对《刑法》第285条规定若干问题研究

对《刑法》第285条规定若干问题研究近年来，随着计算机技术的快速发展和应用范围的普及扩大，非法侵入计算机信息系统等危害计算机信息系统安全犯罪以及利用计算机进行各种刑事犯罪的情况日趋严重。这对国家安全、公务活动等构成了严重威胁，也极大地扰乱了社会管理秩序，增加了社会不和谐因素。因此，加强新形势下此类犯罪及法律适用问题研究，对于有效遏制和准确打击犯罪，具有重要的现实意义。一、关于《刑法》第285条规定的立法完善1997年颁布并实施的《刑法》，第285条仅规定了新增加的非法侵入计算机信息系统罪一个罪名。该罪是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。显然，当时立法的目的旨在通过严厉打击非法侵入国家重要领域计算机信息系统的行为，切实保障涉及国家安全、经济发展和人民生命财产安全等关系国计民生方面的重要计算机信息系统的安全。然而，立法的进步与完善需要司法实践的检验与助推。《刑法》第285条规定的立法完善亦是如此。自1997年以来，该条规定在回应社会形势发展和司法实践要求方面，已适时进行了一定的修正和调整。主要为：（一）扩大了保护对象。1997年《刑法》第285条规定的非法侵入计算机信息系统罪，其保护对象和范围仅限于国家事务、国防建设、尖端科学技术领域等特定的计算机信息系统。但随着信息社会发展、计算机的普及应用和利用计算机实施其他犯罪的日益增多，该罪的保护对象和范围显得过于狭窄，明显与社会发展要求和计算机应用现状不相适应，且不利于有效遏制和惩处计算机犯罪。因此，2009年2月28日，全国人大常委会发布的《刑法修正案（七）》对该条规定作出了必要修正，分别将侵入特定计算机信息系统以外的计算机信息系统“或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的”行为，以及“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的”行为，作为该条的第2款、第3款规定一并入罪，从而扩大了刑法的保护对象和范围。（二）完善了刑事处罚。我国刑罚的基本形式包括自由刑和财产刑。1997年《刑法》第285条规定在对非法侵入计算机信息系统罪的处罚上，尚缺乏对该罪所造成的直接或间接经济损失等严重社会危害性的充分考虑，以致仅设置了“处3年以下有期徒刑或拘役”的自由刑，使该罪不仅量刑偏轻，且无可供适用的财产刑。而《刑法修正案（七）》亦未对该罪的刑罚格局作出修正，但对该条新增加的第2款非法获取计算机信息系统数据、非法控制计算机信息系统罪和第3款提供侵入、非法控制计算机信息系统程序、工具罪，依据行为的“情节严重”和“情节特别严重”等社会危害程度，分别设立了“处3年以下有期徒刑或拘役”和“处3年以上7年以下有期徒刑”两个量刑档次，并设置了并处或单处罚金的财产刑，使刑事处罚逐渐趋于合理。（三）增加了单位犯罪。1997年《刑法》第285条将非法侵入计算机信息系统罪的主体仅限定为自然人，而未将单位纳入其中。《刑法修正案（七）》亦未将单位作为该条第1至第3款规定之罪的犯罪主体。虽然司法实践中此类危害计算机信息系统安全的犯罪以个人犯罪居多，但这并不是说单位指使个人实施计算机犯罪、或个人故意以单位名义或单位形式实施计算机犯罪的情况就不可能发生或一概不会发生。为之，最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《两高解释》）以扩张解释的方式对此进行了司法弥补，首次将单位吸纳为此类危害计算机信息系统安全犯罪的主体，其第8条规定：“以单位名义或者单位形式实施危害计算机信息系统安全犯罪，达到本解释规定的定罪量刑标准的，应当依照刑法第285条、第286条的规定追究直接负责的主管人员和其他责任人员的刑事责任。”《刑法》第285条规定的不断完善，对于增强惩处非法侵入计算机系统等危害计算机信息系统安全犯罪的力度，遏制其孳生和发展态势，确实具有积极作用。