285
第二百八十五条 【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
【本条释义】
本条是关于非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪及其处罚的规定。
本条共分四款。第一款对违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为及其处罚作了规定。“计算机信息系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。国家事务、国防建设、尖端科学技术领域的计算机信息系统,涉及国家秘密等事关国家安全等重要事项的信息的处理,应当予以特殊保护。《中华人民共和国计算机信息系统安全保护条例》第四条规定:“计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。”因此,本条第一款规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,不论其侵入的动机和目的如何,也不需要在侵入后又实施窃取信息、进行攻击等侵害行为,侵入行为本身即构成犯罪。本条第一款的规定,体现了对国家事务、国防建设、尖端科学技术领域的计算机信息系统安全的特殊保护。需要说明的一点是,从法定刑的设置看,有本条第一款行为的,最高处三年有期徒刑,有本条第二款行为的,即侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统以外的其他普通计算机信息系统的,最高可以处七年有期徒刑,似乎侵入需要加以特殊保护的国家事务、国防建设、尖端科学技术领域的计算机信息系统,其法定刑还不如侵入这些重要信息系统之外的其他普通计算机信息系统的法定刑高。实际上本条第一款规定的犯罪与第二款规定的犯罪在构成犯罪的条件上具有较大差别。如上所述,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统犯罪,只要行为人实施了侵入行为,即可构成。而本条第二款规定的犯罪,不仅要有侵入行为,还要有侵入计算机信息系统后从事非法获取计算机信息系统中的信息,或者对计算机信息系统实施非法控制的行为,仅实施侵入行为不构成本罪。因此,从构成犯罪的条件看,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统犯罪的入罪门槛更低。另一方面,如果行为人侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统后,从事非法获取这些计算机信息系统中存储、处理、传输的信息的,还可能构成窃取、刺探国家秘密罪、间谍罪等严重犯罪,应当依照处罚较重的相关犯罪追究刑事责任,而不再按照本条第一款的规定处罚,因此,其实际适用的刑罚远重于本条第二款规定的刑罚。
第二款对违反国家规定,侵入第一款规定的计算机信息系统之外的其他普通计算机信息系统或者采用其他技术手段,获取该计算机信息系统中的数据,或者对该计算机信息系统实施非法控制的犯罪行为作了规定。根据本款的规定,行为人构成本罪须要同时具备以下条件:
1.行为人实施了非法获取他人计算机信息系统中存储、处理或者传输的数据的行为,或者实施了对他人计算机信息系统进行非法控制的行为。
(1)关于非法获取他人计算机信息系统中存储、处理或者传输的数据的行为。“获取”包括从他人计算机信息系统中窃取,如直接侵入他人计算机信息系统,秘密复制他人存储的信息;也包括骗取,如设立假冒网站,在受骗用户登录时,要求用户输入账号、密码等信息。计算机信息系统中“存储”的数据,是指在用户计算机信息系统的硬盘或其他存储介质中保存的信息,如用户计算机中存储的文件。计算机信息系统中“处理”的数据,是指他人计算机信息系统正在运算中的信息。计算机信息系统中“传输”的数据,是指他人计算机信息系统各设备、设施之间,或者与其他计算机信息系统之间正在交换、输送中的信息,如敲击键盘、移动鼠标向主机发出操作指令,就会在键盘、鼠标与计算机主机之间产生数据的传输。“存储”、“处理”和“传输”这三种形态,涵括了计算机信息系统中所有的数据形态,不论行为人非法获取处于哪种形态的数据,均符合法律的规定。
(2)关于对他人计算机信息系统实施非法控制。“非法控制”是指通过各种技术手段,使得他人计算机信息系统处于其掌控之中,能够接受其发出的指令,完成相应的操作活动。例如,通过给他人计算机信息系统中植入“木马程序”对他人计算机信息系统加以控制,可以“指挥”被控制的计算机实施网络攻击等活动。“非法控制”包括对他人计算机实现完全控制,也包括只实现对他人计算机信息系统的部分控制,不论实际控制的程度如何,只要能够使他人计算机信息系统执行其发出的指令即可。非法控制他人计算机信息系统,只要求行为人采用侵入等技术手段对他人计算机进行了实际控制,行为人在对他人计算机信息系统加以控制的,即可构成犯罪,并不要求一定要实施进一步的侵害行为。这样规定是考虑到非法控制他人计算机信息系统,往往是为进一步实施其他违法犯罪行为做准备,具有很大的潜在危险性。有的案件中行为人非法控制数十万甚至上百万台联网计算机,组建“僵尸网络”。如果行为人操纵这些被控制的计算机实施拒绝服务攻击等网络破坏活动,后果将非常严重。因此,对非法控制他人计算机信息系统的行为,情节严重的,有必要在其尚未实施进一步的侵害活动时,即予以打击。
需要说明的是,本款是针对非法控制计算机信息系统行为作出的规定,如果行为人实施非法控制后,进一步实施其他危害行为,可能构成刑法规定的其他犯罪。例如,非法获取他人网上银行账号、密码用于盗窃财物的,对电力、电信等计算机信息系统实施非法控制并从事危害公共安全的破坏活动的,这就需要司法机关根据案件的具体情况,选择适用相应的法律规定。
2.行为人非法获取他人计算机信息系统中的数据或者对他人计算机信息系统加以非法控制,是基于“侵入或者其他技术手段”。“侵入”是指未经授权或者他人同意,通过技术手段进入计算机信息系统。例如,通过技术手段突破他人计算机信息系统安全防护设置,进入他人计算机信息系统;入侵他人网站并植入“木马程序”,在用户访问该网站时,伺机侵入用户计算机信息系统;建立色情、免费软件下载等网站,吸引用户访问并在用户计算机信息系统中植入事先“挂”好的“木马”程序。不论行为人采用何种手法,其实质是违背他人意愿,进入他人计算机信息系统。违背他人意愿,包括行为人采用技术手段强行进入,如破坏他人计算机安全防护系统进入,也包括未征得他人同意或者授权擅自进入。“其他技术手段”是关于行为人可能采用的手段的兜底性规定,是针对实践中随着计算机技术的发展可能出现的各种手段作出的规定。刑法之所以将行为人非法获取他人计算机信息系统中的数据或者对他人计算机信息系统实施非法控制的手段限定在“侵入”或“其他技术手段”,是因为本罪是针对互联网上各种危害计算机网络安全的犯罪作出的规定。至于采用网络技术手段以外的其他手段,如进入他人办公室直接实施秘密复制行为的,不属于本款规定的行为。
