根据中国互联网络信息中心第46次《中国互联网络发展状况统计报告》显示，截止2020年6月，我国网民规模为9.4亿，互联网普及率达67%。由此可见，互联网已被超过半数的中国人民所使用，并在日常生活中扮演着不可代替的角色。然而，互联网在便利人们生活的同时，也引发了更多的信息安全隐患和财产安全风险，滋生了众多犯罪。据统计，检察机关办理的网络犯罪案件逐年增加近40%，尤其是在抗“疫”期间，检察机关办理的诈骗案件有超三分之一是通过网络实施的。

非法获取计算机信息系统数据罪是在2009年刑法修正案中补充的一种利用信息网络作为作案工具的犯罪，其侵犯的客体权益是计算机信息系统的安全。行为人为实现某种目的，通过非法侵入普通计算机获取特定数据这一行为，侵害了他人的合法权益，同时也破坏了计算机信息系统的安全性。下面通过本人代理的贺某非法获取计算机信息系统数据一案，对此罪进行浅析（部分案情虚构化）。

手机的智能化使得手机网络游戏开始流行，其以更简单的操作，时间空间的无限制性等优势，成为人们日常生活中的一项普遍的娱乐方式，而这也使得犯罪分子发现了新的“商机”。贺某擅长计算机、手机编程，经常活跃在在某论坛与网友进行技术交流，平日里也经常以手游作为消遣。在一次手机游戏币充值的过程中，贺某偶然发现该游戏充值系统存在漏洞，利用该漏洞可以免费、多次的获取游戏货币。于是贺某利用游戏自身漏洞开发出相关软件，并经过反复尝试后，在某二手交易平台上发布消息，称可以低价代刷游戏币。利用此方法，贺某在半年时间内非法获利高达三百余万元，间接导致游戏公司受到重大损失。该犯罪事实经侦查机关发现并立案侦查后，最终被认定构成非法获取计算机信息系统数据罪，经律师提供辩护和努力争取，最终判处有期徒刑三年缓期三年执行。

本罪构成要件

根据传统的“四要件” 学说，非法获取计算机信息系统数据罪的成立应当具备以下构成条件：

犯罪主体：行为人应当为年满16周岁，具有刑事责任能力的自然人，单位不构成本罪。在实务中，本罪的犯罪嫌疑人通常被要求对电脑及网络能够熟练应用，掌握一定的技术。

犯罪主观方面：行为人在主观方面存在着主观故意，即明确知晓自己所实施的行为可能侵犯他人的法益，仍期待结果的发生。

犯罪客观方面：行为人采取了非法侵入除国家事务、国防建设、尖端科学技术领域以外普通计算机，并获取特定数据的行为，该行为在客观上违反了国家规定。这里的国家规定包括且不限于《全国人民代表大会常务委员会关于维护互联网安全的决定》《计算机信息系统安全保护条例》《计算机信息系统国际联网保密管理规定》和公安部发布的《计算机信息网络国际联网安全保护管理办法》等。

犯罪客体：本罪所侵害的法益是计算机信息系统的安全。非法获取计算机信息系统数据罪的犯罪对象仅限于使用中的计算机信息系统中存储、处理、传输的数据，而存放在计算机以外的移动硬盘等设备中的计算机数据并不是本罪的保护对象。本罪是对刑法285条的兜底性补充条款，其扩大了对计算机系统安全的保护范围。

最后，本罪为情节犯，即行为人在犯罪结果上应达到“情节严重”的标准。

该类型案件辩护思路

针对以上构成要件，严格适用入罪及出罪条件，合理区分相似罪名是辩护的主要切入点。

1. 行为人主观上须具备直接故意

本罪的构成必须要以行为人具有直接故意为前提。在明知未获得有关部门的合法授权或批准的情形下，行为人主观上具有侵入、积极占有、拥有非本人所有的计算机信息系统获取特定数据的直接故意。由此可见，间接故意或者过失的行为不构成此罪。

2. 客观上未通过积极地获取行为得到的数据，不构成本罪

《刑法》第285条规定：非法获取计算机信息系统数据罪要求行为人有客观的“获取行为”。因此，本罪要求行为人除了应当具有占有数据的直接故意外，还要求行为人在客观上基于占有数据的欲望实施了获取的行为。

