非法侵入计算机信息系统罪的比较研究

[内容摘要] 非法侵入计算机信息系统罪，作为一种基本的计算机犯罪类型，为世界各国所重视，可以说无一例外的存在于所有惩治计算机犯罪的刑事立法中，但是关注的视角以及刑罚打击的宽严程度却存在差异。本文主要从犯罪的主体、犯罪的主观方面、犯罪的客观方面、犯罪对象、法定刑及其缺陷五方面进行比较研究。
[主题词] 非法侵入计算机信息系统罪 计算机信息系统 犯罪主体 犯罪的主观方面 犯罪的客观方面 犯罪对象 法定刑
非法侵入计算机信息系统罪，是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。所谓计算机信息系统，根据1994年2 月18日国务院颁布的《计算机信息系统安全保护条例》第2条的规定，是指计算机及其相关的配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
一、非法侵入计算机信息系统罪的犯罪主体。
非法侵入计算机信息系统罪的犯罪主体，在各国刑事立法中并不完全一致，而是各有特点，有所差异。
（一）中国刑法中对于犯罪主体的规定
在中国刑法中，非法侵入计算机信息系统罪的主体是一般主体。凡是达到刑事责任年龄和具备刑事责任能力的人均可构成本罪。在司法实践中本罪的主体一般是具有相当水平的计算机操作人员。这些“侵入者”主要是“计算机玩童”，他们侵入计算机信息系统往往是出于好奇，或者是为了恶作剧，有的则是为了检测自己的计算机技能。①实际上，犯罪主体多数属于青年人的这种情况，在世界各国均是大同小异。例如根据美国国防部的统计，在针对美国五角大楼计算机系统的黑客攻击事件中，许多黑客都是十几岁的计算机高手。② 例如，取名为“分析专家”的埃胡德?特内鲍姆伙同美国一个取名为“马卡韦利”的十几岁男孩一起搞黑客行动，在他被捕时，他声称自己知道约400个进入美国国防部计算机系统的方法。但是，不可否认，以窃取、非法持有、非法散布各类秘密为目的的非法入侵者在客观上是大量存在的，而且显然其危害更为严重。
（二）外国关于犯罪主体的规定
美国法典第18篇第47章第1030条“与计算机有关的欺诈及相关活动”（1996年10月11日修正）规定的非法侵入计算机罪的犯罪主体，是“任何人”，1994年澳大利亚犯罪法第VIA篇第76条规定的非法访问计算机罪的犯罪主体是“个人”；荷兰计算机犯罪法第138条A规定的非法访问罪的犯罪主体为“任何人”；加纳计算机犯罪法（草案）第1条规定的非法访问计算机罪的犯罪主体也是“任何人”。[page]
（三）中外刑法中犯罪主体之比较
1、单位是否可以成为本罪的主体
关于单位可否成为本罪主体的问题，学术界存在不同的观点。少数学者认为，单位可以构成本罪主体。其理由是，1994年国务院颁布实施的《中华人民共和国计算机信息系统保护条例》第7条规定:“任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机系统的安全。“任何组织”一语自然包括单位，因此单位也可以构成。①而多数学者则认为，本罪的主体只能由自然人构成。②其理由是，《刑法》第30条规定：“公司、企业、事业单位、机关、团体实施的危害社会的行为，法律规定为单位犯罪的应当负刑事责任。”
根据该条规定，只有法律明文规定单位可以成为本罪的主体，因而本罪的主体只能是自然人。笔者认为，从《中华人民共和国计算机信息系统保护条例》是行政法规，不能因为行政法规禁止“任何组织”危害计算机系统的安全，从而推定单位可以构成本罪。所以，笔者赞成后者的观点。
这里应当指出的是，虽然我国刑法没有将单位规定为非法侵入计算机信息系统罪的主体，但是对于本罪而言，单位犯罪在计算机普及程度将来有极大提高后肯定会大量的出现，这一点在西方国家的立法中已有反映。
2、境外人员实施此类危害行为的刑事责任