根据本款规定,行为人的行为“情节严重”的,才构成犯罪。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第一条规定:非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:(1)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(2)获取第一项以外的身份认证信息五百组以上的;(3)非法控制计算机信息系统二十台以上的;(4)违法所得五千元以上或者造成经济损失一万元以上的;(5)其他情节严重的情形。实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:(1)数量或者数额达到前款第一项至第四项规定标准五倍以上的;(2)其他情节特别严重的情形。明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。
第三款对非法提供实施侵入、非法控制计算机信息系统的专用程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为作了规定。“提供”包括出售等有偿提供,也包括提供免费下载等行为;包括直接提供给他人,也包括在网上供他人下载等。根据本款规定,为他人提供实施侵入、非法控制计算机信息系统的程序、工具的行为包括两种情形:一种情形是提供专用程序、工具。这是指行为人所提供的程序、工具只能用于实施非法侵入、非法控制计算机信息系统的用途。例如,为他人提供专门用于窃取网上银行账号的“网银木马”程序。由于所提供程序、工具的用途本身足以表明该程序、工具的违法性,进而表明行为人主观上对其所提供程序将被用于非法侵入、控制他人计算机信息系统的情况是明知的,因此法律规定提供实施侵入、非法控制计算机信息系统专用程序、工具的,即可构成犯罪。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第二条规定:具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:(1)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(2)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;(3)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。另一种情形是行为人明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具。这是指从行为人所提供的程序、工具本身的属性看,可以用于非法用途,也可以用于合法用途,即仅凭程序、工具本身的性质尚不能够完全确定行为人所实施行为的违法性。这种情况下,行为人是否构成犯罪,就需要考虑其主观方面对其行为的性质是否有明确的认识。明知而故犯的,应当依照本款的规定予以追究。对确实不知他人将其所提供的程序、工具用于实施非法侵入、非法控制计算机信息系统的违法犯罪行为的,不构成犯罪。根据本款规定,行为人的行为“情节严重”的,才构成犯罪。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第三条规定:提供侵入、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为刑法第二百八十五条第三款规定的“情节严重”:(1)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;(2)提供第一项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的;(3)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的;(4)明知他人实施第(3)项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的;(5)违法所得五千元以上或者造成经济损失一万元以上的;(6)其他情节严重的情形。实施前款规定行为,具有下列情形之一的,应当认定为提供侵入、非法控制计算机信息系统的程序、工具“情节特别严重”:(1)数量或者数额达到前款第一项至第五项规定标准五倍以上的;(2)其他情节特别严重的情形。
第四款对单位犯前三款罪的作了规定。单位实施前三款规定的行为,根据本款规定构成相应的单位犯罪,采取“双罚制”,既要对单位判处罚金,又要追究单位直接负责的主管人员和其他直接责任人员的刑事责任。根据最高人民法院2001年印发供法院参照执行的《全国法院审理金融犯罪案件工作座谈会纪要》,“直接负责的主管人员”,是在单位实施的犯罪中起决定、批准、授意、纵容、指挥等作用的人员,一般是单位的主管负责人,包括法定代表人。“其他直接责任人员”,是在单位犯罪中具体实施犯罪并起较大作用的人员,既可以是单位的经营管理人员,也可以是单位的职工,包括聘任、雇佣的人员。对单位犯罪中的直接负责的主管人员和其他直接责任人员,应根据其在单位犯罪中的地位、作用和犯罪情节,分别处以相应的刑罚,主管人员与直接责任人员,在个案中,不是当然的主、从犯关系,有的案件,主管人员与直接责任人员在实施犯罪行为的主从关系不明显的,可不分主、从犯。但具体案件可以分清主、从犯,且不分清主、从犯,在同一法定刑档次、幅度内量刑无法做到罪刑相适应的,应当分清主、从犯,依法处罚。
【立案标准】
最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释
《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》理解与适用
最高人民法院关于审理危害军事通信刑事案件具体应用法律若干问题的解释
第六条第三款违反国家规定,侵入国防建设、尖端科学技术领域的军事通信计算机信息系统,尚未对军事通信造成破坏的,依照刑法第二百八十五条的规定定罪处罚;对军事通信造成破坏,同时构成刑法第二百八十五条、第二百八十六条、第三百六十九条第一款规定的犯罪的,依照处罚较重的规定定罪处罚。
最高人民法院研究室关于利用计算机窃取他人游戏币非法销售获利如何定性
利用计算机窃取他人游戏币非法销售获利行为目前宜以非法获取计算机信息系统数据罪定罪处罚。
指导案例145号:张竣杰等非法控制计算机信息系统案——植入木马程序非法获取网站服务器的控制权限,通过修改、增加计算机信息系统数据上传网页链接代码,应认定为“采用其他技术手段”非法控制计算机信息系统