“非法获取计算机信息系统数据罪”涉及的若干认定标准

“非法获取计算机信息系统数据罪”涉及的若干认定标准

《中华人民共和国刑法》第285条包含三种计算机犯罪类型，其中第二款规定的情形为“非法获取计算机信息系统数据罪”，该罪名是2009年刑法修正案补充的罪名。由于刑法规定过于笼统，为对该罪名进行准确的定罪量刑，2011年，最高院又颁布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，对该罪名适用进行了更加详细的规定。本文试结合司法解释的规定和司法实践对该罪名的构成及认定标准进行探讨。

一、非法获取计算机信息系统数据罪的构成要件

《刑法》第285条规定：违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

根据上述规定，“非法获取计算机信息系统数据罪”应当具备以下构成要件：

1、行为人为自然人，单位不构成本罪；

2、行为人的行为违反了国家规定；

3、行为人非法侵入进入计算机系统或类似侵入的其他技术手段；

4、行为人获取了系统中的数据；

5、行为达到了“情节严重”的标准。

对于“情节严重”的标准，根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条的规定：非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，涉嫌非法侵入计算机信息系统罪：（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；

（二）获取第（一）项以外的身份认证信息五百组以上的；

（三）非法控制计算机信息系统二十台以上的；

（四）违法所得五千元以上或者造成经济损失一万元以上的；

（五）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为非法侵入计算机信息系统罪规定的“情节特别严重”：

（一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的；

（二）其他情节特别严重的情形。

二、单位是否适用本罪

根据《刑法》第30条的规定：公司、企业、事业单位、机关、团地事实的危害社会的行为，法律规定为单位犯罪的，应当负刑事责任。由于刑法第285条并未将单位列为本罪的犯罪主体，因此，本条罪名的主体只能是具有刑事责任能力的自然人。

但是，笔者在经办此类案件的过程中，发现如果不将单位列为犯罪主体，将无法有效的进行案件的侦办以及定罪量刑，并与刑法的罪刑一致的原则相违背。

首先，目前公布的部分案件属于单位以经营为目的，获取第三方公司计算机系统的数据并加以利用，由于单位犯罪主体，导致侦查机关不合理扩大犯罪嫌疑人的范围。在江苏公安局办理的最新一起案例中，某科技公司为获取4S店维修保养记录，侵入了汽车4S店计算机系统并获取汽车维修保养数据，在整个行为过程中，科技公司员工系接受单位的指派，在其职责范围之内参与数据获取及加工、交易，属于履行劳动义务的行为，其本身并无犯罪故意。但是公安机关在侦办案件过程中，因不能对单位立案并为了防止犯罪嫌疑人遗漏，不合理的扩大范围，对该单位几乎所有员工均立案侦查并采取刑事强制措施。

刑法不将单位列为本罪的主体，不仅导致实施该行为的单位逃脱处罚，并且将扩大打击面，对本来只是接受单位指令履行工作职责的员工列入打击范围。

其次，在单位实施上述行为过程中，接受委派的自然人并未获取数据，也未取得违法所得，在单位内部员工分工不同的情况下，司法机关如何对不同的自然人认定数据数量和违法所得也将面临困难和争议。

从目前我们所经办的案件来看，公安机关为了形成完整的证据链，往往以“共同犯罪”的名义，将参与案件的技术人员、管理人员等均认定为直接责任人，而对各自然人之间是否具备共同犯意缺乏考量。为此，我们建议将单位列为本案的主体。

二、“国家规定”的范围认定

《刑法》条文中对于类似“违反国家规定”的表述有两种：“违反国家规定”和“违反国家相关规定”；后者只在侵犯公民个人信息犯罪条文中出现，其他罪名均采用的是“违反国家规定”的表述。

根据 2011年最高人民法院发布的《关于准确理解和适用刑法中“国家规定”的有关问题通知》的规定，本条罪名所指的“国家规定”包括：

1、全国人大及其常委会所发布的法律、决定；

2、国务院制定的行政法规；

3、国务院规定的行政措施、发布的命令和决定；

4、国务院办公厅名义制发的文件，符合下列条件的：有明确的法律依

据或者同相关行政法规不相抵触；经国务院常务会议讨论通过或者经国务院批准；在国务院公报上公开发布。

其中第三项系《宪法》规定的国务院的职权范围，其发布行政措施、决定、命令只是国务院履行行政管理职能的方式，其内容一般仍然为发布行政法规或文件。

以上规定，排除了国务院下属机构发布的部门规章以及其他规范性法律文件以及与上述文件位阶类似的地方性法规、规章等。

根据目前的统计，涉及本条罪名的“国家规定”主要包括：国务院《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》（国务院批准公安部发布）、全国人大常委会发布的《关于加强网络信息保护的决定》、《网络安全法》。

三、“非法侵入”的认定

本罪所指的“侵入”从行为上讲，指的是未经授权或超越授权进入计算机信息系统的行为。对于计算机系统的管理人或控制人而言，此种侵入违背了其自身的意愿，并且侵入损害了计算机系统的安全秩序。此处侵入具有以下特征： 1、侵入的系统不属于国家安全、国防安全及尖端科技领域的计算机系统，否则构成285条第一款的罪名。

2、此种侵入应当未获授权。行为人是否享有进入计算机信息系统的相关权限主要根据其在单位中的工作内容、职务等确定，主要表现形式为工作责任书、