近年来较为典型的一个跨国界的计算机犯罪的案例是几名联邦德国的学生通过国际互联网进入美国国防部为克格勃窃取军事机密一案。此案跨越多国国境，具体案情为：这几名学生先从原西德登录到日本，然后从日本登录到美国一所大学，再从这所大学登录到美国国防部的军用计算机信息系统并进行秘密窃取军事机密。①对于此种跨国境的非法侵入计算机信息系统罪的案件，如果所侵入的计算机信息系统是在我国境内，则显然应当适用我国刑法，依法追究非法侵入者的刑事责任，对此我国刑法学界没有异议。
但是，有的学者认为，对于此类行为人处于我国境外，通过互联网络实施的非法侵入我国国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为，适用我国刑法的根据是刑法总则第8条，即：“外国人在中华人民共和国领域外对中华人民共和国国家或者公民犯罪，而按本法规定的最低刑为3年有期徒刑的，可以适用本法，但是按照犯罪地法律不受刑罚的除外。”①对此观点有的学者持有不同意见，认为适用我国刑法的根据是刑法总则第6条第3款，即：“犯罪的行为或者后果有一项发生在中华人民共和国领域内的，就认为是在中华人民共和国领域内犯罪。”②[page]
笔者赞同后一种观点，因为此类跨国犯罪的犯罪行为虽然不在我国境内实施，但是犯罪结果显然是发生在我国领域内的，因而显然符合该条规定。
另一方面，虽然直接的适用我国刑法的地域管辖权是可行的，但是管辖方式并不限于此。例如英国《滥用计算机法》就规定：只要被侵入的计算机在英国，该法就适用、而不论行为实施者在何处。笔者认为这种立法方式是可资借鉴的。
二、非法侵入计算机信息系统罪的犯罪主观方面
（一）犯罪目的的问题
我国刑法典所规定的非法侵入计算机信息系统罪，并没有在立法上限定特别的犯罪目的，因而出于任何目的而实施的非法侵入计算机信息系统的犯罪行为，均可以定罪量刑。但是其他国家则存在有些不同的规定。大体包括以下三种立法方式：
1、立法上规定明确的犯罪目的。例如加纳计算机犯罪法（草案）认为，非法侵入计算机信息系统罪的犯罪目的，在于以下两个方面：一是为本人或者他人获得利益：二是破坏他人的利益。
2、不需要明确的犯罪目的，只要意识到是越权访问即可。例如，1994年澳大利亚犯罪法第VIA篇认为，犯罪人主观不需要具备特别的犯罪目的，只要具备“蓄意或者未经许可”的主观态度即可。
3、行为人虽然越权访问，但是必须在推定其有特定犯罪目的的情况下才构成犯罪。例如，美国法典第18篇第47章第1030条则规定：犯罪人虽然“未经许可或者超越许可范围”故意访问计算机，但是，必须在“有理由相信其获得上述信息，将损害美国利益，后者有利于任何其他国家的有目的地通告、递送、传播、或者导致被通告、递送、传播，或者试图通告、递送、传播给无资格接受该信息的人。”
相比较而言，我认为，由于本罪的立法本质在于打击可能发生和进行的、非法侵入计算机信息系统后的进一步犯罪行为，因而似乎中国的刑事立法对于犯罪目的不作专门性要求更为合理一些。
（二）过失能否构成犯罪的问题
国内有的学者认为过失也可以构成犯罪，笔者不赞同这种观点。众所周知，我国刑法以处罚故意犯罪为原则，以处罚过失犯罪为例外，因而现行刑法第15条第2款规定：“过失犯罪，法律有规定的才负刑事责任。”这一规定意味着，对于某一犯罪行为，只有当法律明确规定处罚其过失犯罪的，才能对过失犯罪的行为追究刑事责任。而由于现行刑法未规定过失行为可以构成非法侵入特定计算机信息系统罪因此本罪的主观方面只能是故意而不可能是过失。另外，从实践中发生的案例来看，非法侵入行为一般情况下也只能是故意，因为各类计算机信息系统一般均有特殊的控制访问机制也即安全保卫机制，这对于作为本罪犯罪对象的国家事务、国防建设、尖端科学技术领域的计算机信息系统而言更是如此，因此行为人如果不做技术等方面的努力一般是不可能破译密码。而突破此类安全保卫机制或者成功绕过此类安全保卫机制的纯过失的误入此类计算机信息系统的行为是不存在的。[page]
三、非法侵入计算机信息系统罪的犯罪客观方面
非法侵入计算机信息系统罪，客观方面表现为：
