案情简介:
被告人张三、李四所在的A科技有限公司与B科技有限公司均从事外卖返券相关业务。2023年7月,被告人张三通过原B公司员工王五获得B公司业务员后台管理账号和密码,并通过某平台租赁亚马逊云服务器,被告人李四编写篡改返利规则的代码脚本,后利用租赁的亚马逊云服务器作为跳板机,对B公司租赁的腾讯云服务器进行渗透,实现返利活动的批量修改,也即将原有的小额返利修改为大额返利(如满20元返10元,改为满20元返90元),导致返利券异常发放。经对日志记录的远程勘验发现,被告人张三、李四共修改返利活动875条,涉及返利券金额67万余元。经对订单数据库的远程勘验发现,涉及当日将小额返利修改为返利≥90元的订单中,被系统审核通过返利券的金额共计24万余元,较原始返利金额增加20万余元。
公诉人指控:被告人通过登入B公司后台管理员账号,利用编写的篡改返利规则的代码脚本,批量对返利规则进行修改,将原有的小额返利修改为大额返利,导致系统中返利规则无法正常运行,由此构成破坏计算机信息系统罪。
笔者认为,本案公诉人定性有误,被告人的行为不构成破坏计算机信息系统罪。详细理由如下:
1、根据刑法的立法原意和目前的裁判规则,破坏计算机信息系统罪的构成需要造成“计算机信息系统不能正常运行”,造成计算机信息系统本身的破坏
破坏计算机信息系统罪是1997年刑法典新增的罪名。此后二十年,此罪的罪状没有发生任何变化。根据当初设立此罪时权威的立法解读,破坏计算机信息系统罪“旨在加强对计算机信息系统的管理和保护,保障计算机信息系统功能的正常发挥,维护计算机信息系统的安全运行”。 由此可以看出,此罪的立法目的是为了保护计算机信息系统的功能和运行安全,此罪的法益在于保障计算机信息系统的正常运行。
但从具体的条文可以看到,此罪第一款和第三款规定的行为类型都在罪状描述中直接指明了必须造成“计算机信息系统不能正常运行”和“影响计算机信息系统正常运行”,而第二款规定的行为类型的罪状描述中没有写明必须造成“计算机信息系统不能正常运行”的后果,这是否意味着第二款的行为类型不需要造成“计算机信息系统不能正常运行”?笔者认为并不如此,理由有四:
首先,从法益角度看,每一个犯罪都有特定的法益保护范围,每一犯罪设定的具体行为类型都应以其所要保护的法益为依归。法益是刑法建立刑罚正当性的前提和特定行为入罪的实质标准,其具有合理划定犯罪圈、确定刑罚处罚范围以及在司法实践中区分此罪和彼罪的功能。破坏计算机信息系统罪要保护的法益是计算机信息系统的正常运行,即使在刑法的具体条文中没有明确写出来,在理解犯罪构成时也不能脱离法益的保护范围。事实上,刑法中绝大多数罪名并没有在罪状中直接写明所要保护的法益。因此,不能因为在《刑法》第286条第2款中没有写明造成“计算机信息系统不能正常运行”的罪状而直接否定这一行为类型所要符合的这一特定法益保护范围。
其次,从体系解释角度看,法律条文应放在法律体系中来理解,通过前后法律条文和法律的内在价值与目的,来解释某一具体法律规范的含义。体系解释最基本的要求是要保证法律规范的融贯性,防止法律规范的前后矛盾。根据计算机运行的物理原理,计算机信息系统的功能、数据和应用程序,是计算机信息系统得以正常运行的基本要素。法律通过保护计算机信息系统的功能、数据和应用程序这些要素来保护计算机信息系统的正常运行。换言之,计算机信息系统的功能、数据和应用程序是刑事立法选定的评价是否会导致计算机信息系统不能正常运行的对象。计算机信息系统的功能、数据和应用程序,都是可能被破坏的对象之一,相互之间基本没有孰轻孰重的位阶之分。这从2011年最高院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第4条可以看出,计算机信息系统的功能、数据和应用程序是放在一起设定“后果严重”的定罪量刑标准的。
