高仕銀

(中國社會科學院，北京 100732)

一、問題的提出

電子數(shù)據(jù)信息在現(xiàn)代社會是一種技術成果，具有同財物一樣的價值。計算機數(shù)據(jù)信息作為無形物與有形實體物一樣代表著一種經(jīng)濟財產(chǎn)，可以給所有或合法持有人帶來經(jīng)濟上的利益。未經(jīng)授權或沒有法定原由不得侵入或侵害他人計算機信息系統(tǒng)及其中的數(shù)據(jù)信息，這涉及對計算機信息系統(tǒng)和數(shù)據(jù)信息安全及價值的保護。根據(jù)我國《刑法》第285條和第286條的相關規(guī)定，危害計算機信息系統(tǒng)安全犯罪的后果之一，就是導致計算機信息系統(tǒng)不能正常運行使用或者是其中的數(shù)據(jù)信息價值減少或滅失，進而給計算機用戶或權利人造成經(jīng)濟損失。

“經(jīng)濟損失”在中美兩國的規(guī)定中都被作為衡量犯罪行為是否嚴重的重要指標。我國相關司法解釋規(guī)定，危害計算機信息系統(tǒng)安全造成經(jīng)濟損失一萬元以上的，屬于危害計算機信息系統(tǒng)犯罪入罪標準的“情節(jié)嚴重”；美國聯(lián)邦《計算機欺詐與濫用法》(1)《計算機欺詐與濫用法》(Computer Fraud and Abuse Act，簡稱“CFAA”)是美國聯(lián)邦規(guī)制計算機網(wǎng)絡犯罪的最重要法律，其被編入美國《聯(lián)邦法典》第18編第1030條，詳見：Computer Fraud and Abuse Act, 18 U.S.C. § 1030 (2018).下文將以1030條來指代《計算機欺詐與濫用法》。中規(guī)定，行為人通過傳播破壞性程序或未經(jīng)授權訪問計算機信息系統(tǒng)造成經(jīng)濟損失五千美元以上的，即構成犯罪。“經(jīng)濟損失”作為決定犯罪成立與否的重要條件，尤其是在“經(jīng)濟損失”這一規(guī)定本身比較模糊的情況下，有必要進行深入探討，厘清其具體內(nèi)涵，這對于更加精確地認定危害計算機信息系統(tǒng)犯罪、更合理地組織起對這類犯罪行為的反應以及更好地為犯罪被害人提供保護具有重要意義。筆者不揣淺陋，希望對比分析中美兩國相關規(guī)定及司法案例，為我國規(guī)定中的“經(jīng)濟損失”的進一步完善提供參考。

二、危害計算機信息系統(tǒng)安全犯罪中的經(jīng)濟損失的規(guī)定考察

(一)我國的相關規(guī)定

在我國《刑法》中，危害計算機信息系統(tǒng)安全犯罪主要包括第285條和第286條規(guī)定之罪。從立法上看，我國《刑法》在1997年修訂時和此后的歷次修正案都沒有對危害計算機信息系統(tǒng)安全犯罪中的“經(jīng)濟損失”作出規(guī)定。給“經(jīng)濟損失”以明確“身份”的是最高人民法院、最高人民檢察院聯(lián)合發(fā)布的《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》(以下簡稱《解釋》)。“經(jīng)濟損失”的規(guī)定位于《解釋》第1、3、4、6條和第11條，其中，第1、3、4、6條規(guī)定了“經(jīng)濟損失”的具體構成情況?！督忉尅访鞔_了危害計算機信息系統(tǒng)安全犯罪的定罪量刑標準，對《刑法》第285條、第286條涉及的“情節(jié)嚴重”“情節(jié)特別嚴重”“后果嚴重”“后果特別嚴重”的具體情形作出規(guī)定。(2)喻海松：《〈關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋〉的理解與適用》，載《人民司法》2011年第19期，第24頁。例如，把“非法獲取計算機信息系統(tǒng)數(shù)據(jù)或控制計算機信息系統(tǒng)”“提供侵入、非法控制計算機信息系統(tǒng)的程序、工具”和“破壞計算機信息系統(tǒng)功能、數(shù)據(jù)或者應用程序”的行為造成經(jīng)濟損失1萬元以上的，作為《刑法》第285條和第286條規(guī)定中“情節(jié)嚴重”和“后果嚴重”的一個具體量化標準。換言之，根據(jù)《解釋》的規(guī)定，危害計算機信息系統(tǒng)安全犯罪以造成經(jīng)濟損失的數(shù)額作為入罪標準之一。(3)喻海松：《網(wǎng)絡犯罪二十講》，法律出版社2018年版，第22頁。按照《解釋》的規(guī)定，如果實施前述的危害計算機信息系統(tǒng)安全的犯罪行為造成的經(jīng)濟損失達到1萬元以上的，屬于刑法規(guī)定的“情節(jié)嚴重”或“后果嚴重”；如果造成經(jīng)濟損失達到5萬元以上的，則是“情節(jié)特別嚴重”或“后果特別嚴重”。

