世界上第一例有案可查的涉及计算机犯罪案例于1958年发生在美国的硅谷,但是直到1966年才被发现。在1966年10月,唐·B帕克在美国斯坦福研究 所调查与计算机有关的事故和犯罪时,发现一位计算机工程师通过纂改程序的方法在银行的存款余额上做了手脚。这个案件是世界上第一例受到法律追诉的涉及计算 机犯罪。
随着世界信息技术革命的来临,计算机已被广泛应用于社会的各个领域,计算机犯罪也随之增加。
根据《计算机信息系统安全保护条例》第3条的规定:“计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境 的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。”我国1997年的新刑法286条明确规定:“违反国家规定,对计 算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处5年以上有 期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款规定处罚。故意制造、传 播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款规定处罚。”
从刑法中的规定来看,我们不难看出破坏计算机信息系统罪是包括以下三种行为方式:一是对计算机信息系统功能进行删除、修改、增加、干扰的行为;二是对计算 机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的行为;三是故意制作、传播计算机病毒等破坏性程序的行为。根据最高人民法院《关于 执行〈中华人民共和国刑法〉确定罪名的规定》,上述三种行为均以破坏计算机信息系统罪确定罪名。下面简要论述破坏计算机信息系统罪的构成特征:
一:犯罪主体特征
作为计算机这种高技术领域,一个文盲或无计算机知识的人,就无法通过操作计算机进行犯罪活动。中国所发生的许多起计算机犯罪也都是计算机人员所为。根据统 计数据表明,80%左右的计算机犯罪是刚刚参加工作不到5年的雇员所为,以性别而论,女性占犯罪总数的40%,以年龄而论,罪犯平均年龄在35岁左右,男 性三分之一的罪犯年龄在29岁以下。但是,在实际的认定中,什么叫做具备计算机专业知识,随着计算机的普及,这个界限很难认定。一个不懂计算机任何知识的 人,只要教授其操作计算机,在很短的时间内就会学会删除等最基本的操作。为此,我们认为,破坏计算机信息系统罪的主体是一般主体,即年满16周岁具有刑事 责任能力的自然人。按照刑法规定,并没有规定单位犯罪,为此单位并不能成为本罪的犯罪主体。但是在实践当中,单位,团体实施破坏计算机信息系统罪的例子还 是很多的,如北京江民新技术有限公司的“逻辑锁”是属于单位,团体行为。(注,逻辑锁事件:1997年,北京江民新技术公司在其产品“kv300L++” 杀毒盘中加入“逻辑炸弹”,只要是通过破解手段使用该软件的,将会出现硬盘被锁,数据丢失,计算机不能从软盘或者硬盘引导,有物理损坏的现象)①
二、特定的犯罪对象
本罪的犯罪对象是他人的计算机信息系统功能。根据《中华人民共和国计算机信息系统安全保护条例》第二条 本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、 检索等处理的人机系统。计算机信息系统功能就是使上述计算机信息系统发挥的有利的作用和效能。具体而言,是指计算机信息系统按照一定的应用目标和规则对信 息进行采集、加工、存储、传输和检索等处理的有力作用和效能。在计算机应用的各个领域,其具体的功能也体现出不同的表现形式,比如网站服务器,其主要功能 是提供网页浏览,数据库后台管理,比如银行计算机信息系统,主要是对储户的个人帐号进行管理等。为此,在具体认定犯罪对象时,不能一概而论。
三:犯罪的行为表现方式
我国刑法对破坏计算机信息系统罪的表现形式采取的是列举法,分为三款进行列举
1:破坏计算机信息系统功能
“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。”这里是指使用删除、修改、增加、干扰等方式破坏计算机信息系统功能。
