最高人民法院、最高人民检察院研究室负责人就《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》答记者问
最高人民法院、最高人民检察院联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》),自2011年9月1日起施行。为帮助广大司法人员和社会公众进一步正确理解《解释》的精神和内容,最高人民法院、最高人民检察院研究室负责人就相关问题回答了记者提问。
问:请介绍一下《解释》出台的背景。
答:随着信息技术和互联网业的快速发展,计算机在现代社会中发挥着越来越重要的作用。计算机的普及在极大地方便了人民群众工作生活的同时,其自身的安全问题也日益突出。为保护计算机信息系统的安全,1997年刑法规定了非法侵入计算机信息系统罪和破坏计算机信息系统罪。针对维护计算机信息系统安全方面出现的新情况,2009年2月28日全国人大常委会通过的《刑法修正案(七)》增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪。这些规定对于维护计算机信息系统安全,打击计算机网络犯罪发挥了重要作用。
近年来,网络犯罪呈上升趋势,我国面临黑客攻击、网络病毒等违法犯罪活动的严重威胁,是世界上黑客攻击的主要受害国之一。据《中国互联网状况》白皮书,2009年我国被境外控制的计算机IP地址达100多万个;被黑客篡改的网站达4.2万个;被“飞客”蠕虫网络病毒感染的计算机每月达1,800万台,约占全球感染主机数量的30%。而据公安部提供的情况,近5年来,我国互联网上传播的病毒数量平均每年增长80%以上,互联网上平均每10台计算机中有8台受到黑客控制,公安机关受理的黑客攻击破坏活动相关案件平均每年增长110%。从司法实践来看,制作传播计算机病毒、侵入和攻击计算机信息系统的犯罪增长迅速,非法获取计算机信息系统数据、非法控制计算机信息系统的犯罪日趋增多,制作销售黑客工具、倒卖计算机信息系统数据和控制权等现象十分突出。这些违法犯罪行为具有严重的社会危害性,不仅破坏了计算机信息系统运行安全与信息安全,而且危害了国家安全和社会公共利益,侵害了公民、法人和其他组织的合法权益。
严厉打击危害计算机信息系统安全犯罪,加大对信息网络安全的保护力度,刻不容缓。然而,在办理危害计算机信息系统安全案件的过程中,适用刑法相关规定遇到了一些问题,需要进一步明确:一是刑法第二百八十五条、第二百八十六条规定的有关术语,如“专门用于侵入、非法控制计算机信息系统的程序、工具”和“计算机病毒等破坏性程序”等,其含义需作进一步明确。二是刑法第二百八十五条、第二百八十六条涉及的“情节严重”、“情节特别严重”、“后果严重”、“后果特别严重”等规定缺乏具体认定标准,办案部门认识不一,难以操作。三是对于倒卖计算机信息系统数据、控制权等行为的定性、以单位名义或者形式实施危害计算机信息系统安全犯罪的处理、危害计算机信息系统安全共同犯罪的处理等疑难问题,司法实务部门反映突出。鉴此,为适应司法实践需要,明确危害计算机信息系统安全犯罪的法律适用问题,最高人民法院、最高人民检察院联合制定了《解释》。
问:请介绍一下《解释》的主要内容。
答:《解释》共有十一条,主要规定了以下几个方面的内容:一是明确了非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,破坏计算机信息系统罪等犯罪的定罪量刑标准;二是规定了对明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒的行为,以掩饰、隐瞒犯罪所得罪追究刑事责任;三是明确了对以单位名义或者单位形式实施危害计算机信息系统安全犯罪的行为,应当追究直接负责的主管人员和其他直接责任人员的刑事责任;四是规定了危害计算机信息系统安全共同犯罪的具体情形和处理原则;五是明确了“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”的具体范围、认定程序等问题;六是界定了“计算机信息系统”、“计算机系统”、“身份认证信息”、“经济损失”等相关术语的内涵和外延。
问:《解释》在制定过程中有哪些考虑?
答:为确保《解释》的内容科学合理,能够适应形势发展、满足司法实践需要,我们在起草过程中,着重注意把握了以下几点:
第一,科学合理确定危害计算机信息系统安全犯罪的定罪量刑标准。为给司法实务提供可操作的定罪量刑标准,《解释》的不少条款都涉及到数量或者数额。基于严厉打击危害计算机信息系统安全犯罪的考虑,我们立足司法实践,切实贯彻宽严相济刑事政策,对数量数额标准作出了相应规定。在制定过程中,我们组织专门力量深入司法实践,了解具体案件,为确定行为的社会危害性程度提供了依据,并充分听取了各方意见,最终确定了定罪量刑的相关数量或者数额标准。例如,根据数据的重要性程度不同对非法获取计算机信息系统数据罪的入罪标准予以合理区分,非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的构成犯罪,而非法获取其他身份认证信息五百组以上的,才构成犯罪;根据司法实践的具体情况,并考虑有效惩治和震慑非法控制计算机信息系统犯罪的需要,将非法控制计算机信息系统罪的入罪标准规定为二十台以上。
第二,注重斩断危害计算机信息系统安全犯罪的利益链条。近年来,危害计算机信息系统安全犯罪猖獗和泛滥的深层次原因,是制作黑客工具、销售黑客工具、非法获取数据、非法控制计算机信息系统、倒卖非法获取的数据、倒卖非法控制的计算机信息系统的控制权等各个环节分工合作,形成了环环相扣的利益链条。因此,打击危害计算机信息系统安全犯罪的关键是要斩断利益链,这是制定《解释》所要解决的核心问题之一。《解释》的相关规定明确了制作黑客工具、销售黑客工具、非法获取数据、非法控制计算机信息系统、倒卖非法获取的数据、倒卖非法控制的计算机信息系统的控制权等各种行为的刑事责任,有利于从源头上切断利益链条,有效遏制危害计算机信息系统安全犯罪的蔓延和泛滥。
第三,有效解决打击危害计算机信息系统安全犯罪司法实践中反映突出的法律适用问题。多年来,司法机关在办理危害计算机信息系统安全犯罪案件的过程中遇到了困难。在《解释》起草过程中,我们立足于司法实践,明确了危害计算机信息系统安全犯罪的定罪量刑标准,并特别解决了掩饰、隐瞒计算机信息系统数据、控制权行为的定性、以单位名义或者形式实施危害计算机信息系统安全犯罪的处理原则、危害计算机信息系统安全共同犯罪的处理原则等长期困扰司法实践的突出问题。
问:如何处理掩饰、隐瞒计算机信息系统数据、控制权行为?
