根据《刑法》第285条第2款的规定非法取计算机信息系统数据非法控制计算机信息系统罪设有两个法定刑档次:情节严重的符合基本法定刑档次,处3 年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,构成情节加重犯,处3年以上7年以下有期徒刑并处罚金。为统一司法适用,《解释》第1条对非法获取计算机信息系统数据非法控制计算机信息系统“情节严重”“情节特别严重”的具体情形作了规定,明确了定罪量刑标准。
1.获取网络金融服务的身份认证信息构成“情节严重”的情形。与计算机信息系统安全相关的数据中最为重要的是用于认证用户身份的身份认证信息(如口令证书等)此类数据通常是网络安全的第一道防线也是网络盗窃的最主要对象。特别是非法获取电子银行、证券交易、期货交易等网络金融服务的账号、口令等身份认证信息的活动非常猖獗。从实践来看,不少行为人在非法获取相关账号、密码后并不直接转移该账号中的资金,而是将账号、密码等数据销售给他人获利。基于此,《危害计算机信息系统安全犯罪解释》对网络金融服务的身份认证信息予以重点保护,根据司法实践的情况,综合行为的社会危害性,规定“获取支付结算、证券交徂精鄙驼拭柑按郸呆仿、期货交易等网络金融服务的身份认证信息十组以上的”构成非法获取计算机信息系统数据“情节严重”。
需要提及的是,《危害计算机信息系统安全犯罪解释》起草过程中,有意见提出,非法获取网络金融服务的身份认证信息的人罪标准应当设定为一组以上,也即只要实施非法获取网络金融服务的身份认证信息的行为即构成犯罪主要考虑如下:《最高人民法院、最高人民检察院关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》(法释[2009]19 号)第1条第1款规定“复制他人信用卡将他人信用卡信息资料写人磁条介质芯片或者以其他方法伪造信用卡1张以上的应当认定为刑法第一百七十七条第一款第(四)项规定的“伪造信用卡’,以伪造金融票证罪定罪处罚。”非法获取网络金融服务的身份认证信息与“伪造信用卡”的性质基本相同,危害也基本一样,故规定非法获取网络金融服务的身份认证信息1组以上的标准是适当的。经研究认为,非法获取网络金融服务的身份认证信息的行为与伪造信用卡的行为存在一定的差异前者可能并不能直接窃取账户资金(如在账户所有人修改密码的情况下)而后者可以直接窃取资金。基于此,两者在入罪标准方面应当有所差异。因此,综合考虑司法实践的情况,《危害计算机信息系统安全犯罪解释》将非法获取网络金融服务的身份认证信息的人罪标准设定为“十组以上”
2.获取其他身份认证信息构成“情节严重”的情形。对于网络金融服务的身份认证信息以外的其他网络服务的身份认证信息,如网络即时通讯、网络邮箱等的身份认证信息,网络盗窃者非法获取这些身份认证信息的案件也较为多发。实践中,网络盗窃者非法获取上述身份认证信息,通常有三种目的:一是通过销售这些账号信息或者窃取这些账号中的虚拟财产(如游戏装备Q币等)获利;二是通过使用这些账号信息减少自己的费用支出,如盗窃他人拨号上网账号上网以减少支付费用;三是通过使用这些账号实施其他违法犯罪行为,如窃取QQ号码后骗取 QQ好友的钱财盗窃邮箱账号后查看他人邮箱内容等。根据司法实践中的具体情况,危害计算机信息系统安全犯罪解释》规定获取网络金融服务以外的身份认证信息“五百组以上的”构成非法获取计算机信息系统数据“情节严重”。
需要注意的是,从司法实践来看,不以牟利或者实施其他违法犯罪活动为目的网络盗窃活动较为少见,但也确实存在。例如,非法侵人一个普通论坛后下载该论坛的数据库,等同于获得了该网站所有用户的账号密码信息(如数十万用户的账号信息),但此种行为的社会危害并不大。《危害计算机信息系统安全犯罪解释》起草过程中,有意见建议将获取网络金融服务以外的身份认证信息的入罪标准规定为“以牟利为目的,获取其他身份认证信息十组以上的”情形。经研究认为,由于非法获取计算机信息系统罪主要目的是保护计算机信息系统安全,因此,一概将非出于牟利或者实施其他违法犯罪活动为目的的非法获取身份认证信息的行为排除在犯罪之外,有违立法本意。适用中确有必要对上述情形予以出罪的,可以适用《刑法》第13 条“但书的规定。因此,危害计算机信息系统安全犯罪解释》最终大幅上调了获取网络金融服务以外的身份认证信息的人罪数量标准,同时未明确规定不以牟利或者实施其他违法犯罪活动为目的非法获取身份认证信息的行为不构成犯罪。司法实践中,对于出于好奇、显示网络技术等目的而实施的打包盗窃论坛身份认证信息等行为,即使获取身份认证信息超过五百组的,由于社会危害性也不大,也应当适用《刑法》第13条“但书”的规定不宜入刑事打击的范围。
