非法获取计算机信息系统数据罪-破坏计算机信息系统罪之问题分析
一、破坏计算机信息系统罪之问题原因分析
从上述司法实践的基本现状来看,破坏计算机信息系统罪在认定适用过程中存在较多问题。造成这些问题的原因多种多样,从司法实践部门来看,一方面,网络因素的介入使很多传统犯罪变得更加复杂。司法工作人员由于技术理解能力的不足和司法经验的不足,容易简单地套用破坏计算机信息系统罪用以解决某些案件的定性难题;另一方面,破坏计算机信息系统罪的法定刑偏高,因此,只要案件涉及到网络和计算机,无论是解释为“想象竞合犯”还是“牵连犯”,按照“从一重处罚”的规则都可以说于法有据,起码不会是错案。笔者认为,之所以在司法实践中会存在上述现象,在很大程度上不是因为司法工作人员的问题,而是破坏计算机信息系统罪的刑法规范本身出了问题,有必要从源头上寻找问题的突破点。
(一)破坏计算机信息系统罪法益保护范围不明
破坏计算机信息系统罪是1997年刑法典新增的罪名。此后20年,此罪的罪状没有发生任何变化。根据立法者当初的设想,破坏计算机信息系统罪旨在加强对计算机信息系统的管理和保护,保障计算机信息系统功能的正常发挥,维护计算机信息系统的安全运行。因此,对于破坏计算机信息系统罪所保护的法益,一开始主要是为了保护计算机信息系统的功能和运行安全。
从《刑法》第286条的规定来看,破坏计算机信息系统罪的主要行为类型有三种:
一是破坏计算机信息系统功能类,即违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的行为。
二是破坏计算机信息系统数据和应用程序类,即违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为。
三是制作传播破坏性程序类,即故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。
第一种和第三种行为类型都在罪状描述中直接指明了必须造成“计算机信息系统不能正常运行”和“影响计算机信息系统正常运行”,明确了此两种行为类型所要保护的法益是“计算机信息系统的正常运行”,符合立法者设立此罪时的立法原意。但值得注意的是,在第二种行为类型的罪状描述中并没有要求破坏数据和应用程序的犯罪行为必须造成计算机信息系统不能正常运行的后果。也即意味着,从文本含义来看,破坏数据和应用程序类的破坏计算机信息系统犯罪所保护的对象应是计算机信息系统中的数据和应用程序,只要对数据和应用程序进行删除、修改、增加,达到司法解释规定的“后果严重”的标准,就可以认定为破坏计算机信息系统罪。这不禁让人产生这样的疑问,即破坏计算机信息系统罪所保护的法益到底是计算机信息系统运行的安全还是计算机信息系统中数据和应用程序的安全,还是两者兼而有之?
由于破坏计算机信息系统罪罪状设置的不同,理论界对此罪构成要件之一的“后果严重”产生了不同的认识,特别是对破坏数据和应用程序犯罪行为中“后果严重”的理解。一种观点认为,这里的后果严重,是指使国家重要的计算机信息系统功能、数据和应用程序被破坏,严重破坏计算机信息系统的运行,或者影响计算机信息系统的正常运行,使正常的工作秩序遭到严重破坏等等,即因计算机信息系统不能正常运行而造成各种各样的严重后果。另一种观点认为,其他行为类型中的“严重后果”需要造成计算机信息系统不能正常运行或者影响计算机系统的运行,但第二种行为类型的“严重后果”应解读为“使用户重要的计算机数据和资料遭到不可恢复的破坏,影响正常的工作和生活,因数据和应用程序被破坏而造成重大经济损失等。”也即意味着,第二种行为类型的严重后果并不必然需要造成计算机信息系统不能正常运行。可见,第二种行为类型侧重保护的是计算机信息系统的数据和应用程序,而不是整个计算机信息系统的功能和正常运行。
由此可以看出,对于破坏计算机信息系统罪所要保护的法益范围,不同的人有不同的理解,并没有形成统一的认识。由于一个具体犯罪的法益具有合理确定犯罪圈、划定刑罚处罚范围以及在司法实践中区分此罪和彼罪、合理确定罪数的功能,法益范围的不明将直接导致司法实践部门在对刑法规范理解和适用过程中的混乱。上述司法实践中出现的破坏计算机信息系统罪的行为定性问题、罪数形态问题、“口袋化”问题在绝大程度上都是因为对破坏计算机信息系统罪法益保护范围的理解不一致而导致。
(二)破坏计算机信息系统罪司法解释扩张严重
1.“计算信息系统数据和应用程序”规范内涵的扩张
2011年两高颁布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)。《解释》第4条规定了破坏计算机信息系统功能、数据或者应用程序“后果严重”的五种情形,分别为:
(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的。
