非法获取计算机信息系统数据罪-破坏计算机信息系统罪之刑法规范
一、破坏计算机信息系统罪之刑法规范调适
破坏计算机信息系统罪在司法实践中出现的各种乱象,是传统危害计算机信息系统犯罪在信息网络犯罪行为不断更新迭代下规制不适的一个缩影。刑事立法中任何犯罪的设立都有其时代背景和立法局限。在网络犯罪不断发展的时代背景下,破坏计算机信息系统罪作为传统的计算机犯罪,一方面在贯彻罪刑法定原则下应尽可能激发其规制的潜力,另一方面对于本罪的规制功能也应有清醒的认识,避免其成为打击信息网络犯罪的“万能钥匙”。通过对破坏计算机信息系统罪司法实践的梳理和问题原因的分析,笔者认为,为更好地发挥破坏计算机信息系统罪打击犯罪和保障自由的刑法功能,需要从以下两个方面做出调整。
(一)宏观思路:法益保护的明确和制裁思路的转变
1.明确法益范围:以“计算机信息系统的运行安全”为具体法益
法益即刑法保护的利益,是刑法学理论中的基础性概念。尽管法益是一个颇具争议性的概念,但人们已基本达成共识,也即法益是刑法建立刑罚正当性的前提和特定行为入罪化的实质标准。法益具有立法上确定犯罪和法定刑的指导功能,也有司法上对构成要件进行解释的功能。法益的保护范围决定着一个犯罪刑法规范的边界。从刑法理论而言,刑法保护的都是具体的法益,并且刑事立法上规定的具体罪名都有其所保护的特定法益。如果一个犯罪在设置刑法规范时所保护的法益过于宽泛,则可能导致这个犯罪与其他犯罪的界限难以区分,也可能导致这个犯罪在司法实践中被进一步地“口袋化”。
由上分析,从破坏计算机信息系统罪目前的刑法规范设置来看,立法者在设置此罪时所要保护的法益范围并不明确。除了计算机信息系统运行安全被一致认可为破坏计算机信息系统罪所保护的法益外,也有观点认为破坏计算机系统所保护的法益还包括计算机信息系统中数据的安全以及计算机信息系统所有人与合法用户的合法权益。
对于计算机信息系统的运行安全,是破坏计算机信息系统罪设置时需要最直接保护的利益,理应属于破坏计算机信息系统罪的保护法益,而对于计算机信息系统中数据的安全和计算机信息系统所有人与合法用户的合法权益是否应该成为破坏计算机信息系统罪的法益,则需要进一步地辨析。
笔者认为,计算机信息系统中的数据安全法益和所有人与合法用户的合法权益这两种法益都不应成为破坏计算机信息系统罪所要保护的法益。
首先,数据安全法益有其独立的内涵,不属于破坏计算机信息系统罪专门保护的法益。在大数据时代,数据不仅属于计算机信息系统的重要组成部分,而且很多情况下有其独立的财产价值和附着的人身利益。在计算机信息系统中存储、传输和处理的很多数据并不与计算机信息系统的运行有直接的关联,而是有其自身独立的价值。如教务信息管理系统中的学生信息,工商行政管理系统中的企业信息,以及游戏网站中的账户数值,这些数据信息直接体现的是数据拥有主体的人身利益或财产价值,与计算机信息系统本身的运行安全并没有直接的关联。
换言之,对这些数据信息的删除、增加、修改并不会导致计算信息系统不能正常运行,而更多损害的是数据拥有者的相关权益。如果用破坏计算机信息系统罪强行去规制这些犯罪行为,则会突破破坏计算机信息系统罪法益保护的范围,导致破坏计算机信息系统罪被口袋化,并且会更进一步地损害国民对犯罪的预测可能性。例如,在司法实践中,对于修改游戏账户中的账户值而进行盗窃的行为,检察机关以行为人对计算机信息系统中数据的增加指控构成破坏计算机信息系统罪。但行为人始终认为自己并没有删除、修改被害单位的计算机信息系统,没有导致计算机信息系统不能正常运行,即使有罪也不认为自己的行为构成破坏计算机信息系统罪。如果把这样的行为认定为破坏计算机信息系统罪,则在一定程度上会导致破坏计算机信息系统犯罪的认定与人们对破坏计算机信息系统罪的一般认识相去甚远,影响司法制裁的公信力。
其次,所有人与合法用户的合法权益这种法益过于模糊,应进行明确。刑法所保护的法益应是经验上可以把握的实体。“若保护的法益抽象得无法让人把握,则该对象不能被看做法益。例如,将无法还原为具体法益的社会秩序、工作秩序、社会心理秩序等作为保护法益,必然导致处罚范围的不确定。”具体犯罪的法益应该是具体明确的,而合法用户的合法权益却是广泛无边的。对这种合法权益应进行限制,以明确破坏计算机信息系统罪的法益保护范围。笔者认为,破坏计算机信息系统罪所保护的具体法益应是立法者设置此罪时确立的计算机信息系统的运行安全,不应包括计算机信息系统中的数据安全。而对于所有人与合法用户的合法权益也应限制在计算机信息系统运行安全这一具体的合法权益,由此明确破坏计算机信息系统罪的规制范围。
