关于“违反国家规定”的理解

刑法第286条前三款规定了破坏计算机信息系统罪的三种行为类型，其中前两款的行为类型均要求自然人或单位实施的行为以“违反国家规定”为前提。细言之，对计算机信息系统功能进行删除、修改、增加、干扰，或者对计算机信息系统中存储、处理以及对传输的数据和应用程序进行删除、修改、增加，若要将上述行为认定构成为犯罪，不仅需要满足法定的危害后果，其行为也应当以具备外在的“违法性”为前提。易言之，行为人即使实施了对计算机信息系统删除、修改、增加等行为，若该行为本身未违反国家规定，同样不应认定为破坏计算机信息系统罪，不宜将所有针对计算机信息系统修改、删除、增加和干扰等行为一概认定为刑法意义上的犯罪行为。

我国刑法第九十六明确规定：“本法所称违反国家规定，是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。 ”最高人民法院于2011年发布的《关于“国家规定”的通知》（以下简称《通知》）第一条规定 ：“‘国务院规定的行政措施’应当由国务院决定，通常以行政法规或者国务院制发文件的形式加以规定。以国务院办公厅名义制发的文件，符合以下条件的，亦应视为刑法中的‘国家规定’：（1）有明确的法律依据或者同相关行政法规不相抵触；（2）经国务院常务会议讨论通过或者经国务院批准；（3）在国务院公报上公开发布。”该规定明确“国家规定”应该具有的发布形式和制发机关，但并未对其内容的界定提供更多的参考，这也造成了实践中对于“违反国家规定”的情况争议较多，存在将刑事法定犯的认定“行政化”的倾向；或者将不满足制发主体或者发布形式的一般规范性文件、行政命令作为定罪依据，将违法行为不当“犯罪化”。

笔者认为，对于“违反国家规定”进行限缩解释是必要的。在对“国家规定”的发布形式、制发机关进行形式审查的同时，仍应考量如下内容：

一是明确对“国家规定”引用依据的来源审查。基于我国的立法体例，刑法中的空白罪状引用其他法律时二者之间的衔接问题一直是实务中的难点问题，由此往往会存在以下情况：①国家规定禁止某种行为模式，但刑法未将其规定为犯罪行为；②行为模式入罪可以找到对应的国家规定，但国家规定没有明示要追究刑事责任；③虽然通过文件将行为模式描述为犯罪行为，但不能找到对应的国家规定。其中，对于②所出现的情况构成犯罪一般不存在争议，但对于①和③的情况实务中争议较多。笔者认为，基于《立法法》关于刑法制定、修改的权限及保持法律统一性的目的，对于①和③所出现的情况，理应严格贯彻罪行法定原则的要求，不能在没有确切法律依据的前提下将刑法的打击范围不当扩大化，尤其将一些不具有刑事违法性的禁止性行为或者规范性行为犯罪化处理，否则极易引发部门法律间的冲突、法律与社会常识的冲突，最终影响司法公信力。《刑事审判参考》第1077号李某某、胡某某非法经营案中也可以看出最高人民法院并不认可机械适用规范性文件的裁判方式，明确法官在裁判时应对引用依据的来源进行审查，在裁判理由中进行了详细的论述： “《惩处信息犯罪的通知》虽系最高人民法院、最高人民检察院与公安部联合制发的规范性文件，但是并未明确非法讨债行为违反了哪个层面的法，且该通知主要是关于打击非法获取公民个人信息违法犯罪活动的规定，非法讨债只是非法获取公民个人信息后的用途之一，并非针对有偿讨债的专门性规定。因此，《惩处信息犯罪的通知》也不足以作为认定经营有偿讨债业务违反‘国家规定’的依据。”综合上海高院的普法一文来看，很遗憾全文并未说明和提供篡改新能源电池数据违反的究竟是何种“国家规定”及该“国家规定”对应的来源依据。

二是“国家规定”应与刑法保护的法益在内容和目的上具备一致性。实务中存在一些客观行为虽然满足违反国家规定且表面符合某些罪名的构成要件，但实质并不满足对应刑法条文所要保护的法益之情形，主要包括违反国家规定但只侵害次要法益或者违反国家规定但未侵害法益这两种情况，笔者认为这两种情况不应做犯罪处理，即使构成了其他犯罪的，也应依法认定为其他的犯罪。破坏计算机信息系统罪属于妨害社会管理秩序罪的下属罪名，可见刑法对该罪的法益保护旨在维护国家及社会对计算机信息系统的正常运行、使用和维护的管理秩序，这种秩序是借助民事法律、行政法律手段也不足以维护、修复的刑事秩序。故而，计算机信息系统的财产权益或者知识产权等有关权益并非本罪所保护的主要法益。故对计算机信息系统的修改、删除、增加等行为亦须在客观管理秩序上造成了符合刑法归责的实害结果，若行为所造成的结果仅仅是侵犯知识产权，或者是通过“逻辑滑坡”不当推定的抽象结果，亦或是单纯对个别计算机信息系统的财产权益发生了亏损，则不应成为本罪规制的对象。不当扩大对上述情形的打击，实质上是将民事纠纷的内容通过刑事手段进行处置，属于司法权力的滥用，也不利于法秩序的统一性。

