裁判要旨及扩展
非法控制计算机信息系统罪的立法初衷是解决计算机信息系统的“使用盗窃”问题,也即针对那部分侵入计算机信息系统后未实施相关破坏行为,而是通过控制计算机实施特定操作获利的行为。非法控制并不要求完全或者部分排除他人对计算机信息系统的控制权,在不妨碍计算机信息系统正常使用的情形下,也就是说在没有造成危害性后果的情形下,通过远程操控计算机实施一定的行为也可以认定为非法控制。因此,从一定程度来讲,非法控制行为的本质就在于未经授权或者超越授权而获取了他人的一定操作权限,控制的后果是控制计算机信息系统执行特定的操作,至于他人的控制权限是否丧失在所不问。
基本案情
谢某于2016年10月1日入职某网络公司,是搜索运维部的一名员工,工作主要是负责将公司研发部门研发出来的程序发布在某网络公司的服务器上,并且对服务器的运行进行维护。因为是某网络公司搜索运维部的高级运维工程师,谢某日常工作中有操作某网络搜索服务器的权限,从2018年1月起,他便打起了通过控制公司服务器上传挖矿脚本,进而把公司的运算资源上传到哈希网站牟利的主意。根据公司规定,谢某并没有控制某网络公司服务器的权限,也没有将公司服务器CUP运算资源上传到哈希网站的权限。但在利益面前,谢某并没有把公司规定放在心上。
2018年1月26日23时,谢某第一次使用这种方式非法控制公司计算机信息系统,他使用公司发给他的苹果电脑上的iterm软件,通过公司内网,利用软件操作控制公司所有服务器的中控机,然后通过中控机上传挖矿脚本,并通过iterm软件发出下载指令,让被覆盖的公司的服务器下载挖矿脚本,执行挖矿程序。挖矿脚本可以把某网络公司的运算资源上传到哈希网站,哈希网站再通过他上传的运算资源挖取门罗币,最后根据上传运算资源的多少,以比特币的方式向谢某结算。获得比特币后,谢某从哈希网站将比特币提现到otcbtc.com网站,然后通过这个网站将比特币卖掉获利。截止到2018年7月,谢某通过这种方式获利人民币约10万元,案发后,在哈希网站的钱包里,他还存有约1.44个比特币,在otcbtc.com网站里还存有大概1.5个比特币。
2018年6月初,某网络公司通过安全管理监控系统发现大量服务器运行异常。网络公司第一时间聘请了安全检索公司提供应急服务,服务内容包括:样本提取、样本分析、服务器日志提取、日志分析、追根溯源、报告编写,并向安全检索公司支付信息技术服务费人民币2.7万元。2018年7月3日,对服务器挖矿事件进行排查后,网络公司发现:公司内部服务器上存在挖矿行为,挖矿的守护进程程序是账户名为“xiaoxie”的计算机编译生成的,通过提取样本并分析,挖矿程序中执行的worker程序是账户名为“xiaoxie”的计算机编译生成的,这些挖矿样本文件不是服务器业务以及运维所需要的文件,所执行的与挖矿程序相关的命令也不属于服务器业务及运维的正常命令。安账户操作日志显示,谢某于2018年1月起,编译了挖矿程序,并将上述程序部署在公司的服务器上,非法控制某网络的155台服务器,获取虚拟货币盈利。他通过wget下载命令,然后服务器从他指定的地址下载并运行了挖矿程序,再利用这些服务器的运算资源进行虚拟货币的挖掘。
发现攻击者最早执行挖矿程序的时间为2018年1月26日23时4分57秒,最新部署挖矿脚本的时间为2018年5月30日23时59分5秒,其间攻击者间断地在其控制的服务器上批量部署挖矿脚本;攻击者账户拥有所有挖矿服务器的正常访问权限,使用该账户的攻击者通过连接公司内网,登录服务器并执行挖矿程序,在正常工作过程中部署挖矿程序。
排查结论为:账户名为“xiaoxie”的计算机编译了挖矿程序,并利用工作便利在2018年1月26日23时4分57秒到2018年5月30日23时59分5秒期间,多次登录并批量在多台某网络内部服务器上部署挖矿程序,并利用服务器算力获取虚拟货币(比特币和门罗币)。
一直以来,某网络公司是禁止从事此类活动的,因为挖矿软件会占用服务器的运算资源,从而导致系统运行速度变慢。谢某的挖矿行为最终没能躲过公司监管。
2018年7月,某网络公司认为谢某涉嫌犯有非法控制计算机信息系统罪,委托员工向公安机关报案。案件侦查阶段,公安机关委托了某鉴定所进行数据鉴定。鉴定人员在光盘内存储的数据中,提取出名称为“java_4u3”的脚本文件1个;经分析,该脚本文件基于linux系统下运行;通过分析“java_4u3”脚本文件,该文件在运行的计算机自动执行解压缩、创建目录、删除目录、自动连接代理进行网络交换,可以认定该脚本文件对计算机进行了非法控制,并占用计算机硬件及网络资源。2018年7月18日,公安机关以谢某涉嫌犯非法控制计算机信息系统罪,在该网络公司将谢某抓获。
核心争议
到案后,谢某对自己利用权限便利,违反公司规定私自在公司服务器上部署挖矿程序,利用服务器算力谋取不正当利益的事实供认不讳,对于检察机关指控的事实表示认可。
但在庭审中,谢某和他的辩护人都认为其行为并不构成《刑法》第二百八十五条第二款规定的非法控制计算机信息系统罪。辩护人提出,谢某作为维护系统的工程师,某网络公司赋予了他对相关计算机信息系统的控制权,因此谢某的行为并不属于“侵入”计算机信息系统,而且某网络公司对于相关计算机信息系统并未失去控制权,谢某只是盗用了某网络公司计算机信息系统的算力,出卖公司的算力谋取私利,对于控制计算机信息系统不存在主观故意。综上,提请法庭宣告被告人无罪。
因此,本案的争议焦点在于,谢某的行为是否属于对某网络公司计算机信息系统的“非法控制”?《刑法》第二百八十五条第二款规制的具体是什么行为?
