非法獲取計算機信息系統數據罪的犯罪構成和辯護要點分析

隨著信息網絡技術的發展和數字經濟的興起，通過網絡技術手段非法獲取數據的新類型犯罪不斷出現，國家安全、經濟發展和社會穩定面臨新的挑戰，在加大打擊犯罪力度的同時，認定罪與非罪，此罪與彼罪存在很大分歧，此即是本文所探討的內容。

《刑法》第二百八十五條第二款非法獲取計算機信息系統數據罪的規定：違反國家規定，侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，情節嚴重的行為。是否構成該罪，應從“非法”、“采用其他技術手段”、“獲取”、“數據”、網絡安全以及是否具有可罰性等方面準確把握。

（一）具備資格但超出允許范圍開展業務，可能系違規或者違反合同約定行為，不應被評價為刑法上的“非法”。

在刑法規制的行為范圍中，有些行為的性質對社會是有害無益的，在社會價值評判體系和利益衡量系統中，已經被判定是不能夠增進個人或者社會福祉，因此在整體上被禁止。對此，法律規定上一般不用再額外加上“非法”這樣的表述，例如：故意殺人罪、強奸罪等。還有一些行為其性質本身是中立無害的，但是從事此類活動需要主體具備特殊的資質、技能等，或者是國家對準入門檻設置了專門的審核標準，因此一般需要許可或批準才能從事此類行為。當刑法條文中在具體行為前面加有“非法”的表述，或者在“違反國家規定”之外又在行為前面規定“非法”時，需要把“非法”與“違規”相區分。這里的“非法”強調的是沒有根據國家規定從事相關活動必須具備的資格，未獲得進入某個領域從事相關業務的許可。如果行為人具備了資質或者是獲得許可，但是違反國家規定或者行業要求的各種限制條件，超范圍、超額度、改型號、超品類、低標準等從事相關業務的，屬于行政法上的違規行為。此類行政法上的“違規”行為，通常不能被評價為刑法意義上的“非法”，除非刑法上專門設置了針對此類違規的犯罪，否則只能按照一般的行政違規行為處理。例如，《刑法》第336 條第1款非法行醫罪是指未取得醫生執業資格的人非法行醫；第 2 款擅自為他人進行節育復通手術是指未取得醫生執業資格的人非法行醫；擅自為他人進行節育復通手術進行節育罪；對照第 335 條醫療事故罪是指取得醫生資格的“醫務人員由于嚴重不負責任，造成就診人死亡或者嚴重損害就診人身體健康?！蓖?，非法制造槍支罪與違規制造槍支罪也是如此?？梢?，立法者在刑法典中區分了“非法”和“違規”，區別在于有無取得從事相關業務活動的許可、同意或者批準，取得了許可、同意或者批準的，行為性質至多屬于“違規”。

（二）有資格但超范圍實施某行為認定的“非法”，必須是法律明文規定為犯罪的。

如非法采礦罪，即使取得采礦證，超越采礦許可證規定的礦區范圍開采礦產資源的，未按采礦許可證規定的礦種開采礦產資源的（共生、伴生礦種除外），也認可為非法采礦罪。原因在于《最高人民法院、最高人民檢察院關于辦理非法采礦、破壞性采礦刑事案件適用法律若干問題的解釋》（法釋[2016]25號，2016年12月1日）第二條明確將超授權認定為“未取得采礦許可證”范圍之內，而司法解釋并未將超越書面合同約定范圍解釋為未取得資格，故將此認定為非法，沒有法律依據。

（三）即使有資格但超越書面合同約定范圍實施某種行為被認定為“非法”，還需重點審查雖超過書面合同約定，是否在實際合同履行過程中得到過對方授權或者允許。

根據刑法第96條的規定，刑法中所稱的違反國家規定，是指違反全國人民代表大會及其常務委員會制定的法律和決定，國務院制定的行政法規、規定的行政措施、發布的決定和命令。而針對計算機、互聯網方面具體的國家規定是指：《中華人民共和國網絡安全法》《全國人民代表大會常務委員會關于維護互聯網安全的決定》《計算機信息系統安全保護條例》和《計算機信息網絡國際聯網安全保護管理辦法》等。涉及非法獲取計算信息系統數據的國家規定主要細化在《計算機信息網絡國際聯網安全保護管理辦法》第六條中，關于“任何單位和個人不得從事下列危害計算機信息網絡安全的活動：（一）未經允許，進入計算機信息網絡或者使用計算機信息網絡資源的”。在司法實務中，存在雖然合同中約定范圍僅限于A,但是合同允許對方做到B范圍內，故在具體案件審查中，需要提供合同相對人默認或者允許的證據。根據案例（2021）浙0521刑初34號，二審（2021）浙05刑終87號裁判要旨：本案中，張同原為千尋公司的分銷商，在作為分銷商期間，即存在數據轉發行為，分銷系統服務協議中雖有賬號需要實名認證的內容，但鑒于分銷系統服務協議中沒有明確禁止轉發行為，對該階段轉發數據的行為，公訴機關未指控為犯罪，符合刑法的謙抑性，所以只要合同相對人沒有明確禁止使用，都不能認定為非法獲取。

