非法控制计算机信息系统罪与破坏计算机信息系统罪之辨析

　　摘要：对刑法第286条第2款字面化的理解，导致在实践中破坏计算机信息系统罪已经具有沦为新型口袋罪名的趋势。通过引入“短缩的二行为犯”概念，将犯罪嫌疑人的主觀犯罪目的与计算机信息系统功能之间的关系作为核心判断要素，有助于准确区分破坏计算机信息系统罪与非法控制计算机信息系统罪的界限，合理限定破坏计算机信息系统罪的适用范围，维护罪刑法定原则。

　　关键词：非法获取计算机信息系统数据；破坏计算机信息系统罪；短缩的二行为犯

　　一、问题的提出

　　根据刑法285条第2款规定，违反国家规定，侵入前款规定以外的计算机信息系统或者对该计算机信息系统实施非法控制，情节严重的，应认定为非法控制计算机信息系统罪；刑法第286条第2款规定，违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，应认定为破坏计算机信息系统罪。在司法实践中，两罪名的适用往往存在争议。本文以笔者办理的“恶意挖矿”案为例：

　　2018年6月4日，某公司安全管理部在工作中发现公司用于日常业务的服务器运行异常，疑似被他人恶意部署挖矿程序，占用公司服务器运算资源。经内部调查，发现行为人使用公司内网计算机信息系统编译挖矿程序，并利用工作便利在2018年1月26日到5月30日期间多次登录并批量在内部服务器上部署挖矿程序，获取虚拟货币。

　　经公安机关侦办，查明2018年1月至7月期间，行为人安某利用其在该公司负责运营、维护内部服务器的便利，通过技术手段部署应用程序，超越授权使用企业内部服务器获取比特币、门罗币等虚拟货币，违法所得人民币10万元。[1]

　　在案件办理过程中，司法机关主要产生了两种不同的分歧意见。第一种意见认为，安某的行为构成破坏计算机信息系统罪。根据刑法第286条第2款之规定：“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。”安某未经公司的允许，在企业服务器上私自增加挖矿类应用程序，后果特别严重，应认定为破坏计算机信息系统罪。

　　第二种意见认为，从计算机技术角度而言，任意的对计算机信息系统的操作行为都可以理解为对数据的修改，如果机械适用刑法286条款，则将会导致刑法285条第2款“失效”，因此，必须考虑行为对于计算机信息系统功能或应用程序是否造成了实质性的破坏。就本案而言，行为人虽然超越授权部署了挖矿程序，对公司的计算机信息系统实施了增加数据的操作，但挖矿程序的功能实现必须以计算机信息系统的正常运作为前提，安某的行为更适宜认定为非法控制计算机信息系统罪。

　　针对上述案例中的争议问题，本文尝试对产生争议的原因进行分析，并结合计算机信息系统相关知识与相关法理展开论证，提出两罪适用之逻辑。

　　二、原因分析

　　非法控制计算机信息系统罪在立法设计上采用了空白罪状，为司法实践预留了解释的空间。有学者对司法实践进行归纳后，发现该罪名成为名副其实的“口袋罪”[2]，其实质上可以用于评价所有非法获取电脑系统数据的行为。在体系化立法的前提下，兜底罪名的设计本无可厚非，但立法者一般会进一步细化非兜底性罪名的犯罪构成设计，设置合理的“要素”以进行区分，避免空白罪状与其他罪名产生竞合。在我国的立法中，这种合理的“要素”可能是法益、犯罪对象或者主观目的等内容。如在认定普通诈骗罪与合同诈骗罪、集资诈骗罪时，司法人员可以从侵犯法益、是否存在合同行为、是否存在集资行为等方面予以区分。

　　刑法第286条包含的3个条款分别从计算机信息系统的功能性、数据和应用程序、破坏性程序方面着手，对犯罪客观要件进行相应的设计，这种区分具备一定的合理性。在当下，计算机信息系统安全法益仍然是一个笼统的概念，其可能体现于数据安全、信息安全、计算机信息系统功能完整性等不同方面，尽可能区分行为对象不仅扩大了法律保护范围，也有助于对犯罪进行类型化的归类。但计算机犯罪区别于传统犯罪的一个显著特点——计算机犯罪行为本质上仍然是一种计算机技术行为，而技术行为实际上受限于技术架构，法律无法脱离技术架构实现对技术行为的规制。法律用语必须符合技术规范，否则极易产生错配的现象。在计算机信息技术语境下，数据乃是计算机信息系统构成之基本元素，无论是计算机信息系统还是程序，都是由数据构成。虽然从语义上看起来功能性、应用程序、破坏性程序是3种不同类别的行为对象，但如果从技术架构上进行考察，对上述3个对象施加的任意影响都必须从改变数据入手，即任一通过计算机信息系统本身机能达成的破坏计算机信息系统的行为都离不开对计算机信息系统储存、处理或传输的数据实施行为，这恰恰切合刑法286条第2款的罪状描述，而该条款相较之第1款、第3款，又缺乏“造成计算机信息系统不能正常运行”这一限制构成要件，进一步降低了入罪门槛。这就导致在实践中，司法人员可能功利性的适用刑法第286条第2款认定计算机犯罪行为。

