论非法侵入计算机信息系统罪的特征及我国立法的缺陷

 

一、序说

 

　　近年来，国内外发生的非法入侵计算机信息系统的案件时有报道，危害也日趋严重。据《美国研究》杂志提供的权威数据表明，计算机窃贼攻击美国工作场所次数，最保守的估计是由1989年的339000起上升到1990年的423000起，1991年的684000起。我国计算机信息系统的起步虽然较晚，但发展速度非常快。在现实生活中，计算机网络的应用越来越广泛，各行业网络、高校校园网络乃至全国性网络不断建立。但是，由于我国现行计算机网络体系执黑客能力差，缺乏整体防范保护措施，近年来以高技术手段侵入计算机信息系统的行为日益增多。

　　正因为计算机的安全问题已经成为目前亟待解决的课题，非法侵入计算机信息系统的社会危害也逐步显现出来，我国的新刑法典设立了非法侵入计算机信息系统罪。但我国刑法学界对这一罪的理论研究还是苍白的，因此从理论上加深对这一犯罪类型的探讨研究，对正确认定和合理量刑都是非常必要的。

 

二、非法侵入计算机信息系统罪的概念和特征

　　非法侵入计算机信息系统罪，是指违反国家规定，故意侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为，这是我国刑法典对该罪的定义。根据1994年2月18日国务院发布的《中华人民共和国计算机信息系统安全保护条例》第2条规定，所谓计算机信息系统，是指由计算机及其相关的和配套的设备、设施（合网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储。传输、检索等处理的人机系统。非法侵入计算机信息系统的犯罪作为一类新型犯罪，具有许多犯罪所不具备的特点，加上司法队伍对其认识不足，因而对该种犯罪进行预防和惩治相当困难，在法律适用上也很棘手。

　　从犯罪学的角度来看，该种犯罪通常具有以下特征：

　　1．隐秘性强。

　　非法侵入计算机信息系统罪往往很难被发现，即使被发现，其侦破的难度也相当大。据统计，发达国家中的计算机犯罪仅有5％－10％的案件被发现，而且能破获的竟不到1％。

　　一方面，对计算机信息系统的侵入一般不会引起该系统的直接变化，甚至在安全系统被破解的情况下，受害人仍会以为自己的系统处于安全状态，所以这种犯罪是很难被发现的。而犯罪人可以通过在网络中不断重复登录来隐藏自己，这就使如何确定侦查对象极其困难。另一方面，该种犯罪的证据只存在于数字空间之中，它不能为人们所直接感知，必须按照一定的方式将其转化为文字、图像、声音等形式才能体现证据的价值。由于计算机存储介质的特点，这种证据非常容易被消除和修改，犯罪者只要轻轻按动键盘，一切可以证明其犯罪的信息就消失得无影无踪。在这样的情况下，要想取得有效的证据是非常困难的。另外，这种证据在传统证据学中并无很好的研究。根据《刑事诉讼法》规定的七种证据，我们很难确定它的归属，所以目前这种证据的有效性和合法性仍然是一个法律难题。

　　2．高智能性。

　　现代计算机系统一般都非常重视安全保护措施，安全系统的设计相当严密。要破解安全系统而侵入系统，行为人必须具备相当高的专业水准，同时还必须有极好的耐心和毅力。例如要以远程进入的方式来非法侵入一个计算机系统，首先就必须对网络系统有相当深入的了解，然后对各种安全系统的原理和运行机制掌握得比较透彻。即使这样，在入侵过程中仍需要进行相当多的尝试才有可能最终进入。在这样一个过程中，犯罪者在知识、能力和毅力等方面都必须具备相当高的素质，这是远非普通犯罪所能比的。

　　3．犯罪现场数字化。

　　一般的说，在特定的时间到犯罪现场是认定犯罪的重要证据。但是，在网络空间中，传统的时间空间概念已失去了意义，犯罪人只是在一虚拟现实中实施犯罪行为。同时犯罪者在侵入他所想进入的系统之前，有可能中途进入很多站点。如发生在前西德的一个著名黑客案件，几名学生闯入了美国的军事计算机系统，包括格勤收集敏感信息。他们的方法是先从西德登录到日本，然后从日本登录到美国的一所大学，再从这所大学登录到军事系统。这种犯罪没有传统意义上的犯罪现场，如果要为犯罪找一个现场的话，它就应从犯罪人作案使用的计算机开始一直到受害人的计算机系统，包括中间途径的所有站点的计算机所形成的一个网络。这种犯罪现场概念实在是抽象，实际上它是数字空间或虚拟空间中的犯罪现场。

