计算机信息系统犯罪中“非法控制”和“破坏”的界限与竞合
来源:优秀文章 发布时间:2023-02-10 点击:
程 红,赵 浩
(中南财经政法大学 刑事司法学院,武汉 430073)
我们日常生活的数字化发展如此广泛,因此,必须清晰规定特殊的计算机不法,从而使我们不必冒计算机和网络刑法的适用范围膨胀扩大的危险〔1〕。所以,对于计算机信息系统犯罪,如何选择正确的罪名,实现对犯罪行为的准确定性,成为理论与实践工作者共同关注的重要课题。以流量劫持行为为例,2015年5月,流量劫持入罪第一案在上海宣判,被告付宣豪等人的行为被认定为破坏计算机信息系统罪,这意味着对流量劫持行为的规制迈入了刑法干预阶段。2018年12月,该案被列为最高人民法院指导案例第102号予以公布。在最高人民检察院于2017年10月发布的第九批指导案例中,检例第33号李丙龙破坏计算机信息系统案指出,李丙龙等人劫持DNS(域名系统)的行为构成破坏计算机信息系统罪。在最高人民法院2020年12月发布的指导案例145号中,公诉机关原以破坏计算机信息系统罪为由对实施流量劫持的被告人张竣杰等提起公诉,但法院认为被告人的行为并没有造成计算机信息系统功能不能正常运行或者实质性破坏,法院最终判决被告人构成非法控制计算机信息系统罪。由上述可知,最高人民法院和最高人民检察院前后发布的权威指导案例对流量劫持行为的刑法定性并不一致,这不仅在一定程度上削弱了指导案例的指示作用,也致使司法机关在类案裁判适用罪名时有些无所适从。另外,实务部门在处理流量劫持的案件时,也存在以“非法控制”定性和以“破坏”定性的不同主张,发生了逮捕罪名与判决罪名不一致(如河北省邯郸市中级人民法院(2020)冀04刑终603号二审刑事判决书)、起诉罪名与判决罪名不一致(如重庆市荣昌县人民法院(2019)渝0153刑初249号一审刑事判决书)、一审判决罪名与二审判决罪名不一致(如四川省绵阳市中级人民法院(2019)川07刑终343号二审刑事判决书)等情形。由此看来,对于流量劫持的刑法定性,无论是指导案例还是其他司法裁判都出现了罪名适用分歧的情况。这不仅违背了“同案同判、类案类判”的裁判要求,偏离了客观公正的司法理念,而且个案中定罪量刑的较大差异冲击了罪责刑相适应的刑法原则,甚至会侵害被告人的正当权益。因此,亟需从理论上厘清非法控制计算机信息系统罪与破坏计算机信息系统罪之间的关系,从而实现对计算机信息系统犯罪的准确定性。
从计算机信息系统犯罪立法沿革的脉络来看,早在1997年的《中华人民共和国刑法》(以下简称《刑法》)中便设置了破坏计算机信息系统罪,该罪名的设置“旨在加强对计算机信息系统的管理和保护,保障计算机信息系统功能的正常发挥,维护计算机信息系统的安全运行”〔2〕。毋庸置疑,在信息技术发展起步阶段出台的刑法规范,不可避免地带有历史局限性。当时的《刑法》仅规制第285条的“侵入”行为和第286条的“破坏”行为,且二者侵害法益和犯罪对象高度一致,大抵可以适应当时的时代背景和网络环境。就立法理念和技术而言,当时的《刑法》侧重于罪状表达抽象以规避处罚漏洞,行为类型交错以应对新型犯罪。如今看来,这种碎片化、粗疏化的立法方式在一定程度上造成了计算机信息系统犯罪的罪刑规范缺乏体系性和协调性的局面,或多或少地成为了罪名适用的障碍。非法控制计算机信息系统罪是2009年通过的《中华人民共和国刑法修正案(七)》增设的罪名,其立法初衷是为了解决计算机信息系统的“使用盗窃”问题,即侵入计算机信息系统后控制计算机但未破坏计算机的行为类型〔3〕。令人遗憾的是,该罪的设置方式并没有摆脱上述立法模式,没能改变之前计算机信息系统犯罪的罪名格局,而是延继了粗线条、包容性的立法表达,致使个罪之间的边界愈发模糊。就规范构造而言,破坏计算机信息系统罪和非法控制计算机信息系统罪难以界分的症结主要体现在以下三个方面。
