文/窦立博

　　北京市通州区人民检察院公诉部经济犯罪办案组检察官

　　以移动互联网、大数据、云计算和人工智能为代表的现代科技在给生产生活带来便利的同时，也给犯罪份子提供了诸多的可趁之机，如家庭智能摄像头就成为许多不法分子瞄准的目标，侵害计算机公共管理秩序。

　　行为人利用从社交软件中获取的IP获取软件，暴力破解他人家庭摄像头IP地址、用户名和密码，后利用破解信息登录他人摄像头，实现偷窥他人家庭生活的目的。

　　一、行为对象

　　1.计算机信息系统：

　　我们首先应当明确的是家庭摄像头属于计算机信息系统。《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》规定，计算机信息系统是具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备。从上述法律条文规定的内容来看，计算机信息系统的范围相当广泛，且存在一个硬性的指标就是连接网络，这种网络不仅仅包含互联网，还包括一些内网系统，以确保其不是孤立的设备。

　　但有些人认为根据《中华人民共和国计算机信息系统安全保护条例》第2条规定，本条例缩成的计算机信息系统是指由计算机及其相关的配套的设备、设施构成的，按照移动的应用目标和规则对信息进行采集、加工存储、传输。检索等处理的人机系统，故认为计算机信息系统必须包括计算机，这种观点我不能认同，理由有二：一是因为计算机的概念范围并不明确。在智能化发展的今天，许多智能设备已经无需单独连接计算机，而是通过内嵌一些硬件设备完成数据处理，那么这种内嵌硬件不具有计算机的外形，却具备计算机的功能，能不能认定为计算机系统呢？答案是肯定的，所以以计算机有无来认定计算机信息系统的标准是不能成立的。涉案的家庭摄像头，通过内置的硬件连接互联网，并可以借助计算机、手机等设备完成观看监控的功能，虽然不一定连接计算机，但却可以实现自动处理数据功能。二是司法解释中明确只要具备自动处理数据功能的就可以认定。

　　2.计算机信息系统数据

　　这个概念似乎不存在问题，只要在计算机信息系统中储存、处理或传输的数据都可以成为计算机信息系统的数据。但本案涉及的摄像头比较特殊，因为摄像头的IP是通过计算机信息系统获取的，但用户名和密码是暴力破解获取，而所谓暴力获取就是通过不同的用户名和密码组合去试验，直到试验出正确的用户名和密码，而这些用户名和密码并不是通过计算机信息系统获取的，而是暴力破解软件自带的，那么是否可以认定为计算机信息系统数据呢？

　　我认为，可以认定为计算机信息系统数据罪，因为首先，我们可以肯定用户名和密码属于摄像头所包含的数据，其次，对于获取的方式，司法解释并没有明确限制，且明确规定了获取的方式有两种，即通过入侵方式获取和其他技术手段获取，最后，从结果角度来看，行为人获取到了用户名和密码。这就相当于我把十二种颜色的彩笔中的其中两支放入一个盒子中，虽然我无法进入盒子知道具体是哪两种颜色的笔，但我完全可以通过外界的十种颜色的笔来确认盒子里的两种颜色，属于未侵入状态下获取到了信息，这个例子与本案的性质类似。

　　二、实际行为

　　1.侵入：

　　需要明确一点，即使是非法获取计算机信息系统数据案、非法控制计算机信息系统罪，一般来说也要先研究一下侵入的概念，不仅是因为上述两个罪名是作为非法侵入计算机信息系统罪的第二款予以规定，而且也因为一般情况下，获取或者控制都必须进入计算机系统，那么这里面存在的一个问题就是获取授权的前提下存不存在侵入的问题。最高检公布的第九批指导案例中的卫梦龙等人非法获取计算机信息系统数据案中给出了答案，明确超出被害人授权范围进入计算机系统，属于侵入行为。

　　2.控制：

　　陈兴良、周光权教授认为，这里的非法控制，是指侵入等技术手段，使计算机信息系统处于其掌握之中，能够接受其发出的指令，完成相应的操作活动。即直接采用非法手段进行控制才是非法控制计算机信息系统罪所包含的“控制”形态。但这个概念似乎并不能解决实践案例中的问题，到底控制的含义是什么并没有给出依据。

　　而有人认为，根据相关法院判决的案件事实，非法控制为排除他人的控制，即在进入计算机信息系统之时使得其脱离原控制人的控制而处于自己的控制之下。后者的观点对于控制的解读过于狭隘，如果非要强加排除他人控制的条件，那么许多案件就无法追责，如吴某、阎某非法控制计算机信息系统案中，二人将木马程序植入乐视多台服务器中，并未阻断权利人的使用行为，但却能够实现流量劫持的功能，使得自身实现获利的目的，事实上这种行为已经构成犯罪。

　　我认为，控制的含义应该是能够操控计算机信息系统核心功能，这一概念预示着不同的计算机信息系统对于控制的含义的认定不同，如智能语音机器人，他的核心功能应该是与外界互动，实现人机相互，那么此时仅掌控语音机器人前后左右移动的功能不能叫做控制，但是与此同时，一个智能机床，它的核心功能就是通过前后左右移动实现精细化操作，那么掌控了前后左右移动的功能就是控制。

　　本案中，涉及的家庭摄像头的核心功能就是数据的显示和传输，那么只要入侵摄像头，就能查看其产生的数据和传输相关数据，就应认定为控制，至于是否能够物理移动摄像头不是本案中控制含义确定的重要因素。

　　三、行为后果

　　非法获取计算机信息系统数据罪和非法控制计算机信息系统罪的入罪标准存在交集，也各有特色。

　　1.特色

　　非法获取计算机信息系统数据罪有两个特色入罪标准，一个是获取支付结算，证券交易、期货交易等网络金融服务的身份认证信息10组以上；一个是获取第一项以外的身份认证信息500组以上的。非法控制计算机信息系统罪有一个特色入罪标准，即非法控制计算机信息系统20台以上。

　　2.交集

　　若违法所得5000元以上或者造成经济损失1万元以上的，可以构成犯罪，另外还有其他情节严重情节的兜底条款。

　　3.问题

　　一是身份信息认证组数的包含因素问题，以家庭摄像头为例，登录他人隐私摄像头除了需要IP地址、用户名和密码，还需要明确对方的摄像头的加密方式，那么加密方式算不算身份信息认证组数的包含因素呢？我的答案是否定的，因为加密信息不属于身份认证的因素，而是依据不同品牌的摄像头的产品要求不同而不同，大多数摄像头可能没有加密方式的限制，举例来说，同样的IP，用户名和密码，且针对同一家用户，如果用户昨天用了一款摄像头，需要加密方式，那么行为人就无法进入。而第二天换了一款摄像头，无需加密方式，行为人就可以进入，足见加密方式不是身份认证信息的必要组成部分。

　　二是兜底条款的适用问题。在摄像头类案件中，兜底条款的适用应该着眼于其法益侵害的范围大小来进行认定，即非法获取或非法控制侵害的主法益是公共管理秩序，但如果在此期间，行为人发现摄像头用户穿衣较少或其他涉嫌不宜公开的内容而采取截屏、录屏的方式进行固定，并予以传播，这时侵害的法益就由公共秩序扩展到个人合法权益的范围，此时可以适用兜底条款进行入罪处理，当然如果涉嫌淫秽产品犯罪的另当别论。