试析非法侵入计算机信息系统罪

摘　要:非法侵入计算机信息系统罪是指非法侵入法定的国家重要领域的计算机信息系统的行为。分析了该罪的构成特征,探讨了对该罪认定中的一些问题,从立法完善的角度,认为应适当扩大本罪的对象范围。
关键词: 构成特征 认定 立法完善

随着计算机信息技术的发展和普及,各种国家事务秘密、国防建设秘密以及尖端科学技术秘密越来越多地保存在计算机信息系统中或者以计算机存储数据的方式出现。国家事务、国防建设、尖端科学技术领域的计算机信息系统,传输、处理、存储着大量有关国家政治、经济、军事和尖端科技机密,这些系统一旦被非法侵入,即使是无恶意的侵入,存储在计算机信息系统中的关系国家安全和利益的秘密信息,仍会被依法不该知悉这些信息的行为人浏览,信息系统的完整性和保密性即受到侵害,并且存在着重要数据被破坏和丢失、敏感信息被泄露的严重危险。因此,分析非法侵入计算机信息系统罪的构成特征及其认定中的一些问题,对于正确认定和打击犯罪,保证这些重要领域计算机信息系统的安全,保护各种国家秘密不受侵犯,维护国家安全和利益,具有重要意义。


一、非法侵入计算机信息系统罪的构成特征
非法侵入计算机信息系统罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。
本罪的构成特征为:
(一) 犯罪客体。本罪所侵犯的客体是国家重要领域计算机信息系统的安全。犯罪对象限于国家事务、国防建设、尖端科学技术领域的计算机信息系统。如何确定哪一个系统属于国家事务、国防建设、尖端科学技术领域的计算机信息系统,有的学者指出,主要看该系统所采集、加工、存储、传输、检索的信息属于何种性质,具体的技术性规定应由国家相关部门发布规章加以规定[1] 。结合我国实际情况,笔者认为,我国政府建立的政府信息网络和各部委建立的计算机信息系统网络,如公安部正在实施的金盾工程属于国家事务方面的信息系统。关于金融领域计算机信息系统的归属,则要视具体情况而定,中国人民银行建立的计算机信息系统应视为属于国家事务领域的计算机信息系统,而各商业银行建立的计算机信息系统则属于经济建设领域的计算机信息系统。我国军队计算机信息系统应属于国防建设领域的计算机信息系统。在我国较早建立的四大骨干网络中,中国科学院网应该属于尖端科学技术领域的计算机信息系统,而中国教育网则属于国家事务领域的计算机信息系统,中国电信网和中国金桥信息网基本属于经济建设领域的计算机信息系统[2] 。因此,对于非法侵入的不是国家事务、国防建设、尖端科学技术三个领域的计算机信息系统的,不构成本罪,但有可能构成其他犯罪。
(二) 犯罪客观方面。本罪客观方面表现为违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。本罪客观方面有两个构成要件:
首先“, 违反国家规定”是本罪的特定犯罪前提。所谓违反国家规定,具体到本罪而言,是指违反国家关于计算机信息系统管理的各项法律、法规,不具有合法身份或者条件而未经授权的擅自侵入。目前我国关于计算机信息系统管理方面的法律、法规主要有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中国公用计算机互联网国际联网管理办法》、《计算机信息网络国际联网安全保护管理办法》等,违反上述规定、办法均可视为违反国家规定。如果行为人访问计算机信息系统没有违反国家有关规定,即访问是合法的,或者经授权进入计算机信息系统的,不能构成本罪。
其次,行为人实施了非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。所谓“侵入”,是指非法用户利用技术手段或者其他手段突破或者绕过计算机信息系统的安全保卫机制“访问”计算机信息系统的行为。一般而言,为了维护信息安全,所有的计算机信息系统都有其自身的安全保卫机制,这一机制可以鉴别访问者是否有权访问该系统,而对有权访问该系统的用户,这一机制还可以鉴别他的访问权限,对用户无权访问的部分,这一机制会拒绝用户访问,很少有用户拥有对某一信息系统不受限制的访问权限,对重要领域的计算机信息系统更是如此。我国国家事务、国防建设、尖端科学技术领域的计算机信息系统,都设置了严密的访问控制机制(亦称安全防护体系)来禁止和控制非法用户进入该信息系统。因此,非法侵入计算机信息系统的行为,也就是指未经允许,采取种种手段,突破、穿越、绕过或解除特定计算机信息系统的安全防护体系,擅自进入该系统窥视偷览信息资源的行为。这里,从用户的身份特征和访问权限来看,非法侵入行为可以分为两类:一是非法用户侵入信息系统,也即无权访问特定信息系统者非法侵入该信息系统。二是合法用户的越权访问,即行为人对特定信息系统有一定的访问权限和合法账号,但未经授权对无权访问的系统资源进行访问的行为。非法侵入的行为方式多种多样,如非法用户冒充合法用户,利用计算机技术进行技术攻击,通过“后门”、“陷阱门”进行非法入侵,利用安全漏洞等。
(三) 犯罪主体。本罪的主体是自然人一般主体,即达到刑事责任年龄、具备刑事责任能力的自然人均可构成本罪。由于本罪侵犯的是国家重要领域的计算机信息系统,而这些重要领域的技术信息系统都设置了较为严密的安全防护体系,因此本罪的主体一般是具有相当水平的计算机操作技能者。从作案目的上看,本罪的犯罪主体可分为两大类:一类是专业的计算机黑客,这类主体的专业技术非常丰富,作案目的非常明确,他们主要是运用自己的计算机知识,去窃取别国的存储在计算机信息系统中的情报信息或者去破坏别国的计算机信息系统;另一类是计算机顽童,这类主体作案目的并不明确,多出于显示个人技能、好奇等。
(四) 犯罪主观方面。本罪主观方面是故意,即明知是特定的计算机信息系统而仍然故意实施侵入行为。至于行为人的动机可能是多种多样的,如出于好奇、追求刺激、显示个人技能等,动机如何不影响本罪的成立。


