試論提供用于侵入、非法控制計算機信息系統的程序、工具罪的實然適用與應然展望

文◎孫中梅趙康

試論提供用于侵入、非法控制計算機信息系統的程序、工具罪的實然適用與應然展望

文◎孫中梅*趙康*

伴隨著信息化時代的到來，各類計算機犯罪也接踵而至，其犯罪手法之高、專業化之強給刑法的規制帶來了嚴峻挑戰。立法者綜合各方意見，做出了有力回應，在《刑法修正案（七）》中對原有的計算機犯罪的條款進行了增補，增設了非法獲取計算機系統數據罪和提供用于侵入、非法控制計算機信息系統的程序、工具罪。然而，自《修正案（七）》生效以來，由于相關案例研究較少，給這類案件的準確定性帶來一定困難。2011年8月，最高人民法院、最高人民檢察院公布了《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（以下簡稱《解釋》），為提供用于侵入、非法控制計算機信息系統的程序、工具案件提供了可操作的標準。但由于此類案件的證據把握和法律適用上均存在疑難之處，故值得深入研究。

一、提供用于侵入、非法控制計算機信息系統的程序、工具罪的罪狀理解問題

根據刑法第285條第3款之規定，提供用于侵入、非法控制計算機信息系統的程序、工具罪是指提供專門用于侵入、非法控制計算機信息系統的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而提供程序、工具，情節嚴重的行為。該罪并無對于犯罪主體的特別規定，因此是一般主體；而對于該罪的犯罪客體，一般認為是指“計算機信息系統的安全”，對此并無爭議。因此，對于該罪罪狀的把握，應當突出對該罪客觀方面和主觀方面的理解。

（一）客觀要件的理解

1．本罪的犯罪對象。從罪狀規定來看，該罪的犯罪對象有兩種，即專門用于侵入、非法控制計算機系統的程序、工具，以及其他程序、工具。對于第二種犯罪對象，需要對罪狀進行合理解釋，即這種程序、工具應當是“有其他用途但也可用于侵入、非法控制計算機信息系統的程序和工具”。這實際包含了兩層含義：一是這種程序和工具必須具有對計算機系統安全造成侵犯的可能性，在功能上可以實現對計算機系統的非法控制和侵入；二是這種程序不以專門性為必要，即可以是具有其他正當用途，但在不當使用時即會產生危害后果。

立法機關的負責同志指出：“所謂專門用于侵入計算機系統的程序、工具主要是指專門用于非法獲取他人登錄網絡應用服務、計算機系統的賬號、密碼等認證信息以及智能卡等認證工具的計算機程序、工具；所謂專門用于非法控制計算機信息系統的程序、工具主要是指可用于繞過計算機信息系統或者相關設備的防護措施，進而實施非法入侵或者獲取目標系統中數據信息的計算機程序”。因此，前述的第一種犯罪對象，實際排除了該項工具、程序具有合法用途的可能性，《解釋》第2條對于這種類型的犯罪對象進行了明確的界定：（1）具有避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權獲取計算機信息系統數據的功能的；（2）具有避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權對計算機信息系統實施控制功能的；（3）其他專門設計用于侵入、非法控制計算機信息系統、非法獲取計算機信息系統數據的程序、工具。而第二種犯罪對象，則強調有造成危害后果的可能性即可，其本身的用途并無限制。這種區別體現出刑事立法的精密程度，正如我國學者所言：“若提供的是專門的上述程序、工具，被提供者是否實際使用，不影響犯罪的成立；若提供的不是專門的，而是普通的上述程序、工具，只有被提供者實際使用，才能認定提供者構成犯罪，否則很難認定提供行為情節嚴重而具有嚴重的社會危害性”。

