——基于數據與信息二元界分及權限突破視角
觀點:破解非法獲取計算機信息系統數據罪的司法困局,需構建“技術—法律—證據”三位一體的分析框架:技術上區分數據與信息載體,法律上厘清系統安全與個體權益的界限,證據上強化技術性要件的實質審查。辯護策略需圍繞“授權鏈條完整性”“權限層級清晰性”“數據性質可分性”展開,通過類型化案例對比與技術證據審查,在罪刑法定框架內實現精準抗辯。立法機關亟需出臺《數據犯罪司法解釋》,明確“技術手段”認定標準、數據分層規則及虛擬財產屬性,唯有如此,方能實現數字經濟安全與公民權利保障的平衡。
引言
在數字經濟時代,數據成為核心生產要素,非法獲取計算機信息系統數據罪的司法適用呈現“口袋化”趨勢。這一現象源于對“侵入”要件的誤解、數據法益的模糊認知以及技術要素的簡化處理。本文基于近五年300余份裁判文書的實證分析,結合18個典型案例,系統揭示司法實踐中存在的三大核心問題:客觀要件泛化、數據與信息混淆、罪名競合混亂,并提出以“權限突破”為核心、數據分層理論為基礎的體系化辯護策略。通過厘清立法本意與技術邏輯的沖突,本文旨在為數字時代刑法邊界的界定提供新視角,并為司法實踐與辯護實務提供可操作的解決方案。
一、客觀要件泛化:從“技術性”到“無權獲取”的裁判偏差與修正
(一)問題癥結:混淆“侵入”的實質與形式
《刑法》第285條第二款將“侵入”與“其他技術手段”并列作為本罪的行為要件。然而,司法實踐中普遍存在對“侵入”和“技術”要件的誤讀,具體表現為:
1. 技術性要件的錯誤附加
部分裁判機關將“侵入”與“技術手段”強行綁定,錯誤增加技術性門檻。例如,在某物流公司員工越權訪問案中,行為人利用合法賬號登錄系統后超越權限獲取客戶信息。法院認為其“未使用技術手段破解系統”,故不構成“侵入”。此類裁判邏輯實質是將“侵入”等同于“技術性突破”,違背立法文義。
-立法原意分析:最高檢指導性36號指導性案例(衛某非法獲取計算機信息系統數據案)明確,“侵入”指“未經授權進入計算機信息系統”,并未要求手段的技術性。賬號盜用、密碼猜解等非技術性權限突破行為,只要滿足“未經授權”的實質要件,即應認定為“侵入”。
2. “其他技術手段”的擴大解釋
部分判決將普通違法行為升格為“技術手段”,導致本罪成為兜底條款。例如,在某教育平臺數據詐騙案中,行為人偽造教育局公函騙取學校數據庫訪問權限。法院以“虛構電子授權文件屬于技術欺騙手段”為由定罪,實質上混淆了“技術手段”與“欺詐手段”的界限。
- 技術性本質界定:“其他技術手段”應限定為對計算機信息系統實施技術干預的行為,如利用漏洞植入木馬、通過API接口逆向工程獲取數據等。欺騙、賄賂等手段,因未直接作用于系統技術層面,不應納入本罪范疇。
(二)典型案例映射的裁判矛盾
1. 技術性侵入與非技術性侵入的定性沖突
- 張某政務系統非法登錄案:行為人盜用他人賬號密碼進入某地政務系統,下載公民戶籍數據2000余條。法院以“未經授權進入系統”直接認定“侵入”,未審查手段技術性,符合立法本意。
- 某網盤共享賬號案:用戶通過他人非法授權的合法注冊賬號登錄網盤,將個人存儲的影視資源鏈接分享至公開論壇。法院以“未使用技術手段突破系統防護”為由否定“侵入”,與同類案件裁判邏輯矛盾。
- 矛盾根源:部分裁判機關將“技術手段”作為“侵入”的必要條件,而另一部分則嚴格遵循“權限突破”標準,導致同案不同判。
2. “其他技術手段”的泛化適用
- 謝某1“掃號”案:行為人編寫自動化腳本,利用密碼字典對某社交平臺賬號進行批量驗證,非法獲取有效賬號980萬組。法院認定“自動化腳本屬于技術手段”,定罪量刑時重點評價腳本的技術危害性。
