高艷東

《刑法修正案(七)》于2009年設(shè)立了提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪(以下簡稱“提供工具罪”),其適用經(jīng)歷了幾個階段性的演變。2009年至2013年,該罪主要打擊制售盜號“木馬病毒”行為,案件數(shù)量極少。2014年至2017年,該罪打擊對象擴(kuò)展到“翻墻軟件”“網(wǎng)絡(luò)爬蟲”等有一定中立性的程序與工具,案件數(shù)量逐漸攀升。2017年之后,該罪打擊對象擴(kuò)展到有相對中立性的“外掛軟件”,案件數(shù)量猛增。近年來,隨著對網(wǎng)絡(luò)犯罪“打早打小”刑事政策的落實(shí),一些原本以非法經(jīng)營罪、侵犯著作權(quán)罪、銷售侵權(quán)復(fù)制品罪定罪的銷售非法軟件案件也經(jīng)常被認(rèn)定為“提供工具罪”。其中,部分案件屬于多個罪名競合而被動適用了“提供工具罪”,但也有很多案件直接被認(rèn)定為“提供工具罪”并存在罪名適用爭議。很多判決書在論證“專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具”時說理不充分,在解釋“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施”時含糊不清,讓學(xué)界開始擔(dān)心“提供工具罪”罪名適用的口袋化傾向。

一、問題提出

案例一:2018年,“明星蔡徐坤一條微博轉(zhuǎn)發(fā)量過億”事件引發(fā)社會對流量數(shù)據(jù)造假的關(guān)注。涉案刷量軟件的開發(fā)者蔡某某因涉嫌破壞計(jì)算機(jī)信息系統(tǒng)罪被警方逮捕,最終以“提供工具罪”被法院判處有期徒刑五年。(1)參見北京市豐臺區(qū)人民法院(2019)京0106刑初1813號刑事判決書。該判決對于打擊流量造假亂象具有積極意義,但判決結(jié)果卻引發(fā)了爭議:刷量軟件是否屬于“專門用于侵入計(jì)算機(jī)信息系統(tǒng)的程序”,使用軟件的粉絲是否有“侵入”或“非法控制計(jì)算機(jī)信息系統(tǒng)”的行為?

案例二:2018年9月,上海市寶山區(qū)法院審理了戴某提供VPN“翻墻”服務(wù)案,司法人員對于提供VPN“翻墻”服務(wù)的定性產(chǎn)生了分歧,存在無罪、非法經(jīng)營罪、“提供工具罪”三種意見。(2)參見梅禮勻:《提供給VPN“翻墻”服務(wù)的行為如何定性》,載《人民檢察》2019年第6期。法院最終以“提供工具罪”判處戴某有期徒刑三年,緩刑三年。(3)參見上海市寶山區(qū)人民法院(2018)滬0113刑初1606號刑事判決書。雖然翻墻軟件能避開國家網(wǎng)絡(luò)管控措施,但這種管控措施是否屬于“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施”,即便翻墻軟件避開了安全保護(hù)措施,是否非法獲取了計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)或非法控制了計(jì)算機(jī)信息系統(tǒng)?這些理論問題,判決書都沒有明確回應(yīng)。

這些判例反映出司法實(shí)踐中的常見問題:一是“‘專門’侵入、控制的程序、工具”(以下簡稱“專門工具”)和“‘可以’侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具”(以下簡稱“其他工具”)的界限不清;二是“侵入”“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施”等專業(yè)名詞的含義不清;三是工具使用者行為的定性對“提供工具罪”基本無影響,刷量軟件、翻墻軟件成為“提供工具罪”的打擊對象,但軟件使用者均不構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、非法控制計(jì)算機(jī)信息系統(tǒng)罪。在類似案件中,法院認(rèn)定的“專門工具”無法被用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng),邏輯上存在矛盾。2017年后,“提供工具罪”案件數(shù)量明顯增加,但相關(guān)專業(yè)名詞的含義并未清晰化,反而有被擴(kuò)大化解釋的趨勢,導(dǎo)致該罪的打擊范圍不斷擴(kuò)大。法官在適用該罪名時常忽視涉案程序、工具的主要用途,混淆“專門工具”和“其他工具”,導(dǎo)致該罪被濫用?；诖?本文嘗試提出防止“提供工具罪”被濫用的學(xué)理建議。

二、罪名適用現(xiàn)狀與爭議的類型化分析

筆者以北大法寶為數(shù)據(jù)庫,以“提供工具罪”為案由,檢索得到判決書748篇(上傳日期截至2023年8月1日),歷年審結(jié)案件數(shù)量如表1所示:

分析表1可知,自2015年起“提供工具罪”歷年審結(jié)案件數(shù)量呈遞增趨勢,于2020年達(dá)到最高峰。需要說明,根據(jù)筆者在H市基層司法部門的調(diào)研,2021、2022年“提供工具罪”定罪數(shù)量仍居高不下,只是因該罪控辯雙方爭議較大導(dǎo)致判決書上網(wǎng)數(shù)量明顯下降。

在748份判決書范圍內(nèi),筆者以涉案軟件、工具類型為關(guān)鍵字進(jìn)行二次檢索,得到各類軟件、工具所涉案件數(shù)量與占比如表2所示:

表2:“提供工具罪”各類程序、工具案件數(shù)量

表2中“其他”類型的程序、工具,部分屬于已列明類別,但在判決書中無關(guān)鍵字;還有部分由于案件數(shù)量很少故不單獨(dú)列明,如賬號解封軟件、會員破解軟件、炒股分倉軟件、黃牛搶票軟件、爬蟲軟件等。分析表2可知,外掛軟件、木馬病毒、翻墻軟件所涉案件數(shù)量最多,是“提供工具罪”的主要打擊對象。“提供工具罪”系幫助行為正犯化罪名,罪名成立與被幫助行為的定性息息相關(guān),故筆者以被幫助行為是否構(gòu)成犯罪及構(gòu)成何罪為分類依據(jù),將現(xiàn)有裁判文書中涉及的程序、工具分為“被幫助行為觸犯《刑法》第285條”“被幫助行為構(gòu)成其他犯罪”“被幫助行為不構(gòu)成犯罪”三類,便于后續(xù)討論。簡要介紹如下:

(一)被幫助行為觸犯《刑法》第285條

第一,木馬病毒。木馬病毒一般被用于盜竊他人賬號、密碼等身份認(rèn)證信息,或控制他人計(jì)算機(jī)后實(shí)施敲詐,司法機(jī)關(guān)一般以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、非法控制計(jì)算機(jī)信息系統(tǒng)罪對使用木馬病毒的行為進(jìn)行定罪。由于木馬病毒的侵入性較為明顯,司法實(shí)踐對其定性爭議不大。

第二,撞庫軟件。由于撞庫軟件采用批量嘗試登錄這一簡單機(jī)械化方式獲取用戶名與密碼,其定性曾存在一定爭議,有學(xué)者將其認(rèn)定為“采用其他技術(shù)手段”非法獲取計(jì)算機(jī)信息系統(tǒng)存儲的數(shù)據(jù),以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪定罪。(4)參見皮勇:《全國首例撞庫打碼案的法律適用分析》,載《中國檢察官》2019年第6期。2020年4月,最高人民檢察院發(fā)布第十八批指導(dǎo)性案例,明確“撞庫軟件”為“專門工具”,為他人提供“撞庫軟件”的行為構(gòu)成“提供工具罪”。自此,司法實(shí)踐對撞庫軟件的定性形成了統(tǒng)一意見。

(二)被幫助行為構(gòu)成其他犯罪

第一,釣魚網(wǎng)站。我國刑事立法對于網(wǎng)絡(luò)釣魚缺乏針對性的規(guī)定,司法機(jī)關(guān)一般按照目的行為將其認(rèn)定為詐騙罪、盜竊罪、侵犯公民個人信息罪、信用卡詐騙罪等,“東打一槍,西放一炮,沒有形成一個明確且穩(wěn)定的刑事規(guī)制體系”。(5)周華:《論網(wǎng)絡(luò)犯罪及其刑法規(guī)制——以網(wǎng)絡(luò)釣魚為觀察對象》,載《法制與社會》2010年第24期。釣魚網(wǎng)站也屬于“其他技術(shù)手段”,但與“撞庫軟件”不同的是,對釣魚網(wǎng)站的罪名適用存在分歧,對具有財(cái)產(chǎn)價(jià)值的數(shù)據(jù)應(yīng)作為財(cái)產(chǎn)、個人信息還是數(shù)據(jù)進(jìn)行保護(hù),實(shí)踐中存在較大爭議。

