江 溯
(北京大学法学院,北京 100871)
近年来,随着国家对环境保护的重视程度不断提高,环境监测力度也越来越大。然而,相关企业和人员为了规避监测、逃避处罚,获取更大经济利益,采取一系列干扰环境监测设备采样的行为,客观上导致环境监测数据失真,对生态环境造成了危害。为了惩治和防范此类行为,最高人民法院、最高人民检察院于2016年出台了《最高人民法院、最高人民检察院关于办理环境污染刑事案件适用法律若干问题的解释》(以下简称“2016年《解释》”),将“干扰采样,致使监测数据严重失真的”行为以《刑法》第286条破坏计算机信息系统罪定罪处罚。2023年,“两高”又出台了新的同名司法解释(以下简称“2023年《解释》”),将2016年《解释》中描述的行为修改为“干扰系统采样,致使监测数据因系统不能正常运行而严重失真的”。司法实践中,自2016年以来,干扰环境监测设备采样的行为往往都被法院认定为破坏计算机信息系统罪,近年来此类案件还有增加的趋势。其中,“李森、何利民、张锋勃等人破坏计算机信息系统案”更是被最高人民法院确定为第104号指导性案例。但是,与实务界的观点相反,越来越多学者认为,将以物理方式从外部干扰采样的行为认定为破坏计算机信息系统罪,有违背罪刑法定原则之嫌,正是该罪“口袋化”趋势的一个具体体现。如何理解上述司法解释和指导性案例,如何对环境监测中干扰采样的行为做出准确的刑法定性,以区分罪与非罪的界限,亟需刑法教义学进行回应。
笔者在“北大法宝”的案例数据库中,以“破坏计算机信息系统罪”为案由,检索全文中包含“干扰采样”的案例,共得到31个结果。经人工筛选之后,去除重复的案例以及通过修改参数、篡改数据等方式影响环境监测的案例,剩下以物理方式从外部干扰采样的案例共14个。虽然实践中同类案件数量远不止此,但由此已可反映出目前我国司法实践对此类行为的态度。在上述14个案例中,被告人实施的干扰采样的行为具体包括用棉纱等物品堵住环境监测设备采样器①;私自篡改监测设备采样管,直接从合格样本中采样②;在采样口对样本进行稀释③;直接拆除采样管④。从时间上看,14个案例均为2016年《解释》施行之后的判决。在2018年第104号指导性案例公布后,相关案件数量有增加的趋势。从判决结果看,14个案例中被告人都被认定为破坏计算机信息系统罪。从裁判理由看,一部分法院直接援引了2016年《解释》,另一部分法院并未提及。但无论是否直接援引司法解释,法院几乎都没有进行实质说理,而是简单描述被告人的行为性质后,根据刑法或司法解释径直认定被告人构成破坏计算机信息系统罪。
例如,在胡端忠等破坏计算机信息系统案中,北京市通州区人民法院指出:“被告人胡端忠、王金华违反国家规定,针对环境质量检测系统干扰采样,致使监测数据严重失真,二被告人之行为均已构成破坏计算机信息系统罪,依法应予惩处。……依照《中华人民共和国刑法》第二百八十六条第一款……及《最高人民法院、最高人民检察院关于办理环境污染刑事案件适用法律若干问题的解释》第十条第一款第二项之规定……”⑤;在张学周破坏计算机信息系统案中,云南省芒市人民法院指出:“被告人张学周人工干扰水质在线检测系统,破坏计算机信息系统功能,致使检测数据严重失真,造成严重后果,其行为已触犯刑律,构成破坏计算机信息系统罪。……依照《中华人民共和国刑法》第二百八十六条第一款……”⑥;2023年,上海市第三中级人民法院对上海市首例干扰环境质量自动监测系统致使检测数据失真案件依法公开宣判。法院认为,“被告人沈某某身为环境监测设施维护人员,违反国家规定,明知环境监测设备不能擅自改动,仍采用在水污染物排放自动监测设备进样管道上加装自来水管路方法,干扰自动监测系统的数据采集功能,致使在线监测数据严重失真,……且该失真数据已上传至上海市生态环境污染源综合管理系统自动监控等平台,致使环境保护主管部门对排污单位污染物排放失去有效监管,后果严重,应当以破坏计算机信息系统罪追究其刑事责任。”[1]
不难看出,即便法院没有援引司法解释,其在描述被告人行为时,也是以司法解释所规定的“干扰采样,致使监测数据严重失真”这一行为类型为蓝本。法院认定被告人构成破坏计算机信息系统罪的关键,不在于证明被告人的行为是《刑法》第286条第1款规定的“对计算机信息系统功能进行干扰”并“造成计算机信息系统不能正常运行”的行为,而在于证明被告人的行为是否如司法解释所要求的那样“致使监测数据严重失真”。
由此可见,一方面,2016年《解释》在干扰采样行为的定性上起到了举足轻重的作用。2023年《解释》在2016年《解释》的基础上做了修改,可以预见也将成为未来法院处理类似案件的关键。但是,司法解释将一类行为规定为符合破坏计算机信息系统罪的构成要件,事实上是在进行具有普遍性的定罪活动,故当然要受到罪刑法定原则的限制。实践中完全脱离刑法规定、直接依据司法解释进行形式判断的做法,虽然降低了法院审理此类案件的难度,却也使得破坏计算机信息系统罪的适用范围不当扩张,甚至突破了罪刑法定原则的边界,故并不可取。正确理解《刑法》第286条的含义,并在此基础上正确理解司法解释中的相关规定,才是认定环境监测中干扰采样行为之性质的合理思路。另一方面,由于法院说理普遍缺乏,作为最高人民法院第104号指导性案例的“李森、何利民、张锋勃等人破坏计算机信息系统案”就成为我们了解实践中法院裁判逻辑的重要窗口。
最高人民法院第104号指导性案例“李森、何利民、张锋勃等人破坏计算机信息系统案”是国内首例以物理方式干扰环境监测设备采样的刑事案件。该案裁判要旨明确了用棉纱等物品堵塞环境质量监测采样设备,干扰采样,致使监测数据严重失真的,构成破坏计算机信息系统罪。该案一经发布,就引发了理论和实务界的诸多关注,在理论界尤以批评意见居多。本案的争议焦点在于,采用物理手段而非技术手段从外部干扰计算机信息系统的行为,能否被评价为《刑法》第286条破坏计算机信息系统罪的构成要件行为。该案基本内容如下:
西安市长安区环境空气自动监测站(简称长安子站)系国家环境保护部(简称环保部)确定的西安市13个国控空气站点之一,通过环境空气质量自动监测系统采集、处理监测数据,并将数据每小时传输发送至中国环境监测总站(简称监测总站),一方面通过网站实时向社会公布,一方面用于编制全国环境空气质量状况月报、季报和年报,向全国发布。长安子站为全市两个国家直管监测子站之一,由监测总站委托武汉宇虹环保产业股份有限公司运行维护,不经允许,非运维方工作人员不得擅自进入。
