一、首部
(一)裁判书字号
一审判决书:江苏省无锡市锡山区人民法院(2013)锡法刑初字第0349号判决书。
(三)诉讼双方
公诉机关:无锡市锡山区人民检察院。
被告人周某,男,1979年9月15日生,浙江省岱山县人,汉族,大学文化,浙江省岱山县衢山自来水厂工作人员,户籍地浙江省岱山县。因涉嫌犯破坏计算机信息系统罪于2013年6月18日被羁押,次日被无锡市公安局锡山分局刑事拘留,同年7月3日被逮捕,同年7月29日经无锡市锡山区人民检察院决定取保候审,同日由浙江省岱山县公安局执行取保候审。
(五)审判机关和审判组织
一审法院:江苏省无锡市锡山区人民法院。
一审合议庭组成人员:审判长:刘新青;代理审判员:林琳;人民陪审员朱贞洁。
(六)审结时间
一审审结时间:2013年9月29日。
二、诉辩主张
(一)公诉机关指控称:被告人周某犯破坏计算机信息系统罪。
三、事实和证据
(一)事实部分:
无锡市锡山区人民法院经公开审理查明:2013年3月,被告人周某因在淘宝网购买网站模板和网页数据空间认识了被害人赵某,后二人产生纠纷。2013年4月2日下午,周某通过使用赵某在帮其网站备案时告知的服务器超级管理员账号和密码,通过远程桌面连接登录赵某向成都西维数码科技有限公司(简称西维公司)租用的服务器,并对该服务器内的数据进行删除操作。赵某发现服务器内数据丢失,通过西维公司工作人员了解故障原因是有人利用超级管理员权限异地远程登录服务器删除数据,遂联系恢复服务器数据。4月3日上午,周某发现数据被恢复,通过同样的方法陆续三次对数据进行更大范围地删除操作,导致该服务器无法正常为20余个网站提供数据服务,其中由该服务器提供数据支持的"闪客基地"论坛网站(注册用户为14049个)累计24个小时以上不能正常访问。后赵某通过西维公司帮助恢复了相关数据。6月18日,被告人周某经民警电话通知后主动至公安机关投案,并如实供述了自己破坏计算机信息系统的事实。
(二)上述事实有下列证据证明:
1.无锡市公安局锡山分局东亭派出所出具的《刑事案件侦破经过》、《调取证据清单》。
2.浙江省岱山县公安局衢山分局出具的《到案经过》。
3.无锡市公安局锡山分局网络安全保卫大队出具的《远程勘查工作记录》。
4.无锡市公安局网络安全保卫支队出具的《电子证据检查工作记录》。
5.被害人赵某的陈述。
6.证人滕某、韩某、吴某、林某的证言。
7.成都西维数码科技有限公司出具的《西部数码VPS租用合同》、《恢复工单》、网站备案截图、工单、服务器登录日志、企业法人营业执照、服务器网站情况。
8.支付宝(中国)网络技术有限公司风险管理部出具的关于周某支付宝账户的相关注册信息、登录信息、交易记录。
9.QQ、阿里旺旺聊天记录。
10.电脑登录连接截图。
11.网站建设项目合同书。
12.闪客基地注册用户名单。
13.被告人周某的供述。
四、判案理由
无锡市锡山区人民法院经审理认为:被告人周某违反国家规定,对计算机信息系统功能进行删除,造成计算机信息系统不能正常运行,后果严重,其行为已构成破坏计算机信息系统罪。周某主动向公安机关投案,并如实供述自己的犯罪事实,系自首,依法可以从轻处罚。根据周某的犯罪事实和情节,结合浙江省岱山县司法局出具的建议对周某纳入社区矫正的《调查评估意见书》,周某符合适用缓刑的条件,可对其宣告缓刑。关于辩护人提出周某主观恶性不大,没有造成严重的社会影响,且被害人赵某具有一定过错的辩护意见,认为,周某在2013年4月2日至4月3日期间,先后四次登录系统对服务器数据进行删除操作,并最终造成注册用户一万余名的网站无法正常运作超过24小时,后果严重。
