提供侵入、非法控制計算機信息系統程序、工具罪的司法認定

易琦　梁燕宏

一、基本案情

鐘某自學編程語言制作了“瘋狗短信轟炸機”軟件，該軟件利用有漏洞的網站，在短時間內向目標手機號碼發送大量驗證碼短信，進而達到轟炸、騷擾的目的。轟炸軟件制作成功后，鐘某通過“瘋狗短信轟炸官網”、百度貼吧以及論壇等平臺發布信息，進行推廣、銷售。至案發，鐘某共計銷售“瘋狗短信轟炸機”七百余人次，銷售金額十萬余元。

鐘某某與鐘某系堂兄弟關系。為牟利，鐘某某開始參與“瘋狗短信轟炸機”軟件的推廣銷售。鐘某還專門制作了與“瘋狗短信轟炸機”有類似功能的“無情短信轟炸機”交由鐘某某進行網上售賣。至案發，鐘某某共計銷售上述軟件80余人次，銷售金額四千余元。

某公司發現短信注冊平臺被惡意利用，在5天時間內對三千余個手機號碼發送了二十余萬條短信，為此支付短信費用達人民幣一萬余元，遂向公安機關報案。公安機關經偵查后將鐘某、鐘某某抓獲歸案。

二、分歧意見

提供用于侵入、非法控制計算機信息系統的程序、工具罪是刑法修正案（七）增設的罪名。為便于此類案件的法律適用，2011年8月，最高人民法院、最高人民檢察院出臺了《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（以下簡稱《解釋》）。但在具體的案件辦理中，該罪的認定仍有諸多疑難問題。本案中，對于鐘某等人是否構成提供侵入、非法控制計算機信息系統的程序、工具罪，就有分歧。認為不構成該罪的理由是：本案中，鐘某研發制作的這款轟炸軟件，僅是利用有漏洞的網站發送驗證碼，這種利用尚未達到“侵入”的程度，更談不上“非法控制”；報案的網站不屬于“計算機信息系統”；驗證碼短信不屬于“計算機信息系統數據”。筆者認為本案罪與非罪之爭的核心是該罪的司法認定標準問題。

三、評析意見

辦理此類危害計算機信息系統安全的犯罪，首先要了解涉案軟件的工作原理。本案中，鐘某研發制作的這款轟炸軟件，其主要功能是短信轟炸。其原理是該軟件運行后，可侵入漏洞網站后臺，自動循環提交注冊信息，避開網站設置的60秒內不重復發送驗證碼等限制，迫使網站在短時間內發送大量驗證短信至目標手機號碼，進而惡意騷擾目標手機號碼用戶。短信轟炸所侵入的有漏洞網站指的是有些網站對注冊手機發送驗證信息沒有次數限制；有些網站注冊網頁不需要輸入圖片驗證碼等。具備這樣特征的網站就可能被鐘某利用。

根據《刑法》第285條之二的規定，提供侵入、非法控制計算機信息系統的程序、工具罪是指提供專門用于侵入、非法控制計算機信息系統的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具，情節嚴重的行為。該罪的犯罪構成要件中，主客體要件均無爭議。要準確適用法律，對案件的罪與非罪做出正確判斷，關鍵在于對客觀要件和主觀要件的理解。

（一）客觀要件中幾個關鍵詞的理解

1.計算機信息系統

《解釋》第11條給出了“計算機信息系統”和“計算機系統”的定義，是指具備自動處理數據功能的系統，包括計算機、網絡設備、通信設備、自動化控制設備等。本案中，我們需要判斷的是網站是否屬于計算機信息系統。從用戶的角度來看，用戶通過瀏覽器所看到的畫面是網頁，而網站是由單個或多個網頁集合而成的。從管理者的角度來看，網站基本的組成包括域名、空間服務器、網站程序、數據庫等。本案中被侵入的網站均是擁有注冊功能的企業門戶網站，這些網站均具備自動處理數據的功能，均屬于計算機信息系統。

