本期“精品工程”专栏发布由刑事审判庭法官助理郭琳撰写的《利用向系统植入漏洞程序取款行为之司法认定——以覃某胜盗窃案为例》一文。
郭琳
郭琳,女,1995年12月生,硕士研究生。2023年7月参加工作,现任长春市双阳区人民法院刑事审判庭(少年法庭)法官助理。
利用向系统植入漏洞程序取款行为之司法认定
——以覃某胜盗窃案为例
【摘要】
随着计算机和因特网的广泛应用以及现代计算机网络信息处理技术的飞速发展,使用计算机信息系统进行的犯罪活动越来越多。如果行为人将这种犯罪与其他财产犯罪结合起来,将使司法机关更难以处理此类案件。在司法实践中,破坏计算机信息系统罪的定性问题仍然存在争议。本文尝试对覃某胜盗窃案进行研究,梳理清楚该案所涉及的争议性问题,以期为此类案件的定性问题提供建议和参考。
关键词:漏洞程序;破坏计算机信息系统;盗窃
一、案件的基本情况
被告人覃某胜是华夏银行股份有限公司科技开发中心开发部门经理,其主要职责包括组织所负责应用系统的设计和开发、核心系统(即银行帐目系统)的开发、测试和运行维护及对室内工作人员进行管理等。华夏银行系统在每日22时30分左右会开启夜间模式状态,主系统进行跨日的一些数据操作,夜间库会提供正常对外交易(ATM、网银、手机银行等)。夜间模式状态会在第二日的0时30分左右结束,系统会将夜间库里发生的成功交易补充到主系统中,而失败的交易不会补充到主系统。
二、破坏计算机信息系统罪的认定
对于本案被告人覃某胜是否构成破坏计算机信息系统罪,有观点认为,覃某胜将漏洞程序植入银行核心系统这一行为导致银行核心系统无法正常运行,并造成了严重的财产损失,构成破坏计算机信息系统罪。另一观点认为,覃某胜虽然向银行核心系统植入了漏洞程序,但其行为并未对系统的核心功能(如存贷款和资金核算)产生实质性影响,没有造成系统无法正常运行,不构成破坏计算机信息系统罪。可见,司法实践中对于破坏计算机信息系统罪的认定尚存争议。目前社会已进入互联网高度发展的大数据时代,人们生活中的许多活动没有互联网都无法开展,计算机信息系统在现代社会中发挥着巨大的作用。科技的进步和发展不仅给人们的生活带来了便利,也给社会带来了挑战,利用计算机信息系统实施的犯罪越来越多,计算机系统的安全和稳定也面临巨大的威胁。在这种情况下,法律应发挥其作用对犯罪行为进行更好的规制以维护网络安全及秩序。
计算机信息系统的概念为具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等[1]。对系统进行破坏包括外力和内力两种形式。外力破坏是指通过一些暴力手段致使计算机受到有形的破坏而不能继续工作,此种行为构成故意毁坏财物罪。破坏计算机信息系统罪的行为方式包括下列三种:第一,破坏计算机信息系统功能,即对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;第二,破坏计算机信息系统中存储、处理或者传输的数据和应用程序;第三,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行。
(一)破坏计算机信息系统罪的法益辨析
破坏计算机信息系统罪是97年刑法新增加的罪名,最初设立的目的就在于更好地管理计算机信息系统,加大对其的保护力度,以使其功能得以正常发挥,运行安全得到保障。[2]可以看出,破坏计算机信息系统罪的出现主要是出于保障系统功能和运行安全的考量。上文已经提及破坏计算机信息系统罪有三种主要行为类型,其中第一种和第三种都直接规定了行为须对系统正常运行产生一些后果,可以较为直观地看出维持系统能够正常运行是其所保护的法益。但是,第二种行为方式并未规定对数据以及应用程序的破坏程度必须达到对系统正常运行造成一定后果的地步。仅从文字的表面意义来说,其所保护的对象是系统中存在的数据以及应用程序,而非维持系统能够正常运行。由此便产生了一个值得探讨的问题,即该罪所保护的法益是否有必要涵盖系统中数据以及应用程序的安全。
