计算机病毒的“罪与罚”

文章来源：泛普软件

在计算机病毒肆虐的今天，刑法的利益观念还有待进一步改变。那么,该如何进一步完善法律渠道，以面对新的形势变化?

“法律总是具有一定程度的粗糙和不足，因为它必须在基于过去的同时着眼未来，否则就不能预见未来可能发生的全部情况。现代社会变化之疾、之大，即使刑法经常修改也赶不上它的速度。”这是一句十分富有哲理性的话，用在今天，特别是用在计算机、信息产业领域是再恰如其分不过了。

科技的发展改变着整个世界，但同时，计算机病毒的侵入也改变着人们的生活。1994年2月18日，国务院发布的《中华人民共和国计算机信息系统安全保护条例》（以下称《条例》）被认为是关于计算机安全方面最早的法规，也是惟一一部由国务院颁发的相关法规。在计算机病毒肆虐的今天，急需进一步完善法律等渠道，使与之配套的法律法规满足现实的需要。

相关法规相继出台

国务院于1991年、2002年发布和修订了《计算机软件保护条例》，前者从侵犯著作权的角度对“未经软件著作权所有者或者合法受让者的同意修改、翻译、注释、复制或部分复制、向公众发行、展示其软件的复制品、向第三方办理其软件的许可使用或者转让事宜”的行为规定民事责任后，1994年2月18日国务院发布了《条例》，这也是我国首次提出刑事警告的法规。

《条例》第六条规定，“公安部主管全国计算机信息系统安全保护工作。”“国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。”这些，从法律的形式上确认了主管部门。条例第七条规定，“任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。”

条例第二十三条将“故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的”行为视为违反条例的行为，规定“由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得１～３倍的罚款。”第二十四条则对超越二十三条的行为做出解释，如“构成违反治安管理行为的，依照《中华人民共和国治安管理处罚条例》的有关规定处罚”；“构成犯罪的，依法追究刑事责任。”

但是，这样一个严谨的规定，却存在操作上的困难: 没有规定什么样的行为“构成犯罪”。当然，从资格上来讲，其尚不具备规定犯罪的情形；《条例》制定之时，《刑法》尚无相关规定。

另外，为了加强对计算机病毒的预防和治理，保护计算机信息系统安全，保障计算机的应用与发展，根据《条例》的规定，公安部于2000年5月17日制定了《计算机病毒防治管理办法》（以下称《办法》）。《办法》第三条规定了“中华人民共和国境内的计算机信息系统以及未联网计算机的计算机病毒防治管理工作，适用本办法”和第四条由“公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作”的要求。

《办法》针对《刑法》等法律规定的空白点，根据计算机病毒的发展状况明确和理清了一些概念。如第五条规定，“任何单位和个人不得制作计算机病毒”;

第六条规定“任何单位和个人不得有下列传播计算机病毒的行为：（一）故意输入计算机病毒，危害计算机信息系统安全；（二）向他人提供含有计算机病毒的文件、软件、媒体；（三）销售、出租、附赠含有计算机病毒的媒体；（四）其他传播计算机病毒的行为。”《办法》还规定，在非经营活动中有违反本办法第五条，第六条第二、三、四项规定行为之一的，由公安机关处以1000元以下罚款；在经营活动中有违反本办法第五条，第六条第二、三、四项规定行为之一，没有违法所得的，由公安机关对单位处以10000元以下罚款，对个人处以5000元以下罚款；有违法所得的，处以违法所得3倍以下罚款，但是最高不得超过30000元。

《办法》第十六条还规定，违反本办法第六条第一项规定的，依照《条例》第二十三条的规定处罚。即“构成违反治安管理行为的，依照《中华人民共和国治安管理处罚条例》的有关规定处罚”；“构成犯罪的，依法追究刑事责任。”也许是因为立法机关的资格不同，《办法》没有直接将犯罪罚则引入1997年刑法，而是引入1994年《条例》。

法规遭遇操作难题

在1997年《中华人民共和国刑法》的第285~287条中对涉及计算机方面的犯罪作了相应规定。

第285条规定，“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。”根据此条法律，笔者认为有四个方面的疑问：

第一，侵入对象只有国家事务、国防建设、尖端科学技术领域，而侵入其他领域是否不构成犯罪？

第二，如果法律允许这种现象存在的话，应当将该罪纳入危害国家安全罪和危害公共安全罪范畴，而将侵入其他领域纳入其他犯罪或许更好。

第三，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，自然人终究是少数，不论是间谍或商业犯罪，恰恰多是机构行为，而刑法规定的犯罪主体却是自然人，恰恰将单位犯罪排除在外。

第四，由于刑罚在此处罚的是行为犯罪，只要侵入指定的系统，最低就要处拘役刑，量刑偏重；在危害国家安全罪和危害公共安全罪中，与之相似的犯罪所要接受的处罚要重得多，相比之下，本条量刑偏轻。

利于计算机病毒犯罪的目的已经不单单停留在牟取利益上,有些行为的目的在于取悦自己、取悦别人，故刑法的利益观念有待转变。

第286条规定，“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。”“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。”“故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。”根据此可能会出现两个问题：