①删除操作
所谓删除,是指使计算机信息系统功能的全部或者部分丧失。删除可以分为物理删除和非物理删除。物理删除指使用物理损坏的方式进行,比如对硬盘进行物理损 坏,或者使用干扰信号损坏计算机的电子设备,使其不能正常工作。非物理删除是指使用计算机命令程序进行删除,一般是借用操作系统界面,如在 windows2000,windows xp 或者在ms-dos ,unix 操作系统下利用命令进行删除。一般删除的命令有format(格式化),delete(删除)或者利用损坏硬盘分区表的方式使硬盘内容全面丧失。
②修改操作
所谓修改,是指改动计算机信息系统功能的行为。具体的方法有很多种,比如可以利用对网络的设置进行修改,使没有权限的计算机能够访问到保密信息,或者对自 己的个人帐号进行修改,比如对银行的数据库进行修改,使自己的帐号存款金额增加,或者对部分程序段进行修改,达到其他目的。
③增加操作
所谓增加,是指向计算机信息系统中增添以前没有的功能,如对软件程序中的代码进行增加,比如加入一个超级管理员的程序段,这样就可以利用远程对计算机某种系统功能或者数据库实现全面控制。[page]
④干扰操作
干扰是指除了前面列举的几种操作之外,对计算机信息系统功能能产生影响的行为。比如利用程序,网络服务器进行不间断攻击,如不断地发送数据包,从而导致网 站服务器资源耗尽,使工作效率降低,甚至导致瘫痪。最典型的是雅虎网站服务器遭受攻击时,每秒钟要处理来访电脑发出的1000M位的信息量。其攻击方式是 黑客用“欺骗”手段指令大量电脑同时访问雅虎网站。
2 .破坏计算机信息系统数据和应用程序
“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款规定处罚。”
在本款的规定中,计算机数据和应用程序是被破坏的对象。该行为可以有三种选择性行为方式,即删除、修改、增加操作,只要行为人实施其中任 何一种行为方式,都构成本罪。如果行为人实施的是其中的两种或者三种方式,也按照一罪处罚。
所谓的计算机数据是指计算机信息系统存储、处理、传播的信息,其定义有广义和狭义的区分。广义的计算机数据是指以物理的方式存在于计算机信息系统中的用二 进制代码表示的计算机信息,包括计算机程序和程序运行过程中所处理的全部信息资料。狭义的计算机数据是指除了计算机程序以外的信息。在刑法第286条规定 的应该指狭义的计算机数据。
所谓的计算机程序,是指为了得到某种结果而可以由计算机等具有信息处理能力的装置执行的代码和文档。代码一般都是符号化指令序列或者符号化语句序列。比如 for x=1 to 10, y=x*x 等。而计算机应用程序,是计算机应用程序的设计人员为了解决用户的应用问题而编写的对数据进行操作或者运算的程序以及编译这些程序后形成的执行代码。
计算机应用程序在一般情况下我们可以和计算机应用软件联系起来。比如经常使用的人事管理软件,办公自动化软件等。
删除、修改和增加操作直接破坏了数据和应用程序的真实性,有时可以造成计算机的瘫痪。比如在应用程序中加入一段死循环代码,设置当用户进行某种操作时,启动该代码段,死循环的代码就会造成计算机的资源耗尽,最终瘫痪或者死机。
3.故意制作、传播计算机病毒等破坏性程序
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是:
(1)计算机病毒是计算机犯罪的一种新的衍化形式
计算机病毒是高技术犯罪, 具有瞬时性、动态性和随机性。不易取证, 风险小破坏大, 从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。
(2)计算机软硬件产品的危弱性是根本的技术原因
计算机是电子产品。数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式,效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。
(3)微机的普及应用是计算机病毒产生的必要环境