2016年2月4日,长安子站回迁至西安市长安区西安邮电大学南区动力大楼房顶。被告人李森利用协助子站搬迁之机私自截留子站钥匙并偷记子站监控电脑密码,此后至2016年3月6日间,被告人李森、张锋勃多次进入长安子站内,用棉纱堵塞采样器的方法,干扰子站内环境空气质量自动监测系统的数据采集功能。被告人何利民明知李森等人的行为而没有阻止,只是要求李森把空气污染数值降下来。被告人李森还多次指使被告人张楠、张肖采用上述方法对子站自动监测系统进行干扰,造成该站自动监测数据多次出现异常,多个时间段内监测数据严重失真,影响了国家环境空气质量自动监测系统正常运行。为防止罪行败露,2016年3月7日、3月9日,在被告人李森的指使下,被告人张楠、张肖两次进入长安子站将监控视频删除。2016年2、3月间,长安子站每小时的监测数据已实时传输发送至监测总站,通过网站向社会公布,并用于环保部编制2016年2月、3月和第一季度全国74个城市空气质量状况评价、排名。2016年3月5日,监测总站在例行数据审核时发现长安子站数据明显偏低,检查时发现了长安子站监测数据弄虚作假问题,后公安机关将五被告人李森、何利民、张楠、张肖、张锋勃抓获到案。
陕西省西安市中级人民法院于2017年6月15日作出(2016)陕01刑初233号刑事判决:一、被告人李森犯破坏计算机信息系统罪,判处有期徒刑一年十个月。二、被告人何利民犯破坏计算机信息系统罪,判处有期徒刑一年七个月。三、被告人张锋勃犯破坏计算机信息系统罪,判处有期徒刑一年四个月。四、被告人张楠犯破坏计算机信息系统罪,判处有期徒刑一年三个月。五、被告人张肖犯破坏计算机信息系统罪,判处有期徒刑一年三个月。宣判后,各被告人均未上诉,判决已发生法律效力。
《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条规定,计算机信息系统和计算机系统,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。根据《最高人民法院、最高人民检察院关于办理环境污染刑事案件适用法律若干问题的解释》第10条第1款的规定,干扰环境质量监测系统的采样,致使监测数据严重失真的行为,属于破坏计算机信息系统。长安子站系国控环境空气质量自动监测站点,产生的监测数据经过系统软件直接传输至监测总站,通过环保部和监测总站的政府网站实时向社会公布,参与计算环境空气质量指数并实时发布。空气采样器是环境空气质量监测系统的重要组成部分。PM10、PM2.5监测数据作为环境空气综合污染指数评估中的最重要两项指标,被告人用棉纱堵塞采样器的采样孔或拆卸采样器的行为,必然造成采样器内部气流场的改变,造成监测数据失真,影响对环境空气质量的正确评估,属于对计算机信息系统功能进行干扰,造成计算机信息系统不能正常运行的行为。⑦
发表于《人民司法》的《〈李森、何利民、张锋勃等人破坏计算机信息系统案〉的理解与参照》一文对法院的裁判逻辑进行了详细说明。文章指出,破坏计算机信息系统罪的客体是计算机信息系统安全,故判断一行为是否属于破坏计算机信息系统的行为,应当以该行为是否破坏了本罪的犯罪客体(即计算机信息系统安全)为标准。“凡是严重影响计算机信息系统安全的行为,都应认定为破坏计算机信息系统的行为”[2]P102。其中,既包括侵入计算机信息系统内部的破坏行为,也包括未侵入系统内部的干扰行为。在信息化技术不断发展的背景下,计算机信息系统运行结果异常带来的影响和危害越来越大。如果在数据真实性受到影响,但计算机信息系统的运行仍然顺畅的情况下,认为行为未造成计算机信息系统功能破坏,因而不构成本罪,这样的观点狭隘地理解了本罪所保护的客体,不符合立法本意。具体而言,在行为人从外部进行物理干扰而非从内部进行破坏的情况下,计算机信息系统虽然仍能运行,但已不能正常运行,导致运行结果发生错误。这种行为与侵入计算机信息系统内部进行破坏,造成计算机信息系统不能正常运行、运行结果发生错误,并没有区别。从外部对计算机信息系统进行物理干扰,这一行为侵害的对象也是计算机信息系统,并且危害了计算机信息系统安全,因此属于破坏计算机信息系统罪的构成要件行为。
根据《最高人民法院关于案例指导工作的规定》第7条和《〈最高人民法院关于案例指导工作的规定〉实施细则》第10条,各级人民法院在审理类似案件时应当参照指导性案例,应当将其作为裁判理由引述,但不作为裁判依据引用。与指导性案例的权威性和约束力相对,学理解释属于无权解释,并不能当然地作为裁判理由或依据。然而,学理解释也不能迷信有权解释。二者的区别仅在于解释主体上,而解释主体的差异与解释结论的正确与否并无直接关联。[3]P6有权解释的结论并非必然正确,学者也有责任对有权解释的错误结论提出理性批判。第104号指导性案例发布后便遭到了诸多学者批评,对指导性案例的错误之处提出理性的批评意见也是学者作为法律共同体成员的责任。在笔者看来,本案裁判理由存在的问题主要体现在以下三个方面:
第一,用司法解释架空刑法条文。根据罪刑法定原则,被告人的行为符合刑法分则规定的构成要件,是被告人构成犯罪的前提。然而,虽然裁判理由在最后回归到了《刑法》第286条,但从行文逻辑上可以看出,事实上法院主要是根据2016年《解释》第10条第1款第2项的规定,认为被告人的行为完全符合“干扰采样,致使监测数据严重失真”的情形,进而认定其构成破坏计算机信息系统罪。法院先列出了2016年《解释》的规定,随后分析了本案中的具体情形,最后得出了“属于对计算机信息系统功能进行干扰,造成计算机信息系统不能正常运行的行为”的结论。如果按照三段论的基本结构来理解的话,2016年《解释》属于大前提,本案案情属于小前提。但是,最后的结论却没有按照正常三段论的要求回归大前提,而是落入了《刑法》第286条之中。值得注意的是,在分析案情时,裁判理由略显突兀地提到了“空气采样器是环境空气质量监测系统的重要组成部分”。这一简短的单句似乎想要说明被告人行为针对的对象是计算机信息系统,符合《刑法》第286条的要求。但遗憾的是,法院并没有继续论证其他构成要件是否符合,这一句话也因此显得格格不入。这说明法院意识到定罪应以刑法分则的规定为依据,但在论证的时候,却有意无意地将司法解释与刑法条文混为一谈,因此在形式上产生逻辑谬误,在实质上导致定性错误。严格按照法院的论证逻辑,最后得出的结论应当是被告人的行为符合2016年《解释》的规定,而非符合《刑法》第286条的规定。而从2016年《解释》到《刑法》第286条,还存在着逻辑上的跳跃。
