网络科技在便利、丰富人们生活的同时,也为网络犯罪的滋生提供了土壤。该案付某、单某破坏计算机信息系统案就是一起典型的针对网络身份信息的违法犯罪案件。 

　　一、破坏计算机信息系统罪的构成要件 

　　虽然该案的处理已尘埃落定,对付某以破坏计算机信息系统罪判处有期徒刑5年(参见浙江省义乌市人民法院(2019)浙0782刑初1003号刑事判决书),对单某则作不起诉处理,但该案的研讨却并未因此画上句号。相反,无论是学界还是实务部门,对于该案的法律适用均有需要厘清的疑难困惑。例如,一种观点认为,不论是付某利用某语言程序编写软件对抖音后台数据进行修改的行为,还是单某直接利用抖音系统漏洞的行为,都是违法行为,正如所有黑客行为都是利用计算机信息系统漏洞的行为一样,因而不仅对付某应以破坏计算机信息系统罪论处,单某同样应以该罪定罪处理。 

　　另一种观点则认为,对付某与单某的行为虽然都有着利用抖音系统漏洞的成分,但二者本质不同,前者违法,后者并不违法。具体而言,首先,单某的漏洞利用行为紧密随附于其正常使用行为,并不具有独立的意义;而付某以获取抖音靓号为目的,使用某语言程序编写软件构造数据包模拟登录抖音软件,在获取特定抖音靓号信息数据后将其发送至抖音后台服务器,其行为显然不属于对抖音软件的正常使用。其次,单某所利用的系统漏洞为抖音的固有系统漏洞,同样易为其他一般人发现与利用,漏洞形成的过错与责任在于抖音软件自身而非单某;付某所利用的系统漏洞则完全是由其通过特别技术手段所设置,对一般的抖音用户来说这一漏洞并不存在。在这种观点看来,应以破坏计算机信息系统罪定罪处罚的,只能是付某一人,单某不能包括在内。 

　　判断付某与单某的行为是否构成破坏计算机信息系统罪,首要前提在于明确破坏计算机信息系统罪的构成要件。根据刑法第二百八十六条的规定,该罪在客观上具体表现为三种行为样态:其一,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的;其二,违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的;其三,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的。可见,破坏计算机信息系统犯罪在客观上成立的关键在于:一是行为是否“违反国家规定”;二是行为后果是否严重,而这也正是对于单某行为定性的认识分歧所在。 

　　二、刑事处罚的必要性——法益侵害的实质性 

　　其实,包括破坏计算机信息系统罪在内的几乎所有行政犯罪的成立,均须以违反前置行政法与造成严重后果为基本前提和限制。从宪法指引下的各部门法之间的相互关系来看,刑法因其以最为严厉的国家制裁措施即刑罚作为刑事责任实现的主要方式,基于合比例性的制裁力量分配,只能作为其他部门法的保障性后盾或者说最后一道法律防线而存在于法律体系中并发挥作用。对于行政犯而言,一方面,刑法并非调整性规则,并不具有独立创设法律关系、构建法律秩序的功能,其作用仅仅在于对已由前置法中的调整性法律规则和第一保护性规则(即前置法中的“法律责任”条文)所确立、保护的法益提供第二次法律保护,因而不具有前置法不法性的行为,绝无具有刑事违法性进而成为刑法中的犯罪行为的可能。 

　　另一方面,刑法也并非前置法的绝对附庸,前置法中的不法行为并不当然就能成为刑法中的犯罪行为,只有符合法益保护原则和制裁比例原则,严重侵害宪法价值秩序中的重要法益的行为,才有论之以刑法上的犯罪的必要。例如,网络安全法第二十七条规定:“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。”在此基础上,第七十四条进一步规定:“违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”因此,对于行政犯,不论是犯罪的立法创制还是司法认定,规制的原则在于前置法定性与刑事法定量的统一,判断的具体标准则在于:其一,是否违反了前置法的规定;其二,是否严重侵害了法益。就该案而言,付某在未经北京微播视界科技有限公司(以下简称“微播公司”)许可的情况下,利用购买的某语言程序编写软件,违规将抖音号修改为靓号,显然属于入侵他人网络、干扰他人网络正常功能,以及故意输入有害数据危害他人计算机信息系统的行为。而单某虽然利用了抖音系统漏洞,但其自始至终没有逾越抖音软件正常使用的范围。因为通过正常途径从市场购买手机是合法行为,所有人均有权合理使用该手机,行为人未通过非法软件而仅仅是正常利用手机本身特定功能的,不能认定为非法行为。因而付某的行为违反了国家规定,而单某的行为并未违反国家规定。 

　　三、以犯罪行为的罪量衡量标准重新解读《解释》第四条 

　　认定付某的行为是否构成破坏计算机信息系统罪,还须判断其行为是否造成了严重后果。最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)指出,违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加操作,违法所得五千元以上或者造成经济损失一万元以上的属于后果严重,应以破坏计算机信息系统罪定罪处罚。在笔者看来,根据对犯罪本质的通常理解,对该结果标准或者说罪量要素设定,须重新解读。众所周知,犯罪的本质在于侵害法益,没有侵害法益的行为,不可能构成犯罪行为。破坏计算机信息系统罪侵犯的法益的核心,是计算机信息系统管理秩序以及该秩序下权利人的合法权益,因而其侵害法益的严重程度,应当是计算机信息系统管理秩序遭受破坏和权利人遭受损失的程度,而不是侵权人的获利程度。无论行为人获利多少,只要行为人的行为并未因此导致计算机信息系统管理秩序和权利人遭受严重损失,则不应有刑罚权的实际发动。 

　　《解释》第四条就破坏计算机信息系统罪的入罪标准“后果严重”,规定了五种情形:(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的;(二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;(三)违法所得五千元以上或者造成经济损失一万元以上的;(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;(五)造成其他严重后果的。不难看出,上述第(一)项、第(二)项、第(四)项均是着眼于给被害人造成的损失的角度设定的入罪标准,而第(三)项标准从字面上看,则是从行为人非法获利的角度来限定入罪标准。对于破坏计算机信息系统罪来说,该罪危害结果的确定应聚焦于行为人的行为导致计算机信息系统无法正常运行的受损程度,而不是行为人的违法所得数额大小。故笔者认为,对于上述第(三)项的含义,应当类比其他各项规定理解为,行为人实施破坏他人计算机信息系统的行为,给他人造成经济损失,但实际损失难以计量,而行为人非法获利可以计量的,可以依据第(三)项标准以“后果严重”认定。这样一来,行为人即使利用他人计算机信息系统漏洞获取了巨额非法利益,但如果未给计算机信息系统所有人造成实质性经济损失的,是否认定为犯罪,应当谦抑谨慎,如果能以行政处罚的方式对行为人予以妥善处理,包括处以最高倍数的罚款并将行为人纳入失信名单等,则可不以犯罪论处。 

　　(全文详见《人民检察》2020年第6期或请关注《人民检察》微信公众号)