分类: 实务研究

对网站进行DDoS攻击,恶意制造网络拥堵属于破坏计算机信息系统的行为

裁判要旨及扩展

要旨:破坏计算机信息系统罪中对计算机信息系统功能或数据和应用程序的破坏包括删除、修改、增加、干扰等行为。其中干扰是指通过技术手段影响计算机系统的正常运转,导致部分或全部功能在一定时间段内失效。

DDoS攻击是干扰计算机信息系统运行最常见的手段。DDoS攻击,即分布式拒绝服务攻击,是指攻击者利用恶意程序发起无意义的连接请求、虚假数据包或其他恶意流量对一个或多个目标发起攻击,企图通过大规模互联网流量耗尽攻击目标的网络资源,使目标系统超负荷而崩溃,无法进行网络连接、无法为用户提供正常服务的手段。DDoS攻击不但对被攻击目标造成严重干扰,攻击者也可能渗入计算机信息系统数据库以访问敏感信息,具有极大的危害性,属于对计算机信息系统功能进行干扰的非法行为,造成严重后果的,应当以破坏计算机信息系统罪处罚。

案例

李某平时喜欢电脑并自学了黑客技术。2015年4月初,李某在由网络公司络公司运营的在线数字产品销售平台注册了一个账户,并充值几千元准备倒卖游戏点卡。在进行账户注册和充值操作时,李某均使用了代理服务器,随后又更换IP地址购买充值卡,上述行为引起了网络公司的怀疑,网络公司以李某的账户属于不安全账户为由冻结了该账户内的资金。为了争取账户解封,李某与客服进行了多次交涉,并在客服要求其提交个人身份证明时,提供了一个假身份证,但网站客服以李某提供的资料不完整为由拒绝为其解封。李某因此心生不满、决意报复。此后,李某在网上下载了一款名为“正版360000集群3.0带轮训.rar”的网络攻击软件,又使用黑客技术手段获取了一台服务器的权限。同年4月21日11时至14时,周某利用上述网攻击软件和服务器权限对网络公司的网站进行了DDoS攻击,导致该网站因短时间内的数据流量超过服务器带宽最高承载量而无法正常访问。为应对此次网络攻击事件,网络公司络公司向公司有关部门的员工支付加班费共计人民币11160.05元。2015年6月16日,李某被公安机关抓获归案,并如实供述了上述犯罪事实。在法院审理期间,李某的家属代为赔偿网络公司络公司人民币10万元。

法院审理后认为,被告人李某违反国家规定,对计算机信息系统功能进行干扰,造成计算机信息系统不能正常运行,后果严重,其行为已构成破坏计算机信息系统罪,应予惩处。检察机关指控李某犯破坏计算机信息系统罪的基本事实清楚,证据确实、充分,指控罪名成立,但因网络公司络公司提供的后台数据统计无法证明网络公司实名注册用户数量的真实性和准确性,故无法认定李某的犯罪行为后果特别严重。综合考虑,李某系初犯,到案后能如实供述犯罪事实,且在家属的协助下赔偿被害单位全部损失并取得了被害单位谅解,法院依法对李某从轻处罚,以破坏计算机信息系统罪判处李某有期徒刑一年六个月。

北京一法院以盗窃罪判决虚拟货币被盗案:是数据还是财产?虚拟货币法律属性仍存争议

5月5日,北京法院审判信息网披露了一份刑事诉讼案件判决文书,案涉“价值”5000万元的虚拟货币被盗,包括泰达币、以太币、比特币。

最终,北京市朝阳区人民法院(下称“朝阳法院”)否定了辩护人提出的构成破坏计算机信息系统罪的辩护意见,支持了北京市朝阳区人民检察院(下称“朝阳检察院”)的指控,裁定被告犯盗窃罪,判处有期徒刑12年,罚金20万元,剥夺政治权利2年。

值得关注的是,在司法实践中,各地法院对于盗窃比特币的行为认定上是有分歧的。北京大成律师事务所合伙人、中国银行法学研究会理事肖飒2021年接受媒体采访时表示,窃取比特币类案件目前大量存在,从刑事判决情况看,窃取比特币的刑法定性主要有两种观点:一种是将比特币认定为财产,符合刑法盗窃罪构成要件的,构成盗窃罪;另一种是认为比特币是一种数据,窃取比特币构成非法获取计算机信息系统罪。该案中辩护人提出的破坏计算机信息系统罪则与非法获取计算机信息系统罪类似。