　　同时，多样化的计算机犯罪行为之间可能存在互相嵌套的可能性，非法控制行为在实践中可能呈现出“删除、修改、增加数据”的行为样态。如行为人非法获取计算机信息系统的控制权后，对操作系统的关键数据予以删除，从而导致计算机信息系统不能正常运行，达到破坏计算机信息系统的目的。破坏计算机信息系统所产生的犯罪结果往往也有可能是行为人实现非法控制计算机信息系统的行为的前提条件。如行为人通过关闭或者删除计算机信息系统的用户身份验证机制，从而实现对计算机信息系统的非法控制。正如有学者曾论述：“所体现的对数据安全的理解还停留在网络时代初期以计算机系统为单位的安全情形，忽略了网络中数据传输与交换安全问题。”[3]显然，刑法第285、286条相应条款的空白罪状为犯罪行为嵌套留下了足够的解释空间，而法律语言与技术规范的不契合进一步加剧了两个罪名竞合的可能性。在实践中，司法人员需要寻找一个既符合犯罪构成要件理论又可以在实践中轻易辨别的要素作为切入点，以打破竞合，明确罪名。

　　三、解决路径

　　在非法获取数据、非法控制计算机信息系统的行为基础之上构成的破坏计算机信息系统行为，实际上是一种行为与目的的关系，可以通过“短缩的二行为犯”的模型加以区分。德国刑法从目的与行为的关系角度出发，最早提出了短缩的二行为犯理论，其最主要的意义在于，通过设立判断规则，在特定的犯罪中，承认行为人主观上的特定目的对犯罪构成的影响。我国刑法学者张明楷曾对短缩的二行为犯作如下论述：“其基本特点是，完整的犯罪行为原本由两个行为组成，但刑法规定只要行为人以实施第二个行为为目的实施了第一个行为，就以犯罪（既遂）论处；如果行为人不以实施第二个行为为目的，即使客观上实施了第一个行为，也不成立犯罪（或者仅成立其他犯罪）”。[4]短缩的二行为犯理论进一步考虑了主观目的这一要素，从而在法律机能上实现了对罪与非罪、此罪与彼罪更加精细化的判断。在我国司法实践中，短缩的二行为犯理论也得到了广泛的认可。例如，通过对行为人主观上是否存在“以勒索财物或者满足其他不当要求为目的”进行判断，从而确定行为人是否构成绑架罪（或只成立非法拘禁罪）。

　　采用上述理论时，对行为人主观目的的考察将成为区分此罪、彼罪的要点，我们往往可以得到三个结果。第一个结果：经过判断，行为人主观上不存在犯罪故意，缺乏犯罪目的，则行为人对数据的操作行为即使符合了相关罪名的客观要件，也不能认定其行为构成犯罪。第二种结果：经过判断，行为人主观上仅存在非法控制计算机的目的，其后续的其他行为需要依赖于所支配的计算机信息系统具备的正常性功能实现，并未进一步对控制的计算机信息系统实施其他行为，则构成非法控制计算机信息系统罪。第三种结果：当经过判断，行为人主观上同时存在破坏与控制的目的，可以认定控制行为服务于破坏目的，应构成破坏计算机信息系统罪。

　　笔者以常见的DDOS攻击作为例子，对第二种和第三种判断逻辑进行更详细的阐述。在网络黑产犯罪中，DDOS攻击行为是最为常见的破坏计算机信息系统行为，其往往依赖于行为人控制的“肉鸡”[5]开展，如果“肉雞”缺乏基本、正常的计算机信息系统功能，则无法按照行为人的意图实施攻击行为，因此，这要求行为人主观上必须确保自己的控制手段不能导致“肉鸡”出现不能正常运行的状况。在司法实践中，有些观点认为，针对上述情况，在无法查实行为人是否通过“肉鸡”实施DDOS攻击的情况下，应仅认定行为人构成刑法第285条第2款，而不构成刑法第286条第2款。这种观点显然是错误理解了短缩的二行为犯的判断逻辑。短缩的二行为犯实际上重点考量的是行为人是否存在相应的目的，而不要求其必须实现了相应的目的。对于行为人存在的多个主观目的，要通过多种方式确定目的之间的地位关系，认清阶段性的目的和终局性的目的。在上述例子中，行为人在实施完整的犯罪行为中，同时存在两个不同的主观目的，一个是控制他人计算机信息系统，另一个破坏他人计算机信息传统，前者是阶段性的目的，后者是终局性的目的，前者是为后者所服务的。即使行为人没有实施攻击他人的行为，但是其基于破坏的目的，实施了非法控制的行为，已经达到了短缩的二行为犯理论框架下的犯罪既遂，理应认定为破坏计算机信息系统罪，而非非法265f10dd56e3c104929926ac5bc08ad947129c08d78d84c32ac482db7e2d8ac0控制计算机信息系统罪。

