计算机网络无疑是当今世界最为激动人心的高新技术之一。它的出现和快速的发展,尤其是Internet(国际互联网,简称因特网)的日益推进和迅猛发展,为全人类建构起一个快捷、便利的虚拟世界。在这个空间里也有它的黑暗的一面,计算机网络犯罪正是其中一个典型的例子。2000年4月,美国航天航空局声称其计算机系统被一个少年入侵(1);2001年7月20日,美国白宫网站遭到黑客成功攻击(2);美国国防部网站每天都遭到黑客袭击(3);在2001年4月份,中国网站遭受黑客攻击数百起,政府网站占12%(4);而2003年3月开始的美伊战争更是引发黑客攻击浪潮,美国网站每天遭袭2500起。(5)
一、非法侵入计算机信息系统罪概述
非法侵入计算机信息系统罪就是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。我国《刑法》第285条规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处3年以下有期徒刑或者拘役。
随着计算机信息系统的广泛建立和运用,一些特殊领域的计算机信息系统日益成为国家和社会中财富、信息集中的要害部门,关系到国计民生的国家事务管理、经济建设、国防建设、尖端科学技术领域的计算机信息系统的正常运行,对于保障国家安全、经济发展以及人民生命财产安全等方面,起着十分重要的作用。同时,也正因为如此,这些系统就成为罪犯攻击的目标。这些信息系统一旦成为犯罪对象而被非法侵入,就可能导致其中的重要数据遭到破坏,或者某些重要、敏感的信息被泄露,事关国家安全、经济发展等。因而论者认为,我国刑法制定该罪既能保障国家重要领域计算机信息系统安全的完整性、保密性,又能震慑、防止行为人将犯罪行为延伸为窃取国家机密、泄漏国家机密或破坏计算机信息系统的行为。
随着黑客技术的发展和黑客的增多,以最近的2002年为例,全年共发现了57977次明显的数字攻击,这是有数字记录以来攻击次数最多的一年。并且,黑客攻击事件仍在以每年64%的速度增加!(1)出现这种系统攻击现象的原因在于计算机系统本质上是一种数字处理系统,所有的计算机安全系统都是基于一定数学算法来建立的,因此从理论上分析,任何一个计算机系统只要同外界相联系,那么他就有可能被网上的其他人员查找到其系统的漏洞或破解开其系统密码,其他的只是时间长短的问题,甚至万年之久。但是,事实上,随着计算机软硬件技术的快速发展及CPU运算速度的加快,用“以其人之道、还至其人之身”的做法,即以计算机破解软件实现密码的快速穷举或字典列举等方法,来破解密码或查找系统漏洞已经成为变得容易并常有的事情了。现在,我们从理论上对非法侵入计算机信息系统这一犯罪类型进行深入的探讨和研究,对于其正确认定和合理量刑已变得非常重要。
二、非法侵入计算机信息系统罪的构成特征
(一)犯罪的客体特征
本罪所侵犯的客体是国家事务、国防建设、尖端科学技术领域的计算机信息系统的安全。此处所指安全就是指信息系统的完整性和保密性。随着计算机在我国的日益普及化,各种国家事务秘密、国防建设秘密以及尖端科学技术秘密越来越多地保存在计算机信息系统中或者说以计算机存储数据的方式出现。因而计算机信息系统的安全对于国家重要部门和重要事务的影响越来越大,尽管这些特定领域的计算机信息系统数据信息可能未受损失,但只要泄密,就构成了对国家事务、国防建设、尖端科学技术领域的计算机信息系统安全的侵犯。
本罪的犯罪对象是特定计算机信息系统,即涉及国家事务、国防建设、尖端科学技术领域的计算机信息系统。那么什么是计算机信息系统呢?根据1994年2月18日国务院颁布的《计算机信息系统安全保护条例》第2条规定,计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。注意,这里的网络,根据《全国人大常委会关于维护互联网安全的决定》第一条规定,还应包括互联网。