盗窃者入侵数字资产交易平台

据裁判文书显示,2019年年初,而立之年的凌月生(化名)在广东省云浮市云城区某暂住地处于无业状态,小学文化的他想着通过手机“薅羊毛”,便在百度上搜索如何破解网络请求包和入侵计算机信息系统的教学。

之后,凌月生发现了一个篡改网络请求包内数据的办法,还将这个办法告诉了同住的老乡凌士山(化名),凌士山也是小学文化。从那时起,两人就一直尝试入侵北京某信息技术公司服务维护的某数字资产交易平台系统。

“我用鼠标抓页面上的数据,点来点去,最后就找到漏洞了。”凌士山供述称。2020年10月份,凌士山在使用凌月生账号时发现了该系统的划转漏洞,通过一个抓包软件在该平台上抓取数据,然后手动将抓取的数据开头添加“-”号发送至平台,就可以看到自己在平台的钱包账户内的虚拟货币增加。

据北京某信息技术公司报案材料、系统后台日志显示,2019年10月16日,凌月生在上述平台注册账号尝试攻击其维护的系统,持续至2020年10月15日凌晨4点成功侵入该系统。后注册凌士山实名账户成功侵入该系统,又陆续注册了17个实名账户通过这两人的设备轮流登录对系统漏洞进行攻击,成功后提现。

仅2020年10月16日凌晨2点到5点15分期间,两人总计盗取泰达币62万个,以太币12687.9956个、比特币149.99627927个。凌月生将盗取的虚拟币的私钥放在一部金色苹果手机里面,存在其堂妹暂住地保险柜内,此外两人总计变现了约200万元人民币,用于购买宝马车等支出。

据上述信息技术公司法定代表人田某证言,2020年10月16日早上9点,公司平台维护人员才发现其所服务的平台发生异常大额提现情况,当时泰达币的售价大概每个6.7元人民币,以太坊售价大概每个2500元人民币,比特币售价大概每个7.9万元人民币。“我公司受XX Global XX Ltd.委托对某数字资产交易平台进行系统研发维护和技术咨询服务,依据我公司与该公司签订的技术服务合同,此次系统入侵事件,我公司按照协议需赔付对方公司人民币5025.97万元。”

发现该漏洞后,信息技术公司对该漏洞进行了检修,之后田某向公安机关报案,通过公司日志,锁定了凌月生和凌士山。田某还称,为修复系统漏洞,公司还聘请了第三方对系统进行安全修复,花费20万元。

2020年10月21日,公安机关将凌月生和凌士山抓获归案,次日被刑事拘留,于2020年12月8日被逮捕,现羁押于北京市朝阳区看守所。

以变卖获利金额定罪量刑

2021年5月6日,朝阳检察院向朝阳法院提起公诉,认为被告人凌月生、凌士山的行为触犯了刑法第三百六十四条的规定,应当以盗窃罪追究其刑事责任,提请法院依法判处。

但是,被告人凌月生及其辩护人对于指控的罪名持异议。辩护人认为,涉案虚拟货币不属于财产,涉案交易平台系境外违规平台,不应得到法律保护,且指控犯罪数额缺乏事实和法律依据,故本案被告人的行为不构成盗窃罪,而应以破坏计算机信息系统罪定罪处罚。

对于上述辩护意见,朝阳法院表示,根据央行等部委发布的《关于防范比特币风险的通知》《关于防范代币发行融资风险》等规定,案涉比特币、泰达币、以太坊等虚拟货币不具有法偿性和强制性等货币属性,不属于货币。

“但上述规定未对虚拟货币作为虚拟商品的财产属性予以否定,我国法律、行政法规亦并未禁止比特币的持有和转让。”朝阳法院在认为部分如此表述。

法院还指出,《关于防范比特币风险的通知》中提到,“从性质上看,比特币是一种特定的虚拟商品”,因此,虚拟货币具有财产属性,为财产性利益,属于盗窃罪所保护的法益。

朝阳法院认为,被告人在非法占有目的的支配下,实施了侵入并攻击计算机信息系统的手段行为和盗取虚拟货币后进行变卖获利的结果行为,符合盗窃罪的构成要件,应当以盗窃罪定罪处罚,而破坏计算机信息系统罪只涉及对其手段行为的评价,并未对犯罪行为进行完整评价,故不采纳辩护人的辩护意见。