在刑法理论中,法益具有明确法律的保护范围、判断行为是否构成犯罪、区分此罪与彼罪、确定罪数的作用,对破坏计算机信息系统罪的法益进行明确有利于对该罪进行更深入的理解。
(二)对破坏计算机信息系统罪犯罪构成要素的理解
讨论案例中,对于覃某胜的行为是否构成对银行核心系统的干扰,是否造成银行核心系统不能正常运行,是否构成后果严重等问题上皆存在争议,因此,为了在司法实践中更好地认定破坏计算机信息系统罪,我们必须对其罪状中一些重要要素的含义进行解读。
1.“干扰”的认定
破坏计算机信息系统罪的第一种手段是破坏系统功能,即删除、修改、增加或者干扰系统功能。与“删除、修改、增加”不同,“干扰”的含义并非十分明确,从字面上来看是指干预、扰乱。从实质意义上来讲,对系统功能实施删除、修改或者增加的操作也能起到干扰系统功能的效果。[5]但是,既然立法者在“删除、修改、增加”三种方式后还列出了“干扰”并将其置于同等地位,就表示“干扰”与其他三种行为方式既存在差异性也存在相当性。换言之,干扰是指采用除直接删除、修改、增加计算机信息系统功能以外的手段造成计算机信息系统无法依据设定的程序以及规则对信息进行处理,以致无法正常运行。[6]因此,“干扰”更像是一种具有兜底性质的行为方式,在实践中经常被使用,也面临着是否具合理性和必要性的质疑。
本案中的银行核心系统主要是用来进行账务处理,提供存贷款等服务,而系统本身的安全是其功能的保障。覃某胜向银行核心系统植入漏洞程序,导致他所控制的华夏银行卡夜间在ATM机取款交易更改为失败从而无法计入客户账,是对银行核心系统安全的破坏,虽然没有增加、删除或修改系统功能,但使银行系统产生了安全隐患,系统无法依据设定的程序以及规则对信息进行处理,影响了系统功能的可用性,与增加、删除或修改系统功能具有相当性,构成对银行核心系统的干扰。
2.“计算机信息系统不能正常运行”和“影响计算机系统正常运行”的认定
计算机信息系统并非法学专业名词,在司法实践的过程中,司法工作人员对“计算机信息系统不能正常运行”以及“影响计算机系统正常运行”的具体内涵难以形成一致意见。然而,这一要素是评价有关行为是否构成破坏计算机信息系统罪之核心要素,有必要对其认定进行明确。
在法律适用的过程中,计算机信息系统不能正常运行一般是指对系统进行破坏从而导致其出现迟缓、崩溃或强制进行其他操作等情况。笔者认为,“计算机信息系统不能正常运行”是指系统无法按照原来设计的方式运行,系统的主要功能不能使用;“影响计算机系统正常运行”是指系统还能按照原先的设计进行工作,但在运行过程中会出现错误。二者含义并不相同,前者较后者的危害程度高。笔者认为,破坏系统功能一般只会在特定系统内部进行操作,病毒等程序却能被大面积扩散至其他系统,且其具有隐蔽性、传染性等特征,能够破坏数据信息,轻则降低工作效率,重则会产生死机的后果,甚至导致大范围的计算机无法使用,使计算机用户产生较大损失。因此,若要成立犯罪,对系统功能进行破坏的行为必须达到造成系统不能正常运行的后果,而对计算机病毒等破坏性程序进行制作或者传播则只须达到影响系统正常运行的程度即可。
本案涉及的系统是银行核心系统,是指以客户为中心,进行账务处理、满足综合柜员制、并提供24小时服务的金融行业银行核心业务系统,提供的服务包括存款、贷款、结算、代理等。覃某胜向银行核心系统植入漏洞程序,使其控制的华夏银行卡通过夜间跨行ATM机取款交易更改为失败因而不计入客户账,虽然使银行核心系统的运行出现了漏洞,但不影响其他正常交易在夜间模式状态结束后被补充到主系统中,不能起到使银行账目系统崩溃,存贷款、会计核算等核心业务无法展开的作用,并未导致银行核心系统不能正常运行。
3.“后果严重”和“后果特别严重”的认定
前文已述破坏计算机信息系统罪的几种行为方式,从法条表述可以看出,成立该罪须达到“后果严重”的程度。除第二种行为方式之外在后果严重之前都有对于系统正常运行方面的描述,所以,此二种行为方式中后果严重的内容应当是指对系统所造成的危害。然而,第二种行为方式却是直接在行为表述后添加后果严重的规定,因此,前述理解是否同样适用存在争议。在前文已经论述过该罪的法益为系统的运行安全的情况下,笔者认为,对上述第二种行为后果严重的认定也应当有所限定,即应当达到使系统的运行安全受影响的程度。