同时应当注意的是,并非所有的计算机信息系统均可成为本罪的犯罪对象,具体而言,本罪的犯罪对象仅限于国家事务、国防建设、尖端科学技术领域的计算机信息系统,因而非法侵入其他计算机系统的,不构成本罪,但是可能构成其他犯罪。
(二)犯罪的客观特征
本罪客观方面表现为违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。
这里应当有以下两个方面值得注意:
1、“非法”囊括的内容
非法,在本罪中是指“违反国家规定”,主要是指违反《计算机信息系统安全保护条例》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》等,违反上述条例、决定、规定均视为违反国家规定。
2、“侵入”一词的含义
"侵入",就是没有取得国家有关主管部门的合法授权或批准,通过计算机终端访问国家事务、国防建设、尖端科学技术领域的计算机信息系统或者进行数据截收的行为。例如,使用非法手段获取口令或者许可证明,随后,冒充合法用户,进入国家事务、国防建设、尖端科学技术领域的计算机信息系统。此处"侵入"不包括对自然环境的侵入,如非法进入这些领域的计算机机房、终端操作室等。同时应当指出,虽然纯过失的侵入行为也是大量存在的,但更多的"侵入"行为通常是预备行为,是为着手犯罪制造条件的,由于国家事务、国防建设、尖端科学技术领域的计算机信息系统具有特殊重要性,刑法把"侵入"行为本身规定为犯罪,而不以发生特定的犯罪结果作为构成要件。
至于“侵入”的方式,共有1000多种,我们在这里就不一一介绍了。
(三)犯罪主体特征
本罪的主体是一般主体。凡是达到刑事责任年龄和具备刑事责任能力的人实施非法侵入计算机信息系统的行为均可构成本罪,包括在境外对我国国家事务、国防建设、尖端科学技术领域计算机信息系统实施非法入侵的外国人。当然,在实践中,本罪的主体一般是具有相当水平的计算机系统维护人员或精通C语言的程序员以及一些对入侵计算机系统感兴趣的电脑爱好者。
在这里,值得注意是,单位是否可以构成本罪的主体。现行刑法第30条规定:“公司、企业、事业单位、机关、团体实施的危害社会的行为,法律规定为单位犯罪的,应当负刑事责任。”根据该条规定,只有法律明确规定单位可以构成某种犯罪的,单位才能成为该罪的犯罪主体。我国现行刑法第285条规定的非法侵入计算机信息系统罪中,并未明确规定单位可以成为本罪的主体,所以应当认为只有自然人才能构成本罪并依法被追究刑事责任。
目前一些学者主张将单位纳入该罪的主体,这种说法不无道理。单位在计算机普及程度将来有极大提高后肯定会大量出现,甚至国家也将逐渐成为该类犯罪的主体。据美国《华盛顿邮报》2003年2月7日报道,美国总统布什已经下令政府官员拟定针对伊拉克计算机系统的网络战作战指南,一旦网络战打响,美军士兵将可以坐在计算机终端前悄然入侵敌方计算机系统、关闭敌方雷达、导致敌方电力设施瘫痪以及中断敌方电话通信等。(1)所以说,单位犯罪的出现和刑法将单位收纳为本罪的主体在本罪的实际发展和法律惩治过程中都将是必然的。
(四)犯罪的主观特征
本罪的主观方面是故意。也就是说,行为人清楚地知道,自己的行为是违反了国家的规定,会产生非法侵入国家重要的计算机信息系统的危害后果,而这种结果是自己希望或放任这种结果发生的。其动机和目的是多种多样的,例如,好奇、炫耀、泄愤、报复、消遣等等,这些都不影响犯罪的构成。由于过失而侵入国家重要的计算机信息系统的,不构成犯罪。
这里,论者认为有以下两个方面的问题值得特别注意:
1、过失能否构成本罪
其实,本罪的争论焦点之一,就是如果行为人应当知道自己的行为可能会侵入计算机信息系统,但由于想到这些国家重要的计算机信息系统一定会很安全,而轻信不能侵入这些系统而实施的侵入行为,是否构成犯罪。