其次,对于辩护人提到的“指控犯罪数额缺乏事实和法律依据”这一意见,法院认为,被告人盗窃虚拟货币的总体价值缺乏权威、中立的评估机构进行认定,故本案不以5000余万元的平台交易价值来认定二人的犯罪数额。

法院进一步指出,但被告人盗窃虚拟货币后变卖获利200余万元是客观和现实的,基于事实和法律,本案以销赃数额作为对被告定罪量刑的基础。

北京德恒律师事务所律师刘扬对此分析称,法院最终以被告变现金额认定为盗窃的犯罪所得,以此来量刑是比较妥当的,但对于一些没有变现的盗币案,或者说获利后又经过反复交易的,在最初数额无法认定的情况下,建议以非法获取计算机信息系统罪来追究刑事责任。

此外,朝阳法院认为,涉案平台是否属于违规平台,与该平台上的虚拟货币是否属于法律所保护的财产,属于两个范畴的问题。且对于涉案平台属于违规应关停平台的意见,辩方未提供确实充分的证据予以证明。“但即便是非法占有的财产,在经过法定程序恢复应有状态之前,该占有亦是盗窃罪所保护的法益。故涉案平台的法律属性,不影响对被告人行为的定型。”裁判书中如此载明。

最终,法院分别判决被告凌月生和凌士山犯盗窃罪,判处有期徒刑12年,罚金20万元,剥夺政治权利2年,继续追缴违法所得。

结合近期北京市仲裁委的一次涉比特币民事裁决以及近期的涉币判例可以发现,北京地区的法院普遍支持“比特币等虚拟货币属于虚拟财产,受到法律的保护”这一审判思路,但裁判规则亦有所变化。

北京地区裁判规则经历三阶段变化

“关于盗窃虚拟数字货币的案件,北京地区的裁判规则在各个时间段是不太相同的,大致可分为三大阶段。”刘扬向21世纪经济报道记者介绍道。

第一阶段是2017年9月4日之前,相关案件多以盗窃罪定罪处罚。例如北京市东城区人民法院(2015)东刑初字第1252号判决书显示,法院认为,被告人以非法占有为目的,秘密窃取他人财物,数额较大,其行为侵犯了公民的财产权利,已构成盗窃罪,依法应予刑罚处罚。

第二阶段是2017年9月4日至2021年期间,以七部委联合发布《关于防范代币发行融资风险的公告》开始。

刘扬提到,上述公告中明确“不得为代币或‘虚拟货币’提供定价、信息中介等服务”,而盗窃罪是财产类犯罪,通常需要对被盗物品进行价格鉴定,价格鉴定部门囿于该公告的影响,无法出具价格鉴定报告,盗币案件的处理一时间成为全国司法机关的一大难题,但这类行为又是侵犯刑法法益的行为必须要打击,因此便从虚拟货币的数据属性切入,认定为“非法获取计算机信息系统罪”或“破坏计算机信息系统罪”。

2018年7月6日,北京市海淀区人民检察院以京海检科技刑诉〔2018〕70号起诉书指控被告人犯非法获取计算机信息系统数据罪,该被告在担任比特大陆运维开发工程师期间,转移了公司100个比特币至自己的电子钱包里。最终北京市海淀区人民法院支持了指控罪名成立。

刘扬称,该案件为全国司法机关在上述公告发布后如何打击盗币案件开拓了思路,也是全国第一起被以非法获取计算机信息系统数据罪追究刑事责任的盗币案件。

第三阶段是2021年之后,两种罪名的认定均有“支持者”,各地审判亦现分歧。2021年以来,随着比特币的价格一路走高,更多人加入到炒币大军中,该领域违法行为日渐高发。

“在这种情况下,我个人认为,司法机关的工作人员内心也悄然发生了变化,比如以前,内心认为数字货币一文不值,但现在,案件的具体承办人员内心都知道虚拟数字货币就是真金白银。”刘扬向记者提到,部分司法人员会认为以非法获取计算机信息系统数据罪追究被告人刑事责任量刑畸轻,罪责刑不相适应。

