(一)首部
1.判决书字号
一审判决书:北京市朝阳区人民法院(2013)年朝刑初字第1513号判决书。
二审裁定书:北京市第三中级人民法院(2013)三中刑终字第171号刑事裁定书。
3.诉讼双方
公诉机关:北京市朝阳区人民检察院,代理检察员魏亚男
被告人(上诉人):张某,男,1981年5月3日出生。
辩护人:田劼,北京市康达律师事务所律师。
5.审判机关和审判组织
一审法院:北京市朝阳区人民法院。
合议庭组成人员:审判长:刘砺兵;人民陪审员:周学芳、李凤雨。
二审法院:北京市第三中级人民法院。
合议庭组成人员:审判长:任莉华;代理审判员:王奕、程靖翔。
6.审结时间
一审审结时间:2013年11月14日。
二审审结时间:2013年12月18日。
(二)一审诉辩主张
1、公诉机关指控:
被告人张某以商业合作为由取得北京智酷时代科技有限公司智酷会议签到系统测试账号,后于2012年7月9日12时至7月10日22时,利用木马程序侵入北京智酷时代科技有限公司服务器,窃取该公司的会议管理系统的源代码等重要文件,其中包含2833条宝马汽车公司经销商的身份认证信息及详细个人资料。被告人张某后被查获归案。公诉机关认为被告人张某无视国法,利用木马程序,非法获取计算机信息系统数据,情节特别严重,应当以非法获取计算机信息系统数据罪追究其刑事责任。
2. 被告人及其辩护人的意见:
被告人张某对其采用技术手段侵入被害单位计算机信息系统并无异议,但辩称其进行侵入行为目的在于获得源代码,并无获取他人身份认证信息的意图,且并未泄露他人身份信息或藉此牟利。其辩护人认为被告人不存在获取他人身份认证信息的主观故意,且涉案信息亦不属于身份认证信息,请求对被告人张某宣告无罪。
(三)一审事实和证据
被告人张某以商业合作为由取得北京智酷时代科技有限公司智酷会议签到系统测试账号,后于2012年7月9日12时至7月10日22时,利用木马程序侵入北京智酷时代科技有限公司服务器,窃取该公司的会议管理系统的源代码等重要文件,其中包含2833条宝马汽车公司经销商的身份认证信息及详细个人资料。被告人张某后被查获归案。其作案使用的办公电脑主机一台现被扣押在案。案发后,被告人张某之妻高静帮助其赔偿北京智酷时代科技有限公司人民币30万元,现已履行完毕。该公司对张某的行为表示谅解。
上述事实,有如下证据在案为证:
1、证人郭某的证言;
2、证人庞某的证言;
3、证人孙某某的证言;
5、搜查笔录、起赃经过、物证照片及扣押物品清单;
6、和解协议书及北京智酷时代科技有限公司出具的收据;
7、到案经过;
8、被告人张某户籍材料;
9、被告人张某的供述。
上述证据,经庭审质证,予以确认。
(四)一审判案理由
北京市朝阳区人民法院经审理认为:被告人张某违反国家规定,侵入计算机信息系统并采用技术手段,获取该计算机信息系统中存储的数据,其行为已触犯了刑律,构成非法获取计算机信息系统数据罪,且属情节特别严重,应予惩处。
(五)一审定案结论
北京市朝阳区人民法院依照《中华人民共和国刑法》第二百八十五条第二款、第七十二条第一、三款、第七十三条第二、三款、第五十二条、第五十三条、第六十一条、第六十四条之规定,判决如下:
1、被告人张某犯非法获取计算机信息系统数据罪,判处有期徒刑三年,缓刑三年,罚金人民币五千元(缓刑考验期限从判决确定之日起计算,罚金已缴纳)。
2、在案之电脑主机一台,发还北京科技大学校园卡管理中心。
(六)二审情况
1.二审诉辩主张
张某的上诉理由及其辩护人的辩护意见是:一是张某所获取的是不具有操作权限的数据,因而不是"身份认证信息";二是张某是被动获取信息,没有主观故意;三是张某的行为即使构成犯罪,一审判决也量刑不当,请求对张某免予刑事处罚或者单处罚金。
2.二审事实和证据
北京市第三中级人民法院经审理查明的事实与一审法院查明的事实一致。
3.二审判案理由
北京市第三中级人民法院经审理认为:
(1)本案中的邀请码是登陆并使用涉案会议签到系统的唯一凭证,是计算机信息系统确认操作者身份、并对操作者授予填充和修改权限的一组特定数据。操作者只有获得邀请码才能进行相应的操作。填充、修改权限属于操作权限,并没有超出操作权限的文义范围,也没有超出社会一般人对操作权限的可能理解。
(2)张某采用技术手段侵入北京智酷时代科技有限公司服务器,将包含有2833条身份认证信息的文件一并打包下载,放任了犯罪结果的发生。
