超越权限”侵入计算机信息系统是否构成犯罪

行为人“超越权限”侵入计算机信息系统并获取电子数据是否构成犯罪？本案例结合司法解释的具体规定、“侵入”行为的常见形式和实质要件进行分析，并从证据审查角度就如何判断行为超越权限予以阐释。

　　【裁判要旨】

　　超越授权权限进入计算机信息系统，其本质仍是违背了被害方的意愿，仍属于非法获取计算机信息系统数据罪中的侵入他人计算机信息系统的行为。

　　【控辩主张】

　　公诉机关指控：2016年6月至9月间，被告人卫某、龚某、薛某利用违规登录、查询、下载的方式，侵入百度在线网络技术（北京）有限公司凤巢系统，获取该计算机信息系统中存储的客户数据用于牟利，违法所得共计人民币37260元。被告人卫某、龚某、薛某于2016年9月19日被公安机关抓获。

　　公诉机关以非法获取计算机信息系统数据罪对被告人龚某、卫某、薛某提起公诉。

　　被告人辩称：被告人卫某及其辩护人、龚某及其辩护人、薛某对公诉机关指控的罪名和基本事实均无异议，但是被告人卫某对违法所得的数额提出了异议。被告人薛某的辩护人提出了无罪辩护的意见，认为被告人薛某并没有违反国家规定，不成立该罪。

　　【基本案情】

　　法院公开审理查明：2016年6月至9月间，被告人龚某在明知卫某使用账号目的的情况下，向被告人卫某提供自己所掌握的百度凤巢系统内部账号和密码。被告人卫某利用龚某所提供的账号和密码，违规登陆百度在线网络技术（北京）有限公司凤巢系统，查询、下载该计算机信息系统中存储的客户数据，并交由被告人薛某出售给他人，违法所得共计人民币37 000元。其中，被告人卫某非法获利人民币24 000元，被告人薛某非法获利人民币13 000元。2016年9月19日，被告人卫某、龚某、薛某被公安机关抓获归案，后如实供述了上述事实。

　　【判案理由】

　　法院经审理认为：被告人卫某、龚某、薛某违反国家规定，侵入计算机信息系统，获取计算机信息系统中存储的数据，情节特别严重，其行为均已构成非法获取计算机信息系统数据罪。

　　检察院指控被告人卫某、龚某、薛某违法所得数额，没有扣除被告人卫某与被告人薛某之间合法的红包往来共计人民币260元，在被告人卫某有此辩解而无充分证据予以否定的情况下，上述人民币260元应予排除。

　　关于被告人薛某的辩护人发表的无罪辩护意见，法院认为，根据《计算机信息系统安全保护条例》第七条规定“任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全”，被告人薛某所实施的行为违反了前述规定，侵犯了非法获取计算机信息系统数据罪保护的客体，其发表的无罪辩护意见无事实和法律依据，法院不予采纳。

　　【定案结论】

　　法院依照《中华人民共和国刑法》第二百八十五条第二款、第六十七条第三款、第二十五条第一款、第五十三条、第六十四条之规定，判决：

　　1.被告人卫某犯非法获取计算机信息系统数据罪，判处有期徒刑四年，罚金人民币四万元；

　　2.被告人薛某犯非法获取计算机信息系统数据罪，判处有期徒刑四年，罚金人民币四万元；

　　3.被告人龚某犯非法获取计算机信息系统数据罪，判处有期徒刑三年九个月，罚金人民币四万元。

　　【解说】

　　在本案审理过程中，对刑法条文中“侵入”行为的认定、“违反国家规定”的理解、被告人量刑是三大焦点问题。

　　1.侵入行为的认定

　　刑法第二百八十五条第二款规定，非法获取计算机信息系统数据罪是指“违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取计算机信息系统数据，情节严重”的行为。可见，侵入计算机信息系统或者采用其他技术手段是该罪的构成要件。

　　在司法实践中，“侵入计算机信息系统”的常见表现形式为破解或者盗窃身份认证信息、强行突破安全工具等方式来侵入计算机信息系统。而本案中的行为人进入计算机信息系统的方式有所不同——本案被告人龚某系被害公司的员工，外部人员利用其内部权限登陆被害公司系统，获取存储于被害公司的数据。对于这种利用内部权限登陆计算机信息系统获取数据的行为能否认定为刑法规定的“侵入”？这是本案定罪的关键。

　　虽然本案中行为人的方式不同于一般情形，但审慎分析可知，其行为仍然可定性为“侵入”。理由在于：根据2011年两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第2条对“专门用于侵入、非法控制计算机信息系统的程序、工具”的解释，认定侵入工具的要件是“具有避开……系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据”；换言之，未经授权或者超越授权是判定“侵入”的实质要件。

　　而本案中被告人的行为首先客观上超越了被害方的授权范围。具体表现在其一，被告人龚某将账号、密码、token令牌等提供给非公司员工卫某使用：被害公司允许员工使用公司内部的账号和密码，但公司明令禁止员工擅自出借账号、密码；其二，行为人登陆系统后下载了无权下载的数据：被告人龚某虽有权限进入管理系统，但根据被害方规定，并没有权限下载与其正常业务无关的客户信息。同时，被告人进入系统的主观目的也在于超越授权范围去获取相应信息系统内数据。综上所述，虽然本案中被告人采取了相对“温和”的手段，但却符合超越被害公司的授权范围去获取计算机信息系统数据这一行为本质，因此应认定为“侵入”。