同时,司法机关也加强了对虚拟数字货币刑事犯罪的研究。

2021年5月份,北京市海淀区人民检察院第二检察部一级检察官李慧在《中国检察官》杂志撰文称,“在涉案金额特别巨大的前提下,认定计算机相关犯罪将导致量刑畸轻,是否具有惩治意义也需要进一步考究。而对于涉及侵财类犯罪的刑法理论,也尚需要在虚拟货币的背景下进一步加以变通和扩充。”

反对者亦有之。在2021年7月份召开的第二届防范化解金融风险刑事实务论坛上,最高人民法院研究室刑事处处长喻海松提出,虚拟财产无疑具有财产属性,但是否属于财物,前置法尚未明确。在前置法律依据不明的情况下,具有财产属性并不必然意味成为刑法上的财物,对相关行为不一定要适用财产犯罪。

“关于虚拟财产的法律属性,民法界争议很大。刑法是其他部门法的保障法,在前置法尚未明确的情况下,刑法冲到最前面不一定是最好的选择,应当坚守刑法的二次法属性,尽量秉持谦抑立场。”喻海松如此认为。

“导致这一结果出现的根本原因在于,比特币在我国的法律地位并不明确,监管政策暧昧。”晟典律师事务所律师钟海伟在2021年6月份发表的文章中指出,将 “盗窃” 比特币的行为定性为非法获取计算机信息系统数据罪的进路更像是回避讨论比特币财产属性问题的权宜之计,而直接将“盗窃”比特币行为定性为盗窃罪的做法,则不可避免需要面对来自于刑事政策角度与可行性的质疑,两种进路均难言妥当。

文章转载自:21世纪经济报道

指导性案例告诉你——如何办理破坏计算机信息系统犯罪案件

编者按 随着网络技术的飞速发展,互联网已经深度融入国家发展和社会生活方方面面,不断涌现的网络安全问题也从未停止。近年来,以破坏计算机信息系统罪定罪的案件数量快速增加,但司法实践中对该罪的理解与法律适用的观点认识存在分歧,不利于对此类犯罪的有效打击。本期“观点·案例”聚焦最高检第十八批指导性案例中姚晓杰等11人破坏计算机信息系统案(检例第69号),邀请法学专家、办案检察官探讨该类犯罪案件办理中在形式层面与实质判断方面的法律适用标准,敬请关注。

#最高检第十八批指导性案例#

姚晓杰等11人破坏计算机信息系统案(检例第69号)

【基本案情】

2017年初,被告人姚晓杰等人接受王某某(另案处理)雇佣,招募多名网络技术人员,在境外成立“暗夜小组”黑客组织。“暗夜小组”从被告人丁虎子等3人处购买大量服务器资源,再利用木马软件操控控制端服务器实施DDoS攻击(指黑客通过远程控制服务器或计算机等资源,对目标发动高频服务请求,使目标服务器因来不及处理海量请求而瘫痪)。2017年初,某互联网公司网络安全团队在日常工作中监测到多起针对该公司云服务器上运营的三家游戏公司的客户端IP进行大流量高峰值DDoS攻击,该攻击导致三家游戏公司的IP被封堵,出现游戏无法登录、用户频繁掉线、游戏无法正常运行等问题,且攻击源IP地址来源不明,该公司随即报案。公安机关立案后,同步邀请广东省深圳市检察院介入侦查、引导取证。

2017年6月至9月间,公安机关陆续将11名犯罪嫌疑人抓获。2018年3月6日,深圳市南山区检察院以被告人姚晓杰等11人构成破坏计算机信息系统罪向深圳市南山区法院提起公诉。2018年6月8日,广东省深圳市南山区法院判决认定被告人姚晓杰等11人犯破坏计算机信息系统罪。宣判后,11名被告人均未提出上诉,判决已生效。

