精品工程利用向系统植入漏洞程序取款行为之司法认定——以覃某胜盗窃案为例
计算机信息系统并非法学专业名词,在司法实践的过程中■◆★★■,司法工作人员对★■★“计算机信息系统不能正常运行”以及“影响计算机系统正常运行◆■■◆”的具体内涵难以形成一致意见。然而,这一要素是评价有关行为是否构成破坏计算机信息系统罪之核心要素,有必要对其认定进行明确。
讨论案例中★◆◆◆■,也有对于覃某胜是否构成非法侵入计算机信息系统罪和非法控制计算机信息系统罪的疑问,因此,在认定破坏计算机信息系统罪时要注意该罪与其他相关犯罪的区别。
本期■★◆“精品工程■★■◆★”专栏发布由刑事审判庭法官助理郭琳撰写的《利用向系统植入漏洞程序取款行为之司法认定——以覃某胜盗窃案为例》一文。
6.张明楷:《刑法分则的解释原理》(第二版),北京◆■:中国人民大学出版社,2011年版★◆■。
破坏计算机信息系统罪的第一种手段是破坏系统功能,即删除、修改、增加或者干扰系统功能。与“删除■■、修改、增加■■◆★◆”不同,“干扰◆■” 的含义并非十分明确,从字面上来看是指干预、扰乱。从实质意义上来讲,对系统功能实施删除★★★★◆■、修改或者增加的操作也能起到干扰系统功能的效果■◆。[5]但是◆★■◆,既然立法者在“删除、修改、增加”三种方式后还列出了“干扰”并将其置于同等地位,就表示■■■◆★◆“干扰”与其他三种行为方式既存在差异性也存在相当性★■■★★。换言之,干扰是指采用除直接删除◆■★★■■、修改◆■◆、增加计算机信息系统功能以外的手段造成计算机信息系统无法依据设定的程序以及规则对信息进行处理,以致无法正常运行。[6]因此★◆◆◆,“干扰”更像是一种具有兜底性质的行为方式,在实践中经常被使用,也面临着是否具合理性和必要性的质疑。
27.王禹◆◆★:“计算机信息系统犯罪的行为透视——以★★◆★■◆‘破坏’和‘非法控制’的界限与竞合为视角”,《江西警察学院学报》,2019年第2期★★■■。
21.刘宪权:“《刑法修正案(十一)》中法定刑的调整与适用■◆■”■◆◆■★,《比较法研究》,2021年第2期★★★◆★★。
17.陈洪兵:《财产犯罪之间的界限与竞合研究》◆◆◆■,北京★★◆:中国政法大学出版社★★■,2014年版。
被告人覃某胜是华夏银行股份有限公司科技开发中心开发部门经理,其主要职责包括组织所负责应用系统的设计和开发★◆◆、核心系统(即银行帐目系统)的开发、测试和运行维护及对室内工作人员进行管理等。华夏银行系统在每日22时30分左右会开启夜间模式状态,主系统进行跨日的一些数据操作★■◆◆■,夜间库会提供正常对外交易(ATM★■★★◆◆、网银◆◆◆★★◆、手机银行等)。夜间模式状态会在第二日的0时30分左右结束,系统会将夜间库里发生的成功交易补充到主系统中,而失败的交易不会补充到主系统◆★。
笔者认为,破坏计算机信息系统罪的法益不应当涵盖系统中所存储的数据的安全。目前,大数据的应用日趋广泛,数据一方面包含在计算机信息系统内,从另一方面来讲,数据还往往具有其独立的财产性价值或承载着人身性利益,却不必然和系统的运行有直接相关性。如果对这些数据进行破坏,将直接损害数据拥有者的利益,因此,笼统地定破坏计算机信息系统罪是不合适的,而应根据数据所体现的具体利益来适用相应的罪名,如侵犯公民个人信息罪■★■★、侵犯商业秘密罪等其他罪名。如果把系统中的数据安全包含于破坏计算机信息系统罪的法益之中,那么会导致该罪出现口袋化的结果。因此,该罪之法益应当被限定为计算机信息系统的运行安全,对数据的破坏只有造成系统不能正常运行时才成立此罪。
29.周立波★★:◆◆★“破坏计算机信息系统罪司法实践分析与刑法规范调适——基于100个司法判例的实证考察”,《法治研究》,2018年第4期。
