單獨定“非法侵入計算機系統罪”的案例很少,因為“侵入”往往只是犯罪活動的開始,更常見的是下面這類數罪併罰的案例。
基本案情
老王(化名)在某頭部券商任職經紀人。
2017年初,他在短短九天內利用自己所掌握的計算機知識、技術,破解密碼登入六家證券公司、期貨公司的計算機系統,獲取400多萬條公民個人資訊。
此外,他還兩次利用相同的技術手段,進入國資委、工商總局、某市政府等多家國家事務機關網站,非法侵入相關工作人員的郵箱,並修改了密碼。
2017年3月16日,他因涉嫌非法獲取計算機資訊系統資料罪被刑拘。
一審法院、二審法院對罪名的不同認定
一審法院認為他同時構成三罪——非法侵入計算機資訊系統罪、非法獲取計算機資訊系統資料罪、侵犯公民個人資訊罪。
二審法院認為他的行為構成二罪——非法侵入計算機資訊系統罪、侵犯公民個人資訊罪,不構成非法獲取計算機資訊系統資料罪。
這個差異源自一二審法院對“身份認證資訊”的概念區分。
《危害計算機資訊系統解釋》第十一條定義的“身份認證資訊”,是指“用於確認使用者在計算機資訊系統上操作許可權的資料,包括賬號、口令、密碼、數字證書等”,在第一條中被分為兩類:
第(一)項規定的“支付結算、證券交易、期貨交易等網路金融服務的身份認證資訊”。
非法獲取此類資訊10組以上的,應認定為刑法第285條第2款規定的“情節嚴重”,構成非法獲取計算機資訊系統資料罪。
第(二)項規定的網路金融服務的身份認證資訊以外的身份認證資訊。
獲取此類資訊500組以上的,應當認定為刑法第285條第2款規定的“情節嚴重”,構成非法獲取計算機資訊系統資料罪。
老王侵入“A證券公司”系統後,進入其OA辦公系統、VPN系統,獲取身份認證資訊14組以上,並下載匯出公司員工通訊錄及個人資訊資料近6000組。
一審法院認為:
“14組以上”資訊屬於“證券交易身份認證資訊”,即《危害計算機資訊系統解釋》第一條第(一)項規定的“支付結算、證券交易、期貨交易等網路金融服務的身份認證資訊”。
獲取此類資訊10組以上的,應認定為刑法第285條第2款規定的“情節嚴重”,構成非法獲取計算機資訊系統資料罪。
老王認為自己獲取的證券公司的員工賬號和密碼,不屬於“證券交易網路金融服務的身份認證資訊”,原判量刑過重。
(二審期間)檢察院也認為這14名員工的身份認證資訊,是用於登入該公司的OA系統、VPN系統等辦公系統的,不屬於“網路金融服務的身份認證資訊”,原審適用法律有誤,導致量刑不當。
二審法院採信上述意見,認為目前在案證據不足以證實14組身份認證資訊具備支付結算、證券交易、期貨交易服務等網路金融服務的實際功能或許可權,原判認定不當。
確認老王的行為不構成非法獲取計算機資訊系統資料罪後,法院還要對“非法侵入計算機資訊系統罪”“侵犯公民個人資訊罪”二罪的關係作出判斷——屬於想象競合、擇一重罪,還是同時構成二罪、數罪併罰。
想象競合,還是構成數罪?
檢察院認為:
老王利用這些(14組)資訊登陸OA辦公系統、VPN系統後,下載匯出的公司員工通訊錄及個人資訊資料約6000組的行為,屬於上述解釋第一條規定的“獲取第(一)項以外的身份認證資訊500組以上”且“情節特別嚴重”的情形,
同時構成非法獲取計算機資訊系統資料罪和侵犯公民個人資訊罪,屬於想象競合犯,應從一重罪處罰
。原判將上述行為
重複評價
為兩罪,並進行數罪併罰,屬適用法律不當。
二審法院認為:
14組資訊屬於“身份認證資訊”,只是數量沒達到“……以外的身份認證資訊500組以上”的構罪標準,不構成非法獲取計算機資訊系統資料罪。這些資訊同時也屬於公民個人資訊。
6000組員工通訊錄及個人資訊資料,不屬於“身份認證資訊”定義範疇,獲取該資訊的行為也不構成非法獲取計算機資訊系統資料罪。但這些資料屬於公民個人資訊範疇,其行為構成侵犯公民個人資訊罪。
老王多次違反國家規定,侵入國家事務領域的計算機資訊系統,構成非法侵入計算機資訊系統罪
;
侵入證券公司等其他領域的計算機資訊系統,非法下載獲取公民個人資訊,共計400餘萬條,情節特別嚴重,構成侵犯公民個人資訊罪
。
上述行為不屬於一行為觸犯多個罪名的想象競合、擇一重罪的情形,而是應當數罪併罰,決定執行有期徒刑五年二個月。
關於“身份認證資訊”
《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》第一條對“公民個人資訊”的定義是:
“以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人身份或者反映特定自然人活動情況的各種資訊,包括姓名、身份證件號碼、通訊通訊聯絡方式、住址、賬號密碼、財產狀況、行蹤軌跡等”。
結合《危害計算機資訊系統解釋》的定義可知,“身份認證資訊”本身屬於公民個人資訊的一種。
令人印象深刻的辯護事由
這個案例令人印象深刻還有一個原因,就是老王上訴時說自己實施侵入計算機等行為是“為了提醒有關國家機關及證券交易公司注意弱密碼問題,加強網路安全建設”。
這個理由和前天寫的“雲派券”案有異曲同工之處。
“雲派券”案被告人上訴時,辯護人提出的理由之一是“淘寶公司沒有及時關閉使用者頁面,導致了涉案惡意程式碼擴散、資料被非法獲取”。
這類“被害單位受害也有自己的責任”相關的意見,法院並未採納。
對被告人的定罪量刑是結合在案證據對“被告人的具體行為”進行分析,尤其是行為觸犯多個罪名時,是想象競合、從一重罪,還是觸犯多個罪名、數罪併罰,都要看具體行為,同時還要準確理解特定的名詞、概念。