計算機網絡犯罪規制中的“未經授權”與“超越授權”
——中美比較研究*

高仕銀

(中國社會科學院，北京 100732)

計算機的更新換代和網絡技術的突飛猛進，使得計算機網絡的功能與升級速度、在社會中的應用效度以及人們對其依賴的程度遠遠超出預想。有學者曾預言：不管你多么貧困與孤獨，但值得注意的是，在你的生活中幾乎不可能不涉及到計算機(1)Michael Gemignani, Computer Crime: The Law in’80, 13 Ind. L. Rev. 681(1980).。在計算機網絡技術環境下，人類社會的生活全面表現為現實與虛擬的有機結合，使得現代人的生活、學習、工作、交往等都深深地烙上了技術的特征。計算機網絡技術促進了許多重大的變化，特別是在信息處理與交流中，其以非常重要的方式改觀著我們對世界的認知，也許，計算機帶來的最大沖擊是突破了我們所熟知的物質世界的時間和空間的障限(2)Josh L. Wilson, Jr., Electronic Village: Information Technology Create New Space, 6 Computer-Law Journal 365,370(1985).。然而科學技術又是一把雙刃劍，用之不當則社會與個人皆受其害。

計算機網絡的廣泛運用在造福社會的同時也滋生了對計算機網絡技術的濫用，導致計算機網絡犯罪的發生(3)Law Enforcement Assistance Administration, U.S. Dept. of Justice, Computer Crime vi (1979).。在計算機網絡犯罪中，侵入計算機網絡系統的行為是犯罪成立的前提要件和基礎性行為。刑事法意義上判斷計算機網絡系統是否遭受侵入的主要依據就是行為人對計算機網絡的訪問行為是否有權。未經授權或超越授權訪問計算機網絡，則為非法入侵，構成犯罪。中國和美國在規制計算機網絡犯罪上都規定或確立了以“未經授權”與“超越授權”的訪問行為判斷依據(4)美國關于計算機網絡犯罪的規制分為聯邦和州兩個部分，相關介述可參見：Susan W. Brenner, State Cybercrime Legislation in the United States of America: A Survey, 7 Rich. J.L. & Tech.，28 (2001). 本文研究范圍只涵攝美國聯邦層面。。本文從比較法的視角對中美規制計算機網絡犯罪中的“未經授權”與“超越授權”進行探討，通過對照分析中美兩國相關立法條文和司法解釋與案例判解，為我國計算機網絡犯罪規制中的“未經授權”與“超越授權”所規定內涵的進一步完善提供些許借鑒和參考。

一、刑法相關規定的適用范圍及行為的違法性判斷

(一)“未經授權”與“超越授權”的適用范圍

計算機犯網絡罪是一個變化的概念，在不同時期有著不同的稱謂。早期的描述有“計算機犯罪”“與計算機有關的犯罪”或“利用計算機犯罪”。當數字技術普遍應用以后，對這一犯罪的用語諸如“高科技犯罪”或“信息犯罪”又增加并被收入到字典詞匯中。因特網的出現，又把這類犯罪稱作“網絡犯罪”(cybercrime)，還有的稱其為“虛擬空間犯罪”“IT犯罪”“信息技術犯罪”等(5)S. W. Brenner, Cybercrime Metrics: Old Wine, New Bottle? 9 Virginia Journal of Law and Technology,4(2004).。相關官方規范性文件也對這類犯罪有不同表述，歐洲委員會制定的《計算機犯罪公約》對這類犯罪的用語采用的是“Cybercrime”，而美國聯邦《計算機欺詐與濫用法》(Computer Fraud and Abuse Act)則使用“Computer Crime”，中國刑法中規定的是與“計算機信息系統”有關的犯罪。這些稱謂和說法各有理據，在計算機和因特網環境下，有的稱謂側重于計算機，而有的表述又偏向于因特網?；谖覈谭ǖ囊幎?，本文使用“計算機網絡犯罪”來指稱與計算機網絡有關的犯罪行為。

計算機網絡犯罪用語的多樣性體現出計算機網絡犯罪的復雜性和發展性。自計算機網絡犯罪產生以來，人們對計算機網絡犯罪的概念本身并未達成統一的認識，正因為如此，我們很難給計算機網絡犯罪下一個確切的定義(6)Joseph M. Olivenbaum, Ctral-Alt-Delet: Rethinking Federal Computer Legislation, 27 Seton Hall L. Rev. 575, 576(1997).。計算機犯罪的復雜性有時甚至是一種難以描述的現象，其沒有一個全面而又能夠獨立展現出準確合理的且讓大家都接受的概念(7)Marc D Goodman and Susan W Brenner, The Emerging Consensus on Criminal Conduct in Cyberspace, 10 International Journal of Law and Information Technology no.2, 145(2002).。不過，即使是這樣的情況，也并不影響人們對計算機網絡犯罪的認識和對之有效地進行相應的法律規制。各國可以根據自己的情況作出決定和規定，這通過以下表述可以得到說明：考慮到信息技術的發展，歐洲議會根據1989年以來有關犯罪的增加，信息時代無形財產的重大價值，以及進一步促進研究、推動技術發展的愿望和潛在的高風險等情況，建議各國應當根據各自的法律傳統、文化和兼顧現行法律的適用情況來考慮作為犯罪懲罰的行為(8)國際刑法學會.國際刑法學會關于打擊電腦犯罪的建議稿[A].王世洲譯.我的一點家當：王世洲刑事法譯文集[C].北京：中國法制出版社，2005.166.。

雖然在計算機網絡犯罪的準確稱謂和精確定義上不能達成一致，但大家對計算機網絡犯罪的分類還是形成了比較廣泛的共識。一般而言，計算機網絡犯罪包括三種類別：第一類，以計算機網絡為目標的犯罪，指計算機或計算機網絡成為犯罪的對象，例如黑客入侵、惡意軟件、病毒程序或對操作系統的攻擊等；第二類，以計算機網絡為工具的犯罪，將計算機網絡作為工具實施原來就存在的傳統犯罪，比如，兒童色情、人肉搜索、著作權侵犯以及詐騙等；第三類，計算機的使用作為犯罪的附帶情形，指計算機既不是攻擊目標，也未作為工具，而是用來提供犯罪證據，諸如在計算機中發現謀殺犯的地址，被害人與加害人之間的對話等，在這些情況下計算機不是構成犯罪的因素，但是犯罪證據的貯存器(9)Computer Crime and Intellectual Property Section, US Department of Justice, The National Information Infrastructure Protection Act of 1996, Legislative Analysis (1996). 參見：http://www.cybercrime.gov/1030 analysis.html，2018年10月25日最后訪問。。雖然這是美國司法部的分類，但就計算機網絡犯罪的全球化樣態而言，上述分類與其他國家和地區的分類大同小異。美國司法部對計算機犯罪的上述分類也得到了其他一些國家，如澳大利亞、加拿大以及英國等的贊同并在其國內也按此區分，同時這一做法也被國際社會采納(10)A. Rathmell, Handbook of Legislative Procedures of Computer and Network Misuse in EU Countries, Study for the European Commission Directorate-General Information Society, 16(2002).。 “未經授權”與“超越授權”的適用規制對象為上述第一類，即以計算機網絡為目標的犯罪，主要涵攝范圍為那些針對計算機網絡系統的軟件、數據信息與程序資料等實施的犯罪行為。

(二)行為違法性的判斷

人們對計算機網絡的使用通過訪問(access)行為來完成。訪問本是用于現實物質世界中的一個概念，其被引入到計算機網絡數字語境中用來表示人機界面活動的過程。“訪問”一詞在計算機網絡犯罪法中被認為是一個主動式的動詞，意思是“獲取路徑進入”，如果被動地接受來自其他計算機的信息——但該信息不是通過直接訪問那臺計算機獲取，也沒有唆使他人去訪問那臺計算機，與其他人也沒有代理關系——就不屬于“訪問”，即使接收者知道信息來源于那臺計算機(11)Role Models America, Inc. v. Jones, 305 F. Supp.2d 564-68(D Maryland 2004).。 法律所關注的重點是被告人對被害計算機的“訪問”行為，并進而判斷其是否屬于有權訪問(12)Orin S. Kerr, Computer Crime Law, 2nd ed., West, a Thomson business, 27(2009).。 計算機網絡訪問行為是人對計算機網絡系統的數據指令輸入行為，這種數據指令的輸入行為可以從形式和實質兩個層面去分析判斷，不同層面的分析判斷會產生不同的認定結果。

形式判斷是根據計算機接受與傳播指令的工作原理來對訪問行為作出的觀察。計算機網絡系統在運行過程中以“0”和“1”的代碼組合方式相互之間通過發送和接受信息完成通訊交流。例如當某一用戶訪問網站時，其使用的計算機便向運載該網站的計算機發出訪問指令，請求載負網站的計算機發回網頁數據，當這些數據被發回到用戶的計算機上時，其界面即顯示出網站內容(13)Preston Gralla, How the Internet Works, 8th ed., Que, 130(2006).。從計算機運行的角度而言，計算機訪問就是行為人與計算機之間實現的人機對話性的交流。這種人機對話實現的訪問主要包含兩種方式：其一是訪問者向計算機輸入命令(command)，指示計算機根據其命令操作某項任務，計算機根據指令要求作出運行；其二是用戶向計算機發出指令請求發回信息，計算機對此作出反應，向使用者傳回相關信息。形式層面的計算機訪問行為體現出的是使用者與計算機網絡之間的相互關系，其從計算機網絡運行的物理功能出發來看待訪問行為。只要有使用者對計算機的指令輸入行為，計算機對此作出任務處理就形成訪問。當使用者輸入命令請求，計算機對此作出回應，然后根據指令運行相關任務即是訪問，而不問在此過程中是否完全實現使用者的訪問目的。

