下载掌阅APP,畅读海量书库
立即打开
卫梦某系北京某公司经理,龚某系北京某大型网络公司运营规划管理部员工,卫梦某曾于2012年至2014年在北京某大型网络公司工作,被告人龚某供职于该大型网络公司运营规划管理部,两人原系同事,薛东某系卫梦某商业合作伙伴。因工作需要,龚某拥有登录该大型网络公司内部管理开发系统的账号、密码、Token令牌(计算机身份认证令牌,以下不再标注),具有查看工作范围内相关数据信息的权限,但该大型网络公司禁止员工私自在内部管理开发系统查看、下载非工作范围内的电子数据信息。
2016年6月至9月,经事先合谋,龚某向卫梦某提供自己所掌握的该大型网络公司内部管理开发系统账号、密码、Token令牌。卫梦某利用龚某提供的账号、密码、Token令牌,违反规定多次在异地登录该大型网络公司内部管理开发系统,查询、下载该计算机信息系统中储存的电子数据。后卫梦某将非法获取的电子数据交由薛东某通过互联网出售牟利,违法所得共计3.7万元。
1.案件要旨:行为人超出授权范围使用账号、密码登录计算机信息系统,属于侵入计算机信息系统的行为;行为人侵入计算机信息系统后下载其储存的数据,可以认定为非法获取计算机信息系统数据。
2.法律适用分析:首先,非法获取计算机信息系统数据罪保护数据的机密性,本案被告人龚某利用其员工的便利身份向卫梦某提供自己所掌握的公司内部管理开发系统账号、密码、Token令牌,属于非法获取、下载计算机信息系统数据的行为,严重侵犯了数据的机密性。其次,被告人违反《计算机信息系统安全保护条例》第七条、
《计算机信息网络国际联网安全保护管理办法》第六条第一项
等国家规定,触犯了本罪规定的前提条件“违反国家规定”。再次,非法获取计算机信息系统数据罪中的“侵入”,是指违背被害人意愿、非法进入计算机信息系统的行为。其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。本案被告人龚某将自己由于工作需要掌握的本公司账号、密码、Token令牌等交由卫梦某登录该公司管理开发系统获取数据,虽然不属于通过技术手段侵入计算机信息系统,但内外勾结擅自登录公司内部管理开发系统下载数据,明显超出正常授权范围,亦属于非法侵入计算机信息系统数据罪的“侵入”行为,构成非法获取计算机信息系统罪。最后,根据2011年两高《危害计算机信息系统安全案件司法解释》第一条的规定,被告人违法所得25000元以上,属于“情节特别严重”中第一项的规定,数额达到违法所得5000元标准的5倍以上,应当认定为“情节特别严重”。
3.案件评析:该指导案例明确阐述了违反的具体“国家规定”,进一步确证了“违反国家规定”为构成该罪的前提条件,而非用来指示违法性或作为违法阻却事由的提示;对于“侵入”的认定该指导案例明确表示“违背被害人意愿、非法进入计算机信息系统”即构成侵入,而不需要属于技术手段;“侵入”后对计算机信息系统所存储的数据进行下载属于“非法获取”行为,构成非法获取计算机信息系统罪;在量刑方面,严格根据2011年两高《危害计算机信息系统安全案件司法解释》第一条第一项的规定,认定“情节特别严重”,对于本罪认定“违反国家规定”、“侵入”行为和“情节特别严重”具有重要指导意义。
自2017年7月开始,被告人张竣某、彭玲某、祝某、姜宇某经事先共谋,为赚取赌博网站广告费用,在马来西亚吉隆坡市租住的某公寓内,相互配合,对存在防护漏洞的目标服务器进行检索、筛查后,向目标服务器植入木马程序(后门程序)进行控制,再使用“菜刀”等软件链接该木马程序,获取目标服务器后台浏览、增加、删除、修改等操作权限,将添加了赌博关键字并设置自动跳转功能的静态网页,上传至目标服务器,提高赌博网站广告被搜索引擎命中率。截至2017年9月底,被告人张竣某、彭玲某、祝某、姜宇某链接被植入木马程序的目标服务器共计113台,其中部分网站服务器还被植入了含有赌博关键词的广告网页。后公安机关将被告人张竣某、彭玲某、祝某、姜宇某抓获到案。公诉机关以破坏计算机信息系统罪对四人提起公诉。被告人张竣某、彭玲某、祝某、姜宇某及其辩护人在庭审中均对指控的主要事实予以承认;被告人张竣某、彭玲某、祝某及其辩护人提出,各被告人的行为仅是对目标服务器的侵入或非法控制,非破坏,应定性为非法侵入计算机信息系统罪或非法控制计算机信息系统罪,不构成破坏计算机信息系统罪。
1.案件要旨:通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,应当认定为非法控制计算机信息系统罪。该指导案例对于依法打击计算机网络犯罪,维护网络安全秩序,准确地区分破坏计算机信息系统罪与非法控制计算机信息系统罪的界限,具有较为显著的价值和意义。