值得注意的是，《解釋》第11條第3款對“經(jīng)濟損失”進行了專門說明：本解釋所稱“經(jīng)濟損失”，包括危害計算機信息系統(tǒng)犯罪行為給用戶直接造成的經(jīng)濟損失，以及用戶為恢復數(shù)據(jù)、功能而支出的必要費用?？梢哉f，這是我國司法解釋對專門術語或專項用語作出的為數(shù)不多的單獨說明。同時，按照最高司法機關的有關認識，這里的“經(jīng)濟損失”應該是現(xiàn)實的，而非可期待的。需要注意的是，破壞計算機信息系統(tǒng)功能、數(shù)據(jù)給用戶間接造成的經(jīng)濟損失，如用戶損失的預期利益等，不能納入“經(jīng)濟損失”的計算范圍。(4)陳國慶、韓耀元、吳嬌濱：《〈關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋〉的理解與適用》，載《人民檢察》2011年第20期，第53頁。因此，可以說我國司法解釋不但規(guī)定了“經(jīng)濟損失”在危害計算機信息系統(tǒng)安全犯罪中的存在范圍、具體數(shù)額標準和主要作用，同時也賦予其一定的內(nèi)涵，給司法機關在案件辦理中劃出了大體適用的方向。

(二)美國的相關規(guī)定

1030條誕生于1984年美國國會關于計算機犯罪的立法，而該條與“經(jīng)濟損失”有關的規(guī)定是在1986年的修法中確立的，位于該條(a)(5)款。根據(jù)現(xiàn)行1030條(a)(5)款的規(guī)定，計算機犯罪的后果包括兩個方面：損害(damage)和經(jīng)濟損失(loss)。(5)18 U.S.C. § 1030(a) (5) (2018).不過從立法沿革上來看，損害與經(jīng)濟損失并非一開始就同時誕生于(a)(5)款的規(guī)定之中。在1986年以后2001年以前，該款關于危害計算機犯罪的后果規(guī)定只有損害而沒有經(jīng)濟損失，其包含于損害的定義之內(nèi)，且內(nèi)涵也比較簡單：實際維修和重裝計算機系統(tǒng)或者恢復數(shù)據(jù)到其原來狀態(tài)所花費的成本代價。(6)Senate Report No. 99-432, at 11(1986), reprinted in 1986 U.S.C.C.A.N 2479, 2488-89.2001年遭受“9·11”恐怖襲擊后，美國國會在“愛國者法案”(7)該法案的全稱是《以適當而必要之方式團結與增強美國遏制恐怖主義法案》，英文為：Uniting and Streng-thening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act，簡稱 USA PATRIOT.中將1030條(a)(5)款中的損害進行了修正，并把其中的經(jīng)濟損失與損害并列，作為危害計算機犯罪的兩大后果。(8)Pub. L. No. 107-56, § 814(d)(5), 115 Stat. 384.2001年修法不但將“損害”和“經(jīng)濟損失”分別加以規(guī)定，而且還重新規(guī)定了“損害”的概念，(9)根據(jù)1030條(e)款第8項的規(guī)定，“損害”的定義是：對數(shù)據(jù)、程序、系統(tǒng)或信息的完整性或可用性的任何削弱損傷(impairment)。并在1030條(e)款第11項對“經(jīng)濟損失”作出了專門的定義。(10)1030條(e)款第11項對“經(jīng)濟損失”的定義為：任何被害人的任何合理性的付出花費，其不僅包括被害人針對計算機犯罪所采取的反應與措施的成本，評估計算機損害所需的開支和將數(shù)據(jù)、程序、系統(tǒng)以及信息等恢復到犯罪侵害以前狀態(tài)的合理費用；還包括因計算機損害失去的任何收入或付出的成本和其他因中斷服務帶來的損害性結果。參見：18 U.S.C. § 1030(e) (11) (2018).