二、非法侵入计算机信息系统罪的认定
(一) 罪与非罪的界限
非法侵入计算机信息系统的行为能否构成该罪,主要是正确认定行为人所侵入的计算机信息系统是否属于我国刑法所明确规定的三类具有重要意义的计算机信息系统,即国家事务、国防建设、尖端科学技术领域的计算机信息系统。如果行为侵入的是此类计算机信息系统,则当然构成本罪;而侵入其他计算机信息系统的则不构成本罪。例如,中国公开报道的公安机关所破获的第一例“非法侵入计算机信息系统”案中,行为人马某非法侵入江西省169 公众多媒体通信网进行攻击,导致主机瘫痪,中心认证服务器中断24 小时,使300 多名用户无法上网。另外,其还攻击过其他网站[3 ] 。本案中行为人马某的非法侵入行为,不能构成非法侵入计算机信息系统罪,其理由即在于马某所非法侵入的计算机信息系统只是属于一般性的通信网络的服务和管理系统,而不属于国家事务、国防建设、尖端科学技术领域的计算机信息系统。
另外,本罪是行为犯,不以行为人侵入计算机信息系统后产生的后果作为构成要件,只要行为人实施了非法侵入三类重要领域的计算机信息系统的行为即可构成犯罪。例如,著名的美国司法部系统被入侵案,该系统被计算机“黑客”非法侵入后,其网址标志被涂改,被画成一个全裸的女人形象,从而使美国政府大丢颜面①。对于此类案件,即使恶作剧式的侵入后即自行退出的行为,也应当以本罪追究刑事责任。原因正如有的学者所言,非法侵入计算机信息系统,犯罪人虽然在表面上看不一定获得什么利益,被侵入的计算机信息系统也不一定发生什么变化,从表面上看这种行为似乎没有造成什么危害,但是事实上对计算机系统成功地侵入势必使得整个计算机系统的安全系统进行重新构置,耗费的人力物力甚大,同时计算机系统所有者对资料的安全性在心理和物质上造成的损害甚至是难以估量的[4 ] 。因此,对于单纯出于破解密码、突破安全控制访问机制以显示个人超凡才智为动机的非法侵入行为也应当予以惩罚,关键在于其非法入侵计算机信息系统的行为已经使国家事务秘密、国防建设秘密和尖端科学技术秘密等受保护的秘密超出了限定的授权接触范围,并且行为人不能证明上述秘密未被不能知悉的人(包括入侵者本人和其他人)知悉。
(二) 关于本罪的既遂与未遂
有的学者认为,本罪是行为犯,只要查证行为人有侵入计算机信息系统的事实,即构成犯罪既遂[5 ] 。此观点是正确的,刑法中的行为犯指以法定的犯罪行为完成作为既遂标志的犯罪,这类犯罪的既遂并不要求造成物质性的和有形的犯罪结果,而是以行为的完成为标志,当然这种行为要有一个实行过程,要达到一定程度,才能视为完成。对于本罪而言“, 侵入”是一个行为过程,这一过程以“侵”为起点,以“入”为终点。“侵”是指非法用户采取各种手段试图突破或绕过计算机信息系统的安全保护机制的探索试验行为,而“入”则是突破或绕过安全保护机制的行为。通常情况下“, 侵”是反复进行的,几乎占据了整个行为过程,而“入”可以认为是这一过程的终点。因此,只要行为人非法侵入了特定的计算机信息系统的,本罪即为既遂。但有的学者认为,本罪的犯罪形态只存在犯罪预备、犯罪中止和犯罪既遂三种形态而没有犯罪未遂形态,而判断犯罪预备与犯罪既遂界限的标准应当是行为人的侵入行为是否已突破或者绕过系统的安全机制[1 ] 。笔者认为这种观点就有问题了,就本罪而言,非法侵入计算机信息系统的行为,往往表现为反复进行操作和信息反馈试验的探索过程,“侵”是该实行行为的“着手”,而“入”是实行行为的完成。因此,已经“侵而入”计算机信息系统的,成立犯罪既遂;而“侵而未入”的显然应当成立犯罪未遂而不是犯罪预备。该论者提出的判断犯罪预备与犯罪既遂的界限标准作为判断犯罪未遂与犯罪既遂的标准则是正确的。
(三) 非法侵入计算机信息系统的后续行为的认定