實質判斷是以訪問行為是否具體達到了訪問的效果而作出的觀察。訪問的判斷是看使用者是否實際上進入了計算機網絡系統。比如某用戶想使用一個受賬號與密碼保護的網站，于是先向計算機輸入指令，該計算機根據其指令向目標網站計算機發出請求，當用戶的計算機界面上顯示出該網站的登錄網頁時，其要求輸入有效賬號和密碼。如果同現實生活中的情況作對比，這個時候的計算機網頁界面就相當于面對一個上了鎖的門，向網頁中輸入有效賬號與密碼就相當于使用鑰匙去開門鎖(14)Trulock v. Freech, 275 F.3d 391, 409(4th Circuit 2001).。使用者輸入正確賬號密碼就是對計算機的訪問。從實現訪問目的的角度來看，實質層面的計算機網絡訪問就是需要對數據信息的獲取。即便有人機互動的過程，而沒有實現訪問目的，也不是訪問行為。形式與實質的判斷方法對同一個訪問行為的認定具有差別。就上述設有賬號密碼的網頁例子而言，使用者向計算機輸入命令要求傳回設有賬戶密碼的網頁界面，這一過程，從形式判斷來看無疑屬于訪問，因為用戶發出了指令，計算機對此也作出了反應；但從實質判斷來看，其并不算訪問，因為還沒進入到欲查看的網頁內部。這如同現實中到了有鎖的門前，雖然敲了門，但還沒有開鎖從門進去。

無論是形式還是實質的判斷，訪問行為本身不是計算機網絡犯罪成立的決定性要件。構成犯罪的訪問行為必須是未獲得授權?！拔唇浭跈唷迸c“超越授權”在計算機網絡犯罪中成為用來判斷訪問行為的合法與否的標準。換言之，如果是計算機的所有者或者合法權利者授權許可對計算機的訪問，則不存在犯罪行為(15)Cybercrime Convention, Explanatory Report.參見：http://conventions.coe.int/treaty/en/reports/html/ 185. htm，2019年4月25日最后訪問。。但是，在決定計算機訪問具有犯罪性的“未經授權”和“超越授權”這兩個要件中，是否授權和是否超出授權范圍就影響著訪問行為的性質，決定著行為的違法性與否。因此，對授權的理解與判斷就顯得至為重要，確立了授權也就給訪問行為的違法與否做好了定位。同時，在計算機網絡虛擬環境中的授權與現實世界中的授權是否相同，需要深入探討，不能簡單等而視之。下文從中美兩國在立法和司法特別是具體案例的判決入手，深入展開對“未經授權”和“超越授權”的分析研究。

二、行為違法性判斷的立法與司法規定辨析

(一)美國立法關于非法訪問違法性的判斷

美國國會在1984年通過的《全面控制犯罪法》(Comprehensive Crime Control Act)中制定了有關計算機網絡犯罪的條文?！度婵刂品缸锓ā肥且徊堪姸囝悇e刑法條文的法案集，其中關于聯邦第一個計算機網絡犯罪的刑事立法位于該法律集的2102(a)節，具體名稱為“偽造接入設備與計算機欺詐及濫用法”(Counterfeit Access Device and Computer Fraud and Abuse Act)(16)Comprehensive Crime Control Act of 1984, Pub. L. No. 98-473, tit.22, §2102(a), 98, Stat.1837,2190(1984).。這一法條在1986年修正時，正式被定名為《計算機欺詐與濫用法》(Computer Fraud and Abuse Act，簡稱：CFAA)，成為美國聯邦規制計算機網絡犯罪的法律，并被編載入美國《聯邦法典》第18編刑事法律部分，位列第1030條。1030條明確規定，構成計算機網絡犯罪的基礎性行為是“未經授權訪問”(access without authorization)與“超越授權訪問”(exceeding authorized access)。在1030條規定的7種犯罪中，除了1030(a)(5)(A)(i)與(a)(7)款所規制的計算機犯罪類別相對比較特殊以外(17)1030(a)(5)(a)(i)款禁止未經授權傳輸指令而導致計算機危害；1030(a)(7)款規定的是以技術威脅危害計算機進行敲詐。，其他的犯罪都以“未經授權”或“超越授權”訪問作為犯罪成立的基本要件。

其中，(a)(1)至(a)(3)項所規定的犯罪是直接以非法訪問計算機網絡作為犯罪成立的具體要件，而(a)(4)與(a)(5)及(a)(6)項的犯罪規定中則以非法訪問計算機網絡作為基礎要件，再增加構成具體個罪的要件(如詐騙、計算機危害等)形成不同的犯罪類別。在非法訪問計算機網絡犯罪中，(a)(1)項規定的是未經授權或超越授權訪問計算機獲取有關美國國家安全與機密信息的行為(18)18 U.S.C § 1030(a)(1)(West 2000&Supp.2009).；(a)(2)項規定的是未經授權或超越授權訪問屬于金融財政、政府部門或者其他受保護的計算機并獲取其中的信息的行為(19)18 U.S.C § 1030(a)(2)(West 2000&Supp.2009).；(a)(3)項規定了未經授權訪問非公共使用的專用于或歸屬于美國政府部門及其他行政機構的計算機(20)18 U.S.C § 1030(a)(3)(West 2000&Supp.2009).，這一項規定只是關于非法訪問的侵入性犯罪，適用于那些未經授權而訪問聯邦計算機的行為(21)Senate Report, 99-432(1986), reprinted in 1986 U.S.C.C.A.N. 279, 2484.。(a)(2)項是1030條規定中使用頻度最高的犯罪條款(22)Orin S. Kerr, Computer Crime Law, 2nd ed., West, a Thomson business, 27(2009).。作為非法計算機訪問犯罪中最主要的(a)(2)與(a)(3)項，雖然都是以訪問行為的非法性來成立犯罪，但其也有區別，主要包括以下幾個方面：其一，(a)(3)項的適用范圍要比(a)(2)項窄，其只涵括政府部門的計算機；其二，根據(a)(3)項的規定，其是單純的入侵性條款，即只要非法訪問即成立犯罪，而不像(a)(2)款還要求獲取信息；其三，(a)(3)項只要求非法訪問行為由“未經授權”構成，而沒有“超越授權”的要求。

1030條在規定了“未經授權”和“超越授權”的同時，對“超越授權”予以了專門的定義：已經獲得授權訪問計算機，并利用這一授權訪問去攫取或修改計算機中的信息，但行為人沒有被授權做出如此的攫取或修改(23)18 U.S.C § 1030(e)(6)(2008).。對于“未經授權”的內涵，立法則選擇了回避，司法判例也認為其雖然沒有在法條中作出規定，但一般都認為“授權”是從通常意義上去理解，不存在也不會產生任何技術性或含糊的內涵，因此也就沒有必要對陪審團作出在該用語含義上的指引(24)United States v. Morris, 928 F 2d 504, 511(2nd Circuit 1991).。但是對“授權”的具體判斷，美國聯邦司法實務部門經過多年積累，發展出了一套比較成熟的認定標準，對此下文將展開詳細分析。在1030條中，“未經授權”與“超越授權”這兩種非法計算機訪問的判斷是針對不同行為人而設定的，即“內部人”(insiders)和“外部人”(outsiders)?！皟炔咳恕敝饕侵笇儆谡畽C關、公司企業等單位的員工、雇員、代理人等；“外部人”主要是指那些諸如黑客、此部門或單位的員工使用計算機訪問彼部門或單位的計算機等情形。“內部人”和“外部人”的立法區分在美國聯邦計算機網絡犯罪規制上主要表現為：“外部人”訪問計算機的行為是“未經授權”而構成犯罪，“內部人”是那些獲得了一定授權的計算機使用者，但在訪問過程中超越了使用權限而觸犯本法之規定(25)Senate Report No. 104-357, at 11(1996). 可參見：http://thomas.loc.gov/cgi-bin/cpquery/?&dbname =cp 104 & sid =cp1048G4aK&refer=&r_n=sr357.104&item=&&&sel=TOC_45112&, 2019年4月25日最后訪問。。從1030條規定可以看出，“授權”是計算機網絡訪問行為是否屬于犯罪的“著色劑”，是否給予了授權或是否超出了授權的意思范圍，就可以給無色的計算機訪問行為添加上犯罪的有色元素。