2．本罪的客觀行為。本罪的客觀行為從罪狀規定上較為簡單，僅表述為“提供”一詞。“提供”在我國刑法各罪的規定中并不少見，就該詞本身而言，也屬于耳熟能詳的普通用語。立法機關負責同志將“提供”解釋為“向他人供給”，也有觀點解釋更為寬泛，是指“研制、出售和無償提供”。這里的提供并未限制于有償提供，只要客觀上實施了向他人供給的行為，使得他人實現了對物的控制，均應當評價為是“提供”。當然，在此還需要注意的是對于“提供”后的行為或者狀態對于“提供”行為界定的影響。從刑法基本原理來看，諸如“提供”、“介紹”等行為一般是對于某項犯罪的實行行為的幫助，其本身并不能構成獨立的實行行為。但立法者也會考慮到某些的幫助行為本身就具有較大的社會危害性，有單獨評價的必要，因此，便將較為嚴重的幫助行為直接規定為是實行行為。這也意味著通過法律擬制而成為實行行為的幫助行為，在社會危害性的嚴重程度上，和一般意義的實行行為是等量齊觀的。具體到本罪，對于“提供”的判斷也要建立在行為人行為會造成危害后果的基礎之上，如果提供行為所造成的社會危害性并未嚴重到和一般計算機犯罪的實行行為相當的程度，就不宜將其認定為犯罪。

此外，還需要注意的是，《解釋》第9條規定了危害計算機信息系統安全犯罪的共犯問題。因此，在符合了特定的行為方式的情況下，行為人的行為可能構成提供用于侵入、非法控制計算機信息系統的程序、工具罪的共犯。但這種共犯，所指的是提供行為的幫助、教唆等共犯行為，而非是直接對于被提供方的其他違法犯罪活動的共犯行為。因此在認定上，應當先行確定作為正犯行為的提供行為。

（二）主觀要件的理解

1．本罪是否僅限于直接故意犯罪。從罪狀規定來看，本罪屬于典型的故意犯罪。但對于是否包括間接故意的情形，理論上則存在一定爭議。大多數論述并未將本罪嚴格限制為直接故意犯罪，但也有論者指出：“行為人不可能將上述程序、工具放任他人占有，因而不可能出于間接故意的犯罪態度”。筆者認為，不宜對此處的故意犯罪進行限縮解釋，本罪也應當包括間接故意的情形。這是因為：第一，從我國的刑事立法習慣來看，從未在罪狀中將一項犯罪明確規定為只能由直接故意構成。而這往往是通過刑法解釋來完成的。這主要體現在目的犯的范疇中：當刑法條文中出現了對犯罪目的，抑或犯罪動機的描述時，基于通說對于“間接故意犯罪中不存在犯罪目的和犯罪動機”的認識，排除了間接故意存在于上述犯罪中的可能性。但本罪中并無犯罪動機和犯罪目的的法定表述，而且，從目前的司法實踐來看，也并未將該罪視為非法定的目的犯，即“即并不在條文中規定某一犯罪所需的特殊目的，而需要法官根據一定的原則予以補充”的情形。因此，將該罪限定為是直接故意犯罪缺乏法律依據，也不符合司法實踐現狀。第二，從本罪的特殊性來看，也不宜將本罪限定為直接故意犯罪。雖然刑法中大多數的故意犯罪在實踐中都體現為直接故意犯罪的形態，本罪也不例外；但完全有可能出現行為人在明知自己的提供行為可能會造成危害計算機信息系統安全的后果，但依然放任該危害后果發生的情況。這是由本罪犯罪對象的特殊性所決定的。對于第一種犯罪對象，由于強調工具在危害計算機信息系統安全上的專門性，而這種專門性的判斷具有相當的專業性，可能行為人對此也只是一知半解，無法確定自己的提供行為是否就會造成危害后果，對此持一種“聽之任之”的放任態度。對于第二種犯罪對象，由于其可能具有正當功能，也有可能危害到計算機系統安全，但行為人的提供行為也不一定就意味著其希望他人使用該工具實現危害后果的發生。因為完全可能出現他人未使用行為人提供的程序、工具的情形，或者使用該程序、工具從事正當操作的情形。這在多人同時向同一人提供程序、工具的情形時，體現更為明顯。因此，筆者認為，本罪在主觀方面上應當包括間接故意的情形。

2．“明知”內容的把握。需要注意的另一個問題在于：對于提供用于侵入、非法控制計算機信息系統的專門工具、程序的行為，并沒有對于明知內容的法定規定；而對于提供具有危害性可能的非專門工具、程序的行為，則需要“明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為”為必要。相比較而言，立法者認為后者在法律適用時需要參照更為嚴格的標準。那么，對于這里的“明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為”應當如何理解？

