近年來,破壞計算機信息系統(tǒng)犯罪高發(fā),如何客觀準確認定破壞計算機信息系統(tǒng)罪經(jīng)濟損失標準,理論與實踐均存在較大爭議。應從經(jīng)濟損失的基本定義著手,界定其構成,合理認定犯罪危害后果,罰當其罪。
2017年初,姚曉杰等人受雇在境外成立“暗夜小組”黑客組織。“暗夜小組”從丁虎子等人處購買了大量服務器資源,實施開展DDoS攻擊。
2017年2-3月間,“暗夜小組”成員攻擊了三家游戲公司。為恢復云服務器的正常運營,某互聯(lián)網(wǎng)公司組織人員對服務器進行搶修并為此支付了4萬余元。
姚曉杰等11名被告人對檢察機關的指控均表示無異議,但部分辯護人提出涉經(jīng)濟損失認定問題的辯護意見認為,不能將某互聯(lián)網(wǎng)公司支付給搶修系統(tǒng)數(shù)據(jù)的員工工資認定為本案的經(jīng)濟損失。
深圳市南山區(qū)人民檢察院公訴人針對上述問題答辯認為,某互聯(lián)網(wǎng)公司為修復系統(tǒng)數(shù)據(jù)、功能而支出的員工工資系因犯罪產(chǎn)生的必要費用,應當認定為本案的經(jīng)濟損失。
廣東省深圳市南山區(qū)人民法院于2018年6月8日作出判決:姚曉杰等11名被告人犯破壞計算機信息系統(tǒng)罪,分別判處有期徒刑一年至二年不等。宣判后,11名被告人均未提出上訴,判決已經(jīng)發(fā)生法律效力。
隨著信息技術的發(fā)展,計算機已運用于社會的方方面面,其安全性問題也日益凸顯。
根據(jù)刑法第二百八十六條規(guī)定,違反國家規(guī)定,故意破壞計算機信息系統(tǒng)功能、數(shù)據(jù)、應用程序及故意制作、傳播破壞性程序的行為,均以“后果嚴重”作為要件,才能構成犯罪。
為打擊計算機網(wǎng)絡犯罪,維護計算機信息系統(tǒng)安全,最高人民法院與最高人民檢察院于2011年出臺了《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》(以下簡稱《解釋》),對“后果嚴重”“后果特別嚴重”等認定標準進行具體列舉。《解釋》第四條、第六條,分別列舉了含兜底條款“造成其他嚴重后果”在內(nèi)的五種后果嚴重的情形,其中“造成經(jīng)濟損失一萬元以上”即構成本罪的后果嚴重。
本案中,因已無法調(diào)取受影響計算機信息系統(tǒng)和用戶數(shù)量的相關證據(jù),只能以經(jīng)濟損失標準認定本罪的危害后果。但關于“經(jīng)濟損失一萬元以上”如何計算的問題,從理論至實踐均存在爭議。結合本案的爭議焦點之一支付搶修系統(tǒng)數(shù)據(jù)的員工工資能否認定為“經(jīng)濟損失”的問題,本文對經(jīng)濟損失計算問題分析如下。
關于“經(jīng)濟損失”的構成
所謂“經(jīng)濟損失”,根據(jù)《解釋》第十一條規(guī)定,是指危害計算機信息系統(tǒng)犯罪行為給用戶直接造成的經(jīng)濟損失,以及用戶為恢復數(shù)據(jù)、功能而支出的必要費用。由此可見,經(jīng)濟損失包含兩部分,一是直接經(jīng)濟損失,二是用戶為恢復數(shù)據(jù)、功能而支出的必要費用。但上述規(guī)定僅系作了概括性規(guī)定,并未明確兩部分損失的計算范圍。
最高人民法院的觀點認為,直接經(jīng)濟損失方面包含因計算機系統(tǒng)不能正常運行期間支付的網(wǎng)絡寬帶費用等合理性支出。關于用戶為恢復數(shù)據(jù)、功能而支出的必要費用問題即涉及本案上述焦點問題,應從經(jīng)濟損失構成的基本定義著手進行分析。
