1.计算机信息系统和数据易混淆；

2.破坏与控制、侵入行为区分难；

3.数据的属性界定难；

4.犯罪主体与主观明知认定难。

本文将以信息、数据和计算机信息系统的系统安全的本质为基础，从法益角度观察，探讨上述四个实务疑难的认定要点。

一、信息、数据与系统安全的本质

（一）信息

按照信息论开创者香农（Claude Elwood Shannon）的在《A Mathematical Theory of Communication（一种通讯的数学理论）》中提出的经典定义，信息是“负熵”即“减少不确定性的东西”。

以公式表示信息和随机性的关系就是“信息熵”的定义：

                    P（xi）表示事件X为xi的概率。

对于某一事件，其发生的概率越小，其信息量越大；发生的概率越大，其信息量越小（例如：当某事件概率为100%时，信息量为0——因为必然发生，没有不确定性，不需要指示其可能性的信息）。信息量公式如下：

            h(x)=-log2 p(x)

从这一定义我们可以清晰地认识到，信息量度量的是一个具体事件发生所带来的信息，而信息熵就是信息量的数学期望。信息是对“事物所处状态的描述”，是绝对的无体物。

（二）数据

数据是遵循特定的语法，以语义（即“能指”和“所指”的对应）和结构来记录和表达信息的“东西”。也就是说，数据是信息的载体。广义上讲，任何符号系统下的语句都可以称为数据。也就是说数据是信息的载体，数据承载着信息。一个符号系统虽然也可以说是“无体的”，但是一个符号语句的最终呈现——也就是数据，却终究是“有体的”。比如绘画和文字，是矿石微粒组成的痕迹；话语是以特定频率震动的气体；而最常说的计算机领域的“数据”则通常是处于特定的状态的一些磁盘上的磁性物质。

举一个法律人熟悉的例子帮助理解：法律条文是法律规范的载体。法律规范是绝对的无体物，而法律条文的呈现，无论是铜表上的突起、石板上的凹槽还是纸质的法典墨迹，总归是有物质形态的。

而且，从香农公式我们还可以得到一个关于信息和数据关系的一个非常重要的认识，那就是香农第一定理：在不损失信息量的情况下，数据的压缩有极限。若数据编码的平均码长小于信息熵值，其所承载的信息必然劣化——描述事物状态的效果减弱。也就是说，数据承载信息，有一个“承载效果”的问题。

（三）系统安全

“计算机信息系统的安全”是一种权益，也是绝对的无体物。它是“私有观念”的产物，必须依托社会秩序、法律秩序才能存在。我们可以将其看作（至少）两种权能的组合，一是对使用权的保障，二是对使用权的独占。前者要求权利人发挥计算机信息系统功能的权利（益）不能遭到毁灭、干扰或者威胁；后者要求这种使用权不能被不正当地分享。

而且这种权益需要以法律法规的形式被确定保护。例如2012年公布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2016 年出台的《网络安全法》、2021年的《关键信息基础设施安全保护条例》等，是“计算机信息系统安全是一种受法律保护的权益”这一命题的基础。

对上述三样事物进行区别之后，运用法益这一视角，我们可以更容易地看清的刑法中各个涉计算机信息系统犯罪的及与相关犯罪的特征、区别和联系。也就能够处理四个审判难点。

二、难题一：计算机信息系统和数据易混淆

两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条规定“本解释所称'计算机信息系统’和'计算机系统’，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。”据此，“计算机信息系统”指的是“装有必需的数据处理软件的硬件系统”，也就是说，必须是“软硬件设备的结合”才是“计算机信息系统”。而“数据”只是硬件系统中磁盘上处于某种特定状态的磁性物质，即只是硬件系统的一小部分，是软件处理的对象。由此可见“数据”与“计算机信息系统”相差极大，不致混淆。

但上海市第一中级人民法院推文提出问题实际是破坏计算机信息系系统罪第二款的对象问题——即“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”中的“数据”应为何物？

