——基于数据与信息二元界分及权限突破视角
观点:破解非法获取计算机信息系统数据罪的司法困局,需构建“技术—法律—证据”三位一体的分析框架:技术上区分数据与信息载体,法律上厘清系统安全与个体权益的界限,证据上强化技术性要件的实质审查。辩护策略需围绕“授权链条完整性”“权限层级清晰性”“数据性质可分性”展开,通过类型化案例对比与技术证据审查,在罪刑法定框架内实现精准抗辩。立法机关亟需出台《数据犯罪司法解释》,明确“技术手段”认定标准、数据分层规则及虚拟财产属性,唯有如此,方能实现数字经济安全与公民权利保障的平衡。
引言
在数字经济时代,数据成为核心生产要素,非法获取计算机信息系统数据罪的司法适用呈现“口袋化”趋势。这一现象源于对“侵入”要件的误解、数据法益的模糊认知以及技术要素的简化处理。本文基于近五年300余份裁判文书的实证分析,结合18个典型案例,系统揭示司法实践中存在的三大核心问题:客观要件泛化、数据与信息混淆、罪名竞合混乱,并提出以“权限突破”为核心、数据分层理论为基础的体系化辩护策略。通过厘清立法本意与技术逻辑的冲突,本文旨在为数字时代刑法边界的界定提供新视角,并为司法实践与辩护实务提供可操作的解决方案。
一、客观要件泛化:从“技术性”到“无权获取”的裁判偏差与修正
(一)问题症结:混淆“侵入”的实质与形式
《刑法》第285条第二款将“侵入”与“其他技术手段”并列作为本罪的行为要件。然而,司法实践中普遍存在对“侵入”和“技术”要件的误读,具体表现为:
1. 技术性要件的错误附加
部分裁判机关将“侵入”与“技术手段”强行绑定,错误增加技术性门槛。例如,在某物流公司员工越权访问案中,行为人利用合法账号登录系统后超越权限获取客户信息。法院认为其“未使用技术手段破解系统”,故不构成“侵入”。此类裁判逻辑实质是将“侵入”等同于“技术性突破”,违背立法文义。
-立法原意分析:最高检指导性36号指导性案例(卫某非法获取计算机信息系统数据案)明确,“侵入”指“未经授权进入计算机信息系统”,并未要求手段的技术性。账号盗用、密码猜解等非技术性权限突破行为,只要满足“未经授权”的实质要件,即应认定为“侵入”。
2. “其他技术手段”的扩大解释
部分判决将普通违法行为升格为“技术手段”,导致本罪成为兜底条款。例如,在某教育平台数据诈骗案中,行为人伪造教育局公函骗取学校数据库访问权限。法院以“虚构电子授权文件属于技术欺骗手段”为由定罪,实质上混淆了“技术手段”与“欺诈手段”的界限。
- 技术性本质界定:“其他技术手段”应限定为对计算机信息系统实施技术干预的行为,如利用漏洞植入木马、通过API接口逆向工程获取数据等。欺骗、贿赂等手段,因未直接作用于系统技术层面,不应纳入本罪范畴。
(二)典型案例映射的裁判矛盾
1. 技术性侵入与非技术性侵入的定性冲突
- 张某政务系统非法登录案:行为人盗用他人账号密码进入某地政务系统,下载公民户籍数据2000余条。法院以“未经授权进入系统”直接认定“侵入”,未审查手段技术性,符合立法本意。
- 某网盘共享账号案:用户通过他人非法授权的合法注册账号登录网盘,将个人存储的影视资源链接分享至公开论坛。法院以“未使用技术手段突破系统防护”为由否定“侵入”,与同类案件裁判逻辑矛盾。
- 矛盾根源:部分裁判机关将“技术手段”作为“侵入”的必要条件,而另一部分则严格遵循“权限突破”标准,导致同案不同判。
2. “其他技术手段”的泛化适用
