非法获取计算机信息系统数据罪-危害计算机信息系统安全单位犯罪司法认定



1、危害计算机信息系统安全单位犯罪司法认定问题

1．1单位实施纯正自然人犯罪司法认定的理论与实践分歧
对于单位实施法律没有明文规定的犯罪行为如何定罪处罚，刑法理论与司法实践操作存在重大分歧。
刑法理论上的代表性观点认为，应当严格遵循罪刑法定原则不认定为犯罪。单位实施刑法没有规定明文规定的犯罪行为。涉及如何完善法律的问题，并非司法解释所能解决。在刑法没有做出修正或者制定立法解释以前，对司法实践中发生的此类行为，不宜对单位或者其直接负责的主管人员和其他直接责任人员追究刑事责任。刑法明确规定了罪刑法定原则，这一原则的主旨就在于“法无明文不为罪”、“法无明文不处罚”。
从犯罪行为的基本特征分析，有些行为虽然具有社会危害性，但是由于缺乏明确的法律依据，不具备刑事违法性和应受刑罚处罚性的特征，也不能作为犯罪处理。对予一些单位实施的刑法中没有明文规定为单位犯罪的行为，不论它是立法者有意为之，还是立法的疏漏，在法律作出修改、调整以前，必须坚持罪刑法定原则的基本要求。按照这种意见，单位实
施危害计算机信息系统安全行为的，无论是单位还是相关直接责任人员，均不能定罪处罚。
司法解释的—贯操作规则是提高追诉标准对相关直接责任人员定罪处罚。根据2002年最高人民检察院《关于剃立有关人员组织实施盗窃行为知何适用法律问题的批复》的规定，单位有关人员为谋取单位利益组织实施盗窃行为，情节严重的，应当依照刑法第二百六十四条的规定以盗窃罪追究直接责任人员的刑事责任。
同时，根据1998年最高人民法院《关于审理拒不执行判决、裁定案件具体应用法律若干问题的解释》第四条的规定，负有执行人民法院判决、裁定义务的单位直接负责的主管人员和其他直接责任人员，为了本单位的利益实施本解释第三条所列行为之；造成特别严重后果的，对该主管人员和其他直接责任人员依照刑法第三百一十三条的规定，以拒不执行判决、裁定罪定罪处罚。可见，司法解释的—贯操作办法是提高追诉标准追究直接责任人员的刑事责任，故对于单位实施的危害计算机信息系统安全犯罪，也应按此操作。