　　在短缩的二行为犯理论框架下，刑法第285条第2款与刑法第286条第2款适用问题从关注表面客观行为深入至考察行为人主观目的。计算机犯罪的特点为司法人员考察行为人的主观目的提供了一条明确的路径：通常来说，计算机犯罪是一种必须借助计算机拥有的功能才能实施犯罪行为，实现犯罪结果的犯罪类型。计算机信息系统的技术架构决定了计算机信息系统和应用程序的任一功能均指向一种明确的、客观的计算机技术行为。我们近乎可以认为，计算机技术行为本身具备刑法判断所强调的“主客观相一致”特质。司法人员往往可以通过程序、工具的功能性评价，再结合行为人的使用方式，进而认识行为人的主观目的。

　　四、总结

　　笔者试图提出一项判断规则，并对本案前述案例重新进行审视分析，进一步解释如何在实务中，对非法控制计算机信息系统罪和破坏计算机信息系统罪进行辨析。

　　第一，在计算机犯罪中，数据的控制权是行为合法性论证的基本着眼点，数据控制权依据计算机信息系统的性质、具体应用环境等因素可能呈现出不同的样态，如数据控制权、功能性控制权等。

　　在本案中，安某本身具备公司计算机信息系统的控制权，包括但不限于删除、增加、修改数据，部署应用程序，维护计算机信息系统正常运作等内容。但其实施的犯罪行为，违反了企业对于服务器运维工程师的禁止性规定，属于典型的未经授权的行为。在实践中，可能存在另外一种情况，企业并未禁止行为人利用控制权实施某项行为，但是该项行为实际上并不属于业务所必备的行为，那么该如何认定呢？笔者认为，这种行为虽然不属于未经授权，但很可能被评价为超越授权。因为对企业而言，设立计算机信息系统控制权的意愿、用途都与业务内容紧密相关。企业依据业务设定授权，而业务需求决定了控制权的实质内容。如果一项控制权的使用与业务需求无关，那该项控制权的使用必然额外占用计算机信息系统资源，会对企业的计算机信息系统的正常使用造成干扰，可能将企业利益、计算机信息系统安全放置于一种危险的境地。

　　第二，如试图适用短缩的二行为犯理论认定此罪、彼罪，司法人员在主观上要重点考察行为人的犯罪目的，在客观上要重点考察涉案的程序、工具的功能性以及行为人对程序、工具的具体使用情况。

　　安某的行为主要体现为利用计算机信息系统进行“挖矿”。“挖矿”，是指通过计算机硬件开展数学运算并获取虚拟货币的过程。“挖矿”程序最主要的功能系调用CPU＼GPU等计算机信息系统核心计算资源进行数学运算，一般而言，会导致计算机信息系统资源被大量占用，导致运行速度放缓，如果挖矿程序调用的资源超出了计算机信息系统承受的极限，可能会导致计算机信息系统不能正常运行。与病毒、木马程序相比，“挖矿”程序往往仅占用计算机信息系统资源，并不直接侵害计算机信息系统的控制权、财产安全、数据安全等。当然，在实践中，有的行为人会为了犯罪目的，通过计算机病毒或者木马程序获取他人计算机信息系统控制权后非法部署挖矿程序。

　　从应用程序与计算机信息系统的关系审视，挖矿程序与计算机信息系统之间是依赖与被依赖的关系：挖矿程序的正常运行需要依赖于计算机信息系统的正常运行。一名理性“矿工”理应追求计算机信息系统资源的最大化利用，但同时也必须考虑“挖矿”程序的收益与计算机信息系统正常运行之间的平衡点，这也是认定其主观目的的一个绝佳的切入点。如果行为人肆无忌惮滥用“挖矿”程序，不在乎甚至刻意追求计算机信息系统不能正常运行的后果，可以认定其主观上是以破坏为犯罪目的，具备犯罪故意；如果行为人刻意控制“挖矿”程序，通过调整“挖矿”程序的使用频率、运行时长等要素，则一般宜认定其主观上不存在破坏的直接故意，同时，可以结合考察行为人是否具备专业知识以进一步明确认定行为人的主观目的。显然，一名专业的服务器运维人员显然不会盲目地运行“挖矿”程序，进而引发计算机信息系统不能正常运行的后果，这种行为会对其本职工作造成否定性影响，同时也会加大暴露犯罪的可能性。

　　在上述规则之下，不难得出结论：安某在未经企业授权的情况下，非法使用计算机信息系统控制权，通过增加数据的方式安装“挖矿”程序。结合“挖矿”程序的功能性鉴定，安某本人的从业经历、知识背景，“挖矿”程序对计算机信息系统的影响情况综合考虑，可以认定安某并非想通过“挖矿”程序破坏企业的计算机信息系统，而是想利用企业的计算机信息系统资源进行获利，主观上缺乏破坏目的，对其行为应认定为非法控制计算机信息系统罪，而非破坏计算机信息系统罪。

　　在审判过程中，法院对上述观点表示认同，并于2019年12月4日判决被告人安某的行为犯非法控制计算机信息系统罪，判处有期徒刑3年，罚金人民币11000元。