近期,兰迪律师事务所丁彦伶律师与嵇宇晨律师成功代理一宗涉嫌“提供侵入、非法控制计算机信息系统程序、工具罪”的刑事案件,通过近八个月的不断沟通与书面反馈,最终公安机关于2025年6月依法作出撤案决定。本文拟结合本案办案经验,梳理此类案件的辩护要点,进而分享本罪在司法实践中适用情况的若干观察与思考。
一、案件事实
2022年8月至2023年3月,行为人A开发并向行为人B、C、D出售名为“RdViewer”的远程控制软件,行为人B、C、D随后用该软件分别为多名参加SAT(Scholastic Assessment Test)、PTE(Pearson Test of English)等海外线上考试的考生,提供远程代考服务,实施作弊行为。
2024年11月,公安机关侦查终结,并建议以《刑法》第二百八十五条第三款“提供侵入、非法控制计算机信息系统程序、工具罪”追究A的责任,以第二百八十五条第二款“非法控制计算机信息系统罪”追究B、C、D的责任。经丁彦伶律师与嵇宇晨律师介入,向公安机关及检察机关提交多份书面材料,并多次线下沟通辩护意见,最终公安机关于2025年6月依法作出撤案决定。
法条链接:
《刑法》第二百八十五条第二款【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
《刑法》第二百八十五条第三款 【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
二、“提供侵入、非法控制计算机信息系统程序、工具罪”的构成要件审查
本案中,行为人因向他人提供远程操作类软件,被公安机关以《刑法》第二百八十五条第三款所规定的“提供侵入、非法控制计算机信息系统的程序、工具罪”移送审查起诉。辩护人丁彦伶律师、嵇宇晨律师围绕“涉案程序工具的属性”及“提供行为的实质基础”两个核心问题展开论证,系统分析涉案软件不构成法律意义上的“专门性”工具,并指出缺乏明确的下游犯罪事实,从而否定行为人构成该罪。
(一)“程序、工具”的法律认定标准
依据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条规定,《刑法》第二百八十五条第三款所称“专门用于侵入、非法控制计算机信息系统的程序、工具”,应具有以下功能特征之一:1. 能够避开或突破计算机信息系统安全保护措施,未经授权或超越授权获取计算机信息系统数据;2. 能够避开或突破计算机信息系统安全保护措施,未经授权或超越授权对计算机信息系统实施控制;3. 其他专门设计用于侵入、非法控制计算机信息系统或获取计算机信息系统数据的程序、工具。
该条司法解释中的关键表述“专门设计用于”,并未明确界定技术或功能边界,其外延较为模糊,容易导致执法、司法中对“程序工具”性质认定的泛化与扩大化。对此,该司法解释的起草者之一、最高人民法院法官喻海松在其文章中指出:“专门程序”应当是功能上仅服务于非法目的的工具,不包括那些既可用于合法场景、又可能被滥用的“中性程序”。判断标准应聚焦于程序是否具备如自动关闭杀毒软件、绕过防火墙等“绕过系统安全、防御机制”的功能,而非以行为人是否将其用于非法用途为唯一依据[1]。
喻法官还从授权角度阐释“专门程序、工具”与“中性程序、工具”的区别,如“网银大盗”程序在功能设计上即可在未经权利人授权情况下获取其网上银行账号、密码等数据;反之,像Windows系统自带的Terminal Service服务等通用性远程控制程序,广泛应用于企业运营中,其本身并无突破防护、自动控制系统的能力,使用亦需获得授权,故属于“中性程序”。
结合本案情节,涉案软件本质上仅提升了计算机摄屏功能的系统优先级,用于实现远程桌面共享,功能与Terminal Service等通用远程工具高度相似,既不具备突破安全防护的能力,也无法隐匿控制路径,必须经用户授权后方可使用,更未造成系统异常或破坏。因此,应认定该软件属于“中性程序”,不符合“专门用于侵入、非法控制计算机信息系统”的程序、工具认定标准。
(二)“提供行为”的定性与罪名适用
