计算机犯罪行为侵害对象的海量性和侵害后果的无限延展性，导致计算机犯罪的损失后果易产生“连锁反应”和“涟漪效应”，形成了何人受损不易确定、多少人受损不易确定，损失大小也不易确定的难题。尤其是计算机犯罪司法解释发生效力以来，经济损失数额成为影响定罪量刑的法定要件之一，这个难题已成为制肘计算机犯罪认定的关键环节。本文通过对司法实践中计算机犯罪经济损失的认定进行分析，以期对该问题的解决有所助益。一、实践考察：网络犯罪经济损失认定的司法现状本文以司法实践中发生的案件为基点，以公安机关向检察机关移送的罪名为准，通过对涉及计算机犯罪经济损失的证据采信和犯罪事实的认定展开研究。通过研究发现，计算机犯罪经济损失的认定同其他财产犯罪相比，存在三个显著特点。（一）被害单位与司法机关认定的数额存在重大差异侵犯计算机的犯罪行为会导致损害后果的多样性、程度的差异性、评估的技术性以及责任的不确定性，涉及到不同层级被害人、同一层级的多名被害人、多次侵害被害人的认定，因此实际损失的大小与范围确定非常困难。同时，经济损失的确定也缺乏客观明确的标准。具体反映到司法实践中体现为被害单位、公安机关、检察院和人民法院对于经济损失数额的认定存在重大分歧。有的计算机犯罪案件公安机关认定构成犯罪，移送到检察院，检察院批捕部门则以证据不足未予批捕；有的案件检察院以某一数额认定构成犯罪，法院则未予认定。表1  被害单位与司法机关认定的数额差异具体案件被害单位认定数额公安机关认定数额检察院认定数额法院认定数额李某破坏计算机信息系统罪27250027250024150无孙某破坏计算机信息系统罪144250144250144250未予认定庄某破坏计算机信息系统罪73489.4773489.47未予认定无乐某、赵某、李某、霍某破坏计算机信息系统罪112万112万112万未予认定蒋某破坏计算机信息系统罪1654851.8348938.39未予认定未知谷某破坏计算机信息系统罪69307.8469307.8413750. 4无（二）被害单位与司法机关认定的内容存在显著差异犯罪数额之所以出现被害单位、公检法三机关之间的重大差异，原因在于经济损失的后果具有多样性，同时直接经济损失以及间接经济损失的计算范围和计算标准存在明显区别。被害单位认定遭受的经济损失包括被损毁数据费用、人力资本支出、应得利益受损、司法成本和防卫安全支出等几方面。由于被害单位往往倾向于将所有与计算机相关联的一切损害结果均认定为犯罪嫌疑人的行为所致，而司法机关则需要甄别经济损失的结果计算是否客观，计算方法是否科学合理。因此，司法机关对于被害单位提供的经济损失的部分往往未全部认定，而是部分认定，甚至在部分案件中全部未予认定。表2  被害单位与司法机关认定的内容差异被损毁数据费用人力资本支出应得利益受损司法成本防卫安全支出被害单位认定损失部分1、网站建设费用1、员工加班支出1、营业额净损失1、证据保全费用1、购置硬件2、网站开发费用2、聘请专业人员的工资2、应收罚款损失2、调查费用2、查找漏洞支付的人工费3、机房租赁费用3、停工损失费3、会员退费损失3、资产评估费4、技术服务费4、为追赶项目进度支出4、鉴定费5、被窃取游戏币价值5、解决问题差旅费5、查找被害原因支付的服务费，技术筛查费6、被窃取及删除的源代码损失金额6、客服电话费损失最终认定部分部分认定部分认定未予认定未予认定未予认定（三）计算机犯罪与一般犯罪的证据采信标准差距较大在计算机犯罪中认定存在经济损失的证据主要包括：被害单位提供的证人证言、证明存在财产损失的情况说明及相关票证等书证，会计师事务所出具的司法会计鉴定意见书、损失鉴证报告、评估报告书、司法鉴定检验报告书、资产损失鉴定评估报告，价格认证中心出具的价值认证书、估价认证结论等。在财产犯罪和经济犯罪中，认定财产损失的主要证据为鉴定意见，通常情况下，鉴定意见以其具有的科学性和客观性具有很高的证明效力。但是在计算机犯罪中，关于经济损失的鉴定意见采信率相对较低，未予采信或部分采信的现象较为常见。