本案涉及的系统是银行核心系统,是指以客户为中心★★■★■,进行账务处理、满足综合柜员制、并提供24小时服务的金融行业银行核心业务系统◆◆◆,提供的服务包括存款、贷款、结算、代理等。覃某胜向银行核心系统植入漏洞程序■■◆■★,使其控制的华夏银行卡通过夜间跨行ATM机取款交易更改为失败因而不计入客户账◆■,虽然使银行核心系统的运行出现了漏洞◆★★■★,但不影响其他正常交易在夜间模式状态结束后被补充到主系统中■◆,不能起到使银行账目系统崩溃,存贷款★■■、会计核算等核心业务无法展开的作用,并未导致银行核心系统不能正常运行◆◆★◆■■。
就非法控制计算机信息系统罪[12]而言,刑法和司法解释都未对其中的 ★■“非法控制◆■★”进行规定★■。非法控制实质上并不一定要求完全剥夺他人对系统的控制权限■★◆,其核心是非法取得他人一定的操作权限,从而可以控制系统按照行为人的目的进行某项操作,[13]而对系统进行破坏的具体行为方式也符合非法控制的本质,因而两罪并非完全对立。一般而言★◆■◆★★,非法控制较破坏的违法性轻,外延大。当部分非法控制行为可以被视为破坏★■★,且当非法控制达到一定的程度时,则可以将该其评价为破坏计算机信息系统罪。如果控制行为并未造成系统不能正常运行★◆■■■,那么就只能适用非法控制计算机信息系统罪。例如,通过木马软件入侵网站并违法植入广告◆◆■★★,即使在一定程度上控制了系统执行特定操作,但并未导致系统无法正常运行,因而只能适用非法控制计算机信息系统罪■■★。本案中■■◆,覃某胜向银行核心系统植入漏洞程序的行为并未非法取得他人的操作权限,也并未控制银行核心系统进行一定的操作★★◆★■■,不构成非法控制计算机信息系统罪。
22.刘宪权:“网络黑灰产上游犯罪的刑法规制”,《国家检察官学院学报》,2021年第1期。23.皮勇:“网络黑灰产刑法规制实证研究”,《国家检察官学院学报》,2021年第1期◆◆◆★。
39.赵廷光、皮勇:■◆◆★“关于利用计算机实施盗窃罪的几个问题”,《中国刑事法杂志》◆★■◆,2000年第2期★◆◆。
[13]胡云腾:《网络犯罪刑事诉讼程序意见暨相关司法解释理解与适用》★◆★◆■,北京:人民法院出版社,2014年版,第94-95页★◆◆★■。
对于本案被告人覃某胜是否构成破坏计算机信息系统罪,有观点认为◆■★★,覃某胜将漏洞程序植入银行核心系统这一行为导致银行核心系统无法正常运行◆◆■,并造成了严重的财产损失,构成破坏计算机信息系统罪。另一观点认为,覃某胜虽然向银行核心系统植入了漏洞程序■◆◆■★★,但其行为并未对系统的核心功能(如存贷款和资金核算)产生实质性影响■■★,没有造成系统无法正常运行,不构成破坏计算机信息系统罪。可见,司法实践中对于破坏计算机信息系统罪的认定尚存争议★◆■◆★。目前社会已进入互联网高度发展的大数据时代,人们生活中的许多活动没有互联网都无法开展,计算机信息系统在现代社会中发挥着巨大的作用。科技的进步和发展不仅给人们的生活带来了便利◆★■■◆◆,也给社会带来了挑战,利用计算机信息系统实施的犯罪越来越多★■■■■,计算机系统的安全和稳定也面临巨大的威胁■◆。在这种情况下★■,法律应发挥其作用对犯罪行为进行更好的规制以维护网络安全及秩序。
[2]高铭暄■■■◆★■:《中华人民共和国刑法的孕育诞生和发展完善》,北京■★★◆★:北京大学出版社◆■◆■★,2012年版,第513页★■■★◆。
本案涉及的系统是银行核心系统,是指以客户为中心★★■◆,进行账务处理、满足综合柜员制★◆、并提供24小时服务的金融行业银行核心业务系统■★◆■◆,提供的服务包括存款◆■★、贷款★★◆◆、结算、代理等。破坏计算机信息系统罪的第一种手段是破坏系统功能◆◆■■,即删除、修改★◆、增加或者干扰系统功能。覃某胜将漏洞程序植入银行核心系统◆★★,导致他所控制的华夏银行卡夜间在ATM机取款交易更改为失败从而无法计入客户账,破坏了银行核心系统的安全,影响了系统功能的可用性,构成对银行核心系统功能的干扰。但是◆■,构成破坏计算机信息系统罪须对系统功能进行干扰造成系统不能正常运行。计算机信息系统不能正常运行一般是指对系统进行破坏从而导致其出现迟缓◆◆◆■、崩溃或强制进行其他操作等情况◆◆◆。笔者认为,造成系统不能正常运行须使系统无法按照原来设计的方式运行,系统的主要功能不能使用。覃某胜向银行核心系统植入漏洞程序,该程序的功能是使其控制的华夏银行卡通过夜间跨行ATM机取款交易更改为失败因而不计入客户账,不影响其他正常交易在夜间模式状态结束后被补充到主系统中■■★◆◆◆,不能起到使银行账目系统崩溃,存贷款◆◆、会计核算等核心业务无法展开的作用,没有导致系统无法正常运行的情况,不构成破坏计算机信息系统罪。