　　超越被害方授权范围的行为属于“侵入”行为是刑法的题中之义，但从证据的角度应该如何判断被告人的行为超越被害方的授权范围呢？

　　一方面，应审查行为人的权限。行为人的权限在证据上主要依赖于书证。一般而言，被害单位会根据本单位工作人员的工作内容、职务等赋予其进入计算机信息系统的相关权限，主要体现为工作责任书、岗位职责、劳动合同、保密协议等客观性证据；同时结合被告人自己的供述、证人证言等主观性证据来辅助判断被告人的权限。①本案中，公诉机关提供了被害单位员工的证言、举报材料、岗位职责情况说明等来证明被告人龚某的账户没有下载其他商户百度推广数据的权限。

　　另一方面，审查行为。侵入计算机信息系统的行为主要依靠电子证据来予以认定。被告人侵入计算机系统会留下信息记录，获取数据的方式、输入的身份认证以及获取的数据，会形成电子证据，一般体现为文字、数字、表格、图片、声音、图像、视频等。因此，认定非法获取计算机信息系统数据罪需要侦查机关及时对涉案的计算机进行扣押、查封，并及时进行电子证据提取和计算机远程勘验。本案中，公诉机关出示的卫某与龚某之间的微信聊天记录，被害单位出具的下载客户数据的记录明细可证明为卫某利用龚某权限下载数据的事实。

　　2.违反国家规定的辨析

　　本案在庭审过程中，被告人的律师对“违反国家规定”提出了异议，他们认为“违反国家规定”是违反国家具体的规定，但目前尚无具体规定，被告人的行为只违反了被害公司的内部规定，因而不成立非法获取计算机信息系统数据罪。

　　对上述异议，我们首先需要对“违反国家规定”在刑法中的文义和功能进行全面的把握。

　　我国刑法总则第九十六条阐释了“违反国家规定”，指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。其他规章制度不包含在其中。刑法分则中“违反国家规定”的含义应与总则一致；但“违反国家规定”这一表述在分则具体条款中的功能不尽相同。

　　一类是作为构成要件要素而被规定在条文中；例如，刑法第一百三十三条规定“违反交通运输管理法规，因而发生重大事故…..”，本条中的“违反国家规定”是典型的构成要件要素，因为条文中只规定了危害结果，却没有指示行为类型；什么行为构成交通肇事罪，必须参照交通运输管理法规加以认定。

　　另一类只是为了指示违法性而存在，或者只是相关表述的同位语，并非构成要件。比如刑法第三百三十九条第一款规定“违反国家规定，将境外的固体废物进境倾倒、堆放、处置的，…”，已将《固体废物污染环境防治法》第24条的内容详细表述；因此这里的“违反国家规定”不具备构成要件要素的功能，即使删除其实也不影响本条的实质内容②。

　　回到本案所涉及的刑法第285条第二款，“违反国家规定”宜认定为构成要件要素，因为本条后文“侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中……的数据”中，“采用其他技术手段”含义十分宽泛，正常登录、误打误撞均在其文义之内；因此须将“违反国家规定”作为此条的构成要件，本条款认定为违法行为的范围才算合理。

　　确定了“违反国家规定”为构成要件要素之后，本案中被告的行为是否有违反国家规定之处呢？答案也是肯定的。

　　我国已出台了一系列国家保护计算机信息系统安全的法规，具体到本案中的行为，行为人违反了《全国人民代表大会常务委员会关于维护互联网安全的决定》第三条第（三）项“利用互联网侵犯他人知识产权”，和《中华人民共和国计算机信息系统安全保护条例》第七条“任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全”等条款的规定。虽然并无确切描述本案中作案行为应予禁止的国家规定，但行为人违反上述一般性的规定，仍可认定是违反国家规定的行为。

　　3.龚某的量刑

　　法庭辩论阶段，本案控辩双方主要围绕着量刑问题展开辩论。被告人龚某的辩护人提出被告人龚某仅仅提供了账号、密码，并没有实际获取数据，属于共同犯罪中的从犯；且被告人龚某没有任何获利，更是获得了被害方的谅解，建议法官对被告人龚某从轻处罚。对此控方表示被告人龚某提供账号、密码的行为在本案起着关键性的作用，其不属于从犯；同时虽然被告人龚某没有实际获利，但其主观上有牟利的动机，并不能因为其没有实际获利对其从轻处罚。

　　对于能否认定被告人龚某为从犯，根据刑法第27条对从犯的解释，应主要考察被告人龚某在本案中是否起着次要或者辅助的作用。在实践中，认定从犯时，要根据行为人在共同犯罪中所处的地位、实际参与的程度等进行具体分析。

　　就本案而言，龚某不宜认定为从犯。理由在于：第一，龚某在本案中发挥着关键作用、而非次要或辅助作用；离开了龚某的行为，整个犯罪无法进行。如果没有龚某提供的账号、密码，被告人卫某不可能侵入被害方的计算机信息系统获取数据。第二，龚某参与程度高，贯穿案件始终。卫某每一次侵入被害方的计算机信息系统，龚某都积极配合，提供侵入所需要的Token密码；离开龚某的参与，卫某的侵害行为将只能中断。第三，龚某对共同故意形成的作用大。当卫某提出利用龚某内部权限获取数据的想法时，龚某明确表示愿意合作、积极主动地促成共同犯意的达成。

　　另一方面，虽然龚某不属于从犯，却也的确存在从轻的情节。根据刑法规定，法定从轻情节包括自首、坦白、立功等；在司法实践中，酌定从轻的因素包括犯罪的动机、手段、损害结果、犯罪后态度等。在本案中，龚某在到案后能如实供述、认罪态度较好、并取得了被害人谅解，符合相关从轻情节，最终裁判时也对其做出了从轻处罚。