破坏计算机信息系统罪的犯罪构成及犯罪形态分析

——王某等破坏计算机信息系统案

    【案    例】王某等破坏计算机信息系统案

    【简要提示】判断犯罪行为是否构成破坏计算机信息系统罪应首先分析其是否符合该罪的犯罪构成。犯罪行为同时满足两种罪名的构成要件的，应从犯罪形态角度区分想象竞合犯与法条竞合，如两个罪名的法条间不存在从属或交叉逻辑关系，则不构成法条竞合，而应以想象竞合犯择一重罪论处。

    【主审法官】丁晓青               【案例撰写人】王潇

    一、基本案情

    公诉机关：上海市浦东新区人民检察院

    被告人：王某、沈某某、张某某

    2009年4月，被告人王某在担任上海某某计算机科技有限公司（以下简称某某公司）项目经理期间，因海口某甲集装箱班轮公司（以下简称某甲公司）拖欠某某公司网站开发尾款，便授意被告人张某某针对某甲公司网站编写逻辑炸弹程序、后门程序，并提供给从某甲公司离职的被告人沈某某。2009年4月至6月间，被告人王某、沈某某采用远程登录、植入逻辑炸弹程序、后门程序并运行的方式，频繁攻击某甲公司所使用的网站，致使该公司网站运行陷入瘫痪，造成公司客户流失、日常业务管理无法正常开展，因而聘请某某信息系统（上海）有限公司提供紧急技术服务，支付相关费用共计人民币12万元。2009年6月11日，被告人张某某经公安机关电话通知到案，如实供述上述事实。

    被告人王某、沈某某、张某某在庭审中对上述犯罪事实无异议。被告人王某的辩护人提出，王某的行为构成破坏生产经营罪，不构成破坏计算机信息系统罪。被告人张某某的辩护人提出，张某某与沈某某之间不构成共同犯罪。被告人沈某某、张某某的辩护人提出二被告人系从犯。

    二、法院的认定和判决

    上海市浦东新区人民法院经审理认为：被告人王某、沈某某、张某某违反国家规定，对计算机信息系统功能进行删除，造成计算机信息系统不能正常运行，后果严重，其行为均已构成破坏计算机信息系统罪。根据想象竞合犯择一重罪处断的处理原则，王某的行为不按破坏生产经营罪定罪处罚。沈某某的犯罪行为并未超出张某某主观上的概括性故意范畴，故其对沈某某的上述行为应当承担共同的刑事责任，张某某与沈某某之间构成共同犯罪。沈某某与张某某在共同犯罪中所起作用并非次要或辅助性质，不区分主从犯，但在量刑时可考虑各被告人的具体情节而酌情加以区别。被告人张某某系自首，依法从轻处罚。三名被告人均自愿认罪，且已赔偿被害单位经济损失，取得被害单位的谅解，确有悔罪表现，酌情从轻处罚。依照《中华人民共和国刑法》第二百八十六条第一款、第二十五条第一款、第六十七条第一款、第七十二条、第七十三条之规定，判决如下：一、被告人王某犯破坏计算机信息系统罪，判处有期徒刑一年，缓刑一年；二、被告人沈某某犯破坏计算机信息系统罪，判处有期徒刑九个月，缓刑一年；三、被告人张某某犯破坏计算机信息系统罪，判处拘役六个月，缓刑六个月。

    一审判决后，被告人王某、沈某某、张某某在法定期间内未提起上诉，检察机关亦未提出抗诉，判决已发生法律效力。

    三、对本案的研究和解析

    （一）本案定罪方面的争议

    关于被告人王某等采用远程登录、植入逻辑炸弹程序、后门程序并运行的方式，攻击某甲公司网站致使该网站运行陷入瘫痪的行为构成何种犯罪，在审理过程中有三种不同意见：

    第一种观点认为，被告人的行为构成破坏生产经营罪。被告人王某追讨欠款，从主观上来说属于典型的个人目的，王某知道网站是某甲公司的经营工具，从侵犯的客体来说，也是为了破坏某甲公司的经营活动，破坏计算机信息系统只是他的手段，其行为的目的是破坏某甲公司的生产经营活动。根据《刑法》第二百七十六条的规定，由于泄愤报复或者其他个人目的，毁坏机器设备、残害耕畜或者以其他方法破坏生产经营的，构成破坏生产经营罪。

    第二种观点认为，在法条竞合的情况下，被告人的行为构成破坏计算机信息系统罪。根据《刑法》第二百八十六条的规定，破坏计算机信息系统功能罪，是指违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的行为。刑法在第六章妨害社会管理秩序罪中对破坏计算机系统的行为作了特别规定，与破坏生产经营罪构成法条竞合，在这种情况下应该适用特别法，因此本案中被告人的行为构成破坏计算机信息系统罪。