三是考虑“国家规定”与刑事违法的情节差异。一个行政违法行为若达到刑法归责的程度，其行为性质理应高于一般的违法行为，因该行为同时违反行政法规范和刑事法规范，具有行政违法性和刑事违法性的双重属性。从司法裁判的角度理应对此做出双重判断，不应简单的将关于法定犯的认定直接以“行政化”的结果机械照搬。刑法的谦抑性原则需要在穷尽其他法律途径尚不足以规制违法行为所造成的危害后果时方才由刑法所评价，对于一般违法行为或者具备某些看似“违法”外观实际被社会生活所包容或者较为普遍发生的行为并不值得刑法规制，尤其在数字经济、互联网经济及计算机高度普及、快速发展的今天，虽然某些行为可能对部分功能性系统程序造成干扰、修改，但本身并不在于造成计算机软件的整体运行不能或者本意并不在于危害计算机信息系统本身，而是基于用户自身的使用需求强行修改厂商预设的某些加密措施或者运行逻辑。如根据用户需求对于某些软件核心功能上捆绑的广告内容进行删除，即使厂商据此收集的客户数据会因此产生遗漏或者偏差，但整体并不会造成对社会秩序的损害，不能为了定罪而定罪，否则定罪逻辑无疑会使一般公众的近似行为被无端套入了犯罪的外衣，最终反而不利于信息技术的发展。

值得关注的是，上海高院在普法一文中称“大刘、小刘为非法牟利，违反国家规定，对新能源汽车计算机信息系统中存储、处理或传输的数据进行修改，导致新能源汽车电池运行的采集数据失真，影响新能源汽车安全运行的监管，后果严重”。根据该表述，车企对新能源汽车安全运行监管的规定应该依据的是工业和信息化部制定的《新能源汽车生产企业及产品准入管理规定》（以下简称《规定》）。该《规定》第17条、18条仅是规定了新能源车企对新能源汽车的安全运行监管义务，并未禁止第三人从事相关服务，且无论该《规定》的制发机关、发布形式显然并不符合“违反国家规定”的要求，且其内容上亦不具有刑事规范的特征。即使新能源车企未按此规定对新能源汽车安全运行提供相应监管义务的情况下，尚不足以依靠该《规定》对新能源车企追究刑事责任，那自然不足以作为认定第三人行为刑事违法性的法律依据。

关于本罪构成要件的理解与认定

目前，计算机信息系统类刑事案件的审理难点和困境主要在于法律工作者对有关的专业术语、概念及运行原理的认知模糊，所以在罪与非罪问题上大多局限于机械对照行为人的行为是否存在本罪外观的“修改、删除、增加”行为，并未深度考虑上述行为是否具有社会危害性及刑事可责性，继而造成本罪在实践中可能存在被滥用的情况。笔者认为，讨论本罪规制的犯罪行为理应对下列概念有明确的认知，这是讨论本罪继而保证司法权力正确实施的前提：

1.何为“计算机信息系统”？

根据两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，计算机信息系统是指具备自动数据处理功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。根据该《解释》，计算机信息系统的核心特征要求具备自动数据处理的功能，故而破坏计算机信息系统罪理应是对自动数据处理功能的功能性损坏，主要行为方式表现为①妨害硬件；②增加、修改、删除功能性数据使计算机信息系统无法运行；③增加、删除、修改独立数据或应用程序使计算机信息系统无法运行；④是通过植入病毒软件及与植入病毒具有同质化的方式使计算机信息系统无法运行。如果行为方式并不导致具备自动数据处理功能的计算机信息系统出现功能性损坏无法运行的情况如宕机、失控等后果，仅仅是对系统处理的数据等内容造成影响则不应构成破坏计算机信息系统罪，构成其他犯罪的应当以其他犯罪论处。