第一，最难操作的就是所谓的“后果严重的”行为。我们清楚，在计算机领域这个虚拟空间中， “情节严重”、“后果严重”同样具有虚拟成份，但虚拟中或然着真实。在司法实践中，后果是否严重，更多的要看“治愈”情况。比如伤害案件，能否治疗好伤情对于处刑是一个非常重要的参考。那么在计算机病毒犯罪中，很难说病毒的后果有多么严重。如果使用杀病毒软件，绝大多数都会完全恢复。刑法如何看待这种情况？是否修复了系统就可以不进行追究了呢？这种规定将使司法实践产生诸多难题。

第二，本条涉及的三个款项中，无例外地规定“后果严重的……”才给予处罚，这样的规定将在最新的计算机犯罪面前束手无策。如2004年6月4日，一种新近被截获的计算机病毒，被证实能突破大部分网上银行安全防线，成功窃取用户账号和密码。反病毒专家警告，网上银行潜在的资金威胁已上升到万亿元级别。这就是“超级网银大盗Ⅱ”，它被认为是已于2004年4月份被截获的“网银大盗”的新变种。该病毒记录键盘敲击的每一个键值，然后发送到病毒作者的服务器上。在此，“犯罪行为”未对计算机信息系统功能进行任何删除、修改、增加、干扰，未造成计算机信息系统的不能正常运行，对于上述信息系统和应用程序更谈不上后果，如何惩罚？

第287条规定，利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。

根据此条，可能出现的问题是：由于只是将操作计算机作为犯罪手段来看待，导致前例犯罪中的行为不能触犯第286条的规定时，在上述这个案例中的这种高危木马病毒可以盗取几乎涵盖中国目前所有个人网上银行的账号、密码、验证码等等，该病毒涉及国内32家网上银行及支付系统。但如果病毒制造者的目的在于进行扰乱社会秩序或金融秩序，他未必进行直接的盗窃或占有行为，其如果在网络上公布这些盗来的网上银行账号，鼓励他人“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪”，如何处理？

病毒犯罪后果严重

什么是“严重后果”？在国际间的司法实践中，对于计算机病毒方面的犯罪来说，这些人们所认可的所谓“直接”或“间接”后果很难计算，或者说很难使之成为证据。

首先，是难以计算的数额问题。1988年，受莫里斯蠕虫影响，全世界6000多台电脑停机，经济损失达9600万美元;1999年美丽杀手病毒导致一些政府部门及大公司紧急关闭了网络服务器，经济损失超过12亿美元；从2000年5月至今，爱虫病毒使众多用户电脑被感染，损失在100亿美元以上; 从2001年12月至今，求职信大量病毒邮件堵塞服务器，损失达数百亿美元；仅2002年以来，以电子邮件、特洛伊木马、文件共享等传播途径的混合型病毒愈演愈烈，曾经影响最大的“求职信”病毒持续6个月高居感染率第一，遭到感染的计算机近百万台，损失巨大。但在追究行为人的法律责任时，上述这些计算方法根本无法奏效。

其次，是能够恢复的“严重后果”问题。从2003年1月25日上午开始，在全球范围内互联网访问速度减慢、部分网站的数据库和主机出现“宕机”（无法访问）的现象。随着时间的推移网络堵塞情况越来越严重，当天下午，全球互联网几乎全部瘫痪。受其危害，美国大部分银行的柜员机停止工作、银行网络也已瘫痪；韩国情报通信部也发现了黑客攻击服务器的迹象，且攻势猛烈，掌握全国因特网服务命脉的服务器最终被迫停止工作，导致全国网络服务全面中断; 我国台湾省各大网站遭受“不明病毒”入侵，受害范围覆盖全岛；我国内地和日本、加拿大、澳大利亚等国家也遭遇类似的网络灾难……一个个警报响起。经过各国技术人员的努力发现，这是一个利用微软SQL Server 2000漏洞的蠕虫病毒。蠕虫病毒致使网络大面积瘫痪，银行自动提款机运作中断，直接经济损失超过26亿美元。上述的“瘫痪”是一时的和可治愈的。那么如何衔接“严重后果”值得商榷。

另外，该如何看待垃圾邮件？中国互联网协会公布的数据显示，2003年全年发向中国邮件服务器的垃圾邮件达到1500亿封，垃圾邮件耗费中国GDP超过了48亿元。

导致各种严重后果的案例还有很多：如电脑病毒袭击自动取款机; 导致打印机器的工作不正常，成为一只攻击计算机辅助硬件的病毒；入侵手机病毒等等。事实上，缺少远瞻性的法规成为惩治计算机病毒犯罪的制肘。