(二)中國立法關于非法訪問違法性的判斷

我國《刑法》第285條規定的非法侵入計算機信息系統罪，非法獲取計算機信息系統數據、非法控制計算機信息系統罪與第286條規定的破壞計算機信息系統罪中都以空白罪狀“違反國家規定”作為犯罪成立的重要構成要件之一。根據這兩個法條的內涵，行為人的行為只有首先違反了“國家規定”才能進一步地評價其行為是否構成法條規定的符合上述罪名的計算機網絡犯罪。因此，從我國刑法對計算機犯罪的規定來看，犯罪行為違法性的評價基礎在于“違反國家規定”。只有那些不符合國家規定的訪問計算機信息系統的行為才能按照《刑法》第285條和286條來加以規制。雖然我國刑法對于構成計算機網絡犯罪的前提要求是“違反國家規定”，但總的來說，“中國《刑法》中的第285條打擊的是未經授權訪問的行為，而286條處理的是損害計算機系統中數據的行為”(26)Kam C Wong and Georgiana Wong, Cyberspace Governance and Internet Regulation in China, compiled in Cyber-crime:the Challenge in Asia, edited by Roderic Broadhurst and Peter Grabosky, Hong Kong University Press,67(2005).。如前文所述，1030條中規定的構成計算機網絡犯罪的基礎性要件是“未經授權或超越授權”訪問，這里的“未經授權或超越授權”在犯罪的構成要件上的功能就相當于我國《刑法》第285條和286條中的“違反國家規定”。

從以上考察可以看出，美國《聯邦法典》1030條關于判斷計算機網絡訪問是否違法所設定的“未經授權”與“超越授權”要件與我國刑法中關于構成計算機犯罪所規定的“違反國家規定”具有異曲同工之處。但相較于美國法規定中的“未經授權”和“超越授權”這一計算機網絡犯罪的違法性構成要件而言，中國刑法中規定的“違反國家規定”在作為我國計算機網絡犯罪成立的前提性構成條件時，立法并沒有如美國法規定那樣，對其中的內涵加以定義說明。“違反國家規定”與其他空白罪狀相比，其指向的內容未限定具體的范圍，涵攝的空間比較廣泛。對于其內涵的理解須把握刑法總則和分則的關系。這一關系決定《刑法》第285條和286條中的“違反國家規定”必須受到《刑法》第96條的限制。我國刑法分則空白罪狀中違反的“國家規定”應具有以下條件：1.“國家規定”的制定主體是全國人大及其常委會、國務院；2.“國家規定”是經過法定的程序制定并按照法定程序公開發布的；3.“國家規定”能夠代表國家的整體意志，以國家強制力反映出普遍的約束力；4.“國家規定”在表現形式上，必須是全國人大及其常委會制定的法律和決定、國務院制定的行政法規、國務院規定的行政措施、國務院發布的決定和命令(27)劉德法,尤國富.論空白罪狀中的“違反國家規定”[J].法學雜志,2011,(1)：15-17.。據此，“國家規定”是指由全國人民代表大會通過的憲法和法律；全國人大常委會通過的法律以及帶有單行法規性質的決定或者對現行法律作出某些修改、補充的規定以及以國務院名義制定或發布的有關法規性質的文件。這一理解符合我國《刑法》第96條的規定及罪刑法定原則的要求。但是，由地方國家權力機關制定的地方性法規、由國務院各部委和地方政府制定的行政規章，由于不是全國權力機關和國務院制定的，不能將其列入“國家規定”的范圍。這是因為，根據我國憲法的規定，國務院制作的規定與各部委制作的規定名稱不同(前者稱為行政規章，后者稱為部門規章)，效力不同(前者的效力高于后者)，既然《刑法》第96條沒有明確各部委可以視為其制作主體，自然不能對其作擴大解釋(或許可稱為類推解釋)(28)王恩海.論我國刑法中“違反國家規定”兼論刑法條文憲政意義[J].東方法學,2010,(1)：22-28.。在“違反國家規定”的內涵范圍確立之后，即可以確定計算機犯罪條文中“違反國家規定”的具體指稱內容。

確定我國《刑法》第285條和286條中的“違反國家規定”的內容，一方面要以《刑法》第96條的規定為依據，另一方面也要以計算機網絡犯罪及其保護法益為根基。按照這兩方面的要求，《刑法》第285條和286條中所指的“國家規定”應該是由全國人大及其常委會和以國務院的名義制定或發布的規范和保護我國計算機信息系統有關的法律、法規，主要包括：1. 1994年2月18日由國務院頒布的《中華人民共和國計算機信息系統安全保護條例》；2. 1996年2月1日由國務院頒布并于1997年5月20日經國務院修正并頒布的《中華人民共和國計算機信息網絡國際聯網管理暫行規定》；3. 2000年9月25日由國務院頒布的《互聯網信息服務管理辦法》；4.2000年12月28日由全國人大常委會審議通過的《全國人民代表大會常務委員會關于維護互聯網安全的決定》；5. 2001年12月20日由國務院頒布的《計算機軟件保護條例》；6.2012年12月28日由全國人大常委會審議通過的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》；7. 由全國人民代表大會常務委員會于2016年11月7日發布，自2017年6月1日起施行的《中華人民共和國網絡安全法》等。不是以全國人大常委會和國務院的名義制定或發布的規定，不屬于刑法規定意義上的“國家規定”，不能作為定罪處刑的依據，這是罪刑法定原則的必然要求。如有學者認為《計算機信息網絡國際聯網安全保護管理辦法》屬于有關計算機信息系統的“國家規定”而可適用到刑法中(29)趙秉志,于志剛.計算機犯罪及其立法和理論之回應[J].中國法學,2001,(1)：148-163.。這種認識明顯不符合刑法規定的要求，因為該《辦法》是以公安部的名義發布，諸如此類的規章還包括公安部發布的《計算機病毒防治管理辦法》等都不能作為《刑法》第285條和286條中“國家規定”的指向內容。

在美國法律規定中，計算機網絡犯罪成立與否的前提是考量“授權”?，F實生活中存在的是否授權比較容易區分和確定，主要原因在于有物理空間場域和人體本身作為有力的判斷依據，即以人的身體事實上進入到特定的場所為基礎，只要權利人對此行為有否定的意思即可判斷授權的不存在。正如美國《模范刑法典》所規定的那樣，權利人通過口頭表態或者依法作出禁止進入的告知以及合理的提示，亦或設置了與外界隔離的防止外人進入的設施都表明沒有授權的存在(30)Model Penal Code § 221.2(2)(1962).。一般而言，判斷是否授權的典型情況就是權利人在住宅外的圍欄上掛著“禁止進入”的標識，正常人如置若罔聞闖而進之，則構成非法入侵。但同樣是授權，其在虛擬空間中對訪問行為的正當與否的判斷則比較困難。計算機在現代社會已經成為人們日常生活的普及品，每天都有數以億計的用戶在通過計算機實現訪問行為，劃分出訪問行為授權與非授權的界限相當重要。這是因為根據1030條的規定，確立哪些訪問是“未經授權”或者“超越授權”通常決定著行為的犯罪與否。如果不能夠正確而準確的對計算機虛擬空間中的“授權”作出明晰的區分，則會影響到訪問行為的正確定性。同時，由于計算機網絡環境下的訪問行為不存在像現實生活中的侵入行為那樣需要人身體自身參與，而只是通過計算機的交互反應來完成訪問的目的，使用者的訪問是通過計算機界面得以完成的。換言之，在計算機系統間的交互反應這一前提下，使用者根據自己的訪問需要而發出指令讓計算機執行，計算機運行命令并獲取相關路徑，再傳回信號資料完成訪問任務。但由于計算機網絡的虛擬性特征，使用者在通過計算機執行訪問行為的時候，對于被訪問計算機所設置的一些限制進入的路徑可以通過技術方式“繞行”，從而使得其中的授權情況表現得非常復雜。同樣，在中國刑法中，“違反國家規定”也是一個很難直接明確的要件，在判斷上也無法直接從法條語義中得出恰當的結論。

美國《聯邦法典》1030條中的“未經授權”與我國《刑法》第285條和286條中規定的“違反國家規定”一樣，都屬于開放性的構成要件，都會隨著計算機網絡技術的發展而在內容上有所變化。因為在立法者看來，計算機網絡技術在不斷升級更新，對計算機網絡的訪問也隨之呈現出動態發展的特征，因此具體地確立何為“未經授權”并不理智，反而會給司法實踐帶來諸多障限，而事實也證明立法難以給出一個恰當的定義(31)Ric Simmons, The Failure of the Computer Fraud and Abuse Act: Time to Take a New Approach to Regulating Computer Crime, 329 George Washington Law Review(2016).。所謂“違反國家規定”的內容會發展變化，是由于“國家規定”并非僅指設置刑法條文時已有的規定。隨著社會的發展和國家行政管理的需要，“國家規定”的內容將不斷增加或被修訂，該“國家規定”可能是行為之前早就有的，也可能是行為前剛頒發和修訂的，有些還可能是刑法超前預設的，與其他部門法相比，行政法具有明顯的易變性，需要經常性的廢、改、立，以適應復雜多變的行政管理需要(32)劉德法,尤國富.論空白罪狀中的“違反國家規定”[J].法學雜志,2011,(1)：15-17.。這種動態性特征決定了“違反國家規定”如“未經授權”一樣，立法很難對其指稱內容按照明確性原則的要求作出具體規定。因此，美國和中國在計算機網絡犯罪違法性構成的設定上雖然具有異曲同工之妙，但是立法卻未能解決對這一構成要件的明確判斷，兩國都將這一任務交由司法實踐來完成。

三、司法運行中的實證考察

(一)中國司法解釋中的“未經授權”與“超越授權”

