条文内容

第二百八十五条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下或者。

违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

 

罪名精析

1

构成要件

一、概念

非法获取计算机信息系统数据、非法控制计算机信息系统罪，是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的行为。本罪是选择性罪名，包括：非法获取计算机信息系统数据罪和非法控制计算机信息系统罪两个罪名。

二、非法获取计算机信息系统数据、非法控制计算机信息系统罪构成要件

（一）客体要件

本罪侵犯的客体是计算机信息系统安全。计算机信息系统是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处埋的人机系统。

（二）客观要件

本罪在客观方面表现为违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的行为。

（三）主体要件

本罪的主体是一般主体。即年满十六周岁具有的自然人。本罪的主体往往具有相当高的计算机专业知识和娴熟的计算机操作技能，有的是计算机程序设计人员，有的是计算机管理、操作、维护保养人员。

（四）主观要件

本罪在主观方面是故意。即行为人明知自己的行为违反国家规定会产生非法侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统的危害结果，而希望这种结果发生。过失不构成本罪。行为人实施本罪的动机和目的是多种多样的，有的是出于好奇，有的是为了泄愤报复，有的是为了炫耀自己的才能，等等。这些对构成犯罪均无影响。

 

2

认定要义

一、罪与非罪的认定

本罪是情节犯，只有“情节严重”的才构成犯罪。根据2011年9月1日起施行的《最高人民法院、最高人民检察院关于办理危害计算机系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》）第1条的规定，具有下列情形之一的，应当认定为“情节严重”:

（1）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以的；

（2）获取第（1）项以外的身份认证信息500组以上的；

（3）非法控计算机信息系统20台以上的；

（4）违法所得5000元以上或者造成经济损失1万元以上的；

（5）其他情节严重的情形。

其中，根据《解释》第11条的规定，“计算机信息系统”，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等；“身份认证信息”，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等；“经济损失”，包括危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。

二、明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用行为的处理

明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用，使得该计算机信息系统继续处于被控制状态，实际上是对该计算机信息系统实施控制，根据《解释》第1条第3款的规定，此种行为应以非法控制计算机信息系统罪定罪处罚，具体定罪量刑标准与其他非法控制计算机信息系统犯罪相同。

三、掩饰、隐瞒计算机信息系统数据、控制权行为的定性

危害计算机信息系统安全犯罪活动的一个重要特点是分工细化。在非法获取计算机信息系统数据活动中，制作非法获取数据的程序、传播用于非法获取数据的程序、非法获取数据、获取数据后销赃获利、使用数据等行为通常由不同人员实施。由于行为人之间事前通谋，欠缺故意，难以依据共同犯罪予以打击，以至于收购、代为售或者以其他方法掩饰、隐瞒计算机信息系统数据、控制权的行为泛滥，甚至形成了大规模的网上交易平台。为此，《解释》第7条规定，明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权，而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒，违法所得15000元以上的，应当依照《》第312条的规定，以定罪处罚。违法所得5万元以上的，应当认定为《刑法》第312条规定的“情节严重”。其主要理由是：

（1）掩饰、隐瞒犯罪所得罪的对象不限于赃物，而是包括除《刑法》第191条规定的的上游犯罪以外的所有犯罪的犯罪所得及其产生的收益；

（2）计算机信息系统数据、控制权是一种无形物，属于“犯罪所得”的范畴；

（3）客观实际需要。

当前掩饰、隐瞒计算机信息系统数据、控制权的现象十分突出，不予以打击将无法切断危害计算机信息系统安全犯罪的利益链条，难以切实保障计算机信息系统安全。

四、划清本罪与非法侵入计算机信息系统罪的界限

两罪区分的关键在于犯罪对象不同。前者针对普通计算机信息系统；后者仅限于国家事务、国防建设、尖端科技术领域的计算机信息系统。此外两罪在具体行为方式、入罪门槛上也有所不同。前者不仅要求实施非法侵入等技术手段，还要求获取计算机信息系统数据或者对计算机信息系统进行控制，后者只要求实施非法侵入的行为；前者定罪要求情节严重，后者无此要求。

 

量刑标准

依照《刑法》第285条第2款规定，犯法获取计算机信息系统数据、非法控制计算机信息系统罪的，处3年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处3年以上7年以下有期徒刑，并处罚金。