2.转变制裁思路:以专门的数据犯罪罪名制裁侵犯数据安全的行为
由上分析,随着大数据时代的到来,数据进一步显示出了其独立的价值功能,有其独立的法益。对于实践中出现的破坏计算机信息系统数据的行为,目前的司法实践部门基本以破坏计算机信息系统罪进行打击规制,这一司法实践的制裁思路理应得到转变。因为对计算机信息系统中数据的破坏毕竟不同于对计算机信息系统正常运行的破坏。计算机信息系统中的数据并不必然都直接与计算机信息系统的运行有关。由此,从宏观角度而言,应对计算机信息系数据与计算进信息系统中存储的其他数据进行区分,确立区分制的犯罪制裁思路,使破坏计算机信息系统罪回归本来的制裁范围,也使其他侵犯数据法益的行为用专门的数据犯罪罪名进行更好的打击制裁。
具体而言,应区分两种情况:
一是,对计算机信息系统数据采取各种破坏行为,造成计算机信息系统不能正常运行的,应以破坏计算机信息系统罪进行规制。这里的数据必须是与计算机信息系统运行有关的数据,属于计算机信息系统中系统功能、应用程序的组成部分,如计算机信息系统中的系统文件、数据库数据等。这些数据才是破坏计算机信息系统罪规制的范畴。
二是,对计算机信息系统中的数据实施侵害,根据数据所体现的不同法益用相应的罪名进行规制。事实上,我国刑法对数据信息的保护除了用计算机类犯罪罪名(非法获取计算机信息系统数据罪和破坏计算机信息系统罪)进行规制外,还有专门的数据犯罪罪名,如侵犯公民个人信息罪、侵犯商业秘密罪、非法获取国家秘密罪、泄露内幕信息罪等。当计算机信息系统中的数据属于上述特定性质的数据信息时,理应通过这些专门的数据犯罪进行制裁。
例如,对计算机信息系统中存储的有关个人身份的数据信息实施删除、增加、修改行为,其侵犯的更多的是公民个人信息法益,理应用侵犯公民个人信息类犯罪来进行规制。此外,对于计算机信息系统中有关财产性利益的数据,应适用相关的财产类犯罪来进行规制。如行为人在秘密情况下对游戏系统中账户数据的修改增加,在实际不支付钱款的情况下增加自己账户的游戏币,其客观上侵犯的是游戏公司的虚拟财产利益,而并没有导致游戏系统不能正常运行,在将虚拟财产普遍解释为财物的情况下,应适用盗窃罪进行规制。
由此,通过对计算机信息中的数据进行二元划分,转变破坏计算机信息系统罪对侵犯计算机信息系统数据行为一刀切的制裁思路,将侵犯计算机信息系统运行无关的数据行为进行分流制裁,用专门的数据犯罪罪名进行规制,可以避免破坏计算机信息系统罪与其他数据类犯罪在刑法适用上的规范含义,使破坏计算机信息系统罪回归到刑法本应规制的范围。
具体而言,破坏计算机信息系统罪第2款的规范内容应在法益保护范围的指导下进行修正。
一方面,将“导致计算机信息系统不能正常运行”明确作为《刑法》第286条第2款的构成要件,将条文设置成“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,导致计算机信息系统不能正常运行,后果严重的,依照前款的规定处罚”。从《刑法》第286条的规定来看,破坏计算机信息系统罪中危害到计算机信息系统运行安全的有两种不同表述,分别是第1款中的“导致计算机信息系统不能正常运行”和第3款中的“影响计算机系统运行”。
这两种表述的内涵并不一样,在危害后果的程度上有区别,前面一种的危害程度高,后面一种的危害程度低。至于采用哪一种表述,应结合不同破坏行为的特点,采用适合行为类型的罪状表述。从破坏计算机信息系统罪中犯罪行为的作用对象来看,计算机信息系统数据和应用程序与计算机信息系统功能都属于计算机信息系统内部的犯罪对象,而计算机病毒等破坏性程序属于计算机信息系统之间传播的破坏性因素。在司法解释中,对于“后果严重”的情形解释,是将数据和应用程序与功能放在同一条款同一层面进行解释,而对于破坏性程序“后果严重”的情形进行了单独解释。
