由“国家事务”的商榷到实质出罪
——以李某等非法侵入计算机信息系统案为引

焦占营，桑 宇

（河南财经政法大学 刑事司法学院，河南 郑州 450046）

非法侵入计算机信息系统罪，因其适用较少，相关的研究亦较少，罕见有人质疑其模糊地带对此罪限缩适用路径的意义，但在网络犯罪立法与司法双向扩大化的今天，有必要通过此罪的限缩，引出对规避网络犯罪规制前置化的弊端的思考，及形式入罪与实质出罪的思考。非法侵入计算机信息系统罪的问题是刑法扩大化的缩影，网络犯罪的提前预防是刑法扩大化的重要方向，本案的问题亦是其个案征表，非法侵入计算机信息系统罪的适用量不大，但整体呈增长趋势，在网络风险渗透加剧的今天，不排除其激增可能。但是，在犯罪激增前，司法适用已出现了激增的势头，犯罪越是有扩大可能，越是要注意司法的谦抑性，否则就会出现罪的过量适用。笔者注意到，有相当的案件并不具备法益侵害性，甚至不符合形式构成要件，问题皆在于对“国家事务”的扩大解释，本文即以此为楔，由一罪的扩大化引出对类罪的扩大化的反思，由形式的入罪引出对实质的出罪。本文由三个问题展开：其一，“国家事务”指国家机关（包含地方机关）的事务还是国家层级的事务？其二，在不符合《中华人民共和国刑法》（本文简称《刑法》）第十三条、第三十七条的前提下，法官如何采实质刑法观，主动适用超法规的出罪事由？其三，网络犯罪的前置化是否过于敏感？

一、问题的提出

“国家事务”指国家机关（包含地方机关）的事务还是国家层级的事务。

（一）案情

据（2020）豫0103刑初855号刑事判决书，2017年，郑州市公安局交通警察支队为响应国家便民服务措施，与郑州聚凡科技有限公司签订《郑州市公安局交通警察支队智慧交通手机支付宝缴纳交通违法罚款系统》工程合同，由郑州聚凡科技有限公司进行“畅行郑州”系统开发与测试（可使公民远程自缴罚款，无需亲至政务大厅）。

2017年至2020年5月，被告人李某伙同参与上述程序开发的被告人叶某经预谋，由叶某以二维码形式提供“畅行郑州”系统测试入口（共私自开通5个进入账号），由被告人李某、王某、黄某等人在未经授权的情况下，擅自通过支付宝扫描二维码多次侵入该系统为他人处理交通违法缴费信息（利用部分被罚款者不知晓可由支付宝自行缴罚款的信息差，为他人代缴罚款，而部分被罚款者知晓而仍委托代办），并从中牟利。

法院认为，被告人李某行为等构成非法侵入计算机信息系统罪。

（二）案件焦点一及其聚讼

焦点一，“畅行郑州”系统是否属于国家事务的计算机信息系统？

观点一，构成。此观点认为，“畅行郑州”系统属国家事务计算机信息系统，李某等未经批准，进入即既遂。

观点二，不构成。“畅行郑州”系统属地方行政服务平台，不属于“国家事务”。河南省高级人民法院法官蔡智玉认为，对于“国家事务”应当从严理解，将其限于国家层面。

笔者认同第二个观点，非法侵入计算机信息系统罪的司法解释较少，仅有的一部《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《危害计算机信息系统刑事司法解释》）[1]，亦未规定国家事务的范围。根据存疑有利于被告原则、刑法谦抑性原则与罪刑法定原则，在解释存疑时应采限缩解释，笔者认为，“畅行郑州”系统不属于“国家事务”。

（三）案件焦点二及其聚讼

那么，《刑法》第二百八十五条要不要求严格解释“国家事务”呢？

其一，有观点认为，应当严格解释，自1997年非法侵入计算机信息系统罪入刑以来，没有一部司法解释与刑事政策要求对非法侵入计算机信息系统罪进行扩大解释，且此罪的适用一直维持在较低的数量级，法益侵害性不明显，没有必要通过扩大化来实现积极预防。

其二，有观点认为，网络是风险社会重要的风险要素，如学者齐白所言，“计算机系统控制着社会生活无数不可或缺的活动领域……容易被犯罪分子攻击或利用。”[2]故《中华人民共和国刑法修正案（九）》（本文简称《刑法修正案（九）》）增设拒不履行信息网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪，即使网络犯罪适用量较低，但罪名的价值不能仅看适用量，还要看其潜在的风险，如战时造谣惑众罪与走私核材料罪[3]，虽然未有适用，但一旦适用，即意味着重大危害的发生，故不存在罪名虚置的情况。因此，要加强对网络犯罪的规制，扩大非法侵入计算机信息系统罪的入罪面。