这就涉及司法解释和《刑法》之间的关系问题。实践中司法解释适用存在许多被人诟病的地方,其中很重要的一点就是司法解释所代表的司法权与刑法条文所代表的立法权之间的界限模糊[4]P56,以致司法解释在事实上成为“二级立法”,甚至出现了有违背罪刑法定原则嫌疑的司法解释优先于刑法文本而适用的现象[5]P156。然而,司法解释作为司法机关出台的文件,只是对刑法条文的解释,而不能取代刑法条文。更何况,2016年《解释》中“干扰采样,致使监测数据严重失真”的表述,和《刑法》第286条“对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行”的表述至少在表面上存在明显且重要的区别,形式上符合司法解释规定的行为很可能并不符合刑法规定的构成要件。即便要依据2016年《解释》,对该司法解释的理解也应在《刑法》第286条的具体规定下展开[6]P959,以免适用司法解释而得出违背罪刑法定原则的结果。而法院的裁判思路却完全脱离了《刑法》第286条,用司法解释将刑法条文架空,使得“罪刑法定”变成了“罪刑司法解释定”,导致错误定罪。
第二,用保护法益架空构成要件。前文所引尤青等人的文章一方面同样根据2016年《解释》认为被告人的行为属于破坏计算机信息系统的行为,另一方面也在司法解释之外单独分析了被告人构成犯罪的原因。不过,此文虽然强调了本案的争议问题“既涉及刑法相关条文的文义解释,也涉及打击和防范计算机犯罪的立法目的实现”[2]P102,但实际上却完全以行为的危害性作为论证理由,用法益淡化甚至架空了构成要件的解释。文章将计算机信息系统安全认定为破坏计算机信息系统罪的保护法益,并认为只要行为严重影响了计算机信息系统安全,就是破坏计算机信息系统的行为。这一观点使得构成要件彻底沦为摆设。虽然文章还对干扰行为进行了内部和外部的区分,但这种区分意义并不大。最终文章还是以行为造成计算机信息系统不能正常运行、危害了计算机信息系统安全为由,认为属于破坏计算机信息系统的行为。法益固然有指导构成要件解释的作用,但这也必须要受到罪刑法定原则的制约,必须受到法条文义的限制。上述文章完全以是否损害法益作为判断行为是否符合构成要件的依据,可能是因为“干扰”一词本身就有较大的模糊性,使其很容易就丧失了作为构成要件而具有的人权保障机能[7]P161。然而,即便如此,也并非完全抛弃构成要件作为定罪标准的理由。即便将“干扰”视为兜底规定,也应根据同类解释规则对“干扰”行为作出尽可能清晰的界定,并在此基础上判断被告人的行为究竟是否属于《刑法》第286条第1款规定的“干扰”。在刑法规定了构成要件,并且该构成要件可以通过教义解释进行具体化的情况下,依然只以法益是否受到侵害为标准判断被告人是否构成犯罪,这样的定罪思路必然导致破坏计算机信息系统罪适用范围的不合理扩张,危害罪刑法定原则,损害公民的合法权利。
第三,用“系统目的无法实现”代替“系统不能正常运行”。即便从法益角度判断,破坏计算机信息系统罪的保护法益应当是计算机信息系统的正常运行,而非裁判理由所理解的系统目的的实现。裁判理由错误地理解了保护法益,误认为环境监测系统无法反映真实的环境数据就表明系统无法正常运行,进而认定被告人构成破坏计算机信息系统罪,事实上是用“系统目的无法实现”代替了“系统不能正常运行”。在前引文章中,作者首先明确了破坏计算机信息系统罪的客体是计算机信息系统安全,但又指出不能狭隘地理解本罪保护客体,即如果在数据真实性受到影响,但计算机信息系统仍能顺畅运行情况下,也应认定为构成破坏计算机信息系统罪。由此可见,文章对本罪法益的理解是前后矛盾的。作者已意识到在计算机信息系统运行正常的情况下,很难说计算机信息系统安全遭到了侵害。但同时,因为环境监测系统的目的就在于获取真实的环境监测数据,所以使数据真实性受到影响的行为也具有一定处罚必要性,因此作者又扩张了先前认定的法益范围。这一矛盾的根源在于对破坏计算机信息系统罪的保护法益没有清晰正确的认识,由此导致根据处罚必要性来判断是否构成犯罪,用“系统目的无法实现”代替“系统不能正常运行”,将本不符合本罪构成要件的行为错误地认定为构成本罪,导致处罚范围的不当扩大。
从裁判理由的上述三个问题可以看出,本案的争议核心,在技术层面上是对《刑法》第286条及司法解释的解释问题(包括如何确定本罪保护法益,如何解释本罪行为类型中的“干扰”等),在法理层面上则表现为罪刑法定原则与处罚必要性之间的张力。鉴于指导性案例在司法实践中的影响力,有必要在对该案裁判理由进行合理批判的基础上,正面阐释环境监测中以物理方式从外部干扰采样行为的性质。
如上所述,目前司法实践中普遍存在把以物理方式干扰采样的行为认定为破坏计算机信息系统罪的现象,反映出破坏计算机信息系统罪的不合理扩张适用。因此,对环境监测中干扰采样行为做出准确刑法定性的关键,在于严格坚守罪刑法定原则,限缩破坏计算机信息系统罪的适用。具体而言,本文将首先明确破坏计算机信息系统罪的保护法益,其次讨论以物理方式干扰采样行为的构成要件符合性,最后分析2016年《解释》和2023年《解释》的相关规定。由于第104号指导性案例中被告人的行为与其他以物理方式干扰采样的行为并无实质区别,故本文以第104号指导性案例为例展开分析。
法益对构成要件的解释具有重要指导作用。[8]P49从前文对裁判理由的批判中可以发现,目前司法实践中对破坏计算机信息系统罪的错误适用,很大程度上是因为对本罪保护法益认识不足。因此,在讨论构成要件解释之前,有必要对破坏计算机信息系统罪的保护法益做出清晰界定。
考察立法者原意,破坏计算机信息系统罪设立的目的是“加强对计算机信息系统的管理和保护,保障计算机信息系统功能的正常发挥,维护计算机信息系统的安全运行”[9]P513。从这一表述看,计算机信息系统的功能或者计算机信息系统的安全运行,都可能是本罪的保护法益。然而,理论和实务对此却存在着诸多不同理解,有待进一步批判澄清。
1.集体法益还是个体法益?
