「法學匯」指導性案例告訴你——如何辦理破壞計算機資訊系統犯罪案件

編者按

隨著網路技術的飛速發展，網際網路已經深度融入國家發展和社會生活方方面面，不斷湧現的網路安全問題也從未停止。近年來，以破壞計算機資訊系統罪定罪的案件數量快速增加，但司法實踐中對該罪的理解與法律適用的觀點認識存在分歧，不利於對此類犯罪的有效打擊。本期“觀點·案例”聚焦最高檢第十八批指導性案例中姚曉傑等11人破壞計算機資訊系統案（檢例第69號），邀請法學專家、辦案檢察官探討該類犯罪案件辦理中在形式層面與實質判斷方面的法律適用標準，敬請關注。

#最高檢第十八批指導性案例#

姚曉傑等11人破壞計算機資訊系統案

（檢例第69號）

【基本案情】

2017年初，被告人姚曉傑等人接受王某某（另案處理）僱傭，招募多名網路技術人員，在境外成立“暗夜小組”駭客組織。“暗夜小組”從被告人丁虎子等3人處購買大量伺服器資源，再利用木馬軟體操控控制端伺服器實施DDoS攻擊（指駭客透過遠端控制伺服器或計算機等資源，對目標發動高頻服務請求，使目標伺服器因來不及處理海量請求而癱瘓）。2017年初，某網際網路公司網路安全團隊在日常工作中監測到多起針對該公司雲伺服器上運營的三家遊戲公司的客戶端IP進行大流量高峰值DDoS攻擊，該攻擊導致三家遊戲公司的IP被封堵，出現遊戲無法登入、使用者頻繁掉線、遊戲無法正常執行等問題，且攻擊源IP地址來源不明，該公司隨即報案。公安機關立案後，同步邀請廣東省深圳市檢察院介入偵查、引導取證。

2017年6月至9月間，公安機關陸續將11名犯罪嫌疑人抓獲。2018年3月6日，深圳市南山區檢察院以被告人姚曉傑等11人構成破壞計算機資訊系統罪向深圳市南山區法院提起公訴。2018年6月8日，廣東省深圳市南山區法院判決認定被告人姚曉傑等11人犯破壞計算機資訊系統罪。宣判後，11名被告人均未提出上訴，判決已生效。

破壞計算機資訊系統案辦案指引

立足犯罪案件特點引導偵查收集調取證據

1。調取證明網路攻擊犯罪發生、證明危害後果達到追訴標準的證據；

2。引導偵查機關調取證明網路攻擊是犯罪嫌疑人實施的證據；

3。重點審查供述和辯解、手機通訊記錄等，準確認定主、從犯；

4。提出補充偵查意見時，應明確列出補偵目的。

對被害單位提供的證據和技術支援意見，需結合其他在案證據作出準確認定

1。確保提供的證據客觀真實，注意取證過程的規範性；

2。可聘請專門機構對證據進行鑑定或對證據作出說明；

3。注重與在案其他證據作印證分析。

對破壞計算機資訊系統的危害後果應作客觀全面準確認定

1。收集犯罪違法所得數額或造成的經濟損失證據；

2。收集受影響的計算機資訊系統數量或使用者數量等情況證據。

準確認定行為性質

合理把握危害後果

北京外國語大學法學院教授、博士生導師，電子商務與網路犯罪研究中心主任王文華

數字經濟時代，網路資訊手段利弊兼具，一旦被用來實施違法犯罪行為，其破壞性會呈幾何倍數增長。由於破壞計算機資訊系統罪的特殊危害性，刑法分則第六章關於以計算機網路資訊系統或其中的資料資訊、程式為物件的犯罪規定中，第286條破壞計算機資訊系統罪的法定刑是最高的，後果特別嚴重的，處五年以上有期徒刑。司法實踐中，適用罪數理論原則，除觸犯第287條以計算機為手段的犯罪外，在大多數情況下，最終以破壞計算機資訊系統罪定罪。另一方面，以破壞計算機資訊系統罪定罪的案件數量快速增加，有實際發案增加的原因，也有司法實踐中對該罪理解與適用法律認識不同等原因，一定程度上出現了該罪名的“口袋罪”化現象。