本文认同前者，《刑法》第二百八十五条是反对扩大解释的。

首先，从立法本意来讲，立法者是希望谦抑适用本罪的，从法律解释的角度进行论证。

其一，从文义解释来讲，“国家事务”将“国家”与“事务”联结组词，是将“国家”当作“事务”的定语，即将“事务”这一外延较广的词汇限缩在与“国家”重合的范围里。判断是否属于国家事务，应判断事务本身是否具有国家属性，而非机关是否具有国家属性。实务中大量将国家机关事务一概等同为国家事务，认为地方行政机关也属国家机关，故其事务当然属于国家事务，但国家机关的事务不等于国家事务，国家机关尤其是地方国家机关，存在大量非国家事务，不应将认定为国家事务。要注意的是，中央机关也有区域事务，不可机械地将中央机关的事务认定为国家事务，如工业和信息化部关于某市集成工业建设的几点意见。

其二，从体系解释的来讲，《刑法》第二百八十五条将国家事务与国防建设、尖端科学技术领域三项并列，意味着三者具有相当的层次，而地方事务包括中央国家机关可能做出的地方事务，如农村农业部关于某地耕种的指示，既不具有全国范围的影响力，政务公开信息被破坏也不影响指令的内部传达与落地。

其三，从比较解释来讲，蔡智玉法官认为，在基本法定刑相同的情况下，非法侵入计算机信息系统罪只要求有侵入行为，而非法获取计算机信息系统数据罪、非法控制计算机信息系统罪还要求非法获取数据或非法控制，并达到情节严重，故为了平衡，在犯罪对象上，前者要比后者更重大，而后者的犯罪对象刚好是前罪的对立面，二者完全相反，因而必须将“国家事务”解释为重大法益——国家层面的事务，才能将后二罪解释为较小法益。若将“国家事务”解释为较小法益——行政机关的一切事务，则后二罪的对象将成为重大法益，对较小法益的侵害反而量刑更重，对较大法益的侵害反而量刑更轻，这是不符合逻辑的，会倒逼犯罪分子实施更严重的犯罪；非法侵入计算机信息系统罪的罪状来源于《计算机信息系统安全保护条例》（以下简称《计算机信息保护条例》）[4]，此规定将国家事务、经济建设、国防建设、尖端科学技术等领域并列且居首，由此可以印证国家事务的地位。

其次，从谦抑的角度讲，非法侵入计算机信息系统罪入刑时，删除了前述经济建设这一重大的法益，表明刑法立法对此罪保持了极大的克制[5]，故对国家事务的理解应采限缩路径；在犯罪构成要件不明时，应采限缩的解释思路，在司法适用时保持克制，遵循存疑时有利于被告人原则，至少要遵循《危害计算机信息系统刑事司法解释》的规定进行检验，且不可盲从检验结论。

再次，从法益侵害性来讲，法益侵害性是犯罪的根本尺度而非罪状的文字性描述，犯罪是对法益的侵害而非对罪状的侵害，关键在于行为是否侵害法益，法益往往超出犯罪客体，但并未超出宪法基本权利与刑法保护对象，故应从实质刑法观出发，采超法规的出罪事由，根据行为造成的实际危害确定是否构成犯罪而不拘泥于形式规定[6]。或者，从《刑法》第十三条“但书”的规定出发，对犯罪情节、结果显著轻微的，如侵入一般系统且即刻离开的，不认为是犯罪。

二、形式构成犯罪下的实质出罪思路

在不符合《刑法》第十三条、第三十七条的前提下，法官如何采实质刑法观，主动适用超法规的出罪事由？

在认为李某形式上构成犯罪的前提下，如何实现有效辩护？笔者认为应采实质出罪论，以超法规的出罪事由出罪。即从刑事政策学角度出发，通过对公众诉求或者刑事判决社会效果的合理引入[7]，将无预防、处罚必要性的行为出罪，采刑事政策式的矫正正义[8]。在体系性解释无法穷尽犯罪情形时，应采实质解释观。

（一）实质出罪事由

首先，法益侵害性不强。其一，即便认为“畅行郑州”系统属“国家事务”系统，其背后也仅是地方交通事务平台，不涉及国家事务、尖端科技与保密事项，故“侵入”本身危害不大。其二，李某等仅以牟利为目的，利用大众对其职务惯性认知的便利，及部分被罚款者不知罚款可由支付宝自缴的信息差，帮助被罚款者代缴罚金并收取一定费用，为被罚款者提供了一定便利，且部分被罚款者明知可自行缴纳罚款而仍委托当事人代缴，有居间行为意味。此外，信息差非由当事人造成且其无告知义务，故不构成诈骗。其三，行为均未帮助逃避罚款，未侵害国有财产，仅是因登录方法与登入身份的问题，损害了一定的公务严肃性与行政处罚教育性。