有观点认为破坏计算机信息系统罪的保护法益为集体法益,“即承载着具体用户合法权益的计算机网络安全管理秩序”[10]P13⑧。这一观点认为,在互联网不断发展的背景之下,独立的计算机信息系统之间已经形成了稳定而紧密的联系,系统和网络变得越来越难以区分。破坏单个计算机信息系统的行为也会因为互联网的传导性,延伸影响网络中的其他计算机信息系统,从而使得对个人法益的侵犯发展成对社会秩序的冲击。因此,刑法规范关注的重点就应当从系统运行安全转向网络运行安全。[11]P38然而,从关注系统转向关注网络,只是意味着在判断法益是否遭受侵害时,要更加考虑整体网络,将系统视为网络中的系统,重视系统之间的关联,并不必然意味着本罪保护法益为集体法益。事实上,正是因为互联网中计算机信息系统之间联系的普遍性,刑法通过保护计算机信息系统就可以实现对整体网络秩序的保护,没有必要将法益规定为更为抽象、更难把握的集体法益。
除此之外,上述观点的另一个重要理由就是破坏计算机信息系统罪被规定在分则第六章“妨害社会管理秩序罪”之下。关于法益和罪名体系性位置的关系问题,有学者指出:“一个罪名在刑法典中所处的章节位置并不能决定该罪保护的法益。‘以同类法益分类组合’并不是刑法典中罪名排列的‘金科玉律’,同类法益的结构化只是相对的。”[12]P95这种观点虽然可能轻视了罪名的体系性位置对法益的影响,但却正确地指出仅以体系性位置来论证保护法益是不充分的。应当认为,罪名在分则中的体系位置虽然对个罪的法益认定有一定意义(甚或决定性意义),但也并非是绝对的,尤其是针对我国刑法分则第三章“破坏社会主义市场经济秩序罪”、第六章“妨害社会管理秩序罪”的一些罪名而言[13]P47。更何况根据前文所引能体现立法者原意的材料,立法者在制定本罪名时,主要着眼点还是具体的计算机信息系统本身,而非抽象的社会管理秩序。此外,正如有学者指出的,随着互联网的不断发展,计算机信息系统已经深深嵌入公民的日常生活之中。因此,破坏计算机信息系统罪与抽象而宏大的社会管理秩序的关联越来越淡化,该罪的保护法益也逐渐从秩序性法益转向了个体法益。[14]P133在此背景下,即便采取同时承认个人法益和集体法益独立地位的二元论立场,也难以认为破坏计算机信息系统罪的保护法益是集体法益。
最后,从操作上说,由于集体法益具有相当程度的抽象性,如果将集体法益作为破坏计算机信息系统罪的保护法益,非但无法将破坏计算机信息系统罪与其他罪名区分,而且更有可能导致对构成要件的恣意解释,与限缩本罪适用的目的不符。例如,针对第104号指导性案例,认为本罪法益为集体法益的学者指出:“该案中的计算机信息系统属于提供社会公共服务的系统组成部分,行为人实施的破坏行为对被提供服务的潜在用户的合法权益造成了影响,整体上是对计算机信息系统网络安全运行秩序的破坏。”[10]P13这一观点实际上是通过将法益抽象为集体法益,绕过了具体的计算机信息系统,在被告人的行为和所谓的“计算机信息系统网络安全运行秩序”之间直接建立了联系。按照这种观点,一个行为即便没有直接对计算机信息系统造成破坏,也可能对整个网络安全运行秩序产生损害。此外,由于“计算机信息系统网络安全运行秩序”的抽象性,如何判断其是否遭受破坏,也很难有一个具体明确的标准。在本案中,被告人的行为仅仅是使得上传到网络中的监测数据失真,至多损害的是环境监测数据网中数据的真实性,并没有对“计算机信息系统网络安全运行秩序”造成破坏。由此可见,将破坏计算机信息系统罪的法益确定为集体法益,不利于形成明确的判断标准,不利于在个案中限缩处罚范围,反而可能导致对法益是否受到侵害的判断流于形式,使本罪的“口袋”不断变大。
综合上述三点理由,本文认为,破坏计算机信息系统罪的保护法益应为个体法益。
2.数据安全是否为本罪法益?
有观点认为,《刑法》第286条第2款并没有“造成计算机信息系统不能正常运行”或“影响计算机系统正常运行”等表述,因此,基于功能性考虑、价值融贯性和逻辑融贯性等三方面因素,该款的保护法益应为数据安全。[15]P41-42一般而言,同一法条、同一罪名下各款的保护法益应当保持一致。因此,要单独将第2款的法益例外地确定为数据安全,与第1款和第3款相区别,就必须进行额外论证。然而,在本文看来,这三方面因素无法支撑第2款的法益为数据安全的观点。具体而言,首先,主张数据安全是第2款保护法益的论者从刑法的功能出发,认为数据和应用程序本身也有独立的保护价值,基于刑事政策的考虑,应当将其纳入法益保护范围。但是,有保护价值的事物并不必然就是刑法意图保护的法益。刑法对法益的保护具有片段性,仅以数据和应用程序具有独立保护价值为由,尚不足以使数据安全成为第2款的法益。换言之,数据和应用程序有保护价值只是数据安全成为保护法益的基础,在此之上还需要其他实质理由补强论证。论者显然也注意到了这一点,因此又提出了价值融贯性和逻辑融贯性这两方面理由。在价值融贯性方面,论者认为第2款规定了非法获取计算机信息系统数据的行为构成犯罪,就意味着数据作为独立法益受到刑法保护。然而,另一种可能的解释是,第2款仅仅是规定了通过非法获取系统数据的行为导致系统无法正常运行的情形,数据仅仅是行为的直接对象,而非最终的保护法益。而考虑到第2款和第1款、第3款同在第286条之下,后一种解释的合理性无疑更大。这表明强调第2款的文字规定对论证数据安全为保护法益并无任何意义。在逻辑融贯性方面,论者认为对数据和应用程序“进行删除、修改、增加”的行为影响了权利人对数据的正常使用,因此在不法程度上更高,处罚必要性更大,因此第2款的规范目的就是保护数据和应用程序的安全。由此可见,论者认为立法者额外规定第2款的原因在于第2款的行为具有更高程度的不法。但如果真是如此,那么对此种行为就应当设置比第1款更重的法定刑,而非规定“依照前款的规定处罚”。在本文看来,立法者之所以规定第2款,是因为实践中通过删除、修改、增加数据的方式使系统无法正常运行的现象较多,因此有必要单独制定注意规定,对司法者进行提示。第3款规定“故意制作、传播计算机病毒等破坏性程序”,也是基于这一考虑。综上所述,无论是基于功能性考虑,还是从价值融贯性和逻辑融贯性处罚,都无法充分论证第2款的保护法益是数据安全。