2020年4月8日，最高檢釋出了第十八批指導性案例，其中“檢例第69號”姚曉傑等11人破壞計算機資訊系統案（下稱“檢例第69號”案）對於及時找準突破口、引導偵查機關查清事實，客觀全面準確認定破壞計算機資訊系統罪的危害後果等具有重要的指導意義。

一是在破壞計算機資訊系統罪中的行為性質的認定方面。

根據刑法第286條破壞計算機資訊系統罪的規定，“破壞”主要表現為對計算機資訊系統功能進行破壞、對系統中的資料和應用程式進行破壞和透過病毒破壞系統正常執行三種行為。

被告人姚曉傑等人在境外成立的“暗夜小組”駭客組織三次利用木馬軟體操控該組織所購買的14臺控制端伺服器下的計算機，持續對某網際網路公司雲伺服器上運營的三家遊戲公司的客戶端IP進行DDoS攻擊，導致三家遊戲公司的IP被封堵，出現遊戲無法登入、使用者頻繁掉線、遊戲無法正常執行，說明被告人是出於攻擊目的，有預謀地實施傳播惡意軟體、非法控制計算機資訊系統及攻擊網站伺服器，符合刑法第286條第3款故意製作、傳播計算機病毒等破壞性程式影響計算機系統正常執行的情形。這種利用木馬軟體對境內伺服器實施DDoS攻擊他人伺服器的行為，由於被害人是遊戲公司，嚴重影響了公司的生產經營，同時也符合破壞生產經營罪的行為特徵，屬於破壞計算機資訊系統罪與破壞生產經營罪的競合，按擇一重罪處罰原則，應當對被告人以破壞計算機資訊系統罪定罪處罰。

此外，這種攻擊網站伺服器的行為在主客觀方面都是非法控制計算機資訊系統，同時觸犯了刑法第285條非法控制計算機資訊系統罪，應當按照牽連犯擇一重處斷，即依照刑法第286條第3款以破壞計算機資訊系統罪定罪處罰。對此性質認定，“檢例第69號”案各方並無太大爭議，主要是事實認定和證據問題，包括雲伺服器不能正常執行的原因與“暗夜小組”攻擊行為間的關係、犯罪嫌疑人線上身份和線下身份同一性的認定以及“暗夜小組”各成員在犯罪中的分工、地位和作用等。為此，深圳市檢察院會同公安機關就被害單位雲伺服器受到的DDoS攻擊的特點和取證策略進行研究部署，為案件的實體認定提供了堅實的事實和證據基礎。

二是在“後果嚴重”中的損失認定方面。

破壞計算機資訊系統罪在犯罪客觀方面的三種情形在入罪方面皆需要“後果嚴重”。根據最高法、最高檢《關於辦理危害計算機資訊系統安全刑事案件應用法律若干問題的解釋》（下稱《解釋》）第6條第（四）項規定，對危害後果的認定主要是考慮受影響計算機資訊系統和使用者數量、違法所得或者所造成的經濟損失以及其他嚴重後果。在“檢例第69號”案中，鑑於證實受影響計算機資訊系統和使用者數量的證據已無法調取，深圳市南山區檢察院透過與公安機關的積極溝通與兩次退偵，只能以造成的經濟損失認定危害後果。被害網際網路公司為恢復雲伺服器的正常運營，搶修費用達4萬餘元。根據《解釋》第6條第（四）項的規定，“違法所得五千元以上或者造成經濟損失一萬元以上的”是認定破壞計算機資訊系統功能、資料或者應用程式“後果嚴重”的五種情形之一。

三是在引導取證的內容、方式方法方面。

“檢例第69號”案例突出的指導價值在於對這類案件證據的收集、審查與判斷的引導。儘管該案的事實並不複雜，但是由於專業性強、技術性強，深圳市南山區檢察院透過能動作為，及時與公安機關溝通、查清事實。