准确认定行为性质 合理把握危害后果

王文华

数字经济时代,网络信息手段利弊兼具,一旦被用来实施违法犯罪行为,其破坏性会呈几何倍数增长。由于破坏计算机信息系统罪的特殊危害性,刑法分则第六章关于以计算机网络信息系统或其中的数据信息、程为对象的犯罪规定中,第286条破坏计算机信息系统罪的法定刑是最高的,后果特别严重的,处五年以上有期徒刑。司法实践中,适用罪数理论原则,除触犯第287条以计算机为手段的犯罪外,在大多数情况下,最终以破坏计算机信息系统罪定罪。另一方面,以破坏计算机信息系统罪定罪的案件数量快速增加,有实际发案增加的原因,也有司法实践中对该罪理解与适用法律认识不同等原因,一定程度上出现了该罪名的“口袋罪”化现象。

2020年4月8日,最高检发布了第十八批指导性案例,其中“检例第69号”姚晓杰等11人破坏计算机信息系统案(下称“检例第69号”案)对于及时找准突破口、引导侦查机关查清事实,客观全面准确认定破坏计算机信息系统罪的危害后果等具有重要的指导意义。

一是在破坏计算机信息系统罪中的行为性质的认定方面。根据刑法第286条破坏计算机信息系统罪的规定,“破坏”主要表现为对计算机信息系统功能进行破坏、对系统中的数据和应用程序进行破坏和通过病毒破坏系统正常运行三种行为。

被告人姚晓杰等人在境外成立的“暗夜小组”黑客组织三次利用木马软件操控该组织所购买的14台控制端服务器下的计算机,持续对某互联网公司云服务器上运营的三家游戏公司的客户端IP进行DDoS攻击,导致三家游戏公司的IP被封堵,出现游戏无法登录、用户频繁掉线、游戏无法正常运行,说明被告人是出于攻击目的,有预谋地实施传播恶意软件、非法控制计算机信息系统及攻击网站服务器,符合刑法第286条第3款故意制作、传播计算机病毒等破坏性程序影响计算机系统正常运行的情形。这种利用木马软件对境内服务器实施DDoS攻击他人服务器的行为,由于被害人是游戏公司,严重影响了公司的生产经营,同时也符合破坏生产经营罪的行为特征,属于破坏计算机信息系统罪与破坏生产经营罪的竞合,按择一重罪处罚原则,应当对被告人以破坏计算机信息系统罪定罪处罚。

此外,这种攻击网站服务器的行为在主客观方面都是非法控制计算机信息系统,同时触犯了刑法第285条非法控制计算机信息系统罪,应当按照牵连犯择一重处断,即依照刑法第286条第3款以破坏计算机信息系统罪定罪处罚。对此性质认定,“检例第69号”案各方并无太大争议,主要是事实认定和证据问题,包括云服务器不能正常运行的原因与“暗夜小组”攻击行为间的关系、犯罪嫌疑人线上身份和线下身份同一性的认定以及“暗夜小组”各成员在犯罪中的分工、地位和作用等。为此,深圳市检察院会同公安机关就被害单位云服务器受到的DDoS攻击的特点和取证策略进行研究部署,为案件的实体认定提供了坚实的事实和证据基础。

二是在“后果严重”中的损失认定方面。破坏计算机信息系统罪在犯罪客观方面的三种情形在入罪方面皆需要“后果严重”。根据最高法、最高检《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称《解释》)第6条第(四)项规定,对危害后果的认定主要是考虑受影响计算机信息系统和用户数量、违法所得或者所造成的经济损失以及其他严重后果。在“检例第69号”案中,鉴于证实受影响计算机信息系统和用户数量的证据已无法调取,深圳市南山区检察院通过与公安机关的积极沟通与两次退侦,只能以造成的经济损失认定危害后果。被害互联网公司为恢复云服务器的正常运营,抢修费用达4万余元。根据《解释》第6条第(四)项的规定,“违法所得五千元以上或者造成经济损失一万元以上的”是认定破坏计算机信息系统功能、数据或者应用程序“后果严重”的五种情形之一。

三是在引导取证的内容、方式方法方面。“检例第69号”案例突出的指导价值在于对这类案件证据的收集、审查与判断的引导。尽管该案的事实并不复杂,但是由于专业性强、技术性强,深圳市南山区检察院通过能动作为,及时与公安机关沟通、查清事实。