　　4．跨国犯罪多。

　　在覆盖全球的计算机网络上，在世界的任何一个地方，从网络上的任何一个节点进入网络，都可以对网络上任一其他的计算机系统进行侵入和犯罪。这样，跨越国境对另一个国家的计算机系统进行犯罪，就成为相当容易的事情。例如海外的罪犯可以通过电脑网络进入日本的数据库选取资料进行篡改、消除。计算机犯罪瞬间跨越国境的特征使得

每一个国家都处于跨国犯罪的威胁之中，我国目前计算机系统安全技术还比较落后，而仅在美国就有1700万人有一定的黑客技术。只要有万分之一的人忽然一时兴奋，到中国的信息系统东看看，西瞧瞧，就会给我国带来极大的损失。在犯罪全球化的今天，我们绝不能忽视这种情况。

 

三、目前认定非法侵入计算机信息系统罪中存在的问题

　　1．从犯罪客体看，犯罪对象规定得过于狭窄。

　　根据刑法第286条规定，本罪的犯罪对象是特定的计算机信息系统，也就是说并非所有的计算机信息系统均可以成为本罪的犯罪对象，具体而言，本罪的犯罪对象仅限于国家事务、国防建设、尖端科学技术领域的计算机信息系统。由于罪刑法定的原则，刑法只对侵入这三类计算机信息系统的行为给予刑罚处罚，而侵入其他计算机系统的，不构成本罪。这与目前计算机技术发展的普及状况是不协调的。现在，我国各方面都在逐步加强使用计算机，许多部门都在建立自己的计算机系统。例如金融系统的计算机信息系统，民间的信息服务系统等。这些计算机系统关系到社会生活的方方面面，许多系统涉及到很大的公众利益，侵入这些系统同样也具有严重的社会危害性。事实上，国内外对金融系统的入侵而造成重大损失的案例已经时常出现，

　　如 1988年，一名犯罪分子通过电脑网络侵入美国芝加哥第一国民银行，涂改帐目，转帐国外并提走，造成该行损失7000万美元。而曾被国际刑警组织列为第六号和第七号要犯的盖里奥和奥尔拉托尼，则通过侵入计算机系统把意大利亚布罗西银行的约9000万美元一扫而空，然后将赃款转移瑞士银行，致使意大利银行倒闭，银行总裁自。1994年4月发生在我国深圳市证券行业的一起案件，案犯通过电脑网络登录到该市一家证券部的用户密码库，利用解密得到的用户密码侵入某用户的空白帐户，在其上凭空增设可用资金110万元，之后以每股545元的当日最高价买入 10．32万股深宝安A股，造成该种股票价格的剧烈波动。如果案犯在上述虚增资金数目的后面再多加几个“零”，然后用这天文数字的虚设资金将股价格高到任意位置，股市便可能遭受灭顶之灾。这些事例无不说明，对金融信息系统的侵害具有严重的社会危害性，甚至可能动摇整个国家的金融地位，引起金融风波，从而影响政治的稳定。此说并非危言耸听。美国目前除用于国防和政府部门的阿帕网外，共有四大电子系统，并与全国电话网融为一体，连接国内外850多个银行帐号，国内日转帐4000亿美元，跨国日转帐则高达6000亿美元。如果被计算机犯罪分子或集团通过非法入侵而窃取1％，就相当于联邦储蓄银行的总资产；如果窃取10％，美国经济就会发生灾变，并波及全球。虽说我国的银行业还没有像美国这样实现一体化，但这是我国金融系统的一个总体发展趋势。如果发生与上述类似的情况，后果也将不堪设想。

　　因此，笔者认为应该将侵入计算机信息系统犯罪的对象范围适当扩大。刑法至少应规定：凡侵入有重大价值或社会公共利益的计算机信息系统的行为都构成非法侵入计算机信息系统罪。另外，对侵入价值不大或非社会公共利益的计算机信息系统（如企业系统、个人系统等），不构成犯罪的行为，可加以行政处罚或民事赔偿等法律制裁。

