如何认定破坏计算机信息系统罪的经济损失-法治前沿-中国法学创新网

近年来，破坏计算机信息系统犯罪高发，如何客观准确认定破坏计算机信息系统罪经济损失标准，理论与实践均存在较大争议。应从经济损失的基本定义着手，界定其构成，合理认定犯罪危害后果，罚当其罪。

2017年初，姚晓杰等人受雇在境外成立“暗夜小组”黑客组织。“暗夜小组”从丁虎子等人处购买了大量服务器资源，实施开展DDoS攻击。

2017年2-3月间，“暗夜小组”成员攻击了三家游戏公司。为恢复云服务器的正常运营，某互联网公司组织人员对服务器进行抢修并为此支付了4万余元。

姚晓杰等11名被告人对检察机关的指控均表示无异议，但部分辩护人提出涉经济损失认定问题的辩护意见认为，不能将某互联网公司支付给抢修系统数据的员工工资认定为本案的经济损失。

深圳市南山区人民检察院公诉人针对上述问题答辩认为，某互联网公司为修复系统数据、功能而支出的员工工资系因犯罪产生的必要费用，应当认定为本案的经济损失。

广东省深圳市南山区人民法院于2018年6月8日作出判决：姚晓杰等11名被告人犯破坏计算机信息系统罪，分别判处有期徒刑一年至二年不等。宣判后，11名被告人均未提出上诉，判决已经发生法律效力。

随着信息技术的发展，计算机已运用于社会的方方面面，其安全性问题也日益凸显。

根据刑法第二百八十六条规定，违反国家规定，故意破坏计算机信息系统功能、数据、应用程序及故意制作、传播破坏性程序的行为，均以“后果严重”作为要件，才能构成犯罪。

为打击计算机网络犯罪，维护计算机信息系统安全，最高人民法院与最高人民检察院于2011年出台了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)，对“后果严重”“后果特别严重”等认定标准进行具体列举。《解释》第四条、第六条，分别列举了含兜底条款“造成其他严重后果”在内的五种后果严重的情形，其中“造成经济损失一万元以上”即构成本罪的后果严重。

本案中，因已无法调取受影响计算机信息系统和用户数量的相关证据，只能以经济损失标准认定本罪的危害后果。但关于“经济损失一万元以上”如何计算的问题，从理论至实践均存在争议。结合本案的争议焦点之一支付抢修系统数据的员工工资能否认定为“经济损失”的问题，本文对经济损失计算问题分析如下。

关于“经济损失”的构成

所谓“经济损失”，根据《解释》第十一条规定，是指危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。由此可见，经济损失包含两部分，一是直接经济损失，二是用户为恢复数据、功能而支出的必要费用。但上述规定仅系作了概括性规定，并未明确两部分损失的计算范围。

最高人民法院的观点认为，直接经济损失方面包含因计算机系统不能正常运行期间支付的网络宽带费用等合理性支出。关于用户为恢复数据、功能而支出的必要费用问题即涉及本案上述焦点问题，应从经济损失构成的基本定义着手进行分析。

本案某互联网公司为修复系统数据、功能而支出的员工工资，系在破坏计算机信息系统行为发生后，用户积极主动实施的补救性损失。该部分人工费用能否视为经济损失的范畴，主要可以从是否为恢复计算机正常使用功能所支付的人工费用方面考虑，严格甄别必要性支出费用。

本案计算机因被攻击，云服务器无法正常运营，用户积极抢修所支出的工资，为恢复计算机正常使用功能所支付的人工费用，应该计算为本罪的经济损失，这是用户因犯罪行为所造成的损失。

计算机信息系统功能或者数据被破坏后，用户需要采取各种应急响应措施使其恢复到正常状态，而不是放任损失的扩大。因此，如对被删除的数据进行数据恢复，对被拒绝服务供给的网站增加数据分流设备、增加带宽等，均属于用户为恢复数据、功能而支出的必要费用范畴。

当然，若因网站本身存在漏洞，从而被犯罪行为人利用破坏，用户为此支付的排查及修复漏洞所产生人工费用，则不应当认定为本罪的经济损失。

关于“经济损失”的引申思考

经济损失认定是实践审理难点，主要有两方面的原因：一方面，计算机信息技术本身特性，存在具体受害用户、数量及损失大小难以明确的客观问题；另一方面，如前述所言，本罪仅对经济损失作概括性规定，以至于存在理解适用的问题。在部分实践中，存在部分受害用户将防护成本亦计算至经济损失范畴的情形。

关于是否可以将防护成本计算为合理必要的预防性损失，本文认为存在商榷之处。认定本罪之经济损失应是与计算机信息系统的正常运行有直接关系而产生的财产损失。虽然买高防护服务可以有效防止DDoS攻击，但是提供安全防护应是计算机公司基本的服务保障，是计算机公司应付之成本，若将买高防护服务的费用视为本罪必然性支出，则如何界定基础防护与高层次防护亦是一个问题，恐将计算机公司之成本转嫁到犯罪行为人，扩大损失后果，产生罪责刑不相适应的情况。

因破坏计算机信息系统犯罪特点，初始的实际损害具有传递性，对被害单位而言，产生了由初始损害为中心地带，以间接损害为边缘地带的损失群。然而，司法机关认定经济损失必须遵循严格的范围和限定条件。因此，其中尚存在不少法律空白地带。根据《解释》规定，计算机信息系统数量、用户数与时间、违法所得及经济损失等情形均是本罪定罪量刑的标准。

部分案件若存在违法所得或经济损失并不能全面、准确反映危害后果的情况，则应该综合考虑受影响的其他情形。如果查清上述情形在量刑中均存在的话，应当按照处罚较重的情形进行量刑，另外的其他情形可作为量刑的酌定情节予以考虑。

为更加全面客观地打击破坏计算机信息系统犯罪，维护网络环境安全，本文建议，一方面应强化收集、固定证据的能力，对客观、全面、准确认定危害后果提供基础，防止行为人利用信息技术漏洞逃避相应的刑事处罚；另一方面，应对本罪经济损失认定标准进行具象明确，或可参照破坏电力设备刑事犯罪的经济损失规定予以明示计算参数，或可参照渎职犯罪的经济损失规定予以扩充损失范围，以利于合理的定罪量刑，实现罪刑相当。