二、规范解读：计算机犯罪司法解释剖析计算机犯罪中的经济损失，从犯罪构成要件来看，属于侵害结果，这是侵害计算机的犯罪行为对法益造成的现实侵害事实。刑法上的危害结果，根据不同标准可以进行不同分类，以结果是否有形、是否能以数量计算这一标准加以判断，可将之分为物质性结果和非物质性结果。需要注意的是，计算机犯罪中的经济损失与其他犯罪司法解释规定的经济损失的含义并不一致。（一）计算机犯罪司法解释规定本文讨论的罪名共包括四个，具体包括：1997年刑法规定的第二百八十六条破坏计算机信息系统。2009年2月28日全国人大常委会通过的《刑法修正案（七）》增设了三个罪名，分别是：非法获取计算机信息系统数据、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪。自2011年9月1日起施行的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称“计算机犯罪司法解释”）中涉及经济损失的规定共有五个条款。其中，第一条、第三条、第四条和第六条均规定符合“违法所得五千元以上或者造成经济损失一万元以上的”，应当认定为情节严重或者后果严重，从而构成破坏计算机信息系统、非法获取计算机信息系统数据、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪。第十一条规定：“经济损失的计算范围，具体包括危害计算机信息系统犯罪行为破坏计算机信息系统数据、功能或者应用程序，给用户造成的直接经济损失，以及用户为恢复数据、功能而支出的必要费用。需要注意的是，破坏计算机信息系统功能、数据给用户带来的预期利益的损失不能纳入“经济损失”的计算范围。在实施犯罪行为时尚未实际发生的经济损失不能认定为直接经济损失。（二）计算机犯罪经济损失认定的特殊之处计算机犯罪经济损失的认定存在特殊之处，具体体现在以下两个方面：第一，计算机犯罪中的经济损失中的直接经济损失未明确损失范围。经济损失包括直接经济损失和间接经济损失两大类。直接经济损失，是指与行为有直接因果关系而造成的财产损毁、减少的实际价值。间接经济损失，是指由直接经济损失引起和牵连的其他损失，包括失去的在正常情况下可以获得的利益和为恢复正常的管理活动或者挽回所造成的损失所支付的各种开支、费用等。其中，计算机犯罪中的直接经济损失并未明确具体的损失范围。如最高人民法院发布的《关于审理破坏电力设备刑事案件具体应用法律若干问题的解释》（自2007年8月21日起施行）中第4条规定：“本解释中直接经济损失的计算范围，包括电量损失金额、被毁损设备材料的购置、更换、修复费用，以及因停电给用户造成的直接经济损失等。”而计算机犯罪中对经济损失的司法解释对计算机犯罪的损失范围并未进行明示，而仅概括规定，需要结合司法实践进行深入探讨。第二，计算机犯罪中间接经济损失的范围被限缩适用。间接经济损失数额包括两部分：第一部分是因恢复正常使用功能而支出的费用，第二部分是在正常情况下可以获得的利益。计算机犯罪中间接经济损失的范围小于其他犯罪中对经济损失的规定。如最高人民检察院发布的《最高人民检察院关于渎职侵权犯罪案件立案标准的规定》（自2006年9月21日起施行）规定间接经济损失，是指由直接经济损失引起和牵连的其他损失，包括失去的在正常情况下可以获得的利益和为恢复正常的管理活动或者挽回所造成的损失所支付的各种开支、费用等。2013年2月26日最高人民检察院、解放军总政治部发布的《军人违反职责罪案件立案标准的规定》中第36条规定：“间接经济损失’是指由直接经济损失引起和牵连的其他损失，包括失去在正常情况下可能获得的利益和为恢复正常管理活动或者为挽回已经造成的损失所支付的各种费用等。渎职犯罪和军人违反职责罪的司法解释中规定的间接经济损失均包括这两部分内容。同上述两个类罪相比，计算机犯罪中的间接经济损失范围进行了限缩，只包括第一部分，不包括第二部分。