高仕銀

(中國社會科學(xué)院，北京 100732)

計算機(jī)的更新?lián)Q代和網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn)，使得計算機(jī)網(wǎng)絡(luò)的功能與升級速度、在社會中的應(yīng)用效度以及人們對其依賴的程度遠(yuǎn)遠(yuǎn)超出預(yù)想。有學(xué)者曾預(yù)言：不管你多么貧困與孤獨，但值得注意的是，在你的生活中幾乎不可能不涉及到計算機(jī)(1)Michael Gemignani, Computer Crime: The Law in’80, 13 Ind. L. Rev. 681(1980).。在計算機(jī)網(wǎng)絡(luò)技術(shù)環(huán)境下，人類社會的生活全面表現(xiàn)為現(xiàn)實與虛擬的有機(jī)結(jié)合，使得現(xiàn)代人的生活、學(xué)習(xí)、工作、交往等都深深地烙上了技術(shù)的特征。計算機(jī)網(wǎng)絡(luò)技術(shù)促進(jìn)了許多重大的變化，特別是在信息處理與交流中，其以非常重要的方式改觀著我們對世界的認(rèn)知，也許，計算機(jī)帶來的最大沖擊是突破了我們所熟知的物質(zhì)世界的時間和空間的障限(2)Josh L. Wilson, Jr., Electronic Village: Information Technology Create New Space, 6 Computer-Law Journal 365,370(1985).。然而科學(xué)技術(shù)又是一把雙刃劍，用之不當(dāng)則社會與個人皆受其害。

計算機(jī)網(wǎng)絡(luò)的廣泛運用在造福社會的同時也滋生了對計算機(jī)網(wǎng)絡(luò)技術(shù)的濫用，導(dǎo)致計算機(jī)網(wǎng)絡(luò)犯罪的發(fā)生(3)Law Enforcement Assistance Administration, U.S. Dept. of Justice, Computer Crime vi (1979).。在計算機(jī)網(wǎng)絡(luò)犯罪中，侵入計算機(jī)網(wǎng)絡(luò)系統(tǒng)的行為是犯罪成立的前提要件和基礎(chǔ)性行為。刑事法意義上判斷計算機(jī)網(wǎng)絡(luò)系統(tǒng)是否遭受侵入的主要依據(jù)就是行為人對計算機(jī)網(wǎng)絡(luò)的訪問行為是否有權(quán)。未經(jīng)授權(quán)或超越授權(quán)訪問計算機(jī)網(wǎng)絡(luò)，則為非法入侵，構(gòu)成犯罪。中國和美國在規(guī)制計算機(jī)網(wǎng)絡(luò)犯罪上都規(guī)定或確立了以“未經(jīng)授權(quán)”與“超越授權(quán)”的訪問行為判斷依據(jù)(4)美國關(guān)于計算機(jī)網(wǎng)絡(luò)犯罪的規(guī)制分為聯(lián)邦和州兩個部分，相關(guān)介述可參見：Susan W. Brenner, State Cybercrime Legislation in the United States of America: A Survey, 7 Rich. J.L. & Tech.，28 (2001). 本文研究范圍只涵攝美國聯(lián)邦層面。。本文從比較法的視角對中美規(guī)制計算機(jī)網(wǎng)絡(luò)犯罪中的“未經(jīng)授權(quán)”與“超越授權(quán)”進(jìn)行探討，通過對照分析中美兩國相關(guān)立法條文和司法解釋與案例判解，為我國計算機(jī)網(wǎng)絡(luò)犯罪規(guī)制中的“未經(jīng)授權(quán)”與“超越授權(quán)”所規(guī)定內(nèi)涵的進(jìn)一步完善提供些許借鑒和參考。

一、刑法相關(guān)規(guī)定的適用范圍及行為的違法性判斷

(一)“未經(jīng)授權(quán)”與“超越授權(quán)”的適用范圍

計算機(jī)犯網(wǎng)絡(luò)罪是一個變化的概念，在不同時期有著不同的稱謂。早期的描述有“計算機(jī)犯罪”“與計算機(jī)有關(guān)的犯罪”或“利用計算機(jī)犯罪”。當(dāng)數(shù)字技術(shù)普遍應(yīng)用以后，對這一犯罪的用語諸如“高科技犯罪”或“信息犯罪”又增加并被收入到字典詞匯中。因特網(wǎng)的出現(xiàn)，又把這類犯罪稱作“網(wǎng)絡(luò)犯罪”(cybercrime)，還有的稱其為“虛擬空間犯罪”“IT犯罪”“信息技術(shù)犯罪”等(5)S. W. Brenner, Cybercrime Metrics: Old Wine, New Bottle? 9 Virginia Journal of Law and Technology,4(2004).。相關(guān)官方規(guī)范性文件也對這類犯罪有不同表述，歐洲委員會制定的《計算機(jī)犯罪公約》對這類犯罪的用語采用的是“Cybercrime”，而美國聯(lián)邦《計算機(jī)欺詐與濫用法》(Computer Fraud and Abuse Act)則使用“Computer Crime”，中國刑法中規(guī)定的是與“計算機(jī)信息系統(tǒng)”有關(guān)的犯罪。這些稱謂和說法各有理據(jù)，在計算機(jī)和因特網(wǎng)環(huán)境下，有的稱謂側(cè)重于計算機(jī)，而有的表述又偏向于因特網(wǎng)?；谖覈谭ǖ囊?guī)定，本文使用“計算機(jī)網(wǎng)絡(luò)犯罪”來指稱與計算機(jī)網(wǎng)絡(luò)有關(guān)的犯罪行為。

計算機(jī)網(wǎng)絡(luò)犯罪用語的多樣性體現(xiàn)出計算機(jī)網(wǎng)絡(luò)犯罪的復(fù)雜性和發(fā)展性。自計算機(jī)網(wǎng)絡(luò)犯罪產(chǎn)生以來，人們對計算機(jī)網(wǎng)絡(luò)犯罪的概念本身并未達(dá)成統(tǒng)一的認(rèn)識，正因為如此，我們很難給計算機(jī)網(wǎng)絡(luò)犯罪下一個確切的定義(6)Joseph M. Olivenbaum, Ctral-Alt-Delet: Rethinking Federal Computer Legislation, 27 Seton Hall L. Rev. 575, 576(1997).。計算機(jī)犯罪的復(fù)雜性有時甚至是一種難以描述的現(xiàn)象，其沒有一個全面而又能夠獨立展現(xiàn)出準(zhǔn)確合理的且讓大家都接受的概念(7)Marc D Goodman and Susan W Brenner, The Emerging Consensus on Criminal Conduct in Cyberspace, 10 International Journal of Law and Information Technology no.2, 145(2002).。不過，即使是這樣的情況，也并不影響人們對計算機(jī)網(wǎng)絡(luò)犯罪的認(rèn)識和對之有效地進(jìn)行相應(yīng)的法律規(guī)制。各國可以根據(jù)自己的情況作出決定和規(guī)定，這通過以下表述可以得到說明：考慮到信息技術(shù)的發(fā)展，歐洲議會根據(jù)1989年以來有關(guān)犯罪的增加，信息時代無形財產(chǎn)的重大價值，以及進(jìn)一步促進(jìn)研究、推動技術(shù)發(fā)展的愿望和潛在的高風(fēng)險等情況，建議各國應(yīng)當(dāng)根據(jù)各自的法律傳統(tǒng)、文化和兼顧現(xiàn)行法律的適用情況來考慮作為犯罪懲罰的行為(8)國際刑法學(xué)會.國際刑法學(xué)會關(guān)于打擊電腦犯罪的建議稿[A].王世洲譯.我的一點家當(dāng)：王世洲刑事法譯文集[C].北京：中國法制出版社，2005.166.。

雖然在計算機(jī)網(wǎng)絡(luò)犯罪的準(zhǔn)確稱謂和精確定義上不能達(dá)成一致，但大家對計算機(jī)網(wǎng)絡(luò)犯罪的分類還是形成了比較廣泛的共識。一般而言，計算機(jī)網(wǎng)絡(luò)犯罪包括三種類別：第一類，以計算機(jī)網(wǎng)絡(luò)為目標(biāo)的犯罪，指計算機(jī)或計算機(jī)網(wǎng)絡(luò)成為犯罪的對象，例如黑客入侵、惡意軟件、病毒程序或?qū)Σ僮飨到y(tǒng)的攻擊等；第二類，以計算機(jī)網(wǎng)絡(luò)為工具的犯罪，將計算機(jī)網(wǎng)絡(luò)作為工具實施原來就存在的傳統(tǒng)犯罪，比如，兒童色情、人肉搜索、著作權(quán)侵犯以及詐騙等；第三類，計算機(jī)的使用作為犯罪的附帶情形，指計算機(jī)既不是攻擊目標(biāo)，也未作為工具，而是用來提供犯罪證據(jù)，諸如在計算機(jī)中發(fā)現(xiàn)謀殺犯的地址，被害人與加害人之間的對話等，在這些情況下計算機(jī)不是構(gòu)成犯罪的因素，但是犯罪證據(jù)的貯存器(9)Computer Crime and Intellectual Property Section, US Department of Justice, The National Information Infrastructure Protection Act of 1996, Legislative Analysis (1996). 參見：http://www.cybercrime.gov/1030 analysis.html，2018年10月25日最后訪問。。雖然這是美國司法部的分類，但就計算機(jī)網(wǎng)絡(luò)犯罪的全球化樣態(tài)而言，上述分類與其他國家和地區(qū)的分類大同小異。美國司法部對計算機(jī)犯罪的上述分類也得到了其他一些國家，如澳大利亞、加拿大以及英國等的贊同并在其國內(nèi)也按此區(qū)分，同時這一做法也被國際社會采納(10)A. Rathmell, Handbook of Legislative Procedures of Computer and Network Misuse in EU Countries, Study for the European Commission Directorate-General Information Society, 16(2002).。 “未經(jīng)授權(quán)”與“超越授權(quán)”的適用規(guī)制對象為上述第一類，即以計算機(jī)網(wǎng)絡(luò)為目標(biāo)的犯罪，主要涵攝范圍為那些針對計算機(jī)網(wǎng)絡(luò)系統(tǒng)的軟件、數(shù)據(jù)信息與程序資料等實施的犯罪行為。

(二)行為違法性的判斷

人們對計算機(jī)網(wǎng)絡(luò)的使用通過訪問(access)行為來完成。訪問本是用于現(xiàn)實物質(zhì)世界中的一個概念，其被引入到計算機(jī)網(wǎng)絡(luò)數(shù)字語境中用來表示人機(jī)界面活動的過程?！霸L問”一詞在計算機(jī)網(wǎng)絡(luò)犯罪法中被認(rèn)為是一個主動式的動詞，意思是“獲取路徑進(jìn)入”，如果被動地接受來自其他計算機(jī)的信息——但該信息不是通過直接訪問那臺計算機(jī)獲取，也沒有唆使他人去訪問那臺計算機(jī)，與其他人也沒有代理關(guān)系——就不屬于“訪問”，即使接收者知道信息來源于那臺計算機(jī)(11)Role Models America, Inc. v. Jones, 305 F. Supp.2d 564-68(D Maryland 2004).。 法律所關(guān)注的重點是被告人對被害計算機(jī)的“訪問”行為，并進(jìn)而判斷其是否屬于有權(quán)訪問(12)Orin S. Kerr, Computer Crime Law, 2nd ed., West, a Thomson business, 27(2009).。 計算機(jī)網(wǎng)絡(luò)訪問行為是人對計算機(jī)網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)指令輸入行為，這種數(shù)據(jù)指令的輸入行為可以從形式和實質(zhì)兩個層面去分析判斷，不同層面的分析判斷會產(chǎn)生不同的認(rèn)定結(jié)果。

