【法学汇】指导性案例告诉你——如何办理破坏计算机信息系统犯罪案件
编者按 随着网络技术的飞速发展,互联网已经深度融入国家发展和社会生活方方面面,不断涌现的网络安全问题也从未停止。近年来,以破坏计算机信息系统罪定罪的案件数量快速增加,但司法实践中对该罪的理解与法律适用的观点认识存在分歧,不利于对此类犯罪的有效打击。本期“观点·案例”聚焦最高检第十八批指导性案例中姚晓杰等11人破坏计算机信息系统案(检例第69号),邀请法学专家、办案检察官探讨该类犯罪案件办理中在形式层面与实质判断方面的法律适用标准,敬请关注。
#最高检第十八批指导性案例#
姚晓杰等11人破坏计算机信息系统案
(检例第69号)
【基本案情】
2017年初,被告人姚晓杰等人接受王某某(另案处理)雇佣,招募多名网络技术人员,在境外成立“暗夜小组”黑客组织。“暗夜小组”从被告人丁虎子等3人处购买大量服务器资源,再利用木马软件操控控制端服务器实施DDoS攻击(指黑客通过远程控制服务器或计算机等资源,对目标发动高频服务请求,使目标服务器因来不及处理海量请求而瘫痪)。2017年初,某互联网公司网络安全团队在日常工作中监测到多起针对该公司云服务器上运营的三家游戏公司的客户端IP进行大流量高峰值DDoS攻击,该攻击导致三家游戏公司的IP被封堵,出现游戏无法登录、用户频繁掉线、游戏无法正常运行等问题,且攻击源IP地址来源不明,该公司随即报案。公安机关立案后,同步邀请广东省深圳市检察院介入侦查、引导取证。
2017年6月至9月间,公安机关陆续将11名犯罪嫌疑人抓获。2018年3月6日,深圳市南山区检察院以被告人姚晓杰等11人构成破坏计算机信息系统罪向深圳市南山区法院提起公诉。2018年6月8日,广东省深圳市南山区法院判决认定被告人姚晓杰等11人犯破坏计算机信息系统罪。宣判后,11名被告人均未提出上诉,判决已生效。
破坏计算机信息系统案办案指引
➤ 立足犯罪案件特点引导侦查收集调取证据
1.调取证明网络攻击犯罪发生、证明危害后果达到追诉标准的证据;
2.引导侦查机关调取证明网络攻击是犯罪嫌疑人实施的证据;
3.重点审查供述和辩解、手机通信记录等,准确认定主、从犯;
4.提出补充侦查意见时,应明确列出补侦目的。
➤ 对被害单位提供的证据和技术支持意见,需结合其他在案证据作出准确认定
1.确保提供的证据客观真实,注意取证过程的规范性;
2.可聘请专门机构对证据进行鉴定或对证据作出说明;
3.注重与在案其他证据作印证分析。
➤ 对破坏计算机信息系统的危害后果应作客观全面准确认定
1.收集犯罪违法所得数额或造成的经济损失证据;
2.收集受影响的计算机信息系统数量或用户数量等情况证据。
准确认定行为性质
合理把握危害后果
北京外国语大学
法学院教授、博士生导师
电子商务与网络犯罪研究中心主任
王文华
数字经济时代,网络信息手段利弊兼具,一旦被用来实施违法犯罪行为,其破坏性会呈几何倍数增长。由于破坏计算机信息系统罪的特殊危害性,刑法分则第六章关于以计算机网络信息系统或其中的数据信息、程序为对象的犯罪规定中,第286条破坏计算机信息系统罪的法定刑是最高的,后果特别严重的,处五年以上有期徒刑。司法实践中,适用罪数理论原则,除触犯第287条以计算机为手段的犯罪外,在大多数情况下,最终以破坏计算机信息系统罪定罪。另一方面,以破坏计算机信息系统罪定罪的案件数量快速增加,有实际发案增加的原因,也有司法实践中对该罪理解与适用法律认识不同等原因,一定程度上出现了该罪名的“口袋罪”化现象。
2020年4月8日,最高检发布了第十八批指导性案例,其中“检例第69号”姚晓杰等11人破坏计算机信息系统案(下称“检例第69号”案)对于及时找准突破口、引导侦查机关查清事实,客观全面准确认定破坏计算机信息系统罪的危害后果等具有重要的指导意义。
一是在破坏计算机信息系统罪中的行为性质的认定方面。根据刑法第286条破坏计算机信息系统罪的规定,“破坏”主要表现为对计算机信息系统功能进行破坏、对系统中的数据和应用程序进行破坏和通过病毒破坏系统正常运行三种行为。
