1."计算机信息系统”与“计算机系统”的范围。《刑法》第 286 条关于破坏计算机信息系统罪的规定使用了“计算机信息系统”与“计算机系统”两个概念其中《刑法》第286 条第3款有关制作传计算机毒等破坏性程序的条款中使用“计算机系统”的概念,其他条款使用“计算机信息系统”的概念。0
经研究认为,对“计算机信息系统”与“计算机系统”两个概念不应作区分而应进行统一解释。主要考虑如下;一是区分这两个概念不具有实质意义。立法区分这两者的原意可能是考虑侵人计算机信息系统、破坏计算机信息系统的对象应当是数据库、网站等提供信息服务的系统,而传播计算机病毒如果只影响计算机操作系统(计算机系统)本身,即使不对系统上的信息服务造成影响也应当受到处罚。但实质上,对这两者作出区分并无实质意义,因为随着计算机技术的发展,计算机操作系统与提供信息服务的系统已密不可分。如很多操作系统自身也提供 WEB(互联网)服务,FTP(文件传输协议)服务,而侵人操作系统也就能够实现对操作系统上提供信息服务的系统实施控制,破坏操作系统的数据或者功能也就能够破坏操作系统上提供信息服务的系统的数据或者功能从立法的角度上无法准确划分出提供信息服务的系统和操作系统。二是从保护计算机信息系统安全这一目的出发,对这两个概念进行区分没有必要。不管破坏的是计算机系统本身或者是破坏提供信息服务的信息系统,只要造成严重后果或者有严重的情节,都应当受到同等的处罚。三是经对美国、德国等发达国家网络犯罪立法词研,这些国家都在立法中使用单一的计算机系统、计算机等名词,而未对计算机信息系统和计算机系统作出区分。
基于以上考嗯,《危害计算机信息系统安全犯罪解释》第 11 条第1 款规定“计算机信息系统”和"计算机系统”是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备自动化控制设备等 具体而言:《1)具备自动处理数据功能的设备都可能成为被攻击的对象有必要将其纳人刑法保护范畴随着信息技术的发展,各类内置有可以编程安装程序的操作系统的数字化设备广泛应用于各个领域,其本质与传统的计算机系统已没有任何差别。这些设备都可能受到攻击破坏;互联网上销售的专门用于控制手机的水马程序可以通过无线网络获取手机中的信息;通过蓝牙W-(将电脑手持设备等终端以无线方式互相连接的技术)等无线网络传播病毒的案件也星现快速增长态势:在工业控制设备中可能植人破坏性程序,使工业控制设备在特定条件下运行不正常:在打印机、传真机等设备中可以内置程序秘密获取相关数据。总之,任何内置有操作系统的智能化设备都可能成为人侵破坏和传播计算机病毒的对象,因此应当将这些设备的安全纳人刑法保护范畴。(2)本定义借鉴了多个国家有关法律的相关定义。如美国将计算机定义为“具备自动处理数据的功能的一个或者一组设备”,欧盟网络犯罪公约将计算机定义为“由软件和硬件构成的用于自动处理数据的设备”,其出发点都是将保护计算机信息系统安全的法律适用于所有具有自动处理数据功的设备。我国《计算机信息系统安全保护条例》对计算机信息系统作了定义,其中规定:“本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检等处理的人机系统”综合上述定义,将“计算机信息系统”和“计算机系统”界定为“具备自动处理数据功能的系统”,而不强调是“由软件和硬件构成的”,因为所有自动处理数据的功能必定是由软件实现的(有的是固化在硬件中的软件,有的是可以自行安装修改的软件),无须专门强调。(3)为使相关界定更加明确,方便司法实践适用,采用了概括加列举的解释方法,即在对“计算机信息系统”“计算机系统”作归纳定义的同时,还列举“计算机”“网络设备”“通信设备”“自动化控制设备”等具体情形。其中,网络设备是指路由器、交换机等组成的用于连接网络的设备;通信设备包括手机、通信基站等用于提供通信服务的设备;自动化控制设备是指在工业中用于实施自动化控制的设备,如电力系统中的监测设备、制造业中的流水线控制设备等。
2.“身份认证信息”的范围。由于《危害计算机信息系统安全犯罪解释》多处涉及“身份认证信息”这一术语,第11条第2款明确了“身份认证信息”的内涵和外延。考虑到司法实践的具体情形,采用了概括加列举的方法,将“身份认证信息"界定为用于确认用户在计算机信息系统上操作权限的数据包括账号口令、密码、数字证书等。从实践来看,数字签名、生物特征等都属于身份认证信息。
3.“经济损失”的范围。根据《危害计算机信息系统安全犯罪解释》的规定,危害计算机信息系统安全犯罪以造成经济损失的数额作为人罪标准之一为统一法律适用,危害计算机信息系统安全犯解释》第11条第3款明确了“经济损失”的计算范围,具体包括危害计算机信息系统犯罪行为给用户造成的直接经济损失,以及用户为恢复数据功能而支出的必要费用。需要注意的是破坏计算机信息系统功能、数据给用户带来的预期利益的损失不能纳人“经济损失"的计算范围。具体而言包括:
(1)危害计算机信息系统犯罪行为给用户直接造成的经济损失。对于非法获取计算机信息系统数据犯罪而言,合法用户获取该数据应当支付的费用属于行为给用户直接造成的经济损失。例如,付费后才能查阅小说的文学网站,如果非法获取该网站中的小说,则查阅这些小说的合法用户应当支付的费用属于该网站运营者的经济损失;如果不需要付费则可以获得的数据,则未造成损失:如果不管付不付费都不对外提供的数据,则难以衡量经济损失,如侵入他人计算机并获取该用户的私人照片,则无法衡量经济损失,只能按照其他量刑标准处理。
对于通过非法控制计算机信息系统使用的计算机信息系统资源,合法用户使用该计算机信息系统资源应当支付的费用属于行为给用户直接造成的经济损失。例如,侵入某个托管主机并使用该托管主机的虚拟空间,则其少支付的费用则属于托管主机运营商的经济损失。对于并未提供付费服务的计算机信息系统,由于属于使用盗窃范畴,则难以衡量其经济损失,只能按照其他量刑标准处理。
计算机信息系统不能正常运行期间支付的网络带宽费用等合理支出费用。对于造成计算机信息系统功能无法正常运行,比如对某个网站实施拒绝服务攻击,则该网站的所有者在被拒绝服务攻击期间支付的主机托管、系统维护等费用都属于造成的损失。
(2)用户为恢复数据功能而支出的必要费用。在计算机信息系统功能或者数据被破坏后,通常需要采取各种应急响应措施使其恢复到正常状态,如对于被删除的数据采取数据恢复措施被拒绝服务攻击的网站增加数据分流设备、增加带宽等,这都属于造成的经济损失。
(3)用户预期利益的损失不纳人“经济损失”的计算范围。越来越多的经济活动对计算机信息系统的依赖程度很强,如果破坏计算机信息系统的数据或者功能可能造成重大的收人损失,但如果该损失属于预期利益的损失,如丧失商业合作机会造成的经济损失,则不能纳人“经济损失”的计算范围。