《刑法》第285条第3款规定了提供法控制计算机信息系统序工具罪,具体包括提供专门用于侵人、非法控制计算机信息系统的程序、工具和明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具两种行为方式。因此,明确“专门用于侵人、非法控制计算机信息系统的程序、工具”的范围,是正确处理相关案件的前提和基础。
1.“专门用于侵人、非法控制计算机信息系统的程序、工具”与“专门用于非法获取计算机信息系统数据的程序工具”的关系。《刑法》第285条第3款的用语是“专门用于侵人、非法控制计算机信息系统的程序、工具”,从字面上看没有涉及专门用于非法获取数据的工具。但是,所谓“专门用于侵人计算机系统的程序、工具”主要是指专门用于非法获取他人登录网络应用服务、计算机系统的账号、密码等认证信息以及智能卡等认证工具的计算机程序、工具。很显然,除专门用于实施非法侵入计算机信息系统的程序、工具外,通过非法侵人计算机信息系统而非法获取数据的专门性程序、工具也应当纳入“专门用于侵人计算机信息系统的程序、工具”的范畴,这并未超越刑法用语的规范含义。因此,“专门用于侵人、非法控制计算机信息系统的程序、工具”,既包括专门用于侵人、非法控制计算机信息系统的程序、工具,也包括通过侵人计算机信息系统而非法获取数据的专门性程序、工具。顺带需要提及的是,基于同样的理由《刑法》第285条第3款后定的“明知他人实施非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具”,这里的“侵人”既包括非法侵人计算机信息系统行为,也包括通过侵入计算机信息系统而非法获取数据的行为。
具体而言根据《刑法》第 285 条规定的犯罪行为可以将“专门用于侵入非法控制计算机信息系统的程序、工具”分为三类:一是专门用于实施非法侵入计算机信息系统的程序、工具;二是通过非法侵人计算机信息系统而非法获取数据的专门性程序、工具;三是专门用于非法控制计算机信息系统的程序、工具。
2.“专门用于侵人、非法控制计算机信息系统的程序、工具”与中性程序、工具的界分。界定“专门用于侵入、非法控制计算机信息系统的程序、工具”,关键在于明确“专门”一词的涵义。《刑法》第 285 条第3款的“专门用于侵非法控制计算机信息系统的程序、工具”,“是指行为人所提供的程序、工具只能用于实施非法侵人非法控制计算机信息系统的用途”@可见其区别于一般的程序、工具之处在于此类程序、工具专门是用于违法犯罪目的,而不包括那些既可以用于违法犯罪目的又可以用于合法目的的“中性程序”。因此,“专门”是对程序、工具本身的用途非法性的限定,是通过程序、工具本身的用途予以体现的。而程序、工具本身的用途又是由其功能所决定的,如果某款程序、工具在功能设计上就只能用来实施控制、获取数据的违法行为,则可以称之为“专门工具、程序”。经研究认为,从功能设计上可以对“专门用于侵人、非法控制计算机信息系统的程序、工具”作如下限定:
首先,程序、工具本身具有获取计算机信息系统数据控制计算机信息系统的功能。如前所述就刑法规范的逻辑而言,《刑法》第285条第3款应当是前两款的工具犯。《刑法》第285条第3款规定的“专门用于侵人、非法控制计算机信息系统的程序工具”实质上是指专门用于实施《刑法》第285条规定之罪的程序、工具。需要注意的是由于专门用于实施非法侵入计算机信息系统的程序、工具较为少见,而且难以从功能上对其作出界定,对其主要应通过主观设计目的予以判断(《危害计算机信息系统安全犯罪解释》第2条第3 项的规定)。基于上述考虑,这里主要强调了程序、工具本身的获取数据和控制功能。
其次,程序、工具本身具有避开或者突破计算机信息系统安全保护措施的功能。有不少木马程序既可用于合法目的也可用于非法目的,属于“中性程序”比如Windows系统自带的Terminal Service(终端服务)也可以用于远程控制计算机信息系统,很多商用用户运用这种远程控制程序以远程维护计算机信息系统。通常情况下,攻击者使用的木马程序必须故意逃避杀毒程序的查杀和防火墙的控制,故此类木马程序区别于“中性的”商用远程控制程序的主要特征是其具有“避开或者突破计算机信息系统安全保护措施”的特征,如自动停止杀毒软件的功能、自动卸载杀毒软件功能等,在互联网上广泛销售的所谓“免杀木马程序即属于此种类型的木马程序。因此,《危害计算机信息系统安全犯罪解释》将“专门用于避开或者突破计算机信息系统安全保护措施”作为界定标准之一。