形式判斷是根據(jù)計算機(jī)接受與傳播指令的工作原理來對訪問行為作出的觀察。計算機(jī)網(wǎng)絡(luò)系統(tǒng)在運行過程中以“0”和“1”的代碼組合方式相互之間通過發(fā)送和接受信息完成通訊交流。例如當(dāng)某一用戶訪問網(wǎng)站時，其使用的計算機(jī)便向運載該網(wǎng)站的計算機(jī)發(fā)出訪問指令，請求載負(fù)網(wǎng)站的計算機(jī)發(fā)回網(wǎng)頁數(shù)據(jù)，當(dāng)這些數(shù)據(jù)被發(fā)回到用戶的計算機(jī)上時，其界面即顯示出網(wǎng)站內(nèi)容(13)Preston Gralla, How the Internet Works, 8th ed., Que, 130(2006).。從計算機(jī)運行的角度而言，計算機(jī)訪問就是行為人與計算機(jī)之間實現(xiàn)的人機(jī)對話性的交流。這種人機(jī)對話實現(xiàn)的訪問主要包含兩種方式：其一是訪問者向計算機(jī)輸入命令(command)，指示計算機(jī)根據(jù)其命令操作某項任務(wù)，計算機(jī)根據(jù)指令要求作出運行；其二是用戶向計算機(jī)發(fā)出指令請求發(fā)回信息，計算機(jī)對此作出反應(yīng)，向使用者傳回相關(guān)信息。形式層面的計算機(jī)訪問行為體現(xiàn)出的是使用者與計算機(jī)網(wǎng)絡(luò)之間的相互關(guān)系，其從計算機(jī)網(wǎng)絡(luò)運行的物理功能出發(fā)來看待訪問行為。只要有使用者對計算機(jī)的指令輸入行為，計算機(jī)對此作出任務(wù)處理就形成訪問。當(dāng)使用者輸入命令請求，計算機(jī)對此作出回應(yīng)，然后根據(jù)指令運行相關(guān)任務(wù)即是訪問，而不問在此過程中是否完全實現(xiàn)使用者的訪問目的。

實質(zhì)判斷是以訪問行為是否具體達(dá)到了訪問的效果而作出的觀察。訪問的判斷是看使用者是否實際上進(jìn)入了計算機(jī)網(wǎng)絡(luò)系統(tǒng)。比如某用戶想使用一個受賬號與密碼保護(hù)的網(wǎng)站，于是先向計算機(jī)輸入指令，該計算機(jī)根據(jù)其指令向目標(biāo)網(wǎng)站計算機(jī)發(fā)出請求，當(dāng)用戶的計算機(jī)界面上顯示出該網(wǎng)站的登錄網(wǎng)頁時，其要求輸入有效賬號和密碼。如果同現(xiàn)實生活中的情況作對比，這個時候的計算機(jī)網(wǎng)頁界面就相當(dāng)于面對一個上了鎖的門，向網(wǎng)頁中輸入有效賬號與密碼就相當(dāng)于使用鑰匙去開門鎖(14)Trulock v. Freech, 275 F.3d 391, 409(4th Circuit 2001).。使用者輸入正確賬號密碼就是對計算機(jī)的訪問。從實現(xiàn)訪問目的的角度來看，實質(zhì)層面的計算機(jī)網(wǎng)絡(luò)訪問就是需要對數(shù)據(jù)信息的獲取。即便有人機(jī)互動的過程，而沒有實現(xiàn)訪問目的，也不是訪問行為。形式與實質(zhì)的判斷方法對同一個訪問行為的認(rèn)定具有差別。就上述設(shè)有賬號密碼的網(wǎng)頁例子而言，使用者向計算機(jī)輸入命令要求傳回設(shè)有賬戶密碼的網(wǎng)頁界面，這一過程，從形式判斷來看無疑屬于訪問，因為用戶發(fā)出了指令，計算機(jī)對此也作出了反應(yīng)；但從實質(zhì)判斷來看，其并不算訪問，因為還沒進(jìn)入到欲查看的網(wǎng)頁內(nèi)部。這如同現(xiàn)實中到了有鎖的門前，雖然敲了門，但還沒有開鎖從門進(jìn)去。

無論是形式還是實質(zhì)的判斷，訪問行為本身不是計算機(jī)網(wǎng)絡(luò)犯罪成立的決定性要件。構(gòu)成犯罪的訪問行為必須是未獲得授權(quán)?！拔唇?jīng)授權(quán)”與“超越授權(quán)”在計算機(jī)網(wǎng)絡(luò)犯罪中成為用來判斷訪問行為的合法與否的標(biāo)準(zhǔn)。換言之，如果是計算機(jī)的所有者或者合法權(quán)利者授權(quán)許可對計算機(jī)的訪問，則不存在犯罪行為(15)Cybercrime Convention, Explanatory Report.參見：http://conventions.coe.int/treaty/en/reports/html/ 185. htm，2019年4月25日最后訪問。。但是，在決定計算機(jī)訪問具有犯罪性的“未經(jīng)授權(quán)”和“超越授權(quán)”這兩個要件中，是否授權(quán)和是否超出授權(quán)范圍就影響著訪問行為的性質(zhì)，決定著行為的違法性與否。因此，對授權(quán)的理解與判斷就顯得至為重要，確立了授權(quán)也就給訪問行為的違法與否做好了定位。同時，在計算機(jī)網(wǎng)絡(luò)虛擬環(huán)境中的授權(quán)與現(xiàn)實世界中的授權(quán)是否相同，需要深入探討，不能簡單等而視之。下文從中美兩國在立法和司法特別是具體案例的判決入手，深入展開對“未經(jīng)授權(quán)”和“超越授權(quán)”的分析研究。

二、行為違法性判斷的立法與司法規(guī)定辨析

(一)美國立法關(guān)于非法訪問違法性的判斷

美國國會在1984年通過的《全面控制犯罪法》(Comprehensive Crime Control Act)中制定了有關(guān)計算機(jī)網(wǎng)絡(luò)犯罪的條文?！度婵刂品缸锓ā肥且徊堪姸囝悇e刑法條文的法案集，其中關(guān)于聯(lián)邦第一個計算機(jī)網(wǎng)絡(luò)犯罪的刑事立法位于該法律集的2102(a)節(jié)，具體名稱為“偽造接入設(shè)備與計算機(jī)欺詐及濫用法”(Counterfeit Access Device and Computer Fraud and Abuse Act)(16)Comprehensive Crime Control Act of 1984, Pub. L. No. 98-473, tit.22, §2102(a), 98, Stat.1837,2190(1984).。這一法條在1986年修正時，正式被定名為《計算機(jī)欺詐與濫用法》(Computer Fraud and Abuse Act，簡稱：CFAA)，成為美國聯(lián)邦規(guī)制計算機(jī)網(wǎng)絡(luò)犯罪的法律，并被編載入美國《聯(lián)邦法典》第18編刑事法律部分，位列第1030條。1030條明確規(guī)定，構(gòu)成計算機(jī)網(wǎng)絡(luò)犯罪的基礎(chǔ)性行為是“未經(jīng)授權(quán)訪問”(access without authorization)與“超越授權(quán)訪問”(exceeding authorized access)。在1030條規(guī)定的7種犯罪中，除了1030(a)(5)(A)(i)與(a)(7)款所規(guī)制的計算機(jī)犯罪類別相對比較特殊以外(17)1030(a)(5)(a)(i)款禁止未經(jīng)授權(quán)傳輸指令而導(dǎo)致計算機(jī)危害；1030(a)(7)款規(guī)定的是以技術(shù)威脅危害計算機(jī)進(jìn)行敲詐。，其他的犯罪都以“未經(jīng)授權(quán)”或“超越授權(quán)”訪問作為犯罪成立的基本要件。

其中，(a)(1)至(a)(3)項所規(guī)定的犯罪是直接以非法訪問計算機(jī)網(wǎng)絡(luò)作為犯罪成立的具體要件，而(a)(4)與(a)(5)及(a)(6)項的犯罪規(guī)定中則以非法訪問計算機(jī)網(wǎng)絡(luò)作為基礎(chǔ)要件，再增加構(gòu)成具體個罪的要件(如詐騙、計算機(jī)危害等)形成不同的犯罪類別。在非法訪問計算機(jī)網(wǎng)絡(luò)犯罪中，(a)(1)項規(guī)定的是未經(jīng)授權(quán)或超越授權(quán)訪問計算機(jī)獲取有關(guān)美國國家安全與機(jī)密信息的行為(18)18 U.S.C § 1030(a)(1)(West 2000&Supp.2009).；(a)(2)項規(guī)定的是未經(jīng)授權(quán)或超越授權(quán)訪問屬于金融財政、政府部門或者其他受保護(hù)的計算機(jī)并獲取其中的信息的行為(19)18 U.S.C § 1030(a)(2)(West 2000&Supp.2009).；(a)(3)項規(guī)定了未經(jīng)授權(quán)訪問非公共使用的專用于或歸屬于美國政府部門及其他行政機(jī)構(gòu)的計算機(jī)(20)18 U.S.C § 1030(a)(3)(West 2000&Supp.2009).，這一項規(guī)定只是關(guān)于非法訪問的侵入性犯罪，適用于那些未經(jīng)授權(quán)而訪問聯(lián)邦計算機(jī)的行為(21)Senate Report, 99-432(1986), reprinted in 1986 U.S.C.C.A.N. 279, 2484.。(a)(2)項是1030條規(guī)定中使用頻度最高的犯罪條款(22)Orin S. Kerr, Computer Crime Law, 2nd ed., West, a Thomson business, 27(2009).。作為非法計算機(jī)訪問犯罪中最主要的(a)(2)與(a)(3)項，雖然都是以訪問行為的非法性來成立犯罪，但其也有區(qū)別，主要包括以下幾個方面：其一，(a)(3)項的適用范圍要比(a)(2)項窄，其只涵括政府部門的計算機(jī)；其二，根據(jù)(a)(3)項的規(guī)定，其是單純的入侵性條款，即只要非法訪問即成立犯罪，而不像(a)(2)款還要求獲取信息；其三，(a)(3)項只要求非法訪問行為由“未經(jīng)授權(quán)”構(gòu)成，而沒有“超越授權(quán)”的要求。

1030條在規(guī)定了“未經(jīng)授權(quán)”和“超越授權(quán)”的同時，對“超越授權(quán)”予以了專門的定義：已經(jīng)獲得授權(quán)訪問計算機(jī)，并利用這一授權(quán)訪問去攫取或修改計算機(jī)中的信息，但行為人沒有被授權(quán)做出如此的攫取或修改(23)18 U.S.C § 1030(e)(6)(2008).。對于“未經(jīng)授權(quán)”的內(nèi)涵，立法則選擇了回避，司法判例也認(rèn)為其雖然沒有在法條中作出規(guī)定，但一般都認(rèn)為“授權(quán)”是從通常意義上去理解，不存在也不會產(chǎn)生任何技術(shù)性或含糊的內(nèi)涵，因此也就沒有必要對陪審團(tuán)作出在該用語含義上的指引(24)United States v. Morris, 928 F 2d 504, 511(2nd Circuit 1991).。但是對“授權(quán)”的具體判斷，美國聯(lián)邦司法實務(wù)部門經(jīng)過多年積累，發(fā)展出了一套比較成熟的認(rèn)定標(biāo)準(zhǔn)，對此下文將展開詳細(xì)分析。在1030條中，“未經(jīng)授權(quán)”與“超越授權(quán)”這兩種非法計算機(jī)訪問的判斷是針對不同行為人而設(shè)定的，即“內(nèi)部人”(insiders)和“外部人”(outsiders)?！皟?nèi)部人”主要是指屬于政府機(jī)關(guān)、公司企業(yè)等單位的員工、雇員、代理人等；“外部人”主要是指那些諸如黑客、此部門或單位的員工使用計算機(jī)訪問彼部門或單位的計算機(jī)等情形?！皟?nèi)部人”和“外部人”的立法區(qū)分在美國聯(lián)邦計算機(jī)網(wǎng)絡(luò)犯罪規(guī)制上主要表現(xiàn)為：“外部人”訪問計算機(jī)的行為是“未經(jīng)授權(quán)”而構(gòu)成犯罪，“內(nèi)部人”是那些獲得了一定授權(quán)的計算機(jī)使用者，但在訪問過程中超越了使用權(quán)限而觸犯本法之規(guī)定(25)Senate Report No. 104-357, at 11(1996). 可參見：http://thomas.loc.gov/cgi-bin/cpquery/?&dbname =cp 104 & sid =cp1048G4aK&refer=&r_n=sr357.104&item=&&&sel=TOC_45112&, 2019年4月25日最后訪問。。從1030條規(guī)定可以看出，“授權(quán)”是計算機(jī)網(wǎng)絡(luò)訪問行為是否屬于犯罪的“著色劑”，是否給予了授權(quán)或是否超出了授權(quán)的意思范圍，就可以給無色的計算機(jī)訪問行為添加上犯罪的有色元素。