其次，预防必要性不强。其一，此类案件极少发生，笔者以“非法侵入计算机信息系统罪”为关键字、以2011年至2021年为时间限制，在中国裁判文书网上全文检索，仅得到77份判决书，平均每年仅有7.7份判决，且包含了错误理解“国家事务”的案件。其二，具备侵入关键领域能力的主体极少，无须将全体国民视为潜在犯罪分子与一般预防对象。其三，实务中罕有侵入关键领域的案件，大多是侵入地方一般事务系统，如四川某企业管理非法入侵工商系统案①参见四川省绵阳市安州区人民法院（2019）川0724刑初161号刑事判决书。、任某非法入侵网吧系统案②参见安徽省霍邱县人民法院（2011）霍刑初字第00087号刑事判决书。。

再次，道德可谴责性不强。迫于经济压力且未有损于财政、他人的行为，通常不与通识道德情感、社会相当性相悖。仅是进入一般公务系统，非涉密且非涉外，是不被视为不道德的。诚然，道德要求不等于立法必要，但缺失了道德基础必然有违刑法感情，况民意所向决定国民能否理解入罪理由，社会同情在当事人这边，本案李某即是迫于经济压力，产生了利用信息差与系统后门牟利的想法，在他看来，其过错仅是未向当事人表明可自行缴罚款，而在收取了一定费用后代缴，或许在他的刑法观看来，自己仅是投机取巧的牟利行为，但未让当事人有明显损失，也未违规处理罚款，让国库损失财政收入，其侵入后台的行为实质仅是跳过了当事人登录并处理的正向路径而采反向处理，即若当事人授权其正向登录，所取得结果是同一的，换言之，李某等虽然违规进入了信息系统，但并未做危害性的数据交换、更改，且其是通过研发人员预留的端口进入，而非破坏系统防火墙进入，于系统内的数据、于系统本身都无甚危害。行为入罪与否，要看社会相当性[9]。

三、非法侵入计算机信息系统罪司法现状

笔者以“非法侵入计算机信息系统罪为判决结果”与“判决书”“刑事案由”为筛选条件，将时间限定在2021年前（因2021年尚未结束，故不计入统计）在裁判文书网进行检索，得到相关数据（如图1）。文书量不能准确反映犯罪量，但能大体说明判决倾向。

（一）文书量整体成增长趋势

如图1，就相对增长来看，近年略有下滑，但整体仍是上升趋势。就绝对数量来看，此罪适用较少，但在网络应用日益深化的当下，有扩大的危险。

（二）案件情节较轻

部分案件罪行情节、结果明显较轻，如侵入道路运输管理局为驾校学员设立的学时系统等③参见内蒙古自治区杭锦旗人民法院（2021）内0625刑初38号刑事判决书。。另有部分案件罪行情节、结果较重，但明显未达到“国家事务、国防建设、尖端科学技术领域”，如侵入某市政务云平台等④参见山西省太原市杏花岭区人民法院2020）晋0107刑初460号刑事判决书。。未有侵入“国防建设、尖端科学技术领域”的案件，罕有侵入“国家事务”的案件。即使有侵入系统后的泄密行为，也会被为境外窃取、刺探、收买、非法提供国家秘密、情报罪和间谍罪吸收。综上所述，轻微的侵入行为不应适用本罪而应适用《计算机信息网络国际联网安全保护管理办法》（以下简称《计算机信息国际保护办法》）第六条与《中华人民共和国治安管理处罚法》（以下简称《治安管理处罚法》）第二十九条；重大的侵入行为适用危害国家安全类犯罪，故本罪的适用空间很小，仅规制侵害重大系统本身的行为，而本罪的适用显然未达到其立法目的，其向下延展，过分侵占了行政处罚的空间，实际上是将行政违法升为犯罪行为，是重罪倾向的征象。危害国家安全类犯罪遏制住了本罪向上扩大的可能，使其由一罪的扩大转为一罪的重刑化，这值得我们反思。