2.关于“外挂”等辅助程序的理解

根据上海高院普法一文的描述，行为人系发现赚钱的商机后，“研究出利用芯片读写器、电脑等工具修改电池管理系统数据来达到解锁电池的目的”。公众号名称为“湖南省刑事法治研究会”发布的《【微普法】私自“解锁”新能源汽车电池构成破坏计算机信息系统罪》一文中对此细节进一步补充说“二人将客户的故障电池拆解，并拷贝刘某鹏的电池资料覆盖在了客户车辆的故障电池上，最终解除了故障电池的锁定并重新使用，编号也发生了变化”。上述内容来看本案行为人实际正是利用第三方程序将正常电池的信息替换故障电池信息，以此通过系统的监测，属于使用了“外挂”程序的范畴。

对于使用“外挂”程序而言，该行为并不必然属于本罪规制的犯罪行为，根据一般生活经验，对于单纯用于改善用户端体验的“外挂”行为并不构成犯罪。例如，手机通过第三方软件获取“ROOT权限”，游玩单机游戏使用第三方修改工具等行为，这种行为并不具有社会危害性，也并不会造成计算机信息系统的无法正常运行，虽然由此可能造成手机不稳定、游戏运行崩溃等后果仍应属于一般生活行为的范畴；更进一步讲，即使行为人利用“外挂”程序实施了修改、删除、增加数据的行为，也并不必然构成破坏计算机信息系统罪，如对不影响系统功能的独立数据进行上述行为并不会影响计算机信息系统功能的实现，涉及到其他相关刑法罪名的理应由他罪评价，如修改虚拟财产数额可能构成盗窃罪等。

从实务角度看，往往对于涉案“外挂”的鉴定意见经常采用“破坏”的表述，但是该“破坏”性质的表述应属技术规范意义，侧重于非授权性质的修改行为及其干扰作用，但这与刑法所表述的破坏性程序并不相同，因为《刑法》第286条所指的破坏性程序危害程度应与第3款规定的计算机病毒相当，而外挂所产生的干扰作用与严重影响计算机正常运行、破坏性极大的计算机病毒存在本质性区别，将两者等同显然属于类推解释。

从上海高院普法一文的表述来看，行为人篡改电池信息的后果描述并不清晰，行为人究竟是造成了新能源车企所控制的终端系统不能正常使用，还是仅仅使车企不能正确识别车辆电池情况无法履行监管义务，这两种情况也足以得出不同的定罪结论。如果是后者，那么行为人使用外挂程序的行为无疑是修改的新能源车企系统运行中的独立数据，该修改行为只是让终端信息系统不能正确处理该车辆的电池状态，于其功能而言不应认定对计算机信息系统造成了无法运行的危害后果。

3.关于破坏计算机信息系统行为的理解

根据刑法第286条规定，破坏计算机信息系统罪无疑惩治的是实害犯，从其所列举的三类破坏计算机信息系统的行为类型来看均要求需要在客观上造成计算机信息系统不能正常运行为实际的危害后果。

故而，本罪第1款规定的类型即“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的行为”，该款强调是“删除、修改、增加、干扰”的行为理应对计算机信息系统造成了功能上的损坏，损坏包括使计算机信息系统不能运行和不能按照原来的设计要求运行这两种情况。其中使计算机信息系统不能运行又分为通过硬件妨害的方式不能运行和因功能性数据损坏不能运行两种。而不能按照原来的设计要求运行则在实务中容易产生争议，笔者认为对此应做狭义理解，即“不能按照原来的设计要求运行”仅限于“对原有运行逻辑发生实质性变化”这一种情况。以上海高院作为普法的本案为例，二行为人替换电池信息的方法并不是对新能源车企数据终端的系统进行了删除、修改、增加、干扰，实际上指使对该系统处理的外部判断资料进行了干扰，这种干扰并不是对计算机信息系统本身的破坏，该车企的计算机信息系统依旧可以正常使用（如使用假币不等于破坏验钞机一样），该行为实际上是增加了车企计算机信息系统运行的负担，并不需要车企对系统进行修复、恢复才能继续处理相关的数据，假使该车辆的用户不再驾驶该车辆，那么计算机信息系统处理的数据也会完全正常。如果将不能按照原来的设计要求运行无限扩大适用的类型，也会明显与生活逻辑发生冲突，例如超市收银员将消费者买了10件单价10元的商品错误的输入为了10*20，按照不当扩大后的解释这种情况显然也构成破坏计算机信息系统的行为。可见，对除功能性数据以外的独立数据，若该数据存在统计上的失真，不应认定构成破坏计算机信息系统罪。