筆者認為，此處“明知”的規定，只需要行為人對于他人有實施侵入、非法控制計算機信息系統的一種或某種違法犯罪行為的可能性即可，對于具體的違法犯罪行為的內容、后果不需要認識。同時，即便是行為人對于他人實施侵入、非法控制計算機信息系統的違法犯罪活動持懷疑態度，認為其可能實施違法犯罪活動，也可能不實施，但如前文所述，本罪屬于一般意義上的故意犯罪，間接故意也可構成本罪，因此，這種相對模糊的認識也不影響本罪的認定。由于立法對于此種情況的主觀明知做出了直接規定，因此自然成為了一個重要的待證事實。對于明知的證明，除了需要仔細分析犯罪嫌疑人、被告人的供述外，采用刑事推定的方法也十分必要。本文限于篇幅不予展開。

（三）情節要件的理解

在完成了行為的犯罪對象、客觀行為、主觀方面的判斷后，認定某項行為構成本罪，還需要達到“情節嚴重”的要件。此次的《解釋》第3條也從使用次數、違法所得、經濟損失數額等方面對于“情節嚴重”進行了界定。但筆者認為，由于情節是具有綜合性的要件，因此在把握上不宜局限于《解釋》所明確規定的幾種情形。具體而言，筆者認為可以從違法所得、提供工具次數、所幫助的犯罪的社會危害性程度來把握本罪的“情節嚴重”，除了《解釋》所規定的情形外，還應當包括以下幾種情況：（1）專門性工具、程序被大量下載、復制，流傳范圍較廣，行為人對此明知或者應當明知的；（2）在提供的專門性工具中，能夠實現對國家機關、金融機構等重要單位的計算機信息系統的侵入和非法控制的；（3）提供專門性工具侵入、控制計算機信息系統是為了搜集重要情報、公民身份認證信息的；（4）明知他人實施了較為嚴重的計算機犯罪而提供幫助的；（5）有下游犯罪，且造成了嚴重的危害后果，行為人在提供程序、工具時對其明知或者應當明知的；等等。

二、提供用于侵入、非法控制計算機信息系統的程序、工具罪的制度完善問題

“法律不是嘲笑的對象，而是法學研究的對象；法律不應受裁判，而是裁判的標準”。作為司法工作者，我們不應隨意批判立法；但作為法律共同體的成員，結合實踐發現制度設計的問題，則應當是義不容辭的職責。筆者認為，提供用于侵入、非法控制計算機信息系統的程序、工具罪在制度上還存在進一步完善的空間，有待于在日后的修法的司法解釋中，對現有缺陷予以彌補。

（一）單位犯罪的設置缺失

在本罪的主體設置上，由于立法者未進行特別規定，使得單位無法成為本罪的主體。事實上，這種制度真空實際放縱了犯罪：“近年來，一些軟件公司、企業等單位受黑色產業鏈的誘惑，將制造病毒作為其發財致富的捷徑和通道，蓄意制造病毒，破壞計算機信息系統，然后進行販賣；有的公司則利用計算機病毒，惡意侵入計算機系統，實施破壞，以此搞垮同行，進行惡性競爭”。對此，筆者深有同感。

（二）情節嚴重標準有待進一步深化

首先，本罪中的“情節嚴重”，顯然指的是定罪情節。其次，《解釋》的公布使得提供用于侵入、非法控制計算機信息系統程序、工具罪的司法適用有了些許可供參照的裁判標準，但顯然也無法面對紛繁復雜的司法實踐，正如前文所述，《解釋》對于該罪的情節認定標準也還要進一步深化的空間。第三，就目前的實務研究來看，與其將大量的精力放在每一種情節犯的具體情節判斷應當適用怎樣的標準，還不如對情節犯進行整體性的研究，從中概括出情節判斷的一般標準并在司法實踐中推廣。這是一勞永逸的做法，也能夠在一定程度上改觀最高司法機關在情節犯認定上“頭痛醫頭、腳痛醫腳”的被動境遇。

*北京市海淀區人民檢察院［100043］