查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《人民司法(案例)》
超越权限进入计算机信息系统的行为性质
【作者】 计莉卉游涛
【作者单位】 北京市海淀区人民法院北京市海淀区人民法院
【分类】 刑法分则【期刊年份】 2018年
【期号】 8【页码】 25
【摘要】 超越权限进入计算机信息系统是指超越被害方授权范围进入计算机信息系统,从表面上看被告人通过了计算机信息系统的认证,不同于一般意义上的侵入行为,但其本质违背了被害方的意愿,仍属于非法获取计算机信息系统数据罪中的侵入他人计算机信息系统的行为。
  □案号 一审:(2017)京0108刑初392号
【全文】法宝引证码CLI.A.1236039    
  【案情】
  公诉机关:北京市海淀区人民检察院。
  被告人:龚旭、卫梦龙、薛东东。
  北京市海淀区人民检察院以非法获取计算机信息系统数据罪,对被告人龚旭、卫梦龙、薛东东提起公诉。
  被告人卫梦龙及其辩护人、龚旭及其辩护人、薛东东对公诉机关指控的罪名和基本事实均无异议,但是被告人卫梦龙对违法所得的数额提出了异议,被告人薛东东的辩护人提出了无罪辩护的意见,认为被告人薛东东并没有违反国家规定,该罪不成立。
  北京市海淀区人民法院经审理查明:2016年6月至9月间,被告人龚旭在明知卫梦龙使用账号目的的情况下,向被告人卫梦龙提供自己所掌握的百度凤巢系统内部账号和密码。被告人卫梦龙利用龚旭所提供的账号和密码,违规登陆百度在线网络技术(北京)有限公司凤巢系统,查询、下载该计算机信息系统中存储的客户数据,并交由被告人薛东东出售给他人,违法所得共计3.7万元。其中,被告人卫梦龙非法获利2.4万元,被告人薛东东非法获利1.3万元。2016年9月19日,被告人卫梦龙、龚旭、薛东东被公安机关抓获归案,后如实供述了上述事实。
  【审判】
  北京海淀法院于2017年6月6日作出(2017)京0108刑初392号刑事判决,认为被告人卫梦龙、龚旭、薛东东违反国家规定,侵入计算机信息系统,获取计算机信息系统中存储的数据,情节特别严重,其行为均已构成非法获取计算机信息系统数据罪。被告人卫梦龙、薛东东、龚旭到案后及在庭审过程中均能如实供述自己的罪行,且被告人龚旭获得了被害公司的谅解,依法均可对其从轻处罚。依照刑法第二百八十五条第二款、第六十七条第三款、第二十五条第一款、第五十三条、第六十四条之规定,海淀法院判决:被告人卫梦龙犯非法获取计算机信息系统数据罪,判处有期徒刑4年,并处罚金4万元;被告人薛东东犯非法获取计算机信息系统数据罪,判处有期徒刑4年,并处罚金4万元;被告人龚旭犯非法获取计算机信息系统数据罪,判处有期徒刑3年9个月,并处罚金4万元。
  一审宣判后,被告人没有提出上诉,公诉机关未提出抗诉,判决已生效。
  【评析】
  在本案审理过程中,对刑法条文中侵入行为的认定、违反国家规定的理解、被告人量刑是三大焦点问题,下文将逐一进行剖析。
  一、侵入行为的认定
  刑法第二百八十五条第二款规定,非法获取计算机信息系统数据罪,是指违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取计算机信息系统数据,情节严重的行为。可见,侵入计算机信息系统或者采用其他技术手段是该罪的构成要件。
  在司法实践中,侵入计算机信息系统的常见表现形式为破解或者盗窃身份认证信息、以强行突破安全工具等方式来侵入计算机信息系统。而本案中的行为人进入计算机信息系统的方式有所不同,被告人龚旭系被害公司的员工,外部人员利用其内部权限登陆被害公司系统,获取存储于被害公司的数据。对于这种利用内部权限登陆计算机信息系统获取数据的行为能否认定为刑法规定的侵入?这是本案定罪的关键。
  虽然本案中行为人的行为方式不同于一般情形,但审慎分析可知,其行为仍然可定性为侵入。理由在于:根据2011年“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》2条对专门用于侵入、非法控制计算机信息系统的程序、工具的解释,认定侵入工具的要件是“具有避开……系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据”。换言之,未经授权或者超越授权是判定侵入的实质要件。
  而本案中被告人的行为首先客观上超越了被害方的授权范围。具体表现在:其一,被告人龚旭将账号、密码、token令牌等提供给非公司员工卫梦龙使用:被害公司允许员工使用公司内部的账号和密码,但公司明令禁止员工擅自出借账号、密码;其二,行为人登陆系统后下载了无权下载的数据:被告人龚旭虽有权限进入管理系统,但根据被害方规定,其并没有权限下载与其正常业务无关的客户信息。同时,被告人进入系统的主观目的也在于超越授权范围去获取相应信息系统内数据。综上所述,虽然本案中被告人采取了相对温和的手段,但却符合超越被害公司的授权范围获取计算机信息系统数据这一行为本质,因此应认定为侵入。
  超越被害方授权范围的行为属于侵入行为是刑法的题中之义,但从证据的角度,应该如何判断被告人的行为超越被害方的授权范围呢?
  一方面,应审查行为人的权限。行为人的权限在证据上主要依赖于书证。一般而言,被害单位会根据本单位工作人员的工作内容、职务等赋予其进入计算机信息系统的相关权限,主要体现为工作责任书、岗位职责、劳动合同、保密协议等客观性证据;同时结合被告人自己的供述、证人证言等主观性证据来辅助判断被告人的权限。[1]本案中,公诉机关提供了被害单位员工的证言、举报材料、岗位职责情况说明等来证明被告人龚旭的账户没有下载其他商户百度推广数据的权限。
  另一方面,审查行为。侵入计算机信息系统的行为主要依靠电子证据来予以认定。被告人侵入计算机系统会留下信息记录

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1236039      关注法宝动态:  

法宝联想
【作者其他文献】

热门视频更多