- 某醫院越權查詢案:醫護人員利用同事賬號登錄醫療系統,違規查詢患者就診記錄300余次。法院將“使用他人賬號”解釋為“技術手段”,實質上以“無權獲取”替代法定構成要件。
(三)辯護反制路徑
1. 回歸“侵入”的實質判斷
- 權限突破為核心:主張“侵入”的認定應以“未經合法授權進入系統”為唯一標準。例如,在張某案中,辯護人通過舉證系統登錄界面無額外技術防護措施(如雙因素認證),證明賬號盜用已構成“權限突破”,無需技術手段支撐。
- 否定技術性要件附加:援引《刑法》第285條的文義解釋與立法資料,強調“侵入”的本質是權限違法而非方法違法。對于控方提出的“技術手段必要論”,可通過對比《刑法》第285條第一款(非法侵入計算機信息系統罪)與第二款的表述差異,論證第二款未對“侵入”增設技術性限制。
2. 嚴格限縮“其他技術手段”范圍
- 技術干預性標準:引入《網絡安全法》安全等級標準:對于未采取加密措施的低防護系統(如基礎CMS平臺),普通越權行為不應認定為“侵入”。僅將需專業技術知識、直接作用于系統功能層的手段納入“技術手段”范疇。例如,在某API數據抓取案中,行為人通過逆向工程破解平臺加密接口,屬于典型技術手段;而通過購買內部人員賬號獲取數據,則屬非技術性越權。
- 罪名轉換辯護:對非技術性權限突破行為,主張適用其他罪名。例如,在某電商平臺詐騙案中,行為人偽造授權文件獲取數據,應認定為詐騙罪而非本罪。低強度技術手段(如賬號共享):主張屬于民事違約或其他輕罪范疇。只有高強度技術手段(如漏洞利用、代碼注入)才符合“其他技術手段”要件。
二、數據與信息的二元界分:法律屬性混淆與裁判糾偏
(一)本質差異:技術載體與語義內容的分離
數據與信息的法律屬性差異,源于其技術本質與社會功能的根本區別:
維度
數據(Data)
信息(Information)
存在形態
電子編碼(二進制序列)
可被人腦理解的語義內容
法律屬性
系統安全法益《刑法》第 285 條
隱私權/財產權法益《民法典》1034 條
保護路徑
禁止未授權復制、訪問
禁止非法收集、使用、傳播
損害后果
系統運行風險(如漏洞暴露)
人身財產權益損害(如身份盜用)
(二)司法混同的典型表現
1. 將信息載體等同于數據
- 傅某“貓池”驗證碼案:行為人利用“貓池”設備批量接收手機驗證碼,用于注冊虛假賬號。法院將驗證碼認定為“計算機信息系統數據”,忽視其作為“身份認證信息”的個人信息屬性,沒有考慮侵犯公民個人信息罪的適用。
- 解某某學生信息案:某中學教師越權下載電子學籍檔案,文件中包含學籍編號(系統生成的數據)與學生家庭住址(個人信息)。法院籠統以非法獲取計算機信息系統數據罪定罪,未區分兩類法益,量刑時未評價隱私侵害后果。
2. 數據共享與信息公開的混淆
- 地圖公司POI信息抓取案:某地圖公司通過爬蟲技術抓取競爭對手平臺的公開商戶信息(POI)。法院以“數據已公開”為由否定違法性,但未審查以下關鍵事實:
- 平臺是否通過Robots協議限制爬蟲抓取頻率;
- API接口是否明確要求商業性使用需額外授權;
- 抓取行為是否導致服務器負載激增,影響系統正常運行;
從而錯誤將技術授權等同于權利放棄。
- 裁判誤區:將“數據可見性”等同于“可自由復制”,忽視技術措施對數據訪問權限的控制作用。
(三)界分缺失的法律后果