第一,行为样态相似。《刑法》第285条第2款对非法控制计算机信息系统罪的罪状描述得较为简略,其行为模式即“非法侵入+非法控制”。然而,“非法控制”的行为意涵不清、界限不明,而且经常夹杂在其他不法行为之中。根据《刑法》第286条的规定,破坏计算机信息系统罪包含了三种行为类型,即功能型破坏、数据和应用程序型破坏、病毒型破坏。鉴于病毒型破坏相对而言容易认定且争议不大,笔者着重讨论其他两种行为类型。从语义逻辑看,“破坏”一词的外延基本上可以囊括绝大多数危害计算机的行为,换言之,任何侵害计算机信息系统的行为实际上都可谓对其不同程度的破坏。从具体手段来看,该罪虽然列明了删除、修改、增加、干扰等方式,但其实这些方式已经基本上涵盖了绝大多数对计算机信息系统可能实施的操作。也就是说,难以单纯依据行为的外观直接界定危害行为属于“非法控制”还是“破坏”。
第二,结果形态交叉。通常认为,“破坏”所要求的结果要素是对计算机信息系统造成实质性破坏或者导致其不能正常运行,而“非法控制”计算机信息系统本身就是该罪的危害结果。一方面,“非法控制”的行为要素与结果要素同一,导致其缺乏其他的参照条件来划定与校准罪名的成立范围。另一方面,“非法控制”虽然不同于所谓的实质性破坏,但实际上系统一旦被“非法控制”,往往也就不能正常运行,功能的完整性、运转的流畅性、操作的有效性也都将受到一定程度的减损和削弱,至于是否达到“破坏”的要求则还须参照该罪结果要素的具体标准。
第三,侵害对象混同。“非法控制”行为的侵害对象是计算机信息系统,“破坏”行为的侵害对象包括了计算机信息系统中的功能、数据、应用程序等。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)的规定,“计算机信息系统”和“计算机系统”是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。不可否认,计算机信息系统与其中的功能、数据、应用程序存在包含与被包含的关系,“破坏”后者会直接或间接地对计算机信息系统产生危害,“非法控制”也只能通过干预或篡改后者来实现。简言之,绕开功能、数据、应用程序,不可能实现“破坏”或“非法控制”计算机信息系统的效果。不仅如此,功能、数据、应用程序之间的关系也不甚清晰,它们既不是非此即彼,也不能互相包摄,这也加大了识别行为具体方式、认定行为所属类型的难度。
由于计算机信息系统犯罪的刑事立法存在上述瑕疵,所以,割裂地观察“非法控制”与“破坏”的行为、结果、对象等各要件或许会出现这两类行为同质的错觉。只有在非法控制计算机信息系统罪和破坏计算机信息系统罪的保护法益指导下,对两罪的构成要件进行体系性阐释和实质化解读,才能辨明两罪之间的细微差异,厘定各自的构罪边界。
(一)非法控制计算机信息系统罪的保护法益
犯罪的本质是侵害法益,法益发挥着指导个罪解释的机能〔4〕。传统观点通常将计算机信息系统犯罪的保护法益笼统地界定为“计算机信息系统安全”〔5〕。但是,这种抽象性、概括性的法益归纳无法为个罪构成要件提供充分、细致的解释指引,计算机信息系统安全只能作为计算机信息系统犯罪的类罪法益来看待。另一种观点则认为,计算机信息系统犯罪被置于妨害社会管理秩序罪一章中扰乱公共秩序罪一节,根据体系解释,便可以得出这一类罪的保护法益是“国家对计算机信息系统安全的管理秩序”〔6〕。但是,这种观点也存在不足。一方面,就立法背景而言,计算机信息系统犯罪创制之初,我国计算机与互联网的应用尚未普及,计算机信息系统主要由国家或关键领域掌握,当时将这一类罪设置在妨害社会管理秩序罪一章符合其特定的历史环境。而后不断增设的计算机信息系统犯罪也没有打破这一体例。但是,简单地通过计算机信息系统犯罪的体系位置来推导其保护的法益,已经不再能适应目前计算机技术高度发达、广泛应用的现状。另一方面,从效果来看,所谓的管理秩序不足以为个罪的解释提供明确的指导,而且所有计算机信息系统犯罪最终都会“殊途同归”地侵扰管理秩序,所以管理秩序实质上也只能被视作计算机信息系统犯罪的终极法益。因此,笔者认为,计算机信息系统的安全价值与管理秩序都可谓计算机信息系统犯罪的类罪保护法益和背后层法益,分析具体罪名的法益内容还需着眼于具体的个罪层面。