非法侵入计算机信息系统罪不以行为人侵入计算机信息系统后产生的后果为构成要件,只要行为人实施了非法侵入计算机信息系统的行为即可构成犯罪。在行为人侵入系统后又实施了其他犯罪行为的情况下,对这一后续行为和之前的非法侵入行为如何认定,是按一罪处理或是按二罪处理,在按一罪的情况下是构成牵连犯还是吸收犯,对这些问题刑法学界的观点并不一致。笔者认为应当区分以下两种情况来处理:
1. 当后续行为的犯意产生在非法侵入计算机信息系统之前时,非法侵入计算机信息系统只是其后续行为的前提,或者说是其后续行为发展所必经的阶段,这种情况下,根据刑法理论,应当属于吸收犯,从一重罪论处,一般应按后续行为所触犯的罪名定罪处罚。如以为境外窃取、刺探计算机信息系统内存储的国家事务秘密、国防建设秘密、尖端科学技术秘密为目的而实施非法侵入行为的,构成吸收犯,应当从一重处断,即以为境外窃取、刺探国家秘密罪论处。对上述情况有的学者认为应按牵连犯处理[6 ] 。笔者认为此种情况更符合吸收犯的特征。牵连犯与吸收犯都是数个行为触犯数个罪名,牵连犯数行为之间具有方法与目的或原因与结果的牵连关系,而吸收犯数行为之间具有吸收关系。所谓吸收,即一个行为包容其他行为,只成立一个行为构成的犯罪,其他行为构成的犯罪失去存在的意义,不再予以定罪。一个犯罪行为之所以能够吸收其他犯罪行为,是因为这些犯罪行为通常属于实施某种犯罪的同一过程,彼此之间存在着密切的联系:前一犯罪行为可能是后一犯罪行为发展的所经阶段,后一犯罪行为可能是前一犯罪行为发展的自然结果,或者实施犯罪过程中具有其他密切联系[7 ] 。例如,某甲欲杀某乙,某乙躲在自己家中,某甲暴力入室杀死了某乙。这里甲暴力入室的行为构成非法侵入住宅罪,杀人行为构成故意杀人罪,但其暴力入室行为是进而实施杀人行为的必经阶段,杀人行为吸收暴力入室行为,对甲只定故意杀人罪,而不定非法侵入住宅罪。同样的道理,为窃取、刺探存储在计算机系统中的国防建设秘密而非法侵入该计算机信息系统的情况下,侵入行为是窃取、刺探国家秘密行为的前提,侵入计算机信息系统的行为与后续的窃取、刺探国家秘密的行为具有时间和空间上的不可分离性,属于实施某种犯罪的同一过程,更符合吸收犯的特征,故应按吸收犯从一重处断。
2. 当后续行为的犯意产生在非法侵入计算机信息系统之后时,对非法侵入行为和后续行为应分别定罪,实行数罪并罚。这是因为前后两种行为是分别在两个犯罪意图的支配下实施的,两行为分别该当两个犯罪构成,成立单独的两罪,当然应实行数罪并罚。例如,行为人为显示个人才能出于猎奇目的而侵入了属于三类国家重要领域的计算机信息系统,进入系统后发现有关国家秘密又窃取的,由于窃取秘密的犯意是发生在非法侵入计算机信息系统之后,故应当以非法获取国家秘密罪和非法侵入计算机信息系统罪实行数罪并罚。
(四) 本罪与破坏计算机信息系统罪的界限
非法侵入计算机信息系统罪与破坏计算机信息系统罪均为以计算机信息系统为侵害对象的纯正计算机犯罪,行为人都侵入了计算机信息系统,但二者存在明显区别:
1. 犯罪对象的范围不同。本罪的犯罪对象是特定领域的计算机信息系统,即国家事务、国防建设、尖端科学技术领域的计算机信息系统;而破坏计算机信息系统罪的犯罪对象范围不限于上述三类领域,要宽泛得多。
2. 危害行为的单复不同。本罪是单一危害行为,只要行为人实施了非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为,便构成犯罪;而后者是复杂危害行为,不但要进入计算机信息系统,而且必须对系统功能或者系统数据进行删除、增加、修改等破坏行为,才能构成犯罪。
3. 犯罪既遂未遂的标准不同。本罪是行为犯,不以特定的结果发生作为成立要件,而破坏计算机信息系统罪则是结果犯,犯罪成立既遂必须达到“后果严重”,其加重情形必须达到“后果特别严重”才能成立犯罪的既遂。
4. 两种犯罪之间的竞合。如果破坏的是国家事务、国防建设、尖端科学技术领域的计算机信息系统后果严重,罪犯的先行行为是非法侵入,后续行为是进行破坏,这样就存在两罪的竞合问题,应按照后行为吸收先行为的原则,按照破坏计算机信息系统罪处理。