答:目前,收购、代为销售或者以其他方法掩饰、隐瞒计算机信息系统数据、控制权的行为已经非常泛滥,甚至形成了大规模的网上交易平台。为严厉打击这一行为,《解释》规定明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒的,以掩饰、隐瞒犯罪所得罪定罪处罚。主要有如下考虑:一是计算机信息系统数据、控制权是一种无形物,属于“犯罪所得”的范畴,理应成为掩饰、隐瞒犯罪所得罪的对象。将计算机信息系统数据、控制权解释为犯罪所得,符合罪刑法定原则。二是从刑法体系看,刑法第三百一十二条的掩饰、隐瞒犯罪所得罪的上游犯罪应该涵盖第一百九十一条洗钱罪规定的上游犯罪以外的所有犯罪,理应适用于第二百八十五条、第二百八十六条规定的危害计算机信息系统安全犯罪。三是作出这种解释,也是司法实践的现实需要。从危害计算机信息系统安全犯罪的现状来看,掩饰、隐瞒计算机信息系统数据、控制权的现象十分突出,不予以打击将无法切断危害计算机信息系统安全犯罪的利益链条,难以切实保障计算机信息系统安全。
问:如何处理危害计算机信息系统安全犯罪的共犯问题?
答:同传统犯罪不同,危害计算机信息系统安全犯罪活动分工细化,形成了利益链条,导致危害计算机信息系统安全犯罪活动迅速蔓延。为斩断危害计算机信息系统安全犯罪的利益链条,《解释》第九条专门对危害计算机信息系统安全犯罪的共犯问题作出了规定,并根据宽严相济刑事政策的要求,对共犯的成立设置了独立的定罪量刑标准,对情节严重的行为予以刑事惩治。具体而言,主要有如下三种共同犯罪形式:一是明知他人实施破坏计算机信息系统犯罪行为,而为其提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具的;二是明知他人实施危害计算机信息系统安全犯罪行为,为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助的;三是明知他人实施危害计算机信息系统安全犯罪行为,通过委托推广软件、投放广告等方式向其提供资金的。
问:如何界定“计算机信息系统”和“计算机系统”的范围?
答:刑法第二百八十五条、第二百八十六条使用了“计算机信息系统”、“计算机系统”两种表述,其中刑法二百八十六条第三款有关制作、传播计算机病毒等破坏性程序的条款中使用的是“计算机系统”,其他条款使用的则是“计算机信息系统”。刑法区分这两者的原意是考虑侵入计算机信息系统、破坏计算机信息系统功能、数据或者应用程序的对象应当是数据库、网站等提供信息服务的系统,而传播计算机病毒如果只影响计算机操作系统(计算机系统)本身,即使不对系统上的信息服务造成影响也应当受到处罚。但随着计算机技术的发展,计算机操作系统与提供信息服务的系统已密不可分。如很多操作系统自身也提供WEB(互联网)服务、FTP(文件传输协议)服务,而侵入操作系统也就能够实现对操作系统上提供信息服务的系统实施控制,破坏操作系统的数据或者功能也就能够破坏操作系统上提供信息服务的系统的数据或者功能,从技术角度无法准确划分出提供信息服务的系统和操作系统。而且,从保护计算机信息系统安全这一立法目的出发,对这两种表述进行区分没有必要。不论危害的是计算机操作系统还是提供信息服务的系统,只要情节严重或者造成严重后果的,都应当追究刑事责任。因此,《解释》对“计算机信息系统”和“计算机系统”作了统一界定。
随着信息技术的发展,各类内置有可以编程、安装程序的操作系统的数字化设备广泛应用于各个领域,其本质与传统的计算机信息系统和计算机系统已没有差别。而且,任何内置有操作系统的具备自动处理数据功能的设备都可能成为侵入、破坏和传播计算机病毒的对象,应当将这些设备的安全纳入刑法保护范畴。因此,《解释》采用了概括加例举的解释方法,将“计算机信息系统”、“计算机系统”界定为“具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。” 其中,网络设备是指路由器、交换机等组成的用于连接网络的设备;通信设备包括手机、通信基站等用于提供通信服务的设备;自动化控制设备是指在工业中用于实施自动化控制的设备,如电力系统中的监测设备、制造业中的流水线控制设备等。