随着计算机信息技术的飞速发展和广泛应用,针对计算机信息系统存储、处理或者传输数据的违法犯罪行为也呈现出广泛性、多样性和复杂性等特点,由此导致的社会危害性也不断增大。
以浙江省杭州市余杭区检察院办理的“撞库打码牟利”一案为例:2015年1月,叶某编写了用于批量登录淘宝账号、密码的“小黄伞”软件供他人使用,他人在使用“小黄伞”软件时还需在叶某开设的淘宝店上购买验证码充值卡才能对图片验证码进行识别。叶某将图片验证码识别(俗称“打码”)的业务交由张某协助完成。张某又组织多名码工帮助叶某“打码”,并从叶某处收取好处费。2015年1月至9月间,谭某在张某帮助“打码”的情况下,成功获取淘宝账号、密码2.2万余组,并将其非法获取的淘宝账号、密码出售给他人,共获取违法所得25万余元。在该案办理中,司法人员对于行为人主观心理判定、行为方式界分、危害后果认定等方面存有分歧。近日,《人民检察》杂志邀请专家学者和办案检察官就该案中的疑难问题进行研讨。
“小黄伞”软件的性质认定
根据刑法第285条规定,提供侵入、非法控制计算机信息系统程序、工具罪的犯罪对象是专门用于侵入、非法控制计算机系统的程序、工具以及其他程序、工具。办案实践中,司法人员对于涉案程序或软件是否属于“专门用于侵入、非法控制计算机系统的程序、工具”常存有分歧。浙江大学光华法学院教授阮方民认为,提供侵入、非法控制计算机信息系统程序、工具罪的犯罪对象分为两类:一是“专门”用于侵入、非法控制计算机信息系统的程序、工具;二是“非专门”但可以被他人使用于侵入、非法控制计算机信息系统的程序、工具。关于第一类“程序、工具”的特征与范围,根据最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称《解释》)第2条规定,该程序、工具只具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据;未经授权或者超越授权对计算机信息系统实施控制;未经授权或者超越授权侵入计算机信息系统的功能。而关于“其他程序、工具”的认定,其与“专门用于侵入、非法控制计算机信息系统的程序、工具”的主要区别是:“其他程序、工具”所具有的“侵入、非法控制计算机信息系统”功能只是其多项功能中的一种,并非唯一功能。因此,在认定第二类“程序、工具”是否属于犯罪对象时,还应当结合行为人的主观意图,坚持主客观相统一的刑法定罪原则。
对于涉案“小黄伞”软件,浙江省杭州市余杭区检察院检察官李剑分析,“小黄伞”软件具有不断更换IP地址,接入打码平台并突破验证码,自动抓取该淘宝账号对应的昵称、注册时间、是否认证等信息,在未经授权的情况下,非法获取淘宝网计算机信息系统上的数据等功能。可见,“小黄伞”软件具有突破计算机信息系统安全保护措施,未经授权获取计算机信息系统数据的功能,属于《解释》第2条第1项规定的“专门用于侵入、非法控制计算机信息系统的程序”。
“提供”与“侵入”的界分
提供侵入、非法控制计算机信息系统程序、工具罪的客观行为为“提供”。对于“提供”与非法获取计算机信息系统数据罪中的“侵入”的界分,办案实践中也存在不同观点。对此,中南财经政法大学法治发展与司法改革研究中心教授郭泽强认为,“提供”应当是为违法犯罪行为提供帮助、创造条件。立法上基于打击危害计算机信息系统犯罪的考虑,刑法第285条第3款将该帮助行为正犯化。而“侵入”是指违背被害人意愿,非法进入计算机信息系统的行为,其表现形式既包括采取技术手段破坏计算机安全防护措施进入计算机信息系统的行为,也包括未经被害人授权或超出被害人授权范围进入计算机信息系统的行为。“侵入”的重点在于“违背意愿”与“非法进入”。其中,“违背意愿”强调“侵入”行为与被害人之间的直接互动,“非法进入”则表现出行为影响计算机信息系统的现实性或紧迫性。