雖然在我國刑法關于計算機網絡犯罪規制的條文中沒有直接規定“未經授權”與“超越授權”，而是以“違反國家規定”來作出了相同功能性的設定。不過在我國刑法條文之外被學界稱作“副法”體系(33)林維.刑法解釋的權力分析[M].北京：中國人民公安大學出版社，2010.440.的最高司法解釋中，雖然沒有對“違反國家規定”予以進一步的說明，但是對《刑法》第285條第3款進行解釋的時候，卻與美國法規定的用語完全相同，明確規定了“未經授權”與“超越授權”。詳言之，2011年8月1日最高人民法院和最高人民檢察院(以下簡稱兩高)聯合發布了《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下稱《解釋》)，并于2011年9月1日起開始施行。該《解釋》是自1997年刑法規定計算機網絡犯罪后我國最高司法機關首次作出的正式回應。該《解釋》一共包括11個條文，詳細地對《刑法》第285條和286條中各罪所包含的“情節嚴重”“經濟損失”“后果嚴重”“共同犯罪”等加以規定和說明。其中，《解釋》第2條規定：具有下列情形之一的程序、工具，應當認定為《刑法》第285條第3款規定的“專門用于侵入、非法控制計算機信息系統的程序、工具”：1.具有避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權獲取計算機信息系統數據的功能的；2.具有避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權對計算機信息系統實施控制的功能的。

從上述《解釋》第2條的規定來看，其是對《刑法》第285條第三款確立的“提供侵入、非法控制計算機信息系統的程序、工具罪”的詳細解釋。在《解釋》中兩處提到了“未經授權”與“超越授權”，即“未經授權或者超越授權獲取計算機信息系統數據的功能的”和“未經授權或者超越授權對計算機信息系統實施控制的功能的”。《解釋》第2條的目的在于給司法機關指明哪些屬于刑法關于計算機犯罪規定中禁止使用的程序、工具。但從該條的第一款和第二款規定的前半段內容可知，這些程序、工具都具有“避開或者突破計算機信息系統安全保護措施”的功能。因此，當行為人使用這些能夠避開或者突破計算機信息系統的安全保護措施的程序或工具而實施了侵入或非法地控制計算機信息系統的行為，就構成《刑法》第285條或286條規定的非法入侵計算機信息系統罪或非法控制計算機信息系統罪。所謂“避開或者突破計算機信息系統安全保護措施”就是不按照計算機信息系統設定的安全保護措施的要求以正常的登錄方式實現訪問。一般而言，計算機信息系統被設置安全保護措施，如賬戶密碼等，是為了給予特定的被賦予了一定訪問權限的人使用，反之則禁止濫用。這完全表明設置安全保護措施的相關單位或個人對于使用者是否同意的態度，也即是否授權使用。行為人利用技術手段而通過使用一些程序或工具避開計算機信息系統中設定的安全保護措施而侵入或非法控制的行為，就是未經授權或者超越授權訪問。刑法將提供這種可以入侵或非法控制計算機信息系統的程序或工具的行為規定為犯罪，并與實施侵入或非法控制計算機信息系統罪的行為處以相同的刑罰，是為了從源頭上防范這一類型的犯罪。至于兩高在《解釋》中為何選擇“未經授權”與“超越授權”這一表述，并沒有說明理由，更是在整個《解釋》中沒有再進一步地詳細的對何為“未經授權”和“超越授權”作出定義。這使得這一解釋的結果存在著較大缺陷，至少是不能很好的對司法機關在適用這兩個術語時作出明確的指引。

(二)美國法院判解：立法定義外確認“未經授權”的三大標準

反觀美國聯邦司法實務部門，其得益于英美法系判例制度的優勢，雖然對“超越授權”這一違法性構成要件因立法已有明確定義而未作過多的解釋，但是在實踐中聯邦法院根據案件的具體情況對1030條中所規定的“未經授權”進行了充分全面的解釋并形成了對后面法院判案具有指導性意義的判解結論。綜合來看，自1984年美國國會制定并出臺《計算機欺詐與濫用法》以來，美國聯邦法院結合典型案例對是否屬于“未經授權”的解釋主要發展出了三種判斷依據：第一種是根據程序編碼設定的權限為準(簡稱：程序編碼設限)；第二種是以服務協議條款規定的權限為參考(簡稱：服務協議設限)；第三種是以代理人法的規定為依據(簡稱：代理人法則標準)。

1.程序編碼設限標準

“程序編碼設定的權限”是指計算機系統的權利人為了防止非法的訪問等侵入行為會通過設置程序編碼的形式來實現和加強對計算機的保護。這種權限設置通過技術性手段把相關的安全程序安裝到計算機的硬件和軟件中。安全程序的主要功能就是以編制好的路徑方式或賬號密碼等來對每一個用戶的使用權作出限制，只有根據計算機的權利人所設定的訪問方式如輸入賬號密碼才能正常地實現對計算機的訪問和使用。這種以程序編碼方式對每一個用戶設定的表現為賬戶密碼等方式的做法就是為了排除那些隨意或故意去訪問他人計算機的行為(34)John R. Vacca, Computer and Information Security Handbook, Morgan Kaufmann, 128(2009).。1984年美國國會通過1030條的時候即確定本條最首要且基本的規制對象就是那些涉及到私密領域的計算機，之所以是私密領域是因為政府以及金融機構等的計算機都以程序編碼設置了諸如賬號密碼之類的嚴格登錄要求，從而能夠保護其中的重要數據，不開放給社會大眾訪問(35)Patricia L. Bellia, Defending Cyberproperty, 79 New York University Law Review 2164, 2254(2004).。如果使用者不根據程序編碼所設定的訪問路徑，如按要求輸入有效賬號密碼等，而是以其他的技術性手段，如傳播病毒或以電子排碼方式不斷攻擊登錄界面直至猜測到有效賬號密碼獲得訪問等(36)Nicholas R. Johnson, “I Agree” to Criminal Liability: Lori Drew’s Prosecution under §1030(a)(2)(c) of the Computer Fraud and Abuse Act, and Why Every Internet User should Care, Journal of Law, Technology & Policy, 583(2009).，則會產生對訪問的授權是否有效的判斷。

關于以程序編碼所設定的權限為依據對計算機訪問行為的授權作出判決的最著名且影響深遠的判例是美利堅訴莫里斯案(United States v. Morris)(37)基本案情：在康奈爾大學讀博的莫里斯設計了一個名為“蠕蟲”(worm)的程序，并把該“蠕蟲”發布到網絡中，目的為了證明當時的計算機網絡安全措施不足以防范他所發現的漏洞，結果美國境內大多數計算機都受到嚴重沖擊，不斷“死機”，運行癱瘓。案發后，莫里斯被控未經授權訪問計算機犯罪。莫里斯辯稱其行為至多算“超越授權”，而不是“未經授權”訪問計算機，同時還辯稱認定“超越授權”訪問的證據也不足。法院判決認為，被告人莫里斯在因特網中故意釋放蠕蟲病毒，造成教育機構及軍事機關等單位的計算機癱瘓和功能損壞，給聯邦的計算機網絡造成嚴重危害，莫里斯“未經授權”訪問計算機的行為觸犯了1030條(a)款(5)(A)項，判處莫里斯3年緩刑，400小時社區服務，罰金10050美元以及有關的監督管理費。參見： United States v. Morris, 928 F. 2d 510(2d Cir. 1991).。在美利堅訴莫里斯案中，審判法院創設了關于判斷何時是未經授權訪問的規則，即“預設功能”(intended function)檢驗標準。根據法院的判解，莫里斯的行為屬于未經授權訪問是因為他利用了幾個程序的漏洞而沒有按照這些程序的預定功能方式去進行訪問。正如法院所指出的那樣，莫里斯使用這些計算機程序“與它們的預設功能沒有任何關系”(38)United States v. Morris, 928 F. 2d 510(2d Cir. 1991).。這是因為他所使用的SENDMAIL程序是專門用來收發電子郵件的，而指示服務守護進程(finger demon)程序是讓用戶向其他使用者詢問信息。但是莫里斯“既沒有發送或接收電子郵件，也沒有去搜尋其他計算機用戶的信息；取而代之的是他發現在這兩個應用程序中存在安全漏洞，并把這些漏洞作為實現未經授權訪問其他計算機的特殊路徑”(39)United States v. Morris, 928 F. 2d 510(2d Cir. 1991).。雖然第二巡回上訴法院沒有就“預設功能”標準展開詳盡的論說，但其主要是從計算機使用團體中的一般行為規范中發展出來的。根據這些規范，計算機軟件的制作者設計出的程序都是為了運行既定的功能，計算機網絡提供者提供并許可用戶使用這些程序的功能。提供者一般都會無保留地授權用戶在計算機上使用這些程序的預定功能，但并沒有授權用戶去發現并利用程序中的漏洞而運行其非預設的功能(40)Pekka Himanen, The Hacker Ethic: and the Spirit of the Information Age, Random House, 121(2001).。因此，當計算機的使用者利用程序漏洞并以此非預定的方式去訪問計算機就形成“未經授權”(41)Orin S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statute, 78 New York University Law Review, 1632, (2003).。