公诉机关指控被告人周某犯破坏计算机信息系统罪的事实清楚,证据确实充分,指控成立。
五、定案结论
无锡市锡山区人民法院依照《中华人民共和国刑法》第二百八十六条第一款、第六十七条第一款、第七十二条第一款、《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条第一款、《最高人民法院关于处理自首和立功具体应用法律若干问题的解释》第一条之规定,判决如下:被告人周某犯破坏计算机信息系统罪,判处有期徒刑六个月,缓刑一年。
六、解说
网络虚拟商品交易中,被害人赵某违规将其服务器超级管理员的用户名和密码告知行为人,行为人利用此用户名和密码擅自远程删除服务器数据。被害人赵某获悉后,未采取有效措施致使服务器数据再次被大量删除,造成严重后果。本案的争议焦点是被害人赵某先前的作为和之后的不作为整体上是否应认定为被害人过错,以及该过错是否足以抵消行为人的部分罪责,从而对行为人从轻处罚。
(一)被害人赵某的行为满足刑法意义上被害人过错的认定要件,应认定为被害人过错
司法实践中,被害人过错是一个不容忽视的酌定量刑情节。本案被害人赵某的行为满足认定被害人过错的三个要件,应认定为具有刑法意义上的过错。
第一,被害人与行为人之间先前存在法律上的买卖利害关系。被害人的行为受到刑法评价的原因之一是其在某种程度上降低犯罪人的应受谴责性,减小犯罪人行为的社会危害性和犯罪人的人身危险性,进而减轻犯罪人的刑事责任。因此,被害人与行为人之间先前存在法律上的利害关系是将被害人的行为置于刑事法律评价的必要前提。本案中,行为人从被害人赵某处购买门户网站等网络虚拟商品,因对商品不满意遂要求赵某全额退款,遭到赵某的拒绝。随后,两人发生口角,产生买卖交易纠纷。双方的买卖交易纠纷没有处理得当,刺激行为人产生删除服务器内数据的犯意,成为行为人实施犯罪的导火索。
第二,被害人的行为与行为人破坏计算机信息的犯罪行为之间具有刑法意义上的因果关系。从因果论着眼,在一起犯罪中因被害人的过错行为引发行为人的后续行为,对于最后的犯罪结局而言,二者皆为因果链条上的两个作用因素,故被害人过错必定影响行为人的刑事责任。就本案而言,被害人赵某告知行为人超级管理员的用户名和密码,且在有能力更改密码的情况下未更改密码。行为人正是利用被害人赵某告知的用户名和密码,才能超越权限实施第一次删除行为;正是由于被害人赵某在第一次受害后明知有人恶意删除数据却仍未修改密码,行为人才能于次日以同样方法陆续三次实施删除数据的行为。显然,被害人赵某的行为与行为人实施犯罪之间具有刑法意义上的因果关系。
第三,被害人的行为逾越了社会相当性。社会相当性行为是指社会秩序允许的一种自由行为。只有明显侵害社会生活秩序的行为才是逾越了社会相当性,因而评价为一种社会危害行为。是否逾越了社会相当性,应以一般人的社会观念去判断是否超出社会普遍接受的程度,是否违背了公序良俗、伦理道德或法律规范。本案中,被害人赵某作为网络虚拟商品销售者,同时与多户商家签订网络建设合同书,明知其所租用的服务器为三十余个网站提供服务,超级管理员用户名、密码的秘密性和重要性,仍将其告知行为人。被害人赵某提醒行为人不要泄露密码,恰恰体现了他意识到自己告知密码的行为可能引发他人侵害计算机信息系统安全的后果。交易达成后,被害人赵某没有履行谨慎义务--更改密码。被害人赵某的一系列行为不当地使服务器内的大量数据处于潜在危险中。在行为人第一次删除数据后,被害人赵某得知服务器内数据被恶意删除且有一异地IP远程登录服务器的情况,仍在有能力修改密码的条件下未修改密码,置计算机信息系统安全于不应增大的风险中。被害人赵某先前的作为和之后的不作为逾越了社会相当性行为的容忍范围,应当给予否定性价值评价。