三、网络犯罪经济损失的具体认定计算机犯罪经济损失的计算范围，具体包括危害计算机信息系统犯罪行为破坏计算机信息系统数据、功能或者应用程序，给用户造成的直接经济损失，以及用户为恢复数据、功能而支出的必要费用。（一）给用户造成的直接经济损失“计算机犯罪司法解释”的第十一条规定：“经济损失的计算范围，具体包括危害计算机信息系统犯罪行为破坏计算机信息系统数据、功能或者应用程序，给用户造成的直接经济损失”。主要包括以下几种情形：第一，损坏网站造成的损失。具体表现为犯罪嫌疑人通过实施犯罪行为，对计算机、网络设备、通信设备、自动化控制设备等设备加以损坏。对这部分支出能否认定为经济损失，关键在于对网站等网络设备的侵害是否达到了不能再利用的程度，已经不能利用的，则应当认定为经济损失，仅仅删除了相关数据等，网站经过修复仍能正常使用的，则不应当认定为经济损失。对服务器内的系统文件进行删除破坏，造成被害单位的网站系统原始文件全部丢失，网站全部瘫痪，已经无法发挥使用价值的，则建立网站的费用应当认定为直接经济损失。如被害单位请其他单位为建立网站共支付10万元项目开发，这笔费用应当认定为经济损失。而犯罪嫌疑人攻击一学校招生网站，该网站由该校信息部门员工自行设计、安装、调试并上线运行，网站建设花费1万余元。由于攻击行为对网站的侵害程度较轻，经过修复之后，该网站可以继续运行，对该部分费用则不应当认定为经济损失。需要注意的是，网站维护费用是否应当认定为经济损失。如一公司请其他单位为建立网站支付10万元技术服务费。技术服务费是否应当认定为经济损失则需要甄别。需要对技术服务费的服务年限、提供的服务内容等进行全面考虑，不宜直接全部认定。第二，删除网站内数据造成的损失。具体表现为犯罪嫌疑人对网站内的数据进行删除、修改和增加后所造成的经济损失。对此，被窃取和删除的数据价值不能认定为经济损失。如一公司认定该公司被窃取及删除的源代码损失共计151万余元。计算方法为：被删除/窃取部分损失金额=被删除/窃取源代码的开发期间总成本*被删除/窃取部分权重，其中被删除/窃取文件占总代码的权重比为被害单位及评估单位自行估算。在涉及虚拟财产的案件中，经评估被害单位损失共约30000亿游戏币，合计约3000万元人民币等。由于删除和丢失的数据可以无限复制，通过技术手段也能恢复，被害单位对这些虚拟数据的评估价值不应认定为经济损失。第三，设备租赁费用。犯罪嫌疑人使用破坏性程序对被害单位网站进行攻击时，需要占用一定的宽带资源和储存资源，进而影响服务器带宽及机架的部分使用功能。服务器带宽往往系被害单位向移动运营商租赁而来，由此产生了设备租赁费用。犯罪嫌疑人通过向目标发送大量数据流，以大量数据堵塞带宽，攻击被害单位网站，造成服务器用户无法正常登陆、掉线，服务器由于被攻击导致全面堵塞。因为行为人实施的计算机犯罪行为导致网络的正常使用受限，破坏了计算机信息系统的功能及应用程序，应当将服务器带宽及机架租赁费用认定为经济损失。具体计算方法为受攻击时段服务器带宽及机架租赁的费用。对此，需要注意服务器带宽及机架受到攻击的程度。只有当犯罪嫌疑人实施的破坏计算机犯罪的行为导致网页无法打开，造成页面无法正常访问、网络中断、网络服务瘫痪等后果时，才应当将服务器带宽及机架租赁费用作为直接经济损失。当犯罪嫌疑人的行为只影响了服务器的部分使用功能时，服务器流量会出现异常，导致服务器无法正常对外提供服务，如打开网站的网页变慢，或者强制用户在他人微博上发送消息。此时，只是影响了网络的使用，但尚未造成服务器完全不能使用。也就是说，被害单位的服务器带宽及机架并未因此完全丧失使用功能。在这种情况下，只能按照攻击时段服务器部分使用功能受影响的直接经济损失计算犯罪数额。但由于无法对服务器丧失的部分使用功能具体估量和准确计算，按照存疑有利于犯罪嫌疑人的原则，这部分损失不应当认定为经济损失。认定经济损失还应当注意攻击时间的计算长度，应以实际攻击的时间而非完整的一个租赁单位作为认定基准。如在一起破坏计算机信息系统犯罪案件中，司法鉴定认定行为人攻击网站时间为十二分钟，而被害单位提出的计算经济损失的时间单位为一个小时。