- 谢某1“扫号”案:行为人编写自动化脚本,利用密码字典对某社交平台账号进行批量验证,非法获取有效账号980万组。法院认定“自动化脚本属于技术手段”,定罪量刑时重点评价脚本的技术危害性。
- 某医院越权查询案:医护人员利用同事账号登录医疗系统,违规查询患者就诊记录300余次。法院将“使用他人账号”解释为“技术手段”,实质上以“无权获取”替代法定构成要件。
(三)辩护反制路径
1. 回归“侵入”的实质判断
- 权限突破为核心:主张“侵入”的认定应以“未经合法授权进入系统”为唯一标准。例如,在张某案中,辩护人通过举证系统登录界面无额外技术防护措施(如双因素认证),证明账号盗用已构成“权限突破”,无需技术手段支撑。
- 否定技术性要件附加:援引《刑法》第285条的文义解释与立法资料,强调“侵入”的本质是权限违法而非方法违法。对于控方提出的“技术手段必要论”,可通过对比《刑法》第285条第一款(非法侵入计算机信息系统罪)与第二款的表述差异,论证第二款未对“侵入”增设技术性限制。
2. 严格限缩“其他技术手段”范围
- 技术干预性标准:引入《网络安全法》安全等级标准:对于未采取加密措施的低防护系统(如基础CMS平台),普通越权行为不应认定为“侵入”。仅将需专业技术知识、直接作用于系统功能层的手段纳入“技术手段”范畴。例如,在某API数据抓取案中,行为人通过逆向工程破解平台加密接口,属于典型技术手段;而通过购买内部人员账号获取数据,则属非技术性越权。
- 罪名转换辩护:对非技术性权限突破行为,主张适用其他罪名。例如,在某电商平台诈骗案中,行为人伪造授权文件获取数据,应认定为诈骗罪而非本罪。低强度技术手段(如账号共享):主张属于民事违约或其他轻罪范畴。只有高强度技术手段(如漏洞利用、代码注入)才符合“其他技术手段”要件。
二、数据与信息的二元界分:法律属性混淆与裁判纠偏
(一)本质差异:技术载体与语义内容的分离
数据与信息的法律属性差异,源于其技术本质与社会功能的根本区别:
维度
数据(Data)
信息(Information)
存在形态
电子编码(二进制序列)
可被人脑理解的语义内容
法律属性
系统安全法益《刑法》第 285 条
隐私权/财产权法益《民法典》1034 条
保护路径
禁止未授权复制、访问
禁止非法收集、使用、传播
损害后果
系统运行风险(如漏洞暴露)
人身财产权益损害(如身份盗用)
(二)司法混同的典型表现
1. 将信息载体等同于数据
- 傅某“猫池”验证码案:行为人利用“猫池”设备批量接收手机验证码,用于注册虚假账号。法院将验证码认定为“计算机信息系统数据”,忽视其作为“身份认证信息”的个人信息属性,没有考虑侵犯公民个人信息罪的适用。
- 解某某学生信息案:某中学教师越权下载电子学籍档案,文件中包含学籍编号(系统生成的数据)与学生家庭住址(个人信息)。法院笼统以非法获取计算机信息系统数据罪定罪,未区分两类法益,量刑时未评价隐私侵害后果。
2. 数据共享与信息公开的混淆
- 地图公司POI信息抓取案:某地图公司通过爬虫技术抓取竞争对手平台的公开商户信息(POI)。法院以“数据已公开”为由否定违法性,但未审查以下关键事实:
- 平台是否通过Robots协议限制爬虫抓取频率;
- API接口是否明确要求商业性使用需额外授权;
- 抓取行为是否导致服务器负载激增,影响系统正常运行;
从而错误将技术授权等同于权利放弃。
- 裁判误区:将“数据可见性”等同于“可自由复制”,忽视技术措施对数据访问权限的控制作用。
(三)界分缺失的法律后果
