非法侵入信息系统罪

    第一节　非法侵入信息系统罪

    一、非法侵入信息系统罪的概念

    随着网络在国家事务、国防建设、尖端科学技术领域的广泛应用，各种国家事务秘密、国防建设秘密以及尖端科学技术秘密越来越多地保存在计算机信息系统中或者说以计算机信息的方式出现。正因为如此，这些系统就成为罪犯攻击的目标。此类信息系统一旦成为犯罪对象而被非法侵入，就可能导致其中的重要信息遭到破坏或者被泄露，事关国家安全、经济发展以及人民生命财产安全。为保障国家事务、国防建设、尖端科学技术领域的信息系统的正常运行，我国《刑法》第285条规定，非法侵入计算机信息系统罪是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。我国《刑法》第285条规定，违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处3年以下有期徒刑或者拘役。

    从法理上讲，非法侵入计算机信息系统的行为是一种侵犯各种国家事务秘密、国防秘密和尖端科学技术秘密的犯罪预备行为，但是由于此类预备行为所涉及的犯罪性质严重，一旦进一步实施或者实施完毕，其危害性将变得极为严重，同时，此类犯罪即使实施完毕也不一定产生或者说不一定立即产生可以具体确定的实际危害结果，因而考虑到这类犯罪严重的社会危害性及其犯罪行为的特殊性质，我国刑法才将这种实质上的犯罪预备行为法定提前化，即把这些预备性质的犯罪行为提升为具体犯罪的犯罪构成中的实行行为，以保护各类国家事务秘密、国防秘密和尖端科学技术秘密不受非法侵害。^[1]

    二、非法侵入计算机信息系统罪的犯罪构成

    (一)犯罪主体

    本罪的主体是一般主体，即达到刑事责任年龄、具备刑事责任能力的自然人。从实践上来看，非法侵入计算机信息系统的行为日益出现低龄化的趋势。因此，笔者认为将已满14周岁不满16周岁的人实施此类犯罪纳入刑法追究的范围在理论上和实践上都具有重要意义。

    (二)犯罪客体

    本罪所侵犯的客体是国家重要领域计算机信息系统的安全。根据刑法第286条的规定，本罪的犯罪仅限于国家事务、国防建设、尖端科学技术领域的计算机信息系统。所谓国家事务的计算机信息系统，一般是指涉及国家政治、外交等重大事项的计算机信息系统;所谓国防建设的计算机信息系统，一般是指由军事部门建设的、涉及国家安全和军事秘密的所有计算机信息系统;所谓尖端科学技术领域的计算机信息系统，一般是指国务院、国家科委、国防科工委等确定的居世界领先地位的科技项目的计算机信息系统。^[2]依照罪刑法定的原则，侵入其他计算机系统的，不构成本罪。在实践中，有些系统对于国家经济建设和社会生活尤为重要，如天气预报系统、银行金融信息系统等，一旦它们受到侵害，造成的损失也是巨大的，刑法将其纳入保护范围同样是非常必要的。^[3]对此，多数学者认为应该扩大本罪的犯罪对象，但扩大到多大的范围，学者们认识不一。有学者认为，凡侵入有重大价值或社会公共利益的计算机信息系统的行为都构成非法侵入计算机信息系统罪。另外，对侵入价值不大或非社会公共利益的计算机信息系统(如企业系统、个人系统等)，不构成犯罪的行为，可加以行政处罚或民事赔偿等法律制裁。^[4]有学者认为，应当把以侵犯他人隐私为目的，非法查询公共部门计算机信息系统和个人计算机信息系统的行为都列入打击范围，甚至将本罪侵犯的犯罪对象扩展到所有重要的计算机信息系统，同时规定较宽的法定刑幅度，法官可根据侵犯对象重要性等犯罪情节的差别，从重或者从轻处罚。^[5]笔者认为，一种行为是否构成犯罪，关键是看该行为是否具有社会危害性。侵入个人计算机系统的行为，具有社会危害性的，均应认定为犯罪，所以应将本罪的客体扩大为所有的计算机信息系统。但侵入国家重要领域如国家事务、国防建设、尖端科学技术领域、社会保障领域的计算机信息系统的，应加重处罚。

    (三)犯罪主观方面

    对于本罪的主观方面，应以故意为要件，即故意侵入他人的计算机信息系统。从实践中发生的案例来看，非法侵入计算机信息系统的犯罪行为一般情况下也只能是故意，因为各类计算机信息系统一般均有特殊的控制访问机制即安全保卫机制，我国《刑法》上规定的本罪犯罪对象的国家事务、国防建设、尖端科学技术领域的计算机信息系统而言更是如此。因此，行为人如果不通过一定的努力一般是不可能破译密码而突破此类安全保卫机制或者成功绕过此类安全保卫机制的，纯粹过失而误入此类计算机信息系统的行为几乎是不存在的。^[6]侵入计算机信息系统罪的犯罪动机是多种多样的，有出于好奇和寻求刺激的，也有显示计算机技能的，但无论是“善意”侵入还是“恶意”侵入，都不影响本罪的成立。随着网络应用软件的发展，一些自动扫描、查找网络上系统漏洞或远程密码破解的软件接踵而出，如NMAP、X-SCAN、流光、SNIFFER等，这些软件自动扫描网络上的漏洞并进入他人信息系统。如果一个人利用系统漏洞扫描软件扫描一段IP地址时，扫描软件“侵入”他人信息系统(尤其是国家事务、国防建设、尖端科学技术领域的计算机信息系统)，那么这个人的“侵入”心理状态应被认定为构成故意。系统漏洞扫描软件本身带有自动进入他人信息系统的功能，安装和使用该软件的行为人，主观上对行为的危害结果持明知或者放任的心理，所以行为人主观方面仍应认定为故意。