（一）“违反国家规定”是本罪的特定犯罪前提，所谓违反国家规定，主要是指违反《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和《中华人民共和国保守国家秘密法》等法律、法规、规章和命令。如果行为人访问计算机信息系统没有违反国家规定，即访问是合法的，或者经过国家事务、国家建设、尖端科学技术领域主管单位领导授权进入计算机信息系统的，不能构成本罪。
（二）行为人实施了非法侵入国家事务、国防建设、尖端科学技术领域的计算机系统的行为。所谓“侵入”，是指非法或越权“访问”计算机信息系统的行为。这里所说的“访问”，是指对一定计算机信息系统进行探望并与之交流；这里所说的“交流”，是指信息的输入与输出。没有输入就没有输出，这是计算机信息系统的特征。所以，访问计算机信息系统,就是有目的的对一定计算机信息系统进行探问和操作过程。为了维护信息安全，国家事务、国家建设、尖端科学技术领域的计算机信息系统，都设置了严密的访问控制机制。所谓控制机制，亦称安全防护体系，是指禁止和控制非法用户进入计算机信息系统，防止其浏览目录，打开文件、进行操作的一系列“协议”（规则）、加密措施和其他技术防护手段的有机整体。因此，非法侵入计算机信息系统的行为，通俗的说，是指未经允许，采取破密解码等技术手段，突破、穿越、饶过或解除特定计算机信息系统的访问控制机制，擅自进入该系统窥视偷览信息资源的行为。
从访问权限看，侵入行为可分为内部侵入和外部侵入两种：前者是指合法用户越权访问计算机系统资源的行为，即入侵者在被侵入者的系统有一定访问权限和合法的账号，但未经授权对无权访问的系统资源进行访问；后者是指非法用户访问计算机信息系统的行为。目前，发生侵入的行为方式主要有以下几种：（1）利用他人的访问密码，冒充授权用户进入计算机信息系统。其获取他人访问代码的方式可能是偷窃来的，也可能是利用特洛伊木马术而得。（2）乘机而入。利用授权用户输入口令后获取访问，或者利用授权用户结束使用但未退出联机之前的时间差获取访问口令的一种方法。（3）利用‘口令破译程序’。是可以破开或者屏蔽口令保护程序的。几乎所有的多用户系统都利用口令来防止非法登陆，而口令破解程序者经常利用有缺陷的保护口令来进行攻击。（4）利用电子欺骗技术。电子欺骗是利用目标网络的信任关系，即计算机之间的信任关系来获取计算机系统非授权访问的一种方法。例如，IP电子欺骗，就是伪造他人的源IP地址。其实质就是让一台机器来扮演另一台机器，籍以达到蒙混过关目的。入侵者不用输入用户帐号和密码，就可以侵入目标系统。（5）利用安全漏洞。安全漏洞是指任何非法用户未经授权便可以获得访问或提高其访问权限的硬件或软件特征。它存在不同类型的侵入漏洞，主要表现为如下几个方面：一方面是存在内部人员未经授权而提高其访问权限的漏洞。这种漏洞一般是在应用程序中被发现的，行为人利用它实施非法侵入行为。例如sendmail问题，行为人通过控制sendmial环境，可以用 root权限让sendmail运行这一程序。但有些常见的编程错误也会导致这种漏洞的产生，例如缓冲区溢出问题也会导致用户来获许root权限， Morris蠕虫就是利用缓冲区溢出来顺利传播的。①另一方面是存在外部行为人（在远程主机上）未经授权通过网络获得访问权限的漏洞。这种漏洞主要是由于较差的系统管理或设置有误造成的。典型的设置错误是任何存放在驱动器上的例子脚本，这些脚本有时会为来自网络空间的侵入者提供优先的访问权限甚至较大的访问权限（最近美国政府站点就是由于这个问题引起的）。每个平台无论是硬件还是软件都存在漏洞。侵入行为的未遂与既遂： [page]
有的学者认为，本罪是行为犯，只要查证行为人有侵入信息系统的事实，即构成犯罪既遂。①有的学者持向是相似观点，同时进一步指出，本罪的既遂并不要求讲行为侵入信息系统行为产生结果作为成立犯罪的必要条件。据此论者认为，本罪的犯罪形态状存在犯罪预备，犯罪中止和犯罪既遂三种形态而没有犯罪未遂状态，而判断犯罪预备与犯罪既遂界限的标准应当是行为的入侵行为是否一突破或者绕过系统的安全机制。②