(二)中國立法關(guān)于非法訪問違法性的判斷

我國《刑法》第285條規(guī)定的非法侵入計算機(jī)信息系統(tǒng)罪，非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計算機(jī)信息系統(tǒng)罪與第286條規(guī)定的破壞計算機(jī)信息系統(tǒng)罪中都以空白罪狀“違反國家規(guī)定”作為犯罪成立的重要構(gòu)成要件之一。根據(jù)這兩個法條的內(nèi)涵，行為人的行為只有首先違反了“國家規(guī)定”才能進(jìn)一步地評價其行為是否構(gòu)成法條規(guī)定的符合上述罪名的計算機(jī)網(wǎng)絡(luò)犯罪。因此，從我國刑法對計算機(jī)犯罪的規(guī)定來看，犯罪行為違法性的評價基礎(chǔ)在于“違反國家規(guī)定”。只有那些不符合國家規(guī)定的訪問計算機(jī)信息系統(tǒng)的行為才能按照《刑法》第285條和286條來加以規(guī)制。雖然我國刑法對于構(gòu)成計算機(jī)網(wǎng)絡(luò)犯罪的前提要求是“違反國家規(guī)定”，但總的來說，“中國《刑法》中的第285條打擊的是未經(jīng)授權(quán)訪問的行為，而286條處理的是損害計算機(jī)系統(tǒng)中數(shù)據(jù)的行為”(26)Kam C Wong and Georgiana Wong, Cyberspace Governance and Internet Regulation in China, compiled in Cyber-crime:the Challenge in Asia, edited by Roderic Broadhurst and Peter Grabosky, Hong Kong University Press,67(2005).。如前文所述，1030條中規(guī)定的構(gòu)成計算機(jī)網(wǎng)絡(luò)犯罪的基礎(chǔ)性要件是“未經(jīng)授權(quán)或超越授權(quán)”訪問，這里的“未經(jīng)授權(quán)或超越授權(quán)”在犯罪的構(gòu)成要件上的功能就相當(dāng)于我國《刑法》第285條和286條中的“違反國家規(guī)定”。

從以上考察可以看出，美國《聯(lián)邦法典》1030條關(guān)于判斷計算機(jī)網(wǎng)絡(luò)訪問是否違法所設(shè)定的“未經(jīng)授權(quán)”與“超越授權(quán)”要件與我國刑法中關(guān)于構(gòu)成計算機(jī)犯罪所規(guī)定的“違反國家規(guī)定”具有異曲同工之處。但相較于美國法規(guī)定中的“未經(jīng)授權(quán)”和“超越授權(quán)”這一計算機(jī)網(wǎng)絡(luò)犯罪的違法性構(gòu)成要件而言，中國刑法中規(guī)定的“違反國家規(guī)定”在作為我國計算機(jī)網(wǎng)絡(luò)犯罪成立的前提性構(gòu)成條件時，立法并沒有如美國法規(guī)定那樣，對其中的內(nèi)涵加以定義說明。“違反國家規(guī)定”與其他空白罪狀相比，其指向的內(nèi)容未限定具體的范圍，涵攝的空間比較廣泛。對于其內(nèi)涵的理解須把握刑法總則和分則的關(guān)系。這一關(guān)系決定《刑法》第285條和286條中的“違反國家規(guī)定”必須受到《刑法》第96條的限制。我國刑法分則空白罪狀中違反的“國家規(guī)定”應(yīng)具有以下條件：1.“國家規(guī)定”的制定主體是全國人大及其常委會、國務(wù)院；2.“國家規(guī)定”是經(jīng)過法定的程序制定并按照法定程序公開發(fā)布的；3.“國家規(guī)定”能夠代表國家的整體意志，以國家強(qiáng)制力反映出普遍的約束力；4.“國家規(guī)定”在表現(xiàn)形式上，必須是全國人大及其常委會制定的法律和決定、國務(wù)院制定的行政法規(guī)、國務(wù)院規(guī)定的行政措施、國務(wù)院發(fā)布的決定和命令(27)劉德法,尤國富.論空白罪狀中的“違反國家規(guī)定”[J].法學(xué)雜志,2011,(1)：15-17.。據(jù)此，“國家規(guī)定”是指由全國人民代表大會通過的憲法和法律；全國人大常委會通過的法律以及帶有單行法規(guī)性質(zhì)的決定或者對現(xiàn)行法律作出某些修改、補(bǔ)充的規(guī)定以及以國務(wù)院名義制定或發(fā)布的有關(guān)法規(guī)性質(zhì)的文件。這一理解符合我國《刑法》第96條的規(guī)定及罪刑法定原則的要求。但是，由地方國家權(quán)力機(jī)關(guān)制定的地方性法規(guī)、由國務(wù)院各部委和地方政府制定的行政規(guī)章，由于不是全國權(quán)力機(jī)關(guān)和國務(wù)院制定的，不能將其列入“國家規(guī)定”的范圍。這是因為，根據(jù)我國憲法的規(guī)定，國務(wù)院制作的規(guī)定與各部委制作的規(guī)定名稱不同(前者稱為行政規(guī)章，后者稱為部門規(guī)章)，效力不同(前者的效力高于后者)，既然《刑法》第96條沒有明確各部委可以視為其制作主體，自然不能對其作擴(kuò)大解釋(或許可稱為類推解釋)(28)王恩海.論我國刑法中“違反國家規(guī)定”兼論刑法條文憲政意義[J].東方法學(xué),2010,(1)：22-28.。在“違反國家規(guī)定”的內(nèi)涵范圍確立之后，即可以確定計算機(jī)犯罪條文中“違反國家規(guī)定”的具體指稱內(nèi)容。

確定我國《刑法》第285條和286條中的“違反國家規(guī)定”的內(nèi)容，一方面要以《刑法》第96條的規(guī)定為依據(jù)，另一方面也要以計算機(jī)網(wǎng)絡(luò)犯罪及其保護(hù)法益為根基。按照這兩方面的要求，《刑法》第285條和286條中所指的“國家規(guī)定”應(yīng)該是由全國人大及其常委會和以國務(wù)院的名義制定或發(fā)布的規(guī)范和保護(hù)我國計算機(jī)信息系統(tǒng)有關(guān)的法律、法規(guī)，主要包括：1. 1994年2月18日由國務(wù)院頒布的《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》；2. 1996年2月1日由國務(wù)院頒布并于1997年5月20日經(jīng)國務(wù)院修正并頒布的《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》；3. 2000年9月25日由國務(wù)院頒布的《互聯(lián)網(wǎng)信息服務(wù)管理辦法》；4.2000年12月28日由全國人大常委會審議通過的《全國人民代表大會常務(wù)委員會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》；5. 2001年12月20日由國務(wù)院頒布的《計算機(jī)軟件保護(hù)條例》；6.2012年12月28日由全國人大常委會審議通過的《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》；7. 由全國人民代表大會常務(wù)委員會于2016年11月7日發(fā)布，自2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》等。不是以全國人大常委會和國務(wù)院的名義制定或發(fā)布的規(guī)定，不屬于刑法規(guī)定意義上的“國家規(guī)定”，不能作為定罪處刑的依據(jù)，這是罪刑法定原則的必然要求。如有學(xué)者認(rèn)為《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》屬于有關(guān)計算機(jī)信息系統(tǒng)的“國家規(guī)定”而可適用到刑法中(29)趙秉志,于志剛.計算機(jī)犯罪及其立法和理論之回應(yīng)[J].中國法學(xué),2001,(1)：148-163.。這種認(rèn)識明顯不符合刑法規(guī)定的要求，因為該《辦法》是以公安部的名義發(fā)布，諸如此類的規(guī)章還包括公安部發(fā)布的《計算機(jī)病毒防治管理辦法》等都不能作為《刑法》第285條和286條中“國家規(guī)定”的指向內(nèi)容。

在美國法律規(guī)定中，計算機(jī)網(wǎng)絡(luò)犯罪成立與否的前提是考量“授權(quán)”?，F(xiàn)實生活中存在的是否授權(quán)比較容易區(qū)分和確定，主要原因在于有物理空間場域和人體本身作為有力的判斷依據(jù)，即以人的身體事實上進(jìn)入到特定的場所為基礎(chǔ)，只要權(quán)利人對此行為有否定的意思即可判斷授權(quán)的不存在。正如美國《模范刑法典》所規(guī)定的那樣，權(quán)利人通過口頭表態(tài)或者依法作出禁止進(jìn)入的告知以及合理的提示，亦或設(shè)置了與外界隔離的防止外人進(jìn)入的設(shè)施都表明沒有授權(quán)的存在(30)Model Penal Code § 221.2(2)(1962).。一般而言，判斷是否授權(quán)的典型情況就是權(quán)利人在住宅外的圍欄上掛著“禁止進(jìn)入”的標(biāo)識，正常人如置若罔聞闖而進(jìn)之，則構(gòu)成非法入侵。但同樣是授權(quán)，其在虛擬空間中對訪問行為的正當(dāng)與否的判斷則比較困難。計算機(jī)在現(xiàn)代社會已經(jīng)成為人們?nèi)粘Ｉ畹钠占捌罚刻於加袛?shù)以億計的用戶在通過計算機(jī)實現(xiàn)訪問行為，劃分出訪問行為授權(quán)與非授權(quán)的界限相當(dāng)重要。這是因為根據(jù)1030條的規(guī)定，確立哪些訪問是“未經(jīng)授權(quán)”或者“超越授權(quán)”通常決定著行為的犯罪與否。如果不能夠正確而準(zhǔn)確的對計算機(jī)虛擬空間中的“授權(quán)”作出明晰的區(qū)分，則會影響到訪問行為的正確定性。同時，由于計算機(jī)網(wǎng)絡(luò)環(huán)境下的訪問行為不存在像現(xiàn)實生活中的侵入行為那樣需要人身體自身參與，而只是通過計算機(jī)的交互反應(yīng)來完成訪問的目的，使用者的訪問是通過計算機(jī)界面得以完成的。換言之，在計算機(jī)系統(tǒng)間的交互反應(yīng)這一前提下，使用者根據(jù)自己的訪問需要而發(fā)出指令讓計算機(jī)執(zhí)行，計算機(jī)運行命令并獲取相關(guān)路徑，再傳回信號資料完成訪問任務(wù)。但由于計算機(jī)網(wǎng)絡(luò)的虛擬性特征，使用者在通過計算機(jī)執(zhí)行訪問行為的時候，對于被訪問計算機(jī)所設(shè)置的一些限制進(jìn)入的路徑可以通過技術(shù)方式“繞行”，從而使得其中的授權(quán)情況表現(xiàn)得非常復(fù)雜。同樣，在中國刑法中，“違反國家規(guī)定”也是一個很難直接明確的要件，在判斷上也無法直接從法條語義中得出恰當(dāng)?shù)慕Y(jié)論。

美國《聯(lián)邦法典》1030條中的“未經(jīng)授權(quán)”與我國《刑法》第285條和286條中規(guī)定的“違反國家規(guī)定”一樣，都屬于開放性的構(gòu)成要件，都會隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展而在內(nèi)容上有所變化。因為在立法者看來，計算機(jī)網(wǎng)絡(luò)技術(shù)在不斷升級更新，對計算機(jī)網(wǎng)絡(luò)的訪問也隨之呈現(xiàn)出動態(tài)發(fā)展的特征，因此具體地確立何為“未經(jīng)授權(quán)”并不理智，反而會給司法實踐帶來諸多障限，而事實也證明立法難以給出一個恰當(dāng)?shù)亩x(31)Ric Simmons, The Failure of the Computer Fraud and Abuse Act: Time to Take a New Approach to Regulating Computer Crime, 329 George Washington Law Review(2016).。所謂“違反國家規(guī)定”的內(nèi)容會發(fā)展變化，是由于“國家規(guī)定”并非僅指設(shè)置刑法條文時已有的規(guī)定。隨著社會的發(fā)展和國家行政管理的需要，“國家規(guī)定”的內(nèi)容將不斷增加或被修訂，該“國家規(guī)定”可能是行為之前早就有的，也可能是行為前剛頒發(fā)和修訂的，有些還可能是刑法超前預(yù)設(shè)的，與其他部門法相比，行政法具有明顯的易變性，需要經(jīng)常性的廢、改、立，以適應(yīng)復(fù)雜多變的行政管理需要(32)劉德法,尤國富.論空白罪狀中的“違反國家規(guī)定”[J].法學(xué)雜志,2011,(1)：15-17.。這種動態(tài)性特征決定了“違反國家規(guī)定”如“未經(jīng)授權(quán)”一樣，立法很難對其指稱內(nèi)容按照明確性原則的要求作出具體規(guī)定。因此，美國和中國在計算機(jī)網(wǎng)絡(luò)犯罪違法性構(gòu)成的設(shè)定上雖然具有異曲同工之妙，但是立法卻未能解決對這一構(gòu)成要件的明確判斷，兩國都將這一任務(wù)交由司法實踐來完成。

三、司法運行中的實證考察

(一)中國司法解釋中的“未經(jīng)授權(quán)”與“超越授權(quán)”