3.高铭暄:《中华人民共和国刑法的孕育诞生和发展完善》★■★◆,北京◆★■★:北京大学出版社,2012年版。
[10]周立波★◆:“破坏计算机信息系统罪司法实践分析与刑法规范调适”,《法治研究》,2018年第4期,第72页。
覃某胜将漏洞程序植入银行核心系统时并未实际取得财产也并未取得对系统中资金的控制★◆★。覃某胜后续多次在ATM机上取款■★◆◆,并因其之前植入的漏洞程序而使其交易更改为失败不计入客户账从而在银行不知情的情况下取得钱款并用于偿还债务、个人理财等■■◆,主观上具备以非法占有为目的心态■◆■◆◆■,客观上符合秘密窃取的行为标准,应当成立盗窃罪。
[12]非法控制计算机信息系统罪,是指对国家事务、国防建设★★◆◆■、尖端科学技术领域以外的计算机信息系统实施非法控制,情节严重的行为★■★◆◆。
36.俞小海:■★◆★■“破坏计算机信息系统罪之司法实践分析与规范含义重构”■◆■■◆◆,《交学》,2015年第3期。
原标题★◆★:《精品工程利用向系统植入漏洞程序取款行为之司法认定——以覃某胜盗窃案为例》
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。
此外,覃某胜是向银行核心系统植入漏洞程序■◆◆■★★,并未侵入国家事务◆■★、国防建设、尖端科学技术领域的系统,不成立非法侵入计算机信息系统罪◆◆■。覃某胜向银行核心系统植入漏洞程序的行为并未非法取得他人的操作权限★■★★◆★,也并未控制银行核心系统进行一定的操作,不成立非法控制计算机信息系统罪■★◆◆。
在法律适用的过程中,计算机信息系统不能正常运行一般是指对系统进行破坏从而导致其出现迟缓、崩溃或强制进行其他操作等情况。笔者认为,“计算机信息系统不能正常运行”是指系统无法按照原来设计的方式运行,系统的主要功能不能使用;“影响计算机系统正常运行★★■◆★”是指系统还能按照原先的设计进行工作■◆■★◆★,但在运行过程中会出现错误。二者含义并不相同◆■,前者较后者的危害程度高■◆◆■◆◆。笔者认为★◆,破坏系统功能一般只会在特定系统内部进行操作★■■,病毒等程序却能被大面积扩散至其他系统◆★◆★■,且其具有隐蔽性◆★■★◆、传染性等特征,能够破坏数据信息■■,轻则降低工作效率,重则会产生死机的后果★◆◆◆★,甚至导致大范围的计算机无法使用,使计算机用户产生较大损失■■◆◆。因此,若要成立犯罪,对系统功能进行破坏的行为必须达到造成系统不能正常运行的后果,而对计算机病毒等破坏性程序进行制作或者传播则只须达到影响系统正常运行的程度即可。
31.武胜、沈励:“破解■◆★■◆、修改计算机程序对消费卡充值套现构成盗窃罪”,《人民司法(案例)》■■◆,2017年第32期。
2016年11月,覃某胜发现华夏银行核心系统在夜间模式下的交易和实际交易之间存在的时间差有1%~5%的概率会导致成功交易也不入账,因而申请对此缺陷进行测试,银行业务部门向其提供了专门做测试的账户★■★。在安全测试中,覃某胜在银行服务中心使用其帐户登陆华夏银行股份有限公司总行的核心系统应用服务器,将其自主编写的一个漏洞程序强行植入该应用服务器★■★。这种漏洞程序的功能是导致他所控制的华夏银行卡夜间在ATM机取款交易更改为失败从而无法计入客户账★■◆◆◆。在2016年至2018年期间,覃某胜共实施千余次在深夜通过ATM机取款行为◆★■■★,累计实际取款七百多万元未计入其账户。上述款项被覃某胜划转到了其所控制的其他银行帐户,然后再用于偿还债务和个人理财等。在华夏银行股份有限公司发现该银行账户存在问题后,覃某胜退还了上述款项◆★★。