第2款是强调对独立数据和应用程序的保护，其后果严重的认定标准与第一种类型相同，不仅应该关注《解释》所列举的情形，还应以实际造成计算机信息系统不能运行为实质条件。

第3款关于“计算机病毒等破坏性程序”，在《解释》中已对“计算机病毒等破坏性程序”进行了详尽的界定，对于《解释》第5条第3项与前二项做同质化解释即可，即“具有自动植入或触发，并破坏计算机信息系统功能、数据或应用程序”的程序。

与其他法律、社会、技术等因素的裁判考量

1.与民事法律。随着信息技术、数字技术、AI技术的发展，定制化的软件需求是社会中的普遍现象，如前文所述，若借用外挂辅助类程序修改的独立数据仅仅是满足、改善客户端体验，无疑不应属于刑法规制的内容，即使该行为存在对终端系统的一定干扰，或者因修改、干扰行为导致原有的系统并不稳定，也应考虑行为人“自陷风险”的因素，这种“风险”应属于民法承认所接受的一般风险，若这种风险为社会生活所包容，刑法更不应该主动介入。一如前文已列举的手机ROOT、单机游戏使用修改器等例子。

从上海高院普法一文看，二行为人修改新能源电池的起因是消费者自身的需求，当消费者提出这种节省时间的需求时也应在一定程度认识到由此产生的一些技术隐患，由消费者最终为此付费的情况看也这也属于消费者对其自身车辆的合法处置，该意志同样受《消费者权益保护法》等规定所保护。若消费者出于自身意愿放弃了新能源车企的监测服务，新能源车企亦可对此获得免责，刑法不应擅自启动主动恢复双方的监测关系。即使刑法需要启动，也应论证的重点在于消费者作出放弃监测服务的意愿不真实，如受到行为人的欺骗等；其次，对于行为人的行为是否具有危害性也应采取客观主义的立场，理应通过科学方法论证行为人造成的风险属于刑法意义上的风险，这种风险是现实、直接、可量化的风险，是通过实验、鉴定等方式加以证实的危害后果，而非仅通过逻辑推定的方式认定该风险的产生或者增加。因为，单以逻辑推论的形式认定增加了现实风险，这不符合刑事案件的证明标准，无法证实该逻辑具有现实上的合理性及不存在滑坡谬论的情况。例如，非经4S维修的车辆与4S维修的车辆按照逻辑假说也会存在人员技术上的差异，但这种差异并不必然导致现实驾驶风险的增加，因维修人员的技术差异而存在的风险也属于社会包容的一般风险，没有刑法规制的必要性。

2.与技术发展。当下，AI技术的发展是全球新一轮科技竞赛的关键技术。因AI技术产生的一系列社会问题和法律问题，在其他立法尚且存在滞后的情况下，对于刑法的适用更应慎之又慎，保持刑法的谦抑性本身就是法律对技术探索的有力支持，也是促进民营企业加大力度参与、投入这一领域的重要信心。实际上，自信息技术诞生伊始，由此产生的双刃剑便愈发引起社会关注，但从全球实践来看，均对信息技术的探索、试验采取的是鼓励、支持的态度，若法律不能论证其行为所产生的“后果”具有确切、现实上、可量化的危害性，则更应恪守“法无禁止即自由”的立场宽容以待，不能过度应激回应将之视为洪水猛兽。

3.与社会意义。笔者认为，关于新兴领域的普法文章，普法案例应当慎之又慎，优中选优。若法院案例只给裁判结果不能给出细化说理过程，则无法回应网络民众就此产生的疑问，也无法针对裁判结果所推论的过程、依据提供相应的说服力。如前所述，涉及本案行为人违反的是何种“国家规定”？行为人的行为是否存在现实、可量化的危害性？若存在危害行为其造成的损害后果究竟损害的是新能源车企的计算机信息系统不能运行还是独立数据出现错误？替换电池信息后发生危险的概率比正常受监测服务的车辆概率提升了多少？该监测系统准确率是多少？是否存在影响监测系统日常准确率的其他情况？发生碰撞时若相关设备发生受损是否还能够依托该监测系统100%触发防护装置？这些与本案论证危害后果所直接关联甚至影响定罪的内容理应属于释法说理、认定构成罪与非罪或者此罪与彼罪的重要内容。很遗憾，普法一文并未对此有所提及，更无法回应社会一般公众对于本案法理、情理、事理的疑问。

综上所述，在新时代的背景下，笔者建议最高人民法院应继续加大对该类案件典型案例的指导和推广工作。进一步明确罪与非罪的界限，加强基层司法人员的执法、用法能力。既要正确打击各类破坏计算机信息系统的犯罪行为，也要让司法紧跟新技术的发展，为新技术的发展创造优良的司法环境，使我国在新技术领域持续“遥遥领先”，为我国当下新领域的技术发展提供法治护航。