2020年12月31日,最高人民法院发布第145号指导性案例:被告人张竣杰等非法控制计算机信息系统案。
该案的基本案情是:自2017年7月开始,被告人张竣杰、彭玲珑、祝东、姜宇豪经事先共谋,为赚取赌博网站广告费用,在马来西亚吉隆坡市租住的Trillion公寓B幢902室内,相互配合,对存在防护漏洞的目标服务器进行检索、筛查后,向目标服务器植入木马程序(后门程序)进行控制,再使用“菜刀”等软件链接该木马程序,获取目标服务器后台浏览、增加、删除、修改等操作权限,将添加了赌博关键字并设置自动跳转功能的静态网页,上传至目标服务器,提高赌博网站广告被搜索引擎命中几率。截止2017年9月底,被告人张竣杰、彭玲珑、祝东、姜宇豪链接被植入木马程序的目标服务器共计113台,其中部分网站服务器还被植入了含有赌博关键词的广告网页。后公安机关将被告人张竣杰、彭玲珑、祝东、姜宇豪抓获到案。
公诉机关以破坏计算机信息系统罪对四人提起公诉。江苏省南京市鼓楼区法院最后判决四被告人违反国家规定,对我国境内计算机信息系统实施非法控制,情节特别严重,构成非法控制计算机信息系统罪,系共同犯罪。公诉机关以破坏计算机信息系统罪予以指控不当。
在裁判理由中,法院认为:被告人虽对目标服务器的数据实施了修改、增加的侵犯行为,但未造成该信息系统功能实质性的破坏或不能正常运行,也未对该信息系统内有价值的数据进行增加、删改,其行为不属于破坏计算机信息系统犯罪中的对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的行为,应认定为非法控制计算机信息系统罪。
最高院确立的裁判要旨有两点:1.通过植入木马程序的方式,非法获取网站服务器的控制权限,进而通过修改、增加计算机信息系统数据,向相关计算机信息系统上传网页链接代码的,应当认定为刑法第二百八十五条第二款“采用其他技术手段”非法控制计算机信息系统的行为。2.通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,符合刑法第二百八十五条第二款规定的,应当认定为非法控制计算机信息系统罪。
应该看到,该裁判要旨第1条明确了具体个案的行为定性,具有类案参考意义。更应该值得注意的是第2条,通过对非法控制计算信息系统行为和破坏计算机信息系统行为的界分,明确了破坏计算机信息系统罪的适用规则,即修改、增加计算机信息系统数据,没有造成系统功能实质性破坏或者不能正常运行的,不构成破坏计算机信息系统罪。这是最高院首次对刑法第286条第2款规定的破坏计算机信息系统罪的适用进行直接回应,而该条款被业界认为是网络时代的“口袋”条款。
根据刑法第286条第2款的规定,“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的”,就可以构成破坏计算机信息系统罪。在以往的司法实践中,由于该条文并没有像破坏计算机信息系统罪的其他条款一样明确规定“造成计算机信息系统不能正常运行”的罪状,导致司法机关普遍认为该条款的适用不需要“造成计算机信息系统不能正常运行”的构成要件,只要对计算机信息系统中的数据或应用程序进行增删改,达到司法解释规定的后果严重的标准就可构成犯罪。本指导性案例中,公诉机关指控行为人构成破坏计算机信息系统罪正是基于这样一种逻辑。
经过笔者的观察和统计,在司法实践中,对刑法第286条第2款采取上述适用逻辑的是一种常态。如非法删除交警支队计算机信息系统中的交通违章数据;删除教务管理系统中学生的处分数据信息;修改工商局综合业务管理平台中企业的名称、经营范围数据信息;删除电商平台中的差评记录等等,都有被认定为破坏计算机信息系统罪的判例。而事实上,这些增、删、改数据的行为,并没有导致计算机信息系统本身不能正常运行。
针对这一现象,笔者曾撰文指出,由于网络领域中的任何活动都会涉及对数据的增删改,破坏计算机信息系统罪不仅会成为发生在网络中的传统犯罪和其他纯正网络犯罪的“口袋罪”,也会沦为网络领域中新型违法犯罪行为的“口袋罪”。如上述对各类业务系统中数据的增删改行为,本质上是对计算机信息系统所承载的业务活动或业务秩序造成破坏或妨碍,而不是对计算机信息系统本身的运行造成破坏,但最后都以破坏计算机信息系统罪进行认定。如此一来,一个破坏计算机信息系统罪几乎可以规制网络领域当中的所有犯罪,这显然出了问题。
为此,笔者曾提出,首先,应明确破坏计算机信息系统罪的立法原意,明确本罪的法益保护范围,也即本罪保护的法益是计算机信息系统本身的运行安全,而不是计算机信息系统中承载的网络业务活动秩序和网络空间管理秩序。对于侵犯后者的行为,应由相应的罪名进行规制。其次,为消除司法实践的理解偏差,应在立法层面进行及时修正,在本罪条文中增加“导致计算机信息系统不能正常运行”的罪状,明确构成要件。再次,在立法未变的情况下,应在司法实践中对本罪进行严格的限制解释。特别是对本罪中的“数据”,应解释为与计算机信息系统运行有关的数据,而不是泛指计算机信息系统中的一切数据。由此,使破坏计算机信息系统罪回归到刑法本应规制的范围,防止本罪成为网络时代无边无际的“口袋罪”。
此次,最高院借由第145号指导性案例确立的裁判要旨,可以说是在司法层面对破坏计算机信息系统罪适用的限缩,无疑具有重大的意义和价值。主要体现在两个方面:
一方面,明确对计算机信息系统中存储、处理、传输的数据进行删除、增加、修改,也需要造成计算机信息系统不能正常运行,才能构成破坏计算机信息系统罪。由此,明确了本罪保护的法益是计算机信息系统的运行安全,规制的是在实质上破坏计算机信息系统正常运行的行为,与破坏计算机信息系统罪的其他条款保持了一致。
另一方面,强调构成破坏计算机信息系统罪的关键在于“造成系统功能实质性破坏或者不能正常运行”。特别值得注意的是,第145号指导性案例中原审理法院认为不构成破坏计算机信息系统罪的理由是:未造成该信息系统功能实质性的破坏或不能正常运行,也未对该信息系统内有价值的数据进行增加、删改。而最高院在裁判要旨中删除了后半句却保留了前半句。由此经过最高院的提炼,进一步明确构成破坏计算机信息系统罪的关键在于造成信息系统功能实质性破坏或不能正常运行,而不是信息系统中的数据是否有价值。将计算机信息系统中数据的价值判断完全剔除出去,也表明即使数据有重要价值,也不是构成破坏计算机信息系统罪的关键。对数据的增删改行为,仍然需要造成计算机信息系统不能正常运行,才能构成破坏计算机信息系统罪。这勒紧了司法实践借由刑法第286条第2款进行扩张的“袋口”,是本指导性案例最大的意义和价值所在。