准确认定犯罪性质,离不开准确、客观、全面的事实认定和形成完整证据链的证据支撑,这些证据极易灭失,应及时介入、搜集证据;如果相关证据已经被毁损、删除,应当依法进行弹性、灵活处理,合理进行司法推定。例如,“检例第69号”案中犯罪嫌疑人实施网络攻击后威胁被害人的证据可作为认定攻击事实和因果关系的证据;一旦犯罪嫌疑人实施了攻击行为,网络攻击类型和特点与犯罪嫌疑人实施的攻击一致,攻击时间和被攻击时间吻合,对于这种异常、高概率联系的危害行为与危害结果之间因果关系可进行司法推定,认定危害行为为网络攻击,系犯罪嫌疑人实施。

同时,审慎把握罪状要件、严格按照罪刑法定原则的要求确定明确的侦查取证方案非常重要。面对攻击源IP地址来源不明、被告人作案后已串供并将手机、笔记本电脑等作案工具销毁或者进行了加密处理、到案后大多作无罪辩解、庭审中辩护人提出的现有证据不能认定三家网络游戏公司受到的攻击均是“暗夜小组”发动等挑战,深圳市检察机关与公安机关多次会商研究“暗夜小组”团伙内部结构、犯罪行为和技术特点等问题,找准三个工作重点:一是查明导致云服务器不能正常运行的原因与“暗夜小组”攻击行为间的关系;二是做好犯罪嫌疑人线上身份和线下身份同一性的认定工作,并查清“暗夜小组”各成员在犯罪中的分工、地位和作用;三是查清犯罪行为造成的危害后果。此外的侦查方向还包括要求侦查机关补充调取能够证实某互联网公司直接经济损失或为恢复网络正常运行支出的必要费用等证据,并交专门机构作出评估,进一步补充证实“暗夜小组”成员参与每次网络攻击具体情况以及攻击服务器控制权在“暗夜小组”与丁虎子等人间流转情况的证据,对丁虎子等人向“暗夜小组”提供攻击服务器控制权的主观明知证据作进一步补强等,使得案件的事实查明与证据收集取得突破性进展,并达到全案事实查清,案件证据确实充分,形成完整的证据链条。

从事实层面看,对于心存侥幸、以为境外组织利用木马软件对境内游戏公司网站服务器实施DDoS攻击就可以逃脱处罚的人,“检例第69号”案的成功办理用严谨务实的法律逻辑、技术逻辑、经济逻辑给这些人敲响警钟。

从法律层面看,“检例第69号”案的办理环环相扣,刑事侦查、检控、审判紧紧围绕破坏计算机信息系统罪构成要件的准确认定展开,通过对因果关系、主观明知等方面事实的查明,对破坏计算机信息系统罪的适用,既不扩大也不缩小适用范围,综合考虑危害行为的法律属性、经济特征、技术特征,作出合乎逻辑和市场规律的判断,客观分析被害公司的证人证言、第三方专家鉴定意见,努力实现不枉不纵,防止出现“破坏计算机信息系统罪”适用的不当扩大化、“口袋罪”化现象。

破坏计算机信息系统罪天然具有“口袋罪”的作用,因为大量网络犯罪的手段或者目的或者“手段+目的”就是破坏计算机信息系统,的确发生频率高。然而,破坏计算机信息系统行为大量存在,要对其实现有效惩处与预防,需要对其性质的准确理解与甄别。“检例第69号”案办理中,对于查处、认定计算机信息系统罪时如何进行体系化考察与运用,充分发挥司法能动性,通过智慧检务促进程序创新,实现实体认定的准确性,提高办案绩效,促进数字经济创新和规范发展,很有裨益。

同时,在当前复杂多变的国际形势下,“检例第69号”案对于完善专业化办案机制,发挥检察机关介入侦查引导取证的先发优势,有效打击跨境网络攻击等网络犯罪,维护数据安全、网络安全、国家安全,具有重要的理论意义与实践价值。

(作者为北京外国语大学法学院教授、博士生导师,电子商务与网络犯罪研究中心主任)

适时介入引导侦查取证科学运用审查规则

蔡君辉

检察指导性案例,基于司法能动主义理念,重在发挥对检察办案工作的示范引领作用。检察指导性案例的“要旨”是“指导性”的具体载体,起到开宗明义、提纲挈领的作用。“为有效打击网络攻击犯罪,检察机关应加强与公安机关的配合,及时介入侦查引导取证,结合案件特点提出明确具体的补充侦查意见。对被害互联网企业提供的证据和技术支持意见,应当结合其他证据进行审查认定,客观全面准确认定破坏计算机信息系统罪的危害后果”,检例第69号指导性案例的“要旨”阐明了新型网络犯罪破坏计算机信息系统犯罪案件的办案路径指引,具有极强的实务指导价值。