2.裁判要点:(1)通过植入木马程序的方式,非法获取网站服务器的控制权限,进而通过修改、增加计算机信息系统数据,向相关计算机信息系统上传网页链接代码的,应当认定为《刑法》第二百八十五条第二款“采用其他技术手段”非法控制计算机信息系统的行为。(2)通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,符合《刑法》第二百八十五条第二款规定的,应当认定为非法控制计算机信息系统罪。
3.法律适用分析:法院在裁判理由中并未直接指出违反的具体国家规定,而是表述为“违反国家规定”,应予以注意;对于通过植入木马程序等方式非法获取网站服务器的控制权限,增加、修改计算机信息系统数据但是并未造成系统功能的实质破坏或者不能正常运行的,也未对该信息系统内有价值的数据进行增加、删改,其行为不属于破坏计算机信息系统犯罪中的对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的行为,应认定为“采用其他技术手段”非法控制计算机信息系统罪,而非破坏计算机信息系统罪,其实质在于非法控制计算机信息系统罪的“非法控制行为”并未达到完全破坏系统功能的程度。该指导案例的发布为司法实务界区分破坏计算机信息系统罪与非法控制计算机信息系统罪指明了方向。
2014年8月,吴某在其家中,发现麒某公司旗下的某网络游戏的充值系统存在漏洞,可利用火狐浏览器及相关插件对该系统数据进行修改,致使充入0.01元人民币即可获得500游戏币(游戏内规则为充值1元人民币获得1游戏币)。2014年8月至9月,吴某利用上述漏洞进行反复操作,多次向该游戏账号充值,并通过他人在互联网上变卖上述账号内的部分游戏币,获利人民币2.1万元。吴某的辩护人提出,检察机关指控罪名有误,吴某的犯罪对象是虚拟财产,法律属性为计算机信息系统数据,吴某实施的实际上是非法获取计算机信息系统数据的行为,且其行为未影响到游戏中的其他玩家,不构成破坏计算机信息系统罪。
1.案件要旨:网络游戏币是一种虚拟财产,其性质实质上是电磁记录,即电子数据;实施非法获取游戏币的行为,未对网络游戏的计算机信息系统功能造成实质破坏的,应当认定为非法获取计算机信息系统数据罪。
2.裁判要点:(1)破坏计算机信息系统罪的本质在于损害了信息系统的功能。《刑法》第二百八十六条第二款规定:“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。”这里的对“数据”和“应用程序”的“删除、修改、增加”,必须对计算机信息系统功能达到损害的程度,而且该程度是持续性的。对此应作严格的限缩解释,否则会将类似于向他人邮件系统中乱发垃圾邮件的行为认定为破坏计算机系统罪,对该罪进行不适当的扩大解释。吴某并非想对游戏币的使用功能进行持续性破坏,而是非法获取并使用游戏币,并将一部分游戏币出售赚取利益,以期享有这些游戏币中所附着的利益。由此可以进一步证明,吴某的行为并非破坏计算机信息系统,否则其也无法正常使用游戏币或出售牟利。(2)本案并无典型的破坏计算机信息系统的行为:吴某利用火狐浏览器及相关插件对该系统数据进行修改并非法充值的行为,使充值功能在短时段内无法正常充值使用,在一定程度上属于对充值程序的破坏,但实质并未妨碍其他游戏用户的正常使用,也并未达到对计算机信息系统持续性的“破坏”。且未有证据表明被告人的行为导致游戏其他功能受损,因此,不能仅因为吴某对充值游戏币程序的修改就认定其构成破坏计算机信息系统罪。(3)非法获取计算机信息系统数据罪所指的数据,并不需要早已存储在信息系统之中:在计算机技术领域,数据的生成、复制、传输通常是即时完成,游戏币等虚拟财产更是只要程序设置完毕,即可以无限产出,而非需要像实体的购物磁卡一样先行制作出来。游戏币这种数据的本质决定了玩家在游戏中享有一定功能的权限,吴某非法获得额外游戏币的行为,实际上属于非法获取并使用该权限,而这种权限的载体就是游戏币这种口令密码,只不过游戏币数据储存在计算机系统中,不像现实财物一样实现存在,是可以根据口令密码设定生成的。故被告人吴某利用系统漏洞非法获取游戏币的行为,可以认为是非法获取了计算机信息系统数据。
3.法律适用分析:本案对于准确区分破坏计算机信息系统罪与非法获取计算机信息系统数据罪具有重要指导意义,明确了利用游戏系统漏洞非法充值行为的定性规则——利用系统漏洞非法获取游戏币的行为,可以认为是非法获取了计算机信息系统数据。首先,其与破坏计算机信息系统罪的本质区别在于“获取”行为没有造成计算机信息系统的实质性损害,即使对计算机信息系统中“数据”或“应用程序”进行“删除、修改、增加”,其损害程度并不持续,也不构成破坏计算机信息系统罪;其次,对于“数据”范围的认定,该案中的游戏币并不具有财物所必备的稀缺性,并非刑法意义上的财物,而是一种电子数据,区别于盗窃罪,并且并不要求非法获取的计算机信息系统数据事先存储于信息系统中,对于其他新型网络数据的认定也提供了参考。