但从立法与司法层面看，该条规定仍有进一步完善的必要和空间。一是单位犯罪问题。虽然《两高解释》已将单位列为非法侵入计算机系统等危害计算机信息系统安全犯罪的主体，但是，对于单位能否成为某一个罪名或某一类犯罪的主体，并非司法中的法律适用问题，应由国家立法机关作出规定。“两高”的扩张解释虽在一定程度上弥补了立法的不足与司法的困惑，但从严格意义上看，似有超越立法权限之嫌，与法治要求有所不符。因此，建议由立法机关对此作出明确规定，以进一步完善《刑法》第285条规定，并确保国家立法的严肃性和法律的统一正确实施。二是刑事管辖权问题。随着国际互联网的建立和迅速发展，网络环境已成为国家领陆、领水、领空以及浮动领土之外的“第五空间”，通过网络“抽象越境”实施跨国犯罪的行为明显增加。[1]因此，在依照国际公约或双边、多边达成的协议的同时，建议我国刑法典应明确对中国境外实施的针对中国境内的计算机信息系统的危害安全行为具有刑事管辖权。尽管其实施会存在一定争议，“但是司法权的拥有只是一个前提，司法权的实际行使和实施却是另一个问题”。[2]对非法侵入计算机信息系统等危害计算机信息系统安全的犯罪，可采取有限管辖原则，即在属人管辖之外，以犯罪行为对我国国家主权和公民正当权益的侵害或者影响关联性为标准来确定是否具有刑事管辖权，存在关联的，则享有刑事管辖权，没有关联的，则不享有刑事管辖权；同时适用于传统保护管辖原则的某些规则应予继承，如行为人行为时所在地国家和管辖国均认为该行为属于犯罪等标准。[3]二、关于《刑法》第285条规定之罪的要件构成从《刑法》、《刑法修正案（七）》以及两高《解释》的相关规定看，《刑法》第285条规定之罪的要件构成主要为：（一）犯罪客体。其侵犯的客体是国家重要领域以及其他计算机信息系统的安全和管理秩序。行为对象既包括国家事务、国防建设、尖端科学技术三个重要领域的计算机信息系统，也包括除此之外的其他计算机信息系统。虽然我国《刑法》将其均列入妨害社会管理秩序类罪中，但应当看到，行为人在实施非法侵入计算机信息系统等行为的同时，必然直接严重危害诸如国家安全、经济发展和人民生命财产安全等其他社会利益，因而其侵犯的客体并不仅局限于社会管理秩序，而是复杂客体。（二）犯罪客观方面。其客观上表现为违反国家规定，非法侵入国家重要计算机信息系统的行为，以及非法侵入其他计算机信息系统或者非法获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制的行为。但上述客观行为在构成犯罪方面是有区别的，如果行为人侵犯的对象为国家重要计算机信息系统的，那么，只要实施了非法侵入行为，即可构成本罪；如果侵犯的对象为非国家重要计算机信息系统的，则需在实施了非法侵入、控制或获取相关数据行为的同时，还必须达到“情节严重”的程度，才能构成犯罪。（三）犯罪主观方面。其主观上应当是故意犯罪，而过失则不构成本罪。即行为人明知自己的行为违反国家规定并会产生非法侵入国家事务、国防建设、尖端科学技术领域以内或以外计算机信息系统的危害结果，仍故意实施非法侵入、控制或获取相关数据的行为，且希望这种结果发生。（四）犯罪主体。其主体为一般主体，即为达到法定责任年龄、具有刑事责任能力、实施了非法侵入计算机信息系统等行为的人。通常为具有较高计算机专业知识和娴熟的计算机操作技能的计算机程序设计人员或计算机管理、操作、维修保养人员等。而根据《两高解释》规定，单位亦能成为非法侵入计算机信息系统等危害计算机信息系统安全犯罪的主体。三、关于《刑法》第285条规定之罪与利用计算机实施的其他犯罪的区别《刑法》第287条规定：“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。”认真研析《刑法》第285条、第287条规定，可以看到非法侵入计算机信息系统等犯罪与利用计算机实施的其他犯罪之间是既有联系又有区别。从联系上看，二者均为故意犯罪，都对计算机信息系统实施了非法侵入的行为，且其行为都具有严重的社会危害性和应受刑事处罚性。