雖然在我國刑法關(guān)于計算機(jī)網(wǎng)絡(luò)犯罪規(guī)制的條文中沒有直接規(guī)定“未經(jīng)授權(quán)”與“超越授權(quán)”，而是以“違反國家規(guī)定”來作出了相同功能性的設(shè)定。不過在我國刑法條文之外被學(xué)界稱作“副法”體系(33)林維.刑法解釋的權(quán)力分析[M].北京：中國人民公安大學(xué)出版社，2010.440.的最高司法解釋中，雖然沒有對“違反國家規(guī)定”予以進(jìn)一步的說明，但是對《刑法》第285條第3款進(jìn)行解釋的時候，卻與美國法規(guī)定的用語完全相同，明確規(guī)定了“未經(jīng)授權(quán)”與“超越授權(quán)”。詳言之，2011年8月1日最高人民法院和最高人民檢察院(以下簡稱兩高)聯(lián)合發(fā)布了《關(guān)于辦理危害計算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》(以下稱《解釋》)，并于2011年9月1日起開始施行。該《解釋》是自1997年刑法規(guī)定計算機(jī)網(wǎng)絡(luò)犯罪后我國最高司法機(jī)關(guān)首次作出的正式回應(yīng)。該《解釋》一共包括11個條文，詳細(xì)地對《刑法》第285條和286條中各罪所包含的“情節(jié)嚴(yán)重”“經(jīng)濟(jì)損失”“后果嚴(yán)重”“共同犯罪”等加以規(guī)定和說明。其中，《解釋》第2條規(guī)定：具有下列情形之一的程序、工具，應(yīng)當(dāng)認(rèn)定為《刑法》第285條第3款規(guī)定的“專門用于侵入、非法控制計算機(jī)信息系統(tǒng)的程序、工具”：1.具有避開或者突破計算機(jī)信息系統(tǒng)安全保護(hù)措施，未經(jīng)授權(quán)或者超越授權(quán)獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)的功能的；2.具有避開或者突破計算機(jī)信息系統(tǒng)安全保護(hù)措施，未經(jīng)授權(quán)或者超越授權(quán)對計算機(jī)信息系統(tǒng)實施控制的功能的。

從上述《解釋》第2條的規(guī)定來看，其是對《刑法》第285條第三款確立的“提供侵入、非法控制計算機(jī)信息系統(tǒng)的程序、工具罪”的詳細(xì)解釋。在《解釋》中兩處提到了“未經(jīng)授權(quán)”與“超越授權(quán)”，即“未經(jīng)授權(quán)或者超越授權(quán)獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)的功能的”和“未經(jīng)授權(quán)或者超越授權(quán)對計算機(jī)信息系統(tǒng)實施控制的功能的”?！督忉尅返?條的目的在于給司法機(jī)關(guān)指明哪些屬于刑法關(guān)于計算機(jī)犯罪規(guī)定中禁止使用的程序、工具。但從該條的第一款和第二款規(guī)定的前半段內(nèi)容可知，這些程序、工具都具有“避開或者突破計算機(jī)信息系統(tǒng)安全保護(hù)措施”的功能。因此，當(dāng)行為人使用這些能夠避開或者突破計算機(jī)信息系統(tǒng)的安全保護(hù)措施的程序或工具而實施了侵入或非法地控制計算機(jī)信息系統(tǒng)的行為，就構(gòu)成《刑法》第285條或286條規(guī)定的非法入侵計算機(jī)信息系統(tǒng)罪或非法控制計算機(jī)信息系統(tǒng)罪。所謂“避開或者突破計算機(jī)信息系統(tǒng)安全保護(hù)措施”就是不按照計算機(jī)信息系統(tǒng)設(shè)定的安全保護(hù)措施的要求以正常的登錄方式實現(xiàn)訪問。一般而言，計算機(jī)信息系統(tǒng)被設(shè)置安全保護(hù)措施，如賬戶密碼等，是為了給予特定的被賦予了一定訪問權(quán)限的人使用，反之則禁止濫用。這完全表明設(shè)置安全保護(hù)措施的相關(guān)單位或個人對于使用者是否同意的態(tài)度，也即是否授權(quán)使用。行為人利用技術(shù)手段而通過使用一些程序或工具避開計算機(jī)信息系統(tǒng)中設(shè)定的安全保護(hù)措施而侵入或非法控制的行為，就是未經(jīng)授權(quán)或者超越授權(quán)訪問。刑法將提供這種可以入侵或非法控制計算機(jī)信息系統(tǒng)的程序或工具的行為規(guī)定為犯罪，并與實施侵入或非法控制計算機(jī)信息系統(tǒng)罪的行為處以相同的刑罰，是為了從源頭上防范這一類型的犯罪。至于兩高在《解釋》中為何選擇“未經(jīng)授權(quán)”與“超越授權(quán)”這一表述，并沒有說明理由，更是在整個《解釋》中沒有再進(jìn)一步地詳細(xì)的對何為“未經(jīng)授權(quán)”和“超越授權(quán)”作出定義。這使得這一解釋的結(jié)果存在著較大缺陷，至少是不能很好的對司法機(jī)關(guān)在適用這兩個術(shù)語時作出明確的指引。

(二)美國法院判解：立法定義外確認(rèn)“未經(jīng)授權(quán)”的三大標(biāo)準(zhǔn)

反觀美國聯(lián)邦司法實務(wù)部門，其得益于英美法系判例制度的優(yōu)勢，雖然對“超越授權(quán)”這一違法性構(gòu)成要件因立法已有明確定義而未作過多的解釋，但是在實踐中聯(lián)邦法院根據(jù)案件的具體情況對1030條中所規(guī)定的“未經(jīng)授權(quán)”進(jìn)行了充分全面的解釋并形成了對后面法院判案具有指導(dǎo)性意義的判解結(jié)論。綜合來看，自1984年美國國會制定并出臺《計算機(jī)欺詐與濫用法》以來，美國聯(lián)邦法院結(jié)合典型案例對是否屬于“未經(jīng)授權(quán)”的解釋主要發(fā)展出了三種判斷依據(jù)：第一種是根據(jù)程序編碼設(shè)定的權(quán)限為準(zhǔn)(簡稱：程序編碼設(shè)限)；第二種是以服務(wù)協(xié)議條款規(guī)定的權(quán)限為參考(簡稱：服務(wù)協(xié)議設(shè)限)；第三種是以代理人法的規(guī)定為依據(jù)(簡稱：代理人法則標(biāo)準(zhǔn))。

1.程序編碼設(shè)限標(biāo)準(zhǔn)

“程序編碼設(shè)定的權(quán)限”是指計算機(jī)系統(tǒng)的權(quán)利人為了防止非法的訪問等侵入行為會通過設(shè)置程序編碼的形式來實現(xiàn)和加強(qiáng)對計算機(jī)的保護(hù)。這種權(quán)限設(shè)置通過技術(shù)性手段把相關(guān)的安全程序安裝到計算機(jī)的硬件和軟件中。安全程序的主要功能就是以編制好的路徑方式或賬號密碼等來對每一個用戶的使用權(quán)作出限制，只有根據(jù)計算機(jī)的權(quán)利人所設(shè)定的訪問方式如輸入賬號密碼才能正常地實現(xiàn)對計算機(jī)的訪問和使用。這種以程序編碼方式對每一個用戶設(shè)定的表現(xiàn)為賬戶密碼等方式的做法就是為了排除那些隨意或故意去訪問他人計算機(jī)的行為(34)John R. Vacca, Computer and Information Security Handbook, Morgan Kaufmann, 128(2009).。1984年美國國會通過1030條的時候即確定本條最首要且基本的規(guī)制對象就是那些涉及到私密領(lǐng)域的計算機(jī)，之所以是私密領(lǐng)域是因為政府以及金融機(jī)構(gòu)等的計算機(jī)都以程序編碼設(shè)置了諸如賬號密碼之類的嚴(yán)格登錄要求，從而能夠保護(hù)其中的重要數(shù)據(jù)，不開放給社會大眾訪問(35)Patricia L. Bellia, Defending Cyberproperty, 79 New York University Law Review 2164, 2254(2004).。如果使用者不根據(jù)程序編碼所設(shè)定的訪問路徑，如按要求輸入有效賬號密碼等，而是以其他的技術(shù)性手段，如傳播病毒或以電子排碼方式不斷攻擊登錄界面直至猜測到有效賬號密碼獲得訪問等(36)Nicholas R. Johnson, “I Agree” to Criminal Liability: Lori Drew’s Prosecution under §1030(a)(2)(c) of the Computer Fraud and Abuse Act, and Why Every Internet User should Care, Journal of Law, Technology & Policy, 583(2009).，則會產(chǎn)生對訪問的授權(quán)是否有效的判斷。

關(guān)于以程序編碼所設(shè)定的權(quán)限為依據(jù)對計算機(jī)訪問行為的授權(quán)作出判決的最著名且影響深遠(yuǎn)的判例是美利堅訴莫里斯案(United States v. Morris)(37)基本案情：在康奈爾大學(xué)讀博的莫里斯設(shè)計了一個名為“蠕蟲”(worm)的程序，并把該“蠕蟲”發(fā)布到網(wǎng)絡(luò)中，目的為了證明當(dāng)時的計算機(jī)網(wǎng)絡(luò)安全措施不足以防范他所發(fā)現(xiàn)的漏洞，結(jié)果美國境內(nèi)大多數(shù)計算機(jī)都受到嚴(yán)重沖擊，不斷“死機(jī)”，運行癱瘓。案發(fā)后，莫里斯被控未經(jīng)授權(quán)訪問計算機(jī)犯罪。莫里斯辯稱其行為至多算“超越授權(quán)”，而不是“未經(jīng)授權(quán)”訪問計算機(jī)，同時還辯稱認(rèn)定“超越授權(quán)”訪問的證據(jù)也不足。法院判決認(rèn)為，被告人莫里斯在因特網(wǎng)中故意釋放蠕蟲病毒，造成教育機(jī)構(gòu)及軍事機(jī)關(guān)等單位的計算機(jī)癱瘓和功能損壞，給聯(lián)邦的計算機(jī)網(wǎng)絡(luò)造成嚴(yán)重危害，莫里斯“未經(jīng)授權(quán)”訪問計算機(jī)的行為觸犯了1030條(a)款(5)(A)項，判處莫里斯3年緩刑，400小時社區(qū)服務(wù)，罰金10050美元以及有關(guān)的監(jiān)督管理費。參見： United States v. Morris, 928 F. 2d 510(2d Cir. 1991).。在美利堅訴莫里斯案中，審判法院創(chuàng)設(shè)了關(guān)于判斷何時是未經(jīng)授權(quán)訪問的規(guī)則，即“預(yù)設(shè)功能”(intended function)檢驗標(biāo)準(zhǔn)。根據(jù)法院的判解，莫里斯的行為屬于未經(jīng)授權(quán)訪問是因為他利用了幾個程序的漏洞而沒有按照這些程序的預(yù)定功能方式去進(jìn)行訪問。正如法院所指出的那樣，莫里斯使用這些計算機(jī)程序“與它們的預(yù)設(shè)功能沒有任何關(guān)系”(38)United States v. Morris, 928 F. 2d 510(2d Cir. 1991).。這是因為他所使用的SENDMAIL程序是專門用來收發(fā)電子郵件的，而指示服務(wù)守護(hù)進(jìn)程(finger demon)程序是讓用戶向其他使用者詢問信息。但是莫里斯“既沒有發(fā)送或接收電子郵件，也沒有去搜尋其他計算機(jī)用戶的信息；取而代之的是他發(fā)現(xiàn)在這兩個應(yīng)用程序中存在安全漏洞，并把這些漏洞作為實現(xiàn)未經(jīng)授權(quán)訪問其他計算機(jī)的特殊路徑”(39)United States v. Morris, 928 F. 2d 510(2d Cir. 1991).。雖然第二巡回上訴法院沒有就“預(yù)設(shè)功能”標(biāo)準(zhǔn)展開詳盡的論說，但其主要是從計算機(jī)使用團(tuán)體中的一般行為規(guī)范中發(fā)展出來的。根據(jù)這些規(guī)范，計算機(jī)軟件的制作者設(shè)計出的程序都是為了運行既定的功能，計算機(jī)網(wǎng)絡(luò)提供者提供并許可用戶使用這些程序的功能。提供者一般都會無保留地授權(quán)用戶在計算機(jī)上使用這些程序的預(yù)定功能，但并沒有授權(quán)用戶去發(fā)現(xiàn)并利用程序中的漏洞而運行其非預(yù)設(shè)的功能(40)Pekka Himanen, The Hacker Ethic: and the Spirit of the Information Age, Random House, 121(2001).。因此，當(dāng)計算機(jī)的使用者利用程序漏洞并以此非預(yù)定的方式去訪問計算機(jī)就形成“未經(jīng)授權(quán)”(41)Orin S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statute, 78 New York University Law Review, 1632, (2003).。