經(jīng)濟損失能夠在2001年得以單獨規(guī)定，主要是受美利堅訴米德爾頓案(United States v. Middleton)判決的影響。(11)在該案中，法院判決把修補安全漏洞等所花費的成本也作為經(jīng)濟損失加以計算，但其要求是對安全的修復是使之與原來狀況一樣，而不是更安全，即任何改良的成本不能當作為造成損害的數(shù)額。參見：United States v. Middleton, 231F.3d 1207(9th Circuit, 2000).這從美國司法部對該法修正案作出法律適用指南時的解釋中可以得到印證：立法機關適當?shù)貙?jīng)濟損失作出專門的定義并編入法典是接受了米德爾頓案的判解。(12)Department of Justice, Computer Crime and Intellectual Property Section, Field Guidance on New Authorities that Relate to Computer Crime and Electronic Enacted in the USA Patriot Act of 2001. 參見：http://www. cybercrime.gov/PatriotAct.htm.美國國會也承認，經(jīng)濟損失不僅僅是限于事實上的修復也應該包括損失的計算機使用時間，重裝程序和數(shù)據(jù)的成本以及完善被修改的數(shù)據(jù)的支出等。(13)Senate Report No.99-432, at 11-12(1986), reprinted in 1986 U.S.C.C.A.N. 2479, 2488-89.有些給被害人的計算機信息系統(tǒng)不一定造成損害，但依然會被認為是導致了經(jīng)濟損失，這是因為，在有些場合中既沒有計算機系統(tǒng)也沒有其中的信息遭到破壞，然而存在著諸如可以讓入侵者收集系統(tǒng)登錄的有效密碼的犯罪行為，而使得所有的系統(tǒng)使用者都必須修改密碼，也使得系統(tǒng)的管理員致力于運用資源來重新設置系統(tǒng)的安全性，因此在這一過程中雖無“損害”，但是被害人卻因此遭受到“經(jīng)濟損失”。(14)George Roach and William J. Michiels, Damage is the Gatekeeper Issue for Federal Computer Fraud, 8 Tul. J. Tech.&Intell. Prop., 71(2006).