被告人姚晓杰等人在境外成立的“暗夜小组”黑客组织三次利用木马软件操控该组织所购买的14台控制端服务器下的计算机,持续对某互联网公司云服务器上运营的三家游戏公司的客户端IP进行DDoS攻击,导致三家游戏公司的IP被封堵,出现游戏无法登录、用户频繁掉线、游戏无法正常运行,说明被告人是出于攻击目的,有预谋地实施传播恶意软件、非法控制计算机信息系统及攻击网站服务器,符合刑法第286条第3款故意制作、传播计算机病毒等破坏性程序影响计算机系统正常运行的情形。这种利用木马软件对境内服务器实施DDoS攻击他人服务器的行为,由于被害人是游戏公司,严重影响了公司的生产经营,同时也符合破坏生产经营罪的行为特征,属于破坏计算机信息系统罪与破坏生产经营罪的竞合,按择一重罪处罚原则,应当对被告人以破坏计算机信息系统罪定罪处罚。
此外,这种攻击网站服务器的行为在主客观方面都是非法控制计算机信息系统,同时触犯了刑法第285条非法控制计算机信息系统罪,应当按照牵连犯择一重处断,即依照刑法第286条第3款以破坏计算机信息系统罪定罪处罚。对此性质认定,“检例第69号”案各方并无太大争议,主要是事实认定和证据问题,包括云服务器不能正常运行的原因与“暗夜小组”攻击行为间的关系、犯罪嫌疑人线上身份和线下身份同一性的认定以及“暗夜小组”各成员在犯罪中的分工、地位和作用等。为此,深圳市检察院会同公安机关就被害单位云服务器受到的DDoS攻击的特点和取证策略进行研究部署,为案件的实体认定提供了坚实的事实和证据基础。
二是在“后果严重”中的损失认定方面。破坏计算机信息系统罪在犯罪客观方面的三种情形在入罪方面皆需要“后果严重”。根据最高法、最高检《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称《解释》)第6条第(四)项规定,对危害后果的认定主要是考虑受影响计算机信息系统和用户数量、违法所得或者所造成的经济损失以及其他严重后果。在“检例第69号”案中,鉴于证实受影响计算机信息系统和用户数量的证据已无法调取,深圳市南山区检察院通过与公安机关的积极沟通与两次退侦,只能以造成的经济损失认定危害后果。被害互联网公司为恢复云服务器的正常运营,抢修费用达4万余元。根据《解释》第6条第(四)项的规定,“违法所得五千元以上或者造成经济损失一万元以上的”是认定破坏计算机信息系统功能、数据或者应用程序“后果严重”的五种情形之一。
三是在引导取证的内容、方式方法方面。“检例第69号”案例突出的指导价值在于对这类案件证据的收集、审查与判断的引导。尽管该案的事实并不复杂,但是由于专业性强、技术性强,深圳市南山区检察院通过能动作为,及时与公安机关沟通、查清事实。
准确认定犯罪性质,离不开准确、客观、全面的事实认定和形成完整证据链的证据支撑,这些证据极易灭失,应及时介入、搜集证据;如果相关证据已经被毁损、删除,应当依法进行弹性、灵活处理,合理进行司法推定。例如,“检例第69号”案中犯罪嫌疑人实施网络攻击后威胁被害人的证据可作为认定攻击事实和因果关系的证据;一旦犯罪嫌疑人实施了攻击行为,网络攻击类型和特点与犯罪嫌疑人实施的攻击一致,攻击时间和被攻击时间吻合,对于这种异常、高概率联系的危害行为与危害结果之间因果关系可进行司法推定,认定危害行为为网络攻击,系犯罪嫌疑人实施。
同时,审慎把握罪状要件、严格按照罪刑法定原则的要求确定明确的侦查取证方案非常重要。面对攻击源IP地址来源不明、被告人作案后已串供并将手机、笔记本电脑等作案工具销毁或者进行了加密处理、到案后大多作无罪辩解、庭审中辩护人提出的现有证据不能认定三家网络游戏公司受到的攻击均是“暗夜小组”发动等挑战,深圳市检察机关与公安机关多次会商研究“暗夜小组”团伙内部结构、犯罪行为和技术特点等问题,找准三个工作重点:一是查明导致云服务器不能正常运行的原因与“暗夜小组”攻击行为间的关系;二是做好犯罪嫌疑人线上身份和线下身份同一性的认定工作,并查清“暗夜小组”各成员在犯罪中的分工、地位和作用;三是查清犯罪行为造成的危害后果。此外的侦查方向还包括要求侦查机关补充调取能够证实某互联网公司直接经济损失或为恢复网络正常运行支出的必要费用等证据,并交专门机构作出评估,进一步补充证实“暗夜小组”成员参与每次网络攻击具体情况以及攻击服务器控制权在“暗夜小组”与丁虎子等人间流转情况的证据,对丁虎子等人向“暗夜小组”提供攻击服务器控制权的主观明知证据作进一步补强等,使得案件的事实查明与证据收集取得突破性进展,并达到全案事实查清,案件证据确实充分,形成完整的证据链条。