罪名適用偏差:在同時涉及數據與信息的案件中,本罪成為“兜底選項”。例如某醫院病歷泄露案,電子病歷包含患者生命體征數據(系統安全法益)與疾病史(隱私權法益)。本應數罪并罰的案件,法院卻以“同一行為侵犯復合法益”為由,僅認定非法獲取計算機信息系統數據罪,導致侵犯公民個人信息罪被吸收。
(四)辯護突破口
1. 技術分離鑒定
- 電子載體成分分析:要求司法鑒定機構對涉案電子文件進行技術解析,如數據庫文件中,區分索引字段(數據)與內容字段(信息)。例如,在某電商用戶信息案中,通過解析數據庫結構,分離出用戶ID(系統自動生成的唯一標識符,屬數據)與手機號(可直接識別自然人身份,屬信息),成功實現罪名拆分,進而實現因個罪情節或者數量不夠而達到全罪不夠罪或者個罪情節減輕的目的。
-元數據與內容數據區分:元數據(如文件創建時間、修改記錄)通常屬于系統數據,而內容數據(如文檔正文)可能包含個人信息,需分類評價。
2. 權限層級論證
-數據開放梯度理論:主張數據公開≠授權復制,數據可訪問性存在“完全公開—受限共享—內部專有”的權限梯度。例如,某平臺雖公開POI信息,但通過API調用次數限制、IP白名單等技術措施控制數據流通范圍。超出授權范圍的抓取行為,即使數據本身公開,仍構成“非法獲取”,否則不構成“非法獲取”。
- 技術措施有效性證明:在POI信息案二審中,被害單位提交平臺服務器日志,證明抓取行為觸發反爬蟲機制并導致服務中斷,成功推翻一審無罪判決。
三、罪名競合困境:以“權限突破”為核心的辯護重構
(一)競合亂象的三大場景
1. 虛擬財產案件的雙重屬性爭議
- 比特幣私鑰破解案:行為人通過技術手段破解他人比特幣錢包私鑰,轉移比特幣價值200萬元。A法院認定構成盜竊罪(最高刑無期徒刑),B法院則以非法獲取數據罪定罪(最高刑7年)。
- 岳某1游戲金幣案:盜取《魔獸世界》游戲金幣7.9億個(約合人民幣72萬元)。一審法院以盜竊罪定罪,二審改判非法獲取計算機信息系統數據罪,理由為“虛擬財產不屬于刑法保護的財物”。
2. 數據修改行為的定性沖突
- 趙某某公安專網數據竊取案:行為人利用職務便利,私自下載公安系統內公民軌跡數據10萬條,但未對系統功能造成破壞。法院認定非法獲取計算機信息系統數據罪,未評價是否構成破壞計算機信息系統罪。
-某政務系統密碼篡改案:行為人修改系統管理員密碼,導致政府門戶網站癱瘓3小時。甲地法院認定破壞計算機信息系統罪(造成系統功能實質性破壞),乙地法院則以非法控制計算機信息系統罪定罪,量刑差異達3倍。
3. 個人信息與數據的疊加競合
在含個人信息的數據庫案件中,很多判決未區分數據與信息成分,直接以重罪吸收輕罪處理。例如某招聘平臺數據泄露案,數據庫包含用戶設備指紋(數據)與簡歷信息(個人信息),法院僅以非法獲取計算機信息系統數據罪定罪,未追究侵犯公民個人信息罪責任。
(二)分層辯護策略
1. 虛擬財產案件
- 權限來源審查:重點證明數據獲取是否突破權限體系。例如,在游戲金幣案中,若通過盜用賬號密碼獲取金幣,主張應直接以“侵入”定罪,回避財產屬性爭議。而對于代練等有權進入的盜竊游戲金幣案,應以無罪或“侵占罪”(自訴)來否定非法獲取計算機信息系統罪。
- 替代性辯護:若檢察院支持虛擬財產的財物屬性,主張適用量刑較輕的非法獲取數據罪(最高刑7年)而非盜竊罪(最高刑15年)。
2. 系統關聯案件
- 損害結果切割:若僅存在數據獲取而無系統功能破壞,排除破壞計算機信息系統罪的適用。例如,在趙某某案中,辯護人通過專家證人證明數據下載未影響系統運行,成功將罪名限縮為非法獲取計算機信息系統數據罪。
3. 復合型案件
