本条是关于非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪及其刑罚的规定。
本条共分四款。第一款是关于非法侵入计算机信息系统罪及其处罚的规定。
构成本罪应当符合以下条件:第一,必须是违反国家规定。
这里所说的“违反国家规定”,是指违反国家关于保护计算机安全的法律和行政法规。
如《计算机信息系统安全保护条例》第四条规定:“计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。”
第二,行为人实施了侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。
所谓“侵入”,是指未取得国家有关主管部门合法授权或批准,通过计算机终端访问国家重要计算机信息系统或者进行数据截收的行为。
实践中,主要表现为行为人利用自己所掌握的计算机知识、技术,通过非法手段获取指令或者许可证明,冒充合法使用者进入国家重要计算机信息系统;采用计算机技术进行攻击,闯过或者避开安全防卫进入计算机信息系统;有的甚至将自己的计算机与国家重要计算机信息系统联网。
这里的“侵入”是故意行为,即行为人明知自己的行为违反国家规定会产生非法侵入的危害结果,而希望这种结果发生;如果行为人过失进入国家重要的计算机信息系统的,不构成本罪。
第三,本罪的犯罪对象仅限于国家事务、国防建设、尖端科学技术领域的计算机信息系统。
这里所说的“计算机信息系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。国家事务、国防建设、尖端科学技术领域的计算机信息系统,涉及国家秘密等事关国家安全等重要事项的信息的处理,应当予以特殊保护。
因此,行为人不论其侵入的动机和目的如何,也不需要在侵入后又实施窃取信息、进行攻击等侵害行为,只要侵入家事务、国防建设、尖端科学技术领域的计算机信息系统即构成犯罪。对于侵入国家事务、国防建设、尖端科学技术领域以外的其他计算机信息系统,不构成本罪。
构成本款规定的犯罪,处三年以下有期徒刑或者拘役。
第二款是关于非法获取计算机信息系统数据、非法控制计算机信息系统罪及其处罚的规定。根据本款的规定,行为人构成本罪须要同时具备以下条件:
第一,行为人实施了非法获取他人计算机信息系统中存储、处理或者传输的数据的行为,或者实施了对他人计算机信息系统进行非法控制的行为。
(1)非法获取他人计算机信息系统中存储、处理或者传输的数据的行为。
“获取”包括从他人计算机信息系统中窃取(如直接侵入他人计算机信息系统,秘密复制他人存储的信息),也包括骗取(如设立假冒网站,在受骗用户登录时,要求用户输入帐号、密码等信息)。
计算机信息系统中“存储”的数据,是指在用户计算机信息系统的硬盘或其他存储介质中保存的信息,如用户计算机中存储的文件。
计算机信息系统中“处理”的数据,是指他人计算机信息系统正在运算中的信息。
计算机信息系统中“传输”的数据,是指他人计算机信息系统各设备、设施之间,或者与其他计算机信息系统之间正在交换、输送中的信息,如敲击键盘、移动鼠标向主机发出操作指令,就会在键盘、鼠标与计算机主机之间产生数据的传输。
“存储”“处理”“传输”这三种形态,涵括了计算机信息系统中所有的数据形态,不论行为人非法获取处于哪种形态的数据,均符合法律的规定。
(2)对他人计算机信息系统实施非法控制。
“非法控制”是指通过各种技术手段,使得他人计算机信息系统处于其掌控之中,能够接受其发出的指令,完成相应的操作活动。
例如,通过给他人计算机信息系统中植入“木马程序”对他人计算机信息系统加以控制,可以“指挥”被控制的计算机实施网络攻击等活动。
非法控制包括对他人计算机实现完全控制,也包括只实现对他人计算机信息系统的部分控制,不论实际控制的程度如何,只要能够使他人计算机信息系统执行其发出的指令即可。
非法控制他人计算机信息系统,只要求行为人采用侵入等技术手段对他人计算机进行了实际控制,行为人在对他人计算机信息系统加以控制的,即可构成犯罪,并不要求一定要实施进一步的侵害行为。
这样规定是考虑到非法控制他人计算机信息系统,往往是为进一步实施其他违法犯罪行为做准备,具有很大的潜在危险性。有的案件中行为人非法控制数十万甚至上百万台联网计算机,组建“僵尸网络”。
如果行为人操纵这些被控制的计算机实施拒绝服务攻击等网络破坏活动,后果将非常严重。
因此,对非法控制他人计算机信息系统的行为,情节严重的,有必要在其尚未实施进一步的侵害活动时,即予以打击。