1994年國務院出臺了《計算機信息系統安全保護條例》，該條例第2條明確了計算機信息系統的定義，是指由計算機及其相關的和配套的、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。前述《解釋》第11條的定義無論內涵還是外延均廣于條例的規定。這不難理解。因為隨著計算機信息技術的發展，數據的存儲、處理方式和能力都在發生著日新月異的變化，而網絡終端設備的多樣化，帶來網民數量的快速增加。據中國互聯網絡信息中心2017年8月4日發布的統計報告顯示[1]，截至2017年6月，中國網民規模達到7.51億，占全球網民總數的五分之一。手機網民數量達7.24億，占比96.3%，中國網站數量達到506萬個。網絡已完全融入了人們的生產和生活，這使得網絡安全的重要性日益凸顯。立法者希望更有效地保護計算機信息系統的安全，對網絡犯罪行為進行更合理地規制，必然會盡可能地把需要保護的對象納入到保護范圍中來。因此，本文認為，大到整個網絡，小到個人主頁，只要是具備自動處理數據功能的系統，均應屬于計算機信息系統，納入刑法保護的范圍。

2.侵入、非法控制

“侵入”計算機信息系統行為是指通過終端設備對他人的計算機信息系統進行非法訪問，或者對其進行數據截收的行為[2]。 “侵入”行為比較常見的有這樣幾種表現形式：一是盜取他人訪問密碼，冒充合法用戶實施侵入；二是合法用戶越權訪問；三是利用技術手段進入本無權進入的計算機系統，比如破解保護措施，或者利用計算機系統的漏洞，從而侵入計算機及其相關設備；四是通過 “陷阱門”、“后門”進行非法入侵。

具體到本案，根據鐘某的供述以及在其電腦中找到的源代碼，可對短信轟炸機迫使網站短時間內發送多條驗證短信的方式作如下表述：其先發送“POST”命令至該網站，即從本地數據發送一個注冊要求到服務器，然后通過“GET”命令實現服務器數據發送到本地的數據讀取。在這個過程中，其使用抓包軟件抓取信息，從而獲知后臺運行數據，然后避開后臺設置的限制，循環提交注冊要求，服務器就會循環發送驗證碼到注冊手機號碼。該軟件的“侵入”性主要體現在這一過程中。短信轟炸機在運行中并非從客戶端正常訪問網站，而是從本地繞開安全保護措施，直接提交注冊信息至網站的服務器，這樣就避開了網站設置的規定時間內不能重復注冊、圖型驗證等安全保護措施，符合《解釋》第2條“具有避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權獲取計算機信息系統數據的功能”的表述。服務器接收到注冊請求后返回的驗證碼正是計算機信息系統數據，這個數據被軟件使用者獲取，直接發送到了目標手機號碼。由于該數據對于實際未注冊的被騷擾人來說是沒用的信息，也就成為了垃圾信息，但不能因此判定數據無意義。對于注冊用戶來說，沒有正確的驗證碼是無法完成注冊的。

所謂“非法控制”，比較常見的是行為人利用網站漏洞將木馬植入到網站上，在用戶訪問網站時利用客戶端漏洞將木馬移植到用戶計算機上，或在互聯網上傳播綁有木馬的程序或文件。當用戶連接到互聯網上時，該程序就會通知黑客，來報告IP地址以及預先設定的商品。黑客在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改他人計算機的參數設定、復制文件、窺視他人硬盤中的內容等，從而達到控制他人計算機的目的[3]。行為人的目的在于控制，讓他人計算機接受自己的指令。據此，本文認為，“非法控制”是指通過各種技術手段使他人計算機信息系統處于行為人的掌控之中，接受行為人發出的指令，完成相應的操作活動。本案中，鐘某的主要目的在于獲取驗證碼，并非控制網站，更沒有實施破壞行為。破壞計算機信息系統罪要求違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重。顯然在本案中“瘋狗轟炸機”并非病毒，它并不是直接攻擊網站，也沒有刪除、修改、增加數據的功能，更沒有造成網站不能正常運行的后果。所以該罪名不予考慮。