三、非法侵入计算机信息系统罪的立法完善
我国刑法第285 条规定的非法侵入计算机信息系统罪的对象范围只限定在国家事务、国防建设和尖端科学技术三类重要领域的计算机信息系统,显得过于狭窄。这与计算机技术日新月异的发展及其在我国各行各业的广泛应用状况极不相称。我们当然不能将各行各业的计算机信息系统都纳入本罪的范围之内,但对于“社会保障领域”的计算机信息系统,如金融、医疗、交通、航运等领域的计算机信息系统,应当纳入本罪的范围之内,理由是,此类计算机信息系统关系到社会稳定与国民生活保障,一旦处于混乱状态后果难以想象,因而应当给予格外关注。同时从国外立法例来看,均较为一致地将“社会保障系统”纳入严格保护的计算机信息系统的行列,例如意大利惩治计算机犯罪的专门刑法规范即规定,以公共福利计算机信息系统为对象的计算机犯罪行为,应当处以1 至4 年的监禁,而造成实际损害或者破坏的,或者造成系统部分中断的,则监禁增加3 年至8 年[8 ] 。因此,我国有必要对非法侵入计算机信息系统罪的对象范围作适当的扩大,由三类增加为四类。

_____________
注 释:
①参见《参考消息》1997 年10 月21 日第4 版。

参考文献:
[1 ] 姚青林. 论侵入重要领域计算机信息系统罪[J ] . 人民检察,1997 , (8) .
[2 ] 李文燕. 计算机犯罪研究[M] . 中国方正出版社,2001. 87 - 88.
[3 ] 张明海,武伦才. 揪出电脑黑客[N] . 人民公安报,1998 - 10 - 22(4) .
[4 ] 孙铁成. 计算机与法律[M] . 法律出版社,1998. 52.
[5 ] 胡国平. 关于四种计算机犯罪的认定[J ] . 法律科学,1997 , (4) .
[6 ] 于志刚. 计算机犯罪疑难问题司法对策[M] . 吉林人民出版社,2001. 153.
[7 ] 高铭暄,马克昌. 刑法学[M] . 北京大学出版社,2000. 203.
[8 ] 赵秉志,于志刚. 计算机犯罪及其立法和理论之回应[J ] . 中国法学,2001 , (1) .

作者单位：河北政法职业学院；保定市公安局警察培训中心
文章来源：《河北法学》2005年6月第23卷第6期
张丽霞 孙学军