作者：刘晴晴

根据我国《刑法》第二百八十五条第二款的规定，非法获取计算机信息系统数据罪是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，情节严重的行为。是否构成该罪，应从“非法”、“采用其他技术手段”、“获取”、“数据”、网络安全以及是否具有可罚性等方面准确把握。

一、非法获取计算机信息系统数据中的“非法”

（一）具备资格但超出允许范围开展业务，可能系违规或者违反合同约定行为，不应被评价为刑法上的“非法”

在刑法规制的行为范围中，有些行为的性质对社会是有害无益的，在社会价值评判体系和利益衡量系统中，已经被判定是不能够增进个人或者社会福祉，因此在整体上被禁止。这里的“非法”强调的是没有根据国家规定从事相关活动必须具备的资格，未获得进入某个领域从事相关业务的许可。如果行为人具备了资质或者是获得许可，但是违反国家规定或者行业要求的各种限制条件，超范围、超额度、改型号、超品类、低标准等从事相关业务的，属于行政法上的违规行为。此类行政法上的“违规”行为，通常不能被评价为刑法意义上的“非法”，除非刑法上专门设置了针对此类违规的犯罪，否则只能按照一般的行政违规行为处理。例如，《刑法》第336 条第1款非法行医罪是指未取得医生执业资格的人非法行医；第 2 款擅自为他人进行节育复通手术是指未取得医生执业资格的人擅自为他人进行节育复通手术进行节育。

（二）有资格但超范围实施某行为被认定为“非法”，必须以法律明文规定为犯罪作为前提

如非法采矿罪，即使取得采矿证，超越采矿许可证规定的矿区范围开采矿产资源的，未按采矿许可证规定的矿种开采矿产资源的（共生、伴生矿种除外），也认定为非法采矿罪。原因在于《最高人民法院、最高人民检察院关于办理非法采矿、破坏性采矿刑事案件适用法律若干问题的解释》（法释[2016]25号，2016年12月1日）第二条明确将超授权认定为“未取得采矿许可证”范围之内，而司法解释并未将超越书面合同约定范围解释为未取得资格，故将此认定为非法，没有法律依据。

（三）即使有资格但超越书面合同约定范围实施某种行为被认定为“非法”，仍需重点审查是否在实际合同履行过程中得到过对方授权或者允许

根据《刑法》第96条的规定，刑法中所称的违反国家规定，是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。而针对计算机、互联网方面具体的国家规定是指：《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于维护互联网安全的决定》《计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》等。涉及非法获取计算信息系统数据的国家规定主要细化在《计算机信息网络国际联网安全保护管理办法》第六条中，关于“任何单位和个人不得从事下列危害计算机信息网络安全的活动：（一）未经允许，进入计算机信息网络或者使用计算机信息网络资源的”。在司法实务中，存在虽然合同中约定范围仅限于A，但是合同允许对方做到B范围内，故在具体案件审查中，需要提供合同相对人默认或者允许的证据。

二、关于“采取其他技术手段”的认定

非法获取计算机信息系统数据罪要求侵入或者采用其他技术手段获取计算机信息系统中存储、处理、传输的数据。本罪的侵入，是指未经授权或者他人同意，通过技术手段进入计算机信息系统。侵入通常是指通过“木马程序”，在用户访问该网站时，伺机侵入用户计算机信息系统；或建立色情、游戏等网站，吸引用户访问并在用户计算机系统中植入“木马程序”等。其他技术手段是立法者针对实践中随着计算机信息技术的发展可能出现的各种手段作出的兜底性规定。从文义解释和体系解释的角度理解，采用其他技术手段，是指采用侵入以外，与侵入功能相似的其他具有较高技术含量的手段。不论是侵入还是采用其他技术手段，都要求利用一定的网络技术手段。根据《两高关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条之规定，采取的程序、工具必须具有避开或者突破计算机信息系统安全保护措施的功能。所以，在技术认定时要慎重把握，采取的技术手段是为了避开或者突破计算机信息安全保护措施还是为了其他目的，譬如采取的技术是为了更好的使用数据而不是为了获取数据，不符合犯罪构成，故不能认定为本罪。

三、关于“获取”的认定

所谓获取，是指通过非法侵入等方式后，从他人计算机信息系统中非法取得数据的行为，立法机关对这里的“获取”明确解释为盗窃或者诈骗，指出：“获取包括从他人计算机信息系统中窃取，如直接侵入他人计算机信息系统，秘密复制他人存储的信息；也包括骗取，如设立假冒网站，在受骗用户登录时，要求用户输入账号、密码等信息。”

四、关于“数据”的认定

在计算机科学中，“数据”是所有能输入计算机并被计算机程序处理的符号的介质的总称，是用于输入电子计算机进行处理，具有一定意义的数字、字母、符号和模拟量等的通称。计算机存储和处理的对象十分广泛，表示这些对象的数据也随之变得越来越复杂。

五、获取数据的行为是否危害数据安全

数据安全涉及数据的保密性、完整性、可用性。非法获取数据类犯罪，实质是对数据保密性的侵犯。按照公开程度的不同，数据大致可以分为不公开的数据、半公开的数据、公开的数据。对于向大众公开的数据，因为不存在侵害权利人的保密意思，也不需要避开权利人的安全技术措施去获取，不能构成非法获取数据犯罪。但利用技术手段大量获取及利用他人未公开数据的行为，可能构成侵权。行为人违背数据权利人的意愿，通过侵入或者采用其他技术手段非法获取相关数据，则不仅构成侵权，情节严重的，还可能构成犯罪。因为不公开或半公开的数据，权利人会对数据采用一定的保密措施，如果超过授权、避开或突破安全技术措施获取数据，则违背了权利人的保密意思，不但对他人利益造成侵害，也可能危及计算机信息系统以及数据本身的安全，可能触犯刑法。

在大数据时代，数据安全风险及其防范问题越来越受到国家立法的重视，法律保护的重心也从网络载体、信息内容逐步转到数据本身，从静态的计算机安全到动态的网络安全，发生着质的变化。随着网络安全法、数据安全法、个人信息保护法等法律的实施，我国对网络安全和数据安全的法律保护将更为严密。

六、行为是否需要动用刑罚进行规制

数据化已经成为当前社会的基本生活方式，而数据犯罪也成为各个法域规范的重点。当一个违法行为既违反民事法律规范，又违反刑事法律规范，就会产生刑民交叉的问题。正如本案所涉及的情形，在构成民事侵权的情形下，是否需要刑事处罚进行规制，我们认为，如果民事责任和刑事责任产生竞合，即使须承担民事责任，也并不影响刑事责任的承担。刑民交叉的案件，是否需要运用刑罚予以规制，主要在于是否达到情节严重的判断标准。若不当行为超越情节严重的标准后，民事责任是否成立或者是否存在，并不影响刑事责任的规制。

综上所述，非法获取计算机信息系统数据罪作为新型网络犯罪，涉及领域较广，专业性强。在维护国家网络安全打击犯罪时，必须从犯罪构成出发，从保护企业家合法权益出发，力求做到整治效果、法律效果与社会效果的统一，才符合立法的目的。