被害单位的认定理由为出租方不会以分钟作为租赁宽带费用的单位，而是以小时作为租赁单位。在非攻击时间内，被害单位对网站的使用仍处于正常状态，这部分时间所对应的服务器带宽及机架租赁的费用不应认定为经济损失。（二）用户为恢复数据、功能而支出的必要费用的认定“计算机犯罪司法解释”的第十一条规定，经济损失的计算范围还包括用户为恢复数据、功能而支出的必要费用。这是为恢复正常的管理活动或者挽回所造成的损失所支付的各种开支、费用的补救性损失 。“这种补救性损失从时间上来看，是在损失发生之后形成的，而且是当事人主动积极实施的结果。” 需要注意的是，经济损失不应当包括恢复危害状态所需要的全部费用。由于这部分费用主要表现为人力资本的支出，对人力资本是否全部属于必要费用，需要严格甄别，只计量必要部分。第一，为恢复计算机信息系统的正常使用功能而支出的人力资本。对这部分支出应当认定为经济损失。例如受到病毒攻击的微博上留存了垃圾数据，被害单位根据用户投诉及分析结果指派专人对垃圾数据进行清除。由于这部分支出为恢复数据、功能而支出的必要费用，可以认定为经济损失。再如由于犯罪嫌疑人实施的犯罪攻击行为导致计算机网络系统瘫痪，需要卸载单位的防病毒软件，并分析事故原因，由此被害单位委托技术专家到现场收集和分析相关日志，进行应急支援工作。对此，被害单位所支付的服务费用，也属于用户为恢复数据、功能而支出的必要费用，应当计入经济损失范围。第二，为修补和排查网站漏洞支出的人力资本。在有些计算机犯罪案件中犯罪嫌疑人会利用网站存在的漏洞编写恶意程序，攻击网站。在犯罪行为发生之后，被害单位往往安排技术维修人员排查漏洞和修复漏洞等，目的在于修补犯罪嫌疑人利用的漏洞，并排查其他漏洞。由于网站上的漏洞系犯罪嫌疑人在利用破坏性程序文件攻击网站之前就已经客观存在，犯罪嫌疑人只是利用了这个漏洞，而非自己制造的漏洞，修补漏洞的费用不应当认定为经济损失。如同房门坏了一个洞，小偷通过这个洞钻进来盗窃财物，在计量盗窃犯罪数额时，不应当将修补破损的门的费用也计算在内。（三）用户损失的预期经济利益及支出的司法和防护成本的认定从“计算机犯罪司法解释”对经济损失的规定可以看出，该解释并未将“失去的在正常情况下可以获得的利益”认定为经济损失的范围。因此，对用户损失的预期经济利益及支出的司法和防护成本均不应当认定为经济损失。第一，预期经济利益。在司法实践中，被害单位及被害人往往将应当获得但因犯罪而未获得的收益以及因违约而遭受的经济损失等一并计入经济损失范围。具体包括：计算机运营商损失的广告费用、对团购网站因网络被攻击而陷入瘫痪造成的营业额净损失、因计算机受到病毒攻击而导致公司与其他公司违约而支付的合同违约金等。对此，由于“计算机犯罪司法解释”并未将“失去的在正常情况下可以获得的利益”列入经济损失范围，这部分损失不应当认定为经济损失数额。第二，司法成本和防护成本。此外，在司法实践中被害单位还经常将为了犯罪支付的司法成本和防护成本也列入经济损失范畴。具体包括因为犯罪而支付的司法鉴定费用和证据保全费用、为防范犯罪而购买的硬件设备支出等。由于这部分支出并非由犯罪行为直接导致产生，而是被害单位为了报案或者防范犯罪而自行支出的费用，不应当认定为经济损失。由于计算机犯罪在经济关系日趋复杂和紧密的现代社会中频繁发生，侵害行为的远程性、复制性和虚拟性，带来了侵害结果的模糊性和时效延展性，使得初始的实际损害具有了传递性。对被害单位而言，产生了由初始损害为中心地带，以间接损害为边缘地带的损失带群。与之相对，司法机关认定的经济损失则必须遵循严格的范围和限定条件，很多间接损失不能认定为计算机犯罪的经济损失范围。很多间接损失数额巨大，被害单位对这些间接损失既无法通过刑事附带民事诉讼得到补偿，也无法单独提起民事诉讼主张自己的经济利益。对被害单位的这部分经济损失通过何种途径加以保护，尚存在法律空白地带，既需要司法机关努力探索如何适用合法保护方式，也需要立法机关适时跟进加以规范。