本案中,虽然覃某胜植入漏洞程序后累计取款人民币717.9万元,但是,笔者认为,银行核心系统并未因该漏洞程序崩溃从而产生其他损失,覃某胜的行为并未造成银行核心系统不能正常运行,因而不能据此认定其行为属于后果严重或后果特别严重。此外,覃某胜向银行核心系统植入漏洞程序后并未立即取得财物,只是造成银行有遭受财产损失的风险,其后续的取款行为才造成了财产损失,即其植入漏洞程序的行为本身并未产生违法所得,也没有造成银行资金损失,因此也不属于法律规定的后果严重或特别严重的情形。
破坏计算机信息系统罪和非法侵入计算机信息系统罪[11]主要存在如下三个方面的区别:第一,犯罪客体不同。前者的犯罪客体为系统的运行安全,后者的犯罪客体为国家予以特殊重视部门的系统安全;第二,犯罪对象不同。前者针对的是一切系统,后者针对的是特殊部门的系统;第三,行为方式不同。前者的行为方式为对系统实施破坏,后者的行为方式为非法侵入,不要求破坏行为;第四,犯罪成立标准不同。前者为结果犯,行为须造成严重后果才成立犯罪,后者为行为犯,不要求犯罪行为造成一定的结果。当行为人非法侵入上述三种领域的系统并实施破坏行为时,则存在竞合,应从一重罪处断。本案中,覃某胜是向银行核心系统植入漏洞程序,并未侵入法律规定的特定领域的计算机信息系统,不构成非法侵入计算机信息系统罪。
三、本案的分析和结论
(一)覃某胜不构成破坏计算机信息系统罪
此外,覃某胜是向银行核心系统植入漏洞程序,并未侵入国家事务、国防建设、尖端科学技术领域的系统,不成立非法侵入计算机信息系统罪。覃某胜向银行核心系统植入漏洞程序的行为并未非法取得他人的操作权限,也并未控制银行核心系统进行一定的操作,不成立非法控制计算机信息系统罪。
(二)覃某胜构成盗窃罪
覃某胜将漏洞程序植入银行核心系统时并未实际取得财产也并未取得对系统中资金的控制。覃某胜后续多次在ATM机上取款,并因其之前植入的漏洞程序而使其交易更改为失败不计入客户账从而在银行不知情的情况下取得钱款并用于偿还债务、个人理财等,主观上具备以非法占有为目的心态,客观上符合秘密窃取的行为标准,应当成立盗窃罪。
注释
[1]见最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条。
[2]高铭暄:《中华人民共和国刑法的孕育诞生和发展完善》,北京:北京大学出版社,2012年版,第513页。
[3]陈兴良:《规范刑法学》(第四版),北京:中国人民大学出版社,2017年版,第814页。
[4]邢永杰:“破坏计算机信息系统罪疑难问题探析”,《社会科学家》,2010年第7期,第33页。
[5]王禹:“计算机信息系统犯罪的行为透视——以‘破坏’和‘非法控制’的界限与竞合为视角”,《江西警察学院学报》,2019年第2期,第112页。
[6]周光权:“刑法软性解释的限制与增设妨害业务罪”,《中外法学》,2019年第4期,第958页。
[7]孟祥丰、白永祥:《计算机网络安全技术研究》,北京理工大学出版社2013年版,第141页。
[9]俞小海:“破坏计算机信息系统罪之司法实践分析与规范含义重构”,《交大法学》,2015年第3期,第148页。
[10]周立波:“破坏计算机信息系统罪司法实践分析与刑法规范调适”,《法治研究》,2018年第4期,第72页。
[11]非法侵入计算机信息系统罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。
[12]非法控制计算机信息系统罪,是指对国家事务、国防建设、尖端科学技术领域以外的计算机信息系统实施非法控制,情节严重的行为。
参考文献
一、著作类
1.高铭暄、马克昌主编:《刑法学》(第八版),北京:北京大学出版社、高等教育出版社,2017年版。
2.高铭暄、赵秉志主编:《新中国刑法立法文献资料总览》(第二版),北京:中国人民公安大学出版社,2015年版。