从区别上看，一是目的内容有所不同。前者行为人一般是以炫耀或显示自己所具有的“黑客”手段或能力为目的；而后者行为人则是以非法占有国家、公司或他人财产为目的，或者以个人的政治、经济及其他利益等为目的。二是犯罪对象有所不同。即犯罪所直接指向的对象或目标不同。前者的犯罪对象一般直接指向于计算机信息系统，并可能对计算机信息系统内信息、数据的安全性、完整性、准确性和保密性构成直接或间接的威胁和危害；而后者的犯罪对象则指向于计算机信息系统内的以数据形式存在的公私财产或者具有一定价值的程序和国家秘密等，即行为人是以非法侵入计算机信息系统为犯罪的手段行为，以实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密等为犯罪的目的行为。三是所涉罪名有所不同。前者一般涉及《刑法》第285条规定的非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪，而后者所涉罪名较广，有可能既涉及《刑法》第285条规定之罪，又涉及金融诈骗、盗窃、贪污、挪用公款、非法获取国家秘密罪等其他罪名。四是定罪处罚有所不同。前者一般仅以《刑法》第285条规定之罪予以定罪处罚，后者则可根据不同情况，或以利用计算机实施的其他犯罪予以定罪处罚，或以《刑法》第285条规定之罪和利用计算机实施的其他犯罪实行数罪并罚。例如，当有证据证明行为人先是出于猎奇目的或为炫耀个人的“黑客”技能而非法侵入计算机信息系统的，后因发现系统内的国家秘密而窃取的，基于其前后两个行为是分别在两个犯罪意图支配下实施的，且两个行为又分别符合两个犯罪的要件构成，故应当实行数罪并罚。四、关于《刑法》第285条规定之罪行为中的“法条竞合”和“牵连犯”问题对于《刑法》第285条规定的非法侵入计算机信息系统等行为中是否存在“法条竞合”问题，笔者是持否定观点的。从法理上看，“法条竞合”是指一个犯罪行为同时触犯数个具有包容关系的具体犯罪条文，依法只适用其中一个法条定罪量刑的情况。其特征表现为：1、行为人基于一个罪过，实施了一个犯罪行为；2、行为人实施的一个犯罪行为在形式上触犯了数个法条，符合数个性质不同的犯罪构成；3、数法条的犯罪构成之间具有包容与被包容的重合关系。例如，行为人在明知无国家烟草制品专卖许可证的情况下，实施了销售数额巨大的各类品牌假烟的行为。该行为由于同时触犯了《刑法》第225条、第214条、第140条规定，因此分别构成了非法经营罪、销售假冒注册商标的商品罪和销售伪劣产品罪。但该行为是出于一个罪过而实施的一个犯罪行为，虽在形式上触犯了数个法条并构成数罪，且数罪构成之间具有互相包容的重合关系，因而只能认定其为一罪，而不能对其实行数罪并罚。对于此类“法条竞合”的情况，一般是以特别法优于普通法为原则来选择适用的法条，只有当刑法明文规定适用较重的普通法时，才能排除特别法的适用。故依照相关司法解释的规定，该行为应当以处罚较重的销售伪劣产品罪来定罪处罚。然而，《刑法》第285条规定的非法侵入计算机信息系统等行为中则并不存在“法条竞合”情况。例如，行为人违反国家规定而非法侵入计算机信息系统，并实施了窃取该系统中存储的国家绝密资料和数据的行为。从表面上看，行为人非法侵入计算机信息系统是其窃取系统中国家秘密的必经阶段，其行为似乎是一个犯罪行为同时触犯了《刑法》第285条、第282条规定，分别构成非法侵入计算机信息系统罪和非法获取国家秘密罪，但事实上该行为包含有非法侵入计算机信息系统和窃取该系统中存储的国家绝密资料与数据两个行为，且所触犯的数罪构成之间并不存在包容与被包容的重合关系，因此该行为并不符合“法条竞合”的法律特征。而根据《刑法》第287条之规定，该行为应认定为利用计算机实施的非法获取国家秘密罪。从这个意义上来认识，《刑法》实际上否定了非法侵入计算机信息系统等行为中存在“法条竞合”的情况，并基于非法侵入计算机信息系统后又实施其他犯罪行为的本质已构成数罪