2.服務協議設限標準

“服務協議條款規定的權限”是指用“服務協議條款”來對計算機網絡中的訪問行為進行限制或做出相關要求。凡是使用過計算機的人在訪問網站或者下載傳播某些文檔資料時都會經常遇見其中設定或彈出的對話框，要求使用者必須閱讀有關的服務協議條款，在選擇“同意”或“已經閱讀并知道訪問的權利與義務”等這一類的條目之后，才能繼續進行接下去的訪問行為。在訪問行為被認定為是未經授權之前，需要確定行為人違反了計算機網絡服務協議的規定(42)Orin S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statute, 78 New York University Law Review, 1637, (2003).。這就意味著那些存在于計算機網絡中的明確的或者含糊的服務協議條款對于使用者的訪問行為的授權與否具有決定作用。這種情形下的解釋所發生的案例通常涉及到網絡服務商或者網站提供者，他們與用戶之間存在著協議或者服務條款，也包括那些雇員與原單位之間的案件，因為他們之間訂有雇用合同或者員工手冊。在涉及雇用關系的案件中，這些合同從保密協定到員工手冊等呈現出多樣形式，在計算機非法訪問案件中法院只是從中考察所需要的能夠表明未經授權的部分(43)Katherine Mesenbring Field, Agency, Code, or Contract: Determining Employee’s Authorization Under the Computer Fraud and Abuse Act, 107 Michigan Law Review, 827(2009).。服務協議和程序編碼設限具有重要的區別。用現實世界中的情況來作一個比喻的話，計算機訪問行為中的程序編碼設限和服務協議設限的區別就像是使用上鎖的緊閉的門將陌生人拒在外面和在前門入口處貼一張告知“閑人免進”(44)Orin S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statute, 78 New York University Law Review, 1646, (2003).。至于行為人在計算機訪問行為中違反了上述的服務協議條款，是否可以作為認定1030條中規定的“未經授權”的依據，進而認定為刑事犯罪，在美利堅訴洛莉·德魯案(United States v. Lori Drew)(45)基本案情：13歲少女梅根·美爾與洛莉·德魯的女兒是網友，兩人關系一度火熱，后來雙方逐漸交惡斷絕來往。2006年9月，梅根在大型社交網站聚友網(MySpace)實名注冊了自己的賬戶，不久便收到一個名叫喬希·埃文斯的交友請求。喬?！ぐＮ乃乖诰塾丫W中的形象是一名16歲的帥氣男孩，少女梅根很快與他在網上密切交往，且對之非常傾慕。但這個網友“帥哥”是洛莉·德魯虛構的，她為試探梅根是否對她的女兒說了一些惡毒謠言，便下載了一張男孩照片，她沒有遵守聚友網關于使用真名和照片的規定，而使用假名“喬?！ぐＮ乃埂痹诰塾丫W中注冊。梅根與網友“帥哥”在網上密切交往了20多天后，“喬?！蓖蝗粚λ龕赫Z中傷，同時還鼓動在線其他好友對梅根進行謾罵攻擊，遭受惡劣欺辱的梅根倍感絕望繼而在家中臥室上吊自殺身亡。 參見：United States v. Drew, 259 F.R.D. at 449 (C.D California, 2009).中有明確的體現。

在美利堅訴洛莉·德魯一案中，美國聯邦法院認為網站的服務協議條款可以用來設立訪問的授權及其范圍，但不能以違反服務協議條款為由來認為其違犯了計算機網絡犯罪法中規定的未經授權或超越授權，因為網站服務協議條款屬于一種合同，違反這種合同應該屬于民事訴訟的范疇，而不能作為刑事案件來追訴。網站的服務協議條款在確立何為“授權”或“超越授權”的基礎上，還可以相應地用來決定某人訪問該網站信息或服務的行為是否構成犯罪的話，那么1030條中的相關規定就存在著不可接受的模糊性。因為其沒有明確的規定究竟是違反任何一個還是所有的亦或某一些服務協議條款就構成未經授權訪問。如果規定違反任何服務協議條款就可以構成未經授權訪問，那么法條不明確的問題就可能得到解決；但這反而又使得法條變得極為寬泛并導致其違反了明確性原則中所要求的為刑法適用提供恰當的指引。將違反服務協議條款作為構成1030條相關犯罪的基礎，就等于是讓網站的所有者最終成為犯罪行為的定義者。這將導致更嚴重的模糊性問題，有些網站的服務協議條款本身表述就非常不清晰，使得訪問者很難合理的確定這些條款的內涵，有些網站所規定的服務協議條款范圍及適用是其所有者根據自己的特定目的或喜好所制定，完全沒有標準(46)United States v. Drew, 259 F.R.D. at 465 (C.D California, 2009).。法院以憲法上的明確性原則來判定以“違反服務協議條款”為據來解釋刑法的不恰當性，最終撤銷了對洛莉違犯1030條的指控。雖然本案是一審，由加利福利亞州中心區聯邦地方法院判決，但是其作出的判解理由非常正確有力，強調了刑法解釋的嚴謹性和合憲性，秉承了刑法在法益保護和人權保障方面所必須遵循的基本原則。因而使得洛莉在一審之后由于控方未提起上訴即生效成為終審判決。由這一判決所形成的一個基本結論是：諸如服務協議條款這樣的合同內容可以用來判斷訪問是否獲得授權，但不能將其作為認定構成刑事犯罪的依據。

3.代理人法則標準

“以代理人法則作出判斷”是指以代理中的相關理念來判斷計算機訪問行為的授權與否是基于普通法上的代理人規則來作出的，并且適用這一法則來判斷的案件主要涉及雇員對雇主的計算機訪問行為是否屬于未經授權或者超越授權。根據代理人規則，雇員與雇主之間存在著的代理關系確立了兩者之間的特殊義務與責任，其并不以其他合同的方式呈現和執行。在代理中很重要的是雇員對于雇主具有忠實的義務，這一義務要求他的行為必須有利于雇主或者所在的企業。當雇員所獲取的利益有悖于雇主時——例如雇員開始為雇主的競爭對手工作，那他代表雇主從事的授權性行為即終止(47)William A. Gregory, The Law of Agency and Partnership, 3rd ed. West Group, 11-15(2001).。根據這種理念，把代理人規則引用到1030條規定中授權訪問行為的認定這一問題上，就表現為當一名雇員使用雇主的計算機進行訪問但并不是為了雇主利益時，即意味著他已不再是進行授權的訪問行為。美國的一些法院在審理雇員使用雇主的計算機進行訪問所產生的涉及1030條中授權的認定時采納了代理人規則。因為這些案件大多表現為雇員通過訪問其工作單位的計算機復制、修改或者刪除這些計算機中的數據信息，然后辭職去與原單位有競爭關系的企業工作或者自己經營與原單位有競爭性的公司。在這種情況下，雇員所在的原單位或雇主即以違反代理人規則為由，并根據1030條的規定向法院提起控訴。華盛頓州西區聯邦地方法院所審理的賽佳德倉儲中心公司訴賽福佳德自存倉儲公司案(48)基本案情：賽佳德倉儲中心公司是美國一家大型倉儲企業，屬于倉儲行業的領頭羊，其在美國和歐洲都占據著絕對份額的市場。賽福佳德自存倉儲公司是賽佳德倉儲中心公司的直接競爭對手，其主要在美國境內和國外開展經營自存式倉儲服務。賽福佳德自存倉儲公司以高薪報酬買通了賽佳德倉儲中心公司的一個地方部門經理埃里克·利蘭及其他幾個員工，讓他們為其工作。埃里克·利蘭在原公司中屬于管理層，其對原公司計算機系統中的機密商業計劃、市場拓展規劃以及其他的商業秘密等數據信息有全部訪問權限。埃里克·利蘭等利用在原公司工作的職務之便，不斷地將原公司計算機中的各類商業秘密以及專有信息通過電子郵件發給賽福佳德自存倉儲公司。案發后，賽佳德倉儲中心公司向華盛頓州西區聯邦地方法院提起訴訟，認為埃里克·利蘭故意未經授權訪問該公司的計算機或超越授權訪問該公司計算機并從中獲取信息，這一行為違反了聯邦計算機犯罪法中的非法訪問規定。參見Shurgard Storage Centers, Inc. v. Safeguard Self Storage, Inc. 119 F. Supp. 2d 1121, 1125(W.D. Wash. 2000).(Shurgard Storage Centers, Inc. v. Safeguard Self Storage, Inc.)是美國第一件也是影響深遠的適用代理人法則判決的案例(49)Garrett D. Urban, Causing Damage without Authorization: the Limitations of Current Judicial Interpretations of Employee Authorization under the Computer Fraud and Abuse Act, 52 William and Mary Law Review 1369, 1377(2011).。

在“賽佳德倉儲中心公司訴賽福佳德自存倉儲公司案”中，判斷計算機訪問是否授權所依據的代理人法則在解釋上沒有太多的限制。根據法院的判解，只要雇員使用雇主計算機的行為與雇主的利益不一致時，就可以認為該雇員已經不是雇主的忠實代理人，因而他對雇主計算機的訪問就是未經授權。其中決定訪問行為的授權與否的關鍵因素是雇員的動機，如果動機不純就按照代理人法則認定不再具有授權的資格。因此，在賽佳德案中，華盛頓州西區聯邦地方法院對“未經授權”采取了廣義解釋(50)Graham M. Liccardi, The Computer Fraud and Abuse Act: a Vehicle for Litigating Trade Secrets in Federal Court, 8 The John Marshall Review of Intellectual Property Law, 164(2008).。由于本案是使用代理人法則來解釋計算機訪問未經授權的第一個案例，因此其也開創了對“未經授權”進行廣義解釋的先河。雖然賽佳德倉儲中心公司訴賽福佳德自存倉儲公司是以1030條為依據提起的民事訴訟，但其中關于對計算機訪問授權的認定也對后來的刑事案件在此問題上的判解產生了影響。前述的美利堅訴洛莉·德魯案中控方關于以違反網站服務協議條款來認定訪問的未經授權判解就是從中受到的啟示。