如前所述,非法控制计算机信息系统罪的增设意图是为了对盗用计算机信息系统行为予以刑事规制。联系非法侵入计算机信息系统罪等相关罪名,笔者认为,非法控制计算机信息系统罪的保护法益是网络参与者的自主权,包括合法用户对计算机信息系统占有、使用、支配、管辖以及免受干预、不受侵扰等权利。“非法控制”行为的法益侵害性主要表现在以下两个方面:其一,计算机信息系统被“非法控制”后,其功能的发挥便会受到一定程度的妨害。但是,“非法控制”状态一旦消除,系统便会自动恢复原状,原权利人的权利行使也便不再受非法阻碍。其二,行为人“非法控制”原权利人所属的计算机信息系统,情节严重的,属于未经许可或无正当事由而私自或暗中使用原权利人财物的行为,违背了原权利人的真实意愿,损害了原权利人对计算机信息系统享有的自由权和主动权。
(二)“非法控制”行为的认定
“非法控制”的行为内容是行为人通过技术手段掌控他人的计算机信息系统,使之接受行为人的指令和操纵〔7〕。“非法控制”涉及四类情形,即被害方部分丧失权限或完全失去权限,行为人非法获得部分权限或完整权限。这四种情况都侵犯了网络参与者的自主权,都可以构成“非法控制”。“非法控制”的行为特征可以从以下四个方面来把握:第一,控制的强度上,无须彻底性,即使行为人部分控制也属于“非法控制”。第二,控制的效果上,无须排他性,“非法控制”不需要达到彻底排除权利人控制的程度。第三,控制的外观上,无须公然性,通过隐匿或伪装的形式来暗中操控的,即使权利人没有意识到计算机信息系统被控制的,也可以构成“非法控制”。第四,控制的方式上,无须强制性,使用技术性手段强制、胁迫、诱骗或误导权利人的,都可能构成对计算机信息系统的“非法控制”。概言之,“非法控制”即采取非法侵入计算机信息系统或者其他技术手段,违背原权利人的真实意志或使之陷入认识错误,完全或部分掌控原权利人的计算机信息系统的行为。即使没有彻底剥夺原权利人的控制权,也属于“非法控制”〔8〕。
上述观点不会导致“非法控制”认定范围过宽。首先,从罪名协调的角度而言,非法控制计算机信息系统罪与非法侵入计算机信息系统罪均规定在《刑法》第285条之中,而且这两罪基本犯的法定刑近似,因此它们的违法性和有责性也大体相当。非法侵入计算机信息系统罪保护的法益是国家事务等专门领域的计算机信息系统的不可侵犯性,其行为模式是“侵入行为+特定系统(对象)”。其他计算机信息系统的要保护性不及国家事务等专门领域的计算机信息系统,单纯侵入其中不具备足够的法益侵害性,所以,“非法控制”的行为模式本就可以拆解为“侵入行为(或其他技术性手段)+控制行为+其他系统(对象)”,不能对控制行为设置过多限制条件,否则便不利于保护普通网络参与者的自主权,也不当地夸大了国家事务等专门领域的计算机信息系统与其他计算机信息系统在法律地位上的差别。其次,符合国家规定的控制行为不可能构成非法控制计算机信息系统罪。“非法控制”相对于“破坏”更加强调“非法”,这既反映了该行为构罪以违反相关国家规定为前提,也凸显了法秩序对网络参与主体免受他人非法干预和侵扰的权益的保护。“非法”有其特殊含义:一是控制他人计算机信息系统的行为相较于“破坏”而言更具有通常性,刑法不得随意处罚日常生活行为,只能对严重侵害法益的行为科以刑罚,同时还要求行为人具有对法秩序的背反态度,因过失或意外控制原权利人计算机信息系统的行为不构成非法控制计算机信息系统罪。二是控制行为的法益侵害性一般低于“破坏”行为,“破坏”行为造成的利益减损通常大于控制行为,所以需要强调控制行为的违法程度来使之达到值得刑罚处罚的程度。三是具有正当化事由的控制行为普遍存在。利用互联网藏于幕后非法操纵他人计算机的行为严重扰乱网络秩序,而基于正当目的或使用合法手段的情形则不构成犯罪。再次,非法控制计算机信息系统罪还设置了“情节严重”的整体评价要素,非法侵入计算机信息系统罪则并无此要求,《解释》从控制数量、违法所得、损失金额等方面对“情节严重”加以限定,这就提高了非法控制计算机信息系统罪的入罪门槛,合理划定了其处罚范围。