需要说明的是,本款是针对非法控制计算机信息系统行为作出的规定,如果行为人实施非法控制后,进一步实施其他危害行为,可能构成刑法规定的其他犯罪。
例如,非法获取他人网上银行帐号、密码用于盗窃财物的,对电力、电信等计算机信息系统实施非法控制并从事危害公共安全的破坏活动的,这就需要司法机关根据案件的具体情况,选择适用相应的法律规定。
第二,行为人非法获取他人计算机信息系统中的数据或者对他人计算机信息系统加以非法控制,是基于“侵入或者其他技术手段”。
这里所说的“侵入”是指未经授权或者他人同意,通过技术手段进入计算机信息系统。
例如,通过技术手段突破他人计算机信息系统安全防护设置,进入他人计算机信息系统;入侵他人网站并植入“木马程序”,在用户访问该网站时,伺机侵入用户计算机信息系统;建立色情、免费软件下载等网站,吸引用户访问并在用户计算机信息系统中植入事先“挂”好的“木马”程序。
不论行为人采用何种手法,其实质是违背他人意愿,进入他人计算机信息系统。
违背他人意愿,包括行为人采用技术手段强行进入,如破坏他人计算机安全防护系统进入,也包括未征得他人同意或者授权擅自进入。
“其他技术手段”是关于行为人可能采用的手段的兜底性规定,是针对实践中随着计算机技术的发展可能出现的各种手段作出的规定。
刑法之所以将行为人非法获取他人计算机信息系统中的数据或者对他人计算机信息系统实施非法控制的手段限定在“侵入”或“其他技术手段”,是因为本罪是针对互联网上各种危害计算机网络安全的犯罪作出的规定。
至于采用网络技术手段以外的其他手段,如进入他人办公室直接实施秘密复制行为的,不属于本款规定的行为。
第三,行为人的行为达到“情节严重”的,才构成犯罪。
根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条第一款的规定,非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为“情节严重”:
(1)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(2)获取第一项以外的身份认证信息五百组以上的;
(3)非法控制计算机信息系统二十台以上的;
(4)违法所得五千元以上或者造成经济损失一万元以上的;
(5)其他情节严重的情形。
构成本款规定的犯罪,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。这里所说的是“情节特别严重”,根据上述解释第一条规定,具有下列情形之一的,应当认定为“情节特别严重”:
(1)数量或者数额达到“情节严重”第一项至第四项规定标准五倍以上的;
(2)其他情节特别严重的情形。
需要注意的是,本条第一款的规定,体现了对国家事务、国防建设、尖端科学技术领域的计算机信息系统安全的特殊保护。
从法定刑的设置看,有本条第一款行为的,最高判处三年有期徒刑,有本条第二款行为的,即侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统以外的其他普通计算机信息系统的,最高判处七年有期徒刑,似乎侵入需要加以特殊保护的国家事务、国防建设、尖端科学技术领域的计算机信息系统,其法定刑还不如侵入这些重要信息系统之外的其他普通计算机信息系统的法定刑高。
实际上本条第一款规定的犯罪与第二款规定的犯罪在构成犯罪的条件上具有较大差别。侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统犯罪,只要行为人实施了侵入行为,即可构成。
而本条第二款规定的犯罪,不仅要有侵入行为,还要有侵入计算机信息系统后从事非法获取计算机信息系统中的信息,或者对计算机信息系统实施非法控制的行为,仅实施侵入行为不构成本罪。
因此,从构成犯罪的条件看,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统犯罪的入罪门槛更低。
另外,如果行为人侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统后,从事非法获取这些计算机信息系统中存储、处理、传输的信息的,还可能构成窃取、刺探国家秘密罪、间谍罪等严重犯罪,应当依照处罚较重的相关犯罪追究刑事责任,而不再按照本条第一款的规定处罚,因此,其实际适用的刑罚远重于本条第二款规定的刑罚。
第三款是关于提供侵入、非法控制计算机信息系统程序、工具罪及其处罚的规定。
