非法侵入计算机信息系统罪,是指自然人或者单位违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。
一般认为,非法侵入计算机信息系统罪保护的法益是公共秩序,具体来说是国家事务、国防建设、尖端科学技术领域的计算机信息系统的安全和国家管理的秩序。侵入上述计算机信息系统窃取国家秘密或者构成其他犯罪的,按照刑法的有关规定定罪处罚(参见《刑法》第287条)。实施本罪行为,对军事通信造成破坏,同时构成《刑法》第285条、第286条、第369条第1款规定之罪的,依照处罚较重的规定定罪处罚。本罪的责任形式为直接故意,不要求具有特定目的。
自20世纪90年代始,我国计算机技术逐渐普及和发展。为了保护计算机信息系统的运行安全,促进计算机技术的应用和发展,国务院于1994年发布了《计算机信息系统安全保护条例》,《计算机信息系统安全保护条例》主要强调要重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。条例所能带来的规制效果有限,加之90年代末英美等国频繁出现了大量“黑客”入侵国家重要计算机信息系统的案件,我国《刑法》对于计算机犯罪的立法迫在眉睫,否则计算机信息系统被非法侵入,相关信息被泄露,不但系统内可能造成灾难性连锁反应,还会造成严重的政治和经济损失,甚至可能危机人民的生命财产安全。
(一)1997年《刑法》设立非法侵入计算机信息系统罪
我国立法机关出于预防类似行为可能造成严重社会危害性的考量,在1997年《刑法》中增设了非法侵入计算机信息系统罪,彰显保障计算机信息系统安全的决心,从而维护国家安全和利益。1997年《中华人民共和国刑法》(以下简称《刑法》)第285条第1款规定:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。” 就当时而言,是一种走在实践前面的超前性和预测性立法,对司法实践起到积极的指导意义。
(二)2015年《刑法修正案(九)》第26条修订了非法侵入计算机信息系统罪的行为主体
21世纪以来,信息技术的快速发展,使得网络空间的不断扩大,单位逐渐成为本罪的常见主体。为了更好地适应司法实践的新变化,实现对单位触犯非法侵入计算机信息系统罪的打击和治理,2015年《刑法修正案(九)》第26条在《刑法》第285条增设了第四款单位犯罪的规定,该规定为:“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
(一)行为主体
非法侵入计算机信息系统罪并非身份犯。凡达到刑事责任年龄、具备刑事责任能力的自然人均能成为出售出入境证件罪的行为主体。根据《刑法》第285条第4款的规定,单位也可以成为非法侵入计算机信息系统的行为主体。在司法实践中,本罪的犯罪分子往往具有较高的计算机技术水平,掌握一定计算机网络技术知识。其中大部分犯罪分子为“黑客”。黑客基于其能力又可划分为两种类型,一类是精通网络技术的人,通过编写攻击程序,开发黑客工具进行入侵;另一类是具备基础网络知识,掌握若干黑客软件的使用方法,利用其进行网络攻击的人。
(二)行为内容
非法侵入计算机信息系统罪的行为内容为:自然人或者单位违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统。具体来看:违反国家规定是指违反全国人民代表大会及其常委会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。信息系统则需要参考以下两个条文:根据2011年8月1日最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《办理计算机案件解释》)的规定,计算机信息系统,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。根据《中华人民共和国计算机信息系统安全保护条例》第2条,计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处埋的人机系统。
对于是否属于“国家事务、国防建设、尖端科学技术领域的计算机信息系统”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。“侵入”是指未取得有关部门的合法授权与批准,通过计算机终端访问国家事务、国防建设、尖端科学技术领域的计算机信息系统或者进行数据截收的行为。需要注意的是,侵入其他计算机信息系统的行为不成立本罪。
实践中“侵入”方式主要可以包括以下四类:
(1)行为人冒用合法用户身份非法进入相关计算机。既包括利用合法用户掌握的密钥进入计算机信息系统,也包括在合法用户进行登录时乘机混入该用户的信息系统;
(2)合法用于在仅具有有限权限的情况下超越其所获得的权限访问计算机系统;
(3)行为人利用计算机技术进行技术攻击,通过运用黑客软件,强行破解抑或巧妙绕开系统内的安全措施和安全装置,从而进入相关计算机信息系统。常见的表现方式为采用密码破解技术侵入到目标计算机信息系统内;
(4)行为人利用系统漏洞实现非法入侵。虽然目前计算机信息系统的安全性和稳定性正在不断提升,但是系统安全漏洞仍然存在,行为人在了解目标计算机的漏洞之后,就能快速实现攻击效果。早期黑客会通过“后门”或是“天窗”等系统建立时就存在的漏洞进入计算机信息系统,而当下实践中行为人则更多地选择木马程序实现入侵目的。
但需要指出的是,随着计算机技术的不断升级,行为人的“侵入”方式也日新月异,迭代迅速,以上四种常见方式仅是管中窥豹,实践中存在更多的入侵方式,纷繁复杂,但针对行为人采取的花样方式,只需判断此种方式是否满足“侵入”内涵,是否能够实现“侵入”效果等要素即可,方式的变化往往不会动摇本罪行为内容的实质判断。
(三)责任形式
非法侵入计算机信息系统罪的责任形式为直接故意,即行为人明知自己违反国家规定,侵入国家事务、国防建设、尖端科学技术领域计算机信息系统的行为会发生侵犯国家事务、国防建设、尖端科学技术领域的计算机信息系统安全和国家管理秩序的结果,并且希望这种结果发生。
行为人所持的主观心态应是直接故意,而非间接故意。从认识因素上分析,由于三大重要领域的计算机系统在外观上具有区别于其他网站的特定标识,其防护技术、安全设置措施也相较于普通网站更为精密和严格,从行为人实施侵入行为的客观方面可以推断行为人对其行为及其行为的结果均是有所认识的。从意志因素上分析,行为人试图非法侵入安装有较强防护措施和安全措施的上述三类重要领域的计算机信息系统,意味着其在过程中不仅积极运用较强的计算机技术,而且在此过程中花费了大量的时间和精力,这就表明行为人积极、主动地追求侵入结果的发生,该行为和侵入结果是经过其意志选择的,可以认定行为人具有直接故意。此外本罪排除过失侵入的情形,但若行为人无意闯入相关计算机信息系统后,经有关部门警示仍不退出的,也应当视为故意非法侵入,构成本罪。