準確認定犯罪性質，離不開準確、客觀、全面的事實認定和形成完整證據鏈的證據支撐，這些證據極易滅失，應及時介入、蒐集證據；如果相關證據已經被毀損、刪除，應當依法進行彈性、靈活處理，合理進行司法推定。

例如，“檢例第69號”案中犯罪嫌疑人實施網路攻擊後威脅被害人的證據可作為認定攻擊事實和因果關係的證據；一旦犯罪嫌疑人實施了攻擊行為，網路攻擊型別和特點與犯罪嫌疑人實施的攻擊一致，攻擊時間和被攻擊時間吻合，對於這種異常、高機率聯絡的危害行為與危害結果之間因果關係可進行司法推定，認定危害行為為網路攻擊，系犯罪嫌疑人實施。

同時，審慎把握罪狀要件、嚴格按照罪刑法定原則的要求確定明確的偵查取證方案非常重要。面對攻擊源IP地址來源不明、被告人作案後已串供並將手機、膝上型電腦等作案工具銷燬或者進行了加密處理、到案後大多作無罪辯解、庭審中辯護人提出的現有證據不能認定三家網路遊戲公司受到的攻擊均是“暗夜小組”發動等挑戰，深圳市檢察機關與公安機關多次會商研究“暗夜小組”團伙內部結構、犯罪行為和技術特點等問題，找準三個工作重點：一是查明導致雲伺服器不能正常執行的原因與“暗夜小組”攻擊行為間的關係；二是做好犯罪嫌疑人線上身份和線下身份同一性的認定工作，並查清“暗夜小組”各成員在犯罪中的分工、地位和作用；三是查清犯罪行為造成的危害後果。此外的偵查方向還包括要求偵查機關補充調取能夠證實某網際網路公司直接經濟損失或為恢復網路正常執行支出的必要費用等證據，並交專門機構作出評估，進一步補充證實“暗夜小組”成員參與每次網路攻擊具體情況以及攻擊伺服器控制權在“暗夜小組”與丁虎子等人間流轉情況的證據，對丁虎子等人向“暗夜小組”提供攻擊伺服器控制權的主觀明知證據作進一步補強等，使得案件的事實查明與證據收集取得突破性進展，並達到全案事實查清，案件證據確實充分，形成完整的證據鏈條。

從事實層面看，對於心存僥倖、以為境外組織利用木馬軟體對境內遊戲公司網站伺服器實施DDoS攻擊就可以逃脫處罰的人，“檢例第69號”案的成功辦理用嚴謹務實的法律邏輯、技術邏輯、經濟邏輯給這些人敲響警鐘。

從法律層面看，“檢例第69號”案的辦理環環相扣，刑事偵查、檢控、審判緊緊圍繞破壞計算機資訊系統罪構成要件的準確認定展開，透過對因果關係、主觀明知等方面事實的查明，對破壞計算機資訊系統罪的適用，既不擴大也不縮小適用範圍，綜合考慮危害行為的法律屬性、經濟特徵、技術特徵，作出合乎邏輯和市場規律的判斷，客觀分析被害公司的證人證言、第三方專家鑑定意見，努力實現不枉不縱，防止出現“破壞計算機資訊系統罪”適用的不當擴大化、“口袋罪”化現象。

破壞計算機資訊系統罪天然具有“口袋罪”的作用，因為大量網路犯罪的手段或者目的或者“手段+目的”就是破壞計算機資訊系統，的確發生頻率高。然而，破壞計算機資訊系統行為大量存在，要對其實現有效懲處與預防，需要對其性質的準確理解與甄別。“檢例第69號”案辦理中，對於查處、認定計算機資訊系統罪時如何進行體系化考察與運用，充分發揮司法能動性，透過智慧檢務促程序序創新，實現實體認定的準確性，提高辦案績效，促進數字經濟創新和規範發展，很有裨益。

同時，在當前複雜多變的國際形勢下，“檢例第69號”案對於完善專業化辦案機制，發揮檢察機關介入偵查引導取證的先發優勢，有效打擊跨境網路攻擊等網路犯罪，維護資料安全、網路安全、國家安全，具有重要的理論意義與實踐價值。