2009年《刑法修正案(七)》增设了“提供侵入、非法控制计算机信息系统的程序、工具罪”,意在打击网络空间中的“上游行为”,防范信息系统安全风险。[2]尽管该罪名在理论上引发了“网络帮助犯正犯化”与“帮助犯独立性”等诸多争议,但无论采用何种观点,均无法脱离共同犯罪的一般理论框架,不能将“提供行为”与“被帮助行为”完全割裂。[3]“提供侵入、非法控制计算机信息系统的程序、工具罪”的定性不应完全脱离被帮助行为的性质,即对下游犯罪是否存在、是否成立的具体查明十分关键。因此,该罪的成立应以存在“非法获取计算机信息系统数据、非法控制计算机信息系统”下游行为为前提,若被帮助行为不构成犯罪,应限制本罪的适用。
考虑到计算机程序的高度技术性与可塑性,其天然具有多用途属性,仅因某程序可能被用于非法目的即认定构罪,不仅偏离刑法谦抑性原则,也易导致打击范围的无节制扩张。尤其当程序本身并非“专门”用于非法侵入或控制计算机系统时,更需谨慎审查其具体使用情境。换言之,是否构成犯罪工具,必须结合其实际使用方式与下游实行行为一并审查。否则,将陷入“有犯罪工具,而无犯罪事实”的逻辑悖论。
以本案为例,涉案软件虽被用于协助考生完成考试,但其本质功能是实现远程桌面共享,不具备绕过平台安全机制的能力,亦未对任何计算机系统实施非法控制或获取数据,更未造成系统瘫痪或异常。换言之,所提供的软件既非“专门工具”,亦未支持“非法侵入、获取、控制”等行为,无法认定为帮助犯。
此外,即使程序开发的功能能够实现侵入或者非法控制计算机信息系统,仍需要从“实然”与“应然”二分的角度审查其是否造成了现实的破坏。故结合对于下游“实行行为”的具体审查,有助于衡量程序实际带来的风险与危害,有利于对程序进行全面、客观的评价。在信息化飞速发展的时代,依法细致厘清程序的性能与用途,既体现了法律作为社会发展“守夜人”的责任,也体现出司法对科技发展的尊重,是法律文明的题中应有之义。
综上,在缺乏“专用性”工具、无“非法侵入、获取、控制行为”的情况下,提供行为不具备入罪前提,公安机关移送的罪名不能准确涵摄行为实质。
三、“非法获取计算机信息系统数据、非法控制计算机信息系统罪”应限缩适用
当司法机关梳理明确计算机犯罪中应当指控的上游与下游犯罪的法理关系与逻辑关系时,意欲实现本案中对于行为人的指控就只能以非法获取计算机信息系统数据、非法控制计算机信息系统罪对本案件事实进行涵摄。由此处理也可以回应上文中对于入侵行为或者非法控制行为主体无法明确的疑问。但是以本罪进行指控同样存在着法律适用相关的问题,甚至在论证难度上要远高于前罪。下文将从犯罪对象与保护法益两个维度对该罪的适用基础进行系统拆解。
(一)判断侵害客体的三重检验路径
本案的事实构成有三方参与,即行为人,考生与考试组织方。以SAT为例,其考试模式是考生使用自有设备,下载官方软件并在特定场所完成答题。
要认定行为人实施了“非法控制”或“非法获取数据”,必须首先明确受侵害的计算机信息系统或数据对象。依据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条第一款的定义,计算机信息系统系指具备自动数据处理功能的系统,涵盖计算机、网络设备、通信设备、自动化控制设备等。[4]据此,有三条证成路径,第一条是论证行为人行为危害对象是考生自备的计算机设备,第二条是论证行为人行为对于SAT考试所依托的软件进行了入侵或者非法控制,第三条是论证行为人对于SAT考试中的数据进行了获取。
首先,第一条路径难以成立。考生自行下载安装涉案软件,使用前需要进行调试,且其对于屏幕操控完全知悉且许可,不满足“未经授权”要件。
其次,若假设侵害对象是SAT考试平台系统,本案所涉软件仅将计算机内摄屏的优先级提至最高,实现远程桌面控制,并无破坏、绕过SAT软件安全防护机制的技术能力,亦无权限提升等典型“入侵”行为,难以认定为非法控制。
最后,SAT考试题目本就由考生在系统授权范围内合法接触,行为人所见数据仅为考生正常可见范围,并未通过技术手段超出访问权限,更未对数据(考题)秘密性、完整性造成破坏,亦难以构成“非法获取”,第三条路径显然也不成立。
综上,对侵害客体进行三分分析,可见本案行为无一能满足罪名构成所要求的“非法”特征或“受保护对象”侵害程度,故从对象维度无法支撑入罪判断。