关于“情节特别严重”的认定，根据《解释》第1条第2款的规定，具有下列情形之一的，应当认定为《刑法》第285条第2款规定的“情节特别严重”：

（1）数量或者数额达到《解释》规定的“情节严重”标准的5倍以上的；

（2）其他情节特别严重的情形。

根据《刑法》第285条第4款的规定，单位犯本罪的，对单位判处罚金并对其直接负责的主管人员和其他直接任人员，依照各该款的规定处罚。

 

解释性文件

1

最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释（2011年9月1日施行 法释〔2011〕19号）

【延伸阅读】《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的理解与适用

为依法惩治危害计算机信息系统安全的犯罪活动，根据《中华人民共和国刑法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》的规定，现就办理这类刑事案件应用法律的若干问题解释如下：

第一条 非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：

（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；

（二）获取第（一）项以外的身份认证信息五百组以上的；

（三）非法控制计算机信息系统二十台以上的；

（四）违法所得五千元以上或者造成经济损失一万元以上的；

（五）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节特别严重”：

（一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的；

（二）其他情节特别严重的情形。

明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用的，依照前两款的规定定罪处罚。

······

第八条 以单位名义或者单位形式实施危害计算机信息系统安全犯罪，达到本解释规定的定罪量刑标准的，应当依照刑法第二百八十五条、第二百八十六条的规定追究直接负责的主管人员和其他直接责任人员的刑事责任。

第九条 明知他人实施刑法第二百八十五条、第二百八十六条规定的行为，具有下列情形之一的，应当认定为共同犯罪，依照刑法第二百八十五条、第二百八十六条的规定处罚：

（一）为其提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具，违法所得五千元以上或者提供十人次以上的；

（二）为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助，违法所得五千元以上的；

（三）通过委托推广软件、投放广告等方式向其提供资金五千元以上的。

实施前款规定行为，数量或者数额达到前款规定标准五倍以上的，应当认定为刑法第二百八十五条、第二百八十六条规定的“情节特别严重”或者“后果特别严重”。

第十条 对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的，应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论，并结合案件具体情况认定。

第十一条 本解释所称“计算机信息系统”和“计算机系统”，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。

本解释所称“身份认证信息”，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。

本解释所称“经济损失”，包括危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。

 

2

最高人民法院研究室关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见

有关部门就利用计算机窃取他人游戏币非法销售获利如何定性问题征求最高人民法院研究室意见。

我室经研究认为：利用计算机窃取他人游戏币非法销售获利行为目前宜以非法获取计算机信息系统数据罪定罪处罚。

 

证据规格

非法获取计算机信息系统数据、非法控制计算机信息系统罪：

（一）违法嫌疑人陈述与申辩

1.违法嫌疑人基本情况；

2.作案动机、目的；

3.被侵害计算机的基本特性，计算机来源、所有权情况，配置情况，联网端口信息资料，密码，购买、使用情况，有多少台相关的计算机系统受到侵害；发现被侵害的时间、地点；受损害信息的范围、程度；被获取的计算机信息系统中存储、处理或者传输的数据内容，计算机信息系统被控制的时间和带来的损失等；

4.其他能够证明计算机系统数据被非法获取或者计算机信息系统被非法控制的情况。

（二）被侵害人陈述、证言

1.违法嫌疑人员计算机技术、设备、网络情况；被侵害计算机信息系统和系统数据的基本情况、受损情况、发现的时间和地点；被非法侵入的计算机信息系统和系统数据的前后区别；

2.运用何种技术、软件、设配、网络实施的违法行为，相关的技术、软件、设配、网络的来源、特征。

（三）物证、书证

作案工具实物和照片。

（四）视听资料

收集为实施非法获取计算机信息系统数据、非法控制计算机信息系统行为而准备工作或事实违法行为的视听资料。

（五）现场勘验、检查笔录

1.扣押、收缴相关物品；

2.对双方计算机终端勘查。

（六）鉴定意见

查明计算机信息系统受侵害的原因；物证痕迹与当事人是否对应。

（七）书证

接处警记录；违法嫌疑人员人户籍证明、现实表现、前科材料等。

（八）辨认笔录

被侵害人、证人对违法嫌疑人的辨认。

（九）其他证据材料

1.证明违法嫌疑人身份的材料，如户籍证明，身份证、工作证、专业或技术等级证复印件等。有前科劣迹，应调取法院判决书、行政处罚决定书、释放证明书等有效法律文件；

2.抓获经过、出警经过、报案材料等。

 