辦理破壞計算機資訊系統案件突破口：

行為性質

1。“破壞”主要表現為對計算機資訊系統功能進行破壞、對系統中的資料和應用程式進行破壞和透過病毒破壞系統正常執行三種行為；

2。攻擊網站伺服器的行為在主客觀方面都是非法控制計算機資訊系統，同時觸犯了非法控制計算機資訊系統罪，應當按照牽連犯擇一重處斷。

損失認定

主要是考慮受影響計算機資訊系統和使用者數量、違法所得或者所造成的經濟損失以及其他嚴重後果。

引導取證

1。及時介入、蒐集證據；如證據被毀損，應當依法進行彈性、靈活處理，合理進行司法推定；

2。審慎把握罪狀要件、嚴格按照罪刑法定原則要求確定明確的偵查取證方案。

適時介入引導偵查取證

科學運用審查規則

檢察指導性案例，基於司法能動主義理念，重在發揮對檢察辦案工作的示範引領作用。檢察指導性案例的“要旨”是“指導性”的具體載體，起到開宗明義、提綱挈領的作用。“為有效打擊網路攻擊犯罪，檢察機關應加強與公安機關的配合，及時介入偵查引導取證，結合案件特點提出明確具體的補充偵查意見。對被害網際網路企業提供的證據和技術支援意見，應當結合其他證據進行審查認定，客觀全面準確認定破壞計算機資訊系統罪的危害後果”，檢例第69號指導性案例的“要旨”闡明瞭新型網路犯罪破壞計算機資訊系統犯罪案件的辦案路徑指引，具有極強的實務指導價值。

指導價值之一：強調檢察機關適時介入偵查對辦理此類案件的重要性，以及適時介入偵查的具體工作方法。

“新型網路犯罪”，“新型”意味著犯罪手法新，沒有既成的辦案經驗，“網路”意味著區別於傳統犯罪的專業性和技術性特徵，各級司法機關乃至各機關內部對此類案件的法律適用容易產生分歧。上述案件特徵在檢例第69號指導性案例的辦案過程中有具體表現：2017年2月至3月間，國內某網際網路公司的雲伺服器多次遭受神秘駭客團伙大流量高峰值DDoS攻擊，阻塞網路資料傳輸，伺服器大面積宕機，導致租用該網際網路公司雲伺服器經營的網路遊戲專案出現無法登入、使用者頻繁掉線等異常問題。為恢復雲伺服器的正常運營，該網際網路公司組織人員對伺服器進行了搶修併為此支付4萬餘元。公安機關接到報案後，很快鎖定在境外活動的姚曉傑等人成立的“暗夜小組”就是實施本案網路攻擊行為的駭客組織。2017年6月至9月間，公安機關陸續將11名犯罪嫌疑人抓獲後進一步發現，“暗夜小組”成員為逃避打擊，在作案後已串供並將手機、膝上型電腦等作案工具銷燬或者進行了加密處理，人員到案後大多作無罪辯解，且相關證據比較薄弱。

鑑於案件重大、疑難情況，公安機關邀請廣東省深圳市檢察院介入偵查、引導取證。針對案件專業性、技術性強的特點，檢察機關會同公安機關多次召開案件討論會，聽取公安機關對犯罪事實及偵查進展情況的介紹，查閱偵查卷宗，對被害單位雲伺服器所受DDoS攻擊的特點進行縝密研究，並及時針對定罪定性以及調查取證策略提出指導意見。一是及時鎖定核心證據，在適時介入偵查初期就建議公安機關及時將被害單位報案提供的電子資料送國家計算機網路應急技術處理協調中心廣東分中心進行分析，確定主要攻擊源的IP地址。二是準確預判證據突破方向，建議本案定性及偵查方向確定為破壞計算機資訊系統罪，引導公安機關重點做好具體偵查取證工作。