美國將危害計算機犯罪的損害和經(jīng)濟損失加以嚴格區(qū)分，是為了更好地打擊這類犯罪。因為法條對損害的定義主要是指對計算機數(shù)據(jù)、程序、系統(tǒng)或者儲存的信息直接的物理性危害或者刪除，而經(jīng)濟損失的定義則對那些給被害人造成的其他類型的經(jīng)濟上的危害鋪開了一張大網(wǎng)。(15)Sarah Boyer, Computer Fraud and Abuse Act: Abusing Federal Jurisdiction? 6 Rutgers Journal of Law&Public Policy, 692(2009).同時，按照1030條(c)(4)(A)款的規(guī)定，凡是因危害計算機信息系統(tǒng)犯罪而給他人在一年之內(nèi)造成經(jīng)濟損失累計達到5千美元以上的即構成犯罪。(16)18 U.S.C. § 1030(c) (4) (A) (i) (2008).換言之，行為人實施危害計算機信息系統(tǒng)的行為造成經(jīng)濟損失的數(shù)額在一年內(nèi)累計達到五千美元即構成犯罪，五千美元是入罪或擔責的門檻。(17)Mitchell Waldman, Civil Actions, Enforcement, and Liability; Disciplinary Actions, American Jurist 2D Computers and the Internet, 85(2007).“經(jīng)濟損失”被單獨規(guī)定并賦予其具體內(nèi)涵和認定的數(shù)額標準后，美國法院在實踐中又根據(jù)不同情況形成了較為豐富的判解，下文將在“經(jīng)濟損失的認定”分析中予以闡述。

(三)中美兩國規(guī)定的對比分析

從上述中美兩國關于危害計算機信息系統(tǒng)安全犯罪“經(jīng)濟損失”規(guī)定的梳理考察，可以看到兩國為了更加嚴厲地打擊計算機犯罪，都通過專門規(guī)定來確立“經(jīng)濟損失”的內(nèi)涵，并且都將其作為入罪標準之一。特別是在美國，對“經(jīng)濟損失”在法條上從融合規(guī)定到單獨列出，前后經(jīng)歷了15年，體現(xiàn)了美國立法和司法機關在這一問題上不斷積累經(jīng)驗、提升認知和逐漸定型完善的過程。因此，從“經(jīng)濟損失”的內(nèi)涵上，我們可以看到兩國規(guī)定中有如下一些比較明顯的差別。(1)計算的范圍不同。我國司法解釋所稱的經(jīng)濟損失主要包括兩個方面：犯罪行為給用戶直接造成的經(jīng)濟損失和用戶為恢復數(shù)據(jù)、功能而支出的必要費用；美國刑法規(guī)定中的損失包括四個方面：針對計算機犯罪所采取的反應措施的成本、聘請專業(yè)人士評估計算機受損而花出的費用、恢復計算機到受損前狀態(tài)的合理費用以及因計算機受損帶來的應有經(jīng)濟收入的流失。(2)涉及的被害對象不同。我國司法解釋中所指的遭受損失的被害人是指計算機用戶，主要是計算機信息系統(tǒng)的合法用戶；(18)喻海松：《網(wǎng)絡犯罪二十講》，法律出版社2018年版，第22頁。而美國刑法規(guī)定中損失的被害人不僅僅是指計算機用戶，還包括因計算機犯罪而遭受損失的任何被害人。

通過對比考察可以看出，美國刑法規(guī)定中的“經(jīng)濟損失”在內(nèi)涵上要比我國司法解釋中“經(jīng)濟損失”更寬泛，其不但包括了因危害計算機信息系統(tǒng)造成系統(tǒng)本身及數(shù)據(jù)信息的損失還涉及評估和收入等方面的計算。同時，還值得注意的是美國刑法規(guī)定的經(jīng)濟損失在層次上更豐富一些，各項都有一定的涵攝范圍，比如同樣關于“恢復數(shù)據(jù)、功能”的表述，美國規(guī)定中將“恢復”限定為“受損前的狀態(tài)”；我國司法解釋沒有對此做進一步的要求，只是以“必要費用”作為限制。這就使得一些用戶如果在“恢復”過程中出現(xiàn)過度的情況下，即把數(shù)據(jù)、功能等恢復得比受損前的狀態(tài)更優(yōu)的情況下的花費，是否能算入“經(jīng)濟損失”，不無爭議。另外，我國司法解釋中關于“給用戶直接造成的經(jīng)濟損失”這一表述也比較模糊，直接造成的經(jīng)濟損失是包括因計算機受到破壞而導致的經(jīng)濟收入的減少還是計算機受到破壞或損害本身的價值損失等，從這一規(guī)定并不能得出明確的結論。我們也應當看到，在美國的規(guī)定中，對經(jīng)濟損失的計算還包括“因計算機損害失去的任何收入”，這存在著較大的解釋空間，不利于司法上的明確決斷和對經(jīng)濟損失的合理計算，因為這可能導致在實踐中將一些預期性的利益或收入也被納入計算，從而超出了對犯罪本身的評價范圍。