2.服務(wù)協(xié)議設(shè)限標(biāo)準(zhǔn)

“服務(wù)協(xié)議條款規(guī)定的權(quán)限”是指用“服務(wù)協(xié)議條款”來對計算機(jī)網(wǎng)絡(luò)中的訪問行為進(jìn)行限制或做出相關(guān)要求。凡是使用過計算機(jī)的人在訪問網(wǎng)站或者下載傳播某些文檔資料時都會經(jīng)常遇見其中設(shè)定或彈出的對話框，要求使用者必須閱讀有關(guān)的服務(wù)協(xié)議條款，在選擇“同意”或“已經(jīng)閱讀并知道訪問的權(quán)利與義務(wù)”等這一類的條目之后，才能繼續(xù)進(jìn)行接下去的訪問行為。在訪問行為被認(rèn)定為是未經(jīng)授權(quán)之前，需要確定行為人違反了計算機(jī)網(wǎng)絡(luò)服務(wù)協(xié)議的規(guī)定(42)Orin S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statute, 78 New York University Law Review, 1637, (2003).。這就意味著那些存在于計算機(jī)網(wǎng)絡(luò)中的明確的或者含糊的服務(wù)協(xié)議條款對于使用者的訪問行為的授權(quán)與否具有決定作用。這種情形下的解釋所發(fā)生的案例通常涉及到網(wǎng)絡(luò)服務(wù)商或者網(wǎng)站提供者，他們與用戶之間存在著協(xié)議或者服務(wù)條款，也包括那些雇員與原單位之間的案件，因為他們之間訂有雇用合同或者員工手冊。在涉及雇用關(guān)系的案件中，這些合同從保密協(xié)定到員工手冊等呈現(xiàn)出多樣形式，在計算機(jī)非法訪問案件中法院只是從中考察所需要的能夠表明未經(jīng)授權(quán)的部分(43)Katherine Mesenbring Field, Agency, Code, or Contract: Determining Employee’s Authorization Under the Computer Fraud and Abuse Act, 107 Michigan Law Review, 827(2009).。服務(wù)協(xié)議和程序編碼設(shè)限具有重要的區(qū)別。用現(xiàn)實世界中的情況來作一個比喻的話，計算機(jī)訪問行為中的程序編碼設(shè)限和服務(wù)協(xié)議設(shè)限的區(qū)別就像是使用上鎖的緊閉的門將陌生人拒在外面和在前門入口處貼一張告知“閑人免進(jìn)”(44)Orin S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statute, 78 New York University Law Review, 1646, (2003).。至于行為人在計算機(jī)訪問行為中違反了上述的服務(wù)協(xié)議條款，是否可以作為認(rèn)定1030條中規(guī)定的“未經(jīng)授權(quán)”的依據(jù)，進(jìn)而認(rèn)定為刑事犯罪，在美利堅訴洛莉·德魯案(United States v. Lori Drew)(45)基本案情：13歲少女梅根·美爾與洛莉·德魯?shù)呐畠菏蔷W(wǎng)友，兩人關(guān)系一度火熱，后來雙方逐漸交惡斷絕來往。2006年9月，梅根在大型社交網(wǎng)站聚友網(wǎng)(MySpace)實名注冊了自己的賬戶，不久便收到一個名叫喬?！ぐＮ乃沟慕挥颜埱蟆滔！ぐＮ乃乖诰塾丫W(wǎng)中的形象是一名16歲的帥氣男孩，少女梅根很快與他在網(wǎng)上密切交往，且對之非常傾慕。但這個網(wǎng)友“帥哥”是洛莉·德魯虛構(gòu)的，她為試探梅根是否對她的女兒說了一些惡毒謠言，便下載了一張男孩照片，她沒有遵守聚友網(wǎng)關(guān)于使用真名和照片的規(guī)定，而使用假名“喬?！ぐＮ乃埂痹诰塾丫W(wǎng)中注冊。梅根與網(wǎng)友“帥哥”在網(wǎng)上密切交往了20多天后，“喬?！蓖蝗粚λ龕赫Z中傷，同時還鼓動在線其他好友對梅根進(jìn)行謾罵攻擊，遭受惡劣欺辱的梅根倍感絕望繼而在家中臥室上吊自殺身亡。 參見：United States v. Drew, 259 F.R.D. at 449 (C.D California, 2009).中有明確的體現(xiàn)。

在美利堅訴洛莉·德魯一案中，美國聯(lián)邦法院認(rèn)為網(wǎng)站的服務(wù)協(xié)議條款可以用來設(shè)立訪問的授權(quán)及其范圍，但不能以違反服務(wù)協(xié)議條款為由來認(rèn)為其違犯了計算機(jī)網(wǎng)絡(luò)犯罪法中規(guī)定的未經(jīng)授權(quán)或超越授權(quán)，因為網(wǎng)站服務(wù)協(xié)議條款屬于一種合同，違反這種合同應(yīng)該屬于民事訴訟的范疇，而不能作為刑事案件來追訴。網(wǎng)站的服務(wù)協(xié)議條款在確立何為“授權(quán)”或“超越授權(quán)”的基礎(chǔ)上，還可以相應(yīng)地用來決定某人訪問該網(wǎng)站信息或服務(wù)的行為是否構(gòu)成犯罪的話，那么1030條中的相關(guān)規(guī)定就存在著不可接受的模糊性。因為其沒有明確的規(guī)定究竟是違反任何一個還是所有的亦或某一些服務(wù)協(xié)議條款就構(gòu)成未經(jīng)授權(quán)訪問。如果規(guī)定違反任何服務(wù)協(xié)議條款就可以構(gòu)成未經(jīng)授權(quán)訪問，那么法條不明確的問題就可能得到解決；但這反而又使得法條變得極為寬泛并導(dǎo)致其違反了明確性原則中所要求的為刑法適用提供恰當(dāng)?shù)闹敢?。將違反服務(wù)協(xié)議條款作為構(gòu)成1030條相關(guān)犯罪的基礎(chǔ)，就等于是讓網(wǎng)站的所有者最終成為犯罪行為的定義者。這將導(dǎo)致更嚴(yán)重的模糊性問題，有些網(wǎng)站的服務(wù)協(xié)議條款本身表述就非常不清晰，使得訪問者很難合理的確定這些條款的內(nèi)涵，有些網(wǎng)站所規(guī)定的服務(wù)協(xié)議條款范圍及適用是其所有者根據(jù)自己的特定目的或喜好所制定，完全沒有標(biāo)準(zhǔn)(46)United States v. Drew, 259 F.R.D. at 465 (C.D California, 2009).。法院以憲法上的明確性原則來判定以“違反服務(wù)協(xié)議條款”為據(jù)來解釋刑法的不恰當(dāng)性，最終撤銷了對洛莉違犯1030條的指控。雖然本案是一審，由加利福利亞州中心區(qū)聯(lián)邦地方法院判決，但是其作出的判解理由非常正確有力，強(qiáng)調(diào)了刑法解釋的嚴(yán)謹(jǐn)性和合憲性，秉承了刑法在法益保護(hù)和人權(quán)保障方面所必須遵循的基本原則。因而使得洛莉在一審之后由于控方未提起上訴即生效成為終審判決。由這一判決所形成的一個基本結(jié)論是：諸如服務(wù)協(xié)議條款這樣的合同內(nèi)容可以用來判斷訪問是否獲得授權(quán)，但不能將其作為認(rèn)定構(gòu)成刑事犯罪的依據(jù)。

3.代理人法則標(biāo)準(zhǔn)

“以代理人法則作出判斷”是指以代理中的相關(guān)理念來判斷計算機(jī)訪問行為的授權(quán)與否是基于普通法上的代理人規(guī)則來作出的，并且適用這一法則來判斷的案件主要涉及雇員對雇主的計算機(jī)訪問行為是否屬于未經(jīng)授權(quán)或者超越授權(quán)。根據(jù)代理人規(guī)則，雇員與雇主之間存在著的代理關(guān)系確立了兩者之間的特殊義務(wù)與責(zé)任，其并不以其他合同的方式呈現(xiàn)和執(zhí)行。在代理中很重要的是雇員對于雇主具有忠實的義務(wù)，這一義務(wù)要求他的行為必須有利于雇主或者所在的企業(yè)。當(dāng)雇員所獲取的利益有悖于雇主時——例如雇員開始為雇主的競爭對手工作，那他代表雇主從事的授權(quán)性行為即終止(47)William A. Gregory, The Law of Agency and Partnership, 3rd ed. West Group, 11-15(2001).。根據(jù)這種理念，把代理人規(guī)則引用到1030條規(guī)定中授權(quán)訪問行為的認(rèn)定這一問題上，就表現(xiàn)為當(dāng)一名雇員使用雇主的計算機(jī)進(jìn)行訪問但并不是為了雇主利益時，即意味著他已不再是進(jìn)行授權(quán)的訪問行為。美國的一些法院在審理雇員使用雇主的計算機(jī)進(jìn)行訪問所產(chǎn)生的涉及1030條中授權(quán)的認(rèn)定時采納了代理人規(guī)則。因為這些案件大多表現(xiàn)為雇員通過訪問其工作單位的計算機(jī)復(fù)制、修改或者刪除這些計算機(jī)中的數(shù)據(jù)信息，然后辭職去與原單位有競爭關(guān)系的企業(yè)工作或者自己經(jīng)營與原單位有競爭性的公司。在這種情況下，雇員所在的原單位或雇主即以違反代理人規(guī)則為由，并根據(jù)1030條的規(guī)定向法院提起控訴。華盛頓州西區(qū)聯(lián)邦地方法院所審理的賽佳德倉儲中心公司訴賽福佳德自存?zhèn)}儲公司案(48)基本案情：賽佳德倉儲中心公司是美國一家大型倉儲企業(yè)，屬于倉儲行業(yè)的領(lǐng)頭羊，其在美國和歐洲都占據(jù)著絕對份額的市場。賽福佳德自存?zhèn)}儲公司是賽佳德倉儲中心公司的直接競爭對手，其主要在美國境內(nèi)和國外開展經(jīng)營自存式倉儲服務(wù)。賽福佳德自存?zhèn)}儲公司以高薪報酬買通了賽佳德倉儲中心公司的一個地方部門經(jīng)理埃里克·利蘭及其他幾個員工，讓他們?yōu)槠涔ぷ?。埃里克·利蘭在原公司中屬于管理層，其對原公司計算機(jī)系統(tǒng)中的機(jī)密商業(yè)計劃、市場拓展規(guī)劃以及其他的商業(yè)秘密等數(shù)據(jù)信息有全部訪問權(quán)限。埃里克·利蘭等利用在原公司工作的職務(wù)之便，不斷地將原公司計算機(jī)中的各類商業(yè)秘密以及專有信息通過電子郵件發(fā)給賽福佳德自存?zhèn)}儲公司。案發(fā)后，賽佳德倉儲中心公司向華盛頓州西區(qū)聯(lián)邦地方法院提起訴訟，認(rèn)為埃里克·利蘭故意未經(jīng)授權(quán)訪問該公司的計算機(jī)或超越授權(quán)訪問該公司計算機(jī)并從中獲取信息，這一行為違反了聯(lián)邦計算機(jī)犯罪法中的非法訪問規(guī)定。參見Shurgard Storage Centers, Inc. v. Safeguard Self Storage, Inc. 119 F. Supp. 2d 1121, 1125(W.D. Wash. 2000).(Shurgard Storage Centers, Inc. v. Safeguard Self Storage, Inc.)是美國第一件也是影響深遠(yuǎn)的適用代理人法則判決的案例(49)Garrett D. Urban, Causing Damage without Authorization: the Limitations of Current Judicial Interpretations of Employee Authorization under the Computer Fraud and Abuse Act, 52 William and Mary Law Review 1369, 1377(2011).。

