特征，单纯妨害与计算机信息系统相关的业务的行为不构成本罪。

第三，对《刑法》第286条第2款的解释不能过宽也不能过严。破坏计算机信息系统数据和应用程序的行为，也应当影响计算机信息系统的正常运行。但是，这种影响既可以通过对系统数据处理功能的破坏而形成，也可以通过对系统重要使用功能的破坏来实现。在一定条件下，破坏数据和应用程序的行为可能与财产犯罪发生想象竞合，应从一重罪论处。

第四，对破坏计算机信息系统罪中罪量要素“后果严重”的认定应当严格把握。由于本罪属于网络空间的毁弃型犯罪，罪量要素的经济损失认定标准应当与行为的破坏性存在直接关联，而对罪量要素的违法所得认定标准则更应格外慎重，同时尽量避免罪量隐形重复评价的现象。