笔者不赞成这种观点。尽管对于本罪而言，只要行为人有非法入侵特定计算机信息系统的行为既可构成犯罪，而对行为人非法入侵特定计算机信息系统后是否实施其他行为或者是否造成其他后果并无特殊要求，但这并不足以说明本罪是行为犯，更不能由此判断本罪不存在犯罪未遂。非法侵入特定计算机信息系统的行为是一个完整的行为，可能停止在任何未完成形态。如试图非法侵入国防建设的计算机信息系统而多次尝试攻击，但由于个人技术欠缺而均告失败的，显然属于犯罪未遂。事实上，实践中所发生的绝大多数试图侵入均未成功的，成功入侵的行为据统计只占全部攻击次数的15%左右。
四、非法入侵计算机信息系统罪的犯罪对象。
在现实生活中有一部分非法侵入的犯罪行为其目的是为显示超群才智，以单纯破解安全密码为目的，换言之，其目的是单纯的非法侵入计算机信息系统内部，以显示安全控制机制对其并不起任何阻碍作用，而非是针对计算机信息系统内部所存储的数据和秘密的，似乎未造成实质上的重大损害。但事实并非如此，这真如有的学者所言，一个被侵入的计算机中心，其心理及精神上的损失是无法估计的，被害人的安全系统势必重新布置，严加防范，实践上和精力上的花费都很大。① 也就是说非法入侵计算机信息系统，犯罪人虽然在表面上看不一定获得什么利益，被侵入的计算机信息系统，也不应定发生什么变化，从表面上看这种行为似乎没有造成什么危害，但是事实上对计算机系统成功的侵入执行势必使得整个计算机系统的安全系统进行重新构置，耗费的人力物力甚大，同时计算机系统所有者对资料的安全性在心理和物质上造成的损害甚至是难以估量的。①
（一） 国外刑法规定的具体犯罪对象的范围
国外刑事立法对非法入侵计算机信息系统罪的犯罪对象的范围，有些国家没有明确的规定，也就是认为只要属于非法侵入行为，严重的均可构成犯罪。但是比较成熟的刑事立法，均规定了相对固定的犯罪对象范围。如：美国法典第18篇第47章第103条“与计算有关的欺诈及其相关活动”（1996年10月11日修正），对于非法侵入计算机罪的犯罪对象没有明确的加以限定，但是从侧面加以规定，并且因不同侵入对象而规定了不同侵入对象行为构成犯罪的程度。[page]
（二） 中国刑法规定的犯罪对象的范围
中国刑法典第285条规定的非法侵入计算机信息系统罪的犯罪对象范围是法定的，换言之，并非所有的计算机系统均可成为本罪的犯罪对象。也就是说，行为人所非法侵入的计算机信息系统，仅限于国家事务、国防建设、尖端科学技术领域的计算机信息系统。所谓“国家事务”计算机信息系统，一般认为，应当是指涉及国家政治、外交等重大事项的计算机信息系统；所谓“国防建设”计算机信息系统，一般是指由军事部门建设的、涉及国家安全和军事秘密的所有计算机信息系统；所谓 “尖端科学技术领域”计算机信息系统，一般应当是指国务院、国家科委、国防科工委等确定的居世界领先地位的科技项目的计算机信息系统。
因此，根据中国刑事立法的规定，非法侵入其他计算机信息系统的，不构成本罪，但是可能构成其他犯罪。
五、非法侵入计算机信息系统罪的法定性及其缺陷
各国对于非法侵入计算机信息系统罪的法定性规定各有特色，相比较而言，中国刑法所规定的法定刑较轻，由此而导致了许多负面效应。
（一） 国外刑事立法中的法定刑设置
美国法典第18篇第47章第1030条“与计算机有关的欺诈及其相关活动”（1996年10月11日修正）对于非常侵入计算机信息系统的行为，在处罚上规定了极为细致的规则。例如，犯本罪的，一般情况下，处以罚款或者20年以下监禁，或者在下列情况下并处：在其中一项攻击定罪后，另一项攻击没有被发现，或者试图发动应处罚的攻击。同时，本罪可以处罚款或者20年监禁，或者在下列情形下两者并处：在其中一项攻击定罪后，另一项攻击被发现，或者试图发动应处罚的攻击。同时，美国法典还规定，犯罪目的可能影响到处罚，例如，如果侵犯金融机构的计算机，且犯罪目的是出于商业利益和私人经济利益，或者目的是协助反美国或任何州的宪法或法律规定的任何犯罪或不法行为，或者实际获取的利益超过5000美元，则应当处以罚款并处五年以下监禁。
（二）中国刑法中的法定刑设置及其适用上的影响因素
