最高检第九批指导性案例解读（上）

来源：冠衡律师事务所（微信号：grandkenlaw）
发表时间：2017-11-05
全文：
10月12日最高人民检察院印发了第九批指导性案例，主要关注的是计算机信息系统安全领域的刑事犯罪。最高检用6个案例比较全面的展现了当前刑事司法实践在计算机信息系统安全风险问题上的规制措施以及规制的深度。在冠衡所工位上学习指导案例的过程中，作者研究、总结了一些比较有普遍性的问题。在此分享给大家，欢迎大家的讨论和指正。

一、刑法保护的计算机信息系统的范围
（一）界定的困难
在最高检第九批指导案例中，第33、34、35号案例均涉及破坏计算机系统罪。在第35号指导案例“曾兴亮、王玉生破坏计算机信息系统案”中，判例明确地将智能手机终端划入刑法保护的“计算机信息系统”的范围之内。最高检认为“智能手机和计算机一样，使用独立的操作系统、独立的运行空间，可以由用户自行安装软件等程序，并可以通过移动通讯网络实现无线网络接入，应当认定为刑法上的‘计算机信息系统’”。最高检的上述表述，基本上和通行的智能手机定义一致。智能手机完全可以作为“计算机信息系统”受到刑法保护。不过，智能手机的特征并不能完全等同于“计算机信息系统”的特征。很明显地可以看到，计算机信息系统的范围应该是远远大过智能手机的范围。

第33号案例中的犯罪行为是修改网站域名解析指向，劫持互联网流量；第34号案例是通过欺骗客服以删改购物网站差评信息。第35号案例中的表述很难与其他案例中的表述建立联系，不同案例中的“计算机信息系统”并没有显著的共性。智能手机作为终端设备与域名解析系统、购物网站评价系统这些包含服务器端设备在内的计算机信息系统之间的差别是显而易见的。而且，三种不同的“计算机信息系统”实际上又都是依托于互联网建立的，确定系统在多大范围内可以独立运行并划分系统功能边界十分困难。因此，实践中很少会通过物理设备来界定“计算机信息系统”，甚至大部分案例中法院都选择回避如何界定“计算机信息系统”的问题。

第33、34号案例对计算机信息系统的表述，更接近一种抽象的功能描述，缺乏明确具体的认定标准。破坏计算机信息系统罪规定在《刑法》第二百八十六条[①]，在刑法条文表述上就没有对计算机信息系统进行明确的定义。刑法第二百六十八的条文表述更多地强调破坏计算机信息系统的手段、方式，而对其保护的对象缺乏明确的界定。最高人民法院、最高人民检察院在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条[②]将计算机信息系统定义为“指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等”，将“自动处理数据功能”作为计算机信息系统的核心特征。但从后面列举的设备来看，“处理”包括了输入、输出、传输等等内容，这仍然是一个十分笼统的定义。

于是，我们在国务院于2011年颁布实施的《计算机信息系统安全保护条例》中找到了对“处理”的定义。该条例第二条就将“计算机信息系统”定义为：“由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”把“采集、加工、存储、传输、检索”等操作都包括在“处理”的定义之内。同时，又从物理设备构成的角度对计算机信息系统进行一定的界定。表面上看，这样的表述使“计算机信息系统”的形象更为具体，易于操作和适用。深究的话，就会暴露出循环定义的问题。一台家用电脑作为一个计算设备，已经足以建构一个“计算机信息系统”。不过这倒是反映出“计算机”及“计算机信息系统”在一般人（甚至包括立法者在内）观念中是何等自明的一个概念。

计算机信息系统的物理载体和刑法制定时相比，已经有了很明显的变化。信息处理能力的增加、人工智能的发展，同样也深刻地改变着人们对计算机信息系统的认知和理解，并且这种变化发生得十分自然。如果不是有意地回忆起十年前的情景，就不会有任何的察觉。但这却是司法上难以回避的难题，司法适用中在对法条进行解释时一个重要的参考因素就是所谓的立法精神。即便情形已经发生如此的剧变，我们仍要以十几、二十几年前立法时的目的作为适用的指导。这也就导致计算机相关犯罪（当然还有各种类型的网络犯罪）在刑法适用上的困难。很多情况下，法院会回避这类犯罪的认定，改用其他罪名，例如适用非法经营罪等罪名对涉及计算机信息系统的犯罪定罪处罚。根据目前网络上公开的判决文书来看，13年之前，破坏计算机信息系统每年的判例都只有个位数。随着13年最高法公报刊载了破坏计算机信息系统罪的案例之后，情况才有所好转，判例数量才有显著上升。截止到9月，2017年光是检察机关提起公诉的涉及计算机犯罪的案件数量就已经同比上升了超过80%。[③]除了法律表述的含糊、案件数量的上升之外，计算机信息系统相关犯罪的多样化等问题，也使得作者在试图总结相关判例时头痛不已。不过，我们还是从法律规定和判例中找到了不少规律。