第二,手機(jī)轟炸軟件?，F(xiàn)在網(wǎng)絡(luò)上的手機(jī)轟炸軟件均是由個人開發(fā)制作,以打擊報(bào)復(fù)、敲詐勒索、軟暴力催收欠款為目的,司法機(jī)關(guān)一般以尋釁滋事罪、敲詐勒索罪、破壞計(jì)算機(jī)信息系統(tǒng)罪、非法利用信息網(wǎng)絡(luò)罪等罪名對其定罪。有學(xué)者認(rèn)為手機(jī)轟炸軟件具有“間接控制”計(jì)算機(jī)信息系統(tǒng)的功能,屬于“專門工具”,可以構(gòu)成非法控制計(jì)算機(jī)信息系統(tǒng)罪;但也有學(xué)者認(rèn)為手機(jī)轟炸軟件既有合法用途,也可用于非法用途,惡意呼叫使得被害人的手機(jī)在一定時間內(nèi)無法正常使用,不代表對被害人的手機(jī)進(jìn)行了非法控制,軟件使用者不構(gòu)成非法控制計(jì)算機(jī)信息系統(tǒng)罪,軟件提供者也不構(gòu)成“提供工具罪”。(6)參見楊毅:《操控惡意呼叫軟件構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪》,載《人民司法》2021年第5期?？傮w而言,對手機(jī)轟炸軟件的定性,司法實(shí)務(wù)和學(xué)界都存在較大爭議。

第三,DDoS攻擊軟件。對以攻擊計(jì)算機(jī)信息系統(tǒng)為目的、非法控制計(jì)算機(jī)信息系統(tǒng)的DDoS攻擊行為,司法實(shí)踐多數(shù)按照牽連犯處理,根據(jù)擇一重罪處罰原則以破壞計(jì)算機(jī)信息系統(tǒng)罪定罪處罰;(7)參見郟義嘉、陳芳:《非法控制他人計(jì)算機(jī)進(jìn)行拒絕服務(wù)攻擊行為之定性》,載《人民司法》2012年第4期。但也有法院將其認(rèn)定為非法控制計(jì)算機(jī)信息系統(tǒng)罪。(8)截至2023年7月30日,以破壞計(jì)算機(jī)信息系統(tǒng)罪對使用DDoS軟件的行為進(jìn)行定罪的判決有95起,以非法控制計(jì)算機(jī)信息系統(tǒng)罪進(jìn)行定罪的判決有58起?？梢?對于DDoS軟件的本質(zhì)是“破壞性”還是“控制性”,實(shí)踐中仍存在一定爭議。

(三)被幫助行為不構(gòu)成犯罪

第一,插件(外掛軟件)。早期的外掛一般被用于網(wǎng)絡(luò)游戲作弊,但隨著移動智能設(shè)備的普及,外掛逐漸進(jìn)入多個領(lǐng)域,如“微信搶紅包”外掛、“美團(tuán)眾包搶單”外掛等。使用外掛一般不構(gòu)成犯罪,而制售外掛的行為定性,在實(shí)踐中存在“提供工具罪”、非法經(jīng)營罪、破壞計(jì)算機(jī)信息系統(tǒng)罪、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、侵犯著作權(quán)罪、無罪(民事爭議或行政處罰)等爭議。由于外掛軟件的運(yùn)行方式多樣,學(xué)者多支持區(qū)別對待不同類型的外掛,但未形成普遍認(rèn)同的分類標(biāo)準(zhǔn),在罪名適用上也存在較大分歧。

第二,翻墻軟件(VPN)。對提供翻墻軟件是否構(gòu)成犯罪有不同意見,在有罪論中也存在“提供工具罪”、非法經(jīng)營罪、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪等罪名爭議。

綜上,在三類程序、工具中,“被幫助行為構(gòu)成《刑法》第285條”的木馬病毒、撞庫軟件在罪名適用上無太大爭議;而“被幫助行為構(gòu)成其他犯罪”的釣魚網(wǎng)站、手機(jī)轟炸軟件、DDoS攻擊軟件及“被幫助行為不構(gòu)成犯罪”的外掛軟件、翻墻軟件均存在很多爭議,而這五種軟件的案件數(shù)量合計(jì)占比在60%以上。因此,如何準(zhǔn)確適用“提供工具罪”是亟需研究的問題。

三、罪名濫用現(xiàn)象梳理與原因分析

“提供工具罪”罪名適用爭議的背后,是該罪的構(gòu)成要件模糊導(dǎo)致口袋化。具體而言:一是“專門工具”與“其他工具”界限模糊,司法人員常錯誤解讀司法解釋中的技術(shù)名詞,將“具有侵入功能”與“專門工具”劃上等號;二是“專門工具”的認(rèn)定標(biāo)準(zhǔn)過低,缺乏專門的鑒定機(jī)構(gòu)與鑒定標(biāo)準(zhǔn),混淆“破壞性程序”與“侵入性程序”;三是將“被幫助的犯罪行為”擴(kuò)張到《刑法》第285條之外的犯罪,導(dǎo)致該罪適用范圍擴(kuò)張。

(一)“專門工具”與“其他工具”的界限不清

“提供工具罪”有“專門工具”和“其他工具”兩個入罪路徑:一是提供“‘專門’用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具”;二是“明知”他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的違法犯罪行為而為其“提供程序、工具”?？梢?“專門工具”的入罪條件較少,無論他人是否實(shí)施犯罪行為,提供者均構(gòu)成犯罪;而“其他工具”的入罪條件較多,需他人實(shí)施犯罪,且提供者對此明知。但是,實(shí)踐中兩者的界限模糊,導(dǎo)致該罪的入罪門檻降低。

1.司法解釋擴(kuò)大了“專門工具”的范圍

第一,司法解釋突破了立法機(jī)關(guān)對“專門工具”的界定。全國人大常委會法工委刑法室編寫的論著將“專門工具”解釋為“行為人所提供的程序、工具‘只能’用于實(shí)施非法侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的用途。”(9)全國人大常委會法工委刑法室編:《中華人民共和國刑法條文說明、立法理由及相關(guān)規(guī)定》,北京大學(xué)出版社2009年版,第592頁。立法機(jī)關(guān)強(qiáng)調(diào)“只能用于侵入、控制”。而最高人民法院、最高人民檢察院(以下簡稱“兩高”)發(fā)布的《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》(以下簡稱《計(jì)算機(jī)司法解釋》)第二條第(一)(二)項(xiàng)對于“專門工具”的解釋僅要求“具有侵入、控制功能”,將“唯一功能”偷換成“可用功能”,擴(kuò)張了“專門工具”的范圍。

第二,司法解釋未明確界定“侵入”的含義?！队?jì)算機(jī)司法解釋》第二條第(一)(二)項(xiàng)均將“避開或者突破安全保護(hù)措施”“未經(jīng)授權(quán)或者超越授權(quán)”作為認(rèn)定“專門工具”的條件之一,而第(三)項(xiàng)卻未規(guī)定前兩項(xiàng)的認(rèn)定標(biāo)準(zhǔn),以“侵入”代之,將其與“非法控制”“非法獲取數(shù)據(jù)”并列描述?！队?jì)算機(jī)司法解釋》并未明確界定“侵入”的標(biāo)準(zhǔn),其含義是“避開或者突破安全保護(hù)措施”“未經(jīng)授權(quán)或者超越授權(quán)”之和,還是與“非法控制計(jì)算機(jī)信息系統(tǒng)”“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)”并列,語義上存在模糊性。從系統(tǒng)解釋的角度分析,按照非法侵入計(jì)算機(jī)信息系統(tǒng)罪的規(guī)定,若僅有“侵入”行為,則對象是國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)時才構(gòu)成犯罪。據(jù)此可推論,若行為人提供只是具有“侵入”功能的程序、工具而非“‘只能用于’侵入的程序、工具”,則只能構(gòu)成非法侵入計(jì)算機(jī)信息系統(tǒng)罪的幫助犯。顯然,具有“侵入”功能不能當(dāng)然推定其屬于“專門工具”。在技術(shù)上,“專門工具”不一定具有“侵入”功能(如最高人民檢察院在指導(dǎo)性案例中提及的“撞庫軟件”)。換言之,具有“侵入”功能不是“專門工具”的充分條件,也不是必要條件。但是,一些司法人員錯誤理解“侵入”的含義,將“具有侵入功能”與“專門工具”劃等號,擴(kuò)大了“專門工具”的范圍。

2.片面強(qiáng)調(diào)“數(shù)據(jù)”“控制”的技術(shù)判斷或規(guī)范評價(jià)