美國聯邦司法實務部門關于計算機訪問授權與否的判斷從與計算機本體緊密相關的情況入手，解釋依據主要為程序編碼設限和網站服務協議條款，也就是說計算機的所有者或者類似的權利人可以通過設置程序編碼或使用者服務協議條款來限制和規范他人對其計算機的訪問范圍與訪問方式。相應地，計算機的使用者會因為規避設定的程序編碼或者違反服務協議條款而被認為是無授權的訪問行為，從而涉及到濫用計算機并以1030條作為依據展開問責。以程序編碼限定訪問行為的做法就是計算機的權利人通過在軟件程序中設置登錄密碼等從而限制使用者特定的計算機訪問權限(51)Lawrence Lessing, Code and other Laws of Cyberspace, Basic Books, 68-70(2006).。行為人規避程序編碼的方式主要有兩種：一是假以他人身份登錄，如未經同意使用他人密碼或猜測出密碼；二是從程序編碼中找出缺陷，然后利用制作的程序攻入漏洞實現訪問(52)Bruce Schneier, Secrets and Leis: Digital Security in a Networked World, Wiley, 175(2004).。前述判例中莫里斯為了顯示其才華而突破被他發現的計算機程序缺陷釋放蠕蟲病毒的行為即是如此。

使用者服務協議條款則是計算機的權利人通過制定相關使用合同來明確規定使用者的權利與義務。如果訪問行為人與權利人先前存在合作關系，則合同表現為服務協議條款(Terms of Service)，如果不存在即以使用協議條款(Terms of Use)的方式表現(53)Orin S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statute, 78 New York University Law Review, 1645, (2003)。但不管哪種行為方式，都是訪問者沒有按照其協議條款的具體規定來行使訪問行為，如上述案件中洛莉以虛假的身份信息注冊賬戶的行為即屬于此種情況。除了程序編碼設限與使用服務協議條款作為判斷依據外，代理人法則成為在不屬于上述兩種判斷依據下的替代性選擇且主要適用于民事賠償(54)1030條在規定刑事處罰的同時，也規定了受害人可以提起民事賠償。但1030條中的民事救濟條款不是類似于中國刑事附帶民事訴訟的規定，根據該法即使被害人提起了民事賠償等方面的訴訟，如果計算機網絡犯罪行為仍有值得刑事處罰的必要，則依然可以由司法機關提起刑事控訴與審判。根據1030條的規定，任何人因他人違反1030條而遭受到損害或者損失的，可以對違法者提起民事訴訟并獲得損害賠償或者停止侵害的禁止令以及其他相等同的民事救濟；但提起民事訴訟須符合下列五種情況之一：1.一年之內給一人(包括法人)以上造成的損害累計5千美元以上；2.修改或破壞(或潛在的修改與破壞)與醫療檢查、診斷、治療或一人以上的護理的數據信息；3.造成人身傷害；4.對公共衛生或安全造成威脅；5.對使用于國防、國家安全或司法行政部門的計算機網絡造成損害。參見：18 U.S.C. § 1030(a)(5)(B) (2006).，使其主要用來解決雇員對雇主計算機訪問的情形。

在“未經授權”的解釋判斷取用標準上，美國聯邦法院判例的普遍選擇“程序編碼設限”來作為刑事案件中授權判斷的依據。雖然有控方以“服務協議條款”作為參考來判斷存在“未經授權”的情況，但是經過洛莉案的判決之后，沒有一個被告人因違反網站的服務協議條款而被當作1030條(a)(2)款規定的犯罪來處理(55)D. Money Laundering, Rule of Lenity, 112 Harvard Law Review, 475, n64 (November 2008).?！按砣朔▌t”的判斷依據由于其解釋的寬泛性在刑事案件中也為聯邦法院所不采。美國聯邦法院在刑事案件中以程序編碼設限作為判斷計算機網絡訪問的未經授權，其最大優益之處是能很好地控制1030條的適用面，可以將那些“情節顯著輕微危害不大的”計算機網絡使用行為排除在刑法規制的范圍之外(56)Warren Thomas, Lenity on Me: LVRC Holdings LLC v. Brekka Points the Way toward Defining Authorization and Solving the Split over the Computer Fraud and Abuse Act, 27 Georgia State University Law Review, 385(2011).。這是因為1030條在規制計算機犯罪中存在著既要實現對法益的有效保護又要體現對人權的有力保障，具體表現為：一方面要保證廣大的計算機用戶盡可能的在網絡世界中暢享自由，另一方面又要保護計算機的數據信息安全及其使用者的隱私。打擊計算機網絡犯罪行為可以有效的保護信息安全與隱私，但過分的刑法適用就會侵害計算機用戶的個人自由。因此，這種相互牽扯而體現的潛在張力要求必須對犯罪的構成要件予以恰當的厘定，反映在1030條上就是“未經授權”的確立要符合刑法規制的要求。在關于計算機網絡訪問中“未經授權”的判斷上，美國聯邦法院通過判決明確地表明在刑事案件中只能適用程序編碼設限作為判斷的依據，這些判例成為新的規則，對后來發生的案件發生著重要的指引作用。

(三)中國法院判決檢視：“未經授權”與“超越授權”判詞乏力

1.判決文書縱覽

通過登錄“中國裁判文書網”，搜索與計算機網絡犯罪有關案件的法院判決，并且為了盡可能達到全搜索，在“刑事案件”項下分別輸入三組關鍵詞：“未經授權”“超越授權”“計算機信息系統”(20條)；“未經授權”“計算機信息系統”(65)和“超越授權”“計算機信息系統”(22條)。檢索范圍為自2011年《解釋》明確規定“未經授權”和“超越授權”以來的全部載網判決，去除重復檢索結果后，一共檢索到有關案件判決文書65份(57)詳細參見“中國裁判文書網”：http://wenshu.court.gov.cn.。其中，載網判決文書的最早生成時間為2013年1月20日，最新載入時間為2018年12月13日；基層人民法院判決書53份，中級人民法院判決書11份，高級人民法院駁回申訴書1份。在65份判決書中，同時出現“未經授權”和“超越授權”表述的有15份；單獨出現“未經授權”表述的有50份，“超越授權”單一表述的判決僅檢索到1份(58)該文書為遼寧省高級人民法院于2018年5月30日作出的何明東駁回通知書。參見“中國裁判文書網”：http://wenshu.court.gov.cn. 案件名稱：何明東駁回通知書，2019年4月28日最后訪問。。經過細致梳理分析65份判決文書，關于“未經授權”和“超越授權”在判詞中的存在形式主要有兩種：一種是在判決主文中載明；一種是在判決主文之后的附件中以“相關法律條文”的形式出現。

(1)判決正文中的“未經授權”與“超越授權”

根據判決文書正文中“未經授權”和“超越授權”的使用情況和法官對這兩個用語的說理闡釋程度進行判斷，本文將其分為“直引用法”和“解釋用法”兩類?！爸币梅ā?，顧名思義就是直接將《解釋》中規定的“未經授權”或“超越授權”引用到判決文本中相應需要處，而不進行任何解釋與說明。簡而言之，就是機械式的簡單照搬照抄。這種“直引用法”又分“原句直用”和“原句轉用”?！霸渲庇谩本褪菍ⅰ督忉尅分幸幎ǖ摹拔唇浭跈嗷蛘叱绞跈喃@取計算機信息系統數據的功能的”直接原句植入判決書中。例如，2016年9月30日由廣西壯族自治區某市中級人民法院作出終審裁定的陳某等犯“侵入、非法控制計算機信息系統程序、工具罪”和“提供侵入、非法控制計算機信息系統程序、工具罪”一案中，法院判決文書中唯一一處使用“未經授權”和“超越授權”的表述為：“經查，公安機關在陳某在場及見證人見證的情況下對陳某銷售的木馬程序的源代碼進行偵查實驗，證實該木馬程序的源代碼具有盜取QQ號和密碼的功能，即具有避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權獲取計算機信息系統數據的功能”(59)詳細參見“中國裁判文書網”：http://wenshu.court.gov.cn，案件名稱：陳軍輝、羅顯冠提供侵入、非法控制計算機信息系統程序、工具二審刑事裁定書，2019年5月1日最后訪問。。原句被直接引用后，沒有展開論證，而是作為結尾來使用。