    (四)犯罪的客观方面

    本罪的客观方面是指行为人违背国家关于计算机信息系统管理的各项法律、法规，不具有合法身份或者条件而未经授权的擅自侵入。我国《刑法》第285条未对“侵入”做出具体定义。结合我国刑法关于计算机犯罪的立法情况，这里的“侵入”应指任何非法进入他人计算机信息系统但未造成计算机信息系统破坏的行为，具体应指基于行为人非法调取(复制)、访问计算机信息系统内的系统资源之目的的行为。^[7]非法侵入行为的非法性可以分为两类:一是非法用户侵入信息系统，即无权访问特定信息系统的人非法侵入该信息系统;二是合法用户的越权访问，即有权访问特定信息系统的用户，未经批准、授权或者未办理手续而擅自访问该信息系统或者调取系统内部资源。在现实生活中发生的非法入侵行为主要是指前者，而且一般认为我国刑法所打击的非法入侵行为也主要是指前者。^[8]非法侵入计算机信息系统的方式通常有以下几种:假冒合法用户非法侵入、采用计算机技术进行攻击、通过“后门”非法侵入和通过“陷阱”非法侵入等。

    行为人侵入他人信息系统(包括国家事务、国防建设、尖端科学技术领域的计算机信息系统)，情节严重的，构成犯罪。非法侵入特定计算机信息系统的行为是一个完整的行为，可能停止在任何未完成形态。如试图非法侵入国防建设的计算机信息系统而多次尝试攻击，但由于个人技术的欠缺而均告失败的，属于犯罪未遂。事实上，实践中所发生的绝大多数试图入侵行为均是未成功的，成功入侵的行为据统计只占全部攻击次数的15%左右。^[9]

    三、非法入侵后续行为的认定

    对行为人而言，侵入后即终止犯罪行为的情况是很少见的，往往伴随一些后续行为，对于后续行为的处理，应区分不同的情况进行处理:(1)当后续行为的犯意产生在非法侵入计算机信息系统之前时，非法侵入计算机信息系统只是其后续行为的前提，或者说是其后续行为发展所必经的阶段，在这种情况下，根据刑法理论，应当属于吸收犯，从一重罪论处，一般应按后续行为所触犯的罪名定罪处罚。^[10]如为窃取国家秘密为目的而实施非法侵入行为的，构成吸收犯，应当从一重处断，即以非法获取国家秘密罪论处;(2)当后续行为的犯意产生在非法侵入计算机信息系统之后时，对非法侵入行为和后续行为应分别定罪，实行数罪并罚。这是因为前后两种行为是分别在两个犯罪意图的支配下实施的，两行为分别由两个犯罪构成，成立单独的两罪，当然应实行数罪并罚。^[11]例如，行为人出于好奇目的侵入了本罪规定的计算机信息系统，进入系统后发现有关国家秘密又窃取，由于窃取秘密的犯意是发生在非法侵入计算机信息系统之后，故应当以非法获取国家秘密罪和非法侵入计算机信息系统罪实行数罪并罚。

    四、非法侵入计算机信息系统罪的立法完善

    依照我国《刑法》第285条的规定，非法侵入计算机信息系统罪的自由刑为3年以下有期徒刑或者拘役。该罪自由刑设置相对偏低，这导致对境外的犯罪嫌疑人进行引渡存在实际困难，因为根据引渡的国际惯例，引渡的条件之一即是行为人所犯罪的最低刑为3年以上有期徒刑。其结果导致我国刑法无法对在国外实施了危害我国信息安全的犯罪嫌疑人进行有效的惩治。例如，1997年7月导致我国哈尔滨市和上海市计算机网络遭受破坏的入侵就是由国外不法分子造成的，据分析可能是来自美国德克萨斯的“黑客”所为，由于犯罪地在中国境内，根据中国刑法典的规定，应当由中国刑法加以管辖。但遗憾的是，中国与美国没有引渡条约而不能引渡，即使中国与美国政府存在双边引渡条约也不能引渡该名罪犯，因为中国刑法典对于非法侵入计算机信息系统罪的法定刑设置为3年以下有期徒刑。因此，为严厉打击处于国外的跨国“黑客”所实施的非法入侵行为，应当提高非法侵入计算机信息系统罪的法定刑标准。^[12]