認(rèn)定“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)”和“非法控制計(jì)算機(jī)信息系統(tǒng)”時,片面強(qiáng)調(diào)技術(shù)判斷或規(guī)范評價(jià)都會導(dǎo)致“專門工具”范圍過大。

第一,司法機(jī)關(guān)片面強(qiáng)調(diào)“數(shù)據(jù)”的技術(shù)判斷而忽視了其規(guī)范評價(jià)。法律保護(hù)數(shù)據(jù)是因?yàn)槠浼夹g(shù)屬性具有成為保護(hù)客體的基礎(chǔ),但核心是數(shù)據(jù)承載了某種社會利益,技術(shù)的客觀內(nèi)容與法律的規(guī)范評價(jià)缺一不可。如學(xué)者所言,“法律應(yīng)側(cè)重于保護(hù)信息本身的合法財(cái)產(chǎn)利益,而不是通過保護(hù)信息系統(tǒng)的物理、有形屬性來間接保護(hù)有價(jià)值的信息。”(10)Orin S. Kerr, Cybercrime's Scope:Interpreting "Access" and "Authorization" in Computer Misuse Statute,New York University Law Review. Vol. 78,2003, p.1605.《計(jì)算機(jī)司法解釋》未解釋“數(shù)據(jù)”,僅在第一條中明確身份認(rèn)證信息屬于數(shù)據(jù),即用于確認(rèn)用戶在計(jì)算機(jī)信息系統(tǒng)上操作權(quán)限的數(shù)據(jù),包括賬號、口令、密碼、數(shù)字證書等。而司法機(jī)關(guān)認(rèn)定的“數(shù)據(jù)”還包括儲存在計(jì)算機(jī)信息系統(tǒng)上的用戶身份信息,如身份證號碼、聯(lián)系方式、家庭住址、銀行卡賬號與密碼等。身份認(rèn)證信息代表系統(tǒng)操作權(quán)限,將“數(shù)據(jù)”解釋為身份認(rèn)證信息是一種規(guī)范評價(jià);而用戶身份信息代表用戶個人的隱私權(quán)、財(cái)產(chǎn)權(quán),將“數(shù)據(jù)”解釋為一切存儲在計(jì)算機(jī)中的信息是用技術(shù)判斷的視角擴(kuò)張了“數(shù)據(jù)”的范圍。如學(xué)者指出,在技術(shù)層面上,數(shù)據(jù)是信息的載體,表現(xiàn)為二進(jìn)制代碼,很容易認(rèn)定;而在法律層面上,數(shù)據(jù)承載著法益保護(hù)需要,較為抽象;不少司法人員傾向于只從技術(shù)角度理解數(shù)據(jù),避而不談非法獲取數(shù)據(jù)行為侵犯了何種法益。(11)參見楊志瓊:《非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪“口袋化”的實(shí)證分析及其處理路徑》,載《法學(xué)評論》2018年第6期。實(shí)踐中,司法機(jī)關(guān)僅從技術(shù)層面理解“數(shù)據(jù)”概念,導(dǎo)致“數(shù)據(jù)”的范圍擴(kuò)大到使用翻墻軟件獲取的國外網(wǎng)站數(shù)據(jù)、使用游戲外掛軟件獲取的游戲數(shù)據(jù)、使用爬蟲軟件抓取的公開數(shù)據(jù)等,人為擴(kuò)大了“數(shù)據(jù)”的范圍,超越了《刑法》第285條的構(gòu)成要件保護(hù)范圍。

第二,司法機(jī)關(guān)過度強(qiáng)調(diào)“控制”的規(guī)范評價(jià)而忽視其技術(shù)判斷?！胺欠刂啤笔紫仁羌夹g(shù)判斷,即竊取或限制系統(tǒng)管理員賬戶的部分系統(tǒng)控制權(quán),如有學(xué)者的界定:“行為人使計(jì)算機(jī)信息系統(tǒng)處于非法控制狀態(tài)下,按照行為人的意志運(yùn)行,不正當(dāng)?shù)叵拗扑拗鞯氖褂脵?quán)限,侵犯權(quán)利人的合法權(quán)益。”(12)李永升編:《刑法新增和修正罪名適用》,中國人民公安大學(xué)出版社2013年版,第252頁。但是,在實(shí)踐中,司法機(jī)關(guān)過度強(qiáng)調(diào)“控制”的規(guī)范評價(jià),僅從侵害結(jié)果角度對行為進(jìn)行規(guī)范評價(jià),混淆了“控制”與“破壞”的界限。例如,在“全國首例黃牛搶購軟件案”(13)參見山西省太原市迎澤區(qū)人民法院(2017)晉0106刑初583號刑事判決書。中,該搶購軟件具有模擬用戶登錄淘寶賬號并進(jìn)行批量下單的功能,同時能通過重新?lián)芴柛鼡QIP地址,繞過淘寶對于同一IP地址頻繁發(fā)送交易請求的限制。有學(xué)者認(rèn)為,搶購軟件會侵入淘寶的計(jì)算機(jī)信息系統(tǒng)并對其予以控制,應(yīng)以非法控制計(jì)算機(jī)信息系統(tǒng)罪論處。(14)參見周光權(quán):《通過刑罰實(shí)現(xiàn)積極的一般預(yù)防——國內(nèi)首起“黃?！睋屬徿浖冈u析》,載《中國法律評論》2018年第2期。但是,黃牛搶購軟件變換用戶IP地址、高頻發(fā)送交易請求的行為類似于DDoS攻擊,所有操作指令均是從用戶電腦上發(fā)出,且以普通用戶身份而非管理員權(quán)限向系統(tǒng)發(fā)出交易請求,其目的是使計(jì)算機(jī)信息系統(tǒng)無法處理正常買家的交易請求,始終都未獲得計(jì)算機(jī)系統(tǒng)的控制權(quán)限。將使用搶購軟件的行為解釋為“間接控制(計(jì)算機(jī)信息系統(tǒng))”,就是從后果角度進(jìn)行的主觀規(guī)范評價(jià),沒有考慮到“控制”的技術(shù)判斷,混同了“妨礙普通用戶的使用權(quán)限”與“限制系統(tǒng)管理員的使用權(quán)限”。

(二)“專門工具”的認(rèn)定標(biāo)準(zhǔn)過低

相比于“其他工具”,“專門工具”的鑒定標(biāo)準(zhǔn)、認(rèn)定程序應(yīng)更嚴(yán)格。但是,實(shí)踐中以“專門工具”入罪的案件遠(yuǎn)多于“其他工具”,而其實(shí)體和程序認(rèn)定均不規(guī)范。

1.在實(shí)體上過度擴(kuò)張“侵入”的內(nèi)涵

我國《刑法》沒有明確規(guī)定“侵入”的含義,司法機(jī)關(guān)依據(jù)《計(jì)算機(jī)司法解釋》第二條對“專門工具”的解釋,將“侵入”理解為“避開或突破計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)措施,未經(jīng)授權(quán)或超越授權(quán)的訪問行為”。但《計(jì)算機(jī)司法解釋》沒有定義“授權(quán)”“安全保護(hù)措施”“訪問”,導(dǎo)致實(shí)踐中過度擴(kuò)張解釋“侵入”。例如,在“張海波等復(fù)制IC卡案”(15)參見江蘇省常州經(jīng)濟(jì)開發(fā)區(qū)人民法院(2021)蘇0492刑初317號刑事判決書。中,被告人張海波等從網(wǎng)上購買了IC卡加密復(fù)制器,將公司配發(fā)的IC卡原卡復(fù)制成小卡,使小卡與原卡一樣具有刷卡吃飯、考勤打卡、門禁卡等功能,再出售小卡牟利。法院將復(fù)制后的小卡認(rèn)定為“專門工具”,以“提供工具罪”判處被告人罰金5000元。司法機(jī)關(guān)濫用“侵入”,將使用小卡的行為認(rèn)定為“侵入計(jì)算機(jī)信息系統(tǒng)”。實(shí)際上,使用復(fù)制的小卡需要遵循作為公司安全保護(hù)措施的防護(hù)程序,類似于在POS機(jī)、自動取款機(jī)上“使用偽造的信用卡”,并未突破“安全保護(hù)措施”,和黑客攻擊有本質(zhì)區(qū)別,不能認(rèn)定為侵入公司的計(jì)算機(jī)信息系統(tǒng)。