从法益角度出发，我们很容易找到答案：破坏计算机信息系统罪，侵害的是计算机信息系统合法的使用人发挥计算机信息系统功能的使用权。那么本罪第二款所保护的数据，就是用于发挥计算机信息系统功能的数据。也就是说，是软件处理功能所调用的数据。如果调用这些数据后计算机信息系统功能的发挥被妨害，达到一定程度的（罪量问题本文后续讨论），构成犯罪。反之，如果调用这些数据后，计算机信息系统功能仍能正常发挥，则不构成本罪。

最高人民检察院指导性案例第34号：李骏杰等破坏计算机信息系统案的“要旨”载：“冒用购物网站买家身份进入网站内部评价系统删改购物评价，属于对计算机信息系统内存储数据进行修改操作，应当认定为破坏计算机信息系统的行为。理由是“侵入评价系统删改购物评价，其实质是对计算机信息系统内存储的数据进行删除、修改操作的行为。这种行为危害到计算机信息系统数据采集和流量分配体系运行，使网站注册商户及其商品、服务的搜索受到影响，导致网站商品、服务评价功能无法正常运作，侵害了购物网站所属公司的信息系统安全和消费者的知情权。”

运用本文的区分方法，我们就能清晰地看到不和谐之处：破坏计算机信息系统罪第二款，是保护计算机信息系统使用权的条款，不是保护数据所承载的信息的条款。李骏杰“冒用购物网站买家身份进入网站内部评价系统删改购物评价”，侵害了真实评价信息的流通性，令其不能被公众所知。用破坏计算机信息系统罪并不保护的“消费者的知情权”作为裁判理由，明显不适当。只有以“侵害了购物网站所属公司对服务器功能的独占”为由认定为非法控制计算机信息系统罪，才较为合理。

我们需要注意到：“通过评价系统反映网站商品、服务的声誉和质量”，只是“评价系统的目的”，是系统设计人员的美好愿望，而非“评价系统的运行情况”。举个浅显的例子：电脑游戏运营商希望玩家能够持续通过游戏挑战从而长时间附着于游戏，但不幸某玩家技术太差总是“打不过关”，于是愤然放弃游戏，从而令运营商的希望落空。这并非“游戏不能正常运行”，玩家也不触犯破坏计算机信息系统罪。

2021年1月，最高人民法院公布了指导案例145号：张竣杰等非法控制计算机信息系统案。该案“裁判理由”载：“被告人张竣杰、彭玲珑、祝东、姜宇豪虽对目标服务器的数据实施了修改、增加的侵犯行为，但未造成该信息系统功能实质性的破坏，或不能正常运行，也未对该信息系统内有价值的数据进行增加、删改，其行为不属于破坏计算机信息系统犯罪中的对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的行为，应认定为非法控制计算机信息系统罪。”

此一案例可以说对三年前的指导案例进行了纠偏，体现出我国司法实务对计算机犯罪认识的加深。不过遗憾的是，由于破坏计算机信息系统罪仍然是一个信息犯罪和数据犯罪混同在一起的罪名，在没有其他合适刑法分则规范的情况下，裁判理由在提出刑法第二百八十六条第二款的“后果严重”是指“造成该信息系统功能实质性的破坏，或不能正常运行”之后，又不得不留下一个“口子”，将“对信息系统内有价值的数据进行增加、删改”这样模棱两可的描述也包括进去。这种遗憾需要以丰富刑法分则数据犯罪罪名的方式才能较好地弥补。

三、难题二：破坏与控制、侵入行为区分难

一种行为究竟是破坏计算机信息系统还是侵入、非法控制计算机信息系统，区分切入点可以放在看这种行为的结果究竟是侵害了权利人发挥计算机信息系统功能的“用益权利”还是分享了这种用益权利。

仍以上海市第一中级人民法院推文中的案例为例：

被告人张某为赚取广告费用，对存在防护漏洞的目标服务器进行检索、筛查后植入木马程序予以控制，获取操作权限后添加赌博网站关键字并设置自动跳转，以提高赌博网站广告被搜索引擎命中的概率。公诉机关指控张某的行为构成破坏计算机信息系统罪，辩护人认为张某的行为构成非法控制计算机信息系统罪。

