《危害计算机信息系统安全犯罪解释》第1条在准确把立法精神深入分析非法获取计算机信息系统数据、非法控制计算机信息系统行为的基础上,对“情节严重”“情节特别严重”的具体情形作了明确。
1.非法获取计算机信息系统数据行为分析。《刑法修正案(七)》将非法获取计算机信息系统数据行为人罪,主要是为了解决网络盗窃的法律适用问题.具体而言:(1)对于非法获取法律属性尚未明确的计算机信息系统数据的行为存在法律适用困难。当前,在计算机信息系统中存储、处理或者传输的数据,因其包含内容的不同而具有不同的法律属性。其中,有些计算机信息系统数据的法律属性明确,如非法获取涉及国家秘密、商业秘密的计算机信息系统数据的可以依照非法获取国家秘密罪、侵犯商业秘密罪等犯罪论处。但是,也存在-些法律属性尚未明确的计算机信息系统数据,如作为当前网络盗窃主要对象的网络账号、网络游戏装备等“虚拟财产”。由于“虚拟财产”的财产属性尚存在争议,能否认定为公私财物存在不同意见;而且,即使认定为公私财物,由于发行数量与价格指数完全由网络运营商控制,与现实社会的物价指数无必然联系,难以制定出科学合理的价格认定的方法。因此,对于非法获取“虚拟财产"等计算机信息系统数据的行为,不宜也难以适用传统的盗窃罪。(2)对计算机信息系统数据“使用盗窃”的行为,难以适用盗窃罪准确定罪刑。不少情况下,非法获取计算机信息系统数据行为所获得的只是数据的使用权,而不是数据的所有权。如非法获得拨号上网账号并使用该账号免费上网,实质上是属于使用盗窃,盗窃者获得的是账号的使用权而不是所有权。在合法用户包月使用的情况下,难以确定行为人究竟应当支付多少费用,也就难以衡量造成的经济损失或者获利情况。(3)对于非法获取计算机信息系统数据,但是尚未实际使用该数据的行为,难以适用盗窃罪等传统罪名。例如非法获取网上银行账号密码,但是尚未使用该账号、密码和转移其中的资金可能难以按照盗窃罪定罪处罚。基于上述原因,《刑法修正案(七)》将非法获取计算机信息系统数据行为单独人罪,规定为专门的非法获取计算机信息系统数据罪,以区别于传统的盗窃罪等犯罪。
根据《刑法》第285条第2款的规定违反国家规定侵国家事务国防建设、尖端科学技术领域的计算机信息系统以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据的,构成非法获取计算机信息系统数据罪。因此,该罪所保护的主要是计算机信息系统安全对于非法获取计算机信息系统数据进而实施其他犯罪的行为,可以依照其他犯罪处理,如非法获取网上银行账号密码后转移账户资金的,可以按照盗窃罪定罪处罚。行为人非法获取网上银行账号密码但并未窃取账户资金的行为,由于侵犯了计算机信息系统安全,如果情节严重的,也应当按照非法获取计算机信息系统罪定罪处罚。
当前,非法获取计算机信息系统数据行为的主要动机是牟利。具体而言表现为两种情形:一是直接获利。具体又包括两种方式第一种方式是直接出售数据获利如窃取卫生部医师资格考试证件信息后销售给他人制造假证件获利;第二种方式是在获取计算机信息系统数据后并不直接销售数据,而是通过使用该数据实施直接获利行为。例如,窃取网络游戏账号、密码后转移走游戏中的装备销售获利。二是通过减少支付费用间接获利。如通过获得他人网络账号后免费上网以减少上网费用;再如,教育部门对外开放有查询学历、学位信息的服务,使用该服务需要支付费用,有人盗窃他人账号实施查询操作以逃避支付费用。而不以牟利为目的的非法获取数据行为较为少见,社会危害性也较小,如盗窃他人QQ 号码供自己使用,这种行为的社会危害性并不大。
2.非法控制计算机信息系统行为分析。《刑法修正案(七)》将非法控制计算机信息系统行为人罪,主要是为了解决如下两个法律适用难题:(1)计算机信息系统的“使用盗窃”问题。也即侵入计算机信息系统后,并未破坏计算机信息系统的功能或者数据,而是通过控制计算机实施特定的操作获利的行为。比如很多攻击者通过控制大量计算机信息系统形成僵尸网络(Botnet)并通过操控这些僵尸网络实施特定的操作获利如控制计算机信息系统点击网站并销售“流量”控制计算机植人“插件”等,由于这些行为并不破坏计算机信息系统的功能和数据,只是使用了计算机信息系统的资源,因此难以按照破坏计算机信息系统功能或者数据相关条款定罪处罚。(2)非法控制计算机信息系统后实施的其他违法犯罪行为难以定罪的问题。在很多案件中,嫌疑人在非法控制计算机信息系统后非法获取这些计算机信息系统中的数据或者控制这些计算机信息系统实施拒绝服务攻击等破坏信息系统功能或者数据的行为,虽然理论上可以按照非法获取数据、破坏计算机信息系统功能或者数据等其他条款定罪处罚,但在具体实践中一旦攻击行为停止就很难获得相关的证据(如控制其他计算机实施拒绝服务攻击如果攻击停止将无法采集到证明攻击实施的证据)考虑到这些行为通常以非法控制计算机信息系统为前提,在控制计算机信息系统后可以实施的行为很多,难以一一列举因此在立法中将“非法控制”计算机信息系统的行为人罪而不对控制后实施的其他行为一一列举人罪,解决了“非法控制”后续犯罪行为定罪困难的问题。
当前,非法控制计算机信息系统行为的主要动机也是牟利。通常而言,行为人非法控制计算机信息系统的主要目的是利用这些计算机信息系统实施特定操作获利,获利主要有两个途径:一是出售计算机信息系统控制权,也即互联网上的倒卖“肉鸡”行为。二是通过使用被控制的计算机信息系统的资源获利如通过控制计算机植人“插件”、控制计算机点击网站、在计算机上弹出广告等其本质都是使用计算机信息系统的资源执行特定操作获利。
3.定量刑标准设定的主要考虑。基于上述分析,《危害计算机信息系统安全犯罪解释》第1条在设定非法获取计算机信息系统数据非法控制计算机信息系统罪定罪量刑标准时主要有如下考虑:(1)非法取数据罪主要并不以数据自身的法律属性来衡量其犯罪情节,而应当主要以其对计算机信息系统的安全造成的危害程度来衡量其犯罪情节。(2)非法获取计算机信息系统数据罪应当解决的问题主要是数据的法律属性不明确,无法适用刑法其他条款的情形。比如获取国家秘密、商业秘密等法律属性明确的数据的,可以依照其他罪种定罪处罚,非法获取数据罪主要是应当对非法获取数据行为定罪处罚而又无法按照刑法其他条款定罪处罚的情形提供法律依据。(3)无论是非法获取计算机信息信息数据,还是非法控制计算机信息系统,主要动机都是牟利,故应当将以牟利为目的的行为作为重点打击对象。