本文认为,暂且不论将同一法条、同一罪名的保护法益按款分成不同类型的做法是否合理,这一做法事实上将第286条第2款变成了保护数据的独立罪名,脱离了“破坏计算机信息系统”的基本属性。在这种观点之下,只要行为人对系统中的数据和应用程序进行删除、修改、增加,即便没有破坏计算机信息系统,也构成破坏计算机信息系统罪,这无疑将导致本罪成立范围大幅扩张,与限制本罪适用的解释初衷背道而驰。从破坏计算机信息系统罪的体系定位来看,本罪本质上是虚拟空间的毁弃型犯罪[16]P95,行为最终必须导致计算机信息系统的破坏,才可能构成本罪。而根据上文的论证,将第2款独立于第1款和第3款的解释思路既不合理,也不必要。因此,让第2款的保护法益与第1款和第3款保持一致,无疑是解释成本上最经济、解释结论上最合适的做法。司法实践中,最高人民法院第145号指导性案例也印证了本文的观点。该案裁判理由指出:“通过修改、增加计算机信息系统数据,未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪。”因此,第286条前三款的保护法益应当保持一致,即不包含数据安全。
3.本罪法益:计算机信息系统的正常运行
本文认为,破坏计算机信息系统罪的保护法益准确来说应当是计算机信息系统的正常运行。由于刑法分则并没有规定保护法益,但规定了构成要件,所以构成要件的内容就成为确定保护法益的重要依据。[13]P49从第286条的表述上看,第1款规定了“造成计算机信息系统不能正常运行”,第3款规定了“影响计算机系统正常运行”。而第2款虽然没有明确表述,但如上文所述,其保护法益应当与第1款和第3款保持一致(或者说,没有理由使其与第1款和第3款不一致)。将本罪法益确定为计算机信息系统的正常运行,既有刑法条文的依据,又可以对构成要件解释起到明显限制作用,因为计算机信息系统能否正常运行,相对来说比较容易判断。值得说明的是,有观点认为本罪保护法益是计算机信息系统功能的正常发挥,因此有必要澄清“系统功能正常发挥”和“系统正常运行”二者之间的关系。在本文看来,只要对“功能”进行进一步阐释,就可发现“系统功能正常发挥”和“系统正常运行”基本同义。事实上,“功能”可以区分为两方面:一是系统本身的功能,二是人们使用系统所希望实现的目的。例如,环境监测系统本身的功能是对输入系统的样本进行分析,输出与样本相符的数据结果;而人们希望通过环境监测系统实现的目的则是对环境数据进行真实采集分析,得到与真实环境相符的数据结果。从法条文义看,“计算机信息系统功能”这一偏正短语就意味着法条强调的是系统本身的功能,而非系统在实际使用中所能实现的功能。更何况法条对行为后果的描述落脚于“计算机信息系统不能正常运行”,并且破坏计算机信息系统罪归根到底还是针对计算机信息系统的犯罪,因此系统本身的功能才是本罪保护的重点。只要系统本身的功能能够正常发挥,即便无法实现人们预期的目的,也应认为计算机信息系统能够正常运行,破坏计算机信息系统罪的保护法益并未受到侵害。因此,本文更倾向于使用“计算机信息系统正常运行”来描述破坏计算机信息系统罪的保护法益。
《刑法》第286条共有4款,除最后一款对单位犯罪作出规定外,第3款规定的制作、传播计算机病毒等破坏性程序也明显与干扰采样行为不符。因此,可能适用于以物理方式干扰采样的行为的,只有第1款和第2款。目前,司法实践一般认为以物理方式干扰采样的行为构成《刑法》第286条第1款。但是,一些学者考虑到适用第1款存在一定障碍,便开始讨论适用第2款的可能性。为全面讨论,本文将分别讨论第1款和第2款的适用,论证以物理方式干扰采样的行为不符合第1款和第2款的规定。
1.《刑法》第286条第1款中的“干扰”
《刑法》第286条第1款规定的行为类型是“对计算机信息系统功能进行删除、修改、增加、干扰”。从中可以看出,第1款规定了四种行为方式,即删除、修改、增加、干扰。其中,前三种的含义较为清晰,实践中也易判断和区分。而“干扰”的含义更加模糊,甚至删除、修改、增加行为都可以被归入广义的“干扰”之中,使“干扰”变成修改、删除、增加这三种行为的兜底行为。事实上,全国人大法工委刑法室对“干扰”的解释就是“用删除、修改、增加以外的其他方法,破坏计算机信息系统功能,使其不能正常运行”[17]P490。这一解释明显是将“干扰”行为作为前三种行为的兜底。但是,我国《刑法》中兜底规定的形式通常包含“其他”或“等”,并且兜底规定与前面的列举规定在逻辑上并非并列关系,而是包含关系。因此,“干扰”从形式上看就并非通常的兜底规定,“干扰”可能有着不同于删除、修改、增加的实质含义。有观点认为,如果对“干扰”采取狭义的理解,所谓“干扰”就是在没有直接改变系统运行规则的前提下,对系统的正常运行造成影响;而删除、修改、增加则是直接对系统运行规则产生了实质影响。[18]P130然而,这种观点以行为是否直接改变系统运行规则为标准区分干扰和其他三种行为,实际上并不会对最后的适用结果产生实质影响。按照此观点,行为是否直接影响系统运行规则并不是判断行为是否属于该款规定的行为类型的标准。而删除、修改、增加,这三种行为类型已经周延地涵盖了直接影响系统运行规则的全部,剩下未被这三种行为包含、但又值得适用该款处罚的行为自然是未直接影响系统运行规则的行为。因此,将“干扰”视为兜底行为,还是赋予其区别于删除、修改、增加的特殊含义,并不会影响对一行为是否符合该款规定的判断。只是由于“干扰”不符合《刑法》中兜底规定的一般形式,因此将其作为一种独立的行为类型可能更为合适。更为关键的问题不是将“干扰”作为兜底规定还是独立的行为,而是如何限制“干扰”的范围,以避免因其含义的模糊而导致的处罚范围的不当扩大。对“干扰”的限制可以从行为对象和保护法益两方面展开。
从《刑法》第286条第1款的文字表述可知,干扰行为指向的是“计算机信息系统功能”。如前文所述,本罪中的“计算机信息系统功能”应做限缩解释,只包括计算机信息信息系统本身的功能,而不包括人们使用系统的目的。因此,干扰行为应以计算机信息系统为对象。倘若行为并非针对计算机信息系统,即便使得系统无法正常运行或者无法实现人们使用系统的目的,也不符合第1款的规定。有观点认为干扰“既包括对计算机信息系统本身的干扰,也包括对信息数据采集和传输过程的干扰”[10]P7。这一观点将并非针对计算机信息系统的干扰行为也纳入第1款的范围,并未正确理解“计算机信息系统功能”的含义,超出了刑法规定的文义范围,违反罪刑法定原则。有观点同样基于限制“干扰”的行为对象的考虑认为,构成破坏计算机信息系统罪必须以侵入计算机信息系统为前提。[19]P8诚然,从目前的实际情况看,破坏计算机信息系统的行为通常都侵入了计算机信息系统内部,但是计算机技术仍在飞速发展,在不侵入计算机信息系统内部的情况下是否能构成破坏计算机信息系统罪,在未来尚未可知。因此,从长远看,是否侵入计算机信息系统内部并非判断干扰行为是否指向计算机信息系统的合适标准。如果严格要求以侵入计算机信息系统为前提,将导致部分值得以破坏计算机信息系统罪处罚的行为无法被规制。事实上,没有必要将行为限制为必须侵入系统内部,只需要限制为必须针对计算机信息系统即可。这样既能从行为对象角度对“干扰”行为进行限制,又能留出足够的解释空间,以应对信息网络技术的发展。在第104号指导性案例中,被告人用棉纱堵塞采样器,裁判理由认为行为的作用对象应当是采样器。采样器能否视作环境监测系统的一部分,本身就有争议。即便对系统含义进行扩张,认为采样器可以被视为系统的组成部分,被告人的行为事实上针对的也并不是采样器,而是样本。被告人用棉纱堵塞采样器,并没有使采样器丧失本身功能,实际上是更换了进入采样器的样本,使进入采样器的样本中污染物含量减少。因此,用棉纱堵塞采样器如同稀释样本、直接从合格样本中采样等行为在本质上并无区别。这些行为针对的对象都是样本,而不是采样器,更不是计算机信息系统,因此并不符合第286条第1款的规定。