“后计算机病毒程序”来临

“后计算机病毒程序”是笔者提出的一个新的观点。这个思想源于在德国被逮捕的“高波”病毒制造者。据媒体报道，2004年5月9日，德国警方逮捕了一位涉嫌编写和发布“高波（Agobot）”病毒的男子。因为这个程序能够让一个人控制大量的网络计算机，作为攻击互联网网站的手段，已经引起了许多安全专家的担心。这个程序员是此前一周的周五与编写“震荡波”蠕虫五种变体的18岁男孩西文·扬森在同一天被捕的。但据了解，这个人没有编写“高波”病毒的变体“Phatbot”，这个程序为原来的程序增加了P2P能力。也就是说，自计算机病毒问世以来，还有相当多的病毒并没有真正出自某个人之手创造出来，而是由于计算机或软件本身的特性而自我生成了。

据来自中华安全网的消息，已经发现能够大量发送电子邮件的蠕虫病毒Atak能够通过休眠而隐藏起来。反病毒厂商Sophos公司的高级技术顾问格雷厄姆表示，Atak的作者提高了反病毒研究人员的工作难度，他在其中添加了干扰代码，并使用了躲避技术。Atak积极地探测它是否正在被反病毒研究工具进行分析。如果发现正在被分析，它就会自动停止运行，并关闭自己，隐蔽起来。有一点是清楚的，Atak包含有威胁MyDoom、Bagle、Netsky等蠕虫病毒的文本内容，有可能寻求并消灭其他的计算机病毒，但这是不确定的。不能确认的是，Atak究竟在查杀病毒还是在改造病毒。

笔者建议，应当尽快完善刑法，使尚未在我国形成大气候的计算机病毒犯罪得到有效控制。

这是一个失控的局面。因为这种现象的存在，其产生的后果是不堪设想的。简单地说，由浅入深，这种不可预知包括: 被感染程序的可用性; 被感染文件是否被修改; 原本合法的程序在何时以病毒的方式发作；破坏力的大小; 病毒代码难以查清。

更关键的是，很难有人为此付出代价。

规范罚则势在必行

我国刑法明文规定，一切危害国家主权、领土完整和安全，分裂国家、颠覆人民民主专政的政权和推翻社会主义制度，破坏社会秩序和经济秩序，侵犯国有财产或者劳动群众集体所有的财产，侵犯公民私人所有的财产，侵犯公民的人身权利、民主权利和其他权利，以及其他危害社会的行为，依照法律应当受刑罚处罚的，都是犯罪。刑法还规定，明知自己的行为会发生危害社会的结果，并且希望或者放任这种结果发生，因而构成犯罪的，是故意犯罪。就目前计算机领域的危害现状来看，许多行为已经涉及诸多领域。

作为一种犯罪手段，计算机病毒的制作者已经超越了信息网络这个单一概念。它不仅威胁国防建设，危害国家的安全，同时对社会秩序、经济秩序，对财产所有权等均产生不等的危害。从前文可见，单独将计算机病毒犯罪列在计算机犯罪中，已经不能解决更多的犯罪问题。如涉及损失巨大，处刑过轻，损失无法计算等情形，法律不健全已经导致众多的不测后果，执法部门更是无从下手。

随着计算机病毒的不断深化，计算机病毒制造者的水平越来越高，立法的进一步完善已经迫在眉睫。笔者建议，应当尽快完善刑法，使尚未在我国形成大气候的计算机病毒犯罪得到有效控制。

1．独立成章A，要求不等同于其他章节的计算机犯罪章节。可以在第十章后独立设立计算机犯罪一个章节，对涉及计算机犯罪的各种形态犯罪进行统一规范；对前述多种犯罪涉及计算机行为的进行全效注释，以手段的方式解释各章节中的犯罪。如规定：“利用计算机进行一至十章中所列犯罪的……”，或者“利用计算机进行一至十章中所列犯罪产生严重后果的……”，如此规范，可将涉及计算机犯罪（含计算机病毒犯罪）的犯罪行为一网打尽。

2．独立成章B，等同于其他章节的计算机犯罪章节。本章节中将对利用计算机进行犯罪进行全面规范，其中也将规范侵入计算机的犯罪行为。

3．修改（调整）刑法285、286、287条。由于计算机犯罪远不止扰乱公共秩序罪能够诠释，同时，这三条也不是说明“扰乱公共秩序罪”的条文，放在这里，可能有越俎代疱甚至不伦不类的感觉。应全面规范刑法相关范畴:由于计算机病毒本身没有任何意义，只有在计算机或相关领域中，才会对靶机器进行危害，故应当对所有涉及手段的条文进行规范。

4．采用最笨的方法，即在每个独立章节中逐条解释。如破坏金融管理秩序罪，可以在一百九十一条后增加一条:“利用计算机方式破坏金融管理秩序的……”，可以规范一些在网络上利用病毒进行破坏，导致金融秩序混乱的犯罪行为等等。

事实上，利用计算机病毒犯罪的目的已经不单单停留在牟取利益上，有些行为的目的在于取悦自己、取悦别人，故刑法的利益观念有待转变。

(作者系北京市人民检察院第二分院二审监督处副处长，本文成文时任该检察院法律政策研究室副主任)

计算机病毒的“罪与罚”

泛普沈阳OA快博其他应用