根据中国现行刑法第285条的规定，犯非法侵入特定计算机信息系统罪的，处3年以下有期徒刑或者拘役。对于非法侵入计算机信息系统罪的刑罚适用，笔者认为应当考虑一下两个方面的因素：（1）所侵入的计算机信息系统的重要性。对于非法侵入计算机信息系统行为的处罚是对危害国家事务秘密、国防建设秘密和尖端科学技术秘密的法定保护，避免此类秘密的泄漏。因而对于非法侵入计算机信息系统的行为适用刑罚的一个重要原则，是考虑非法侵入的计算机信息系统的属性及其重要程度。（2）其他情节因素。具体而言，影响本罪刑罚使用的可能有以下情节：非法侵入前述三类计算机信息系统的次数、范围;所造成的实际影响程度;是否有已经构成其他犯罪的后续性行为等。具有以上所属情节的，应当在法定刑罚幅度内适用较重的法定刑;没有上述情节，仅仅是非法侵入后即自行离开的，可以在法定刑罚内适用较轻的刑罚。[page]
（三） 法定刑过低导致的负面影响
中国刑法典关于非法侵入计算机信息系统罪的法定刑设置存在较大的问题。目前的法定刑为“三年以下有期徒刑或者拘役”。但是，众所周知，非法侵入计算机信息系统的犯罪行为是一种通过网络所实施的行为，其行为人可能处于本国以内，也可能处于世界任何一个角落。犯罪人与中国国境以外实施针对中国国境内的计算机信息系统的非法侵入行为已经大量出现，而且呈日益增加之势而当犯罪人出于本国境内时，中国刑法典虽然具有管辖权，但是却不得不受到两个方面的限制：其一，导致管辖权实施的法律问题的争议。对于这一点，在前面探讨犯罪主体问题时已经有所讨论，在此不再讨论。其二，虽然中国刑法典对于此类犯罪拥有无可争议的管辖权，但是司法权的拥有是一个问题，司法权的实施却是另一个问题。而中国刑法关于非法侵入计算机信息系统罪的法定刑设置，则无形中在逻辑上将自己置于非常尴尬的境地，即置司法权于无法实现的境地之下。具体而言，由于犯罪人是处于中国领域外犯罪，因而对于犯罪人刑罚责难和刑罚执行均必须以中国司法机关实际实现了对犯罪人的实际控制为前提，而这一条件的实现方式之一，即是通过对犯罪人的引渡等司法协助措施来实现。但是众所周知，根据引渡的国际惯例，引渡的条件之一即是行为人所犯的犯罪的最低刑为三年以上有期徒刑。此种情况表明，中国1997年刑法典在设立非法侵入计算机信息系统罪时，并没有充分考虑此种犯罪行为的常见跨国性特点。基于此种情况，笔者认为，在可能的条件下，应当尽快提高非法侵入计算机信息系统罪的法定刑标准，以严厉打击处于国外的跨国“黑客”所实施的非法侵入行为。
随着计算机在生活、学习、工作中的日益普及，为我们的生活、学习、工作提供更大方便的同时，我们也应该看到计算机犯罪也逐步增加。这还需要我国从立法、科学技术等方面保障和监督人们对计算机的正确使用，以使计算机发挥它更重要的作用。（本文7669字）

---------------------------
注释：
[1]胡国平：《关于计算机犯罪的认定》，载《法律科学》1997年第4期
[2]《网络大战，来去无踪》，载《参考信息》1999年3月10日第7版
[1]姚茂文：“计算机犯罪及实践问题”，《人民检察》1997年第7期，第10页
[2]高铭暄、马克昌主编：《刑法学》（下编），中国法制出版社1998年版，第958页
[1]徐榕生等：《黑客—游荡在INTERNET上的又一“幽灵”》，载《电脑报》1995年12月29日第4版[page]
[1]姚茂文：《计算机犯罪及实践问题》，载《人民检察》1997年第7期
[2]姚青林：《论侵入重要领域计算机信息系统罪》，载《人民检察》1997年第8期
[1]《网络最高安全技术指南》，机械工业出版社，Sams.net Publish-ing 1998年版，第236条
[1]胡国平：《关于四种计算机犯罪的认定》，载《法律科学》1997年第4期
[2]姚青林：《论侵入重要领域计算机信息系统罪》，载《人民检察》1997年第8期
[1][美]刘江彬著：《计算机法律概论》，北京大学出版社1992年版，第157页
[1]孙铁成著《计算机与法律》，法律出版社1998年版，第52页