从事实层面看,对于心存侥幸、以为境外组织利用木马软件对境内游戏公司网站服务器实施DDoS攻击就可以逃脱处罚的人,“检例第69号”案的成功办理用严谨务实的法律逻辑、技术逻辑、经济逻辑给这些人敲响警钟。
从法律层面看,“检例第69号”案的办理环环相扣,刑事侦查、检控、审判紧紧围绕破坏计算机信息系统罪构成要件的准确认定展开,通过对因果关系、主观明知等方面事实的查明,对破坏计算机信息系统罪的适用,既不扩大也不缩小适用范围,综合考虑危害行为的法律属性、经济特征、技术特征,作出合乎逻辑和市场规律的判断,客观分析被害公司的证人证言、第三方专家鉴定意见,努力实现不枉不纵,防止出现“破坏计算机信息系统罪”适用的不当扩大化、“口袋罪”化现象。
破坏计算机信息系统罪天然具有“口袋罪”的作用,因为大量网络犯罪的手段或者目的或者“手段+目的”就是破坏计算机信息系统,的确发生频率高。然而,破坏计算机信息系统行为大量存在,要对其实现有效惩处与预防,需要对其性质的准确理解与甄别。“检例第69号”案办理中,对于查处、认定计算机信息系统罪时如何进行体系化考察与运用,充分发挥司法能动性,通过智慧检务促进程序创新,实现实体认定的准确性,提高办案绩效,促进数字经济创新和规范发展,很有裨益。
同时,在当前复杂多变的国际形势下,“检例第69号”案对于完善专业化办案机制,发挥检察机关介入侦查引导取证的先发优势,有效打击跨境网络攻击等网络犯罪,维护数据安全、网络安全、国家安全,具有重要的理论意义与实践价值。
办理破坏计算机信息系统案件
突破口
➤ 行为性质
1.“破坏”主要表现为对计算机信息系统功能进行破坏、对系统中的数据和应用程序进行破坏和通过病毒破坏系统正常运行三种行为;
2.攻击网站服务器的行为在主客观方面都是非法控制计算机信息系统,同时触犯了非法控制计算机信息系统罪,应当按照牵连犯择一重处断。
➤ 损失认定
主要是考虑受影响计算机信息系统和用户数量、违法所得或者所造成的经济损失以及其他严重后果。
➤ 引导取证
1.及时介入、搜集证据;如证据被毁损,应当依法进行弹性、灵活处理,合理进行司法推定;
2.审慎把握罪状要件、严格按照罪刑法定原则要求确定明确的侦查取证方案。
适时介入引导侦查取证
科学运用审查规则
检察指导性案例,基于司法能动主义理念,重在发挥对检察办案工作的示范引领作用。检察指导性案例的“要旨”是“指导性”的具体载体,起到开宗明义、提纲挈领的作用。“为有效打击网络攻击犯罪,检察机关应加强与公安机关的配合,及时介入侦查引导取证,结合案件特点提出明确具体的补充侦查意见。对被害互联网企业提供的证据和技术支持意见,应当结合其他证据进行审查认定,客观全面准确认定破坏计算机信息系统罪的危害后果”,检例第69号指导性案例的“要旨”阐明了新型网络犯罪破坏计算机信息系统犯罪案件的办案路径指引,具有极强的实务指导价值。
指导价值之一:强调检察机关适时介入侦查对办理此类案件的重要性,以及适时介入侦查的具体工作方法。
“新型网络犯罪”,“新型”意味着犯罪手法新,没有既成的办案经验,“网络”意味着区别于传统犯罪的专业性和技术性特征,各级司法机关乃至各机关内部对此类案件的法律适用容易产生分歧。上述案件特征在检例第69号指导性案例的办案过程中有具体表现:2017年2月至3月间,国内某互联网公司的云服务器多次遭受神秘黑客团伙大流量高峰值DDoS攻击,阻塞网络数据传输,服务器大面积宕机,导致租用该互联网公司云服务器经营的网络游戏项目出现无法登录、用户频繁掉线等异常问题。为恢复云服务器的正常运营,该互联网公司组织人员对服务器进行了抢修并为此支付4万余元。公安机关接到报案后,很快锁定在境外活动的姚晓杰等人成立的“暗夜小组”就是实施本案网络攻击行为的黑客组织。2017年6月至9月间,公安机关陆续将11名犯罪嫌疑人抓获后进一步发现,“暗夜小组”成员为逃避打击,在作案后已串供并将手机、笔记本电脑等作案工具销毁或者进行了加密处理,人员到案后大多作无罪辩解,且相关证据比较薄弱。