罪名适用偏差:在同时涉及数据与信息的案件中,本罪成为“兜底选项”。例如某医院病历泄露案,电子病历包含患者生命体征数据(系统安全法益)与疾病史(隐私权法益)。本应数罪并罚的案件,法院却以“同一行为侵犯复合法益”为由,仅认定非法获取计算机信息系统数据罪,导致侵犯公民个人信息罪被吸收。
(四)辩护突破口
1. 技术分离鉴定
- 电子载体成分分析:要求司法鉴定机构对涉案电子文件进行技术解析,如数据库文件中,区分索引字段(数据)与内容字段(信息)。例如,在某电商用户信息案中,通过解析数据库结构,分离出用户ID(系统自动生成的唯一标识符,属数据)与手机号(可直接识别自然人身份,属信息),成功实现罪名拆分,进而实现因个罪情节或者数量不够而达到全罪不够罪或者个罪情节减轻的目的。
-元数据与内容数据区分:元数据(如文件创建时间、修改记录)通常属于系统数据,而内容数据(如文档正文)可能包含个人信息,需分类评价。
2. 权限层级论证
-数据开放梯度理论:主张数据公开≠授权复制,数据可访问性存在“完全公开—受限共享—内部专有”的权限梯度。例如,某平台虽公开POI信息,但通过API调用次数限制、IP白名单等技术措施控制数据流通范围。超出授权范围的抓取行为,即使数据本身公开,仍构成“非法获取”,否则不构成“非法获取”。
- 技术措施有效性证明:在POI信息案二审中,被害单位提交平台服务器日志,证明抓取行为触发反爬虫机制并导致服务中断,成功推翻一审无罪判决。
三、罪名竞合困境:以“权限突破”为核心的辩护重构
(一)竞合乱象的三大场景
1. 虚拟财产案件的双重属性争议
- 比特币私钥破解案:行为人通过技术手段破解他人比特币钱包私钥,转移比特币价值200万元。A法院认定构成盗窃罪(最高刑无期徒刑),B法院则以非法获取数据罪定罪(最高刑7年)。
- 岳某1游戏金币案:盗取《魔兽世界》游戏金币7.9亿个(约合人民币72万元)。一审法院以盗窃罪定罪,二审改判非法获取计算机信息系统数据罪,理由为“虚拟财产不属于刑法保护的财物”。
2. 数据修改行为的定性冲突
- 赵某某公安专网数据窃取案:行为人利用职务便利,私自下载公安系统内公民轨迹数据10万条,但未对系统功能造成破坏。法院认定非法获取计算机信息系统数据罪,未评价是否构成破坏计算机信息系统罪。
-某政务系统密码篡改案:行为人修改系统管理员密码,导致政府门户网站瘫痪3小时。甲地法院认定破坏计算机信息系统罪(造成系统功能实质性破坏),乙地法院则以非法控制计算机信息系统罪定罪,量刑差异达3倍。
3. 个人信息与数据的叠加竞合
在含个人信息的数据库案件中,很多判决未区分数据与信息成分,直接以重罪吸收轻罪处理。例如某招聘平台数据泄露案,数据库包含用户设备指纹(数据)与简历信息(个人信息),法院仅以非法获取计算机信息系统数据罪定罪,未追究侵犯公民个人信息罪责任。
(二)分层辩护策略
1. 虚拟财产案件
- 权限来源审查:重点证明数据获取是否突破权限体系。例如,在游戏金币案中,若通过盗用账号密码获取金币,主张应直接以“侵入”定罪,回避财产属性争议。而对于代练等有权进入的盗窃游戏金币案,应以无罪或“侵占罪”(自诉)来否定非法获取计算机信息系统罪。
- 替代性辩护:若检察院支持虚拟财产的财物属性,主张适用量刑较轻的非法获取数据罪(最高刑7年)而非盗窃罪(最高刑15年)。
2. 系统关联案件
- 损害结果切割:若仅存在数据获取而无系统功能破坏,排除破坏计算机信息系统罪的适用。例如,在赵某某案中,辩护人通过专家证人证明数据下载未影响系统运行,成功将罪名限缩为非法获取计算机信息系统数据罪。
3. 复合型案件