從辦理過程來看，對於新型網路犯罪案件，檢察機關透過適時介入偵查，有利於會同公安機關研判定性並引導偵查取證方向，強化規範取證，為審查逮捕、審查起訴掃清障礙，提高訴訟效率。因此，對於重大、疑難、複雜的新型網路攻擊犯罪案件，檢察機關可以在適時介入偵查階段提出以下法律意見：一是對案件定性、犯罪構成和偵查方向等主要問題提出意見，統一思想，及時形成合力。二是引導公安機關及時調取證明網路攻擊犯罪發生、證明危害後果達到追訴標準的證據。三是引導公安機關調取證明網路攻擊是犯罪嫌疑人實施的證據。四是引導公安機關調取各犯罪嫌疑人構成共同犯罪以及地位作用的證據。五是在提出偵查意見時，明確指出每一項證據的偵查目的，及時瞭解情況，為偵查工作提供必要的引導和指導。

指導價值之二：總結出新型網路犯罪案件的各項審查規則。

一是事實認定方面的審查規則。

具體包括：（1）透過委託專業技術人員對收集提取到的電子資料等進行檢驗、鑑定，結合在案其他證據，明確網路攻擊型別、攻擊特點和攻擊後果，證明網路攻擊犯罪發生、證明危害後果達到追訴標準。（2）透過專門技術對攻擊源進行分析，溯源網路犯罪路徑；核查IP地址、網路活動記錄、上網終端歸屬，核實犯罪嫌疑人網路身份與網路終端、儲存介質間的關聯性；核實犯罪嫌疑人網路身份與現實身份的同一性，證明犯罪嫌疑人實施了攻擊行為；調取犯罪嫌疑人在實施網路攻擊後威脅被害人的證據，認定攻擊事實和因果關係。對於網路攻擊型別和特點與犯罪嫌疑人實施的攻擊一致，攻擊時間和被攻擊時間吻合的，可以認定網路攻擊系犯罪嫌疑人實施。（3）網路攻擊類犯罪多為共同犯罪，透過審查各犯罪嫌疑人的供述和辯解、手機通訊記錄等，透過審查自供和互證的情況以及與其他證據間的印證情況，查明各犯罪嫌疑人間的犯意聯絡、分工和作用，準確認定主、從犯。

二是對被害單位提供的證據和技術支援意見的審查規則。

網路攻擊類犯罪案件具有高度專業性、技術性的特徵，受害方多為網際網路企業，在打擊該類犯罪中，司法機關往往需要藉助被攻擊的網際網路企業在網路技術、網路資源等方面的優勢，進行溯源分析或對攻擊造成的危害進行評估。網際網路企業既是受害方，又是技術支援的協助方，必須特別注意審查取證過程的規範性，以確保被害單位提供的證據客觀真實。有條件的，應當聘請專門機構對證據的完整性進行鑑定；條件不具備的，應當要求提供證據的被害單位對證據的技術邏輯要素作出合理說明。同時，要充分運用印證分析審查思路，將被害單位提供的證據與在案其他證據，如從犯罪嫌疑人處提取的電子資料、社交軟體聊天記錄、銀行流水、第三方機構出具的鑑定意見、犯罪嫌疑人供述等證據作對照分析，確保不存在人為改變案件事實或改變案件危害後果的情形。

三是認定危害後果的審查規則。

對於破壞計算機資訊系統的危害後果，實踐中往往傾向於依據犯罪違法所得數額或造成的經濟損失認定。但是在一些案件中，違法所得或經濟損失並不能全面、準確反映犯罪行為所造成的危害。有的案件違法所得或者經濟損失的數額並不大，但網路攻擊行為導致受影響的使用者數量特別大，有的導致使用者滿意度降低或使用者流失，有的造成了惡劣社會影響。對這類案件，如果僅根據違法所得或經濟損失數額來評估危害後果，可能會導致罪刑不相適應。因此，辦理破壞計算機資訊系統犯罪案件時，注意從維護公共秩序的角度，收集、固定能夠證實受影響的計算機資訊系統數量或使用者數量、受影響或被攻擊的計算機資訊系統不能正常執行的累計時間、對被害企業造成的影響等證據，對危害後果作出客觀、全面、準確認定，做到罪責相當、罰當其罪。（作者為廣東省深圳市檢察院四級高階檢察官蔡君輝）

（檢察日報）