除了行为对象的要求之外,对“干扰”的理解还必须受到法益的限制。本文已论证了破坏计算机信息系统罪的保护法益是计算机信息系统的正常运行。因此,干扰行为只有使得计算机信息系统无法正常运行,损害本罪保护法益的,才可能构成破坏计算机信息系统罪。在第104号指导性案例中,被告人堵塞采样器的行为事实上并没有造成计算机信息系统无法正常运行,因此不属于第286条第1款要求的干扰行为。如前文所述,裁判理由之所以认为被告人的行为造成了计算机信息系统无法正常运行,其实是混淆了计算机信息系统本身能否正常运行与计算机信息系统的目的能否实现。裁判理由强调的“造成监测数据失真,影响对环境空气质量的正确评估”,实际是指环境监测系统的目的无法实现,不能准确获得真实的数据。而判断系统能否正常运行,关键在于系统能否按预先设定的程序进行相关运算,输出相对于输入值而言准确的结果。具体到本案,判断环境监测系统能否正常运行,关键在于判断系统输出的结果是否符合系统接收的样本情况。就环境监测系统自身而言,其虽然无法准确反映环境的真实情况,但却依然能够准确反映变化后的样本的数据,这就说明系统依然能够正常运行。也正因如此,在样本发生变化之后,环境监测系统得出的监测数据才会失真。因此,包括第104号指导性案例在内的以物理方式干扰采样的行为,由于实际上只是更换或稀释了样本,虽然导致环境监测系统准确监测环境质量的目的无法实现,但却并未直接导致计算机信息系统无法正常运行,故并没有损害破坏计算机信息系统罪的保护法益,不属于第286条第1款规定的干扰行为。
综上所述,第104号指导性案例中被告人的行为虽然有着“干扰”行为的形式外观,但仅仅只是日常生活语境下的“干扰”。由于被告人的行为并没有直接针对计算机信息系统,也没有导致计算机信息系统无法运行,没有损害保护法益,故对被告人不能适用《刑法》第286条第1款的规定。
2.《刑法》第286条第2款中的“数据”
虽然司法实践均以第1款作为认定干扰采样行为构成犯罪的依据,但理论上也有学者讨论了适用第2款的可能性。[20]P415-416[21]从第2款的表述来看,以物理方式干扰采样的行为只有可能属于“对计算机信息系统中存储、处理或者传输的数据进行修改”的行为类型。因此,问题的关键就是被告人通过干扰采样行为影响的样本是否属于“计算机信息系统中存储、处理或者传输的数据”,以及被告人的行为能否被评价为“修改”。支持以第286条第2款规制此类行为的论者认为,既然随着社会生活的不断发展,环境监测设备已经可以被解释为“计算机信息系统”,那么将样本解释为“计算机信息系统中处理的数据”,虽然与一般理解中的“数据”存在差异,但也应当属于“客观目的解释原理之下的一种可接受的扩大解释”。[21]这里涉及扩大解释与类推适用的区别。要将样本解释为数据,已经超出了“数据”的核心语义,有滑入类推适用的风险。区分扩大解释与类推适用,主要根据解释结果是否超出了刑法条文用语的可能含义之外。[22]P75一般而言,“数据”必须和数字或数值相关。而样本则是在物理世界中真实存在的物品,这些物品直接来自物理世界,并未经过任何加工,和数据存在明显区别。即便在客观目的解释原理之下尽可能地对“数据”进行合理的扩张解释,恐怕也难以将样本纳入其中。强行将样本解释为“数据”,明显超出了国民的预测可能性范围,超出了“数据”一词的可能语义边界,违背罪刑法定原则。这与环境监测设备被解释为“计算机信息系统”不同。《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条规定:“本解释所称‘计算机信息系统’和‘计算机系统’,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。”环境监测设备具备自动处理数据的功能,并且事实上也是以计算机作为核心。因此,虽然立法者在制定破坏计算机信息系统罪时,可能并没有设想环境监测设备作为计算机信息系统的一种,但是无论是根据这一司法解释规定,还是从社会一般人对计算机信息系统的理解出发,将环境监测设备解释为计算机信息系统,并没有超出“计算机信息系统”的可能文义范围,属于扩张解释,而不是类推适用。而如前所述,将样本解释为数据,已经超出了可能语义的范围。因此,不能以环境监测设备可以被解释为计算机信息系统为由,得出样本可以被解释为数据的结论。
其次,论者又提出,“修改”一词也有很大的解释空间,置换检测样本的行为包含在“修改”一词的文义范围之内。然而,这样的解释也很牵强,游离于扩张解释和类推适用之间的灰色地带。更为重要的是,“修改”作为一个谓语动词,在语境中的含义必须依赖其他要素进行解释,而不能仅从“修改”一词本身出发,进而得出宽泛、空洞而无意义的结论。除了“修改”这一谓语动词以及“数据”这一宾语之外,值得分析的还有对宾语进行限制的定语。所谓“计算机信息系统中存储、处理或者传输”,要求数据至少是在计算机信息系统内的。而被告人的行为针对的是尚未进入环境监测系统的样本,该样本根本不在计算机信息系统中。因此,即便承认被告人的行为是对样本“修改”,由于这一修改的效果发生在计算机信息系统之外,故并不符合第286条第2款的要求。
综上所述,在罪刑法定原则的严格要求之下,以物理方式干扰采样的行为不可能属于“对计算机信息系统中存储、处理或者传输的数据进行修改”,不符合《刑法》第286条第2款的规定。
