非法获取计算机信息系统数据罪属于情节犯。在理论中，情节犯由两方面的要素构成，一是行为人实施了非法获取计算机信息系统数据的违法行为，二是其违法行为所造成的危害已达到刑法规定的犯罪程度，需要动用刑罚予以惩治。前者规定的是行为违法性的“质”，后者规定的是行为危害程度的“量”。情节犯就是这个“质”与“量”的统一。本罪名中“情节严重”就是对构成本罪社会危害性“量”的规定。因此，行为人的违法行为情节严重与否，是区分非法获取计算机信息系统数据罪与非罪的重要标准之一。

何为“情节严重”？最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》）中规定了五种在司法上可以认定为“情节严重”的情形，即，非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为《刑法》第285条第2款规定的“情节严重”：

（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；

（二）获取第（一）项以外的身份认证信息五百组以上的；

（三）非法控制计算机信息系统二十台以上的；

（四）违法所得五千元以上或者造成经济损失一万元以上的；

（五）其他情节严重的情形。

《解释》规定的上述五种“情节严重”的情形中，前四种情况由于客观上造成了现实的、可量化的后果，因此在理解和实际运用上没有什么困难，但是对于第（五）种“其他情节严重的情形”的理解和认定，确实比较困难的，也是争议最大的。从立法（包括司法解释等规范性文件的制定）技术上说，该等条款属于“兜底性条款”，目的是为了应当现实情况的复杂性，给予具体司法办案人员一定的根据具体个案的客观情况进行灵活处理的余地，授予其一定范围的自由裁量权。有学者结合具体的司法实践中的具体情况提出如下观点：从理论上说，这里的其他严重情节至少包括获取信息的数量、次数、手段、潜在危险性等，从实质上判断其行为的法益侵害性和有责性是否达到需要刑罚处罚的程度，既要防止将没有达到刑罚处罚程度的行为认定为犯罪而随意入罪，又要防止将达到刑罚处罚程度的行为排除在犯罪之外而放纵犯罪。笔者认为这种观点提出了认定本罪“其他情节严重的情形”的一些方法和思路，是值得研究和借鉴的。