该案办理中,有观点主张将叶某、张某制售“小黄伞”软件牟利评价为非法获取计算机信息系统数据罪中的“侵入”行为。对此,阮方民主张应回归立法本意来考量。他认为,刑法修正案(七)对刑法第285条增设了两款及相应增设了两个独立的罪名:第2款的“非法获取计算机信息系统数据、非法控制计算机信息系统罪”和第3款的“提供侵入、非法控制计算机信息系统的程序、工具罪”,将“提供”行为与通过“侵入”而“获取”或“控制”的行为进行剥离,各自独立成罪,表明了不把“提供”行为作为“侵入”行为的帮助行为一并进行否定评价,而予以独立否定评价的立法意图。因此,叶某、张某将专用于侵入计算机信息系统的“小黄伞”软件有偿出售给谭某,依法应认定为“提供”。
如何理解“情节严重”
对非法获取计算机信息系统数据罪和提供侵入、非法控制计算机信息系统程序、工具罪的认定,均需达到“情节严重”的程度。阮方民认为,作为计算机信息系统犯罪构成要件的“情节”,其性质是指已发生的现实危害,包括实施相关行为达到相应数量、次数或者违法所得、造成的经济损失达到相应的标准。而对于《解释》第1条规定的“其他情节严重的情形”的界定,郭泽强主张结合犯罪涉及的信息种类与数量、造成的经济损失或违法所得进行判断。对于财产类的信息,犯罪达到情节严重所要求的信息数量标准应低于其他非财产信息的数量标准,这主要是充分考虑到非法获取计算机信息数据行为的目标和造成的主要危害是在财产领域。同时,当信息性质和数量难以认定时,可以通过对违法所得或造成的经济损失以及全案证据进行综合判断。
对于计算机类犯罪中涉案数据的计算标准,中国人民公安大学教授王铼认为,刑法第285条规定的数据具有特定性,专指身份认证信息,信息的计算单位为组。所谓“身份认证信息”,是由一系列口令、账户、密码、数字证书等组成,能够在人机交互模式下进入计算机信息系统的数据。“组”以行为人能否在掌握上述信息后通过计算机信息系统的认证并进入该系统为判断依据。该案中,有观点认为对于2.2万余组账号、密码需要登录淘宝网抽样检测,用以确定该2.2万余组账号是否属于非法获取且能成功登录的账号密码。李剑认为不必开展这样的侦查实验,应认定谭某通过“小黄伞”验证成功且已经售出的淘宝账号密码一共有2.2万余组。
关于该案定性,阮方民、王铼、李剑认为,谭某构成非法获取计算机信息系统数据罪,叶某、张某构成提供侵入计算机信息系统程序罪的共同犯罪。郭泽强认为,谭某构成非法获取计算机信息系统数据罪。叶某为提供侵入计算机信息系统程序罪共同犯罪的主犯,同时与谭某构成非法获取计算机信息系统数据罪的共同犯罪。叶某的一个行为满足数个犯罪构成,成立提供侵入计算机信息系统程序罪与非法获取计算机信息系统数据罪的想象竞合犯,应当择一重罪处罚。张某为提供侵入计算机信息系统程序罪共同犯罪的从犯。
此外,专家们还就计算机类犯罪案件中行为人主观心理证明问题谈了自己的看法。阮方民认为,对涉及提供专门用于侵入、非法控制计算机信息系统的程序、工具的,不要求考查行为人是否具有明知就能定罪;而对涉及提供其他程序、工具的,则要求查明行为人明知使用人将其获取的程序、工具是用于违法犯罪用途的,才能定罪。李剑谈到,对于“明知”的证明标准,司法实践中可以通过行为人供述、审查同案人员的供述以及调取客观性证据等来认定。
(详见《人民检察》2018年第14期)