(二)被害人赵某的过错行为并未降低行为人的可谴责性,尚不足以抵消行为人的罪责
酌定量刑情节又称裁判情节,是指由我国刑法认可的, 根据立法精神从审判实践经验中总结出来的,对行为的社会危害性和行为人的人身危险性程度具有影响的, 在量刑时灵活掌握、酌情适用的各种事实情况。酌定量刑情节需要法官在审理具体的案件过程中,充分发挥主观能动性,运用自由裁量权,全面考察案情进行适用。司法实践中,当被害人具有刑法意义上的过错,并因该过错降低行为人的可谴责性时,法院在量刑时可以考虑这一酌定量刑情节,对行为人从轻处罚。就本案而言,单一被害人的过错行为尚不足以抵消行为人的罪责,故被害人过错情节不宜作为对行为人从轻处罚的依据。理由如下:
1、本案除赵某之外的其他被害人均无过错,且被害人赵某实施了一定的补救行为,行为人主观恶性深。
首先,值得注意的是,被害人赵某只是诸多被害人中的一个。行为人的犯罪行为导致该服务器无法正常为20余个网站提供数据服务,其中由该服务器提供数据支持的"闪客基地"论坛网站(注册用户为14 049个)累计24个小时以上不能正常访问。可见,除赵某以外的其他被害人人数庞大,数以万计。这些接受服务器数据的使用人,与行为人并不存在法律上的任何利害关系,均系无辜的被害人。对于这个庞大的群体而言,他们毫无过错,凭白遭受危害结果之苦。倘若因被害人赵某一人具有过错而强行适用被害人过错情节影响行为人的量刑,将犯罪行为的责难硬生生地分配给这些服务器数据的使用人,这样作出的判决难以发挥应有的价值导向作用,也无法取得良好的社会效果。
其次,赵某实施了一定的补救行为。行为人第一次删除服务器数据时尚未造成严重后果,被害人赵某发现服务器内数据丢失,遂联系西维公司工作人员询问原因,并请求协助恢复服务器数据。待次日凌晨三时左右,网站数据大部分恢复成功,网站能够正常登录使用。虽然恢复数据的补救措施并不彻底,但足见被害人赵某主观上的积极态度。
再次,行为人犯意坚决,主观恶性深。次日早晨七时许,行为人发现自己购买的网站依旧可以正常登陆使用,第二次通过超级管理员账户和密码登陆服务器,删除大量数据,导致行为人使用的电脑死机。在电脑程序恢复正常后,行为人又连续两次登陆服务器删除数据,造成计算机系统被破坏的严重后果。在察觉数据被恢复后,行为人第二次实施破坏行为,甚至在发生电脑死机的情况下仍不肯罢手继续伺机破坏,足见行为人的犯意坚决,主观恶性深。
2、接受服务器数据的使用人不存在应受谴责的行为,并不能降低行为人的应受谴责性
司法实践中要正确适用被害人过错这一情节,应当明确被害人过错影响行为人刑事责任的作用机制,即被害人过错影响行为人刑事责任的理论依据。代表性的学说主要有责任分担说和谴责性降低说两种。责任分担说认为,犯罪行为部分是由于被害人过错引起,危害结果是由加害人与被害人过错共同造成的,被害人因自己的过错应分担部分责任,从而减轻了犯罪人的刑事责任。被害人莽撞的、愚蠢的、甚至是挑衅的行为,不仅没有减少他们面临的危险,反而使危险增大。他们受到伤害的事件部分是他们自己造成的,在一定程度上被害人同样具有过错。谴责性降低说是以犯罪动机为角度展开的,该学说认为被害人作为外在因素之一,通过与犯罪人的互动过程恰恰时常扮演了"诱饵"的角色。被害人自身的某些原因,如轻佻、疏忽甚至引诱、挑衅、刺激和推动等态度和行为,促使了被害的发生,从而对自身的被害负有一定的伦理或法律责任,并应受到一定的谴责。由于被害人过错是引起犯罪人决意的原因之一,犯罪人的应受谴责性得到适当降低。