(二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的。
(三)违法所得五千元以上或者造成经济损失一万元以上的。
(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的。
(五)造成其他严重后果的。其中第二种情形,在《解释》中只规定了对计算机信息系统中存储、处理或者传输的数据实施相关行为的破坏,与《刑法》第286条第2款的规定并不一致,也即在司法解释中删除了对“应用程序”这一对象的破坏。
换言之,《解释》将刑法规范中对“数据和应用程序”的破坏直接规定为对“数据”的破坏。对于司法解释中这样一个有意无意的改变,两高的解释部门并没有作出有针对性的说明,而只是在对《解释》作相关说明时提到,“从司法实践来看,破坏数据、应用程序的案件,主要表现为对数据进删除、修改、增加的操作,鲜有破坏应用程序的案件。
因此,对于《刑法》第286条‘对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作’的规定,应当理解为‘数据’‘应用程序’均可以成为犯罪对象,而并不要求一次破坏行为必须同时破坏数据和应用程序,这样才能实现对计算机信息系统中存储、处理或者传输的数据、应用程序的有效保护,有效维护计算机信息系统安全。”但是这样的说明,并不能成为删除“应用程序”这一对象的理由,如此解释,事实上违反了司法解释是基于刑法规范进行解释的这一基本原则。
更为严重的是,这样的解释也有意无意地扩张了原来刑法所确立的“计算机信息系统数据和应用程序”的规范内涵。根据破坏计算机信息系统罪的立法原意,虽然刑法条文在破坏数据和应用程序的行为类型中没有“造成计算机信息系统不能正常运行”的罪状描述,但有一点较为明确,这些数据和应用程序应属于计算机信息系统中的数据和应用程序。换言之,对这些数据和应用程序的删除、增加、修改会直接影响计算机信息系统的运行或造成计算机信息系统不能运行的严重后果。如删除计算机信息系统中的系统文件、数据库、系统程序,直接导致计算机信息系统崩溃、运行中断等严重后果。但按照《解释》的规定,“数据”并不需要与计算机信息系统直接相关,也不需要数据能直接影响计算机信息系统的运行,只要是计算机信息系统中的数据都可以理解为计算机信息系统数据。如此一来,《解释》使刑法规范中“计算机信息系统数据和应用程序”不当地扩大为计算机信息系统中的所有数据,成为司法实践中以破坏计算机信息系统罪去打击所有涉及到计算机数据类犯罪的源头。
2.“后果严重”定量标准的扩张
破坏计算机信息系统罪属于结果犯,在三种犯罪行为类型的构成要件中都有“后果严重”的规范要件。从上述可以看出,对于“后果严重”的定量标准,在2011年《解释》中通过列举的方式进行了明确,主要从破坏计算机信息系统的台数、计算机信息系统使用的用户、提供服务的时间,以及违法所得和经济损失等要素进行评价和衡量。但在这些衡量要素中,有些与计算机信息系统的运行有直接或者间接的关系,而有些则没有任何的关系。
如第一种情形“造成十台以上计算机信息系统的主要软件或者硬件不能正常运行”和第四种情形“造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上”,这两种情形都直接造成了计算机信息系统不能正常运行。
但第二种情形“对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作”和第三种情形所规定的“违法所得五千元以上或者造成经济损失一万元以上”,从字面含义看,与计算机信息系统的运行并没有直接的联系。应当看到,破坏计算机信息系统罪规定在刑法分则第六章妨害社会管理秩序罪中,属于扰乱公共秩序类的犯罪。后果严重的程度应从其所破坏或扰乱的公共秩序这一角度考量才能作出合理的评价。而“违法所得和经济损失”的评价因素却是基于财产和经济的角度,两者在很大程度上不具有对等性。换言之,用财产性利益的评价要素去衡量扰乱公共秩序的严重程度不具有正当性,也极易造成人们对破坏计算机信息系统罪定性认识的混乱。如在司法实践中,只要出现对计算机信息系统中的数据进行删除、修改、增加,从中获利5000元以上或造成当事人经济损失1万
元以上的就按照破坏计算信息系统罪定罪处罚,极易造成破坏计算机信息系统罪是财产类犯罪的假象。
在刑法中,财产性利益的评价要素主要用于财产类犯罪中,如盗窃罪中“数额较大”的定量标准就以盗窃财产数额的大小来决定。而在破坏计算机信息系统罪中,则不宜只有纯粹的财产性评价要素作为“后果严重”这一构成要件的评价标准。
如果要使用这一评价要素,也应严格地对此作出限制,即违法所得和造成经济损失必须与计算机信息系统的正常运行有直接的关联。如果单纯以违法所得和经济损失的数额大小去评价和衡量破坏计算机信息系统行为后果的严重性,则会造成“后果严重”认定标准的偏离,并在很大程度上扩大了破坏计算机信息罪的打击范围。