[5]王禹★★◆★◆:■◆“计算机信息系统犯罪的行为透视——以‘破坏★★★’和‘非法控制■◆★◆◆’的界限与竞合为视角”,《江西警察学院学报》,2019年第2期,第112页。
现行司法解释[8]对★◆“后果严重■■◆■◆◆”和◆★◆“后果特别严重”的认定主要从破坏系统的数目、违法所得和经济损失★★■、对系统用户的侵犯以及运行时间等方面进行考量★■。但是★■★,破坏计算机信息系统罪包含于妨害社会管理秩序罪中★★★,评判断后果是否严重应看其对公共秩序造成影响的大小★◆■■■◆。司法解释从经济方面考量作出违法所得或者造成经济损失数额的规定■◆,尽管使后果严重和后果特别严重的认定具有可操作性,却使该规定与维护系统运行安全的初衷背道而驰。按照司法解释的说法■◆,司法实践中出现的很多行为人并未使计算机信息系统的运行受到威胁◆★★◆,但利用破坏计算机信息系统获取经济利益或造成他人财产损失的行为均会被认定为破坏计算机信息系统罪。[9]纵观整部刑法,一般来说,财产类犯罪才会将违法所得和造成损失数额当做定罪量刑的基准,破坏计算机信息系统罪的这一规定会使人认为破坏计算机信息系统罪是财产类犯罪。此外,将违法所得或财产损失等财产性利益作为认定破坏系统后果严重和后果特别严重的指标与其他标准不具有同一性。行为人利用计算机信息系统实施的犯罪行为极易造成经济损失,如此规定在一定程度上会导致破坏计算机信息系统罪沦为口袋化罪名。[10]因此◆◆■◆■,笔者认为,对该罪后果严重和后果特别严重的认定标准中不应有仅从违法所得和造成损失多少这一方面进行评价的规定。违法所得和造成损失应与系统的正常运行相关才能作为衡量后果严重程度的标准。具体而言◆■◆★★■,违法所得应当是由破坏行为本身带来的,而不是实施破坏行为后还须采取替他手段获取利益■◆★◆★★;经济损失应当是破坏行为本身直接侵犯了他人的财产利益,还包括他人恢复原状的必要花销,且和破坏行为之间必须是直接相关的,实施行为时并未造成,未来可能会出现的财产损失并非破坏行为所造成的经济损失■★■。
[8]《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条:“破坏计算机信息系统功能、数据或者应用程序,具有下列情形之一的★■★,应当认定为刑法第二百八十六条第一款和第二款规定的◆★■◆★■‘后果严重★■■■■’:(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的;(二)对二十台以上计算机信息系统中存储◆★■◆★、处理或者传输的数据进行删除、修改★★■、增加操作的;(三)违法所得五千元以上或者造成经济损失一万元以上的■◆◆★◆;(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的◆◆■■◆■;(五)造成其他严重后果的。实施前款规定行为■◆■◆,具有下列情形之一的,应当认定为破坏计算机信息系统‘后果特别严重’■◆:(一)数量或者数额达到前款第(一)项至第(三)项规定标准五倍以上的;(二)造成为五百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为五万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的■■★◆;(三)破坏国家机关或者金融■★★◆、电信★■■■、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序★■◆◆,致使生产★◆■、生活受到严重影响或者造成恶劣社会影响的★◆;(四)造成其他特别严重后果的★■。★■◆”