事实上,对计算机信息系统的功能、数据和应用程序的删除、增加、修改等行为,并不必然会导致计算机信息系统的不能正常运行。刑法没有必要也不应该将一般的删除、增加、修改计算机信息系统的功能、数据和应用程序的行为规定为犯罪行为。否则我们平时对电脑中的文档、图片、音视频、应用软件等的删除、增加、修改都属于破坏计算机信息系统的行为。刑法只对破坏计算机信息系统功能、数据和应用程序,造成了计算机信息系统不能正常运行才规定为犯罪行为,这是破坏计算机信息系统构成要件的应有之义。对于构成破坏计算机信息系统必须造成“计算机信息系统不能正常运行”这一要件,《刑法》第286条第1款对破坏计算机信息系统功能的行为类型中进行了明确规定,可以说是显性要件。从体系解释的角度,《刑法》第286条第2款对破坏计算机信息系统数据和应用程序的行为类型中,也应包含这一要件,事实上是一种隐性要件。
如果简单的认为刑法没有规定就是不需要这一要件,就会导致刑法第286条第1款、第2款前后两个法条在适用上的不对等,也没办法解释2011年《司法解释》中把功能、数据和应用程序放在一起评价的原因。在刑法理论界,为解决《刑法》第286条第2款立法问题而带来的理解困境,有众多学者也通过合理解释罪状中的“后果严重”来对造成“计算机信息系统不能正常运行”这一要件予以明确。如陈兴良教授认为,“破坏计算机信息系统罪的后果严重,是指使国家重要的计算机信息系统功能、数据和应用程序被破坏,严重破坏计算机信息系统的运行,或者影响计算机信息系统的正常运行,即因计算机信息系统不能正常运行而造成各种各样的严重后果。”
另外,在《刑法》第286条第3款设定的行为类型中,破坏计算机信息系统罪的规制对象是故意制作、传播计算机病毒等破坏性程序。从对象的性质看,计算机病毒等破坏性程序这一对象明显属于应予打击的违法负面对象,而数据和应用程序只是一般的中性对象。从体系解释的角度,连制作、传播“计算机病毒等破坏性程序”这一对象的破坏行为都需要“影响计算机信息系统正常运行”的这一要件,毫无理由认为删除、增加、修改“数据和应用程序”这一对象的破坏行为不需要“导致计算机信息系统不能正常运行”的构成要件。
再次,从国民的预测可能性看,一般而言,破坏计算机信息系统罪的符合观念的印象应该是行为对计算机信息系统的功能造成了损坏或者造成了计算机信息系统崩溃、中止、停滞等不能正常运行的状态,而不会仅仅认为是对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、增加、修改,因为后者就是我们平时经常发生的日常操作。如果仅仅因为对数据的删除、增加、修改这些操作,达到了司法解释当中规定的定罪量刑标准,如操作了20台以上计算机信息系统、造成经济损失1万元或违法所得5000元,最后被定罪量刑,一般人很难理解自己的行为会是因为破坏了计算机信息系统而受到严厉的惩罚,而会认为是因司法解释有这样的定罪量刑规定而受到了严厉惩罚。因此,在认定犯罪时,如果脱离国民对犯罪行为本身性质的普遍观念的理解,而直接以司法解释规定的定罪量刑标准进行机械适用,就会难以服众,损害司法适用的公信力。
如果在适用《刑法》第286条第2款时忽视必须造成“计算机信息系统不能正常运行”的构成要件,就会导致大量的一般违法行为落入犯罪的深渊,使破坏计算机信息系统罪成为不折不扣的网络时代的口袋罪。因在网络时代,日常的大量的工作、生活行为都离不开互联网。对互联网的操作行为很容易涉及对计算机信息系统中存储、处理、传输的数据进行删除、增加、修改,按照目前的司法解释规定的定量标准,很多日常的行为或一般的违法行为都涉嫌破坏计算机信息系统罪。因此,就需要准确理解破坏计算机信息系统罪的构成要件,在理解适用时进行合理限定。