在“賽佳德倉儲中心公司訴賽福佳德自存?zhèn)}儲公司案”中，判斷計算機(jī)訪問是否授權(quán)所依據(jù)的代理人法則在解釋上沒有太多的限制。根據(jù)法院的判解，只要雇員使用雇主計算機(jī)的行為與雇主的利益不一致時，就可以認(rèn)為該雇員已經(jīng)不是雇主的忠實代理人，因而他對雇主計算機(jī)的訪問就是未經(jīng)授權(quán)。其中決定訪問行為的授權(quán)與否的關(guān)鍵因素是雇員的動機(jī)，如果動機(jī)不純就按照代理人法則認(rèn)定不再具有授權(quán)的資格。因此，在賽佳德案中，華盛頓州西區(qū)聯(lián)邦地方法院對“未經(jīng)授權(quán)”采取了廣義解釋(50)Graham M. Liccardi, The Computer Fraud and Abuse Act: a Vehicle for Litigating Trade Secrets in Federal Court, 8 The John Marshall Review of Intellectual Property Law, 164(2008).。由于本案是使用代理人法則來解釋計算機(jī)訪問未經(jīng)授權(quán)的第一個案例，因此其也開創(chuàng)了對“未經(jīng)授權(quán)”進(jìn)行廣義解釋的先河。雖然賽佳德倉儲中心公司訴賽福佳德自存?zhèn)}儲公司是以1030條為依據(jù)提起的民事訴訟，但其中關(guān)于對計算機(jī)訪問授權(quán)的認(rèn)定也對后來的刑事案件在此問題上的判解產(chǎn)生了影響。前述的美利堅訴洛莉·德魯案中控方關(guān)于以違反網(wǎng)站服務(wù)協(xié)議條款來認(rèn)定訪問的未經(jīng)授權(quán)判解就是從中受到的啟示。

美國聯(lián)邦司法實務(wù)部門關(guān)于計算機(jī)訪問授權(quán)與否的判斷從與計算機(jī)本體緊密相關(guān)的情況入手，解釋依據(jù)主要為程序編碼設(shè)限和網(wǎng)站服務(wù)協(xié)議條款，也就是說計算機(jī)的所有者或者類似的權(quán)利人可以通過設(shè)置程序編碼或使用者服務(wù)協(xié)議條款來限制和規(guī)范他人對其計算機(jī)的訪問范圍與訪問方式。相應(yīng)地，計算機(jī)的使用者會因為規(guī)避設(shè)定的程序編碼或者違反服務(wù)協(xié)議條款而被認(rèn)為是無授權(quán)的訪問行為，從而涉及到濫用計算機(jī)并以1030條作為依據(jù)展開問責(zé)。以程序編碼限定訪問行為的做法就是計算機(jī)的權(quán)利人通過在軟件程序中設(shè)置登錄密碼等從而限制使用者特定的計算機(jī)訪問權(quán)限(51)Lawrence Lessing, Code and other Laws of Cyberspace, Basic Books, 68-70(2006).。行為人規(guī)避程序編碼的方式主要有兩種：一是假以他人身份登錄，如未經(jīng)同意使用他人密碼或猜測出密碼；二是從程序編碼中找出缺陷，然后利用制作的程序攻入漏洞實現(xiàn)訪問(52)Bruce Schneier, Secrets and Leis: Digital Security in a Networked World, Wiley, 175(2004).。前述判例中莫里斯為了顯示其才華而突破被他發(fā)現(xiàn)的計算機(jī)程序缺陷釋放蠕蟲病毒的行為即是如此。

使用者服務(wù)協(xié)議條款則是計算機(jī)的權(quán)利人通過制定相關(guān)使用合同來明確規(guī)定使用者的權(quán)利與義務(wù)。如果訪問行為人與權(quán)利人先前存在合作關(guān)系，則合同表現(xiàn)為服務(wù)協(xié)議條款(Terms of Service)，如果不存在即以使用協(xié)議條款(Terms of Use)的方式表現(xiàn)(53)Orin S. Kerr, Cybercrime’s Scope: Interpreting “Access” and “Authorization” in Computer Misuse Statute, 78 New York University Law Review, 1645, (2003)。但不管哪種行為方式，都是訪問者沒有按照其協(xié)議條款的具體規(guī)定來行使訪問行為，如上述案件中洛莉以虛假的身份信息注冊賬戶的行為即屬于此種情況。除了程序編碼設(shè)限與使用服務(wù)協(xié)議條款作為判斷依據(jù)外，代理人法則成為在不屬于上述兩種判斷依據(jù)下的替代性選擇且主要適用于民事賠償(54)1030條在規(guī)定刑事處罰的同時，也規(guī)定了受害人可以提起民事賠償。但1030條中的民事救濟(jì)條款不是類似于中國刑事附帶民事訴訟的規(guī)定，根據(jù)該法即使被害人提起了民事賠償?shù)确矫娴脑V訟，如果計算機(jī)網(wǎng)絡(luò)犯罪行為仍有值得刑事處罰的必要，則依然可以由司法機(jī)關(guān)提起刑事控訴與審判。根據(jù)1030條的規(guī)定，任何人因他人違反1030條而遭受到損害或者損失的，可以對違法者提起民事訴訟并獲得損害賠償或者停止侵害的禁止令以及其他相等同的民事救濟(jì)；但提起民事訴訟須符合下列五種情況之一：1.一年之內(nèi)給一人(包括法人)以上造成的損害累計5千美元以上；2.修改或破壞(或潛在的修改與破壞)與醫(yī)療檢查、診斷、治療或一人以上的護(hù)理的數(shù)據(jù)信息；3.造成人身傷害；4.對公共衛(wèi)生或安全造成威脅；5.對使用于國防、國家安全或司法行政部門的計算機(jī)網(wǎng)絡(luò)造成損害。參見：18 U.S.C. § 1030(a)(5)(B) (2006).，使其主要用來解決雇員對雇主計算機(jī)訪問的情形。

在“未經(jīng)授權(quán)”的解釋判斷取用標(biāo)準(zhǔn)上，美國聯(lián)邦法院判例的普遍選擇“程序編碼設(shè)限”來作為刑事案件中授權(quán)判斷的依據(jù)。雖然有控方以“服務(wù)協(xié)議條款”作為參考來判斷存在“未經(jīng)授權(quán)”的情況，但是經(jīng)過洛莉案的判決之后，沒有一個被告人因違反網(wǎng)站的服務(wù)協(xié)議條款而被當(dāng)作1030條(a)(2)款規(guī)定的犯罪來處理(55)D. Money Laundering, Rule of Lenity, 112 Harvard Law Review, 475, n64 (November 2008).?！按砣朔▌t”的判斷依據(jù)由于其解釋的寬泛性在刑事案件中也為聯(lián)邦法院所不采。美國聯(lián)邦法院在刑事案件中以程序編碼設(shè)限作為判斷計算機(jī)網(wǎng)絡(luò)訪問的未經(jīng)授權(quán)，其最大優(yōu)益之處是能很好地控制1030條的適用面，可以將那些“情節(jié)顯著輕微危害不大的”計算機(jī)網(wǎng)絡(luò)使用行為排除在刑法規(guī)制的范圍之外(56)Warren Thomas, Lenity on Me: LVRC Holdings LLC v. Brekka Points the Way toward Defining Authorization and Solving the Split over the Computer Fraud and Abuse Act, 27 Georgia State University Law Review, 385(2011).。這是因為1030條在規(guī)制計算機(jī)犯罪中存在著既要實現(xiàn)對法益的有效保護(hù)又要體現(xiàn)對人權(quán)的有力保障，具體表現(xiàn)為：一方面要保證廣大的計算機(jī)用戶盡可能的在網(wǎng)絡(luò)世界中暢享自由，另一方面又要保護(hù)計算機(jī)的數(shù)據(jù)信息安全及其使用者的隱私。打擊計算機(jī)網(wǎng)絡(luò)犯罪行為可以有效的保護(hù)信息安全與隱私，但過分的刑法適用就會侵害計算機(jī)用戶的個人自由。因此，這種相互牽扯而體現(xiàn)的潛在張力要求必須對犯罪的構(gòu)成要件予以恰當(dāng)?shù)睦宥?，反映?030條上就是“未經(jīng)授權(quán)”的確立要符合刑法規(guī)制的要求。在關(guān)于計算機(jī)網(wǎng)絡(luò)訪問中“未經(jīng)授權(quán)”的判斷上，美國聯(lián)邦法院通過判決明確地表明在刑事案件中只能適用程序編碼設(shè)限作為判斷的依據(jù)，這些判例成為新的規(guī)則，對后來發(fā)生的案件發(fā)生著重要的指引作用。

(三)中國法院判決檢視：“未經(jīng)授權(quán)”與“超越授權(quán)”判詞乏力

1.判決文書縱覽

通過登錄“中國裁判文書網(wǎng)”，搜索與計算機(jī)網(wǎng)絡(luò)犯罪有關(guān)案件的法院判決，并且為了盡可能達(dá)到全搜索，在“刑事案件”項下分別輸入三組關(guān)鍵詞：“未經(jīng)授權(quán)”“超越授權(quán)”“計算機(jī)信息系統(tǒng)”(20條)；“未經(jīng)授權(quán)”“計算機(jī)信息系統(tǒng)”(65)和“超越授權(quán)”“計算機(jī)信息系統(tǒng)”(22條)。檢索范圍為自2011年《解釋》明確規(guī)定“未經(jīng)授權(quán)”和“超越授權(quán)”以來的全部載網(wǎng)判決，去除重復(fù)檢索結(jié)果后，一共檢索到有關(guān)案件判決文書65份(57)詳細(xì)參見“中國裁判文書網(wǎng)”：http://wenshu.court.gov.cn.。其中，載網(wǎng)判決文書的最早生成時間為2013年1月20日，最新載入時間為2018年12月13日；基層人民法院判決書53份，中級人民法院判決書11份，高級人民法院駁回申訴書1份。在65份判決書中，同時出現(xiàn)“未經(jīng)授權(quán)”和“超越授權(quán)”表述的有15份；單獨出現(xiàn)“未經(jīng)授權(quán)”表述的有50份，“超越授權(quán)”單一表述的判決僅檢索到1份(58)該文書為遼寧省高級人民法院于2018年5月30日作出的何明東駁回通知書。參見“中國裁判文書網(wǎng)”：http://wenshu.court.gov.cn. 案件名稱：何明東駁回通知書，2019年4月28日最后訪問。。經(jīng)過細(xì)致梳理分析65份判決文書，關(guān)于“未經(jīng)授權(quán)”和“超越授權(quán)”在判詞中的存在形式主要有兩種：一種是在判決主文中載明；一種是在判決主文之后的附件中以“相關(guān)法律條文”的形式出現(xiàn)。

(1)判決正文中的“未經(jīng)授權(quán)”與“超越授權(quán)”

根據(jù)判決文書正文中“未經(jīng)授權(quán)”和“超越授權(quán)”的使用情況和法官對這兩個用語的說理闡釋程度進(jìn)行判斷，本文將其分為“直引用法”和“解釋用法”兩類?！爸币梅ā?，顧名思義就是直接將《解釋》中規(guī)定的“未經(jīng)授權(quán)”或“超越授權(quán)”引用到判決文本中相應(yīng)需要處，而不進(jìn)行任何解釋與說明。簡而言之，就是機(jī)械式的簡單照搬照抄。這種“直引用法”又分“原句直用”和“原句轉(zhuǎn)用”。“原句直用”就是將《解釋》中規(guī)定的“未經(jīng)授權(quán)或者超越授權(quán)獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)的功能的”直接原句植入判決書中。例如，2016年9月30日由廣西壯族自治區(qū)某市中級人民法院作出終審裁定的陳某等犯“侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具罪”和“提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具罪”一案中，法院判決文書中唯一一處使用“未經(jīng)授權(quán)”和“超越授權(quán)”的表述為：“經(jīng)查，公安機(jī)關(guān)在陳某在場及見證人見證的情況下對陳某銷售的木馬程序的源代碼進(jìn)行偵查實驗，證實該木馬程序的源代碼具有盜取QQ號和密碼的功能，即具有避開或者突破計算機(jī)信息系統(tǒng)安全保護(hù)措施，未經(jīng)授權(quán)或者超越授權(quán)獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)的功能”(59)詳細(xì)參見“中國裁判文書網(wǎng)”：http://wenshu.court.gov.cn，案件名稱：陳軍輝、羅顯冠提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具二審刑事裁定書，2019年5月1日最后訪問。。原句被直接引用后，沒有展開論證，而是作為結(jié)尾來使用。