    第三种观点认为，在想象竞合的情况下，三名被告人的行为构成破坏计算机信息系统罪。被告人实施了一个行为，触犯了破坏生产经营罪、破坏计算机信息系统罪两个罪名，是想象竞合犯，应当按照从一重处断原则处理，本案中的被告人应当按照破坏计算机信息系统罪处理。

    我们同意第三种观点。理由如下：

    1.从犯罪构成角度分析

    （1）被告人的行为符合破坏生产经营罪的犯罪构成

    破坏生产经营罪，是指以泄愤报复或者其他个人目的，破坏机器设备、残害耕畜或者以其他方法破坏生产经营的行为。

    首先，从主观方面来看，被告人王某的供述中提到其多次催收网站开发项目的尾款未果后设计了程序炸弹报复某甲公司，张某某供述称王某为了追讨尾款让他编写可以导致某甲公司网站瘫痪的程序而他照做了，沈某某的供述中也提到因为某甲公司拖欠其社保基金和工资而破坏某甲公司的网站，可以印证被告人出于泄愤报复等目的实施了犯罪，主观方面为直接故意。

    其次，从客观方面来看，三名被告人均供述被告人王某、沈某某利用张某某编写的逻辑炸弹程序和后门程序对某甲公司网站实施破坏，被害单位也证实了某甲公司网站被频繁攻击导致运行陷入瘫痪，公司经营管理无法正常进行，造成客户和业务流失，这些证据都可以证明被告人的行为破坏了某甲公司的生产经营。

    因此，被告人的行为符合破坏生产经营罪的犯罪构成。

    （2）被告人的行为符合破坏计算机信息系统罪的犯罪构成

    首先，被告人主观方面表现为故意。被告人王某是负责某甲公司网站开发项目的经理，张某某是王某的下属，沈某某是某甲公司的程序员，三个人都是计算机领域的专业人员，他们明知自己的行为可能造成破坏计算机系统使其不能正常运行的危害后果，而希望或者放任这种后果发生。

    其次，被告人在客观方面违反国家规定，实施了破坏计算机信息系统功能的行为，造成计算机信息系统不能正常运行，后果严重。第一，被告人张某某编写逻辑炸弹程序和后门程序后，王某和沈某某利用上述程序对某甲公司的网站实施破坏，这显然是违反国家规定，危害了计算机信息网络安全。第二，破坏计算机信息系统功能的行为包括共有删除、修改、增加、干扰四种并列选择的表现形式。逻辑炸弹是指在特定逻辑条件满足时，实施破坏的计算机程序，该程序触发后造成计算机数据丢失、计算机不能从硬盘或者软盘引导，甚至会使整个系统瘫痪，并出现物理损坏的虚假现象。后门程序是指留在计算机系统中，供某位特殊使用者通过某种特殊方式控制计算机系统的途径。程序员常常在软件的开发阶段在软件内创建后门程序以便可以修改程序设计中的缺陷，而后门程序容易被黑客当成漏洞进行攻击。本案中，被告人的行为是对计算机信息系统功能进行删除，通过远程控制，运行逻辑炸弹和后门程序，切断运用程序和数据库的联系，导致某甲公司的网站无法访问。因此，被告人实施了破坏计算机信息系统功能的行为。第三，对于如何判断被告人的行为是否属于《刑法》第二百八十六条规定的“后果严重”，法律并没有明确的规定。根据刑法理论和司法实践来分析，“后果严重”主要包括几种情形：①致使计算机信息系统功能部分或全部遭到破坏的；②修复被破坏的系统功能耗资较大、耗时较长；③严重影响工作、生产、经营，给被害单位和个人造成较大经济损失的等。^[1]本案中，被告人的行为导致某甲公司网站运行陷入瘫痪，使得公司经营管理无法运行，证人证言证实了网站瘫痪后公司客户流失、业务流失的情况，而且某甲公司为了恢复网站正常运行聘请专业公司进行技术服务并支付了人民币12万元的相关费用。从以上情况可以判断，三名被告人的行为“后果严重”。

    因此，被告人的行为符合破坏计算机信息系统罪的犯罪构成。

    2.从犯罪形态角度分析

    （1）罪数形态问题

    通过从犯罪构成角度对被告人的行为进行分析，可以发现，本案中被告人的行为既符合破坏生产经营罪的构成要件，又符合破坏计算机信息系统罪的构成要件，我们要从罪数形态角度进一步分析本案究竟是想象竞合犯还是法条竞合，进而解决本案的定罪问题。

    想象竞合犯，是指一个行为触犯数个罪名的犯罪形态。法条竞合，是指行为人实施一个犯罪行为同时触犯数个在犯罪构成上具有包容关系的刑法规范，只适用其中一个刑法规范的情况。^[2]想象竞合犯是一种犯罪竞合，是事实问题；而法条竞合是一种法律竞合，是法律问题。区别二者主要是看两个罪名的法条之间是否存在从属或者交叉的逻辑关系。本案中涉及的两个罪名的构成要件为：破坏生产经营罪规定在《刑法》第五章的侵犯财产罪中，主体要件是一般主体，主观方面是直接故意且为目的犯，犯罪客体是与生产经营有直接联系的财物，客观方面是破坏机器设备、残害耕畜或者以其他方法破坏生产经营的行为。破坏计算机信息系统罪规定在《刑法》第六章妨害社会管理秩序罪中，主体要件是一般主体，主观方面是直接故意，犯罪客体是计算机信息系统安全保护管理秩序和计算机信息系统所有人的合法权利，犯罪客观方面是违反国家规定，实施了破坏计算机信息系统功能的行为，造成计算机信息系统不能正常运行，后果严重。