法理分析
《刑法》第二百八十五条第二款规定:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”本条前半部分规范的是非法获取计算机信息系统数据罪,后半部分规范的是非法控制计算机信息系统罪。根据法条规定,实施非法控制的途径包含“违反国家规定侵入计算机信息系统”或者“采用其他技术手段”对该计算机信息系统实施非法控制。对于何为“其他技术手段”,何为“实施非法控制”,法条并没有进一步列举或解释。相关司法解释对于这一问题也没有涉及。那么,如何判断非法控制计算机信息系统罪所规范的“非法控制”标准?
首先,可以从立法背景进行分析。非法控制计算机信息系统罪是《刑法修正案(七)》新增加的一个罪名。面对网络信息化的快速发展,很多新型犯罪都以网络化、数据化的方式呈现,为了适应社会发展,惩治新型网络犯罪,保护计算机信息系统安全,该修正案着眼于加强对网络信息犯罪的惩治,继而增加了这项罪名。也就是说,非法控制计算机信息系统罪的设立是为了填补之前刑法罪名规范领域的空白。
通过罪名的横向比较,与非法控制计算机信息系统罪存在竞合关系的罪名为《刑法》第二百八十六条规定的破坏计算机信息系统罪。在《刑法修正案(七)》颁布之前,非法控制计算机信息系统的行为被规范在破坏计算机信息系统罪内。具体来说,当行为人违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的;或行为人违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,构成破坏计算机信息系统罪。从规范的行为模式上看,“删除、修改增加”的操作都基于对计算机信息系统的非法控制。但破坏计算机信息系统罪并没有将所有非法控制计算机信息系统行为纳入规范领域,只对“删除、修改、增加”行为进行规范,并且要求行为具有破坏性后果。正是看到了破坏计算机信息系统罪规范的行为有限,《刑法修正案(七)》才增设了非法控制计算机信息系统罪,以弥补刑法惩治的漏洞。
以破坏计算机信息系统罪为对比,非法控制计算机信息系统罪的立法初衷是解决计算机信息系统的“使用盗窃”问题,也即针对那部分侵入计算机信息系统后未实施相关破坏行为,而是通过控制计算机实施特定操作获利的行为。非法控制并不要求完全或者部分排除他人对计算机信息系统的控制权,在不妨碍计算机信息系统正常使用的情形下,也就是说在没有造成危害性后果的情形下,通过远程操控计算机实施一定的行为也可以认定为非法控制。因此,从一定程度来讲,非法控制行为的本质就在于未经授权或者超越授权而获取了他人的一定操作权限,控制的后果是控制计算机信息系统执行特定的操作,至于他人的控制权限是否丧失在所不问。
将“非法控制”与“破坏”进行类型化区分,不仅明确了非法控制计算机信息系统罪的规范内容,也符合两个罪名的量刑差异。根据《刑法》规定,非法控制计算机信息系统,情节严重的,处三年以下有期徒刑或者拘役,并处或单处罚金。而破坏计算机信息系统,后果严重的,处五年以下有期徒刑或者拘役。这种法定刑的高低差异也可以解释二罪名意在规范行为的差异。
其次,从同类型案件的生效裁判中分析,可以看出在司法实践中也是将两种罪名区分定义的。在符某某犯破坏计算机信息系统罪一案,符某某通过木马软件入多个公司网站,并非法植入广告。该案经过了两级审判,一审法院认为符某某的行为属于严重扰乱他人计算机信息系统的行为,导致计算机信息系统不能正常运行,因而认定为破坏计算机信息系统罪。但事实上,符某某的非法植入广告行为虽然对计算机信息系统造成了一定干扰,但远没有达到使计算机不能正常运行的地步,因而二审最终改判为非法控制计算机信息系统罪。行为后果的不同导致最终认定罪名的不同,可以看出破坏计算机信息系统罪与非法控制计算机信息系统罪保护的法益并不相同。前者保护的是计算机信息系统功能的运行安全,而后者保护的则是他人对计算机信息系统及其相关信息的管理权和控制权。
本案中,谢某利用其在某网络公司担任运维工程师的工作便利,超越某网络公司所赋予的工作权限,违背某网络公司的意志,通过擅自植入可控制某网络公司服务器的程序这一技术手段,达到占用某网络公司服务器运算资源,利用运算资源获利的目的。他的行为虽然没有让某网络公司完全失去对服务器的控制权,也没有对服务器的正常运行造成严重后果,但超越权限控制服务器运行挖矿程序,这一行为本身已经符合非法控制计算机信息系统罪的构成要件。辩护人意见中所提的没有“侵入行为”或没有“使某网络公司丧失控制权”,并不影响非法控制计算机信息系统罪的成立。
判决结果
法院以谢某犯非法控制计算机信息系统罪,判处谢某有期徒刑三年,罚金人民币11000元。