一、引言
在程序员圈里,经常流传着一句“大不了就删库跑路”的玩笑话,它是诸多程序员们用来发泄工作压力的口头禅,更是他们用来进行自嘲解构的调味品,但是这一几乎每个程序员都懂得的都市传说却在2020年初真正应验了,在今年2月份的时候,国内一则“程序员贺某删库”的消息传遍了全网。这则消息刷屏的原因很简单:贺某的短短几行代码,直接让香港主板上市公司微盟集团的市值一天之内蒸发超10亿元,数百万用户受到直接影响。
二、案件经过
2020年2月23号19:00左右,微盟集团的SaaS业务突然崩溃,而基于微盟集团的商家小程序都处于宕机状态,300万商户生意基本停摆。随后微盟集团开展调查,最终发现运维贺某于2月23号晚18点56分,通过个人VPN登入公司内网跳板机,对微盟集团线上生产环境进行恶意破坏,直接导致这场事故的发生。好在事后微盟集团及时组织工程师对系统与数据进行了修复,微盟集团官网于2月26号才发布公告称“核心业务已恢复服务”,至此,此次让全网震惊的删库事件才逐渐收尾。
2020年2月24日微盟集团向上海宝山区公安局报案,2月25日贺某被公安机关刑事拘留,2020年8月26日,上海市宝山区人民法院适用简易程序对贺某破坏计算机信息系统一案作出一审宣判,最终贺某(认罪认罚)因犯破坏计算机信息系统罪获刑6年,至此,此事件才完全落下帷幕。
上海市宝山区人民法院审理查明:2020年2月23日18时56分许,被告人贺某酒后因生活不如意、无力偿还网贷等个人原因,通过电脑连接公司VPN、登录公司服务器后执行删除任务,将微盟集团服务器内数据全部删除,导致公司运营自2020年2月23日19时起瘫痪,300余万用户(其中付费用户7万余户)无法正常使用该公司信息产品,经抢修于同年3月3日9时恢复运营。截至2020年4月30日,造成微盟集团支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币2260余万元。上海市宝山区人民法院认为,被告人贺某违反国家规定,删除计算机信息系统中存储的数据,造成特别严重的后果,其行为已构成破坏计算机信息系统罪。
贺某的这起案件绝对可以称的上是目前为止国内删库最严重的事件之一,但是值得注意的问题是,此类删库跑路案件绝非孤案,且有逐年上涨趋势。[1]2017年,北京一软件工程师徐某离职后因公司未能如期结清工资而心生怨恨,便利用其在所设计的网站中安插的后门文件将网站源代码全部删除。徐某的行为直接导致公司经济损失26.5万元,后因破坏计算机信息系统罪,被判处有期徒刑5年。2018年,杭州科技公司的技术总监邱某因不满企业裁员,遂心生报复,远程登录服务器删除了数据库上的一些关键索引和部分表格,造成该企业直接经济损失225万元。后邱某被判赔偿公司8万元,判刑2年6个月,缓刑三年。
以上案例足以引起我们的充分重视,让我们暂且剥离“删库跑路”的戏谑外衣,客观对删库行为的刑事评价予以考量,看看短短的一行代码:rm -rf/* 究竟能造成多大量级的法益侵害。
三、案件焦点
还是以上述贺某删库案作为讨论的样本,来具体透视贺某删除服务器数据的行为与破坏计算机信息系统罪的犯罪构成之间的对应关系:
1.贺某删除服务器数据是否属于该罪构成要件中明确前置规定的“违反国家规定”行为;
2.贺某删除服务器数据的行为是否足以认定为“后果特别严重”[2]。
四、案件评析
问题一:贺某删除服务器数据是否属于“违反国家规定”的行为?
《刑法》第二百八十六条规定,破坏计算机信息网络系统罪的前提是行为人的行为违反国家规定,这里的“国家规定”不仅包括全国人大制定的狭义法律,也包括行政法规、部门规章、地方性法规、地方政府规章等各位阶的法律。
具体到本案,贺某对微盟集团服务器数据删除的行为导致了服务器的瘫痪,以至于数百万用户无法正常使用微盟集团的信息产品的行为,是否违反国家规定呢?