從其不斷尋找有漏洞網站，以替代發現漏洞予以完善的網址這一點來看，鐘某等人的行為僅是侵入，并未達到非法控制的程度。

3.專門

本罪的罪狀表述包含兩個部分，因此，這類程序、工具也有兩種。

一種是對應前半部分，即“提供專門用于侵入、非法控制計算機信息系統的程序、工具”?！皩ｉT”是對程序、工具本身的用途非法性來進行限定的，是指行為人所提供的程序、工具是專門用于違法犯罪目的，而不包括那些既可以用于違法犯罪目的又可以用于合法目的的“中性程序”。具體到本案，鐘某開發制作的這款軟件的功能就是“轟炸”，即通過短時間內多次發送信息的方式干擾他人正常生活。對此，我國《治安管理處罰法》第42條第5款明確將其規定為違法行為。除此以外，該款軟件沒有其他的用途。因此，符合“專門”性的要求。

另一種程序、工具對應罪狀表述的后半部分，即“明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具”。這種程序、工具有其他用途，但也可用于侵入、非法控制計算機信息系統。此時，這種程序、工具不以專門性為必要，可以是具有其他正當用途，但在不當使用時即會產生危害后果。

區分上述兩種程序、工具的意義在于被提供者是否實際使用對犯罪成立的影響。本文認為，對于“專門”性的程序、工具，行為人在設計、制作該程序時，主觀惡性明顯，例如病毒，盜號軟件等，這些程序、工具的存在，本身就對信息網絡的安全造成嚴重威脅，嚴重擾亂社會管理秩序，有必要予以刑事打擊。故只要行為人將該程序、工具提供給他人，達到《解釋》要求的人次等標準，即使沒有證據證實被提供者實際使用，也不影響犯罪的成立。而對于“中性程序”，只有收集到足夠的證據證實被提供者實際使用，且用于違法犯罪行為，才能認定提供者構成本罪，否則很難判定提供行為具有嚴重的社會危害性。

4.提供

“提供”是指向他人供給，既包括出于營利目的的有償供給，如本案中的網上銷售；也包括不以營利為目的的免費供給，比如將程序貼在網上供人免費下載。既包括向特定對象提供，也包括向不特定的社會公眾提供。本案中鐘某等人就是以營利為目的，通過網上銷售的方式，有償地將這種程序提供給不特定的社會公眾。

（二）主觀要件的理解

有觀點認為，提供侵入、非法控制計算機信息系統程序、工具罪在犯罪的主觀方面不僅限于直接故意，還應當包括間接故意的情形[4]。本文認為，該罪的主觀方面只能是直接故意，不可能出于間接故意或者是過失的心理態度。對此，可以結合行為人對“提供”行為的主觀意志來分析。

如前所述，“提供”就是行為人將上述程序、工具有償或無償地交給他人。行為人對于交付物顯然是有一定認識的。前文也分析了該罪狀中包括兩類程序、工具。對于“專門”性工具而言，由于它的“專門”性，作為個中高手的行為人很清楚其功能和用途，也就當然明知他人使用這些工具、程序去實施何種行為。對于“中性程序”， 行為人需明知他人可能實施違法犯罪行為，但被提供者可能實施違法犯罪活動，也可能不實施。只有被提供者實際將該程序、工具用于違法犯罪活動，行為人的提供行為才有社會危害性和刑事可罰性。此時行為人“明知”的內容只要有概括認識即可。就“提供”行為本身來說，行為人當然是直接故意。對于行為人主觀方面的證明，可結合其供述以及客觀行為表現來綜合判定。綜上，本文認為提供侵入、非法控制計算機信息系統程序、工具罪在犯罪的主觀方面只能是直接故意。

（三）情節嚴重的把握

本罪為情節犯，只有情節嚴重的才構成犯罪。根據《解釋》第3條第2項、第5項的規定，提供二十人次以上；違法所得五千元以上或者造成經濟損失一萬元以上屬于情節嚴重。加重犯與基本犯在情節方面的倍比關系是五倍。本案中，鐘某提供人次達七百一十五人次，違法所得達十萬余元，兩項均屬情節特別嚴重。鐘某某提供人次達八十人次，這一項達情節嚴重標準。