受侵害的是运行搜索引擎的服务器，那么张某的行为（主要）是妨害了服务器所有人对服务器的使用，还是分享了使用服务器的权利呢？答案显然倾向于后者。因为张某以木马软件添加网站关键字并设置自动跳转，仍是遵循服务器原本的用法，服务器的功能也在正常实现。唯一的区别是，服务器功能原本是遵照所有人的意志实现，现在是遵照所有人及张某的意志去实现。换句话说，服务器仍然按照自己被设计的程序去实现操作指令，只是操作指令（即关键字和跳转指令）本来只应该由服务器所有人作出，现在还由张某作出。因此更适宜定性为非法控制计算机信息系统行为。

再看一个曾经存在长期争议，但如今已较为清晰的问题，同时也是上海市第一中级人民法院推文中谈及的经典问题：破坏计算机信息系统罪第二款是否要求造成计算机信息系统不能正常运行？

刑法第二百八十六条的三款规定在行为结果上采取了不同表述。第一款是“造成计算机信息系统不能正常运行，后果严重的”；第二款是“后果严重的”；第三款是“影响计算机系统正常运行，后果严重的”。这种差异就带来了解释和适用上的争议。对于第三款和第一款，大家基本达成了一致：由于计算机病毒等破坏性程序是可被不特定人用于不同计算机信息系统，且专为破坏计算机信息系统的而设计，其危险性和主观恶性较大，因此对第三款规制的行为的打击力度要比针对第一款的更大。而且“影响计算机系统正常运行”与“造成计算机信息系统不能正常运行”的对照较为清楚，前者程度轻于后者。其间差异文义表述比较清楚，背后的道理也比较明白，故争议较小。

重大的争议发生在第二款的规定上，由于第二款规定在“后果严重”之前没有添加任何定语，从文义上看就比添加了定语的第三款应该更为宽松，因此有学者认为第二款的“后果严重”并不要求“影响计算机系统正常运行”，更不要求“造成计算机信息系统不能正常运行”。也就是说，即使对数据进行删除、修改、增加的操作后，程序不受影响，完全可以正常运行，也不阻碍罪量条件的达成。例如张明楷教授在《人民法院报》2022年3月3日发表的文章《破坏计算机信息系统罪的认定》中，即持此观点。其主要论述如下：

“非法获得计算机信息系统罪如同窃取商业秘密一样，主要侵害了他人对数据的占有、使用、处分等权利，而没有侵害数据的真实性、完整性与可利用性，因而其法定刑轻于破坏计算机信息系统罪。

刑法第二百八十六条第二款，并没有将计算机信息系统'安全’或者正常运行作为保护法益。如果将刑法第二百八十六条第二款的保护法益与第一款的保护法益作相同理解，第二款就丧失了存在的必要性”

但通过前文的分析，我们就能提出两个异议：其一，非法获取计算机信息系统数据罪，是侵害数据持有权利中的排他性的犯罪。复制他人的数据，并不侵害他人对数据的持有、使用或处分的权利，只有删除他人的数据才能做到这一点。但是非法获取计算机信息系统数据罪，根本就没有列举删除他人数据这种罪状，所以并不存在“侵害了他人对数据的占有、使用、处分等权利”之说。其二，即使“将第二款的保护法益与第一款的保护法益作相同理解”计算机信息系统的功能、数据和应用程序也是不同的客体。更何况考虑计算机行业实际，系统功能一般由系统开发商研发、出售并运维（例如谷歌公司的安卓系统、苹果公司的IOS系统、华为的鸿蒙系统）；应用程序则多由大大小小的不同软件开发商开发并自行或委托运营商运营；数据则各不同主体都可能产生、持有和处理。三者的权利归属和权利范围都大不相同。例如：篡改系统程序可能侵犯开发系统程序的软件公司的著作权，但修改数据则不存在这个问题。所以“第二款就丧失了存在的必要性”的说法站不住脚。

