非法獲取計算機信息系統數據罪認定中的兩個難題

　　【案情回放】
　　被告人谷某2003年至2007年系上海某資訊科技集團公司（以下簡稱上海公司）研發部主管，因研發工作需要被授權用戶名和密碼進入公司數據庫的計算機系統后臺，谷某沒有按照公司規定在使用后即刪除用戶名和密碼，故意存儲在電腦中。2009年谷某被調至該集團公司的子公司南京某資訊科技有限公司（以下簡稱南京公司）任技術開發部WDP（一種自動化辦公系統平臺）主管，因崗位發生變化而不再有權進入數據庫的計算機系統后臺，只是有權通過WDP工作平臺讀取少量的數據，且會有讀取記錄、亂碼等限制。2011年7月被告人谷某因嫌薪水低而想辭職，于是將2007年在上海從事研發工作期間得到的數據庫后臺系統的用戶名和密碼調出來試用，發現仍然能夠使用，于是先后多次登錄計算機系統后臺，通過專用軟件從該數據庫導出1700余份數據（占該公司全部數據的80%，該公司每年銷售數據利潤2億余元）及WDP平臺的全部配置文件，并通過電子郵件傳輸、存儲至家中電腦內。
　　該案爭議的焦點集中在以下兩點：一是谷某是公司內部員工，而且有權通過WDP平臺讀取少量數據，是否屬于非法侵入計算機信息系統；二是盡管司法解釋列舉了該罪“情節嚴重”的四種具體情形后，用了兜底條款“其他情節嚴重的情形”，本案中谷某獲取的計算機系統數據沒有泄露出去，沒有獲取利益，是否屬于“其他情節嚴重的情形”。
　　一、如何從證據角度認定“非法侵入
　　由于計算機犯罪的特殊性，其證據的審查與認定也具有特殊性。非法獲取計算機信息系統數據罪中“非法侵入”的證據認定，關鍵在于以下兩個方面：一是行為人的權限。行為人的權限在證據上主要依賴于書證。一般而言，被害單位會根據本單位工作人員的工作內容、職務等賦予其進入計算機信息系統的相關權限，主要體現為工作責任書、崗位職責、勞動合同、保密協議等客觀性證據；同時結合被告人自己的供述、證人證言等主觀性證據來輔助判斷被告人的權限。堅持以客觀證據為主，以主觀證據為輔的原則。在前述案例中，通過審查被告人谷某從2007年直到2011年的勞動合同和崗位職責說明書，發現被告人谷某于2007年在上海公司工作期間，其崗位職責是數5e05fc2cc1174e918f4c65137c83aca0690ec11a5b9c2e5796624043f7d91725據處理軟件的研發和數據加工，具有進入數據庫后臺的權限。但2009年到南京公司后，其崗位職責發生重大變化，由原來的數據處理軟件研發和數據加工變更為辦公自動化工作平臺WDP的維護和升級，而WDP不能直接進入數據庫后臺，只能讀取少量的數據，且會有讀取記錄、亂碼等限制。二是侵入計算機信息系統的行為。主要靠電子證據來認定。被告人侵入計算機系統會留下信息記錄，獲取數據的方式、輸入的身份認證以及獲取的數據，會形成電子證據，一般體現為文字、數字、表格、圖片、聲音、圖像、視頻等。因此，認定非法獲取計算機信息系統數據罪需要偵查機關及時對涉案的計算機進行扣押、查封，并及時進行電子證據提取和計算機遠程勘驗。在前述案例中，公安機關網監部門對被告人谷某辦公室電腦、被告人谷某的電子郵箱、被害單位數據庫后臺進行勘驗。通過對電子證據提取筆錄和遠程勘驗筆錄的審查，發現被告人谷某從其工作使用的電腦D盤內調取了其2007年在上海公司使用過的用戶名和密碼，先后四次登陸公司數據庫后臺，導出1700余份數據表，又通過電子郵箱傳輸到其住處的電腦內。這些客觀性的電子證據鎖定了谷某侵入計算機信息系統并獲取數據的事實。
　　二、關于情節嚴重的理解與認定
　　（一）實體方面“情節嚴重”之理解