案例精选

1最高检指导案例第36号 卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案

【摘要】

超出授权范围使用账号、密码登录计算机信息系统，属于侵入计算机信息系统的行为；侵入计算机信息系统后下载其储存的数据，可以认定为非法获取计算机信息系统数据。

【基本案情】

被告人卫梦龙，男，1987年10月生，原系北京某公司经理。

被告人龚旭，女，1983年9月生，原系北京某大型网络公司运营规划管理部员工。

被告人薛东东，男，1989年12月生，无固定职业。

被告人卫梦龙曾于2012年至2014年在北京某大型网络公司工作，被告人龚旭供职于该大型网络公司运营规划管理部，两人原系同事。被告人薛东东系卫梦龙商业合作伙伴。

因工作需要，龚旭拥有登录该大型网络公司内部管理开发系统的账号、密码、Token令牌（计算机身份认证令牌），具有查看工作范围内相关数据信息的权限。但该大型网络公司禁止员工私自在内部管理开发系统查看、下载非工作范围内的电子数据信息。

2016年6月至9月，经事先合谋，龚旭向卫梦龙提供自己所掌握的该大型网络公司内部管理开发系统账号、密码、Token令牌。卫梦龙利用龚旭提供的账号、密码、Token令牌，违反规定多次在异地登录该大型网络公司内部管理开发系统，查询、下载该计算机信息系统中储存的电子数据。后卫梦龙将非法获取的电子数据交由薛东东通过互联网出售牟利，违法所得共计37000元。

【诉讼过程和结果】

本案由北京市海淀区人民检察院于2017年2月9日以被告人卫梦龙、龚旭、薛东东犯非法获取计算机信息系统数据罪，向北京市海淀区人民法院提起。6月6日，北京市海淀区人民法院作出判决，认定被告人卫梦龙、龚旭、薛东东的行为构成非法获取计算机信息系统数据罪，情节特别严重。判处卫梦龙有期徒刑四年，并处罚金人民币四万元；判处龚旭有期徒刑三年九个月，并处罚金人民币四万元；判处薛东东有期徒刑四年，并处罚金人民币四万元。一审宣判后，三被告人未上诉，判决已生效。

【指导意义】

非法获取计算机信息系统数据罪中的“侵入”，是指违背被害人意愿、非法进入计算机信息系统的行为。其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统，也包括未取得被害人授权擅自进入计算机信息系统，还包括超出被害人授权范围进入计算机信息系统。

本案中，被告人龚旭将自己因工作需要掌握的本公司账号、密码、Token令牌等交由卫梦龙登录该公司管理开发系统获取数据，虽不属于通过技术手段侵入计算机信息系统，但内外勾结擅自登录公司内部管理开发系统下载数据，明显超出正常授权范围。超出授权范围使用账号、密码、Token令牌登录系统，也属于侵入计算机信息系统的行为。行为人违反《计算机信息系统安全保护条例》第七条、《计算机信息网络国际联网安全保护管理办法》第六条第一项等国家规定，实施了非法侵入并下载获取计算机信息系统中存储的数据的行为，构成非法获取计算机信息系统数据罪。按照2011年《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》规定，构成犯罪，违法所得二万五千元以上，应当认定为“情节特别严重”，处三年以上七年以下有期徒刑，并处罚金。

【相关法律规定】

《中华人民共和国刑法》

第二百八十五条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》

第一条 非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：

······

（四）违法所得五千元以上或者造成经济损失一万元以上的；

······

实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节特别严重”：

（一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的；

······

《中华人民共和国计算机信息系统安全保护条例》

第七条 任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。

《计算机信息网络国际联网安全保护管理办法》

第六条 任何单位和个人不得从事下列危害计算机信息网络安全的活动：

（一）未经允许，进入计算机信息网络或者使用计算机信息网络资源的；

（二）未经允许，对计算机信息网络功能进行删除、修改或者增加的；

（三）未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；

（四）故意制作、传播计算机病毒等破坏性程序的；

（五）其他危害计算机信息网络安全的。