“原句轉用”是將《解釋》中規定的“未經授權或者超越授權獲取計算機信息系統數據的功能的”或“未經授權或者超越授權對計算機信息系統實施控制的功能的”兩句話中的“未經授權”或“超越授權”兩個詞組提取出來轉換后使用于判決書中。例如，由北京市第一中級人民法院在2018年5月9日作出的二審維持原判的終審裁定中，對“未經授權”和“超越授權”的表述為：“提供侵入、非法控制計算機信息系統的程序、工具罪的客觀表現是提供專門用于侵入、非法控制計算機信息系統的程序、工具，且情節嚴重的行為，其本身應具有獲取計算機信息系統數據、控制計算機信息系統的功能，具有避開或者突破計算機信息系統安全保護措施的功能，其獲取數據和控制功能在設計上即能在未經授權或者超越授權的狀態下得以實現”(60)詳細參見“中國裁判文書網”：http://wenshu.court.gov.cn，案件名稱：龐銀平等提供侵入、非法控制計算機信息系統程序、工具二審刑事裁定書，2019年5月2日最后訪問。。經統計，在檢索搜集到的65份判決文書中，類似于上述廣西法院的“直引用法”的判決一共有62份，占95.3%。在這類判決中，“未經授權”和“超越授權”的適用更多是從漢語字面意義上來表述，而非法律語義特別是未結合計算機網絡技術特征來進行專門使用。

“解釋用法”就是在引用《解釋》關于“未經授權”和“超越授權”的規定后，結合計算機網絡犯罪案件的具體情況，同時根據計算機網絡技術的發展特點和最新類型，在判決中對什么是“未經授權”或“超越授權”作出一定的法理解釋。法官重點圍繞行為人的相關訪問行為或者是使用的相關技術措施(即訪問軟件、程序等)是否獲得“授權”進行法律層面和技術層面的初步解讀和闡述，使“未經授權”或“超越授權”的判斷具有相當的依據，同時也對其語義內涵予以了一定的展開，作出了豐富其定義的努力。這一點不但體現了司法實務中的法官的務實擔當精神，更在學理和法理上具有探索建構中國刑事法語境下計算機網絡犯罪“未經授權”和“超越授權”違法性判斷標準的開創性價值意義，非常值得肯定。不過值得注意的是，從搜集到的65份判決文書中進行甄別統計，使用“解釋用法”的這類判決只有3份，占比僅為4.7%，反映出當前在我國司法實務部門中對這一問題的探索力度還不夠深入，面也不夠廣。下文以浙江省紹興市中級人民法院判決為例，對“解釋用法”的運行情況進行具體分析。

(2)判決文書附件中的“未經授權”與“超越授權”

在檢索到的判決文書中，部分判決文書雖然是涉及計算機網絡犯罪的案件，但在判決文書正文中并沒有出現“未經授權”或“超越授權”，也無相關的解讀和說明，而是在判決正文后附上的“相關法律條文”中，詳細列舉出《解釋》中關于“未經授權”和“超越授權”的具體條文。例如，2017年4月27日上海市徐匯區人民法院在蘇某犯非法獲取計算機信息系統數據罪，葉某犯提供侵入、非法控制計算機信息系統的程序、工具罪的一審判決中，針對蘇某和葉某實施的行為為何構成判決之罪不但未作深入的法理性論述，也沒有直接引用《解釋》中的“未經授權”和“超越授權”，而是以事實性闡述甚至是同義反復簡要說明倆被告人的行為構成犯罪：“本院認為，蘇某違反國家規定，采用技術手段獲取計算機信息系統數據，情節特別嚴重，其行為已構成非法獲取計算機信息系統數據罪，應予處罰。被告人葉某向他人提供專門用于侵入、非法控制計算機信息系統的程序、工具，情節嚴重，其行為已構成提供侵入、非法控制計算機信息系統的程序、工具罪，應予處罰”(61)詳細參見“中國裁判文書網”：http://wenshu.court.gov.cn，案件名稱：陳軍輝、羅顯冠提供侵入、非法控制計算機信息系統程序、工具二審刑事裁定書，2019年4月29日最后訪問。。在檢索到的65份判決文書中，以附件形式列舉《解釋》規定的“未經授權”和“超越授權”規定的這類判決占10份，占比為15.3%。從這類判決文書的存在樣態來看，大體可以解讀出的意思可能有兩層：一是承辦法官覺得案情簡單，不需要引用“未經授權”或“超越授權”這樣比較專業的規定用語，就如前述上海法院的案例；二是法官在判案過程中對《解釋》關于“未經授權”和“超越授權”的規定理解和把握不準，索性就干脆不直接引用，也不作說明，而是在正文后附上有關法律規定，由當事人結合案例自己進行解讀。

2.具體案例解析：張大云等犯提供侵入、非法控制計算機信息系統程序、工具罪

(1)基本案情(62)本案涉及的罪行較多，但與本文相關主要罪行是提供侵入、非法控制計算機信息系統程序、工具罪，因為都屬于多人違犯同一種罪的串案，且構成同種罪的行為方式相同，限于篇幅本文從裁判文書中只提取一個犯罪行為予以分析闡述。該文書為浙江省紹興市中級人民法院于2017年3月3日(2017)浙06刑終43 號刑事裁定書，“中國裁判文書網”：http://wenshu.court.gov.cn. 案件名稱：王貴興、張大云侵犯公民個人信息二審刑事裁定書，2019年4月29日最后訪問。

2014年11月開始，被告人張大云伙同非同案共犯楊某根據非同案共犯馬某提供的用戶需求，開發制作了“林某1”“凌某”系列軟件，并由馬某銷售給他人用于批量獲取淘寶、支付寶系統中的數據信息。被告人葉星明知上述系列軟件的功能和用途，仍于2015年3月開始受雇于被告人張大云等人，并從事系列軟件的開發、維護工作。經查，通過運行“林某1”“凌某”系列軟件，能夠規避多重限制條件，批量獲取淘寶、支付寶系統中的數據信息。被告人張大云等人通過銷售“林某1”“凌某”系列軟件獲利人民幣234萬余元，被告人張大云分得其中的25%。被告人張大云與非同案共犯楊某共同承擔了被告人葉星的工資收入人民幣4萬余元。2015年9月27日，被告人張大云被公安民警抓獲歸案。后在被告人張大云的協助下，公安民警于同日將被告人葉星抓獲歸案。紹興市越城區人民法院于2016年12月24日作出(2016)浙0602刑初1145號刑事判決，被告人張大云犯提供侵入計算機信息系統程序罪，判處有期徒刑四年六個月，并處罰金人民幣五萬元；被告人葉星犯提供侵入計算機信息系統程序罪，判處有期徒刑二年六個月，并處罰金人民幣三萬元。

張大云、葉星等不服提出上訴。張大云上訴提出：“林某1”軟件功能僅限于在瀏覽器中正常操作能完成的功能，軟件僅將固有功能簡化，目的在于提高效率，未進入計算機后臺竊取數據，不具有突破淘寶安全防護系統的功能；“林某1”軟件使用的數據是經用戶授權的，原判認定未經授權錯誤；其辯護人提出：原判認定“林某1”系列軟件具有避開或突破計算機系統安全保護措施的功能錯誤；僅對“林某1”系列軟件中的一款作了鑒定，且未指出能突破淘寶安全防護系統的功能或行為以及未得到授權的數據；自動更換IP作用是提升網站服務器的速度，不能使數據不安全；無證據證明人機識別、IP登陸數量、數字驗證、圖片驗證等措施屬安全防護系統；軟件模擬正常操作過程，無規避措施，不能威脅數據安全；“林某1”軟件無侵入、非法控制計算機系統的功能，不能獲取計算機系統中的數據，不是專門用于侵入、非法控制計算機系統的程序、工具；軟件不能避免用戶使用非法賬戶信息，輸入正確的賬戶及密碼即應認定為得到了用戶授權。葉星上訴提出：原判認定“林某1”系列軟件可規避安全防護系統，直接威脅數據安全錯誤，偵查機關僅就第一款軟件“凌某”出品(015)淘寶掃號器全自動版的軟件源代碼進行鑒定，且鑒定報告亦未明確該軟件能突破淘寶安全防護系統；“林某1”工作室的信息均有用戶授權，賬號密碼均為用戶導入，用戶購買的用途是否合法其不知情；其辯護人認為：“林某1”“凌某”軟件不具有突破安全防護系統的功能，突破淘寶公司人機識別、IP登錄限量、數字、圖片驗證等操作規則，不等于突破計算機安全防護系統，僅是簡便操作；“林某1”“凌某”系列軟件中的數據是經過用戶授權的，賬號密碼均為用戶輸入，他人非法獲取數據的責任不應由葉星承擔。

紹興市中級人民法院對張大云、葉星及其各自辯護人的上訴理由及辯護意見，進行了如下評析：淘寶有限公司安全部門職員證人金某證實人機識別系統是阿某反作弊關鍵系統，該系統為淘寶、支付寶等30多個應用提供安全防護服務，安全防護的目的就是防止機器批量操作盜取賬號。而“林某1”系列軟件可以繞過該識別系統，實現批量操作；張大云作為該軟件的研發人員，對該軟件如何突破防護有詳細而穩定的供述；“林某1”系列軟件在實際使用中確用于非法用途。淘寶、支付寶等應用的安全防護措施的目的就在于防止批量操作，而“林某1”系列軟件突破了該項防護，實現批量操作的目的，故應認定為具有避開或突破計算機系統安全防護措施的功能。張大云及其辯護人提出該軟件模擬正常操作，僅可提高效率不應認定為具有避開或突破計算機系統安全防護措施的功能的上訴意見不成立。對于張大云、葉星及其辯護人均提出“林某1”軟件使用的數據經用戶授權的意見，法院認為：“林某1”軟件使用的數據來源非法；軟件實現修改密碼、解綁手機、換綁郵箱等批量操作系突破淘寶公司服務器安全防護措施而實現；修改密碼、解綁手機、換綁郵箱等操作違背原賬號所有人的意志。故該上訴意見不成立。紹興市中級人民法院駁回張大云、葉星等人上訴，維持原判。