我国刑法第15条第2款规定:“过失犯罪,法律有规定的才负刑事责任。”由于现行刑法并未规定过失行为可以构成非法侵入特定计算机信息系统罪,因此本罪的主观方面只能是故意而不可能是过失,所以过失的侵入这些计算机信息系统的行为不构成犯罪。
可是,有的学者认为:纯过失的侵入国家计算机信息系统的行为是不存在的,因而也不存在过失侵入而不构成犯罪的情况。(1)论者并不赞同这种说法。因为论者本身除了学习法律外,还是一名微软的MCSE系统工程师,对系统安全漏洞有一定的了解。随着网络应用软件的发展,一些自动扫描、查找网络上系统漏洞或远程密码破解的软件接踵而出,如nmap、X-scan、流光、sniffer等等。笔者就曾尝试过通过软件自动扫描网络IP段上的系统漏洞或系统密码的经历,也曾经进入过他人的系统,虽然此时笔者甚至可以格式化这套系统,但笔者却什么都没有看就退出了。因为这些软件是自动扫描网络上的漏洞的,所以其进入他人系统的活动也是自动的,如果这些软件发展到了一定阶段,能够扫描出一些涉及国家事务、国防建设、尖端科学技术领域的计算机信息系统漏洞或秘密,我想这些人只要没有继续进行下去,那么这种过失地进入国家事务、国防建设、尖端科学技术领域的计算机信息系统就是无罪的。
——————————————————————————————————————
(1)于志刚:《计算机犯罪疑难问题司法对策》,2000年吉林人民出版社,第135页
2、犯罪目的的单纯性问题
非法侵入计算机信息系统的行为人的犯罪目的应该是单纯的对系统的侵入,如果他具有其他特定的犯罪目的而实施非法侵入计算机信息系统的,如以非法获取国家秘密、商业秘密甚至破坏计算机系统等为目的,则存在方法行为与结果行为或者说目的行为与手段行为的牵连关系,因而应当从一重罪论处,即以其目的行为所构成的具体犯罪追究刑事责任,如非法获取国家秘密罪、侵犯商业秘密罪或者破坏计算机信息系统罪等危害国家安全罪追究刑事责任。
由于行为人非法侵入计算机信息系统的行为具有不易查证性,所以本罪设立的另一目的,论者认为在于震慑、惩处那些不易查清入侵目的的非法入侵特定计算机信息系统的人。而如果能够查证非法入侵者是出于其他目的而侵入计算机信息系统的,则要么非法侵入行为被其他犯罪行为所吸收,不再以本罪进行处罚,而可能以其他犯罪追究刑事责任,如间谍罪等;要么非法侵入行为和其目的行为构成牵连关系,应当从一重罪论处。
三、非法侵入计算机信息系统罪的认定
1.划清罪与非罪的界限
非法侵入计算机信息系统罪与侵入计算机信息系统的违法行为不同,主要在于它们侵犯的对象不同,前者侵入的是特定领域如国家事务、国防建设、尖端科学技术领域的计算机信息系统。如果罪犯非法侵入的是国家事务、国防建设、尖端科学技术领域以外的计算机信息系统,不会威胁到国家重要领域的计算机信息系统的安全,不能作为本罪处理,可按有关行政法规进行处理。
2.本罪与破坏计算机信息系统罪的区别
如果非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,并对计算机信息系统功能进行删除、修改、增加、干扰或对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的操作或故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行并造成严重后果,这样就存在非法侵入计算机信息系统罪和破坏计算机信息系统罪的两罪竞合问题,按照后行为吸收先行为的原则,按照破坏计算机信息系统罪处理。
3.本罪既遂与未遂的标准
非法侵入计算机信息系统罪是行为犯,并不要求以实害结果发生为既遂要件。凡是通过盗用密码、利用系统漏洞等方法从网络登录到国家事务、国防建设、尖端科学技术领域的计算机信息系统服务器上就可以构成既遂,并不一定要求对数据、程序、系统功能造成破坏。
四、刑事责任的情节认定