最后,目前两高的指导性案例和裁判规则事实上已经在司法实践中确立了该罪的构成需要造成“计算机信息系统不能正常运行”这一要件。其中,2020年最高院发布的第145号指导性案例“被告人Z某某等非法控制计算机信息系统案”明确:通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪。特别值得注意的是,2024年3月最高检宣告检例第34号指导性案例“L某某等破坏计算机信息系统案”失效。在该案中,最高检曾在2018年确立过的裁判规则是:冒用购物网站买家身份进入网站内部评价系统删改购物评价,属于对计算机信息系统内存储数据进行修改操作,应当认定为破坏计算机信息系统的行为。也正是因为这一指导性案例,导致此后很大一部分有关计算机信息系统的数据修改行为被错误地认定为破坏计算机信息系统罪。但目前,通过最高检宣布该案例的失效和最高院之前案例的颁布,在司法实践中已经事实上更正了原来错误的裁判规则,明确了修改数据的行为要构成破坏计算机信息系统罪也需要造成“计算机信息系统不能正常运行”,而不仅仅看是否有数据修改的行为和是否达到司法解释规定的构罪标准。如上述检例34号指导性案例,虽然对计算机信息系统中的购物评价数据进行了删改,但并没有对计算机信息系统运行本身造成破坏,而只是扰乱了网站的购物评价活动,就不认定为破坏计算机信息系统罪,而应该按照其他法律法规进行规制。所以,需要准确理解《刑法》第286条第2款关于破坏计算机信息系统罪的构成要件,而不能机械适用。
应该看到,在实践中,对数据的删除、增加、修改并不必然造成对计算机信息系统不能正常运行。因此不能直接认为对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、增加、修改,只要达到司法解释当中规定的定罪量刑标准就可以认定为犯罪。“造成计算机信息系统不能正常运行”是破坏计算机信息系统罪的应有之义。《刑法》第286条第2款对数据的破坏行为也应该符合“造成计算机信息系统不能正常运行”的要件才能认定为犯罪。这不仅是法益保护范围的要求,合理体系解释的要求,符合国民预测可能性的要求,也是为了避免破坏计算机信息系统罪在司法实践中成为出入人罪的口袋罪,破坏司法适用应有效果的应有之义。
综上,笔者认为,破坏计算机信息系统罪是对计算机信息系统功能、数据和应用程序等进行破坏,导致计算机信息系统不能正常运行的行为。在理解和适用《刑法》第286条第2款时,在行为人实施了对计算机信息系统中存储、处理、传输的数据和应用程序进行删除,增加、修改行为后,也必须符合造成“计算机信息系统不能正常运行”的构成要件,达到后果严重的标准,才能认定为破坏计算机信息系统罪,并不是只要修改系统中的数据,达到入刑标准就可以,应避免机械去套用《刑法》第286条第2款。
2、本案被告人的行为不符合破坏计算机信息系统罪的构成要件
根据上述,破坏计算机信息系统罪的构成要件必须造成计算机信息系统不能正常运行。那么,被告人的行为是否造成了计算机信息系统不能正常运行?这就需要对“计算机信息系统不能正常运行”的规范含义进行准确的理解。