破坏计算机信息系统罪,是指违反国家规定,实施了法定的破坏计算机信息系统且产生严重后果的行为。对于其法益,有观点认为,该罪的法益为计算机信息系统的运行安全,还有观点认为■◆◆★■,该罪的法益除计算机信息系统的运行安全外还包括储存在系统内数据和应用程序的安全。笔者认为,破坏计算机信息系统罪的法益不应当涵盖系统中所存储的数据的安全■◆。数据往往具有其独立的财产性价值并且承载着人身性利益■★,却不必然和系统的运行有直接相关性。对这些数据进行破坏时应根据数据所体现的具体利益来适用相应的罪名■■■■★。如果把系统中的数据安全包含于破坏计算机信息系统罪的法益之中会导致破坏计算机信息系统罪出现口袋化的结果。因此◆◆■◆,该罪之法益应当被限定为计算机信息系统的运行安全,对数据的破坏只有导致系统无法正常运行时才成立此罪■◆■★。既然明确了该罪的法益★★◆◆,那么破坏系统的行为都应达到造成系统不能正常运行或影响系统正常运行的程度才构成犯罪■★■。
19.陈兴良:“网络犯罪的类型及其司法认定”■◆,《法治研究》◆■■◆★,2021年第3期。
[4]邢永杰★■■◆:■■★◆“破坏计算机信息系统罪疑难问题探析◆■★”,《社会科学家》,2010年第7期★★■,第33页。
16.胡云腾◆◆★:《网络犯罪刑事诉讼程序意见暨相关司法解释理解与适用》,北京★★■:人民法院出版社◆◆★■,2014年版。
本案中的银行核心系统主要是用来进行账务处理,提供存贷款等服务,而系统本身的安全是其功能的保障。覃某胜向银行核心系统植入漏洞程序◆◆■◆★,导致他所控制的华夏银行卡夜间在ATM机取款交易更改为失败从而无法计入客户账,是对银行核心系统安全的破坏◆◆◆,虽然没有增加■■★、删除或修改系统功能★◆,但使银行系统产生了安全隐患,系统无法依据设定的程序以及规则对信息进行处理,影响了系统功能的可用性,与增加、删除或修改系统功能具有相当性,构成对银行核心系统的干扰■◆■■◆■。
20.陈兴良:★■◆“虚拟财产的刑法属性及其保护路径”★★■◆★■,《中国法学》◆★■■◆,2017年第2期■★。
32.涂龙科■■■★◆■:“网络环境下犯罪既遂认定的一般标准与具体标准”,《政治与法律》,2017年第8期。
破坏计算机信息系统罪和非法侵入计算机信息系统罪[11]主要存在如下三个方面的区别:第一,犯罪客体不同◆◆★◆★。前者的犯罪客体为系统的运行安全,后者的犯罪客体为国家予以特殊重视部门的系统安全;第二,犯罪对象不同■■。前者针对的是一切系统,后者针对的是特殊部门的系统;第三,行为方式不同。前者的行为方式为对系统实施破坏◆■■◆★,后者的行为方式为非法侵入,不要求破坏行为;第四★■■◆◆★,犯罪成立标准不同。前者为结果犯,行为须造成严重后果才成立犯罪,后者为行为犯,不要求犯罪行为造成一定的结果★■◆■★。当行为人非法侵入上述三种领域的系统并实施破坏行为时,则存在竞合,应从一重罪处断★■◆■。本案中■◆★★■,覃某胜是向银行核心系统植入漏洞程序,并未侵入法律规定的特定领域的计算机信息系统■◆★◆■◆,不构成非法侵入计算机信息系统罪。
对计算机信息系统功能进行干扰包括外部和内部两种方式。外部干扰是指在计算机信息系统外部发射干扰信号,从而使正常传输的信号受到影响,无法按原来状态进行输出或被接受,导致计算机信息系统无法正常工作■★★■■,如拦截传输信号★■★■、干扰无线电波或挤压宽带等。内部干扰是指在计算机信息系统内执行一定的操作,从而导致系统效率降低,程序不能正常工作,计算机用户无法正常使用■★■■■,如外挂应用程序等。在司法实践中,通过设置下拉提示词◆◆■、放置吸附悬浮窗、投放误导性广告等方式引诱使用者跳转到特定网站的行为通常可以被认定为“干扰”◆◆★■◆。笔者认为★■,如果认定某一行为属于对系统功能实施的干扰■★◆■★■,那么其须与删除◆◆◆■◆★、修改、增加的行为具有相当性,如此才有可能成立犯罪◆★★。具体来说★■■◆◆★,对系统实施干扰须破坏计算机信息系统的可用性。可用性服务是指根据授权实体的要求可被访问和可被使用的性质,也被称为服务保障。