3.高铭暄:《中华人民共和国刑法的孕育诞生和发展完善》,北京:北京大学出版社,2012年版。
4.高铭暄主编:《新中国刑法学研宄综述》,郑州:河南人民出版社,1986年版,第641页。
5.张明楷:《刑法学》(第五版),北京:法律出版社,2016年版。
6.张明楷:《刑法分则的解释原理》(第二版),北京:中国人民大学出版社,2011年版。
7.陈兴良:《规范刑法学》(第四版),北京:中国人民大学出版社,2017年版。
8.陈兴良主编:《刑法疏议》,北京:中国人民公安大学出版社,1997年版。
9.周光权:《刑法各论》,北京:中国人民大学出版社,2011年版。
10.刘宪权:《刑法学》(第四版),上海:上海人民出版社,2016年版。
11.孙国祥:《刑法学》(第二版),北京:科学出版社,2016年版。
12.黎宏:《刑法学》,北京:法律出版社,2012年版。
13.王作富主编:《刑法分则实务研究(下)》(第五版),北京:中国方正出版社,2013年版。
14.曲新久:《刑法学》,北京:中国政法大学出版社,2011年版。
15.李希慧:《刑法各论》,北京:中国人民大学出版社,2007年版。
17.陈洪兵:《财产犯罪之间的界限与竞合研究》,北京:中国政法大学出版社,2014年版。
18.孟祥丰、白永祥:《计算机网络安全技术研究》,北京:北京理工大学出版社,2013年版。
二、论文类
19.陈兴良:“网络犯罪的类型及其司法认定”,《法治研究》,2021年第3期。
20.陈兴良:“虚拟财产的刑法属性及其保护路径”,《中国法学》,2017年第2期。
21.刘宪权:“《刑法修正案(十一)》中法定刑的调整与适用”,《比较法研究》,2021年第2期。
22.刘宪权:“网络黑灰产上游犯罪的刑法规制”,《国家检察官学院学报》,2021年第1期。23.皮勇:“网络黑灰产刑法规制实证研究”,《国家检察官学院学报》,2021年第1期。
24.叶小琴、高彩云:“破坏计算机信息系统行为的刑法认定——基于最高人民法院第104号指导性案例的展开”,《法律适用》,2020年第14期。
25.周光权:“刑法软性解释的限制与增设妨害业务罪”,《中外法学》,2019年第4期。
26.李源粒:“破坏计算机信息系统罪‘网络化’转型中的规范结构透视”,《法学论坛》,2019年第2期。
27.王禹:“计算机信息系统犯罪的行为透视——以‘破坏’和‘非法控制’的界限与竞合为视角”,《江西警察学院学报》,2019年第2期。
28.赵国玲、邢文升:“利用漏洞转移财物行为的刑法教义学分析”,《国家检察官学院学报》,2019年第2期。
29.周立波:“破坏计算机信息系统罪司法实践分析与刑法规范调适——基于100个司法判例的实证考察”,《法治研究》,2018年第4期。
30.魏东、田馨睿:“刑法解释方法:争议与检讨”,《刑法论丛》,2018年第3期。
31.武胜、沈励:“破解、修改计算机程序对消费卡充值套现构成盗窃罪”,《人民司法(案例)》,2017年第32期。
32.涂龙科:“网络环境下犯罪既遂认定的一般标准与具体标准”,《政治与法律》,2017年第8期。
33.刘宪权:“网络侵财犯罪刑法规制与定性的基本问题”,《中外法学》,2017年第4期。
34.张爱艳、何峰:“我国网络盗窃犯罪的刑法规制”,《刑法论丛》,2017年第2期。
35.孙道萃:“对手机植入破坏性程序并非法牟利的行为定性”,《中国检察官》,2015年第7期。
36.俞小海:“破坏计算机信息系统罪之司法实践分析与规范含义重构”,《交大法学》,2015年第3期。
37.邢永杰:“破坏计算机信息系统罪疑难问题探析”,《社会科学家》,2010年第7期。
38.黄泽林:“网络盗窃的刑法问题研究”,《河北法学》,2009年第1期。
39.赵廷光、皮勇:“关于利用计算机实施盗窃罪的几个问题”,《中国刑事法杂志》,2000年第2期。
40.覃方超:“信息刑法语境中的破坏计算机信息系统罪研究”,西南科技大学硕士论文,2018年5月。
原标题:《精品工程|利用向系统植入漏洞程序取款行为之司法认定——以覃某胜盗窃案为例》