（三）罕有案件经过检验

笔者在前述案件中随机抽取样本，未发现有案件对国家事务的范围进行过检验。其一，反映出司法机关对此范围的界定并无异议。其二，反映出被追诉人与辩护人对此问题及权利的忽视，对前述范围的认定是定罪的关键，应当主动申请鉴定。或若法院未主动委托检验，可提出异议。《危害计算机信息系统刑事司法解释》虽未释明“难以认定”的主体，但也未否认被追诉人的申请地位，即便认为法院是唯一申请主体，在被追诉人提起异议后，其也应当委托鉴定检验。检验后，要注意的是法院的自由裁量权，若鉴定结果认定侵入对象属于犯罪对象范畴，但情节显著轻微、危害不大的，要特事特办，以此认定为出罪事由而非入罪事由，故最终的认定结果不可颠覆基本的检验结论。

四、本罪的问题及其应对

（一）对本罪前置化的反思

网络犯罪前置化有其必要性：因计算机信息系统的互联性与易传输性，加剧了其易泄露性，加之我国众多项目均依托计算机信息系统这一无纸化时代的唯一信息载体，故立法机关将打击阶段提前化（类似于非法侵入住宅罪，将维护家庭财产与人身安全提前至维护住宅的不可侵犯性），致使因过于谨慎而导致刑法过度扩张化。非法侵入计算机信息系统罪的根本在于预防系统运行能力的被破坏与机密的外泄，但网络、计算机系统并非全然涉密，也并不一定具备即时的全局传染性，即网络与计算机系统有一定隔离措施来保证其独立性，一个网络系统的瘫痪不等于另一个网络系统的瘫痪，一台计算机的被劫持不等于另一台计算机的被劫持，故现行法律过于前移了打击时间。预防危险是可采的路径，但危险是实害的危险，指潜在的、可能的实害，故其预防的仍是实害而非危险本身，脱离了实害可能，危险是无法独立存在的，那么此时的预防就是无益的。换言之，没有实害可能的亦无危险，也就没有预防必要性，无需入罪，即预防危险讲的还是预防实害，如没有必要预防杀死“树叶”的行为，因为其不可能造成实害。如本案，“畅行郑州”系统仅为一般事务系统，非重大必需品、保密项目，即使瘫痪、数据泄露也不会造成足量的法益侵害，而侵入所能造成的最大危害不过于此，故不存在实害可能，也就无需预防危险。针对李某违规进入后台的行为，可依据《计算机信息国际保护办法》第六条[10]与《治安管理处罚法》第二十九条，以行政违法行为论处，发挥行政处罚对不足以适用《刑法》行为的兜底作用。行政处罚足以规制轻微的入侵行为，国家安全类罪名亦足以规制较重的入侵罪名，故《刑法》在网络信息风险前不必过于紧张。

（二）本罪问题的限缩应对

限缩可采立法、司法双路径。立法路径又分为修正案、司法解释、指导性案例等，以形式改动促进实质变动。司法路径则通过内部会议传达精神，直接影响个案，但要注意罪刑法定的原则与有法必依的政策。

首先，立法路径。针对“入侵”，应作细化规定，建立抽象危险与具体危险的二元论体系。其一，对于绝对关键领域，如国防开发系统等，以抽象危险犯、行为犯论处，进入即既遂，具体量刑要看其侵入频次、范围，是否即刻离开，以艾宾浩斯对瞬时记忆的研究为准，即刻的标准应为3秒。其二，对于相对一般领域，如一般社会性国家事务系统等，要看是否造成具体后果，增加“造成严重后果”的限定条件，提高入罪门槛。“造成严重后果”即破坏（包含对数据及系统本身的破坏）与恶意更改系统信息，造成恶劣影响。若未造成严重后果，则依据《刑法》第十三条但书、第三十七条，以不认为是犯罪、免于刑事处罚处置，但要依《计算机信息国际保护办法》第六条与《治安管理处罚法》第二十九条以行政违法论处。在《刑法》第二百八十五条后列举“国家事务的计算机信息系统”具项，如全国人大公报网站、外交部网站等，作提示性规定。

其次，司法路径。其一，向各级司法机关传达严格按照犯罪构成要件，进入非国家事务、非关键领域不为罪的提示性精神。其二，此类案件应当根据罪责刑相适应的原则加以区分，可以适用《刑法》第十三条、第三十七条的不认为是犯罪、免于刑事处罚的，要坚决适用。其三，以行政违法论处，根据《计算机信息国际保护办法》第六条与《治安管理处罚法》第二十九条以治安管理违法行为论处。行政违法中的侵入计算机网络信息系统与刑法中的侵入计算机网络信息系统有质的相同，区别仅在于系统的保密等级与内容的效力范围。要注意的是，侵入一般的计算机系统本就是行政违法行为，正确地适用只是做了回归，而非构成犯罪后的出罪。