破坏计算机信息系统罪第二款，是本文所述区分中侵害数据利用权利的犯罪。所以第二款的罪量规定，应该是对这种数据可利用性下降的程度的规定。那么究竟下降到何种程度才应当认定为犯罪呢？因为这些数据是为计算机信息系统所调用，那么就应当要求下降到“计算机系统调用这些数据后不能正常运行”的程度。比照第一款和第三款的规定，被修改、删除、增加的数据不似第三款规定的计算机病毒——仅有专门破坏计算机信息系统一个功能，且可被用于不同的计算机信息系统——它只在被修改、删除、增加的该台计算机信息系统上发生效果。因此，应当取第一款的较为严格限制条件，而非第三款较为宽松的限制条件。

这样，我们就能够恰当地澄清破坏计算机信息系统罪第二款的罪量问题，并且完全避免“行为恶性比第三款更轻，但罪量要求却比第三款更低”的矛盾。

四、难题三：数据的属性界定难

我国目前的计算机信息系统类刑事案件确实存在数据属性认定难的问题，其根本原因就在于我国计算机类犯罪罪名设置太少，不能应对日新月异的计算机技术和数字经济社会发展，于是各个罪名都不可避免地出现“口袋化”——涵括异质的行为类型，以应对现实需要。

最典型的就是非法获取计算机信息系统数据罪。它是一个非常别扭的“羊头狗肉混着卖”的犯罪。

首先《刑法修正案（七）》新增本罪，原本就含有为应对社会生活中虚拟财产被盗窃案件日益频发，而虚拟财产的财产属性和财产价值认定争议大的问题，作为“盗窃罪的变种”而设置的动机。于是本罪自诞生之初，就是一个套着妨害社会管理秩序罪的壳的财产犯罪。既然是一种财产犯罪，我们就很容易注意到它的客体是一种具有交换价值的物，而且该物有迹可循——可以在被害人或/和行为人的磁盘上找到。该物的转移有一个违背被害人意志的侵夺过程。

随后，两高在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条却又规定：非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：

（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；

（二）获取第（一）项以外的身份认证信息五百组以上的；

……

也就是说，本罪保护的对象被引向了被非法获取的数据上所承载的信息。而法律所保护的价值，也不再是数据作为物的特性，而变成了机密信息所应得的“保密权利（益）”。

再加上数据和数据上承载的信息的用途越来越多样，数据的价值越来越多元，非法获取计算机信息系统数据的行为也开始越来越多地同其他罪名发生关联或疑似发生关联。例如：侵犯公民个人信息、侵犯商业秘密、侵犯著作权等。

因此，看清行为人行为究竟指向的是这些用途、价值中的哪一种，就非常重要。

我们再看上海市第一中级人民法院推文中的案例：

被告人沈某在某游戏公司任职期间，利用对该公司运营游戏的管理权限，未经授权擅自修改后台数据，为游戏玩家在其游戏账户内添加游戏币“元宝”，并从玩家处获取钱款15万余元。公诉机关指控沈某的行为构成破坏计算机信息系统罪，一审法院认定沈某的行为构成非法获取计算机信息系统数据罪，二审法院认定沈某的行为构成职务侵占罪。

首先，沈某妨害了游戏公司对运行着游戏的服务器的使用呢？如本文第（一）项所述，当然没有。游戏运行过程包括调用后台数据在内，都好好的。反过来想，如果调用了后台数据却不生效，才说明程序没有正常运行。因此危害的不是“权利人对计算机信息系统使用权的保障”，不涉破坏计算机信息系统罪。

再审视这些数据作为一个物有没有被侵夺的过程——没有，这些数据被沈某的行为直接创设出来。所以也不是非法获取计算机信息系统数据罪。于是二审裁判更合理就比较清晰：这是一个沈某将公司“产品”——游戏元宝——绕开公司私下销售的过程，需要救济的是公司的经营秩序和对职务行为的信赖，根本不是计算机犯罪。

五、难题四：犯罪主体与主观明知认定难

区分了数据、信息和系统安全三个客体，再区分各客体所蕴含的法益之后，对犯罪主体和主观明知的认定就有了线索和抓手。

仍看上海市第一中级人民法院推文中的案例：

被告人顾某针对某网络游戏制作了一款名为“M辅助”的外挂程序，销售获利2万余元。该外挂通过修改本地内存地址，实现了优化游戏界面、防闪、透视、大头、红点等功能。经鉴定，“M辅助”外挂程序对游戏的正常操作流程和正常运行方式造成了破坏，属于破坏性程序。一审法院认为顾某的行为构成破坏计算机信息系统罪，二审辩护人认为顾某应为无罪。