《解釋》對于 “情節嚴重”、“情節特別嚴重” 采取列舉方法作出了相應的解釋規定。但司法解釋不可能窮盡現實中各種復雜情 形，在處理具體案件時應當在司法解釋的基礎上，結合立法原意以及案件的各種主、客觀情節對“情節嚴重”作出綜合性的判斷。

（四）其他分歧意見及評析

就本案而言，還有以下幾種分歧意見，在此一并評析：

第一種意見從網站損失短信費用的角度，認為構成盜竊罪。根據某網站平臺的報案材料，僅僅五天的時間，其平臺被惡意發送短信達二十余萬條，短信費用為每條五分錢，共損失短信費一萬余元。而反觀鐘某，其要實現短信轟炸的功能，就要發送短信到目標手機號碼，發送短信就會產生費用，而本應由鐘某支付的短信費改由平臺支付，這些費用是在平臺完全不知情的情況下被偷偷用掉的，因此構成盜竊罪。但本案中鐘某對網站損失的短信費用并沒有非法占有的目的，這些費用也沒有進入他的口袋。鐘某實施犯罪行為的主要目的并不在于獲取短信費用，而在于出售軟件牟利。如果說鐘某由此節省了犯罪成本，所謂“省下的就是賺到的”。 那么就有了第二個理由：鐘某辯解稱并不知道網站會為此支付費用或者支付多少費用。鐘某侵入網站的方式簡單粗暴，多數網站在被侵入后很快就會發現并修復漏洞，或是沒有費用，或是有費用但不多。此外，智能手機的普及應用極大地改變了人們的交流方式，如今使用手機發送短信的很少，基本都是通過QQ、微信等各種即時聊天工具來溝通聯系。而且短信有各種包月、贈送，有些幾乎就是免費。如果認定為盜竊，其犯罪數額就會由網站的修復速度、短信平臺的資費標準、包月情況等來決定。這顯然不能成立。

第二種意見注意到了該軟件的主要功能，認為構成尋釁滋事罪。如今手機幾乎成為人的體外器官，人人機不離手。短時間內接收到大量的短信和電話，會使人心情煩躁，影響正常的工作和生活。這種騷擾符合尋釁滋事罪無事生非的特點，因此構成尋釁滋事罪。然而，通過鐘某等人與購買者的聊天記錄可以看到，買“瘋狗轟炸機”的人去騷擾哪個人是由其自行將目標手機號碼填寫進用戶界面的，這一點鐘某等人并不掌握。而且購買者是出于什么目的騷擾對方，是敲詐勒索，是無事生非，是打擊報復，還是想引起注意，甚至只是朋友間的玩笑，購買者也并不告知鐘某。鐘某主觀上雖然明知其開發的“瘋狗轟炸機”主要功能是騷擾，但其與購買者之間并未就軟件用途達成合意。

第三種意見從出售軟件的角度，考慮非法經營。非法經營的幾種行為一一與鐘某所實施的行為相比較，不難發現假如這個軟件沒有利用有漏洞的網站，不是為了騷擾的目的，其實他的出售軟件行為本身并沒有被苛責的地方。而軟件本身的問題又不是非法經營所規制的比如專營、專賣物品或者其他限制買賣的物品。其行為本身也未擾亂市場秩序，將其歸入破壞市場經濟秩序一類的犯罪終歸不妥。

注釋：

[1]參見第40次《中國互聯網絡發展狀況統計報告》發布http：//cnnic.cn/gywm/xwzx/rdxw/201708/t20170804_69449.htm，訪問日期：2018年1月2日。

[2]參見侯帥：《狹義計算機犯罪各罪研究》，載《三峽大學學報》2014年第6期。

[3]參見周道鸞、張軍主編：《刑法罪名精釋》第四版（下），人民法院出版社2013年版，第705頁。

[4]參見孫中梅、趙康：《試論提供用于侵入、非法控制計算機信息系統的程序、工具罪的實然適用與應然展望》，載《中國檢察官》2012年第1期。