本案某互聯(lián)網(wǎng)公司為修復系統(tǒng)數(shù)據(jù)、功能而支出的員工工資,系在破壞計算機信息系統(tǒng)行為發(fā)生后,用戶積極主動實施的補救性損失。該部分人工費用能否視為經(jīng)濟損失的范疇,主要可以從是否為恢復計算機正常使用功能所支付的人工費用方面考慮,嚴格甄別必要性支出費用。
本案計算機因被攻擊,云服務器無法正常運營,用戶積極搶修所支出的工資,為恢復計算機正常使用功能所支付的人工費用,應該計算為本罪的經(jīng)濟損失,這是用戶因犯罪行為所造成的損失。
計算機信息系統(tǒng)功能或者數(shù)據(jù)被破壞后,用戶需要采取各種應急響應措施使其恢復到正常狀態(tài),而不是放任損失的擴大。因此,如對被刪除的數(shù)據(jù)進行數(shù)據(jù)恢復,對被拒絕服務供給的網(wǎng)站增加數(shù)據(jù)分流設備、增加帶寬等,均屬于用戶為恢復數(shù)據(jù)、功能而支出的必要費用范疇。
當然,若因網(wǎng)站本身存在漏洞,從而被犯罪行為人利用破壞,用戶為此支付的排查及修復漏洞所產(chǎn)生人工費用,則不應當認定為本罪的經(jīng)濟損失。
關于“經(jīng)濟損失”的引申思考
經(jīng)濟損失認定是實踐審理難點,主要有兩方面的原因:一方面,計算機信息技術本身特性,存在具體受害用戶、數(shù)量及損失大小難以明確的客觀問題;另一方面,如前述所言,本罪僅對經(jīng)濟損失作概括性規(guī)定,以至于存在理解適用的問題。在部分實踐中,存在部分受害用戶將防護成本亦計算至經(jīng)濟損失范疇的情形。
關于是否可以將防護成本計算為合理必要的預防性損失,本文認為存在商榷之處。認定本罪之經(jīng)濟損失應是與計算機信息系統(tǒng)的正常運行有直接關系而產(chǎn)生的財產(chǎn)損失。雖然買高防護服務可以有效防止DDoS攻擊,但是提供安全防護應是計算機公司基本的服務保障,是計算機公司應付之成本,若將買高防護服務的費用視為本罪必然性支出,則如何界定基礎防護與高層次防護亦是一個問題,恐將計算機公司之成本轉嫁到犯罪行為人,擴大損失后果,產(chǎn)生罪責刑不相適應的情況。
因破壞計算機信息系統(tǒng)犯罪特點,初始的實際損害具有傳遞性,對被害單位而言,產(chǎn)生了由初始損害為中心地帶,以間接損害為邊緣地帶的損失群。然而,司法機關認定經(jīng)濟損失必須遵循嚴格的范圍和限定條件。因此,其中尚存在不少法律空白地帶。根據(jù)《解釋》規(guī)定,計算機信息系統(tǒng)數(shù)量、用戶數(shù)與時間、違法所得及經(jīng)濟損失等情形均是本罪定罪量刑的標準。
部分案件若存在違法所得或經(jīng)濟損失并不能全面、準確反映危害后果的情況,則應該綜合考慮受影響的其他情形。如果查清上述情形在量刑中均存在的話,應當按照處罰較重的情形進行量刑,另外的其他情形可作為量刑的酌定情節(jié)予以考慮。
為更加全面客觀地打擊破壞計算機信息系統(tǒng)犯罪,維護網(wǎng)絡環(huán)境安全,本文建議,一方面應強化收集、固定證據(jù)的能力,對客觀、全面、準確認定危害后果提供基礎,防止行為人利用信息技術漏洞逃避相應的刑事處罰;另一方面,應對本罪經(jīng)濟損失認定標準進行具象明確,或可參照破壞電力設備刑事犯罪的經(jīng)濟損失規(guī)定予以明示計算參數(shù),或可參照瀆職犯罪的經(jīng)濟損失規(guī)定予以擴充損失范圍,以利于合理的定罪量刑,實現(xiàn)罪刑相當。