信息系统的访问权限及完整性是系统可用性的保障。[7]行为人针对系统功能进行删除、修改、增加或干扰◆◆,导致系统无法正常运行,是对计算机网络安全环境的破坏◆◆■★■,会给系统自身功能的可用性带来影响。完整性是指不因人为的因素而改变网络信息原有的内容、形式和流向★◆■◆★。完整性主要保护数据、软件和程序不受非法删改和破坏。计算机信息系统安全技术需要对不同状态下用户数据的完整性进行保护,包括存储、传输、处理等过程。行为人实施的破坏行为使系统中的数据和应用程序发生变动、全部或部分丧失■★■◆◆,影响其完整性。一般来说★■◆■,破坏计算机信息系统罪第一种和第三种行为方式针对的是系统的可用性,第二种行为方式针对的是系统的完整性。
由于罪状设置的差异,理论界就第二种行为类型关于“后果严重◆■”内涵的认识有所不同。一种观点主张,后果严重是指行为人实施破坏行为导致系统不能正常运行或者影响系统正常运行后所造成的损失,即因危害系统运行安全从而产生严重后果◆★◆。[3]另一种观点主张,除第二种之外的行为类型的后果严重必须与系统正常运行相关,但第二种行为类型的后果严重指的是数据以及应用程序被破坏本身所导致的严重损失★◆■★★◆。[4]
8.陈兴良主编:《刑法疏议》,北京■■■◆◆■:中国人民公安大学出版社,1997年版。
10.刘宪权:《刑法学》(第四版)★★★■■★,上海:上海人民出版社,2016年版■◆。
[7]孟祥丰、白永祥★■◆■★:《计算机网络安全技术研究》,北京理工大学出版社2013年版,第141页。
25.周光权■■■:“刑法软性解释的限制与增设妨害业务罪”■◆,《中外法学》,2019年第4期。
37.邢永杰■★★■■■:“破坏计算机信息系统罪疑难问题探析◆◆■■■★”,《社会科学家》◆■■★★,2010年第7期。
28.赵国玲、邢文升:“利用漏洞转移财物行为的刑法教义学分析”,《国家检察官学院学报》,2019年第2期。
40.覃方超:★◆★■■“信息刑法语境中的破坏计算机信息系统罪研究”,西南科技大学硕士论文,2018年5月。
34.张爱艳、何峰:“我国网络盗窃犯罪的刑法规制”,《刑法论丛》,2017年第2期。
33.刘宪权:◆■◆“网络侵财犯罪刑法规制与定性的基本问题”,《中外法学》,2017年第4期。
本案中★★◆■★,虽然覃某胜植入漏洞程序后累计取款人民币717.9万元,但是★★◆★★,笔者认为◆★◆,银行核心系统并未因该漏洞程序崩溃从而产生其他损失,覃某胜的行为并未造成银行核心系统不能正常运行,因而不能据此认定其行为属于后果严重或后果特别严重。此外■◆◆■◆,覃某胜向银行核心系统植入漏洞程序后并未立即取得财物,只是造成银行有遭受财产损失的风险,其后续的取款行为才造成了财产损失,即其植入漏洞程序的行为本身并未产生违法所得◆■■■,也没有造成银行资金损失◆■★,因此也不属于法律规定的后果严重或特别严重的情形。
30.魏东、田馨睿■■:“刑法解释方法:争议与检讨”,《刑法论丛》,2018年第3期■◆★◆。
前文已述破坏计算机信息系统罪的几种行为方式,从法条表述可以看出,成立该罪须达到◆■■“后果严重”的程度■◆★。除第二种行为方式之外在后果严重之前都有对于系统正常运行方面的描述,所以■◆★◆■★,此二种行为方式中后果严重的内容应当是指对系统所造成的危害。然而★◆◆◆,第二种行为方式却是直接在行为表述后添加后果严重的规定★◆■◆,因此◆■■,前述理解是否同样适用存在争议■■■★■。在前文已经论述过该罪的法益为系统的运行安全的情况下,笔者认为,对上述第二种行为后果严重的认定也应当有所限定,即应当达到使系统的运行安全受影响的程度■◆。
[3]陈兴良:《规范刑法学》(第四版),北京:中国人民大学出版社,2017年版,第814页■◆◆★。
讨论案例中,对于覃某胜的行为是否构成对银行核心系统的干扰,是否造成银行核心系统不能正常运行,是否构成后果严重等问题上皆存在争议◆◆★■■,因此,为了在司法实践中更好地认定破坏计算机信息系统罪,我们必须对其罪状中一些重要要素的含义进行解读。