　　2．从犯罪主体看，本罪的主体规定得过于狭窄。

　　根据我国刑法典第30条规定：“公司、企业、事业单位、机关、团体实施的危害社会的行为，法律规定为单位犯罪的应当负刑事责任”。根据该条规定，只有刑法明确规定单位可以构成某种犯罪的，单位才能成为该罪的犯罪主体。而我国现行刑法第285条规定的非法侵入计算机信息系统罪中，并未明确规定单位也可以成为本罪主体。因此，根据刑法规定，只有自然人、且达到刑事责任年龄和具备刑事责任能力的才构成本罪的主体。

　　首先，单位被排除在外，使得我国刑法确定的本罪主体比较狭窄。

　　虽然目前我国已发生的非法侵入计算机信息系统案件中，个人犯罪尚处于简单犯罪阶段，但并不是说单位指使个人犯本罪、或有一些犯罪人故意成立企业法人以便于进行计算机犯罪的情况，就没有可能发生。而且，计算机普及程度极大提高后，单位犯罪非常可能会大量出现。如果把犯罪主体局限于自然人，对这种情况将无法有效地治理。另外，西方国家已存在惩治单位实施此类犯罪的立法例，这说 明西方国家已经发生或至少意识到单位犯本罪情况的存在。如果我国刑法不与西方国家刑法典接轨的话，那么，当发生西方国家的单位或法人侵入我国计算机信息系统时，我们就无法有效地进行打击。一部法律是否先进或科学，立法的超前性是其重要标准之一。该预见而没有预见，这是立法机关的失职；而已经预见却故意舍去，这是对犯罪的放任。所以，笔者认为应该将单位吸纳为本罪的主体。

　　其次，由于未成年人被排除在外，我国刑法确定的犯罪主体显得更狭窄。

　　根据刑法第17条第2款的规定，已满14岁不满16岁的未成年人，只对故意杀人，故意伤害致人重伤或死亡，强奸、抢劫、贩卖毒品、放火、爆炸、投毒行为负刑事责任。这就是说，凡已满14岁不满16岁的未成年人，犯非法侵入计算机信息系统罪不负刑事责任。但是，一个值得注意的现象是，从已有的计算机犯罪案例来看，进行计算机犯罪的有相当一部分是少年儿童，而其中的绝大多数都未满16岁。如去年，美国国防部4个海军系统和7个空军系统的电脑网络遭侵人，两个被抓的小黑客Makavel和Tooshart只有15岁，而他们的导师以色列少年Tenebaum才18岁。这也给我们提出一个新问题，对于未成年人犯本罪应怎样处罚和防治？

　　犯罪是具备辨认和控制自己行为能力的人在其意识和意志的支配下所实施的危害社会的行为，它必然受到年龄因素、智力因素的限制和影响。有鉴于此，国内外立法均对未成年人的刑事责任年龄进行规定。这些规定虽各有千秋，但其基本的要点均在于；一方面强调对未成年人的保护和教育，另一方面，未成年人也必须对特定的行为负一定的刑事责任。如我国规定14—16周岁的未成年人处于相对负刑事责任年龄阶段，16－18周岁的未成年人处于完全负刑事责任年龄阶段，作为一名能够进行计算机犯罪的人，虽然他的年纪可能不大，但是其有关计算机的知识已具有相当的水平，他的综合能力较强，即使是未成年人，其能力、知识和心理素质都在同年龄人之上。可以说只要能够进行计算机犯罪，行为人的认知水平就具有相当的水平。因此笔者认 为即使是未满16周岁的人，只要能够进行计算机犯罪就证明他应该对计算机犯罪的社会危害性有一定 的预见，而且他们进行的犯罪所造成的社会危害也并不会因为他们是未成年人而变小。因此，这些人非法侵入计算机信息系统犯罪，造成严重后果的应当负刑事责任。当然，这里还需要区分不同情况来对待。16－18周岁处于完全负刑事责任年龄阶段的未成年人，应对其非法侵入计算机信息系统行为负刑事责任，从轻处罚；14－16周岁处于相对负刑事责任年龄阶段的未成年人，对其故意实施的非法侵入计算机信息系统行为，造成严重后果的应负刑事责任，减轻处罚；而不满14周岁处于完全不负刑事责任年龄阶段的未成年人，其监护人应对其行为负责。