（二）刑事司法实践中的计算机信息系统
对比前面司法解释、指导案例以及行政法规中“计算机信息系统”的三个定义，从制定时间、制定主体、专业程度等方面综合来看，《计算机信息系统安全保护条例》对“计算机信息系统”的定义显然更为贴切。从法律效力的角度来看，最为贴切的定义并不能直接适用于刑事司法。破坏计算机信息系统与内幕交易、虚开增值税专用发票等犯罪不同，并非“行政犯”。《计算机信息系统安全保护条例》并不能作为法律认定的依据。因此，这里我们仅是“参照”这一官方的定义去理解刑事司法实践中对计算机信息系统的认定。参照该定义，在一定的功能目的下，着眼于信息处理和人机交互的特征，可以帮助我们确定计算机信息系统刑事司法保护范围的边界，而不必“笨拙地”通过列举物理设备来认定计算机信息系统。

首先，参照《计算机信息系统安全保护条例》的定义，基于一定功能的信息处理和人机交互作为特征，判断是否构成“计算机信息系统”的方法。完全可以适用于最高检的三个指导案例，最终的认定结论是一致的。尽管功能目的上有所不同，但无论是域名解析、购物评价还是智能手机终端，信息处理和人机交互的特征对于“计算机信息系统”而言是不可或缺的。

其次，在认定是否构成破坏计算信息系统罪时，还要结合涉案计算机信息系统的功能。在我们通常理解的计算机信息系统中，该系统似乎应该是具有多样功能，并具有一定可拓展性的。刑事司法意义上的“计算机信息系统”并非如此，仅具有不可变更的单一功能亦可以认定为“计算机信息系统”。例如，（2016）湘0722刑初95号判决“许某某破坏计算机信息系统案”中，法院认定的计算机信息系统是泵车设备上的GPS信息系统。法院认为，该系统具备自动采集、处理、存储、回传、显示数据和自动控制设备的功能，因此可以认为是“计算机信息系统”。因此，指导案例中的域名解析系统和购物评价系统，即使其复杂的架构、组成所实现的功能是单一的，也不会影响司法机关将其认定为“计算机信息系统”并予以保护。

最后，回到刑法第二百六十八条的条文表述。该条从“功能”的“正常运行”和“数据”两个方面，对破坏计算机信息系统的行为进行了界定。从信息处理和人机交互的特征入手，确定了计算机信息系统之后，就需要对破坏行为进行认定。按照我们前面的定义，“计算机信息系统”被当做一种抽象的功能实体。那么，针对它的破坏行为就很难等同于物理意义上的破坏。

在33号指导案例“李丙龙破坏计算机信息系统案”中，破坏行为是这样被描述的：“李丙龙冒充某知名网站工作人员，采取伪造该网站公司营业执照等方式，骗取该网站注册服务提供商信任，获取网站域名解析服务管理权限……李丙龙通过其在域名解析服务网站平台注册的账号，利用该平台相关功能自动生成了该知名网站二级子域名部分DNS（域名系统）解析列表，修改该网站子域名的IP指向，使其连接至自己租用境外虚拟服务器建立的赌博网站广告发布页面。”

第34号案例的描述为：“李骏杰冒用买家身份，骗取客服审核通过后重置账号密码，登录该购物网站内部评价系统，删改买家的中差评”；第35号案例的破坏行为的描述为：“利用苹果手机相关功能将被害人的手机设置修改，并使用“密码保护问题”修改该ID的密码，从而远程锁定被害人的苹果手机”

第33、34号案例“破坏”的是承载特定信息的数据，第35号案例“破坏”的是计算机信息系统的人机交互界面。也许罪犯们会辩解道：“我只是锁定了他的手机而已，解锁了手机就能正常使用。所以我没有破坏他手机上的计算机信息系统的任何功能。”或者“我只是修改域名指向（差评信息）而已，域名解析（网站评价）的功能还在那里，还能继续使用，所以我没有任何可以称之为破坏的行为”。

域名解析功能要求域名解析之后指向的地址是运营商提供的、用户想要访问的、正确的网站地址。修改域名解析系统的数据篡改指向的网站地址，“破坏”了这一功能的实现。删改网站评价系统的差评信息导致商品评价不能反映消费者的实际体验，违背了该系统设立的初衷、妨碍了其显示用户消费体验功能的实现。针对“计算机信息系统”这一抽象的功能实体的破坏行为，一定是由功能实现上的负面影响来体现。

以上的讨论围绕的是如何界定“计算机信息系统”以及“破坏”计算机信息系统的行为。如果认定成立犯罪，还需要有《刑法》第二百八十六条规定的“后果严重”的情节。对于“后果严重”，司法解释已经给出了十分明确、具体的标准，在此不做赘述。接下来我们将转向另一个主题的讨论，网络虚拟财产的认定。（未完待续）

注释：
[1] 《刑法》第二百八十六条：
“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。
违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。
单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。”
[2] 《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条：
“本解释所称‘计算机信息系统’和‘计算机系统’，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。
本解释所称‘身份认证信息’，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。
本解释所称‘经济损失’，包括危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。”
[3] http://news.sina.com.cn/o/2017-10-17/doc-ifymvece2258850.shtml

本网站文章仅代表作者个人观点，不代表本网站的观点与看法。
本文转自中国律师网，版权属原作者所有。如有问题，敬请及时联系我们。