计算机信息系统的概念为具备自动处理数据功能的系统,包括计算机■★★、网络设备、通信设备、自动化控制设备等[1]。对系统进行破坏包括外力和内力两种形式◆★◆◆★★。外力破坏是指通过一些暴力手段致使计算机受到有形的破坏而不能继续工作◆★★■,此种行为构成故意毁坏财物罪。破坏计算机信息系统罪的行为方式包括下列三种:第一,破坏计算机信息系统功能,即对计算机信息系统功能进行删除★★■■★、修改、增加、干扰◆★◆◆,造成计算机信息系统不能正常运行;第二,破坏计算机信息系统中存储、处理或者传输的数据和应用程序;第三,故意制作◆◆■◆★★、传播计算机病毒等破坏性程序★★★■★◆,影响计算机系统正常运行◆◆★★■■。
[11]非法侵入计算机信息系统罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。
35.孙道萃:“对手机植入破坏性程序并非法牟利的行为定性”,《中国检察官》★■◆★■,2015年第7期。
13.王作富主编:《刑法分则实务研究(下)》(第五版),北京◆★★:中国方正出版社■★■■★★,2013年版■■◆◆。
[9]俞小海★★:★■“破坏计算机信息系统罪之司法实践分析与规范含义重构★■■◆■”,《交学》,2015年第3期★◆◆■,第148页。
24.叶小琴★★◆◆■■、高彩云■★◆■★■:“破坏计算机信息系统行为的刑法认定——基于最高人民法院第104号指导性案例的展开”◆◆★◆,《法律适用》,2020年第14期■◆◆◆★■。
为深入贯彻省高院“1313”工作总体布局和市法院“1237◆■◆■◆★”总体工作思路,认真落实省高院业务工作“精品工程”、市中院★■“精品计划”,大力培育一批在全国■◆◆◆★◆、全省有影响力的精品案例、优秀文书★◆■★★★、典型庭审和高质量水平调研成果,努力打造一支业务精湛、理论水平高的研究型、专家型高素质法院队伍■■◆★◆,全力在推进法院工作现代化新征程上跑出■◆★■★★“加速度■★◆”。2023年2月,双阳法院制定了2023年度“精品工程”工作计划,按照工作计划安排,由院领导◆★◆◆■★、中层正副职■◆◆、员额法官◆◆■◆★■、青年干警等撰写高质量理论文章、司法改革、司法研究■★■◆、司法建议★◆◆■、审判案例◆★■、裁判文书★◆◆★★■、庭审视频◆■★◆、调研文章等内容■★★◆◆,并邀请相关领域专家教授作为外审专家,在审阅后将文章内容发布在微信公众号“精品工程★◆★◆★”专栏★◆■■◆,致力为法院工作高质量发展提供强大价值引导力★■、文化凝聚力和精神推动力。
38.黄泽林:■◆■■★★“网络盗窃的刑法问题研究”,《河北法学》,2009年第1期◆★◆■。
即使认为覃某胜的行为对银行核心系统功能的干扰达到了使其不能正常运行的程度,前文也已经论述过单纯以违法所得或造成损失数额作为认定后果严重程度的标准不尽合理★■■,违法所得和造成损失应与系统的正常运行相关才能作为衡量后果严重程度的标准。具体而言,违法所得应当是由破坏行为本身带来的◆★,而不是实施破坏行为后还须采取替他手段获取利益;经济损失应当是破坏行为本身直接侵犯了他人的财产利益■★■★★★,还包括他人恢复原状的必要花销,且和破坏行为之间必须是直接相关的■■◆■★■,实施行为时并未造成■★★,未来可能会出现的财产损失并非破坏行为所造成的经济损失。虽然覃某胜向银行核心系统植入漏洞程序后累计取款人民币717★★.9万元★★■■★,但其植入漏洞程序这一行为本身并未造成银行核心系统不能正常运行◆◆■★★,其取款数额和银行核心系统的运行安全无关,不能据此认定其属于后果严重或后果特别严重■◆◆。此外,覃某胜向银行核心系统植入漏洞程序后并未立即取得财物,只是造成银行有遭受财产损失的风险■◆,其后续的取款行为才造成了财产损失,即其植入漏洞程序的行为本身并未产生违法所得◆★,也没有造成银行资金损失,因此也没有达到法律规定的后果严重或特别严重的程度■◆★■★◆。综上,覃某胜的行为不构成破坏计算机信息系统罪。