如果不嚴(yán)格把握“侵入”的內(nèi)涵,很多違法行為都可以被認(rèn)定為“提供工具罪”。按照“張海波等復(fù)制IC卡案”判決的邏輯,行為人用猜數(shù)字的方式破解特斯拉汽車的電子密碼鎖,也會被認(rèn)為侵入了汽車和電子鎖的安全防護(hù)系統(tǒng);偽造內(nèi)置IC卡的二代身份證后刷身份證進(jìn)火車站,會被認(rèn)為侵入了身份證管理系統(tǒng);偽造可以騙過ATM機(jī)的紙幣,會被認(rèn)為侵入了銀行的安全防護(hù)系統(tǒng)。換言之,幫助他人偷開車鎖、偽造身份證、偽造人民幣都可能構(gòu)成“提供工具罪”,這顯然超出了刑法條文語義的最大射程。

2.在程序上缺乏鑒定“專門工具”的機(jī)構(gòu)

《計(jì)算機(jī)司法解釋》第十條規(guī)定,對于“專門工具”的認(rèn)定難以把握的,可以委托省級以上負(fù)責(zé)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理工作的部門檢驗(yàn)。但在司法實(shí)踐中,一些法官在被告人提出鑒定申請后,會以“沒有必要委托有關(guān)部門檢驗(yàn)”為由駁回。例如,在“楊童售賣DDoS攻擊軟件案”(16)參見浙江省蒼南縣人民法院(2017)浙0327刑初546號刑事判決書。中,法院未對涉案軟件進(jìn)行技術(shù)鑒定,未分析該程序避開了何種“安全保護(hù)措施”、如何對系統(tǒng)實(shí)施控制,僅因其產(chǎn)生了破壞性后果便認(rèn)定為“專門程序”,其技術(shù)依據(jù)明顯不足。

法院不愿進(jìn)行司法鑒定有兩個原因:一是合格鑒定機(jī)構(gòu)缺失。“省級以上負(fù)責(zé)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理工作的部門”具體是哪個部門,司法解釋沒有明確規(guī)定。二是鑒定能力不足。實(shí)踐中法院委托的鑒定機(jī)構(gòu)基本是以“電子證據(jù)”為鑒定內(nèi)容,其主要業(yè)務(wù)是鑒定電子數(shù)據(jù)的真?zhèn)?如數(shù)據(jù)是否經(jīng)過篡改、是否為原始數(shù)據(jù),基本是一種靜態(tài)、單向鑒定;而鑒定“專門工具”需要結(jié)合業(yè)務(wù)場景進(jìn)行動態(tài)、雙向鑒定。目前具備鑒定能力的專業(yè)機(jī)構(gòu)極少,而傳統(tǒng)鑒定機(jī)構(gòu)的鑒定也多流于形式,其結(jié)論基本是將送檢程序描述成具有破壞性或侵入性,法官再根據(jù)危害后果進(jìn)行規(guī)范判斷從而肯定其屬于“專門工具”。

(三)將被幫助的犯罪行為擴(kuò)張到《刑法》第285條之外的犯罪

《刑法》第285條明確限定了“提供工具罪”下游犯罪的范圍,但司法機(jī)關(guān)常將下游犯罪擴(kuò)張到詐騙、盜竊等非計(jì)算機(jī)犯罪,擴(kuò)張本罪適用范圍。

第一,擇一重罪處罰導(dǎo)致罪名適用擴(kuò)張。以“其他工具”為基礎(chǔ)判定“提供工具罪”,需行為人明知他人實(shí)施侵入、非法控制計(jì)算機(jī)信息系統(tǒng)犯罪而為其提供程序、工具。雖然在字面上,法條未提及非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪,但從體系性解釋的角度考慮,此處也應(yīng)該包括非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪(下合稱“侵入、獲取、控制三罪”)。(17)參見喻海松:《〈關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋〉的理解與適用》,載《人民司法》2011年19期。擇一重罪處罰導(dǎo)致罪名適用擴(kuò)張是指,被幫助行為人同時構(gòu)成“侵入、獲取、控制三罪”和其他犯罪,按照牽連犯或想象競合犯等擇一重罪處罰時,最終以非計(jì)算機(jī)犯罪進(jìn)行定罪的情形。在被幫助行為同時構(gòu)成其他犯罪和“侵入、獲取、控制三罪”時,擇一重罪處罰并未擴(kuò)張“提供工具罪”的適用范圍,符合罪刑法定原則。但這種處理方式只能存在于以“其他工具”為基礎(chǔ)判定構(gòu)成“提供工具罪”的場合,否則將超出“‘專門工具’只能用于實(shí)施非法侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的用途”的應(yīng)有之意。

第二,寬松認(rèn)定“專門工具”導(dǎo)致罪名適用擴(kuò)張。以“專門工具”入罪,不要求被幫助的犯罪行為構(gòu)成犯罪,也無需考慮被幫助行為構(gòu)成何罪。許多涉案軟件程序不具有非法獲取數(shù)據(jù)或非法控制系統(tǒng)的功能,但司法人員為減少入罪障礙常直接將其認(rèn)定為“專門工具”。如在“鐘全喜出售賭資統(tǒng)計(jì)軟件案”(18)參見安徽省含山縣人民法院(2020)皖0522刑初21號刑事判決書。中,被告人向他人出售統(tǒng)計(jì)軟件,供他人在微信賭博群內(nèi)統(tǒng)計(jì)賭資。經(jīng)鑒定,該統(tǒng)計(jì)軟件能夠向微信主程序注入代碼文件,在微信軟件中增加賭博功能,法院認(rèn)為被告人提供“專門工具”供他人用于微信賭博統(tǒng)計(jì),構(gòu)成“提供工具罪”。本案中,軟件使用者利用微信與賭資統(tǒng)計(jì)軟件開設(shè)線上賭場,構(gòu)成開設(shè)賭場罪,不構(gòu)成“侵入、獲取、控制三罪”,若將該軟件認(rèn)定為“其他工具”將導(dǎo)致無法入罪,故法院只能以“專門工具”入罪。但是,本案被告人的目的是通過反編譯破解微信代碼,繞過微信的插件安全識別措施,使得自己開發(fā)的賭博軟件能夠與微信主程序“捆綁”。該賭博軟件與“脫機(jī)類外掛”相似,能夠“偽裝”成微信客戶端程序訪問微信服務(wù)器,但其獲取的信息系賭客在線上賭博時產(chǎn)生的用戶個人信息,不屬于微信系統(tǒng)的數(shù)據(jù)。換言之,該賭博軟件雖侵入了計(jì)算機(jī)信息系統(tǒng),但未非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù),也未非法控制計(jì)算機(jī)信息系統(tǒng)。即便被告人在反編譯過程中獲得了軟件代碼,也只能認(rèn)定為侵犯著作權(quán)罪,因?yàn)榉淳幾g在技術(shù)上不是侵入行為而不構(gòu)成“提供工具罪”。因此,將類似統(tǒng)計(jì)軟件認(rèn)定為“專門工具”違反《計(jì)算機(jī)司法解釋》的規(guī)定。

另外,上文提及的刷量軟件、翻墻軟件的罪名適用爭議也體現(xiàn)了該罪擴(kuò)張適用的現(xiàn)象。使用刷量軟件的粉絲、使用翻墻軟件瀏覽國外網(wǎng)站的用戶不構(gòu)成犯罪,兩種軟件只是單方面向境外計(jì)算機(jī)系統(tǒng)發(fā)送訪問請求,不具備非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)或非法控制計(jì)算機(jī)信息系統(tǒng)的功能,甚至目標(biāo)計(jì)算機(jī)信息系統(tǒng)(如國外網(wǎng)站)允許任何用戶訪問,將該兩類軟件認(rèn)定為“專門工具”是為了入罪而無視“專門工具”的技術(shù)判斷,導(dǎo)致“提供工具罪”的濫用。

四、“提供工具罪”濫用的應(yīng)對路徑

本文認(rèn)為,解決“提供工具罪”濫用需從三個方向同時入手:一是劃清“專門工具”與“其他工具”的界限,防止濫用“專門工具”而降低入罪門檻;二是明確“專門工具”認(rèn)定標(biāo)準(zhǔn)中的專業(yè)名詞,防止純技術(shù)的簡單判斷或者唯后果論的規(guī)范評價(jià);三是理清“提供工具罪”中的共犯關(guān)系,防止幫助行為正犯化型罪名的濫用。

(一)區(qū)分“專門工具”與“其他工具”的關(guān)鍵在于程序設(shè)計(jì)目的

司法實(shí)踐混淆“專門工具”與“其他工具”界限的原因之一在于,將“行為”和“目的”混為一談。“專門工具”是“只能”被用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具,而“其他工具”是“可以”被用于侵入計(jì)算機(jī)信息系統(tǒng)的程序、工具,兩者的區(qū)別是程序、工具的設(shè)計(jì)目的——是否以非法獲取數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)為目標(biāo)。