    通过上述比较可以看出，破坏生产经营罪和破坏计算机信息系统罪的法条之间不存在从属或者交叉的逻辑关系，不构成法条竞合，而是想象竞合犯。按照我国刑法理论上的通说主张对想象竞合犯择一重罪处断，因此，本案中三名被告人构成破坏计算机信息系统罪。

    （2）共同犯罪形态问题

    首先，三名被告人实施了共同犯罪行为，张某某得到王某的授意后编写逻辑炸弹程序、后门程序，王某将这些程序提供给沈某某，王某与沈某某运行程序攻击某甲公司网站，上述各被告人的行为都指向同一犯罪，相互配合形成了一个同一的犯罪活动整体。

    其次，三名被告人之间存在共同的犯罪故意。关于被告人张某某与沈某某之间是否构成共同犯罪，主要可以从共同犯罪的主观方面来认定。本案中，张某某与沈某某之间没有意思联络，但这并不影响二人之间共同犯罪的成立。共同犯罪故意的最大特征在于犯罪故意的“共同性”，即各个共同犯罪人的犯罪故意，在一定形式的关联下，大致构成一个整体，呈整合状态。^[3]共同犯罪中，共同犯罪人要能够概括地预见到共同犯罪行为与共同危害结果之间的因果关系，即认识到自己的行为会引起的危害结果以及共同犯罪行为会引起的危害结果。张某某明知王某要求其编写的程序是用来攻击某甲公司的网站，作为计算机专业人员，他也应该能认识到自己编写逻辑炸弹程序、后门程序提供给王某之后会导致网站不能正常运行。因此，沈某某从王某处得到张某某编写的程序并攻击某甲公司网站的行为及所造成的危害后果都没有超出张某某主观上的概括故意范畴，张某某与沈某某构成共同犯罪，应当共同承担刑事责任。

    （二）本案量刑方面的思考

    根据我国《刑法》第二百八十六条的规定，对破坏计算机信息系统罪的刑罚措施是自由刑，后果严重的，处五年以下有期徒刑或者拘役，后果特别严重的，处五年以上有期徒刑。本案的三名被告人也被分别判处一年以下有期徒刑或者拘役。

    与传统犯罪相比，破坏计算机信息系统罪存在作案手段智能化、犯罪目标集中化（主要集中在金融、证券、电信、大型公司等重要经济部门和单位）、犯罪后果严重化的特点，破坏计算机信息系统犯罪从主体、手段、后果等方面都不同于传统性犯罪，我国《刑法》对这种犯罪的规定也有需要完善之处。对于《刑法》第二百八十六条只设置了自由刑的问题，对此不少学者提出了异议，主张增设财产刑和资格刑。有学者认为：“由于计算机网络犯罪往往造成巨大的经济损失，而且不少人实施犯罪的目的就是为了牟利，所以对其科处罚金等财产刑应属情理之中，再者，网络犯罪的实施者多为从事计算机或网络相关的人，有些是属于痴迷于网络的人，对其判处一定的资格刑，如终身或者在特定的时间内剥夺或禁止行为人从事某种与计算机网络相关的职业或资格，不仅是一种较好的选择，而且还能收到其他刑罚难以产生的效果。”^[4]

    其他国家对计算机犯罪的刑罚措施的规定，可以引发我们更多思考。美国在联邦层面形成了《计算机滥用修正案》(被纳入《美国法典》第18篇“犯罪与刑事诉讼”篇)第1030条规定了7种计算机犯罪行为，分别判处轻至1年以下监禁或罚金，重至20年以下监禁并处罚金的刑罚。法国刑法典第三章“侵犯资料自动处理系统罪”对计算机犯罪作了规定，包括侵入资料自动处理系统罪、妨害资料自动处理系统运作罪和非法输入、取消、变更资料罪。其中，第323-5条对自然人犯第三章的犯罪承担的附加刑进行了规定，附加刑主要有：剥夺政治权利、没收犯罪工具、强制关闭经营场所、禁止从事在活动中或活动时实行了犯罪的那种职业性或社会性活动。通过资格性的规定，针对计算机犯罪设置专门的刑罚措施，更加有利于此类犯罪的有效预防。

    由此可见，在网络安全立法中，可以考虑创设自由刑之外的刑罚措施，吸收他国处理计算机犯罪的经验，达到有效惩罚犯罪、预防犯罪的效果。