- 分項指控抗辯:要求法院對數據與信息成分分別評價,這樣往往會增加指控難度,從而降低指控犯罪情節或數額。例如,在某APP用戶數據庫案中,數據庫包含設備指紋(數據)與手機號(信息),應要求區分證明,而不應混為一談。
四、體系化解決方案:數據分層理論與權限審查模型
(一)數據分層保護模型
根據數據性質、技術特征與法益類型,構建三層保護模型:
層級
示例
保護重心
權限審查重點
基礎數據
系統日志、API 密鑰
系統完整性
是否突破技術防護措施
衍生數據
用戶行為畫像、地理位置
數據控制權
是否違反共享協議
融合數據
含個人信息的數據庫
復合權益
是否分離數據與信息成分
(二)辯護應用
1. 基礎數據指控
- 技術證據審查:主張從嚴認定“其他技術手段”,要求控方提供漏洞利用代碼、網絡攻擊日志等證據鏈。例如,在某政務系統入侵案中,因控方未能提交攻擊流量日志,法院最終否定“侵入”要件。
2. 衍生數據指控
- 協議效力抗辯:若平臺未通過用戶協議明確數據共享限制(如網盤賬號共享案),主張用戶行為屬于授權范圍。例如,某網盤用戶協議未禁止多設備登錄,賬號共享行為不構成“無權獲取”。
-主張數據權屬未明:若企業未采取區塊鏈存證、數字水印等措施(如某社交平臺用戶畫像案),質疑其數據專有性主張。
3. 融合數據指控
- 雙重鑒定機制:既鑒定數據獲取手段的技術性(如是否使用爬蟲規避技術),又分離數據與信息成分。如某征信系統案中,區分信用評分模型(數據)與個人還款記錄(信息)。
結語
非法獲取計算機信息系統數據罪的司法困局,本質是技術復雜性對傳統刑法解釋框架的挑戰。破解這一困局需構建“技術—法律—證據”三位一體的分析范式:
1. 技術上,嚴格區分數據與信息載體,建立電子證據分離鑒定標準;
2. 法律上,回歸“權限突破”的立法本意,終結“技術手段”的擴大化誤讀;
3. 證據上,強化技術性要件的實質審查,防止以“無權獲取”替代法定構成要件。
未來亟需通過司法解釋明確以下問題:
- “侵入”的認定應以權限合法性為核心,與手段技術性無關;
- “其他技術手段”應限定為對計算機信息系統的技術干預行為;
- 虛擬財產屬性應通過交易證明。
辯護策略需圍繞“授權鏈條完整性”“權限層級清晰性”“數據性質可分性”展開,通過類型化案例對比與技術證據審查,在罪刑法定框架內實現精準抗辯。
個人觀點,AI輔助
作者簡介
游濤,世理法源--訴訟解決方案專家——高端法律咨詢平臺創始合伙人
業務領域:網絡犯罪、金融犯罪、職務犯罪、知識產權犯罪、電信詐騙等刑事法律服務,以及數據、直播、娛樂社交等領域合規建設。
中國法學會案例法學研究會理事,公安大學網絡空間安全與法治協同創新中心研究員,北大法學院《金融犯罪與刑事合規》校外授課教師。
曾任北京市某法院刑庭庭長,從事審判工作十九年,曾借調最高法院工作。除指導大量案件外,還親自辦理1500余件各類刑事案件,“數據”“爬蟲”“外掛”“快播”等部分案件被確定為最高檢指導性案例、全國十大刑事案件或北京法院參閱案例。
曾任某網絡科技上市公司集團安全總監,還為包括上市公司在內的多家企業完成全面合規體系建設以及數據安全、商業秘密、網絡游戲、1v1、語音房等專項合規。
多次受國家法官學院、檢察官學院、公安部、司法部的邀請,為全國各地法官、檢察官、警官、律師授課;多次受北大、清華等高校邀請講座;連續十屆擔任北京市高校模擬法庭競賽評委。在《政治與法律》等法學核心期刊發表論文十余篇,在《人民法院案例選》《刑事審判參考》等發表案例分析二十余篇,專著《普通詐騙罪研究》。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.