1.“專門工具”不一定具有侵入功能

實(shí)踐中常見的誤解是:“專門工具”具有侵入功能,可以直接構(gòu)成“提供工具罪”;而“其他工具”不具有侵入功能,若明知被用于實(shí)施計(jì)算機(jī)犯罪仍提供也可以構(gòu)成“提供工具罪”。實(shí)際上,被用于非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)和非法控制計(jì)算機(jī)信息系統(tǒng)的程序、工具,不一定具有侵入功能。根據(jù)《刑法》第285條第二款規(guī)定,構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、非法控制計(jì)算機(jī)信息系統(tǒng)罪有“侵入計(jì)算機(jī)信息系統(tǒng)”和“采用其他技術(shù)手段”兩種方式?！捌渌夹g(shù)手段”意味著使用“侵入”以外的方式非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng),常見的“其他技術(shù)手段”有撞庫軟件、(19)參見江蘇省宿遷市中級人民法院(2020)蘇13刑終23號刑事裁定書。釣魚網(wǎng)站、(20)參見江蘇省蘇州市吳江區(qū)人民法院(2021)蘇0509刑初1065號刑事判決書。接碼平臺(21)參見江蘇省徐州市泉山區(qū)人民法院(2021)蘇0311刑初441號刑事判決書。等。在“提供工具罪”語境下,撞庫軟件是專門用于非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)的“專門工具”;(22)參見最高人民檢察院第十八批指導(dǎo)性案例中的“葉源星案”。釣魚網(wǎng)站是可以被用于非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)的“其他工具”;(23)參見浙江省麗水市中級人民法院(2017)浙11刑終67號刑事判決書。接碼平臺目前尚未涉及“提供工具罪”,對其一般按照幫助犯以幫助信息網(wǎng)絡(luò)犯罪活動罪定罪。可見,區(qū)分“專門工具”和“其他工具”并非以是否具有侵入功能為依據(jù),而是以實(shí)際用途為依據(jù)。

2.“專門工具”與“其他工具”的區(qū)別在于是否以“非法獲取數(shù)據(jù)”“非法控制系統(tǒng)”為目的

“專門工具”與“其他工具”都可以被用于非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng),區(qū)分兩者的依據(jù)是其功能設(shè)計(jì)是否以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)為目的。例如,外掛軟件的設(shè)計(jì)目的是節(jié)約操作時間、在競爭中作弊、獲取額外操作功能等,而不是非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)。因此,外掛軟件(24)并非所有外掛軟件都具有侵入功能,此處僅指具有侵入功能的外掛軟件。屬于“其他工具”,只有被用于實(shí)施“侵入、獲取、控制三罪”時才可構(gòu)成“提供工具罪”,否則應(yīng)按照侵犯著作權(quán)罪、非法經(jīng)營罪等定罪。又如,釣魚網(wǎng)站既可以用于獲取用戶的身份認(rèn)證信息(即嚴(yán)格意義上的系統(tǒng)數(shù)據(jù)),也可用于獲取公民的個人信息(如身份證號碼、手機(jī)號碼),只有被用于實(shí)施獲取身份認(rèn)證信息時才可構(gòu)成“提供工具罪”。

結(jié)合限制中立幫助行為可罰性的理論,本文認(rèn)為,判斷提供程序、工具的行為是否可以構(gòu)成“提供工具罪”,應(yīng)從涉案程序的行政違法性、實(shí)際功能及設(shè)計(jì)目的三個層面進(jìn)行判斷(如表3所示)。

表3:“提供工具罪”認(rèn)定邏輯結(jié)構(gòu)

按上圖的邏輯,在認(rèn)定“專門工具”時,對于具有侵入功能的程序、工具,需判斷其是否以“非法獲取數(shù)據(jù)”或“非法控制系統(tǒng)”為設(shè)計(jì)目的;對于不具有侵入功能的程序、工具,還需判斷其是否在“其他技術(shù)手段”的輻射范圍內(nèi)。具有侵入功能并不直接決定待證工具是“專門工具”還是“其他工具”,但會影響入罪路徑與難度?！队?jì)算機(jī)司法解釋》第二條第(一)(二)項(xiàng)將“避開或者突破安全保護(hù)措施”“未經(jīng)授權(quán)或者超越授權(quán)”作為認(rèn)定“專門工具”的條件之一,對應(yīng)《刑法》第285條第2款中的“侵入計(jì)算機(jī)信息系統(tǒng)”;而第3款兜底性條款則為“其他技術(shù)手段”提供入罪空間。因此“非法獲取數(shù)據(jù)”或“非法控制系統(tǒng)”是認(rèn)定“專門工具”的必要條件,而“侵入(功能)”不是。將三者放在同等地位,是對司法解釋的誤解。

3.“非法獲取數(shù)據(jù)”“非法控制系統(tǒng)”應(yīng)受技術(shù)判斷和規(guī)范評價(jià)兩層限制

第一,在認(rèn)定“非法獲取數(shù)據(jù)”時,司法機(jī)關(guān)應(yīng)更重視規(guī)范評價(jià)。對于“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)”而言,“數(shù)據(jù)”在技術(shù)上指以二進(jìn)制信息單元0、1的形式表示的信息載體,記錄的信息包括聲音、圖像、符號、文字等。從技術(shù)角度理解“數(shù)據(jù)”,其范圍是極為寬泛的,不能把以非法手段獲取的數(shù)據(jù)都認(rèn)定為“非法獲取數(shù)據(jù)”。《計(jì)算機(jī)司法解釋》第一條將“數(shù)據(jù)”的范圍限縮為身份認(rèn)證信息,無法適應(yīng)實(shí)踐中的復(fù)雜情況,因此需在此基礎(chǔ)上從法律角度對“數(shù)據(jù)”的范圍進(jìn)行適當(dāng)擴(kuò)張。因此,界定“數(shù)據(jù)”的范圍需要在技術(shù)判斷的基礎(chǔ)上進(jìn)行規(guī)范評價(jià),這就要考慮手段的非法性,即“非法獲取數(shù)據(jù)”的“非法性”體現(xiàn)在所要獲取的數(shù)據(jù)是合法手段無法獲得的。例如,“釣魚網(wǎng)站”獲取用戶身份認(rèn)證信息屬于“非法獲取數(shù)據(jù)”,而“爬蟲軟件”抓取公開網(wǎng)頁數(shù)據(jù)則不屬于,以合法手段能夠獲得的數(shù)據(jù)不在“非法獲取數(shù)據(jù)”的評價(jià)范圍內(nèi)。

第二,在認(rèn)定“非法控制系統(tǒng)”時,司法機(jī)關(guān)應(yīng)更重視技術(shù)判斷。對于“非法控制計(jì)算機(jī)信息系統(tǒng)”而言,“控制”的詞義是“使計(jì)算機(jī)系統(tǒng)執(zhí)行管理員或用戶發(fā)出的指令”。從技術(shù)判斷的角度理解“非法控制”,應(yīng)是使計(jì)算機(jī)系統(tǒng)執(zhí)行“超出系統(tǒng)授權(quán)的指令”,而非所有“以非常規(guī)手段發(fā)送的指令”。破壞計(jì)算機(jī)信息系統(tǒng)的行為?！耙苑浅Ｒ?guī)手段發(fā)送的指令”的方式實(shí)現(xiàn),使系統(tǒng)無法正常運(yùn)行。例如,手機(jī)轟炸軟件通過惡意呼叫使得用戶手機(jī)無法正常使用,屬于破壞計(jì)算機(jī)信息系統(tǒng)的行為,而不能認(rèn)定為非法控制計(jì)算機(jī)信息系統(tǒng)?！胺欠刂葡到y(tǒng)”的“非法性”體現(xiàn)在其發(fā)送給計(jì)算機(jī)執(zhí)行的指令內(nèi)容是未經(jīng)授權(quán)或超出授權(quán)的,如木馬病毒向計(jì)算機(jī)發(fā)送的“修改文件、格式化硬盤”的操作指令屬于“非法控制系統(tǒng)”;相反,行為人私自開發(fā)第三方炒股分倉軟件,通過股民賬號向服務(wù)器發(fā)送的交易指令,沒有超越系統(tǒng)的授權(quán)進(jìn)行操作,就不屬于“非法控制系統(tǒng)”。

從技術(shù)判斷和規(guī)范評價(jià)兩個角度綜合理解“非法獲取數(shù)據(jù)”“非法控制系統(tǒng)”,在遵循技術(shù)本質(zhì)的同時結(jié)合行為的非法目的、結(jié)果判斷“數(shù)據(jù)”和“控制”,避免了定義過窄,在滿足司法實(shí)踐需要的同時又防止了無序擴(kuò)張罪名的口袋化危險(xiǎn)。