2016年《解释》第10条第1款和2023年《解释》第11条第1款均对干扰采样的行为做出了规定。然而,对比两个司法解释即可发现,二者在具体表述上存在细微区别。2023年《解释》除了增加了“后果严重”之外,将2016年《解释》第10条第1款第1项中的“修改参数或者监测数据”修改为“修改系统参数或者系统中存储、处理、传输的监测数据”,将“干扰采样,致使监测数据严重失真”修改为“干扰系统采样,致使监测数据因系统不能正常运行而严重失真”。根据最高人民法院研究室的观点,上述变化是在考虑了2016年《解释》适用过程中的观点争议后做出的微调。[23]P66由此可见,在司法解释制定者看来,二者的差异只是表述上的不同,在观点立场上并无变化。但是,文字表述上的差异也可以在一定程度上反映出对一些要点的强调和侧重。
按照司法解释制定者的观点,“采用物理方式妨害自动监控系统采样、稀释采集的污染物样等行为,实际上是对计算机信息系统功能进行干扰,造成计算机不能正常运行,符合刑法第二百八十六条第一款的规定,造成严重后果的,均可以破坏计算机信息系统罪论处”[23]P66⑨。这一观点和第104号指导性案例的观点一致。但是,正如前文所分析的,这样的观点既未正确理解破坏计算机信息系统罪的保护法益,也未正确理解“干扰”行为的内涵,将既非直接针对计算机信息系统本身、又没有导致计算机信息系统无法正常运行(仅仅是使用计算机信息系统的目的无法实现)的行为认定为破坏计算机信息系统的行为。与法律类似,司法解释在制定完毕之后,也就拥有了其独立的、客观的含义。因此,我们可以也有必要在考虑司法解释制定者观点的基础上,对2016年《解释》和2023年《解释》的相关规定进行独立且客观的理解,以使之与《刑法》第286条保持一致,同时也符合限缩处罚范围、有效保护法益等目的。
如前文所述,司法解释本质上也是对刑法条文的解释,不能创设新的规则,也应受到罪刑法定原则的约束。倘若司法解释与刑法文本发生明显冲突,那么就涉及司法解释的合宪性和有效性问题。至少在刑法条文不存在明显不合理之处的情况下,应当选择适用刑法,排除相关司法解释的适用。[24]P75从2016年《解释》和2023年《解释》的文本表面看,和《刑法》第286条的规定还存在一些区别,甚至是足以影响定罪的重要区别。但是,本文认为,采取合适的解释方法对2016年《解释》和2023年《解释》规定的情形进行限缩,完全可以得出符合《刑法》第286条旨趣的解释结论,两个司法解释与《刑法》第286条不应存在且事实上也并不存在抵牾之处。
在2016年《解释》中,“干扰采样,致使监测数据严重失真”的表述基本是从环境监测系统的使用目的出发,将监测数据严重失真而非系统无法正常运行作为重要结果,并且也没有强调干扰行为的对象。因此,在此表述之外,有必要根据《刑法》第286条第1款的规定再加入行为对象和法益的要求,对2016年《解释》的规定进行限缩,避免如第104号指导性案例那样将处罚范围不当扩大。可以说,2023年《解释》在这一项中的修改完全遵循了上述思路,从行为对象和保护法益两方面入手。修改之后,2023年《解释》的文字表述与《刑法》第286条第1款的联系更加密切,可以直接从司法解释文本中看出《刑法》第286条第1款对行为对象和保护法益的要求。
具体而言,2023年《解释》将2016年《解释》的“干扰采样”修改成“干扰系统采样”,而“干扰系统采样”至少有两重含义。这两重含义之间的区别十分微妙,但却会对结论产生关键影响,因此必须加以区分。如果认为“系统采样”的重点在“采样”,那么“干扰”的就是采样,只不过采样是由系统进行的采样。如果这样理解,那么“干扰系统采样”和“干扰采样”就没有实质区别,“系统”在这里是可有可无的修饰语,只是表明采样由系统完成。因此,干扰行为并不需要直接针对计算机信息系统,而是应直接针对采样行为。以物理方式干扰采样的行为,很明显对系统的采样行为造成了干扰,故符合司法解释的规定。然而,这样的解释和前文基于《刑法》第286条第1款的要求并不相符。因此,对“干扰系统采样”必须采取第二种解释,即“系统采样”的重点在“系统”,而非“采样”。基于这种理解,“干扰”直接修饰的就是“系统”,而“采样”只是系统进行的活动。这就表明了干扰行为与计算机信息系统之间的直接关联性,干扰采样的行为应当直接针对计算机信息系统。事实上,在本文看来,“干扰系统采样”这样的表述并不十分合适。这一表述的模糊性很容易导致司法者认为干扰行为针对的是采样而非系统,从而认为以物理方式干扰采样的行为也属于破坏计算机信息系统罪规定的行为方式。在修改时增加“系统”一词,很可能是强调“系统”作为行为对象的重要性。但是,在语境中,人们很容易忽视“系统”的重要性,司法解释增加“系统”的目的也并未达到。
除此之外,更为重要的是,2023年《解释》把2016年《解释》中的“致使监测数据严重失真”修改成“致使监测数据因系统不能正常运行而失真”,这就格外强调了监测数据失真的原因是系统不能正常运行,而非样本发生变化。因此,如果严格根据2023年《解释》,就可以将未直接针对计算机信息系统的干扰行为,以及系统依然能正常运行、但监测数据却因样本变化而失真的情况出罪。
而针对《刑法》第286条第2款,2016年《解释》仅规定了“修改参数或监测数据”。与《刑法》第286条第2款相比,2016年《解释》并未强调数据应当位于计算机信息系统内。然而,即便如此,对2016年《解释》这一规定的理解也不能突破罪刑法定原则的限制。对于那些修改计算机信息系统外部数据而非内部参数或数据的行为,即便造成了计算机信息系统无法正常运行,也不能根据2016年《解释》认定为破坏计算机信息系统罪。2023年《解释》在2016年《解释》的基础上,将“修改参数或监测数据”修改成“修改系统参数或者系统中存储、处理、传输的监测数据”。这一修改特别强调了数据应当是系统中存储、处理和传输的数据,这也和刑法规定保持一致。因此,无论依据哪个司法解释,以物理方式干扰采样的行为都因为没有对计算机信息系统内的参数或数据进行修改,不能被认定为修改系统中的数据。
综上所述,从2016年《解释》到2023年《解释》,相关规定在文字表述上更加接近《刑法》第286条。但无论司法解释的文字如何表述,在理解上都必须严格遵循罪刑法定原则。2023年《解释》出台后,由于相关规定更加细致具体,一些可能影响罪与非罪的关键要素都被明确规定在了条文之中,因此在适用时理应更加清晰明确。具体而言,干扰行为的对象必须为计算机信息系统本身,干扰行为必须造成计算机信息系统不能正常运行,而非仅仅是目的无法实现。监测数据失真的原因也在于计算机信息系统不能正常运行。当然,尽管2023年《解释》中有更多与刑法条文一致的表述,但也应回归《刑法》第286条的规定,正确把握行为对象和保护法益,尤其是要正确区分“系统不能正常运行”和“系统目的无法实现”。