非法獲取計算機信息系統數據罪要求侵入或者采用其他技術手段獲取計算機信息系統中存儲、處理、傳輸的數據。本罪的侵入，是指未經授權或者他人同意，通過技術手段進入計算機信息系統。侵入通常是指通過“木馬程序”，在用戶訪問該網站時，伺機侵入用戶計算機信息系統；或建立色情、游戲等網站，吸引用戶訪問并在用戶計算機系統中植入“木馬程序””等。其他技術手段是立法者針對實踐中隨著計算機信息技術的發展可能出現的各種手段作出的兜底性規定。從文義解釋和體系解釋的角度理解，采用其他技術手段，是指采用侵入以外，與侵入功能相似的其他具有較高技術含量的手段。不論是侵入還是采用其他技術手段，都要求利用一定的網絡技術手段。根據《兩高關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第二條之規定，采取的程序、工具必須具有避開或者突破計算機信息系統安全保護措施的功能。所以，在技術認定時要慎重把握，采取的技術手段是為了避開或者突破計算機信息安全保護措施還是為了其他目的，譬如采取的技術是為了更好的使用數據而不是為了獲取數據，不符合犯罪構成，故不能認定為本罪。

所謂獲取，是指通過非法侵入等方式后，從他人計算機信息系統中非法取得數據的行為，立法機關對這里的“獲取”明確解釋為盜竊或者詐騙，指出：“獲取包括從他人計算機信息系統中竊取，如直接侵入他人計算機信息系統，秘密復制他人存儲的信息；也包括騙取，如設立假冒網站，在受騙用戶登錄時，要求用戶輸入賬號、密碼等信息?！?/p>

根據ISO/IEC電子數據取證標準體系ISO/IEC 27037:2012《信息技術-安全技術-電子證據識別.收集.獲取和保存指南》中對“獲取”（acquisition）的定義：在特定的數據集合中進行數據副本創建的過程（process of creating a copy of data within a defined set）。同時對于該條款的注釋亦明確“獲取的內容是對于擬獲取的數據信息的備份（The product of an acquisition is a potential digital evidence copy）?！笨梢?，“獲取”的技術含義為獲取者在主觀意志的支配下對于既有數據的復制行為。

在計算機科學中，“數據”是所有能輸入計算機并被計算機程序處理的符號的介質的總稱，是用于輸入電子計算機進行處理，具有一定意義的數字、字母、符號和模擬量等的通稱。計算機存儲和處理的對象十分廣泛，表示這些對象的數據也隨之變得越來越復雜。

在實務中，“數據”本身的認定往往不是案件爭議的焦點，如筆者辦理的該類案件，“數據”所有權成了案件焦點，即租用聯通公司手機號注冊QQ獲取驗證碼完成注冊，認定是否非法獲取驗證碼時，需要判斷是否經過所有者的允許，那么所有者是誰？是網絡公司（騰訊）而不是聯通公司，故公訴機關指控被告人非法獲取聯通公司計算機信息系統數據不符合客觀事實。

數據安全涉及數據的保密性、完整性、可用性。非法獲取數據類犯罪，實質是對數據保密性的侵犯。按照公開程度的不同，數據大致可以分為不公開的數據、半公開的數據、公開的數據。對于向大眾公開的數據，因為不存在侵害權利人的保密意思，也不需要避開權利人的安全技術措施去獲取，不能構成非法獲取數據犯罪。但利用技術手段大量獲取及利用他人未公開數據的行為，可能構成侵權。如2017年新浪微博訴脈脈不正當競爭案。對于不公開或者半公開的數據，要獲取該數據必須獲得數據權利人授權（例如身份驗證、密碼登錄等方式）。行為人違背數據權利人的意愿，通過侵入或者采用其他技術手段非法獲取相關數據，則不僅構成侵權，情節嚴重的，還可能構成犯罪。因為不公開或半公開的數據，權利人會對數據采用一定的保密措施，如果超過授權、避開或突破安全技術措施獲取數據，則違背了權利人的保密意思，不但對他人利益造成侵害，也可能危及計算機信息系統以及數據本身的安全，可能觸犯刑法。

在大數據時代，數據安全風險及其防范問題越來越受到國家立法的重視，法律保護的重心也從網絡載體、信息內容逐步轉到數據本身，從靜態的計算機安全到動態的網絡安全，發生著質的變化。隨著網絡安全法、數據安全法、個人信息保護法等法律的實施，我國對網絡安全和數據安全的法律保護將更為嚴密。結合筆者辦理案件，行為人租用聯通公司手機碼號后再將其租給他人注冊QQ，從聯通公司租用的手機碼號只進行企業實名（聯通業務，無需個人實名），他人真實身份信息備案到企業。他人向騰訊申請注冊QQ，通過騰訊公司發送驗證碼完成注冊。此時，考察重點是QQ沒有個人實名認證，只是實名到企業，是否影響網絡安全？答案是否定的，首先，實名制利于網絡安全，但是未實名制不一定會影響網絡安全；其次，他人用此手機碼號是否妨害了騰訊公司數據安全防護措施，顯然沒有妨害，否則也不會發送驗證碼幫其完成注冊；第三，實名制是為了快速確認使用者，以確保在發現違法犯罪行為時可迅速鎖定行為人，具體到筆者辦理的該案中，如果下游買家租用碼號注冊QQ進行了違法犯罪活動，因為實名備案到企業，出現投訴后企業可快速確定相應的碼號進行下架，并不會影響確定使用者的身份。