(二)對“授權(quán)”“保護(hù)措施”做出法學(xué)定義

在司法實(shí)務(wù)中,法官一般將“侵入”理解為避開或突破計(jì)算機(jī)信息安全保護(hù)措施,未經(jīng)授權(quán)或超越授權(quán)的訪問行為。如何理解“訪問”“授權(quán)”,是界定“侵入”的核心。有國外學(xué)者提出,對于“訪問(access)”應(yīng)做廣義理解(即任何成功與計(jì)算機(jī)發(fā)生交互的行為),而對于“授權(quán)(authorization)”則要按照程序編碼進(jìn)行限制性解釋。(25)同前注,Orin S. Kerr文。我國學(xué)界并未深入討論這幾個術(shù)語,界定“侵入”的認(rèn)定標(biāo)準(zhǔn),需要先對“授權(quán)”和“保護(hù)措施”做出法學(xué)定義。

1.“授權(quán)”是程序編碼設(shè)定的權(quán)限

第一,追本逐源,在計(jì)算機(jī)犯罪發(fā)源地,“授權(quán)”存在多種解釋。美國《計(jì)算機(jī)欺詐和濫用法案》(下簡稱“CFAA”)規(guī)定了七種計(jì)算機(jī)犯罪,也以“未經(jīng)授權(quán)或超越授權(quán)”為構(gòu)罪要件,(26)除了1030(a)(5)(A)(i)與(a)(7)款。實(shí)踐中“授權(quán)”共出現(xiàn)了三種解釋:(1)程序編碼設(shè)定的權(quán)限(下簡稱“技術(shù)授權(quán)”),指計(jì)算機(jī)信息系統(tǒng)的權(quán)利人通過程序編碼等技術(shù)手段對用戶的身份進(jìn)行識別,進(jìn)而對用戶的使用權(quán)限做出限制。例如,用戶只有輸入賬號和密碼、使用特定的客戶端程序、互聯(lián)網(wǎng)協(xié)議地址、訪問設(shè)備才可以訪問服務(wù)器,遵循這一認(rèn)證邏輯就是授權(quán)訪問,采用這一觀點(diǎn)的代表案例有莫里斯案,(27)See United States v．Morris, 928 F.2d 504 (1991) ．莫里斯開發(fā)了一款“蠕蟲”程序并在網(wǎng)絡(luò)上發(fā)布,旨在證明其發(fā)現(xiàn)了一項(xiàng)計(jì)算機(jī)信息系統(tǒng)的重大漏洞,導(dǎo)致美國境內(nèi)大部分計(jì)算機(jī)信息系統(tǒng)癱瘓。(2)服務(wù)協(xié)議約定設(shè)立的權(quán)限(下簡稱“合意授權(quán)”),指計(jì)算機(jī)信息系統(tǒng)的權(quán)利人通過服務(wù)協(xié)議條款的方式與用戶約定使用權(quán)限。例如,用戶在注冊賬戶時需同意軟件開發(fā)者事先擬定的用戶協(xié)議及隱私條款,注冊成功后方可使用軟件的相應(yīng)功能,遵循這些協(xié)議要求才是授權(quán)訪問,采用這一觀點(diǎn)的代表案例有洛麗·德魯案,(28)See United States v. Drew, 259 F.R.D. 449 (2009).洛麗·德魯?shù)呐畠号c少女梅根·梅爾因一些原因交惡,洛麗為給女兒出氣使用虛假身份在社交網(wǎng)站注冊賬號并與梅根“交往”,隨后又煽動網(wǎng)友對梅根實(shí)施網(wǎng)絡(luò)暴力,導(dǎo)致梅根自殺。(3)以代理規(guī)則為依據(jù)的代理人權(quán)限(下簡稱“代理授權(quán)”),即以民事代理中的規(guī)定來判斷代理人在行使訪問行為時是否未經(jīng)授權(quán)或超越授權(quán)。例如,公司將其社交媒體賬號交由其員工使用,并以命令等公司規(guī)定的方式限制員工的使用權(quán)限,員工違反公司規(guī)定就是超越授權(quán)訪問,采用這一觀點(diǎn)的代表案例有“賽佳德倉儲中心公司訴賽福佳德自存?zhèn)}儲公司案”,(29)See Shurgard Storage Centers, Inc. v. Safeguard Self Storage, Inc.,119 F. Supp. 2d 1121 (2000).賽佳德公司買通了賽福佳德公司的地方部門經(jīng)理埃里克·利蘭及其他幾個員工,讓他們利用職務(wù)之便將賽福佳德公司電腦中的商業(yè)秘密通過郵件發(fā)送給賽佳德公司。

第二,我國《刑法》未對“未經(jīng)授權(quán)、超越授權(quán)”做出定義,實(shí)踐中未形成統(tǒng)一標(biāo)準(zhǔn)。一方面,判決書很少解釋“未經(jīng)授權(quán)、超越授權(quán)”。筆者以中國裁判文書網(wǎng)為數(shù)據(jù)庫,檢索2012年至2023年7月間案由為“提供工具罪”的裁判文書,800余篇文書中僅有20篇在判決主文部分提及“未經(jīng)授權(quán)”,僅6篇文書在判決主文部分提及“超越授權(quán)”,僅5篇對“未經(jīng)授權(quán)”進(jìn)行簡單解釋。另一方面,契約型“合意授權(quán)”也成為定罪依據(jù)。如在“張某等轉(zhuǎn)發(fā)定位數(shù)據(jù)案”中,被告人張某等注冊了某定位公司的會員賬號后,獲取了精準(zhǔn)定位數(shù)據(jù),再利用其編寫的程序轉(zhuǎn)發(fā)給他人以牟利。按照用戶協(xié)議,一個賬號只能給一個客戶使用,客戶不能以任何形式轉(zhuǎn)發(fā)其獲取的定位數(shù)據(jù)。對張某“合法獲取數(shù)據(jù)、違約轉(zhuǎn)發(fā)數(shù)據(jù)”的行為,法院認(rèn)定構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。(30)參見浙江省湖州市中級人民法院(2021)浙05刑終87號刑事裁定書。這就是采用契約型“合意授權(quán)”判斷“超越授權(quán)”,把張某的違約行為作為犯罪處理。張某通過購買服務(wù)的方式合法獲取了定位公司的數(shù)據(jù)后,超越用戶協(xié)議的授權(quán)而轉(zhuǎn)發(fā)數(shù)據(jù)牟利,侵犯了定位公司的數(shù)據(jù)權(quán)、商業(yè)秘密或知識產(chǎn)權(quán),主要屬于民事侵權(quán)行為。即便情節(jié)嚴(yán)重需要定罪,也屬于侵犯著作權(quán)罪,而不屬于“超越授權(quán)非法獲取數(shù)據(jù)”。否則,大量違反用戶協(xié)議的違約行為,都可能被作為犯罪處理。

第三,我國《刑法》應(yīng)當(dāng)采用“技術(shù)授權(quán)”的標(biāo)準(zhǔn)判斷“侵入”?！昂弦馐跈?quán)”和“代理授權(quán)”均是民事行為的權(quán)利基礎(chǔ),屬于民法的意思自治規(guī)范,以其作為刑事違法性的認(rèn)定標(biāo)準(zhǔn)有違罪刑法定原則。美國法院已經(jīng)注意到,濫用CFAA會使無數(shù)用戶因整體上的無害行為而受到刑事制裁并承擔(dān)民事責(zé)任。例如,濫用CFAA會過度打擊只是違反服務(wù)協(xié)議的用戶,如在社交網(wǎng)站上謊報(bào)年齡與性別;也可能打擊僅違反了公司規(guī)定的員工,如公司為員工提供了限制訪問權(quán)限的計(jì)算機(jī),規(guī)定僅能用于公司商業(yè)目的,而員工使用公司計(jì)算機(jī)查看棒球比賽的比分。(31)See David J. Schmitt, the Computer Fraud and Abuse Act Should Not Apply to The Misuse of Information Accessed with Permission,Creighton Law Review,Vol.47, 2014, p.423 .因此,在“授權(quán)”的標(biāo)準(zhǔn)上,美國聯(lián)邦法院在刑事案件中普遍以“技術(shù)授權(quán)”為依據(jù),在洛麗·德魯案之后就很少適用“合意授權(quán)”;(32)洛麗·德魯被指控違反CFAA規(guī)定,未經(jīng)授權(quán)或超越授權(quán)訪問計(jì)算機(jī),非法獲取信息。法院最終依據(jù)憲法上的明確性原則,判定以“違反服務(wù)協(xié)議條款”為由認(rèn)定刑事違法性不當(dāng),撤銷了對洛麗的指控。而“代理授權(quán)”一般適用于民事賠償。(33)參見高仕銀:《計(jì)算機(jī)網(wǎng)絡(luò)犯罪規(guī)制中的“未經(jīng)授權(quán)”與“超越授權(quán)”——中美比較研究》,載《時代法學(xué)》2020年第1期。相較于美國法院,我國司法機(jī)關(guān)對“未經(jīng)授權(quán)”和“超越授權(quán)”尚未形成統(tǒng)一判斷標(biāo)準(zhǔn),導(dǎo)致寬松地認(rèn)定“侵入行為”。未來,我國司法機(jī)關(guān)在認(rèn)定“侵入行為”時,應(yīng)以“技術(shù)授權(quán)”作為判斷標(biāo)準(zhǔn),并在裁判文書中闡明“授權(quán)”的來源與內(nèi)容,以明確區(qū)分違約、侵權(quán)與犯罪的界限。