指导价值之一:强调检察机关适时介入侦查对办理此类案件的重要性,以及适时介入侦查的具体工作方法。

“新型网络犯罪”,“新型”意味着犯罪手法新,没有既成的办案经验,“网络”意味着区别于传统犯罪的专业性和技术性特征,各级司法机关乃至各机关内部对此类案件的法律适用容易产生分歧。上述案件特征在检例第69号指导性案例的办案过程中有具体表现:2017年2月至3月间,国内某互联网公司的云服务器多次遭受神秘黑客团伙大流量高峰值DDoS攻击,阻塞网络数据传输,服务器大面积宕机,导致租用该互联网公司云服务器经营的网络游戏项目出现无法登录、用户频繁掉线等异常问题。为恢复云服务器的正常运营,该互联网公司组织人员对服务器进行了抢修并为此支付4万余元。公安机关接到报案后,很快锁定在境外活动的姚晓杰等人成立的“暗夜小组”就是实施本案网络攻击行为的黑客组织。2017年6月至9月间,公安机关陆续将11名犯罪嫌疑人抓获后进一步发现,“暗夜小组”成员为逃避打击,在作案后已串供并将手机、笔记本电脑等作案工具销毁或者进行了加密处理,人员到案后大多作无罪辩解,且相关证据比较薄弱。

鉴于案件重大、疑难情况,公安机关邀请广东省深圳市检察院介入侦查、引导取证。针对案件专业性、技术性强的特点,检察机关会同公安机关多次召开案件讨论会,听取公安机关对犯罪事实及侦查进展情况的介绍,查阅侦查卷宗,对被害单位云服务器所受DDoS攻击的特点进行缜密研究,并及时针对定罪定性以及调查取证策略提出指导意见。一是及时锁定核心证据,在适时介入侦查初期就建议公安机关及时将被害单位报案提供的电子数据送国家计算机网络应急技术处理协调中心广东分中心进行分析,确定主要攻击源的IP地址。二是准确预判证据突破方向,建议本案定性及侦查方向确定为破坏计算机信息系统罪,引导公安机关重点做好具体侦查取证工作。

从办理过程来看,对于新型网络犯罪案件,检察机关通过适时介入侦查,有利于会同公安机关研判定性并引导侦查取证方向,强化规范取证,为审查逮捕、审查起诉扫清障碍,提高诉讼效率。因此,对于重大、疑难、复杂的新型网络攻击犯罪案件,检察机关可以在适时介入侦查阶段提出以下法律意见:一是对案件定性、犯罪构成和侦查方向等主要问题提出意见,统一思想,及时形成合力。二是引导公安机关及时调取证明网络攻击犯罪发生、证明危害后果达到追诉标准的证据。三是引导公安机关调取证明网络攻击是犯罪嫌疑人实施的证据。四是引导公安机关调取各犯罪嫌疑人构成共同犯罪以及地位作用的证据。五是在提出侦查意见时,明确指出每一项证据的侦查目的,及时了解情况,为侦查工作提供必要的引导和指导。

指导价值之二:总结出新型网络犯罪案件的各项审查规则。

一是事实认定方面的审查规则。具体包括:(1)通过委托专业技术人员对收集提取到的电子数据等进行检验、鉴定,结合在案其他证据,明确网络攻击类型、攻击特点和攻击后果,证明网络攻击犯罪发生、证明危害后果达到追诉标准。(2)通过专门技术对攻击源进行分析,溯源网络犯罪路径;核查IP地址、网络活动记录、上网终端归属,核实犯罪嫌疑人网络身份与网络终端、存储介质间的关联性;核实犯罪嫌疑人网络身份与现实身份的同一性,证明犯罪嫌疑人实施了攻击行为;调取犯罪嫌疑人在实施网络攻击后威胁被害人的证据,认定攻击事实和因果关系。对于网络攻击类型和特点与犯罪嫌疑人实施的攻击一致,攻击时间和被攻击时间吻合的,可以认定网络攻击系犯罪嫌疑人实施。(3)网络攻击类犯罪多为共同犯罪,通过审查各犯罪嫌疑人的供述和辩解、手机通信记录等,通过审查自供和互证的情况以及与其他证据间的印证情况,查明各犯罪嫌疑人间的犯意联络、分工和作用,准确认定主、从犯。