(一)破坏计算机信息系统罪的保护法益
关于破坏计算机信息系统罪的保护法益,理论界存在两种相反的观点。多重法益说认为,依据该罪法条,数据和应用程序型破坏的罪状中,没有类似于功能型破坏“造成计算机信息系统不能正常运行”和病毒型破坏“影响计算机信息系统正常运行”的规定,应当将具有独立价值的数据安全作为其保护法益〔9〕。具体而言,该学说认为该罪的功能型破坏和病毒型破坏保护的法益是计算机信息系统的正常运行,而数据和应用程序型破坏的保护法益是数据和应用程序的真实性、完整性和可用性〔10〕。单一法益说认为,不宜按照该罪的行为类型对其保护法益进行区别化的理解,而且对“数据”加以形式化解读容易导致该罪沦为“口袋罪”,有必要在数据和应用程序型破坏的罪状中补充“造成计算机信息系统不能正常运行或影响其运行”的不成文的构成要件要素,继而认为这三种行为类型的保护法益并无差别,主张该罪的保护法益是计算机信息系统的正常运行〔11〕。
笔者赞同多重法益说。第一,该学说符合罪刑法定原则。立法机关在《刑法》第286条第2款中没有设置“造成计算机信息系统不能正常运行”或“影响计算机信息系统正常运行”,显然不是无心之失造成的立法疏漏,而是有意为之。这是因为,缺乏体系性的理由或实质根据,在实定法之外为数据和应用程序型破坏的构成要件单独添加其他要素,会违背罪刑法定原则。第二,该学说符合司法解释的规定。《解释》第4条第2款规定了数据型破坏结果要素中“后果严重”的认定标准,明确了对所破坏数据的数量要求,也表明了数据应受保护的独立价值。第三,该学说有利于保护数据安全。在高度数字化、信息化的时代,数据有其重大的经济价值和使用价值,本身就具有要保护性。计算机信息系统安全法益并不完全符合数据犯罪的技术实质和保护需求〔12〕,虽然数据的载体是计算机信息系统,但是采取间接的规制措施会削弱对数据的保护力度,某类行为完全可能删改了计算机信息系统中的重要数据,但没有影响计算机信息系统的功能和安全。倘若将数据安全的重要法益排除在“破坏”行为之外,则会形成处罚漏洞,不利于打击严重侵害数据安全的行为。第四,该学说有利于协调罪名关系,完善处罚体系。对比《刑法》第285条和第286条可知,两个法条实质上存在法益侵害程度递进的关系,第286条配置了更为严重的法定刑,计算机信息系统犯罪据此形成阶梯式的处罚格局。《刑法》针对侵入行为、获取行为、控制行为、破坏行为等不同的行为样态创设了完整的规制链条,但不可否认这些行为之间多有重叠或牵连关系。就法益侵害性而言,《刑法》第285条第1款保护的是国家事务等专门领域计算机信息系统的不可侵犯性,而其他几类行为的法益侵害性都存在递进关系:破坏计算机信息系统功能的行为比非法控制的不法程度更高,制作、传播破坏性程序自然比提供侵入、非法控制性程序和工具的性质更加恶劣,破坏数据的行为也比单纯的非法获取数据更具危害性。根据举轻以明重的当然解释原理,既然非法获取数据的行为已被明确规定为犯罪,那么破坏数据的行为也应受到刑事处罚。所以,应当认为,非法获取计算机信息系统数据侵犯的法益是原权利人对计算机信息系统数据占有、使用、处分等权利〔13〕,数据和应用程序型破坏侵害的法益则是数据和应用程序自身的真实性、完整性和可用性。
(二)“破坏”行为的认定
1.功能型破坏的认定。从破坏计算机信息系统罪保护法益的视角而言,功能型破坏认定的关键在于造成计算机信息系统不能正常运行。该罪第3款规定了“影响计算机信息系统正常运行”,根据体系解释原理,“造成计算机信息系统不能正常运行”对计算机信息系统的损毁程度相较于“影响”显然更为严重,必须达到彻底瘫痪的程度。因此,笔者认为,功能型破坏必须具有侵入性、本体性、毁弃性。