　　3．从目前对本罪的处罚来看，处罚过轻。

　　我国刑罚的基本形式包括自由罚和财产罚。首先，从对本罪自由罚的量刑来说，是与它的社会危害性不相称的。美国1996年通过的国家信息基础设施保护法规定，有关电子计算机领域的罪犯最多可判10年监禁。我国刑法规定本罪的法定最高刑为3年，而这类犯罪对于国家重要机密或公共利益安全性的破坏是非常严重的。虽然对构成窃取国家秘密罪的侵入行为，我们可以按有关条文来处罚；但许多侵入行为的主观目的很难确认，而如果不能证明行为人主观上出于故意，就不能构成窃取国家秘密罪，也就无法给予罪犯应有的惩罚。从计算机犯罪所带来的经济损失看，它远大于一般犯罪所造成的损失。据美国联邦调查局统计，一起计算机犯罪案件的平均损失是50万美元，而一起刑事案件的平均损失为2000美元。从另外一个角度来说，非法侵入计算机信息系统后，即使什么都没有干就离开，表面上犯罪者不一定获得了什么利益，被侵入的系统也不一定会发生什么变化；但这种成功入侵的事实，势必使得整个计算机安全系统被破坏而需要重新构置，耗费的人力物力极大。同时，对计算机系统所有者来说，由于资料的安全性受威胁，而在心理上和物质上造成的损害是难以估量的。一旦系统被非法侵入的消息让客户知道，还将带来无法计算的间接损失。1996年4月10日，俄罗斯一名计算机专家及其同伙通过网络窃走花旗银行资金1000万元。由于花旗银行主动公开了这一事实，马上失去了20家最大的客户。

　　正是因为计算机犯罪的这种严重社会危害性，笔者认为应该加重处罚力度，提高最高法定刑，建议提高到5年以上。

　　其次，我国刑法没有规定财产罚，不能有效地起到威慑作用。计算机犯罪造成的直接经济损失相当大，其中许多犯罪行为也是出于谋取利益的动机，妄图无本万利，因此也应当在处罚中规定财产刑，使犯罪分子在自由刑和财产刑的双重威慑下，重新考虑自己行为后果。

　　4．从本罪和其他犯罪的衔接着，应具体问题具体分析。

　　非法侵入计算机信息系统往往是实施其他犯罪的第一步，侵入后什么都不干就自行离升的是极少见的，虽然不排除恶作剧式的侵入后自行退出的可能。因此，对非法侵入计算机信息系统行为和后续行为如何衔接，究竟是以一罪论处还是数罪论处，若为数罪，该加以“并罚”还是“一罚”，就成为一个有争议的问题。

　　笔者认为在这个问题上，首先必须明确的是，非法侵入计算机信息系统后又实施了其他犯罪行为的，应属异种数罪。因为，非法侵入计算机信息系统罪并不以行为人侵入系统后产生的后果为要件，只要行为人破坏了安全系统，进入了计算机信息系统，就可构成既遂。而且之后实施的犯罪行为又与本罪性质不同、罪名不同。那么既为数罪，该施以数罪并罚，还是采取“从一重处断”原则？应该具体情况具体分析：（1）非法侵入计算机信息系统后窃取各种国家事务秘密、国防建设秘密、尖端科学技术秘密的，虽然其侵入计算机系统行为属于方法行为，但‘巴已经构成对计算机信息安全系统的彻底破坏，应以非法获取国家秘密罪和非法侵入计算机信息系统罪数罪并罚；（2）非法侵入计算机信息系统后窃取金融资产的，同样应以本罪和盗窃罪数罪并罚；（3）非法侵入计算机信息系统后，对计算机信息系统的功能进行删除、修改、增加、干扰，造成该系统不能正常运行、后果严重的，或对计算机系统存储。处理、传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，应按从一重处断原则加以处罚。总的目的在于预防和严惩计算机犯罪活动，以确保能更好、更安全地利用计算机技术为我国的经济建设和社会发展服务。

 

 

注释与参考文献

　　《聚焦黑客现象》载《计算机世界》，1999年第14期A版。

　　唐广良等：《计算机法》，中国社会科学出版社，1993年版，第339页。

　　《犯罪的全球化趋势及其对策》，载《编译参考》，1998年第11期。

　　《聚焦黑客现象》，载《计算机世界》．1999年第14期A版

　　孙传平：《猫与耗子的新游戏》，北京出版社，第77页。

　　罗洁珍泽：《法国刑法典》第323—326条，中国人民公安大学出版社，1995年版。

　　《聚焦黑客现象》载《计算机世界》，1999年第14期A版。

　　苏惠渔：《刑法学》，中国政法大学出版社，1997年版，第139页。

　　孙传平：《猫与耗子的新游戏》，北京出版社，第25页＿