破坏计算机信息系统罪：定性困境与技术破局

以下文章来源于法治周末报 ，作者法治周末报

法治周末报.

《法治周末》，法治影响中国。

▶ 未经授权 不得转载

文 | 张鹏 尹黎卉

责任编辑 | 韦文洁

互联网的迭代发展带动了相关产业的繁荣，而计算机犯罪和网络犯罪也随之更迭蔓延。我国刑法中危害计算机信息系统犯罪相关罪名不仅承担着打击传统计算机犯罪的功能，在规制网络黑灰产等新型网络犯罪时，亦发挥重要作用。然而，新形势、新技术模糊了相关犯罪的“本来面目”，破坏计算机信息系统罪与相关罪名的准确适用面临挑战。要拨开事实认定的迷雾，实现司法适用中对破坏计算机信息系统罪的准确认定，有必要突破技术壁垒，寻找犯罪行为的核心特征。

01

面临评价难题

计算机和网络技术的快速发展导致法律规范中技术关键词的滞后，对犯罪行为的准确定性和评价面临挑战，其原因有以下三方面。

一是犯罪行为方式具有隐蔽性、复杂性，本质特征难挖掘。计算机和网络犯罪的手段的多元复杂、犯罪技术含量的提高对司法实践中行为的技术理解与辨析提出了更高的要求。同一类型犯罪行为的技术逻辑可能并不一致，若不深入探查行为的技术核心特征，单纯以行为的类型化作为经验进行法律适用，极易被网络犯罪表象所迷惑。

二是犯罪特征逐步网络化、产业化，罪名认定更困难。技术的更迭使得传统计算机犯罪发生了从网络犯罪再到网络空间犯罪的转变。“跑分”“嗅探”“爬虫”“流量劫持”等手段支持的网络黑灰产犯罪层出不穷，破坏计算机信息系统可能仅是整个产业链中的一个环节，使得罪名认定时不得不进行解释论的调整，以适应和实现网络犯罪治理的功能。

三是刑事立法具有安定性、抽象性，罪名适用难度加大。刑事规范的适时调整能够满足一段时间内的犯罪防治需求，但法的安定性决定了刑法规范不可能频繁调整以应对犯罪手段的变化。

02

犯罪技术透视

以技术角度来审视不同计算机犯罪中“破坏性”的差异，可归纳出界分犯罪行为的一般结论。现阶段的计算机或者网络犯罪，均极大程度依赖“通信网络”这一主要载体，网络是计算机系统的核心功能之一，在计算机网络中实现通信必须依靠网络通信协议。根据协议和功能的不同，可以将计算机网络划分为多层次的结构，如应用层、运输层、网络层等。

以“两高”指导性案例中多次涉及的“流量劫持”为例，此类行为往往集中发生在数据交换过程中，最终作用于计算机网络体系的应用层。但是，不同的“劫持”行为对应用层的破坏程度有所不同，最终也被评价为“破坏计算机信息系统罪”和“非法控制计算机信息系统罪”这两种不同的罪名。如果实质性影响到通信协议的功能实现，则构成对计算机信息系统的破坏，否则，应当考虑该行为仅系控制、侵入或者其他行为。

其一，最高人民法院指导性案例102号，行为人通过修改互联网用户路由器的DNS设置，使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站。该行为系对于计算机网络结构里应用层中域名系统DNS协议本身的修改，DNS协议的功能在于从域名中解析出IP地址，故而该行为使得互联网上的主机名称转换IP地址的功能受损，导致所有登录“2345.com”的用户都会跳转至其设置的“5w.com”，该行为破坏了计算机网络的功能，构成对计算机信息系统功能的破坏。

其二，最高人民检察院指导性案例第33号，行为人修改IP指向，连接至自己租用境外虚拟服务器建立的赌博网站广告发布页面劫持流量。该行为也是改变了“通信网络”的应用层中协议的具体映射关系，使得所有访问该网站子域名的用户最终都会跳转到赌博网站，致使原网站无法正常运行，该种行为也最终被认定为对计算机信息系统网络功能的破坏。

另一种情形是，最高人民法院指导性案例145号中行为人以木马程序获取目标服务器后台权限，将添加了赌博关键字并设置自动跳转功能的静态网页，提高广告命中率，最终被评价为非法控制行为。该行为虽发生在应用层之上，但仅是上传了新的网页链接代码，并未对应用层中的相关协议进行篡改，未改变通信进程交互规则。故而其结果仅是目标服务器在点击后发生相关网页的跳转，实际的网页解析关系、指向内容均未受改变，其他点击该网页的网络用户仍旧能打开原始网页。该案一审被认定为“破坏”，二审法院予以改判，称此行为系“在进行非法控制基础上的修改、增加计算机信息系统的某些数据，未对计算机网络功能产生实质影响”。二审法院的评价结果与此前的技术分析结果完全印证。

03

核心特征

构成对计算机信息系统的“破坏”，需要达到影响通信协议进程的标准。该标准蕴含两层含义：破坏的对象是计算机系统中的功能，如计算机网络中的应用层；该破坏行为须使得被破坏的功能丧失原有效能，如协议进程无法正常进行。

将上述结论一般化，除计算机网络外，计算机信息系统还包括硬件系统，比如，网络设备、服务器和存储设备等；以及软件系统如操作系统、数据库管理系统等。对于上述系统的功能的破坏，可认为属于破坏计算机信息系统行为。

其一，探针干扰行为，行为人通过安装服务器、交换机，对运营商终端大宽带违规监测系统传输数据进行封堵、引流和屏蔽，干扰监督系统计算机，导致其无法获取全部传输数据，监督、预警功能部分失效。该行为干扰的是系统功能，且达到了不能正常运行之后果，属于“破坏”的范畴，构成破坏计算机信息系统罪。

其二，对恶意挖矿行为，透视本行为的技术原理可知，被告人通过增加应用程序的方式，侵占了公司服务器资源进行“挖矿”，该行为未产生对服务器及其功能的破坏，即便有对于应用程序的增加情形，但仍属于“非法控制”的行为，不构成破坏计算机信息系统。

其三，在更具争议的在锁定智能手机案中，被告人通过远程锁定被害人的智能手机设备，使之成为无法开机的“僵尸机”，该行为是对于操作系统的干扰、破坏，导致系统功能不能使用，被评价为破坏计算机信息系统。

总之，危害计算机信息系统犯罪行为的手段、破坏的程度有所不同，导致犯罪结果和罪名评价有所差异。以技术原理解构犯罪行为是对实践难题的有力破解，在技术分析的基础上，可综合考虑行为方式、犯罪对象、危害结果、因果关系等方面，准确适用罪名。

（作者单位：北京市海淀区人民法院）

原标题：《破坏计算机信息系统罪：定性困境与技术破局》

阅读原文