(3)原判充分考虑了张某归案后如实供述,当庭自愿认罪,同被害单位达成赔偿协议并获得谅解等情节,在法律规定的量刑幅度内对张某判处的刑罚适当。
北京市第三中级人民法院认为,上诉人张某违反国家规定,利用技术手段侵入他人计算机信息系统,获取该计算机信息系统中存储的数据,其行为已构成非法获取计算机信息系统数据罪,依法应予惩处。鉴于张某归案后如实供述,当庭自愿认罪,同被害单位达成赔偿协议并获得被害单位谅解,对其可依法从轻处罚并适用缓刑。一审法院根据张某犯罪的事实、性质、情节以及对社会的危害程度所作出的判决,事实清楚,证据确实、充分,定罪及适用法律正确,量刑适当,审判程序合法,对在案扣押物品处理亦适当,应予维持。
4.二审定案结论
北京市第三中级人民法院依据依照《中华人民共和国刑事诉讼法》第二百二十五条第一款第(一)项之规定,裁定如下:
驳回上诉人张某的上诉,维持原判。
(七)解说
本案具有争议的两大关键性问题是:第一,被告人获取的签到系统登录邀请码是否属于《解释》第十一条规定的"身份认证信息";第二,被告人是否具备非法获取计算机信息系统数据的主观故意。这两个问题关涉到被告人罪与非罪的判断,同时引发出一个理论上值得探讨的问题:司法解释中对法条内容在性质、数量、情节等的具体化在定罪量刑中应如何定位,其是否必须在主观上被认识才能成就某罪的主观构成要件?
一、 关于《解释》中身份认证信息的认定
《解释》第十一条规定,所谓"身份认证信息"是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。辩护人以使用邀请码登陆系统进行信息填充和修改的权限不属于"操作权限"为由,认为该信息不属于司法解释中的"身份认证信息"。
首先,本案中的登录邀请码属于身份认证的信息。在计算机领域中,身份认证是在计算机网络中确认操作者身份的过程,在认证技术上通常通过用户的所知(如口令、密码)、所有(证件、证书)或特征(如指纹、DNA)进行身份确认。涉案的邀请码虽与传统意义上的账户、口令、密码、数字证书不同。但是,它在该会议签到系统中所发挥的作用集账号和密码于一身,客户输入其"所知"的邀请码,顺利通过系统的身份确认,并实现其操作权限。本案证据表明,参会人员通过获得的邀请码认证成功后方可登录会议系统,进而在系统上进行填写信息的行为,没有此邀请码便不能行使相关的操作权限,之后若有变动,也须输入邀请码进行修改。因此,该登陆邀请码是与一定身份的客户相联系的,是登陆会议签到系统并使用该会议签到系统的唯一凭证,是进行身份认证的信息。
其次,本案中的登录邀请码是赋予登陆者"操作权限"的身份认证信息。本案中的邀请码是登陆并使用该签到系统的唯一凭证,是计算机信息系统确认操作者身份、并对操作者授予填充和修改权限的一组特定数据。操作者只有获得邀请码才能进行相应的操作。填充、修改权限属于操作权限,并没有超出操作权限的文义范围,也没有超出社会一般人对操作权限的可能理解。故本案中邀请码可视为用于确认用户在计算机信息系统上操作权限的一个数据组合,应认定为司法解释中所称的"身份认证信息"。
二、 关于非法获取计算机信息系统数据故意的认定
非法获取计算机信息系统数据罪在主观上要求行为人具有故意,过失不能构成本罪。在本案的审理过程中,辩护人提出被告人不知道下载的数据中包括2833条宝马客户信息,系被动获取。被告人在主观上没有故意,只有过失,因此不构成本罪。
首先,我们认为,虽然被告人侵入系统的目的在于获取程序源代码,但是被告人知道或者应当知道下载的数据中包含其他信息,但是却漠视、放任这种结果的发生,在主观上构成间接故意。从本案证据来看,被告人对于自己利用木马程序侵入北京智酷时代科技有限公司服务器,窃取相关数据是有明确的认识的。被告人的侵入的直接目的在于获取该会议签到系统的源代码,但是被告人在逐一下载后,因为效率太低而选择了将C盘Interpub文件夹下所有文件压缩之后一次性打包下载下来。我们认为被告人作为一个计算机专业人员,知道也应当知道采用打包的方式下载文件,不仅仅有源代码还会有其系统中的其他信息,但是被告人对可能出现的结果采取漠视和放任的态度,因此存在间接故意。