3. 不符合“情节严重”的标准的，不构成本罪

如前文所述，非法获取计算机信息系统数据罪属于情节犯，因此，应当从数据性质和数量、违法所得等方面入手，对案件进行判断。最高院在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条中，对构成“情节严重”的辨准进行了严格的规定。

首先，在信息性质和数量方面，“获取十组以上支付结算、证券交易、期货交易等网络金融服务的身份认证信息或五百组以上其他身份认证信息的，符合“情节严重”的标准”。这里的“身份认证信息”是指由账户、密码、口令等信息组成的，能够在人为操作下成功侵入计算机信息系统的数据。如果行为人仅获得部分身份认证信息，或者所获身份认证信息经验证无法进入系统，则不能被认定为获取了有效的身份认证信息，也不能以司法解释规定的身份认证信息的数量进行统计。此外，代理人还可以申请对所获取的数据进行价值鉴定，法院应当根据信息的数量、价值、获得成本，以及信息泄露对被害人造成的损失等因素来判断行为是否达到“情节严重”的标准。

其次，在违法所得的认定方面，“违法所得超过五千元，或造成经济损失一万元以上的，符合“情节严重”的标准”。在学术上，“违法所得的认定标准通常有两种，按“非法经营收入”认定和按“非法获利” 认定。其区别是前者包括嫌疑人因犯罪行为而获得的所有赃物，后者则仅包含嫌疑人在扣除相关合理经营成本后的净获利。在实践中，本罪采用“非法获利”的认定标准往往能更有利于被告人。如果净获利金额未能达到最低的量刑标准，则应到认定为未达到“情节严重”的标准，不构成本罪。

4. 关注本罪保护的法益，明确被保护数据的范围

由于非法获取计算机信息系统数据罪的立法目的是通过保护“计算机数据”来进一步实现计算机信息系统的稳定与安全，因此，对“计算机数据”应当采用广义解释。具体可以参考《最高人民法院关于适用刑事诉讼法的解释》第93条，该法条规定“电子数据”的范围包括：电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等。

一方面，虽然本罪保护的法益是计算机信息数据的安全，但并非所有的“数据”都具有被法律保护的价值，本法所保护的数据应当具有私密性、合法性，并达到“情节严重”的标准。由于信息数据繁多，司法解释并不能穷尽被保护数据的种类，但实践中可以排除不被保护的数据类型。

首先，获取已经公开或者必须公开的数据不构成本罪。由于已被公开的信息，如政府的公开文件、公告、报告等数据，被获取后并不具备社会危害性，不属于被刑法惩戒的目标，所以不具有保护价值。

其次，获取违法数据不构成本罪。法律保护的是合法权益，违法的权益并不在法律的保护范围内。因此，违法数据不具有保护价值，这些数据的获取反而可能更有利于国家打击犯罪，维护治安。

最后，获取未达到“情节严重”标准的信息不构成本罪。由于本罪属于情节犯，因此只有达到了“情节严重”标准的数据信息才符合本罪最保护的法益。当被获取的数据并未达到上述标准或未造成严重后果时，则可能不构成犯罪，或构成其它犯罪。

另一方面，也并非侵犯任何值得保护的数据都构成本罪。例如，若获取的是公民个人信息，则以侵犯公民个人信息罪论处；若获取的是财产性数据，则可能构成财产性犯罪；若获取的是国家事务、国防建设、尖端科学技术领域的计算机信息系统中的数据，则构成故意泄露国家秘密罪；若获取的是商标、专利等方面的数据，还可能构成知识产权犯罪。

结语

随着身边日益增长的互联网犯罪，我国正快步向信息化迈进，在加强个人对信息数据保护意识同时，国家也对相关犯罪行为从严打击。为防止出现冤案、错案，一方面需要对具体案件材料进行仔细审查，另一方面更需要对案件准确定性，正确办理每一起案件，努力做到罪刑相适应。

律师简介

赵晗律师

毕业于华东政法大学。现为京师（全国）刑事专业委员会委员、网络犯罪研究中心研究员，北京市京师律师事务所北京总部合伙人，北京市京师律师事务所团委副书记

专业领域：刑事辩护、经济犯罪辩护、涉黑涉恶犯罪辩护、职务犯罪辩护、刑民交叉犯罪辩护、公司刑事风险防控，重大民商事、合同纠纷诉讼