虽然法律对何为“计算机信息系统不能正常运行”的规范含义没有做出明确的定义,但根据计算机运行原理和文义解释,“计算机信息系统不能正常运行”是指计算机信息系统本身不能正常运行。“计算机信息系统运行”的核心要义在于系统运行。破坏计算机信息系统应是指计算机信息系统本身的运行受到破坏。在实践中一般表现为计算机信息系统运行的崩溃、中断、迟缓、被强制等情形。值得注意的是,不能把计算机信息系统本身的运行与系统中承载的业务内容的运行进行等同。诚然,计算机信息系统不能正常运行大概率导致系统承载的业务不能正常进行,但系统承载的业务不能正常进行并不必然意味着计算机信息系统不能正常运行。例如,最高检第34号指导性案例中,修改购物网站的评价内容并不意味着该购物网站系统不能正常运行。
从目前查明的事实来看,本案被告人实施的修改返利活动数据的行为并没有造成计算机信息系统本身不能正常运行的后果,并不影响小蚕平台系统设计的发布和修改返利活动的系统运行功能。
应该看到,修改返利活动金额数据的行为,在客观上只是对平台系统上发布的返利业务活动的正常运行造成了扰乱,导致平台或商家可能要多付返利金额,但并没有对平台拥有的发布业务活动的系统功能造成破坏。换言之,平台所拥有的发布这一业务活动的系统功能仍能正常运行,没有被破坏。如果被破坏,这一高额返利活动也就发不出来。事实上,在返利活动数据修改之前和修改之后,平台仍然都在按照系统设置的功能逻辑运行,并没有变化。可以明确的是,该数据修改行为并没有导致平台系统本身不能正常运行,而仅仅是对系统中承载的返利业务活动造成了扰乱。尽管公诉人将返利活动描述为“返利规则”,但其本质上仍是系统承载的业务活动,而不是系统运行功能。由此,本案数据修改行为扰乱、破坏的不是计算机信息系统本身运行,没有造成计算机信息系统不能正常运行,没有侵犯本罪所保护的法益,不符合破坏计算机信息系统罪的构成要件。
3、本案数据修改行为本质上是利用信息网络妨害业务的行为,涉嫌的是破坏生产经营罪
破坏计算信息系统罪是纯正的计算机网络犯罪,是以计算机信息系统为对象的犯罪行为。在信息网络时代,由于很多传统的业务活动都放在信息网络中进行,出现了很多在网络空间中的业务行为。如本案的优惠返利活动,在没有计算机的年代也有(如挂在店门口的优惠广告),在计算机网络出现之后搬到了线上(发布在APP中),但两者在本质上其实都是一种业务活动。因此,对该业务活动返利金额数据的修改,事实上与计算机信息系统运行没有直接关系,而主要是对该系统中的返利业务活动造成了扰乱。由于其通过网络手段实施,所以其本质上属于一种利用信息网络妨害业务活动的行为,并不是针对计算机信息系统的破坏行为。对这种妨害业务的行为,根据其所侵犯的法益,主要涉嫌的是对网络领域中生产经营活动的破坏,应按破坏生产经营罪认定评价。
4、本案修改数据行为不属于破坏计算机信息系统罪与破坏生产经营罪的竞合,不能择一重以破坏计算机信息系统罪认定
实践中,不乏存在行为人通过对计算机信息系统的功能、数据和应用程序进行破坏的方式破坏生产经营,在此情况下,在法律认定中可能出现破坏计算机信息系统罪与破坏生产经营罪想象竞合的情形,从而择一重罪处罚。公诉人认为本案属于想象竞合犯,应该从一重处断,但这一观点也是错误的。应该看到,犯罪竞合的认定仍然需要以行为符合各自罪名的构成要件为前提。在本案中,如果行为不符合破坏计算机信息系统罪本身的构成要件,就不存在犯罪竞合的问题。
根据上述分析,本案被告人修改数据的行为没有破坏平台系统原来的运行功能,导致计算机信息系统奔溃、中断、迟缓等不能正常运行的情形,而是利用该平台系统扰乱了平台经营的返利业务活动,由此,在不符合破坏计算机信息系统罪构成要件的前提下,只能追究妨害业务活动的法律责任,而不能追究破坏计算机信息系统的法律责任。
总之,本案修改返利活动数据的行为,由于没有造成计算机信息系统本身不能正常运行,只扰乱信息系统中承载的返利业务活动的正常进行,不构成破坏计算信息系统罪,只涉嫌妨害业务或破坏生产经营。