顾某的“M辅助”修改的是游戏客户端，是玩家电脑的本地内存。而使用“M辅助”的玩家本人，对自己的电脑有所有权所生发的任意使用的权利，因此是合法行为。顾某明知玩家会采用他的软件实施合法行为，这不是刑法所关注的“明知”。

我们再来看一个更为复杂的案例：

被告人周某开发了一款能够查询网络游戏《梦幻西游》游戏账号角色等级、所在服务器、是否实名认证、是否被封禁等信息的查询软件。该软件的部分使用者利用该软件批量查询大量非自己所有的游戏账号，并选取有价值的目标进行“盗号”（转移游戏账号内有价值的虚拟物品或游戏角色本身的控制权）。公诉机关指控周某构成提供非法控制计算机信息系统程序、工具罪，辩护人认为周某属非法获取计算机信息系统罪的共犯。

欲正确认定本案，首先需要明辨查询软件使用者行为的性质。使用者采用“黑市”购得的账号－密码组合，获得游戏账号的登录权限，是否一种非法控制计算机信息系统行为？答案是否定的。因为使用账号－密码组合，获得的是游戏客户端的使用权限，而客户端运营在使用者本人的电脑上。与前一个案例相同，这不构成任何计算机犯罪。（购买账号－密码的行为可能构成侵犯公民个人信息罪，但尚需分析明辨，本文不讨论。）既然使用者不构成非法控制计算机信息系统罪，则周某不可能构成提供非法控制计算机信息系统程序、工具罪。

接下来要进一步审视本案中受侵害的数据及数据所蕴含的法益。查询软件查得的角色等级、所在服务器、是否实名认证、是否被封禁等信息，是处于一定的保密状态的——其查询受权限限制。但本案中查询软件使用者因为掌握了账号－密码组合，从而能够获得查询权限。因此，这些受一定程度保密信息之所以泄露，是因为软件使用者掌握了账号－密码，而非因为使用查询软件。换句话说，对于掌握账号－密码的人，这些信息不存在“秘密性”，查询软件将这些信息告知掌握账号－密码的人，没有造成信息秘密性的受害。因此不但不属于两高司法解释第一条第（一）、第（二）项规定的范围，也不应计算第（四）项的违法所得或造成损失。

但是，对于游戏账号内原本作为虚拟财产的游戏币、游戏装备等数据，被软件使用者“盗取”——是典型的作为“盗窃罪的变种”的非法获取计算机信息系统数据罪的罪状。因此，认定周某是否系非法获取计算机信息系统数据罪的共犯，关键不是看其是否知晓他的软件将被用于查询角色等级、所在服务器、是否实名认证、是否被封禁等信息，而是看其是否知晓这些信息可为“盗号者”物色“盗号”目标所用。如果知晓但仍放任这种用途的，可能构成“盗取游戏内虚拟财产”的非法获取计算机信息系统的共犯。（而非非法获取角色等级、所在服务器、是否实名认证、是否被封禁等信息的共犯）

作者简介

刘笛

上海靖予霖律师事务所

新型犯罪研究与辩护部主任

同济大学硕士学位，华东政法大学校外授课专家。国家信息安全测评中心注册信息安全专业人员（CISP-PIP）；上海新闻广播《问律师》栏目嘉宾；我所青年律师工作委员会副主任，2021年度先进个人；第九届世界华语辩论锦标赛青年组冠军。

曾为华为、京东等知名CT、IT企业服务多年，积累了大量B2B专业服务履历。熟悉现代企业经营管理模式，具有丰富的通信及互联网专业知识和行业经验。具备面向企业的刑事风险防控、合规流程设计和合规方案落地经验。为企业合法、稳健经营提供助力。

参与办理一系列新型、疑难、重大、复杂案件，部分取得一定辩护效果，有助于维护当事人合法权益及案件公正处理。