根据《中华人民共和国计算机信息系统安全保护条例》第三条的规定“计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。”
贺某的行为显然已经使得微盟集团服务器的信息安全无法得到保障,计算机功能无法正常发挥,理应被评价为违反国家规定的行为。
更进一步来说,贺某的行为既使得微盟集团服务器的计算机信息系统不能正常运行,又擅自对微盟集团服务器的计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的操作,同时符合了《刑法》第二百八十六条的前两款情形。结合违反国家规定的法律事实,贺某的“删库”行为在犯罪评价层次上已具备构成该当性与违法性。
问题二:贺某删除服务器数据的行为是否足以认定为“后果特别严重”
从贺某的行为后果来看,结合《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称“《解释》”)第四条的规定,贺某的“删库”行为既然造成了2260万元的损失,并使得为300余万用户提供服务的计算器系统停止工作近10日,远超该解释“后果特别严重”所对应的两项最低标准[3]。因此,贺某的“删库”行为具备加重情节,须在此基础上定罪量刑。
如上所述,上海市宝山区人民法院最终依照“后果特别严重的,处五年以上有期徒刑”的标准认定贺某的刑事责任。
五、关联罪名分析—破坏生产经营罪
对于删除服务器数据的行为不单单仅涉及破坏计算机信息网络系统罪,还可能触及破坏生产经营罪。刑法第二百七十六条规定的破坏生产经营罪明确列举了毁坏机器设备、残害耕畜两种实行行为,同时用概括性描述“以其他方法破坏生产经营的”将司法实践中所存在的多种多样的破坏生产经营行为予以兜底规制(当然这里的“其他方法”应是与毁坏机器设备、残害耕畜相类似的毁坏财物的方法,而不是泛指其他方法[4])。结合贺某破坏计算机信息系统一案来看,由于计算机信息系统是微盟集团正常运营的基础条件,贺某的删库行为结果上导致了该计算机信息系统宕机长达10天,300多万商户无法正常使用,侵犯了微盟公司的正常生产经营秩序,其行为已经满足了破坏生产经营罪的犯罪构成。
司法实践中对于破坏计算机信息系统罪与破坏生产经营罪的两罪名的适用已达到以下两点初步共识:
1. 一行为同时触犯上述两罪名属于想象竞合,应当从一重罪处断
在上海市浦东新区人民法院对王某破坏计算机信息系统罪一案作出的一审刑事判决书[5]中,法官认为“关于被告人王X的辩护人所提王X的行为应构成破坏生产经营罪的意见,因不符合对想象竞合犯择一重罪处断的处理原则,故不予采纳”,可见法官并未对王X的行为定性(王X的行为满足破坏生产经营罪的构成要件)予以否认。
载入《人民司法 案例(2015年第24期)》的任桁序破坏计算机信息系统罪一案[6]也呈现出相同的司法判断原则,北京市东城区人民法院李国平、姜在斌两名法官对于本案的评析清楚地表明了法官的审理思路“本案中,被告人任桁序为了报复以前的单位国瑞公司,采用远程登录方式,对该公司计算机系统中存储的泛微协同办公平台应用管理程序及相关数据进行了删除操作,造成国瑞公司向软件供应商支付2万元费用的损失,后果严重,符合破坏计算机信息系统罪的犯罪构成。同时,被告人的破坏行为,给国瑞公司的日常报销审批、员工请销假、物资申请等办公自动化造成影响,该公司为重新搭建服务器数据额外支付费用,增加了运营成本,正常的生产经营被破坏,情节严重,构成破坏生产经营罪。按照想象竞合犯从一重处断原则,应当按照破坏计算机信息系统罪定罪处罚。”
2. 当行为人的行为不满足破坏计算机信息系统罪的入罪门槛时,以破坏生产经营罪定罪处罚
由于破坏计算机信息系统罪的入罪门槛要求“造成经济损失一万元以上”,而相比之下破坏生产经营罪的追诉标准仅为“造成公私财物损失5000元以上”,因此破坏生产经营罪在利用计算机实施犯罪的司法实践中就沦为了破坏计算机信息系统罪的兜底罪名。
在海淀区人民法院审理的李某等破坏生产经营罪一案[7]中,法官就采取了上述的定罪思路,法院审理查明“2016年1月6日,被告人李某在河南省郑州市租用被告人耿某非法控制的计算机信息系统,对被害单位联众公司的“联众德州扑克”游戏服务器进行非法网络攻击,导致该游戏不能正常提供服务,造成联众公司经济损失人民币7350元。”
由于本案李某仅造成经济损失人民币7350元,没有达到破坏计算机信息系统罪的入罪标准,对李某不以破坏计算机信息系统罪进行规制。另一方面,李某的行为造成了被害单位经济损失,该行为满足破坏生产经营罪中以其他方法破坏生产经营的规定,且破坏生产经营罪的入罪门槛比破坏计算机信息系统罪的入罪门槛低,即造成公私财物损失5000元以上的,即可入罪。因此本案中,李某的行为构成破坏生产经营罪。
六、结语
有观点认为,根据《刑法》第二百八十六条第一款的规定,破坏性行为须达到计算机信息系统不能正常运行的程度,这个程度性要求当然适用于《刑法》第二百八十六条第二款规定的删除、修改、增加计算机信息系统中存储、处理或者传输的数据和应用程序的行为,否则将使得该罪名口袋化。
这样的观点源自对《刑法》第二百八十六条所保护法益的限定:该条款所保护的法益是计算机信息系统的正常运行。
但事实上,计算机信息系统的运行是基于操作指令所传输的数据执行的,计算机信息系统无法正常运行的情形意味着计算机信息系统中的数据受到了侵害。因此,我们对此观点持有保留意见,该条款所真正保护的法益是计算机信息系统中的数据安全。
从《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第四条的前两款中可以看出司法解释制定者的倾向:十台以上计算机信息系统的主要软件或者硬件不能正常运行的后果与二十台以上计算机信息系统中存储、处理或者传输的数据被删除、修改、增加的后果相当。即能否正常运行与受到破坏的计算机信息系统数量均是犯罪后果的程度描述而非绝对的构成要件。
当然,构成要件上不需要达到“无法正常运行”的标准不意味着我们支持司法机关“唯数量”的扩张思路,对数据的删除、修改、增加的行为至少应当具备被刑法评价的程度。在上述司法解释出台后,破坏计算机信息系统罪的“口袋罪倾向”已是招来无数的口诛笔伐,上述行为的法益侵害标准有待司法解释作出更进一步的规定。
注释:
[1] 以“破坏计算机信息系统罪”作为关键词在裁判文书网上进行检索,发现2016年披露的一审判决书仅为59份,2017年为161件,2018年为197件,2019年为163件。
[2] 破坏计算机信息系统罪是典型的结果犯
[3] 《解释》规定的“后果特别严重”,要求行为人造成的经济损失在5万元以上或者行为人的行为导致为五万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;
[4] 参见张明楷:《刑法学(下)》,法律出版社第五版,第1027页。
[5] 案号:(2010)浦刑初字第1428号
[6] 参见北京市东城区人民法院刑事一审判决书,(2014)东刑初字第57号
[7] 案号:(2016)京0108刑初2075号