其一,按照侵入性要求,应区分内部破坏与外部干预。计算机信息系统包括硬件系统和软件系统,“破坏”应当限缩解释为侵入计算机信息系统内部,继而对其软件或硬件的功能产生直接作用〔14〕。对计算机信息系统的“侵入”是“破坏”的必要前置步骤,干扰计算机信息系统之外的硬件设备,从而导致计算机不能发挥其功能的,不构成破坏计算机信息系统罪〔15〕。比如,拆除计算机电源会干扰计算机信息系统功能的发挥,使计算机信息系统不能正常运行,遮挡计算机摄像头会导致其拍摄功能无法使用,但这些都不可能构成对计算机信息系统的“破坏”。
其二,按照本体性要求,应区分工作机理和产出结果。不能认为计算机信息系统输出的结果偏离预设便属于功能破坏,不能将改变计算机输出结果的行为等同于破坏计算机信息系统本身,否则就偏离了破坏计算机信息系统罪的本质〔11〕。
其三,按照毁弃性要求,应区分运行功能和操作权限。功能型破坏属于对计算机信息系统功能的实质性破坏,假如某一行为没有损坏计算机信息系统本身,只是排除或限制了原权利人对计算机信息系统的操作权限,不宜认定为破坏。功能型破坏造成的局面是,即使原权利人的操控权限得以恢复,但是也会因计算机信息系统自身故障而无法实现原有功能。如果行为人采取破坏计算机信息系统功能的方式来非法控制该系统,既侵害了权利人的自主权,也致使该计算机信息系统的功能遭到实质性破坏,便属于“非法控制”和功能型破坏的竞合。
2.数据和应用程序型破坏的认定。非法获取计算机信息系统数据罪的对象也是计算机信息系统中的数据,该罪设置了更轻的法定刑,且将行为方式限定为“获取”。破坏数据导致数据灭失的行为无疑比非法获取或非法利用数据的行为不法程度更高,所以,“破坏”的刑罚配置也更为严厉。从保护法益的内容和罪名关系的角度来看,笔者认为,应当从行为对象和行为方式两方面对数据和应用程序型破坏予以限定。
其一,从行为对象看,“破坏”的对象必须是具有重要价值的数据或发挥核心作用的应用程序。就数据而言,按照《中华人民共和国数据安全法》的规定,广义的数据包括所有信息及其载体(代码符号),即“任何以电子或者其他方式对信息的记录”。不能认为所有数据都可以成为破坏计算机信息系统罪的犯罪对象,否则在数据浩如烟海的今天破坏计算机信息系统罪必然会沦为“口袋罪”。具有重要价值的数据的价值体现在经济价值、使用价值等方面,其自身因利益重大、不可复制或者高度机密等特性而需要《刑法》介入保护〔16〕,破坏其他普通数据的行为则可以通过民事法律或者其他法规范予以规制。比如《解释》中列举的支付结算、证券交易、期货交易等网络金融服务的身份认证信息就属于具有重要价值的数据。
就应用程序而言,与数据不同,应用程序欠缺自在的要保护性,其价值主要体现在能够实现特定的功能,只有在计算机信息系统中发挥核心作用的应用程序才值得破坏计算机信息系统罪保护。首先,有必要对应用程序予以限缩解释。原因如下:第一,从谦抑性的立场而言,不同应用程序的作用和价值明显有别,并不是破坏所有的应用程序都会导致严重的法益侵害后果,并非所有应用程序都值得《刑法》保护。第二,根据罪刑均衡原则,功能型破坏与应用程序型破坏的法定刑相同,不法程度总体上相当,但在绝大多数情况下,损害应用程序的法益侵害性显然低于造成计算机信息系统不能正常运行的实害后果。所以,应当通过限定应用程序外延的方式来合理划定应用程序型破坏的处罚边界。第三,《解释》中明确了数据型破坏结果要素中“后果严重”的认定标准和数量要求,但并未规定同在《刑法》第286条第2款的应用程序型破坏结果要素中的“后果严重”的数量标准,映射出应用程序自身的要保护性实际上有所欠缺。单纯地删除、修改、增加应用程序,即使达到相当多的数量,也未必构成破坏计算机信息系统罪。