正如前面列举的例子:如果一个人靠“系统漏洞扫描软件”在扫描一段IP地址时,扫描软件“侵入”国家事务、国防建设、尖端科学技术领域的计算机信息系统,那么这个人的“侵入”心理就可能是三种情况:第一种是不知道这些重要系统位于这段IP地址内而进行了扫描;第二种是明知道这些重要系统位于这段IP地址范围内,但相信这些系统是非常严密的,而轻信不能扫描进入的;第三种是明知道这些重要系统位于这段IP地址范围内,并持希望或放任的态度看是否能够进入这些国家重要系统的好奇心理。前两种情况分别是意外事件和轻信能够避免的过失进入,所以当事人都不应该负刑事责任;而第三种心理则是直接故意和间接故意。当时人已经符合了犯罪构成要件。
但如果当事人当初扫描的目的仅仅是出于好奇,并在此时已经认识到了自己所犯下的错误,也不再继续下去,即:在仅仅登陆系统后,没有进一步地对系统构架或系统文件进行窥探、浏览,没有翻阅系统的任何文件,更重要的是没有对系统的完整性构成威胁,我们说这个人的情节是显著轻微的,是不应构成犯罪的;或者在量刑时应该得到减轻、从轻处罚。
五、非法侵入计算机信息系统罪的立法完善
我国1997年新刑法典对非法侵入计算机信息系统罪等计算机犯罪的罪名设置,是我国刑法典的一个大的发展,是我国重视科技和科技发展的一个表现。但由于计算机科学的高速发展,摩尔定律的不断证实,使我们对计算机罪名的设置与完善增加了困难,即使计算机犯罪的认定也要求我们法律工作者有相当的计算机知识。非法侵入计算机信息系统罪,论者认为还有以下两个方面亟待完善:
1、入侵者犯罪心理的法定化
我们知道,很多黑客,或者被我们成为好黑客的“红客”,他们具有很高的计算机系统入侵水平,这些人的“侵入”行为是故意的,但“侵入”意图是善良的,或者说是想让您的系统更为完善。换言之,很多大的系统就是因为有了这些“红客”的合理性建议才能稳定与严密。特别是本罪中列举的这些涉及国家重要领域的计算机系统如果没有了这些好心的“红客”的协助,那么这些系统被“黑客”的非法入侵也是迟早的事情。
所以,我们应该把本罪的犯罪心理以法定化。纯粹的善意进入系统,不应构成此罪。本罪中的“故意”应该是“故意威胁系统”,而不是简单的“故意侵入”。
2、“国家事务”的司法解释亟待出台
非法侵入计算机信息系统罪保护的是国家事务、国防建设、尖端科学技术领域这三类计算机信息系统。其中,“国防建设”、“尖端科学技术领域”这两类的计算机系统较容易判断和识别。但何谓“国家事务”呢?是专指“国家秘密”的系统,还是只要涉及“政府事务”的系统就算是“国家事务”呢?
前段时间,论者听说我们公安内部网的一个网站的WEB服务器被人非法侵入。该服务器存储着对“非公安人员”来说可能是保密的,对“公安人员”来说是公开的内容,当然,最重要的是该服务器承担着保证网站运行的责任。如果这个入侵者是一名“公安人员”,那么他是否就构成了我们今天讨论的主题:非法侵入计算机信息系统罪呢?这个网站的服务器系统是否是“国家事务”系统呢?所以对“国家事务”的司法解释亟待出台。
六、如何有效控制非法侵入计算机信息系统罪的发生
应该说,无论“侵入”行为是损害了国家事务、国防建设、尖端科学技术领域的计算机信息系统的完整性和保密性,还是最终导致系统中机密文件的泄密,其后果都远远大于单纯的“入侵”行为。
对目的单一的准备破坏这些涉及重要系统的完整性与保密性的人,我们只有采取震慑的方法,加大打击力度,以对其产生威慑。但不可否认,还有相当一部分或一大部分人的侵入心理是“好奇”或“自我挑战”,他们并没有意识到“侵入”的严重后果,其实,这部分人只要靠我们不断的法制宣传教育及社会教育是就可以引导过来的。
当然,打击非法侵入计算机信息系统犯罪的最终目的是为了保护我们的系统安全。只有提高系统管理员的业务素质和安全意识,不断采取措施加强、完善系统安全,才是保证我们的国家事务、国防建设、尖端科学技术领域的计算机信息系统不受侵入的最根本方法。