　　非法獲取計算機信息系統罪是情節犯。刑法理論中的“情節犯”是指以情節嚴重為必要條件的犯罪類型。犯罪的本質是法益侵害，法益侵害性是質和量的統一，在質的意義上指法益侵害的有無，在量上指法益侵害的程度大小。刑法中存在一些行為難以通過強調、增加某種構成要件要素來使犯罪構成總體所反映的社會危害性達到應受刑罰懲罰的程度，或者是立法者不能預見所有情節嚴重的情形，在這種情況下，刑法會以“情節嚴重”作出綜合性規定。所以“‘情節嚴重’作為構成要件，其特點是綜合性，涉及客觀方面、主體、主觀方面等內容”。［１］這意味著此種情節不屬于犯罪構成要件某一方面的要素，而是一個包括手段、目的、結果等主、客觀方面的綜合性構成要件要素。正是因為它是一個綜合性的要件，所以無論是司法解釋還是刑法條文都無法窮盡所有可能的情形，所以“情節嚴重”具體包括哪些情形需要結合具體個案，以法益侵害為指導，進行實質地、綜合性的評定。兩高《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（以下簡稱《解釋》）規定，非法獲取計算機信息系統數據罪的“情節嚴重”包括身份認證信息500組以上的、非法控制計算機信息系統20臺以上的、違法所得5000元以上或者造成經濟損失10000元以上的、其他情節嚴重的等五種情形。結合本案來看，前述司法解釋的前四種情況都不符合，只能看是否符合兜底條款“其他嚴重情節”。從理論上說，這里的“其他嚴重情節”至少包括獲取信息的數量、次數、手段、潛在的危險性等，從實質上判斷其行為的法益侵害性和有責性是否到達需要刑罰處罰的程度，既要防止將沒有達到刑罰處罰程度的行為認定為犯罪而隨意入罪；又要防止將達到刑罰處罰程度的行為排除在犯罪之外而放縱犯罪。
　　結合前述案例來看，谷某侵入計算機信息系統獲取的數據占公司全部數據的80%，價值近億元，雖然沒有泄露出去造成現實的經濟損失后果，但是危險性巨大；谷某獲取的WDP全部配置文件，可以迅速搭建一個與公司相同的程序，該公司WDP的開發成本200余萬元，其獲取的數據量之大，潛在的危險性之大，將其評價為“其他嚴重情節”并不違法刑法的規定，也符合刑法保護法益之目的。
　　（二）證據方面之“情節嚴重”的認定
　　《解釋》中規定的前四種情況，即“身份認證信息500組以上的”、“非法控制計算機信息系統20臺以上的”、“違法所得5000元以上或者造成經濟損失10000元以上的”，由于在客觀上造成了現實的后果，因此在證據的認定上比較簡單。但是對于“其他嚴重情節”的認定是比較困難的，也是爭議最大的。結合前述案例，認定屬于“其他嚴重情節”關鍵在于兩個問題：一是獲取的信息數據與被害公司數據庫中的數據進行比對，以確定其獲取的數據量之大。通過審查電子證據提取筆錄，發現公司數據庫總共只有數據表2100余份，而被告人谷某非法獲取了1700余份，且1700余份均包含在2100余份之內，具有對應性。而且電子證據提取筆錄還表明谷某將WDP工作平臺的全部配置文件全部導出。這在證據上就足以認定其獲取的數據量之大。二是數據價值的評估。由于這種數據具有壟斷性，不具有市場統一價格，物價部門無法進行價格鑒定。從證據的角度，一方面要對已經銷售出去的數據與被告人獲取的數據進行比對，通過銷售合同記載的價格以及合同附件對應的數據進行比對；另一方面要對WDP開發成本進行核算，包括硬件購買憑證、員工工資憑證等會計資料，委托會計師事務所等中介機構進行審計。通過第三方審計出的價值，從證據角度認定行為情節的嚴重性。前述案例中，通過評估，被告人獲取的數據價值1億余元，為認定“其他嚴重情節”奠定了重要基礎。
　　綜上，筆者認為，前述案例中谷某的行為構成非法獲取計算機信息系統數據罪。這一點也得到法院判決的認可，2012年2月6日，江蘇省南京市建鄴區人民法院以非法獲取計算機信息系統數據罪判處谷某有期徒刑6個月，緩刑1年。計算機犯罪作為一種新的犯罪形式，“就犯罪構成而言，大致上是一個新的現象，但是并不是一個新的問題”，這正如用電腦來傷害他人，還是故意傷害罪；用電腦來殺人，也仍然構成故意殺人罪，所以只是一個對現有刑法條文的解釋問題。［2］
　　注釋：
　　［1］張明楷：《實質解釋論的再提倡》載《中國法學》，2010年第4期。
　　［2］張明楷：《刑法分則的解釋原理》中國人民大學出版社2004年版，第225頁。
　　［3］黃榮堅：《刑罰的極限》元照出版社1999年版，第209