责任分担说提出了根据被害人过错分配责任的问题,即在每一个犯罪中都存在着一定的需要分配的责任总量,这一责任的总量要么完全分配给犯罪人,要么在犯罪人和被害人之间按照一定的比例进行分配。但责任分担说存在以下显著弊端:第一,该学说最大的缺陷是混淆了刑事责任与民事责任的性质差异,无视刑事责任的专属性。责任分担说与民法上的责任分担原则相类似,但是刑事责任和民事责任存有本质区别。民事侵害责任意在消除违法行为所造成的利益不平衡,发生主体是处于平等地位的当事人。故民事责任可以在当事人双方之间进行分担,甚至可以由第三方代为承担。而刑事责任是指国家对行为人所实施的犯罪行为及其本人所作的否定性评价。在刑法及刑法理论中,行为人的犯罪行为居于中心和首要地位,而被害人的行为处于次要和辅助的地位。刑事责任是一种严格的个人责任,具有专一属性。即刑事责任专属于行为人,只能由行为人本人承担,不得在行为人和被害人之间进行分担。第二,该学说没有对被害人过错程度的范围进行界定,笼统地认为只要被害人有过错,就应当承担责任,显然不合理。因为过错存在程度和类型的差异,如果将诸如被害人因贪图便宜被诈骗,因疏忽大意没上锁被盗窃,因穿着暴露被强暴这类伦理道德上的过错也视为减轻犯罪人责任的根据,只会徒增犯罪人推脱责任的借口。谴责性降低说的理论渊源可以追溯于期待可能性,后者主要是指从行为时的外部情况考察,期待行为人不为犯罪行为而为其他适法行为的可能性。在被害人有过错的前提下,被害人的一些不当行为影响甚至制约了行为人的意志自由,从而降低了行为人为适法行为的期待可能性。另外,谴责性降低说还明确提出并非所有的被害人过错都会降低加害人的应受谴责性。在某些案件中,虽然被害人具有过错,但是当这种过错对危害结果的发生没有可谴责性时,也不能降低犯罪人的应受谴责性。如果被害人的行为不具有可谴责性,被害人就不应承受犯罪行为的责难。只有足够影响到犯罪人的应受谴责性的被害人过错才具有刑法研究的意义。谴责性降低说准确地反映出被害人过错影响刑事责任的原理,与责任分担说比较而言更具有合理性和实践意义。
在我国刑事理论中,应受谴责性体现为犯罪人的主观恶性和人身危险性。被害人过错作为影响犯罪人刑事责任的外界诱因,其意义在于可以从侧面反映、揭示犯罪人的主观恶性和人身危险性的大小。就本案而言,被害人具有多方性,非单一对象,居于绝对多数的服务器数据的使用人与行为人素未平生,对本案的发生、发展无任何行为,不存在互动关系。这些服务器数据的使用人未采取任何行为去影响行为人的意志自由,没有降低行为人为适法行为的期待可能性,故不能减小行为人的主观恶性和人身危险性。他们不存在应受到一定谴责的行为,对自身的被害不应负有伦理或法律责任,故行为人的刑事责任不能减轻。
(王星光、杨柳)
【裁判要旨】破坏计算机信息系统罪中认定被害人具有过错的三个要件为:第一,被害人与行为人之间先前存在法律上的买卖利害关系;第二,被害人的行为与行为人破坏计算机信息的犯罪行为之间具有刑法意义上的因果关系;第三,被害人的行为逾越了社会相当性。