本款的“提供”包括出售等有偿提供,也包括提供免费下载等行为;包括直接提供给他人,也包括在网上供他人下载等。根据本款规定,为他人提供实施侵入、非法控制计算机信息系统的程序、工具的行为包括两种情形:
一是提供专用程序、工具。
这是指行为人所提供的程序、工具只能用于实施非法侵入、非法控制计算机信息系统的用途。
例如,为他人提供专门用于窃取网上银行帐号的“网银木马”程序。由于所提供程序、工具的用途本身足以表明该程序、工具的违法性,进而表明行为人主观上对其所提供程序将被用于非法侵入、控制他人计算机信息系统的情况是明知的,因此,法律规定提供实施侵入、非法控制计算机信息系统专用程序、工具的,即可构成犯罪。
根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条的规定,具有下列情形之一的程序、工具,应当认定为“专门用于侵入、非法控制计算机信息系统的程序、工具”:
(1)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;
(2)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;
(3)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。
二是行为人明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具。这是指从行为人所提供的程序、工具本身的属性看,可以用于非法用途,也可以用于合法用途,即仅凭程序、工具本身的性质尚不能够完全确定行为人所实施行为的违法性。
这种情况下,行为人是否构成犯罪,就需要考虑其主观方面对其行为的性质是否有明确的认识。
明知而故犯的,应当依照本款的规定予以追究。对确实不知他人将其所提供的程序、工具用于实施非法侵入、非法控制计算机信息系统的违法犯罪行为的,不构成犯罪。
根据本款规定,行为人的行为“情节严重”的,才构成犯罪。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第三条第一款的规定,提供侵入、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为“情节严重”:
(1)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;
(2)提供第一项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的;
(3)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的;
(4)明知他人实施第三项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的;
(5)违法所得五千元以上或者造成经济损失一万元以上的;
(6)其他情节严重的情形。
根据本款规定,构成犯罪的,依照前款的规定处罚,即处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
这里所说的“情节特别严重”,根据上述解释第三条第二款的规定,具有下列情形之一的,应当认定为提供侵入、非法控制计算机信息系统的程序、工具“情节特别严重”:
(1)数量或者数额达到“情节严重”第一项至第五项规定标准五倍以上的;
(2)其他情节特别严重的情形。
第四款是关于单位犯罪的规定。
单位实施前三款规定的行为,根据本款规定构成相应的单位犯罪,采取双罚制,既要对单位判处罚金,又要追究单位直接负责的主管人员和其他直接责任人员的刑事责任。
根据最高人民法院2001年印发供法院参照执行的《全国法院审理金融犯罪案件工作座谈会纪要》,“直接负责的主管人员”,是在单位实施的犯罪中起决定、批准、授意、纵容、指挥等作用的人员,一般是单位的主管负责人,包括法定代表人。
“其他直接责任人员”,是在单位犯罪中具体实施犯罪并起较大作用的人员,既可以是单位的经营管理人员,也可以是单位的职工,包括聘任、雇佣的人员。
对单位犯罪中的直接负责的主管人员和其他直接责任人员,应根据其在单位犯罪中的地位、作用和犯罪情节,分别处以相应的刑罚,主管人员与直接责任人员,在个案中,不是当然的主、从犯关系,有的案件,主管人员与直接责任人员在实施犯罪行为的主从关系不明显的,可不分主、从犯。
但具体案件可以分清主、从犯,且不分清主、从犯,在同一法定刑档次、幅度内量刑无法做到罪刑相适应的,应当分清主、从犯,依法处罚。