(2)簡要評析

通過對上述張大云、葉星等犯提供侵入、非法控制計算機信息系統程序、工具罪一案的初步梳理，可以看出其與類似案件的判決最大差別之處是本案在涉及“未經授權”和“超越授權”時，并未簡單的加以引用，也不是在判決書末尾附上帶有“未經授權”和“超越授權”的有關法律規定或司法解釋。犯罪嫌疑人張大云及其辯護人對其行為是否“授權”進行了較為明確的辯解，即認為其使用的“林某1”軟件目的在于提高效率，沒有進入計算機后臺竊取數據，不具有突破淘寶安全防護系統的功能，且提出“‘林某1’軟件是經用戶授權的，軟件不能避免用戶使用非法賬戶信息，輸入正確的賬戶及密碼即應認定為得到了用戶授權”。張大云及其辯護人特別強調“輸入正確的賬號及密碼即應認定為得到了用戶授權”，涉及到在我國關于計算機網絡犯罪中，特別是在“侵入”型犯罪中，行為人“授權”的認定標準，這與美國聯邦計算機犯罪法中的相關規定和司法判解中已經得到公認并法定化的“程序編碼設限”標準具有相當性，其辯解主張在我國司法實務中也具有一定的開創性。簡而言之，無論是“未經授權”還是“超越授權”，其中的核心要件是“授權”，只有授權與否得到明確的認定，才能再進一步分析犯罪的構成要件符合與否。

本案中張大云、葉星及其辯護人雖然都在上訴中提出了輸入正確賬號密碼即不應認為是未經授權的辯解意見，但又同時提出：“‘林某1’‘凌某’軟件不具有突破安全防護系統的功能，突破淘寶公司人機識別、IP登錄限量、數字、圖片驗證等操作規則，不等于突破計算機安全防護系統，僅是簡便操作”的主張，明顯不具有充分的說理性和辯駁力，站不住腳。這一點在紹興市中級人民法院的判解回應中可以得到明確說明：人機識別系統是阿某反作弊關鍵系統，該系統為淘寶、支付寶等30多個應用提供安全防護服務，安全防護的目的就是防止機器批量操作盜取賬號，“林某1”系列軟件可以繞過該識別系統，突破了該項防護，實現批量操作的目的，故應認定為具有避開或突破計算機系統安全防護措施的功能。“林某1”軟件使用的數據來源非法，軟件實現修改密碼、解綁手機、換綁郵箱等批量操作系突破淘寶公司服務器安全防護措施而實現；修改密碼、解綁手機、換綁郵箱等操作違背原賬號所有人的意志。紹興市中級人民法院的判解說明了“授權”的缺失，特別是“修改密碼、解綁手機、換綁郵箱等操作違背原賬號所有人的意志”直接說明了未經授權的存在。

從上述案件的判決情況來看，上訴和審判雙方都對“未經授權”進行了一定的申辯和解釋，雖然兩方都沒有根據有關法律規定或司法解釋進行條分縷析的解讀或引用(實際上到目前為止，就“未經授權”或“超越授權”而言，也無相應的具體法條依據或認定標準可以直接適用)，也沒有如美國法院那樣總結出具體的認定“未經授權”或“超越授權”的標準，但是走出了重要的一步，特別是紹興市中級人民法院提出了類似于“程序編碼設限”的認定思路，即突破系統設定的安全防護功能，就應認定為未經授權(當然，具體是未經授權還是超越授權，似還有進一步討論的空間，但無論認定為“未經授權”還是“超越授權”都不影響行為的最終定性)。

從總體上看，中美兩國法院在計算機網絡犯罪中對“未經授權”和“超越授權”方面的判解，雖然據以認定的規定高度相似(即都是“未經授權”和“超越授權”)，但在具體的認定內涵或判斷依據上卻存在很大不同。主要差異是目前中國法院對“未經授權”和“超越授權”在一定程度上存在著“集體性失語”，除了上述紹興市中級人民法院在這一問題上有所拓展外，絕大部分法院在實踐中都沒有就“未經授權”或“超越授權”進行合理定義或精細解讀(更遑論從司法判決中總結出類似美國判解的具有中國特色的認定標準)。在中國法院的判決中，對于誰授權或誰是授權主體(關于授權的主體，在搜集到的判決書中只有一個判決書簡單的提出：“未經目標計算機授權”(63)該文書為大連市金州區人民法院于2016年4月1日對黃某犯提供侵入、非法控制計算機信息系統程序、工具罪的判決，參見“中國裁判文書網”：http://wenshu.court.gov.cn. 案件名稱：黃翔提供侵入、非法控制計算機息系統程序、工具一審刑事判決書，2019年5月2日最后訪問。)，沒有展開進行深入的說明；“超越授權”更是沒有具體的闡述，大多數的判決都是直接援引司法解釋中的原話或是將司法解釋中的有關規定作為判決附文列后。因此，從某種程度上說，對于“未經授權”和“超越授權”的認定，中美兩國司法可謂“貌合神離”。

四、結論

計算機網絡犯罪以及其他非屬于犯罪的計算機濫用行為都隨著計算機技術的更新而改變，行為手段層出不窮。美國立法在計算機網絡犯罪中設置“未經授權”和“超越授權”來判斷行為人的訪問行為合法與否，但沒有對“未經授權”予以明確定義，而是讓司法機關結合實踐作出判解，形成判例規則。立法機關根本不可能以一個固定時期且處于計算機技術發展初期的關于對“未經授權”樣態的認識來詮釋當時和未來的行為模式。 在“未經授權”這一問題上，法院的判例以“規避程序編碼設限”作為判斷依據。出于對罪刑嚴格認定的考慮，美國法院在刑事案件上對發展出來的“服務協議條款”規則不予采用。沒有一個法院已經作出判決認為違反一個合同式的規定(不管是違反網站的服務協議條款還是其他)構成計算機訪問的未經授權，從而以《計算機欺詐及濫用法》的刑法條文來治罪(64)Nicholas R. Johnson, “I Agree” to Criminal Liability: Lori Drew’s Prosecution under §1030(a)(2)(c) of the Computer Fraud and Abuse Act, and Why Every Internet User should Care, Journal of Law, Technology & Policy, 577(2009).。因此，美國立法中“未經授權”在刑事案件中認定的核心義涵就是不能規避程序編碼設限或是突破預設功能而擅自訪問他人計算機。

計算機網絡的重要意義在于其在源頭設計上就提供了自由使用的價值(65)Lawrence Lessing, Code and other Laws of Cyberspace, Basic Books, 8(2006).。同時，計算機網絡還存著重要的社會價值，體現在其可通過法律和技術的架構來保證廣大用戶能在計算機網絡中有自己安全而私密的領域，使其不受到非法的侵擾與干涉(66)Paul M. Schwartz, Internet Privacy and the State, 32 Connecticut Law Review, 815(2000).。 然而，這兩種價值之間存在著沖突。舉例而言，黑客會認為自己具有探索性的計算機攻入行為是自由訪問，但對于受訪的被害者而言則會認為這是對其隱私與安全的侵犯(67)Michael Lee et al., Electronic Commerce, Hackers, and the Search for Legitimacy: a Regulatory Proposal, 14 Berkeley Technology Law Journal, 845(1999).。刑法的適用就需要游走于這兩者沖突的邊緣，而中美兩國規制計算機網絡犯罪的法律都是既要能夠保證計算機網絡使用的價值，又要保護其中的隱私及其安全。在以程序編碼作為未經授權的判斷依據下，計算機用戶可以自由地使用網絡、訪問網站、收發郵件以及在其他的社交網站上自由地交流交往，而不用擔心會因為違反使用服務協議條款等類似合約式規定而受到刑事追究(68)當然這并不意味著沒有任何責任，計算機或網站的權利人對于違反其服務協議條款的行為人可以提起民事訴訟。。同時權利人通過程序編碼以賬號密碼或防火墻等方式設定訪問的限制，表明他們對計算機網絡安全以及隱私的需求，不允許他人隨便訪問。通過技術性等方式來規避設定的程序編碼而突破計算機中設置的安全障限從而攫得訪問的行為嚴重威脅到權利人的隱私、利益及計算機數據信息的安全，其明顯的體現出行為人具有嚴重的刑事犯罪性和非難可責性(69)Ethan Preston, Finding Fences in Cyberspace: Privacy and Open Access on the Internet, 6.1 Journal Technology Law & Policy 3(2000).參見：http://grove.ufl.edu/～techlaw/vo16/Preston.html(最后訪問：2019年5月2日)。這對那些在自己計算機及其網站中設定了訪問限制的情況能夠提供完整的保護。

綜上所述，由于我國司法解釋中所使用的“未經授權”與美國立法中所規定的“未經授權”具有相同的規制功能，義涵也基本沒有差別。因此，我們認為對我國司法解釋中的“未經授權”在其內涵上可以參考美國判例結論來加以確定，即以程序編碼設限作為判斷計算機訪問未經授權的標準。對于“超越授權”則在上述基礎上可以確定為：行為人在獲得一定授權使用計算機時，利用這一授權使用的機會去獲取計算機信息系統中的數據或控制計算機信息系統，但行為人的數據獲取或控制行為并沒有得到授權。