危害计算机信息系统安全犯罪的定罪量刑标准

危害计算机信息系统安全犯罪的定罪量刑标准

来源：长昊商业秘密律师（非法获取计算机信息系统数据罪、非法获取计算机信息系统数据）

1、危害计算机信息系统安全犯罪的定罪量刑标准认定问题

在早前汁算机犯罪、网络犯罪实践中，由于司法解释没有明确规定相关犯罪“情节严重”、“情节特别严重”、“后果严重”、“特别严重后果”等定罪量刑标准，造成刑事司法实务部门难以处理部分危害计算机信息系统安全的违法犯罪行为。《解释》最重要的内容就是针对上述问题．确定科学合理的危害计算机信息系统安全犯罪案件定罪量刑标准。《解释》根据计算机信息系统数据的重要性程度不同，对非法获取计算机信息系统数据罪的入罪标准予以合理区分’非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的构成犯罪，而非法获取其他身份认证信息五百组以上的，才构成犯罪；根据司法实践的具体情况，并考虑有效惩治和震慑非法控制计算机信息系统犯罪的需要，将非法控制计算机信息系统罪的入罪标准规定为二十台以上。

危害计算机信息系统安全犯罪行为的社会危害性程度是定罪量刑的依据，《解释》从计算机信息数据的损害数量、公民或者机构身份认证信息的泄露数量、病毒、攻击工具的传播数量等层面制定数额标准，本质上属于此类犯罪定罪量刑的技术性规定，在法律适用上不存在疑难。但是，应当注意到，《解释》第三条、第四条、第六条分别对提供侵入、非法控制计算机信息系统程序、工具罪和破坏计算机信息系统罪规定了“造成经济损失”、“违法所得”的数额标准，此类经济数量型定罪量刑标准的认定是危害计算机信息系统安全犯罪法律适用中的疑难问题。

1．1经济损失的认定

根据《解释》第十一条的规定，经济损失，包括危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。据此，危害计算机信息系统安全犯罪行为造成的经济损失，具体包括直接经济损失与间接经济损失。根据刑法原理，直接经济损失应当是指与犯罪行为有直接因果关系而造成的财物实际价值减损；间接经济损失是由直接经济损失引起和牵连的其他损失，包括失去的在正常情况下可以获得的利益和为恢复正常的状态或者挽回损失所支付的各种开支、费用等。所以，对于危害计算机信息系统安全犯罪行为造成的间接经济损失，《解释》的规定与刑法原理并非完全一致，虽然明确将信息或者数据恢复的成本支出纳入间接损失，但没有规定可期待利益损失；在直接经济损失方面，《解释》没有明确损失范围。上述问题有必要根据计算机犯罪的特点对经济损失认定标准予以细化明确。

与使用病毒攻击、非法入侵的计算机信息系统、网络用户终端等犯罪行为具有因果联系的经济损失，主要包括：（1）计算机、网络设备、通信设备、自动化控制设备等硬件设备损坏；（2）运行硬件设备的相关软件、系统失效或者部分失效；（3）计算机信息系统设备停运、软件失效后造成的运营损失。前两种损失的产生与危害计算机信息系统犯罪行为具有直接因果关系，认定为直接经济损失没有疑问，故应当属于“给用户直接造成的经济损失”的范围。对于第三种计算机信息系统遭受攻击、被非法控制后产生的运营损失，本质上是一种可期待利益损失，并非由犯罪行为直接造成，但系由直接经济损失引起和牵连，根据刑法原理，应当属于间接经济损失。但由于《解释》明确地将期待利益损失排除在危害计算机信息系统犯罪间接经济损失范围之外，司法实践中应当注意避免将此类损失计入犯罪数额。

危害计算机信息系统犯罪行为间接产生的期待利益损失构成其他犯罪的，可以相关的经济犯罪追究刑事责任。

1．2定罪量刑标准的实践把握

《解释》将提供侵入、非法控制计算机信息系统程序、工具罪和破坏计算机信息系统罪“情节严重”的经济数量型定罪量刑标准规定为“违法所得五千元以上或者造成经济损失—万元以上”，“情节特别严重”、“特别严重后果”的数额为这一标准的五倍以上。