司法实践中,要准确把握《危害计机信息系统安全犯罪解释》规定的一“组”身份认证信息的概念。所谓一组身份认证信息,是指可以确认用户在计算机信息系统上操作权限的认证信息的一个组合比如某些网上银行需要用户名、密码和动态口令就可以转账,那么用户名、密码和动态口令就是一组身份认证信息;有的网上银行除上述三项信息外还需要手机认证码才可以转账,缺一不可,那么这四项信息才能构成一组身份认证信息。但是,对于身份认证信息,特别是密码信息,很多用户有经常更改密码的习惯,故认定一组身份认证信息不应以在办案过程中是否可以实际登录使用为判断标准,而应结合其非法获取身份认证信息的方法判断该身份认证信息在被非法获取时是否可用为依据,如使用的木马程序能有效截获用户输人的账号密码,则不管该密码当前是否可用,只要是使用该木马程序截获的账号、密码,就应认定为一组有效身份认证信息。
3.非法控制计算机信息系统构成“情节严重”的情形。在非法侵人计算机信息系统后,并未破坏计算机信息系统的功能或者数据,而是通过控制计算机信息系统实施特定操作的行为被称为“非法控制计算机信息系统”。很多攻击者通过控制大量计算机信息系统形成僵尸网络(Botnet),据统计全世界的僵F网络75%位于我国,有的僵尸网络控制的计算机信息系统甚至多达数十万台这已成为我国互联网安全的重大隐患。针对上述问题,《危害计算机信息系统安全犯罪解释》将非法控制计算机信息系统台数作为衡量情节严重的标准之一,即非法控制计算机信息系统 20 台以上的,应当认定为“情节严重”。
例如,被告人耿某在 2015 年至2016 年间通过联网以利用电脑漏洞植入木马的方式,非法控制计算机信息系统后出租给他人,以牟取不法利益。经勘验耿某于2016年1月29日非法控制计算机信息系统50台。法院经审理认为,被告人耿某违反国家规定非法控制计算机信息系统,其行为已构成非法控制计算机信息系统罪,判处有期徒刑1 年6个月处金人民币2万元
4.违法所得或者造成经济损失构成“情节严重”的情形。非法获取计算机信息系统数据、非法控制计算机信息系统行为的主要目的是牟利,且易给权利人造成经济损失,因此,《危害计算机信息系统安全犯罪解释》将违法所得数额和财产损失数额作为衡量情节严重的标准之一。
从实践来看,难以对身份认证信息以外的计算机信息系统数据的入罪标准作出统一规定。例如,人侵教育部门证件信息查询系统并获取毕业证、学位证信息的行为,具体的人罪标准就难以设定。此外,有些非法获取身份认证信息非控制计算机信息系统的行为,虽然数量未达到前述标准,但非法获利数额可能非常大,如盗窃一个QQ 号码销售获利数万元,有必要予以刑事惩治。基于上述考虑,《危害计算机信息系统安全犯罪解释》将违法所得作为入罪标准之规定违法所得5000元以上的构成“情节严重”。
非法获取计算机信息系统数据和非法控制计算机信息系统可能造成经济损失,如获取他人拨号上网账号后使用该账号免费上网,可能给网络接入服务商造成经济损失;获取网上需要付费的服务(如网上查询高考成绩通常需要付费)的账号并使用该账号获得服务并规避支付费用,实质上给服务提供商造成了收人上的损失;非法控制计算机信息系统如控制托管服务商的主机并免费使用主机上的存储空间建设网站,实际上造成了托管服务商的主机出租收人的损失。基于此,《危害计算机信息系统安全犯罪解释》将造成经济损失作为人罪标准之一,规定造成经济损失 1 万元以上的构成“情节严重”。
5.其他构成“情节严重”的情形。考虑到司法实践的情况十分复杂,《危害计算机信息系统安全犯罪解释》设置了兜底项,对于不符合上述情形,但确实达到情节严重程度,如造成恶劣社会影响的,也可以按照犯罪处理。
6构成“情节特别严重”的情形。《危害计算机信息系统安全犯罪解释》根据非法获取计算机信息系统数据、非法控制计算机信息系统犯罪的性质和危害程度,并参照以往有关司法解释,以“情节严重”的五倍为标准,对“情节特别严重”作了规定。