其次,应用程序应重点关注“质”而不是“量”。第一,应用程序的价值体现在功能方面。从概念内涵来看,应用程序是指为完成某项或多项特定工作的计算机程序,承载和发挥功能是应用程序的本质特征。因此,“破坏”应用程序构成犯罪的实质根据在于该应用程序与计算机信息系统功能之间的紧密关联,应用程序的真实性、完整性、可用性之所以能够作为阻挡层法益而不容侵犯也根源于其功能关联性。第二,应用程序应当限定为在计算机信息系统中发挥核心作用的应用程序。部分具备一定功能但并非处于计算机信息系统核心的应用程序不属于破坏计算机信息系统罪的保护范围。应用程序的核心作用指应用程序在计算机信息系统中具有中枢地位,决定了计算机信息系统的核心机理和功能属性,因而不容侵损。这类程序“牵一发而动全身”,一旦被删除、修改或者增加,便会导致整个基础性的计算机信息系统不能正常运行或其目的性功能无法实现的抽象危险。具有核心作用的应用程序大致可分为两种类型:一是位于基础性计算机信息系统中的应用程序,该系统是其他系统与功能的根基和依托。比如,恶意修改Windows系统、iOS系统等底层操作系统的程序,极易导致电脑、手机等彻底无法正常运行,会构成应用程序型破坏,而删除计算机中的浏览器APP等无关紧要的程序则不会构成同等意义上的破坏。二是承载目的性功能的应用程序,该功能决定着计算机信息系统的性质和定位。比如,非法修改交通违法信息管理系统、景区检售票系统等特定系统中的记录程序,则可能导致该系统的目标功能无法实现。
其二,从行为方式看,不同于单纯的获取行为,破坏计算机信息系统罪要求,对计算机信息系统中的数据和应用程序进行删除、修改、增加的行为必须达到致其毁弃的程度,使数据和应用程序的真实性污损、完整性割裂、可用性丧失。比如,行为人利用技术手段修改了证券交易系统中的身份认证数据或者身份认证程序,这不同于侵入证券交易系统偷窥相关信息的行为,虽然未必导致整个证券交易系统陷入瘫痪,但是认证数据与认证程序的真实性、完整性、可用性必然因此受到破坏。
3.破坏“后果严重”的认定。首先,“破坏”行为要求达到“后果严重”才能构罪,《解释》第4条从计算机数量、违法所得金额、侵害时长等方面对功能型破坏与数据和应用程序型破坏中的“后果严重”作了细致的规定。其次,非法控制计算机信息系统罪规定了“情节严重”的构成要件要素。“后果严重”与“情节严重”等整体评价要素的含义并不等同〔17〕,不能认为“情节严重”兼含主客观方面的内容且包含造成“后果严重”〔18〕。
区分“非法控制”与“破坏”的关键在于:一方面,行为人是否通过破坏计算机信息系统中重要数据或核心程序的行为来实现对计算机信息系统的“非法控制”结果;
另一方面,“非法控制”行为是否导致了计算机信息系统不能正常运行或损毁了数据或应用程序的法益结果。如果两方面均得出否定答案,则该行为只能被认定为侵害网络参与者自主权的“非法控制”,不属于“破坏”。
对于“非法控制”与“破坏”之间的关系,理论上存在法条竞合说与想象竞合说之争。法条竞合说主张,“非法控制”行为一定会引起他人系统不能正常运行的结果,该行为可以被功能型破坏中的“干扰”所包含〔19〕,故“非法控制”也可以作为“破坏”的特别类型。想象竞合说认为,“破坏”可能是“非法控制”的行为方式,“非法控制”也可能达到“破坏”的后果,两者可能在同一事实中交叉并存〔20〕,“非法控制”与“破坏”之间不存在包容关系,不满足法益同一性和不法包容性的条件,不能成立法条竞合。笔者认为,计算机信息系统犯罪的法益最终都可以追溯到安全价值与管理秩序,但是具体个罪的保护法益不尽相同。区分“非法控制”与“破坏”的关键在于,在各自法益的指导下把握其行为特征和结果形态。“非法控制”的后果是侵害了网络参与者的自主权;
功能型破坏的后果是造成计算机信息系统不能正常运行;
数据型破坏的保护法益是数据自身的安全,其后果是损毁重要数据的真实性、完整性和可用性;
应用程序型破坏的后果是通过摧毁发挥核心作用的应用程序,引起计算机信息系统全面崩溃或关键功能丧失的抽象危险。显然,这些行为类型有其各自特定的成立界限,某一行为也可能在既侵害了网络参与者的自主权,又损毁了计算机信息系统正常运行或数据、应用程序的真实性、完整性、可用性的情况下,构成“非法控制”与“破坏”计算机信息系统的想象竞合。