其次,我们认为被告人对于特定信息的性质缺乏认识不能阻却本罪故意的成立。从设立本罪的目的来看,其在于保护计算机系统中的数据安全,保护的对象为计算机信息系统中存储、处理或者传输的数据。在主观方面,本罪只需要行为人认识到自己是在实施侵入计算机信息系统、获取该计算机信息系统中存储、处理或者传输的数据的行为即可,而无需对于其获取的数据的具体性质有明确的认识。该信息的性质为何,只是在审判阶段作为处罚条件而加以考察,无论该信息数据是否属于身份认证信息都不影响被告人的行为是否属于非法获取计算机信息系统数据的行为。基于被告人对于自己侵入被害单位计算机系统并获取计算机存储的数据的行为具备明知的事实,能够认定被告人在主观方面具备非法获取计算机信息系统数据的故意。
三、 关于司法解释中情节和数额的具体化规定的理论定位
我国刑法条文存在大量"情节严重"、"情节特别严重"以及"数额较大"、"数额巨大"的表述。关于这些"情节"与"数额"的具体规定则是通过一系列司法解释予以明确的。毋庸置疑,司法解释是司法实践中定罪量刑的重要参考甚至是审判依据。就本案来说,刑法第二百八十五条第二款并未指出非法获取计算机信息系统数据罪中的信息数据是指何种性质的信息,"情节严重"也无具体考量。而《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》则提出了"身份认证信息"的概念以及获取数量上的要求。在本案的审理过程中,辩护人提出被告人不知道获取的数据中存在邀请码等客户信息,因此对于获取这些数据不存在故意。但判决认为根据某种标准被特定化的具体数据(例如本案中的"身份认证信息")并非是该罪名的构成要件要素,即获取的该信息是否为"身份认证信息"不影响被告人的行为是否属于非法获取计算机信息系统数据的行为这一定性问题,因此其并非本罪故意所必须认识的内容,没有认识到身份认证信息这一具体的信息性质不能阻却故意的成立。
根据罪刑法定原则的要求,关于犯罪的构成要件的规定必须通过刑法予以规定,那么司法解释中对刑法条文的解释内容在理论体系上如何定位呢?这个问题的回答,直接影响到审判实践中关于犯罪主观方面所要求行为人认识的范围,即行为人对于哪些内容有所认识、认识到什么程度方能符合某一犯罪的主观构成要件。有观点认为,司法解释中这些关于"情节"和"数额"的描述是刑法关于犯罪构成要件规定的一部分,是表达行为不法、结果不法的情节,属于构成要件范围。因此,对于这些不法的事实性的要素,当然需要为行为人的故意所认识。但是 笔者认为,刑法条文中规定的"情节严重"、"情节恶劣"、"数额较大"等作为成立犯罪的必要条件,属于犯罪构成要件的一部分,应当要求行为人对此具有认识。但这种认识的内容不应当延伸到司法解释中规定的具体情形和数额中来,对于情节严重、数额较大等的认识只需一般人在社会意义上能够认识到行为属于情节严重、数额较大即可(即外行人的平行认识)。对于司法解释中所规定的"情节严重"的具体情形和"数额较大"的具体数据,不需要行为人进行法律意义上的精确的理解。因此,司法解释中针对情节所提出的量的要求,并不是独立的构成要件要素,而是对针对行为不法、结果不法提出的刑事可罚性的综合性的要求。这类似于德国刑法中"客观处罚条件"的概念,我国学者称之为罪量要素,即表明行为对法益侵害程度的数量要件,其独立于犯罪构成的客观要件,不属于行为人主观认识的内容,既不要求被告人对其具有明知或预见可能性,也不要求具备希望或放任的意志态度。只要行为人实施相关行为,即使他对作为罪量要素的情节情形或数额数量缺乏认识并且实际上也缺乏预见可能性,也不影响犯罪的成立。本罪中的身份认证信息便属于此种罪量要素,被告人在行为时无需对其获取的信息在性质和内容上具有明知,即认识到其属于"身份认证信息"。被告人作为一名计算机专业人员,在行为时知道或应当知道其侵入他人计算机信息系统获取数据的行为会造成符合社会一般意义上的"情节严重"的后果,即可认定被告人对于结果的发生具有认识并进而成立非法获取计算机信息系统数据的故意。
(张小旭)
【裁判要旨】被告人在行为时无需对其获取的信息在性质和内容上具有明知,即认识到其属于"身份认证信息"。作为一名计算机专业人员,在行为时知道或应当知道其侵入他人计算机信息系统获取数据的行为会造成符合社会一般意义上的"情节严重"的后果,即可认定被告人对于结果的发生具有认识并进而成立非法获取计算机信息系统数据的故意。