鉴于案件重大、疑难情况,公安机关邀请广东省深圳市检察院介入侦查、引导取证。针对案件专业性、技术性强的特点,检察机关会同公安机关多次召开案件讨论会,听取公安机关对犯罪事实及侦查进展情况的介绍,查阅侦查卷宗,对被害单位云服务器所受DDoS攻击的特点进行缜密研究,并及时针对定罪定性以及调查取证策略提出指导意见。一是及时锁定核心证据,在适时介入侦查初期就建议公安机关及时将被害单位报案提供的电子数据送国家计算机网络应急技术处理协调中心广东分中心进行分析,确定主要攻击源的IP地址。二是准确预判证据突破方向,建议本案定性及侦查方向确定为破坏计算机信息系统罪,引导公安机关重点做好具体侦查取证工作。
从办理过程来看,对于新型网络犯罪案件,检察机关通过适时介入侦查,有利于会同公安机关研判定性并引导侦查取证方向,强化规范取证,为审查逮捕、审查起诉扫清障碍,提高诉讼效率。因此,对于重大、疑难、复杂的新型网络攻击犯罪案件,检察机关可以在适时介入侦查阶段提出以下法律意见:一是对案件定性、犯罪构成和侦查方向等主要问题提出意见,统一思想,及时形成合力。二是引导公安机关及时调取证明网络攻击犯罪发生、证明危害后果达到追诉标准的证据。三是引导公安机关调取证明网络攻击是犯罪嫌疑人实施的证据。四是引导公安机关调取各犯罪嫌疑人构成共同犯罪以及地位作用的证据。五是在提出侦查意见时,明确指出每一项证据的侦查目的,及时了解情况,为侦查工作提供必要的引导和指导。
指导价值之二:总结出新型网络犯罪案件的各项审查规则。
一是事实认定方面的审查规则。具体包括:(1)通过委托专业技术人员对收集提取到的电子数据等进行检验、鉴定,结合在案其他证据,明确网络攻击类型、攻击特点和攻击后果,证明网络攻击犯罪发生、证明危害后果达到追诉标准。(2)通过专门技术对攻击源进行分析,溯源网络犯罪路径;核查IP地址、网络活动记录、上网终端归属,核实犯罪嫌疑人网络身份与网络终端、存储介质间的关联性;核实犯罪嫌疑人网络身份与现实身份的同一性,证明犯罪嫌疑人实施了攻击行为;调取犯罪嫌疑人在实施网络攻击后威胁被害人的证据,认定攻击事实和因果关系。对于网络攻击类型和特点与犯罪嫌疑人实施的攻击一致,攻击时间和被攻击时间吻合的,可以认定网络攻击系犯罪嫌疑人实施。(3)网络攻击类犯罪多为共同犯罪,通过审查各犯罪嫌疑人的供述和辩解、手机通信记录等,通过审查自供和互证的情况以及与其他证据间的印证情况,查明各犯罪嫌疑人间的犯意联络、分工和作用,准确认定主、从犯。
二是对被害单位提供的证据和技术支持意见的审查规则。网络攻击类犯罪案件具有高度专业性、技术性的特征,受害方多为互联网企业,在打击该类犯罪中,司法机关往往需要借助被攻击的互联网企业在网络技术、网络资源等方面的优势,进行溯源分析或对攻击造成的危害进行评估。互联网企业既是受害方,又是技术支持的协助方,必须特别注意审查取证过程的规范性,以确保被害单位提供的证据客观真实。有条件的,应当聘请专门机构对证据的完整性进行鉴定;条件不具备的,应当要求提供证据的被害单位对证据的技术逻辑要素作出合理说明。同时,要充分运用印证分析审查思路,将被害单位提供的证据与在案其他证据,如从犯罪嫌疑人处提取的电子数据、社交软件聊天记录、银行流水、第三方机构出具的鉴定意见、犯罪嫌疑人供述等证据作对照分析,确保不存在人为改变案件事实或改变案件危害后果的情形。
三是认定危害后果的审查规则。对于破坏计算机信息系统的危害后果,实践中往往倾向于依据犯罪违法所得数额或造成的经济损失认定。但是在一些案件中,违法所得或经济损失并不能全面、准确反映犯罪行为所造成的危害。有的案件违法所得或者经济损失的数额并不大,但网络攻击行为导致受影响的用户数量特别大,有的导致用户满意度降低或用户流失,有的造成了恶劣社会影响。对这类案件,如果仅根据违法所得或经济损失数额来评估危害后果,可能会导致罪刑不相适应。因此,办理破坏计算机信息系统犯罪案件时,注意从维护公共秩序的角度,收集、固定能够证实受影响的计算机信息系统数量或用户数量、受影响或被攻击的计算机信息系统不能正常运行的累计时间、对被害企业造成的影响等证据,对危害后果作出客观、全面、准确认定,做到罪责相当、罚当其罪。
(作者为广东省深圳市检察院四级高级检察官蔡君辉)