1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延,到我国才是近年来的事。而这几年正是我国微型 计算机普及应用热潮。微机的广泛普及, 操作系统简单明了, 软、硬件透明度高, 基本上没有什么安全措施,能够透彻了解它内部结构的用户日益增多, 对其存在的缺点和易攻击处也了解的越来越清楚, 不同的目的可以做出截然不同的选择。目前, 在IBMPC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。②
所谓计算机病毒是指破坏计算机功能或毁坏计算机信息系统内存储的数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机破坏性程序,是 指隐藏在可执行文件中或者数据文件中,在计算机内部运行的一种干扰程序,这种破坏性程序的典型就是计算机病毒。制作计算机病毒,是计算机操作者故意设计、 制作一种具有破坏性的特定的计算机指令或程序代码,包括复制病毒的行为。传播计算机病毒是将上述病毒以各种方式输入计算机,使计算机系统不能正常运行,或 将计算机中存储的数据变更、删除、毁损、分解,最终使计算机系统失灵或崩溃的行为。比如最近经常出现的“Worm.Roron”蠕虫病毒,“冲击波 (Worm.Blaster)”蠕虫病毒,劳拉病毒,“硬盘杀手”病毒等都造成了巨大的损失。
此外,对于非病毒,但是具有破坏性的程序也属于该范畴。
四、犯罪的主观特征
根据刑法规定来看,本罪的犯罪主观上都为故意。
下面谈谈个人对刑法第286条规定的看法:
1、刑法第二百八十六条规定的破坏计算机信息系统罪只限于故意犯罪,这是不够的,至少对于那些因严重过失导致某些重要的计算机信息系统遭破坏,造成严重后果的,应给予刑事制裁。
2、刑罚设置不科学,应当增设罚金刑和资格刑
计算机犯罪往往造成巨大的经济损失,其中许多犯罪分子本身就是为了牟利,因而对其科以罚金等财产刑自是情理之中。同时,由于计算机犯罪分子大多对其犯 罪方法具有迷恋性,因而对其判处一定的资格刑,如剥夺其长期或短期从事某种与计算机相关的职业、某类与计算机相关的活动的资格,实乃对症下药之举。正因 此,对计算机犯罪分子在科以自由刑的同时,再辅以罚金刑和资格刑,是当今世界各国计算机犯罪立法的通例。但我国刑法第二百八十六条对计算机犯罪的处罚却既 没有规定罚金刑,也没有规定资格刑。[page]
3、关于本条第三款规定故意制造、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款规定处罚。本人认为,实为不妥。
故意制作、传播计算机病毒等破坏性程序的行为,而且该行为必须影响计算机系统的正常运行同时要求后果严重才能构成犯罪。因此,与一般的结果犯不同的是,本 罪在危害结果上要求同时具备两个要件:一是影响计算机系统的正常运行;二是后果严重。现行刑法对本罪构成要件作出这样的规定过于苛刻:首先,计算机病毒之 类的破坏性程序对计算机系统的破坏并不一定都是立即发生的,如果因为病毒被及时发现而未能影响计算机系统的正常运行,按我国刑法规定就无法对行为人追究刑 事责任。因此,刑法第二百八十六条第三款的规定不能准确说明本罪的社会危害性。其次,这类破坏性程序并不一定都会影响计算机系统的正常运行。例如制作一种 病毒,该病毒只是修改一些用户资料并不影响系统的正常运行,这种行为就不属于该条文的规定,但是由于其具有较大的社会危害性,同样也应该规定为犯罪。
鉴于计算机病毒的广泛传播,应该把刑法286条第三款单独独立出来。
4、关于犯罪主体
刑法第286条的规定,主体为自然人。但是随着社会的发展,越来越多的单位,团体或者法人组织实施了破坏计算机信息系统的行为,在刑法中找不到处罚的依据。为此,应该增加一款,对单位犯罪的,对单位判处罚金,并对其负责的主管人员或者其他人员进行处罚。
主要参考书目:
①参见廖天华:《关于kv300L++所谓“逻辑炸弹”事件的新闻调查》,载《电脑报》1997年8月8日第一版。
③《电子商务领域犯罪研究》武汉大学出版社 2002年6月第一版
④《计算机犯罪研究》 中国方正出版社2001年8月第一