三、“經(jīng)濟損失”的司法認定分析

(一)美國法院關于“經(jīng)濟損失”認定及分析

如前文所述，美國2001年修法單獨規(guī)定計算機犯罪造成的“經(jīng)濟損失”并明確其具體內(nèi)涵之后，在司法實務中針對這一規(guī)定如何具體認定形成了一系列的重要判解，比較有代表性的有如下判例。在“美利堅訴米爾特案”(United States v. Millot)中，一名已離職的雇員侵入前公司計算機系統(tǒng)中刪除了該公司另一名雇員的賬戶。該公司一直將其計算機安全防護外包給IBM公司。案發(fā)后，IBM公司的兩名技術人員用了407小時來修復被刪除的賬戶以及其他問題。受害公司之前與IBM公司簽訂的協(xié)議是兩名員工全職負責受害公司的計算機安全，IBM公司支付給員工每小時50美元薪酬。控方以407小時乘以50美元每小時得出20350美元的損失數(shù)額。被告人提出抗辯認為這一計算不成立，因為技術員是全職工作，即使沒有被告人的侵害發(fā)生，他們也要從事其他安全職責，IBM也要付出同樣的薪酬。聯(lián)邦第八巡回法院采納了控方的意見，認為雖然受害公司已經(jīng)定額外包安全問題給IBM，但經(jīng)濟損失依然可以按照控方提出的標準來計算。(19)United States v. Millot, 433 F.3d 1057(8th Circuit, 2006).在“Nexans Wires S.A v. Sark-USA, Inc.案”中，原告是一家德國公司。被告公司的員工侵入到原告公司計算機信息系統(tǒng)竊取了該公司相關生產(chǎn)精銅和光纖的資料并用來開辦新公司與之競爭。在判決中，法院認為德國公司的兩名主管經(jīng)理從德國飛美國的費用不能算作是“經(jīng)濟損失”，證據(jù)表明主管經(jīng)理的到訪是討論被竊取的信息而非計算機受到的潛在危害，如果他們在紐約檢測其中的一臺計算機，則旅途費用都可以算在“經(jīng)濟損失”數(shù)額中。法院還否決了原告公司訴稱的因數(shù)據(jù)被竊而失去了兩個商業(yè)機會的價值也算入損失之中。理由是法條規(guī)定的“收入損失”必須是因計算機系統(tǒng)中斷服務而造成，但本案中原告并沒有訴稱受侵入的計算機不能運行。(20)Nexans Wires S.A v. Sark-USA, Inc., 319 F.Supp.2d 468(S.D.N.Y. 2004).

在“B&B Microscopes v. Armogida案”中，一個名為阿姆吉達的雇員在B&B顯微鏡公司(以下簡稱B公司)工作時為B公司開發(fā)了一套很有價值的K軟件系統(tǒng)用于出售給客戶。由于某些原因，阿姆吉達辭職并認為K系統(tǒng)屬于他個人而非B公司，于是在離開前他將公司配發(fā)給他使用的筆記本電腦中的幾千個文檔進行了“選擇性的刪除和復寫”。(21)B&B Microscopes v. Armogida, 532 F. Supp.2d 744, 749(W.D. Pa. 2007).隨后，阿姆吉達將K系統(tǒng)的復件以1萬美元賣給了猶他州政府。B公司聘請了一家技術公司來檢測該筆記本電腦，發(fā)現(xiàn)阿姆吉達對他所開發(fā)的K系統(tǒng)中的文件實施了刪除和復寫行為。在B公司中只有阿姆吉達才能使該系統(tǒng)正常運轉。阿姆吉達的這一行為使得B公司的筆記本電腦以及客戶的系統(tǒng)遭受到了“損害”，因為行為人對于“計算機系統(tǒng)、程序等的完整性和可用性造成了削弱損傷”。B公司提出遭受到51400美元的損失，并訴稱根據(jù)以下項目得出：聘請技術公司論證分析和修復K系統(tǒng)花費1400美元，在一年之內(nèi)失去的銷售K系統(tǒng)的預期收入5萬美元。法院判決認定B公司損失了11400美元，其中1400美元是聘請技術公司的支出，1萬美元是由于K系統(tǒng)文件被刪除和復寫而遭受損害且B公司無法復制該系統(tǒng)產(chǎn)生的“服務中斷”所帶來的經(jīng)濟損失，并以被告人賣給猶他州的復件價值來計算。(22)B&B Microscopes v. Armogida, 532 F. Supp.2d 744, 758(W.D. Pa. 2007).