- 分项指控抗辩:要求法院对数据与信息成分分别评价,这样往往会增加指控难度,从而降低指控犯罪情节或数额。例如,在某APP用户数据库案中,数据库包含设备指纹(数据)与手机号(信息),应要求区分证明,而不应混为一谈。
四、体系化解决方案:数据分层理论与权限审查模型
(一)数据分层保护模型
根据数据性质、技术特征与法益类型,构建三层保护模型:
层级
示例
保护重心
权限审查重点
基础数据
系统日志、API 密钥
系统完整性
是否突破技术防护措施
衍生数据
用户行为画像、地理位置
数据控制权
是否违反共享协议
融合数据
含个人信息的数据库
复合权益
是否分离数据与信息成分
(二)辩护应用
1. 基础数据指控
- 技术证据审查:主张从严认定“其他技术手段”,要求控方提供漏洞利用代码、网络攻击日志等证据链。例如,在某政务系统入侵案中,因控方未能提交攻击流量日志,法院最终否定“侵入”要件。
2. 衍生数据指控
- 协议效力抗辩:若平台未通过用户协议明确数据共享限制(如网盘账号共享案),主张用户行为属于授权范围。例如,某网盘用户协议未禁止多设备登录,账号共享行为不构成“无权获取”。
-主张数据权属未明:若企业未采取区块链存证、数字水印等措施(如某社交平台用户画像案),质疑其数据专有性主张。
3. 融合数据指控
- 双重鉴定机制:既鉴定数据获取手段的技术性(如是否使用爬虫规避技术),又分离数据与信息成分。如某征信系统案中,区分信用评分模型(数据)与个人还款记录(信息)。
结语
非法获取计算机信息系统数据罪的司法困局,本质是技术复杂性对传统刑法解释框架的挑战。破解这一困局需构建“技术—法律—证据”三位一体的分析范式:
1. 技术上,严格区分数据与信息载体,建立电子证据分离鉴定标准;
2. 法律上,回归“权限突破”的立法本意,终结“技术手段”的扩大化误读;
3. 证据上,强化技术性要件的实质审查,防止以“无权获取”替代法定构成要件。
未来亟需通过司法解释明确以下问题:
- “侵入”的认定应以权限合法性为核心,与手段技术性无关;
- “其他技术手段”应限定为对计算机信息系统的技术干预行为;
- 虚拟财产属性应通过交易证明。
辩护策略需围绕“授权链条完整性”“权限层级清晰性”“数据性质可分性”展开,通过类型化案例对比与技术证据审查,在罪刑法定框架内实现精准抗辩。
个人观点,AI辅助
作者简介
游涛,世理法源--诉讼解决方案专家——高端法律咨询平台创始合伙人
业务领域:网络犯罪、金融犯罪、职务犯罪、知识产权犯罪、电信诈骗等刑事法律服务,以及数据、直播、娱乐社交等领域合规建设。
中国法学会案例法学研究会理事,公安大学网络空间安全与法治协同创新中心研究员,北大法学院《金融犯罪与刑事合规》校外授课教师。
曾任北京市某法院刑庭庭长,从事审判工作十九年,曾借调最高法院工作。除指导大量案件外,还亲自办理1500余件各类刑事案件,“数据”“爬虫”“外挂”“快播”等部分案件被确定为最高检指导性案例、全国十大刑事案件或北京法院参阅案例。
曾任某网络科技上市公司集团安全总监,还为包括上市公司在内的多家企业完成全面合规体系建设以及数据安全、商业秘密、网络游戏、1v1、语音房等专项合规。
多次受国家法官学院、检察官学院、公安部、司法部的邀请,为全国各地法官、检察官、警官、律师授课;多次受北大、清华等高校邀请讲座;连续十届担任北京市高校模拟法庭竞赛评委。在《政治与法律》等法学核心期刊发表论文十余篇,在《人民法院案例选》《刑事审判参考》等发表案例分析二十余篇,专著《普通诈骗罪研究》。