“原句轉(zhuǎn)用”是將《解釋》中規(guī)定的“未經(jīng)授權(quán)或者超越授權(quán)獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)的功能的”或“未經(jīng)授權(quán)或者超越授權(quán)對計算機(jī)信息系統(tǒng)實施控制的功能的”兩句話中的“未經(jīng)授權(quán)”或“超越授權(quán)”兩個詞組提取出來轉(zhuǎn)換后使用于判決書中。例如，由北京市第一中級人民法院在2018年5月9日作出的二審維持原判的終審裁定中，對“未經(jīng)授權(quán)”和“超越授權(quán)”的表述為：“提供侵入、非法控制計算機(jī)信息系統(tǒng)的程序、工具罪的客觀表現(xiàn)是提供專門用于侵入、非法控制計算機(jī)信息系統(tǒng)的程序、工具，且情節(jié)嚴(yán)重的行為，其本身應(yīng)具有獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)、控制計算機(jī)信息系統(tǒng)的功能，具有避開或者突破計算機(jī)信息系統(tǒng)安全保護(hù)措施的功能，其獲取數(shù)據(jù)和控制功能在設(shè)計上即能在未經(jīng)授權(quán)或者超越授權(quán)的狀態(tài)下得以實現(xiàn)”(60)詳細(xì)參見“中國裁判文書網(wǎng)”：http://wenshu.court.gov.cn，案件名稱：龐銀平等提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具二審刑事裁定書，2019年5月2日最后訪問。。經(jīng)統(tǒng)計，在檢索搜集到的65份判決文書中，類似于上述廣西法院的“直引用法”的判決一共有62份，占95.3%。在這類判決中，“未經(jīng)授權(quán)”和“超越授權(quán)”的適用更多是從漢語字面意義上來表述，而非法律語義特別是未結(jié)合計算機(jī)網(wǎng)絡(luò)技術(shù)特征來進(jìn)行專門使用。

“解釋用法”就是在引用《解釋》關(guān)于“未經(jīng)授權(quán)”和“超越授權(quán)”的規(guī)定后，結(jié)合計算機(jī)網(wǎng)絡(luò)犯罪案件的具體情況，同時根據(jù)計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展特點和最新類型，在判決中對什么是“未經(jīng)授權(quán)”或“超越授權(quán)”作出一定的法理解釋。法官重點圍繞行為人的相關(guān)訪問行為或者是使用的相關(guān)技術(shù)措施(即訪問軟件、程序等)是否獲得“授權(quán)”進(jìn)行法律層面和技術(shù)層面的初步解讀和闡述，使“未經(jīng)授權(quán)”或“超越授權(quán)”的判斷具有相當(dāng)?shù)囊罁?jù)，同時也對其語義內(nèi)涵予以了一定的展開，作出了豐富其定義的努力。這一點不但體現(xiàn)了司法實務(wù)中的法官的務(wù)實擔(dān)當(dāng)精神，更在學(xué)理和法理上具有探索建構(gòu)中國刑事法語境下計算機(jī)網(wǎng)絡(luò)犯罪“未經(jīng)授權(quán)”和“超越授權(quán)”違法性判斷標(biāo)準(zhǔn)的開創(chuàng)性價值意義，非常值得肯定。不過值得注意的是，從搜集到的65份判決文書中進(jìn)行甄別統(tǒng)計，使用“解釋用法”的這類判決只有3份，占比僅為4.7%，反映出當(dāng)前在我國司法實務(wù)部門中對這一問題的探索力度還不夠深入，面也不夠廣。下文以浙江省紹興市中級人民法院判決為例，對“解釋用法”的運行情況進(jìn)行具體分析。

(2)判決文書附件中的“未經(jīng)授權(quán)”與“超越授權(quán)”

在檢索到的判決文書中，部分判決文書雖然是涉及計算機(jī)網(wǎng)絡(luò)犯罪的案件，但在判決文書正文中并沒有出現(xiàn)“未經(jīng)授權(quán)”或“超越授權(quán)”，也無相關(guān)的解讀和說明，而是在判決正文后附上的“相關(guān)法律條文”中，詳細(xì)列舉出《解釋》中關(guān)于“未經(jīng)授權(quán)”和“超越授權(quán)”的具體條文。例如，2017年4月27日上海市徐匯區(qū)人民法院在蘇某犯非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪，葉某犯提供侵入、非法控制計算機(jī)信息系統(tǒng)的程序、工具罪的一審判決中，針對蘇某和葉某實施的行為為何構(gòu)成判決之罪不但未作深入的法理性論述，也沒有直接引用《解釋》中的“未經(jīng)授權(quán)”和“超越授權(quán)”，而是以事實性闡述甚至是同義反復(fù)簡要說明倆被告人的行為構(gòu)成犯罪：“本院認(rèn)為，蘇某違反國家規(guī)定，采用技術(shù)手段獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)，情節(jié)特別嚴(yán)重，其行為已構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪，應(yīng)予處罰。被告人葉某向他人提供專門用于侵入、非法控制計算機(jī)信息系統(tǒng)的程序、工具，情節(jié)嚴(yán)重，其行為已構(gòu)成提供侵入、非法控制計算機(jī)信息系統(tǒng)的程序、工具罪，應(yīng)予處罰”(61)詳細(xì)參見“中國裁判文書網(wǎng)”：http://wenshu.court.gov.cn，案件名稱：陳軍輝、羅顯冠提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具二審刑事裁定書，2019年4月29日最后訪問。。在檢索到的65份判決文書中，以附件形式列舉《解釋》規(guī)定的“未經(jīng)授權(quán)”和“超越授權(quán)”規(guī)定的這類判決占10份，占比為15.3%。從這類判決文書的存在樣態(tài)來看，大體可以解讀出的意思可能有兩層：一是承辦法官覺得案情簡單，不需要引用“未經(jīng)授權(quán)”或“超越授權(quán)”這樣比較專業(yè)的規(guī)定用語，就如前述上海法院的案例；二是法官在判案過程中對《解釋》關(guān)于“未經(jīng)授權(quán)”和“超越授權(quán)”的規(guī)定理解和把握不準(zhǔn)，索性就干脆不直接引用，也不作說明，而是在正文后附上有關(guān)法律規(guī)定，由當(dāng)事人結(jié)合案例自己進(jìn)行解讀。

2.具體案例解析：張大云等犯提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具罪

(1)基本案情(62)本案涉及的罪行較多，但與本文相關(guān)主要罪行是提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具罪，因為都屬于多人違犯同一種罪的串案，且構(gòu)成同種罪的行為方式相同，限于篇幅本文從裁判文書中只提取一個犯罪行為予以分析闡述。該文書為浙江省紹興市中級人民法院于2017年3月3日(2017)浙06刑終43 號刑事裁定書，“中國裁判文書網(wǎng)”：http://wenshu.court.gov.cn. 案件名稱：王貴興、張大云侵犯公民個人信息二審刑事裁定書，2019年4月29日最后訪問。

2014年11月開始，被告人張大云伙同非同案共犯楊某根據(jù)非同案共犯馬某提供的用戶需求，開發(fā)制作了“林某1”“凌某”系列軟件，并由馬某銷售給他人用于批量獲取淘寶、支付寶系統(tǒng)中的數(shù)據(jù)信息。被告人葉星明知上述系列軟件的功能和用途，仍于2015年3月開始受雇于被告人張大云等人，并從事系列軟件的開發(fā)、維護(hù)工作。經(jīng)查，通過運行“林某1”“凌某”系列軟件，能夠規(guī)避多重限制條件，批量獲取淘寶、支付寶系統(tǒng)中的數(shù)據(jù)信息。被告人張大云等人通過銷售“林某1”“凌某”系列軟件獲利人民幣234萬余元，被告人張大云分得其中的25%。被告人張大云與非同案共犯楊某共同承擔(dān)了被告人葉星的工資收入人民幣4萬余元。2015年9月27日，被告人張大云被公安民警抓獲歸案。后在被告人張大云的協(xié)助下，公安民警于同日將被告人葉星抓獲歸案。紹興市越城區(qū)人民法院于2016年12月24日作出(2016)浙0602刑初1145號刑事判決，被告人張大云犯提供侵入計算機(jī)信息系統(tǒng)程序罪，判處有期徒刑四年六個月，并處罰金人民幣五萬元；被告人葉星犯提供侵入計算機(jī)信息系統(tǒng)程序罪，判處有期徒刑二年六個月，并處罰金人民幣三萬元。

張大云、葉星等不服提出上訴。張大云上訴提出：“林某1”軟件功能僅限于在瀏覽器中正常操作能完成的功能，軟件僅將固有功能簡化，目的在于提高效率，未進(jìn)入計算機(jī)后臺竊取數(shù)據(jù)，不具有突破淘寶安全防護(hù)系統(tǒng)的功能；“林某1”軟件使用的數(shù)據(jù)是經(jīng)用戶授權(quán)的，原判認(rèn)定未經(jīng)授權(quán)錯誤；其辯護(hù)人提出：原判認(rèn)定“林某1”系列軟件具有避開或突破計算機(jī)系統(tǒng)安全保護(hù)措施的功能錯誤；僅對“林某1”系列軟件中的一款作了鑒定，且未指出能突破淘寶安全防護(hù)系統(tǒng)的功能或行為以及未得到授權(quán)的數(shù)據(jù)；自動更換IP作用是提升網(wǎng)站服務(wù)器的速度，不能使數(shù)據(jù)不安全；無證據(jù)證明人機(jī)識別、IP登陸數(shù)量、數(shù)字驗證、圖片驗證等措施屬安全防護(hù)系統(tǒng)；軟件模擬正常操作過程，無規(guī)避措施，不能威脅數(shù)據(jù)安全；“林某1”軟件無侵入、非法控制計算機(jī)系統(tǒng)的功能，不能獲取計算機(jī)系統(tǒng)中的數(shù)據(jù)，不是專門用于侵入、非法控制計算機(jī)系統(tǒng)的程序、工具；軟件不能避免用戶使用非法賬戶信息，輸入正確的賬戶及密碼即應(yīng)認(rèn)定為得到了用戶授權(quán)。葉星上訴提出：原判認(rèn)定“林某1”系列軟件可規(guī)避安全防護(hù)系統(tǒng)，直接威脅數(shù)據(jù)安全錯誤，偵查機(jī)關(guān)僅就第一款軟件“凌某”出品(015)淘寶掃號器全自動版的軟件源代碼進(jìn)行鑒定，且鑒定報告亦未明確該軟件能突破淘寶安全防護(hù)系統(tǒng)；“林某1”工作室的信息均有用戶授權(quán)，賬號密碼均為用戶導(dǎo)入，用戶購買的用途是否合法其不知情；其辯護(hù)人認(rèn)為：“林某1”“凌某”軟件不具有突破安全防護(hù)系統(tǒng)的功能，突破淘寶公司人機(jī)識別、IP登錄限量、數(shù)字、圖片驗證等操作規(guī)則，不等于突破計算機(jī)安全防護(hù)系統(tǒng)，僅是簡便操作；“林某1”“凌某”系列軟件中的數(shù)據(jù)是經(jīng)過用戶授權(quán)的，賬號密碼均為用戶輸入，他人非法獲取數(shù)據(jù)的責(zé)任不應(yīng)由葉星承擔(dān)。

紹興市中級人民法院對張大云、葉星及其各自辯護(hù)人的上訴理由及辯護(hù)意見，進(jìn)行了如下評析：淘寶有限公司安全部門職員證人金某證實人機(jī)識別系統(tǒng)是阿某反作弊關(guān)鍵系統(tǒng)，該系統(tǒng)為淘寶、支付寶等30多個應(yīng)用提供安全防護(hù)服務(wù)，安全防護(hù)的目的就是防止機(jī)器批量操作盜取賬號。而“林某1”系列軟件可以繞過該識別系統(tǒng)，實現(xiàn)批量操作；張大云作為該軟件的研發(fā)人員，對該軟件如何突破防護(hù)有詳細(xì)而穩(wěn)定的供述；“林某1”系列軟件在實際使用中確用于非法用途。淘寶、支付寶等應(yīng)用的安全防護(hù)措施的目的就在于防止批量操作，而“林某1”系列軟件突破了該項防護(hù)，實現(xiàn)批量操作的目的，故應(yīng)認(rèn)定為具有避開或突破計算機(jī)系統(tǒng)安全防護(hù)措施的功能。張大云及其辯護(hù)人提出該軟件模擬正常操作，僅可提高效率不應(yīng)認(rèn)定為具有避開或突破計算機(jī)系統(tǒng)安全防護(hù)措施的功能的上訴意見不成立。對于張大云、葉星及其辯護(hù)人均提出“林某1”軟件使用的數(shù)據(jù)經(jīng)用戶授權(quán)的意見，法院認(rèn)為：“林某1”軟件使用的數(shù)據(jù)來源非法；軟件實現(xiàn)修改密碼、解綁手機(jī)、換綁郵箱等批量操作系突破淘寶公司服務(wù)器安全防護(hù)措施而實現(xiàn)；修改密碼、解綁手機(jī)、換綁郵箱等操作違背原賬號所有人的意志。故該上訴意見不成立。紹興市中級人民法院駁回張大云、葉星等人上訴，維持原判。