1．2以单位形式实施危害计算机信息系统安全犯罪的定罪处罚规则
根据《解释》第八条的规定，以单位名义或者单位形式实施危害计算机信息系统安全犯罪，达到本解释规定的定罪量刑标准的，应当依照刑法第二百八十五条、第二百八十六条的规定追究直接负责的主管人员和其他直接责任人员的刑事责任。从表面上分析，上述规定实际上延续了司法解释处理单位实施纯正自然人犯罪定罪处罚规则的—贯思路，并且，基于严惩危害计算机信息系统安全犯罪的考量，采用与个人犯罪、共同犯罪相同的定罪量刑标准直接追究相关单位人员的刑事责任。但是，笔者认为网络犯罪司法实务中不能机械地理解与贯彻《解释》第八条的规定，应当深入运用单位犯罪刑法原理，全面把握侵害信息网路安全犯罪的相关刑法条文关系，区分不同情形细致梳理以单位形式实施危害计算机信息系统安全犯罪行为的定罪处罚规则。
首先，应当准确把握涉案危害计算机信息系统安全犯罪行为是否具有单位犯罪的组织结构。单位犯罪本质上是一种广义的共犯结构——单位中具有法人代表权的成员基于单位利益实施相关犯罪行为，不仅存在单位成员之间整合而成的单位集体犯罪意志，而且存在单位成员个体与单位整体之间意思沟通。构成单位犯罪应当符合此类共犯结构的法律特征。我国刑法理论一般认为，单位犯罪是公司、企业、事业单位、机关、团体为本单位谋取非法利益，由单位决策机构按照决策程序决定，由直接负责的主管人员与其他直接责任人员具体实施的犯罪嘲。适用《解释》第八条的前提是“以单位名义或者单位形式实施危害计算机信息系统安全犯罪”，司法机关必须严格审查这种情况是否符合单位犯罪的规定。
以单位名义或者单位形式实施的危害计算机信息系统安全犯罪不能一律认定为单位犯罪。对于以单位名义或者单位形式实施的危害计算机信息系统安全犯罪且不符合单位犯罪法律特征的情形，《解释》第八条规定追究直接负责的主管人员和其他直接责任人员的刑事责任，实际上是根据网络犯罪技术含量高、犯罪环节分散化的特点，按照单位犯罪事实结构分析自然人共同犯罪的一种操作办法与规范指引，旨在合理限定承担网络共同犯罪责任的范围。
其次，应当厘清侵害信息网络安全犯罪相关刑法规范的法条关系，运用竞合犯原理对危害计算机信息系统安全单位犯罪进行定罪处罚。以单位名义或者单位形式出现的犯罪行为，只有符合单位集体意志特征且违法利益归单位所有，才能认定为单位犯罪。由于刑法第二百八十五条、第二百八十六条规定的相关危害计算机信息系统安全犯罪没有设置单位刑事责任条款，对于危害计算机信息系统安全行为构成单位犯罪的情形，不能直接对相关单位成员以刑法第二百／计五条、第二百八十六条的规定进行定罪处罚，也不能直接认定其不构成犯罪，而应当全面考量相关单位犯罪是否符合其他刑法条文规定。
根据刑法第二百八十七条的规定，利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。这是网络犯罪与其他经济犯罪法条竞合情形下的法定处断原则。根据刑法第二百五十三条的规定，窃取或者以其他方法非法获取网络金融服务身份认证等公民个人信息，构成非法获取公民个人信息罪，且该条明确规定了单位犯罪的刑事责任。所以，以单位名义或者单位形式获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息，构成单位犯罪的，应当按照刑法第二百五十三条非法获取公民个人信息罪定罪处罚，对单位判处罚金，对相关责任人员判处三年以下有期徒刑或者拘役，并处或者单处罚金。
第三，单位实施危害计算机信息系统安全犯罪且刑法相关条文均没有规定单位犯罪刑事责任的，在达到相关网络犯罪定罪量刑标准的情况下’可以对主管人员或直接责任人员进行定罪量刑，但应当充分考量犯罪利益归属于单位而未直接获取个人违法所得的事实，在量刑环节对相关责任人员进行从宽处理。
虽然刑法明确规定公司、企业、事业单位、机关、团体实施的危害社会的行为，法律规定为单位犯罪的，应当负刑事责任。对此，笔者认为，根据罪刑法定原则，法律没有规定为单位犯罪的，例如《解释》中涉及的相关网络犯罪，只是表明对实施此类行为的单位不能追究刑事责任，即单位主体具有刑事不可罚性。基于单位利益而由单位成员相互作用共同实施的危害信息网络安全的行为，实际上具备了自然人共同犯罪的共犯结构特征，符合刑法第二百／计五条、第二百．／计六条规定的，追究相关自然人的刑事责任，即使不提高追诉标准，亦不违反罪刑法定原则。所以，《解释》第八条的规定具有坚实的合法性基础。
相对于个人或者普通共同犯罪而言，单位组织结构下实施的危害计算机信息系统安全行为的犯罪数额更大，犯罪组织性更稳定，对信息网络安全的破坏力更强，不予追究刑事责任，显然在法益保护力度上不够充分。同时，根据单位双层犯罪机制理论，在单位犯罪结构中，第一层次是单位犯罪的表层结构，第二层次是自然人共同犯罪的深层结构。
其中，表层结构体现了单位人员对于单位整体的从属性；深层结构体现出单位人员个体行为与意志的独立性。单位人员以独立身份从事实践活动，明知行为社会危害性且拥有控制能力，为了单位利益实施犯罪行为，应当对行为承担刑事责任。
因此，单位实施的危害计算机信息系统安全犯罪不能追究单位主体的刑事责任并不意味着司法机关只能根据单位刑事责任中的双罚制条款对单位人员进行刑事归责。单位成员通过技术、信息、资金等环节的分工共同实施危害计算机信息系统安全犯罪行为，共同犯罪故意内容在为单位谋取利益层面形成意思联络与目的统一。符合单位犯罪法律条件的危害计算机信息系统安全犯罪行为尽管不能追究单位责任，却客观现实地存在着主管人员、直接责任人员之间的共犯结构与共犯关系。在单位无法直接构成相关危害计算机信息系统安全犯罪的情况下，在网络犯罪刑法解释上，可以穿越单位犯罪的表层结构，直接分析具有独立可罚性的单位成员共同犯罪的深层结构。对于达到《解释》规定的相关危害计算机信息系统安全犯罪定罪量刑标准的，依照刑法第二百八十五条、第二百八十六条的规定追究直接负责的主管人员和其他直接责任人员的刑事责任。考虑到单位犯罪本质上是基于单位利益由单位成员直接实施的犯罪行为，相关自然人本身没有直接地从单位犯罪中获取违法所得，在量刑过程中有必要比照自然人犯罪刑罚量度适当从宽处罚。