最后,程序工具获取数据和控制的功能,在设计上即能在未经授权或者超越授权的状态下得以实现。这是专门程序、工具区别于“中性程序、工具”的典型特征,是该类程序违法性的集中体现。如“网银大盗”程序,其通过键盘记录的方式,监视用户操作,当用户使用个人网上银行进行交易时,该程序会恶意记录用户所使用的账号和密码,记录成功后,程序会将盗取的账号和密码发送给行为人。该程序在功能设计上即可在无须权利人授权的情况下获取其网上银行账号、密码等数据。“中性”程序、工具不具备在未经授权或超越授权的情况下自动获取数据或者控制他人计算机信息系统的功能。
3.“专门用于侵人、非法控制计算机信息系统的程序、工具”的具体范围。基于上述考虑,《危害计算机信息系统安全犯罪解释》第2条对“专门用于侵人非法控制计算机信息系统的程序、工具”的具体范围作了规定。第1项第2项将具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能或者对计算机信息系统实施控制的功能的程序工具列为“专门用于侵人、非法控制计算机信息系统的程序、工具”。这两类程序都符合了上述三个要件,明显有别于“中性程序”能够被认定为“专门性程序、工具”。此外,第3 项还列出了其他专门设计用于侵人、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。在黑客攻击破坏活动中还存在很多专门为实施违法犯罪活动而设计的程序、工具,比如攻击者针对某类网吧管理系统的漏洞专门设计的侵人程序,针对某个网络银行系统设计专用的侵人程序,此类程序难以进行蟑翻摄细分类并一一列举,也难以准确地概括其违法性的客观特征。因此,此处规定并不是通过程序的客观特性界定其范围,而是通过设计者的主观动机予以界定,具体哪些程序属于这一范畴应当具体情况具体分析。
司法实践中需要注意木马程序的认定问题。木马程序(英文名为 TrojanWooden-Horse,全称为特洛伊木马),是指潜伏在电脑中,受外部用户控制以窃取本机信息或者控制权的程序。木马程序对计算机信息系统的破坏十分有限难以纳人“计算机病毒等破坏性程序”的范围。对于其中的恶意木马程序,应当认定为“专门用于侵人、非法控制计算机信息系统的程序、工具”。需要注意的是,与制作、传播病毒等破坏性程序构成破坏计算机信息系统罪要求出现“影响计算机信息系统正常运行”不同根据《刑法》第285条第3款的规定提供侵人非法控制计算机信息系统的程序、工具,只要情节严重的,既可构成犯罪,无须判断是否出现影响计算机信息系统正常运行的结果。例如,在“温柔”系列木马案中,2007年6月至2008 年8月间告人某某曾某某等先后编写出针对40余款网络游戏的木马程序。2008年2月起被告人严某某接受曾某某委托,将该系列木马程序以其女友陈某某的网名“温柔”命名并总代理销售。此后,吕某某又将该木马程序修改后分包给不同的一级代理商张某甲、张某乙等人。由此,逐步形成了以严某某、陈某某为总代理,张某甲、张某乙等数十人为分代理的销售网络。至案发前,吕某某等人制售的“温柔”系列木马程序达28款,盗窃游戏账号密码超过530万组。被告人吕某某曾某某二人共同获利64.5万余元严某某陈某某共获利31万元。吕某某曾某某严某某等11名被告人分别因犯提供侵人计算机信息系统程序罪和非法获取计算机信息系统数据罪被法院判处刑罚。对于此类案件,主要是从提供的程序、工具的人次、违法所得和经济损失数额等方面判断行为的情节严重程度,从而判断是否构成提供侵人、非法控制计算机信息系统程序工具罪而是否影响计算机信息系统正常运行并非该罪的构成特征。
4.“专门用于侵人非法控制计算机信息系统的程序工具”的认定程序专门用于侵人、非法控制计算机信息系统的程序工具由于专业性较强,根据《危害计算机信息系统安全犯罪解释》第 10条的规定,应当委托省级以上负责计算机信息系统安全管理工作的部门检验,司法机关根据检验结论,并结合案件具体情况认定。关于检验部门的具体范围,应当根据《计算机信息系统安全保护条例》(国务院第 147 号)第6条的规定确定。该条规定公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。”因此,在司法实践中,应当根据案件的具体情况,由公安机关、安全机关或者保密部门等部门出具检验结论。必要时,为了确保司法认定的准确性,也可以委托具有相关鉴定资质的司法鉴定机构进行鉴定,检验部门结合鉴定意见综合判断后出具检验结论。最终,司法机关根据检验结论,并结合案件具体情况认定。四
需要注意的是,根据《网络犯罪程序意见》的规定,对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具检验报告。据此,对于是否属于专门用于侵人、非法控制计算机信息系统的程序、工具,也可以由公安部指定的机构出具检验报告。