2023年《解释》吸收了刑法条文中的重要表述,因此即便司法者再盯着司法解释而忽略刑法规定,也应得出正确的结论。然而,如前所述,司法解释的制定者还是认为以物理方式干扰采样的行为构成破坏计算机信息系统罪。之所以如此,并非因为司法解释制定者忽视了《刑法》第286条对构成要件和保护法益的要求,也并非因为司法解释制定者不同意破坏计算机信息系统罪的保护法益是计算机信息系统的正常运行,而是因为司法解释制定者对“计算机信息系统功能”和“计算机信息系统无法正常运行”的含义理解出现了偏差,混淆了“计算机信息系统正常运行”和“计算机信息系统的目的实现”。因此,2023年《解释》出台后,正确认定以物理方式干扰采样行为的性质,关键可能不在于回归《刑法》条文(因为条文中的重要概念都已经被2023年《解释》吸收),甚至也不在于从概念上确定破坏计算机信息系统罪的保护法益和构成要件(在同一概念之下,基于不同理解,完全可以得出不同结论),而是在于从内涵上正确界定破坏计算机信息系统罪的保护法益,以及“干扰”的含义,尤其是要区分计算机信息系统正常运行与计算机信息系统目的的实现,以免在表面上使用了正确的概念,实际上却错误地理解了内涵。
罪刑法定原则是刑法中的帝王条款,即便是司法解释也不得违背。在生态环境保护力度不断加大的政策背景下,将刑法作为打击破坏环境行为的工具,似乎行之有效,但却对罪刑法定原则带来极大挑战,值得我们警惕。目前,司法实践中普遍存在将以物理方式干扰采样的行为认定为破坏计算机信息系统罪的现象,并且随着2016年《解释》和2023年《解释》的出台,有逐渐扩大适用的趋势。以最高人民法院第104号指导性案例为代表,这类判决往往都存在用司法解释架空刑法条文、用保护法益架空构成要件、用系统目的无法实现代替系统不能正常运行这三方面问题,导致定罪错误,需要用教义学方法加以纠正。本文认为,破坏计算机信息系统罪的保护法益应为个体法益而非集体法益,具体而言应为计算机信息系统的正常运行,而非系统目的的实现。《刑法》第286条第2款的保护法益与第1款和第3款完全相同,并非数据安全。《刑法》第286条第1款中的“干扰”无论是否属于“删除、修改、增加”的兜底规定,都应当从行为对象和保护法益两方面对其进行限制。一方面,干扰行为必须直接针对计算机信息系统实施;另一方面,干扰行为必须损害本罪保护法益,造成计算机信息系统无法正常运行,而非仅仅是计算机信息系统的目的无法实现。在以物理方式干扰采样的案件中,行为人的行为针对的是外在于计算机信息系统的样本,而非计算机信息系统本身,因此并不符合干扰行为的对象要求;并且这样的行为也只是导致环境监测设备的目的无法实现,无法反映真实环境中的数据,但环境监测设备本身仍然能够正常运行,能够正确输出更换样本后的相应数值。因此,此类行为不符合《刑法》第286条第1款的规定。就第2款而言,样本并不属于通常意义下的“数据”,也并不在计算机信息系统中,更换、稀释样本的行为也很难被评价为“修改数据”,故此类行为也不符合第2款的规定。强行认为以物理方式干扰采样的行为符合《刑法》第286条第2款,就超出了可能语义的范围,属于类推适用,违反罪刑法定原则。最后,以物理方式干扰采样的行为显然更不可能符合第3款。至此便可以得出结论:以物理方式干扰采样的行为并不构成破坏计算机信息系统罪。
此外,由于2016年《解释》和2023年《解释》对以物理方式干扰采样的行为都做出了规定,并且实践中法院往往直接根据司法解释定罪,故本文还特别讨论了2016年《解释》和2023年《解释》的理解问题。本文认为,对司法解释的理解也必须遵循罪刑法定原则,不能脱离刑法规定,完全根据处罚必要性进行解释。基于罪刑法定原则,要认定行为属于破坏计算机信息系统罪下的干扰行为,必须要符合前述对行为对象和法益的要求。更何况2023年《解释》在表述上进行了调整,吸收了《刑法》第286条中的重要表述,与刑法规定更加接近。司法机关应当在准确理解刑法规定的基础之上适用司法解释,尤其是注重区分计算机信息系统本身和外在于计算机信息系统的样本,区分计算机信息系统无法正常运行和计算机信息系统的目的不能实现,对并非直接针对计算机信息系统而实施的、并未造成计算机信息系统无法正常运行的干扰采样行为予以坚决出罪,避免做出违背罪刑法定原则的类推适用。
注释:
① 李森、何利民、张锋勃等人破坏计算机信息系统案,陕西省西安市中级人民法院(2016)陕01刑初233号刑事判决书;张某等破坏计算机信息系统案,陕西省高级人民法院(2017)陕刑终271号刑事判决书;臧满良等破坏计算机信息系统案,河北省保定市莲池区人民法院(2018)冀0606刑初38号刑事判决书;钱某某破坏计算机信息系统案,河北省邢台市南和区人民法院(2020)冀0506刑初94号刑事判决书;刘某某、时某某破坏计算机信息系统案,河北省邢台市南和区人民法院(2020)冀0527刑初63号刑事判决书。
② 王小晏破坏计算机信息系统案,四川省绵阳市安州区人民法院(2022)川0724刑初12号刑事判决书;郭言龙、汪清景破坏计算机信息系统案,浙江省瑞安市人民法院(2020)浙0381刑初869号刑事判决书;福建省长乐市金某印染有限公司、林官月、刘信锦等破坏计算机信息系统案,福建省长乐市人民法院(2019)闽0182刑初396号刑事判决书;胡端忠等破坏计算机信息系统案,北京市通州区人民法院(2017)京0112刑初1070号刑事判决书;张学周破坏计算机信息系统案,云南省芒市人民法院(2019)云3103刑初245号刑事判决书;罗炎生、杨文军破坏计算机信息系统案,江西省丰城市人民法院(2018)赣0981刑初581号刑事判决书。
③ 乐清市紫恒生态环保科技有限公司、陈荣、张徐云等破坏计算机信息系统案,浙江省乐清市人民法院(2020)浙0382刑初474号刑事判决书;盐城金某纺织工艺有限公司、胡某某等破坏计算机信息系统案,江苏省盐城市大丰区人民法院(2019)苏0982刑初46号刑事判决书
④ 孙某某、林某某、赵某某破坏计算机信息系统案,山东省高密市人民法院(2020)鲁0785刑初439号刑事判决书。
⑤ 胡端忠等破坏计算机信息系统案,北京市通州区人民法院(2017)京0112刑初1070号刑事判决书。
⑥ 张学周破坏计算机信息系统案,云南省芒市人民法院(2019)云3103刑初245号刑事判决书。
⑦ 本案其他争议问题包括环境监测系统是否属于计算机信息系统、“后果严重”的认定、破坏计算机信息系统罪与渎职犯罪的区分等,但本文讨论的问题是此类行为能否被评价为破坏计算机信息系统的行为。
⑧ 类似认为保护法益为国家对计算机信息系统安全的管理秩序的观点,可参见王作富主编:《刑法分则实务研究(中)》,中国方正出版社2010年版,第1209页。