纵观我国相关司法解释规定的经济犯罪数额标准，危害计算机信息系统犯罪违法所得五千元以上、经济损失—万元以上的起刑点属于相对较低的定罪标准要求。这集中体现了刑事司法实践加大对危害计算机信息系统安全犯罪的打击力度闭。设立较低的起刑点得目的显然在于全面高效地保障计算机信息系统安全和信息安全，促进我国互联网的健康发展，但这对网络犯罪司法实践提出了极高的要求。《中国互联网状况》白皮书统计数据显示，2009年我国被境外控制的计算机IP地址达100多万个；被黑客篡改的网站达4．2万个；被“飞客”蠕虫网络病毒感染的计算机每月达1800万台，约占全球感染主机数量的30％。近5年来，我国互联网上传播的病毒数量平均每年增长80％以上，互联网上平均每10台计算机中有8台受到黑客控制，公安机关受理的黑客攻击破坏活动相关案件平均每年增长110％口l。可见，在惩治网络犯罪的司法资源相对有限的情况下，危害计算机信息系统安全犯罪行为的数量与危害极大，刑事司法实践难以全面应对网络犯罪的现实挑战。

较低的定罪量刑数额标准反而容易导致“情节严重”等司法标准虚置。产生弱化司法权威的负面效果。对此，笔者建议，司法实务部门具体把握危害计算机信息系统安全犯罪的定罪量刑标准，有必要重视行政处罚与刑事司法之间的衔接。对于略微超过违法所得五千元、造成经济损失—万元的网络犯罪案件，如果没有其他严重情节，存在未成年人犯罪、初犯、偶犯等有条件适用从宽政策的情形，可以通过行政处罚的方式予以处理，没有必要一律进入刑事诉讼程序追究刑事责任。

1．3危害计算机信息系统安全犯罪行为与经济损失之间的因果关系判断

网络犯罪行为与信息系统用户经济损失之间的因果关系认定在司法实践中一般不存在疑问。然而，在非法获取计算机信息系统数据罪中，由于犯罪行为的直接侵害可能是支付结算、证券交易、期货交易等网络金融服务的身份认证信息，信息网络金融服务用户的经济损失不仅包括身份认证信息流失，更重要的是还会造成证券期货交易账户、银行账户中的资金被犯罪分子盗划的巨额损失。根据《解释》第一条的规定，非法获取网络金融服务身份认证信息十组以上、违法所得五千元以上或者造成经济损失—万元以上，构成非法获取计算机信息系统数据罪。司法实践中，有的犯罪分子非法获取金融服务身份认证信息未满上述数量标准，但其转卖信息后对网络金融服务用户造成的资金被盗损失超过了一万元，对此，能否认为非法获取计算机信息系统数据行为与用户经济损失之间存在因果关系而认定其构成犯罪。

笔者认为，网络金融服务用户经济损失的发生是非法获取计算机信息系统数据行为与网络盗窃行为共同造成的结果，属于刑法上的多因一果。盗窃行为是经济损失的直接原因，危害信息网络数据安全的行为是产生损失的近因。在“非法获取信息数据一利用信息盗窃一经济损失”三者之间，无须借助其他行为或者媒介的链接，就可以判断存在因果关系。

非法获取信息数据行为与经济损失之间因果关系认定的核心并不在于性质判断，而在于因果关联性强度的审查。因为只要事实上存在网络金融服务用户的财产损失，非法获取身份认证信息的行为显然难咎其责——问题的关键在于量化考察，具体判断如何根据因果关联性的强度分配符合罪刑相识原则的刑罚。刑事司法实践中应当充分考虑盗窃行为对于网络用户资金损失的直接关联性，综合分析非法获取计算机信息系统数据行为的可非难程度，在确认其应当对经济损失承担网络犯罪刑事责任的基础上，在量刑中酌定调解其由于行为与损失之间的间接关联性而应适当减轻的罪责。