(二)明晰本罪法益保护边界,避免“口袋化”倾向
在刑法教义学框架中,计算机类犯罪旨在保护信息系统运行的机能安全,包括系统完整性、数据保密性与可用性,而非泛化为保护一切社会性目标。[5]然而,在司法实践中,存在“系统功能异质扩张”的适用倾向,即将本罪延伸用于保护系统外的社会利益,如考试公平、商业竞争、行政秩序等。此类扩张倾向,已被诸多学者批评偏离刑法谦抑性与罪刑法定原则。[6]
本案中,涉案行为的“目的”虽指向考试作弊,但考试公平本应由“组织考试作弊罪”等罪名规制,不属于计算机类犯罪保护法益。其次,SAT考试作为境外考试项目,其公平性本不属于我国刑法所调整的范畴,更无权借助本国刑法对其公平性进行保护或评价。
与此同时,随着物联网(IoT)与Web 3.0的加速发展,计算机、通信与网络技术已深入社会生活的各个角落,[7]若不严格界定信息系统犯罪的入罪标准,而是以“影响社会利益”为由进行兜底式打击,将导致该罪成为无限扩张的“口袋罪”。
司法机关作为法律实际效果实现的践行者,自然肩负起维护立法层面规范保护目的的重任。因此,应明确界定信息系统犯罪的规制范围:其应仅限于对数据及系统自身的秘密性、可用性与完整性的侵害。技术行为的社会后果,应通过其他法益的归类与具体罪名予以规制,而不能以信息系统犯罪名义代为涵摄。此外,通过普遍保障数据的真实性、保密性与完整性,已足以间接保护数据使用过程中所承载的社会信任与秩序,实现社会运行的效率与安全。此种保护方式,才是刑法体系中信息系统犯罪应有的定位与作用。
综上,从侵害对象的界定以及所涉法益的合理归属来看,本案行为均不符合非法获取计算机信息系统数据、非法控制计算机信息系统罪的构成要件。坚持法治原则与罪刑法定原则,避免本罪成为技术打击的兜底手段,乃是本案应有之结论。
四、结语
在计算机犯罪研究领域,明确个罪的认定标准对于司法机关准确界定和有效打击计算机犯罪行为至关重要,不仅具有深远的理论意义,更具重要的现实价值。一方面,有助于为司法机关提供清晰明确的法律适用指引,统一裁判尺度,保障司法的准确性、公正性与效率;另一方面,有助于提升公众网络安全意识,引导广大网民在知法、懂法的基础上自觉守法,从源头上预防犯罪。然而,由于计算机犯罪涉及系统、网络、软件等具体技术性内容,其认定过程往往复杂且需审慎把握。
本案成功撤案,不仅是一次有效的无罪辩护实践,更凸显了技术语境下精准把握认定标准与法律适用的核心意义。面对技术高度中性的软件程序时,刑法不应对工具本身进行泛化打击,而应严格遵循行为法益导向,精确厘清特定行为与法益侵害之间的因果关系。丁彦伶律师及嵇宇晨律师将持续关注、研究计算机类犯罪的司法动向,致力于推动法治实践与科技发展的良性互动。
脚注
[1]参见喻海松:《<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>的理解与适用》,载《人民司法》2011年第16期。
[2]《中华人民共和国刑法修正案(七)》(主席令第十号)第九条第二款
在刑法第二百八十五条中增加两款作为第二款、第三款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”
[3]参见高艳东:《提供侵入、非法控制计算机信息系统程序、工具罪的限缩解释——以打击对象为切入》,载《法学评论》2023年第6期。
[4]《最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第十一条第一款
本解释所称“计算机信息系统”和“计算机系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。
[5]参见刘艳红:《网络时代刑法客观解释新塑造:“主观的客观解释论”》,载《法律科学》2017年第3期。
[6]参见郭旨龙:《计算机犯罪的时代更新》,载《国家检察官学院学报》2023年第4期。
[7]参见刘艳红:《Web3.0 时代网络犯罪的代际特征及刑法应对》,《环球法律评论》2020年第5期;郭旨龙:《网络安全的内容体系与法律资源的投放方向》,《法学论坛》2014年第6期。