[1]见最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条。
华夏银行系统在每日22时30分到次日0时30分间开启夜间模式状态◆◆★★◆■,该时间段内成功交易会被补充到主系统★■★■,而失败交易不会被补充到主系统。覃某胜编写并植入至银行核心系统的漏洞程序的作用是使其持有的银行卡在夜间使用ATM机取款的交易更改为失败从而不计入客户账。笔者认为,覃某胜在当日22时30分到次日0时30分间使用该卡在ATM机取款,虽然已经实际取得钱款,但由于夜间模式状态尚未结束◆★★■★,可能发生漏洞程序出现错误不起作用或银行系统发现并修复漏洞等情况,此外★■,覃某胜也可能主动放弃犯罪,将该漏洞程序删除◆■◆★■。在上述几种情况下,覃某胜取款交易不会被更改为失败◆◆■★■★,仍然会被补充到主系统中,银行财产并未不当减少,其财产也并未不当增加■★★★,其行为可能构成盗窃未遂或盗窃中止★★。因此■★■,不能以覃某胜在ATM机上将钱款取出的时间作为盗窃既遂的时间点,只有在覃某胜取款次日0时30分夜间模式状态结束,漏洞程序确定发生作用,其夜间取款的交易明确被更改为失败从而未被补充到主系统中,其银行卡账面资金并未减少时才能认定覃某胜构成盗窃罪既遂★◆■。
破坏计算机信息系统罪是97年刑法新增加的罪名,最初设立的目的就在于更好地管理计算机信息系统,加大对其的保护力度,以使其功能得以正常发挥,运行安全得到保障。[2]可以看出,破坏计算机信息系统罪的出现主要是出于保障系统功能和运行安全的考量。上文已经提及破坏计算机信息系统罪有三种主要行为类型,其中第一种和第三种都直接规定了行为须对系统正常运行产生一些后果,可以较为直观地看出维持系统能够正常运行是其所保护的法益◆◆★■。但是■◆★★,第二种行为方式并未规定对数据以及应用程序的破坏程度必须达到对系统正常运行造成一定后果的地步。仅从文字的表面意义来说,其所保护的对象是系统中存在的数据以及应用程序■★◆◆★,而非维持系统能够正常运行。由此便产生了一个值得探讨的问题◆■,即该罪所保护的法益是否有必要涵盖系统中数据以及应用程序的安全。
[6]周光权:“刑法软性解释的限制与增设妨害业务罪”,《中外法学》,2019年第4期★★■◆■,第958页。
18.孟祥丰、白永祥★★■◆★■:《计算机网络安全技术研究》◆★★◆★,北京:北京理工大学出版社,2013年版。
2.高铭暄★■★★■、赵秉志主编:《新中国刑法立法文献资料总览》(第二版)■◆,北京★■:中国人民公安大学出版社,2015年版。
随着计算机和因特网的广泛应用以及现代计算机网络信息处理技术的飞速发展■◆◆★,使用计算机信息系统进行的犯罪活动越来越多◆◆■★。如果行为人将这种犯罪与其他财产犯罪结合起来,将使司法机关更难以处理此类案件。在司法实践中,破坏计算机信息系统罪的定性问题仍然存在争议。本文尝试对覃某胜盗窃案进行研究,梳理清楚该案所涉及的争议性问题■◆★◆★,以期为此类案件的定性问题提供建议和参考。
4.高铭暄主编:《新中国刑法学研宄综述》,郑州★★◆■■◆:河南人民出版社,1986年版,第641页。
在刑法理论中,法益具有明确法律的保护范围、判断行为是否构成犯罪、区分此罪与彼罪、确定罪数的作用,对破坏计算机信息系统罪的法益进行明确有利于对该罪进行更深入的理解■◆■■★。
7.陈兴良★★★◆:《规范刑法学》(第四版),北京:中国人民大学出版社,2017年版■★。
1.高铭暄、马克昌主编:《刑法学》(第八版),北京:北京大学出版社、高等教育出版社★◆,2017年版。
26.李源粒:“破坏计算机信息系统罪‘网络化’转型中的规范结构透视■■★”,《法学论坛》★◆◆★◆,2019年第2期。
郭琳,女★★★,1995年12月生★■★,硕士研究生。2023年7月参加工作,现任长春市双阳区人民法院刑事审判庭(少年法庭)法官助理。