从刑事立法设置体系思维的角度,对破坏计算机信息系统数据和应用程序类犯罪的构成要件的设置可以借鉴破坏计算机信息系统功能类犯罪的构成要件,在《刑法》第286条第2款中设置“导致计算机信息系统不能正常运行”的罪状描述,以此明确破坏计算机信息系统罪法益保护的范围。另一方面,明确《刑法》第286条第2款的规范含义,也即对破坏数据和应用程序类的行为只有导致计算机信息系统不能正常运行,达到司法解释中“后果严重”的情形,才能按破坏计算机信息系统罪定罪处罚。如果只是破坏计算机信息系统数据和应用程序,但没有导致计算机信息系统不能正常运行,即使符合司法解释规定的“后果严重”的情形,仍不能以破坏计算机信息系统罪认定。
2.司法层面:对破坏计算机信息系统罪进行合理的解释
鉴于刑法规范文本含义自身存在的弹性空间,不同的人可能出现不同的理解。因此,为了正确的理解和适用刑法的规定,对刑法规范的司法解释显得十分必要。但司法解释也有其弊端,如果进行不当的扩大解释或错误解释,则反而损害刑法条文本来的规范内涵。因此,司法解释需慎重,基本的解释原则就是必须在刑法文本语义射程的范围之内进行解释。并且,司法解释必须结合犯罪行为自身的特点进行有针对性的解释。对于破坏计算机信息系统罪,为明确其刑法条文的规范内涵和防止其“口袋化”趋势,除了立法上对构成要件进行限制外,在司法层面应主要从以下三个方面着手,对可能出现泛化理解的核心罪状进行合理的解释。
一是对计算机信息系统数据的规范内涵应进行严格的限制解释。对于计算机信息系统数据的含义,刑法的规定为“计算机信息系统中存储、处理和传输的数据”。在2011年的《解释》第4条第2项中也只是沿用刑法的规定,并没有进行进一步的阐释说明。根据刑法的文本描述,计算机信息系统中的一切数据都属于计算机信息系统数据。如对这一规定不进行限制解释,则必然导致破坏计算机信息系统罪的泛化趋势。因为,计算机信息系统中的数据既包括组成计算机信息系统的系统数据、系统文件,也包括在计算机信息系统中的但不属于计算机信息系统组成数据的数据,如计算机信息系统中存储的文字数据、图片数据、视频数据等,对这些数据的删除、增加、修改,并不会必然导致计算机信息系统不能正常运行,只是危害到了这些数据本身的完整性、保密性和可用性,侵犯的是数据法益而不是计算机信息系统运行安全这一法益。对这些数据法益的侵犯,应由相关的数据类犯罪进行规制,而不应由破坏计算机信息系统罪进行规制。在司法实践中,计算机信息系统数据应理解为影响计算机信息系统运行的数据。
二是对财产型的“后果严重”的情形应进行合理的限定。如上所述,根据2011年的《解释》第4条第3项的规定,只要违法所得5000元或者造成经济损失1万元就符合破坏计算机信息系统罪“后果严重”的标准。在司法实践中,这一财产型“后果严重”的定量标准容易使人形成只要达到数额标准就认为符合这一规定的认识,导致破坏计算机信息系统罪适用范围的不断扩大。应当对财产型“后果严重”的情形在理解适用时进行限定。具体而言,应从两个方面着手:
一是财产型的后果必须与破坏计算机信息系统行为具有关联性,也即违法所得和经济损失是基于实施了破坏计算机信息系统运行行为而产生。
二是财产型后果中的经济损失必须是给被害人造成的直接经济损失,也即破坏计算机信息系统行为与其所造成的经济损失必须具有直接的因果关系,而不包括间接的经济损失。如此,才能体现破坏计算机信息系统罪是出于对计算机信息系统运行安全的保护,而不是为了保护计算机信息系统中涉及的财产利益。
三是对“计算机信息系统不能正常运行”这一规范内涵应进行单独的解释。鉴于计算机信息系统属于专业的计算机技术领域的概念,司法实践中对何为“计算机信息系统不能正常运行”的规范含义并没有统一的认识,并且常让人产生歧义。这将直接影响司法实践中对破坏计算机信息系统行为进行准确的定罪量刑。因“计算机信息系统是否正常运行”属于破坏计算机信息系统罪中造成严重后果中的核心评价要素,有必要对此作出统一的规范。在司法实践中,计算机信息系统不能正常运行主要表现为行为人实施的破坏行为导致了计算机信息系统运行的崩溃、中断、迟缓、干扰、强制等情形。所以,在必要时应归纳总结实践中发生的计算机信息系统不能正常运行的情形,将其上升为司法解释规范进行明文规定,以更好地指导司法实践部门对“计算机信息系统不能正常运行”这一规范内涵的理解和适用。