2.“安全保護(hù)措施”僅限于系統(tǒng)安全和網(wǎng)絡(luò)安全保護(hù)措施

第一,計(jì)算機(jī)犯罪語境下的“安全保護(hù)措施”是技術(shù)上的安全保護(hù)措施?！鞍踩Ｗo(hù)措施”在計(jì)算機(jī)領(lǐng)域沒有統(tǒng)一定義。國際標(biāo)準(zhǔn)化委員會對“計(jì)算機(jī)安全”的定義是“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)的和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。”在計(jì)算機(jī)領(lǐng)域,“安全保護(hù)措施”是一個包含硬件、軟件、數(shù)據(jù)等多個層面的廣義概念。有學(xué)者指出,要建立一個完整的網(wǎng)絡(luò)信息安全系統(tǒng),至少應(yīng)包括三類措施:法律法規(guī)、規(guī)章制度和安全教育等外部措施、技術(shù)措施以及審計(jì)和管理措施。(34)參見趙瑞霞:《淺談涉密計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)措施》,載《網(wǎng)絡(luò)安全技術(shù)與應(yīng)用》2010年第5期?？梢?計(jì)算機(jī)領(lǐng)域的“安全保護(hù)措施”是一個含義多變的概念。對此可以看一下計(jì)算機(jī)發(fā)源地的做法,美國《計(jì)算機(jī)欺詐和濫用法案》并沒有規(guī)定“保護(hù)措施”,而是以“受保護(hù)的(protected)計(jì)算機(jī)”指稱犯罪對象。在實(shí)務(wù)中,連接到互聯(lián)網(wǎng)的計(jì)算機(jī)均可認(rèn)定為“受保護(hù)的計(jì)算機(jī)”,(35)See Simmonds Equipment, LLC v. GGR Intern., Inc., 126 F.Supp.3d 855(2015).而連接內(nèi)部網(wǎng)絡(luò)或不聯(lián)網(wǎng)的計(jì)算機(jī)則不屬于保護(hù)對象。本文認(rèn)為,計(jì)算機(jī)犯罪語境下的“保護(hù)措施”首先應(yīng)是在計(jì)算機(jī)信息系統(tǒng)連接公共網(wǎng)絡(luò)時起保護(hù)作用的技術(shù)措施,法律法規(guī)等外部措施與審計(jì)、管理措施,因不直接作用于計(jì)算機(jī)信息系統(tǒng)的聯(lián)網(wǎng)機(jī)制而應(yīng)被排除在外。

第二,“提供工具罪”語境下的“保護(hù)措施”不涉及硬件與環(huán)境安全、數(shù)據(jù)庫安全與應(yīng)用系統(tǒng)安全。一般認(rèn)為,技術(shù)上的安全保護(hù)措施具體可分為五種類型:硬件與環(huán)境安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)安全。(36)參見耿珺:《計(jì)算機(jī)信息系統(tǒng)安全防護(hù)措施探討》,載《信息與電腦(理論版)》2011年第12期。

本文認(rèn)為,《刑法》上的“保護(hù)措施”不包括硬件與環(huán)境安全、數(shù)據(jù)庫安全、應(yīng)用系統(tǒng)安全,理由如下:

首先,“硬件與環(huán)境安全”屬于固定設(shè)備安全,沒有現(xiàn)代計(jì)算機(jī)的特殊屬性。無論是針對計(jì)算機(jī)信息系統(tǒng)實(shí)施的狹義計(jì)算機(jī)犯罪,還是通過網(wǎng)絡(luò)實(shí)施的廣義網(wǎng)絡(luò)犯罪,均與虛擬網(wǎng)絡(luò)世界有關(guān),而硬件和環(huán)境安全主要是固定設(shè)備層面的。現(xiàn)代計(jì)算機(jī)的主要特征是聯(lián)網(wǎng),否則,傳統(tǒng)汽車、冰箱、車床的操作系統(tǒng),都會被認(rèn)定為“計(jì)算機(jī)信息系統(tǒng)”。文件加密技術(shù)、硬件訪問控制技術(shù)、防電磁泄露技術(shù)、防復(fù)制技術(shù)等具體措施,主要防止他人使用移動存儲設(shè)備或外接設(shè)備非法獲取計(jì)算機(jī)信息系統(tǒng)內(nèi)存儲的數(shù)據(jù),與計(jì)算機(jī)信息系統(tǒng)是否聯(lián)網(wǎng)無關(guān),其同外部措施和管理措施一樣,不是“計(jì)算機(jī)的安全保護(hù)措施”。

其次,按照我國《刑法》的歸類,“數(shù)據(jù)庫安全”屬于破壞計(jì)算機(jī)信息系統(tǒng)罪的評價(jià)范圍?！皵?shù)據(jù)庫安全”與“網(wǎng)絡(luò)安全”的保護(hù)措施存在一定程度的重疊,如防火墻、高強(qiáng)度身份認(rèn)證系統(tǒng)等,這些措施主要防止數(shù)據(jù)庫中的數(shù)據(jù)被用戶非法獲取。而剔除重合部分,數(shù)據(jù)庫安全的保護(hù)措施主要防止數(shù)據(jù)被非法用戶刪除、修改、增加。按照《刑法》第286條規(guī)定,對計(jì)算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作,應(yīng)評價(jià)為破壞計(jì)算機(jī)信息系統(tǒng)罪,故意制作、傳播計(jì)算機(jī)病毒等破壞性程序的也依照破壞計(jì)算機(jī)信息系統(tǒng)罪處理。因此在防止非法“獲取”數(shù)據(jù)的保護(hù)措施已被“網(wǎng)絡(luò)安全”涵蓋的情況下,將“數(shù)據(jù)庫安全”從“提供工具罪”語境下的“保護(hù)措施”中剔除,有利于實(shí)踐分清“提供工具罪”和破壞計(jì)算機(jī)信息系統(tǒng)罪。

再次,“應(yīng)用系統(tǒng)安全”屬于“代理授權(quán)”或“合意授權(quán)”評價(jià)的內(nèi)容?！皯?yīng)用系統(tǒng)安全”中的驗(yàn)證輸出數(shù)據(jù)、審查日志、管理用戶訪問、責(zé)任分離等措施雖需通過技術(shù)手段實(shí)現(xiàn),但本質(zhì)是管理措施的延伸,主要防范系統(tǒng)內(nèi)部網(wǎng)絡(luò)的違規(guī)操作而非公共網(wǎng)絡(luò)。其防護(hù)對象是系統(tǒng)管理人員和合法用戶,防止用戶的錯誤操作對系統(tǒng)自身造成破壞。例如,在“張某等轉(zhuǎn)發(fā)定位數(shù)據(jù)案”中,張某經(jīng)營的公司曾為該定位公司的分銷商,其獲取的數(shù)據(jù)來源于分銷系統(tǒng),該公司發(fā)現(xiàn)張某轉(zhuǎn)發(fā)數(shù)據(jù)行為后更新了分銷系統(tǒng)服務(wù)協(xié)議與用戶協(xié)議,明確規(guī)定禁止轉(zhuǎn)發(fā)數(shù)據(jù),且終止張某公司的分銷商資格,但張某編寫程序突破系統(tǒng)的賬號認(rèn)證、位置識別、處置轉(zhuǎn)發(fā)行為等保護(hù)措施,繼續(xù)轉(zhuǎn)發(fā)數(shù)據(jù)。該行為與“賽佳德倉儲中心公司訴賽福佳德自存?zhèn)}儲公司案”中員工擅自轉(zhuǎn)發(fā)公司的商業(yè)機(jī)密類似,即“獲取”數(shù)據(jù)合規(guī)而“轉(zhuǎn)發(fā)”數(shù)據(jù)違規(guī),屬于違反“代理授權(quán)”或“合意授權(quán)”的行為。因此突破“應(yīng)用系統(tǒng)安全”的安全防護(hù)措施應(yīng)屬于民事違約或侵權(quán)而非刑事犯罪。