(2)簡要評析

通過對上述張大云、葉星等犯提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具罪一案的初步梳理，可以看出其與類似案件的判決最大差別之處是本案在涉及“未經(jīng)授權(quán)”和“超越授權(quán)”時，并未簡單的加以引用，也不是在判決書末尾附上帶有“未經(jīng)授權(quán)”和“超越授權(quán)”的有關(guān)法律規(guī)定或司法解釋。犯罪嫌疑人張大云及其辯護(hù)人對其行為是否“授權(quán)”進(jìn)行了較為明確的辯解，即認(rèn)為其使用的“林某1”軟件目的在于提高效率，沒有進(jìn)入計算機(jī)后臺竊取數(shù)據(jù)，不具有突破淘寶安全防護(hù)系統(tǒng)的功能，且提出“‘林某1’軟件是經(jīng)用戶授權(quán)的，軟件不能避免用戶使用非法賬戶信息，輸入正確的賬戶及密碼即應(yīng)認(rèn)定為得到了用戶授權(quán)”。張大云及其辯護(hù)人特別強(qiáng)調(diào)“輸入正確的賬號及密碼即應(yīng)認(rèn)定為得到了用戶授權(quán)”，涉及到在我國關(guān)于計算機(jī)網(wǎng)絡(luò)犯罪中，特別是在“侵入”型犯罪中，行為人“授權(quán)”的認(rèn)定標(biāo)準(zhǔn)，這與美國聯(lián)邦計算機(jī)犯罪法中的相關(guān)規(guī)定和司法判解中已經(jīng)得到公認(rèn)并法定化的“程序編碼設(shè)限”標(biāo)準(zhǔn)具有相當(dāng)性，其辯解主張在我國司法實務(wù)中也具有一定的開創(chuàng)性。簡而言之，無論是“未經(jīng)授權(quán)”還是“超越授權(quán)”，其中的核心要件是“授權(quán)”，只有授權(quán)與否得到明確的認(rèn)定，才能再進(jìn)一步分析犯罪的構(gòu)成要件符合與否。

本案中張大云、葉星及其辯護(hù)人雖然都在上訴中提出了輸入正確賬號密碼即不應(yīng)認(rèn)為是未經(jīng)授權(quán)的辯解意見，但又同時提出：“‘林某1’‘凌某’軟件不具有突破安全防護(hù)系統(tǒng)的功能，突破淘寶公司人機(jī)識別、IP登錄限量、數(shù)字、圖片驗證等操作規(guī)則，不等于突破計算機(jī)安全防護(hù)系統(tǒng)，僅是簡便操作”的主張，明顯不具有充分的說理性和辯駁力，站不住腳。這一點在紹興市中級人民法院的判解回應(yīng)中可以得到明確說明：人機(jī)識別系統(tǒng)是阿某反作弊關(guān)鍵系統(tǒng)，該系統(tǒng)為淘寶、支付寶等30多個應(yīng)用提供安全防護(hù)服務(wù)，安全防護(hù)的目的就是防止機(jī)器批量操作盜取賬號，“林某1”系列軟件可以繞過該識別系統(tǒng)，突破了該項防護(hù)，實現(xiàn)批量操作的目的，故應(yīng)認(rèn)定為具有避開或突破計算機(jī)系統(tǒng)安全防護(hù)措施的功能。“林某1”軟件使用的數(shù)據(jù)來源非法，軟件實現(xiàn)修改密碼、解綁手機(jī)、換綁郵箱等批量操作系突破淘寶公司服務(wù)器安全防護(hù)措施而實現(xiàn)；修改密碼、解綁手機(jī)、換綁郵箱等操作違背原賬號所有人的意志。紹興市中級人民法院的判解說明了“授權(quán)”的缺失，特別是“修改密碼、解綁手機(jī)、換綁郵箱等操作違背原賬號所有人的意志”直接說明了未經(jīng)授權(quán)的存在。

從上述案件的判決情況來看，上訴和審判雙方都對“未經(jīng)授權(quán)”進(jìn)行了一定的申辯和解釋，雖然兩方都沒有根據(jù)有關(guān)法律規(guī)定或司法解釋進(jìn)行條分縷析的解讀或引用(實際上到目前為止，就“未經(jīng)授權(quán)”或“超越授權(quán)”而言，也無相應(yīng)的具體法條依據(jù)或認(rèn)定標(biāo)準(zhǔn)可以直接適用)，也沒有如美國法院那樣總結(jié)出具體的認(rèn)定“未經(jīng)授權(quán)”或“超越授權(quán)”的標(biāo)準(zhǔn)，但是走出了重要的一步，特別是紹興市中級人民法院提出了類似于“程序編碼設(shè)限”的認(rèn)定思路，即突破系統(tǒng)設(shè)定的安全防護(hù)功能，就應(yīng)認(rèn)定為未經(jīng)授權(quán)(當(dāng)然，具體是未經(jīng)授權(quán)還是超越授權(quán)，似還有進(jìn)一步討論的空間，但無論認(rèn)定為“未經(jīng)授權(quán)”還是“超越授權(quán)”都不影響行為的最終定性)。

從總體上看，中美兩國法院在計算機(jī)網(wǎng)絡(luò)犯罪中對“未經(jīng)授權(quán)”和“超越授權(quán)”方面的判解，雖然據(jù)以認(rèn)定的規(guī)定高度相似(即都是“未經(jīng)授權(quán)”和“超越授權(quán)”)，但在具體的認(rèn)定內(nèi)涵或判斷依據(jù)上卻存在很大不同。主要差異是目前中國法院對“未經(jīng)授權(quán)”和“超越授權(quán)”在一定程度上存在著“集體性失語”，除了上述紹興市中級人民法院在這一問題上有所拓展外，絕大部分法院在實踐中都沒有就“未經(jīng)授權(quán)”或“超越授權(quán)”進(jìn)行合理定義或精細(xì)解讀(更遑論從司法判決中總結(jié)出類似美國判解的具有中國特色的認(rèn)定標(biāo)準(zhǔn))。在中國法院的判決中，對于誰授權(quán)或誰是授權(quán)主體(關(guān)于授權(quán)的主體，在搜集到的判決書中只有一個判決書簡單的提出：“未經(jīng)目標(biāo)計算機(jī)授權(quán)”(63)該文書為大連市金州區(qū)人民法院于2016年4月1日對黃某犯提供侵入、非法控制計算機(jī)信息系統(tǒng)程序、工具罪的判決，參見“中國裁判文書網(wǎng)”：http://wenshu.court.gov.cn. 案件名稱：黃翔提供侵入、非法控制計算機(jī)息系統(tǒng)程序、工具一審刑事判決書，2019年5月2日最后訪問。)，沒有展開進(jìn)行深入的說明；“超越授權(quán)”更是沒有具體的闡述，大多數(shù)的判決都是直接援引司法解釋中的原話或是將司法解釋中的有關(guān)規(guī)定作為判決附文列后。因此，從某種程度上說，對于“未經(jīng)授權(quán)”和“超越授權(quán)”的認(rèn)定，中美兩國司法可謂“貌合神離”。

四、結(jié)論

計算機(jī)網(wǎng)絡(luò)犯罪以及其他非屬于犯罪的計算機(jī)濫用行為都隨著計算機(jī)技術(shù)的更新而改變，行為手段層出不窮。美國立法在計算機(jī)網(wǎng)絡(luò)犯罪中設(shè)置“未經(jīng)授權(quán)”和“超越授權(quán)”來判斷行為人的訪問行為合法與否，但沒有對“未經(jīng)授權(quán)”予以明確定義，而是讓司法機(jī)關(guān)結(jié)合實踐作出判解，形成判例規(guī)則。立法機(jī)關(guān)根本不可能以一個固定時期且處于計算機(jī)技術(shù)發(fā)展初期的關(guān)于對“未經(jīng)授權(quán)”樣態(tài)的認(rèn)識來詮釋當(dāng)時和未來的行為模式。 在“未經(jīng)授權(quán)”這一問題上，法院的判例以“規(guī)避程序編碼設(shè)限”作為判斷依據(jù)。出于對罪刑嚴(yán)格認(rèn)定的考慮，美國法院在刑事案件上對發(fā)展出來的“服務(wù)協(xié)議條款”規(guī)則不予采用。沒有一個法院已經(jīng)作出判決認(rèn)為違反一個合同式的規(guī)定(不管是違反網(wǎng)站的服務(wù)協(xié)議條款還是其他)構(gòu)成計算機(jī)訪問的未經(jīng)授權(quán)，從而以《計算機(jī)欺詐及濫用法》的刑法條文來治罪(64)Nicholas R. Johnson, “I Agree” to Criminal Liability: Lori Drew’s Prosecution under §1030(a)(2)(c) of the Computer Fraud and Abuse Act, and Why Every Internet User should Care, Journal of Law, Technology & Policy, 577(2009).。因此，美國立法中“未經(jīng)授權(quán)”在刑事案件中認(rèn)定的核心義涵就是不能規(guī)避程序編碼設(shè)限或是突破預(yù)設(shè)功能而擅自訪問他人計算機(jī)。

計算機(jī)網(wǎng)絡(luò)的重要意義在于其在源頭設(shè)計上就提供了自由使用的價值(65)Lawrence Lessing, Code and other Laws of Cyberspace, Basic Books, 8(2006).。同時，計算機(jī)網(wǎng)絡(luò)還存著重要的社會價值，體現(xiàn)在其可通過法律和技術(shù)的架構(gòu)來保證廣大用戶能在計算機(jī)網(wǎng)絡(luò)中有自己安全而私密的領(lǐng)域，使其不受到非法的侵?jǐn)_與干涉(66)Paul M. Schwartz, Internet Privacy and the State, 32 Connecticut Law Review, 815(2000).。 然而，這兩種價值之間存在著沖突。舉例而言，黑客會認(rèn)為自己具有探索性的計算機(jī)攻入行為是自由訪問，但對于受訪的被害者而言則會認(rèn)為這是對其隱私與安全的侵犯(67)Michael Lee et al., Electronic Commerce, Hackers, and the Search for Legitimacy: a Regulatory Proposal, 14 Berkeley Technology Law Journal, 845(1999).。刑法的適用就需要游走于這兩者沖突的邊緣，而中美兩國規(guī)制計算機(jī)網(wǎng)絡(luò)犯罪的法律都是既要能夠保證計算機(jī)網(wǎng)絡(luò)使用的價值，又要保護(hù)其中的隱私及其安全。在以程序編碼作為未經(jīng)授權(quán)的判斷依據(jù)下，計算機(jī)用戶可以自由地使用網(wǎng)絡(luò)、訪問網(wǎng)站、收發(fā)郵件以及在其他的社交網(wǎng)站上自由地交流交往，而不用擔(dān)心會因為違反使用服務(wù)協(xié)議條款等類似合約式規(guī)定而受到刑事追究(68)當(dāng)然這并不意味著沒有任何責(zé)任，計算機(jī)或網(wǎng)站的權(quán)利人對于違反其服務(wù)協(xié)議條款的行為人可以提起民事訴訟。。同時權(quán)利人通過程序編碼以賬號密碼或防火墻等方式設(shè)定訪問的限制，表明他們對計算機(jī)網(wǎng)絡(luò)安全以及隱私的需求，不允許他人隨便訪問。通過技術(shù)性等方式來規(guī)避設(shè)定的程序編碼而突破計算機(jī)中設(shè)置的安全障限從而攫得訪問的行為嚴(yán)重威脅到權(quán)利人的隱私、利益及計算機(jī)數(shù)據(jù)信息的安全，其明顯的體現(xiàn)出行為人具有嚴(yán)重的刑事犯罪性和非難可責(zé)性(69)Ethan Preston, Finding Fences in Cyberspace: Privacy and Open Access on the Internet, 6.1 Journal Technology Law & Policy 3(2000).參見：http://grove.ufl.edu/～techlaw/vo16/Preston.html(最后訪問：2019年5月2日)。這對那些在自己計算機(jī)及其網(wǎng)站中設(shè)定了訪問限制的情況能夠提供完整的保護(hù)。

綜上所述，由于我國司法解釋中所使用的“未經(jīng)授權(quán)”與美國立法中所規(guī)定的“未經(jīng)授權(quán)”具有相同的規(guī)制功能，義涵也基本沒有差別。因此，我們認(rèn)為對我國司法解釋中的“未經(jīng)授權(quán)”在其內(nèi)涵上可以參考美國判例結(jié)論來加以確定，即以程序編碼設(shè)限作為判斷計算機(jī)訪問未經(jīng)授權(quán)的標(biāo)準(zhǔn)。對于“超越授權(quán)”則在上述基礎(chǔ)上可以確定為：行為人在獲得一定授權(quán)使用計算機(jī)時，利用這一授權(quán)使用的機(jī)會去獲取計算機(jī)信息系統(tǒng)中的數(shù)據(jù)或控制計算機(jī)信息系統(tǒng)，但行為人的數(shù)據(jù)獲取或控制行為并沒有得到授權(quán)。