二是对被害单位提供的证据和技术支持意见的审查规则。网络攻击类犯罪案件具有高度专业性、技术性的特征,受害方多为互联网企业,在打击该类犯罪中,司法机关往往需要借助被攻击的互联网企业在网络技术、网络资源等方面的优势,进行溯源分析或对攻击造成的危害进行评估。互联网企业既是受害方,又是技术支持的协助方,必须特别注意审查取证过程的规范性,以确保被害单位提供的证据客观真实。有条件的,应当聘请专门机构对证据的完整性进行鉴定;条件不具备的,应当要求提供证据的被害单位对证据的技术逻辑要素作出合理说明。同时,要充分运用印证分析审查思路,将被害单位提供的证据与在案其他证据,如从犯罪嫌疑人处提取的电子数据、社交软件聊天记录、银行流水、第三方机构出具的鉴定意见、犯罪嫌疑人供述等证据作对照分析,确保不存在人为改变案件事实或改变案件危害后果的情形。

三是认定危害后果的审查规则。对于破坏计算机信息系统的危害后果,实践中往往倾向于依据犯罪违法所得数额或造成的经济损失认定。但是在一些案件中,违法所得或经济损失并不能全面、准确反映犯罪行为所造成的危害。有的案件违法所得或者经济损失的数额并不大,但网络攻击行为导致受影响的用户数量特别大,有的导致用户满意度降低或用户流失,有的造成了恶劣社会影响。对这类案件,如果仅根据违法所得或经济损失数额来评估危害后果,可能会导致罪刑不相适应。因此,办理破坏计算机信息系统犯罪案件时,注意从维护公共秩序的角度,收集、固定能够证实受影响的计算机信息系统数量或用户数量、受影响或被攻击的计算机信息系统不能正常运行的累计时间、对被害企业造成的影响等证据,对危害后果作出客观、全面、准确认定,做到罪责相当、罚当其罪。

(作者为广东省深圳市人民检察院四级高级检察官)

本文转载自:检察日报

“非法侵入计算机信息系统罪”和“破坏计算机信息系统罪”的区别

一、犯罪行为

  • 非法侵入计算机信息系统罪:主要是指违反国家规定,未经授权或超越权限进入计算机信息系统的行为。具体而言,是侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。这一行为强调的是“侵入”的非法性,即未经允许或超越权限的进入行为。
  • 破坏计算机信息系统罪:则是指违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,或者对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,甚至故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行的行为。这一行为强调的是对计算机信息系统或其内容的破坏或干扰。

二、犯罪对象

  • 非法侵入计算机信息系统罪:其犯罪对象具有特定性,即仅限于国家事务、国防建设、尖端科学技术领域的计算机信息系统。这些领域的计算机信息系统往往涉及国家安全、社会稳定和科技进步等重要方面。
  • 破坏计算机信息系统罪:其犯罪对象则更为广泛,包括任何类型的计算机信息系统。无论是个人、企业还是政府机构的计算机信息系统,只要其受到破坏或干扰,且符合该罪的构成要件,就可能构成破坏计算机信息系统罪。

三、犯罪成立要求

  • 非法侵入计算机信息系统罪:其成立要求是违反国家规定且进入的是特定领域的计算机信息系统。即只要行为人未经允许或超越权限侵入了上述特定领域的计算机信息系统,就可能构成该罪。
  • 破坏计算机信息系统罪:其成立要求则是违反国家规定且对计算机信息系统功能、数据或应用程序进行了破坏或干扰的行为。这种破坏或干扰必须达到一定的程度,如造成计算机信息系统不能正常运行或造成严重后果等。

四、法律责任

  • 对于非法侵入计算机信息系统罪,根据《中华人民共和国刑法》第二百八十五条的规定,处三年以下有期徒刑或者拘役。
  • 而对于破坏计算机信息系统罪,根据《中华人民共和国刑法》第二百八十六条的规定,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。