最后,“操作系統(tǒng)安全”的主要功能是控制系統(tǒng)的運(yùn)行、管理計(jì)算機(jī)各種資源、防止計(jì)算機(jī)信息系統(tǒng)被他人非法控制;“網(wǎng)絡(luò)安全”主要是阻止非法用戶遠(yuǎn)程實(shí)施對計(jì)算機(jī)信息系統(tǒng)的非法訪問、破壞或者攔截,防止計(jì)算機(jī)信息系統(tǒng)的數(shù)據(jù)被非法獲取。因此,“操作系統(tǒng)安全”和“網(wǎng)絡(luò)安全”符合“提供工具罪”中“保護(hù)措施”的定義,我國司法實(shí)踐基本上也是按照這一思路認(rèn)定“提供工具罪”。

綜上所述,“提供工具罪”語境下“保護(hù)措施”的法學(xué)定義是“為保護(hù)計(jì)算機(jī)信息系統(tǒng)的操作系統(tǒng)安全與網(wǎng)絡(luò)安全所采取的技術(shù)措施”。根據(jù)該定義,長城防火墻等國家網(wǎng)絡(luò)安全監(jiān)管措施屬于政策層面的外部措施,公司對于員工IC卡的使用限制規(guī)定屬于審計(jì)和管理措施,兩者都不是為保護(hù)操作系統(tǒng)和網(wǎng)絡(luò)安全而采取的技術(shù)措施。因此,使用翻墻軟件、使用復(fù)制的IC卡不屬于侵入計(jì)算機(jī)信息系統(tǒng),提供翻墻服務(wù)、出售IC卡的行為也不構(gòu)成“提供工具罪”。未來,我國應(yīng)以司法解釋的方式規(guī)定“保護(hù)措施”的具體類型,將法律法規(guī)、規(guī)章制度和安全教育等外部措施,以及審計(jì)和管理措施排除在外,讓司法機(jī)關(guān)更清晰地理解“提供工具罪”的適用場景。

(三)以被幫助行為的性質(zhì)限制罪名適用

幫助行為的正犯化,不代表正犯行為與幫助行為的完全“松綁”。“提供工具罪”的入罪與量刑有獨(dú)立標(biāo)準(zhǔn),但其定性不應(yīng)完全脫離被幫助行為的性質(zhì)。在被幫助行為構(gòu)成“侵入、獲取、控制三罪”時,提供工具者可以成立“提供工具罪”沒有爭議,而被幫助行為構(gòu)成其他罪名或不構(gòu)成犯罪時,應(yīng)限制“提供工具罪”的適用。

1.被幫助行為人構(gòu)成其他罪名分兩種情形

在“提供工具罪”中,被幫助者以其他罪名定罪存在兩種可能:一是被幫助者同時構(gòu)成“侵入、獲取、控制三罪”和其他犯罪,以擇一重罪處罰的定罪規(guī)則處理;二是不考慮被幫助行為人的行為性質(zhì),以行為人提供“專門工具”為依據(jù)入罪。

第一,被幫助者擇一重罪處罰時只能以“其他工具”入罪,此時應(yīng)以行為人“明知”他人實(shí)施了“侵入、獲取、控制三罪”為構(gòu)罪要件。以釣魚網(wǎng)站為例,釣魚網(wǎng)站是“其他工具”,既可以被用于獲取賬號、密碼等身份認(rèn)證信息;也可以被用于獲取身份證號碼、手機(jī)號碼、銀行卡密碼等個人信息;亦可以被用于實(shí)施詐騙、盜竊、信用卡詐騙等犯罪。所以,只要在行為人明知他人實(shí)施“侵入、獲取、控制三罪”仍為其提供釣魚網(wǎng)站時才可以認(rèn)定為“提供工具罪”。

第二,以行為人提供“專門工具”為依據(jù)入罪,應(yīng)嚴(yán)格遵循“專門工具”的認(rèn)定標(biāo)準(zhǔn)。一方面,“專門工具”以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)和非法控制計(jì)算機(jī)信息系統(tǒng)為目的,在解釋“非法獲取數(shù)據(jù)”“非法控制系統(tǒng)”時應(yīng)從技術(shù)和規(guī)范兩個角度綜合理解,嚴(yán)格區(qū)分“專門工具”與“其他工具”(對應(yīng)《計(jì)算機(jī)司法解釋》第二條第(一)(二)項(xiàng)中“獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)功能”“控制計(jì)算機(jī)信息系統(tǒng)功能”)。另一方面,“專門工具”有“具有侵入功能的程序、工具”和“其他技術(shù)手段”兩類?！熬哂星秩牍δ艿某绦?、工具”是具有避開或突破計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施、未經(jīng)授權(quán)或者超越授權(quán)訪問計(jì)算機(jī)信息系統(tǒng)功能的程序、工具(對應(yīng)《計(jì)算機(jī)司法解釋》第二條第(一)(二)項(xiàng)),“其他技術(shù)手段”的范圍應(yīng)參照非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、非法控制計(jì)算機(jī)信息系統(tǒng)罪的規(guī)定(對應(yīng)《計(jì)算機(jī)司法解釋》第二條第(一)項(xiàng))。

2.被幫助者不構(gòu)成犯罪時只能以“專門工具”入罪

當(dāng)被幫助者不構(gòu)成犯罪時,“明知‘侵入、獲取、控制三罪’”這一要件無法成立,無法以“其他工具”入罪,只能以“專門工具”入罪。需要注意,在“被幫助者不構(gòu)成犯罪”而以“專門工具”入罪時,也不能脫離共犯關(guān)系的鉗制,即“被幫助者不構(gòu)成犯罪”僅是訴訟法上的無罪而非實(shí)體法上的無罪。訴訟法上的無罪情形包括:(1)(有預(yù)備行為)未著手實(shí)施犯罪的;(2)情節(jié)輕微,未達(dá)入罪標(biāo)準(zhǔn),不作為犯罪處理的;(3)查證成本過大或無法查證,現(xiàn)有證據(jù)無法證明其構(gòu)成犯罪的;(4)符合《中華人民共和國刑事訴訟法》其他不起訴規(guī)定的(如相對不訴、合規(guī)不訴)。若被幫助者的行為在實(shí)體法上無罪,則不能以“提供工具罪”入罪。例如,提供作弊型外掛軟件、翻墻軟件,使用者(被幫助者)在實(shí)體法上無罪,對提供工具者只能尋找非法經(jīng)營罪、侵犯著作權(quán)罪、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪等其他入罪路徑。

五、結(jié)語:刑法對技術(shù)應(yīng)持寬容之心

在網(wǎng)絡(luò)犯罪激增的當(dāng)下,刑法應(yīng)當(dāng)“打早打小”但不能打中立技術(shù)?！缎谭ā返?85條最初以保護(hù)國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)安全為目的。隨著移動智能設(shè)備的普及,非法技術(shù)成為孕育網(wǎng)絡(luò)犯罪的溫床,立法者意識到對非法網(wǎng)絡(luò)幫助行為有獨(dú)立處罰的必要性,應(yīng)為共犯行為設(shè)立獨(dú)立罪名,“提供工具罪”應(yīng)運(yùn)而生。自本罪設(shè)立以來,非法技術(shù)更新迭代,網(wǎng)絡(luò)犯罪手段也層出不窮,“提供工具罪”的打擊范圍也隨之?dāng)U大,具有一定中立性的程序和工具逐漸成為打擊對象。刑法應(yīng)當(dāng)推動技術(shù)的正當(dāng)化使用,但不能過度干預(yù)技術(shù),在技術(shù)高速進(jìn)步與法律相對滯后的張力中,刑法不妨“讓技術(shù)飛一會”。傳統(tǒng)共犯理論難以應(yīng)對日益嚴(yán)重的網(wǎng)絡(luò)犯罪,司法者采用積極刑法觀擴(kuò)大刑法打擊范圍,對于治理網(wǎng)絡(luò)空間亂象具有正面意義。但是,在傳統(tǒng)刑法向預(yù)防刑法轉(zhuǎn)變時,刑法應(yīng)當(dāng)為技術(shù)留下緩沖余地,在認(rèn)定技術(shù)型網(wǎng)絡(luò)犯罪時應(yīng)當(dāng)恪守罪刑法定原則,既要編織嚴(yán)密法網(wǎng)也要為技術(shù)發(fā)展提供空間。