上述美國法院對“經(jīng)濟損失”認定的判解，雖然側重不一，但共同點都在于要求認定“經(jīng)濟損失”時對相關數(shù)額的計算必須是“合理的”(reasonable)，這主要源于米德爾頓案判解的創(chuàng)造。不過從法條的原文來看，該定義并沒有指明“合理”的具體內(nèi)涵。換言之，究竟是那些列舉在法條中的關于損失計算的各種類型本身就被立法機關認為是合理的還是在這些列舉的類型中當進行損失的計算時必須仔細檢查其涉及的價值是否合理。(23)Orin S. Kerr, Computer Crime Law, 2nd ed., West, a Thomson business, 91(2009).米德爾頓案的判決意見認為應該是后一種的合理性，能作出這一說明的是該案法院所贊同的對陪審團的指引：“在邏輯上要排除陪審團認為是過多的任何支出”。(24)United States v. Middleton, 231F.3d 1207, 1215(9th Circuit, 2000).雖然法院判決要求對“經(jīng)濟損失”的計算必須是“合理的”，但如何才能確定是“合理的”，法院并沒有加以詳細說理，在美國學界則主要有兩種主張。

一種是從刑法上的因果關系來看損失合理性的計算。比較有代表性的觀點認為：法律上考慮的問題是看是否由法定禁止的行為引起了(caused)經(jīng)濟損失，刑法上的因果關系原理通常都不會要求被害人的遭遇是否合理，唯一考慮的問題是禁止的行為與導致的結果之間是否存在“除非”(but for)和“直接的”(proximate)關系?；诖耍桓嫒送ǔ６急仨氁蚍缸镄袨槎鴮Ρ缓θ素撠?。例如，犯罪人搶劫老太太，老人因身體虛弱而死于遭搶時的過度驚嚇，罪犯不可能逃脫老人死亡的刑事責任；盡管同樣的搶劫對于年輕婦女而言不會導致驚嚇死亡。被害人只有在參與到不可預見的行為中，且該行為打破了原有的因果關系鏈并在行為與結果的可罰性之間有所作用時，才可以考慮被害人的因素。(25)Orin S. Kerr, Computer Crime Law, 2nd ed., West, a Thomson business, 91(2009).因此，從刑法上的因果關系原理出發(fā)，這類觀點對“經(jīng)濟損失”定義中的“合理的”要求表示質疑。

與之相反，第二種觀點認為將計算機再安全化之類的支出歸入經(jīng)濟損失的范圍并不合理，認為應當排除安全性提高的成本作為“經(jīng)濟損失”的計算范圍。主要提出兩點理由：一是在計算機犯罪語境下，1030條的規(guī)定使得入侵者要為計算機所有人隨意地對他們自己數(shù)據(jù)信息安全性的忽視而負責。大多數(shù)的公司企業(yè)都意識到他們計算機系統(tǒng)存在安全缺陷，但卻忽視這一危險。因而選擇適當程度的安全性是機主的職責，社會并不認為譴責入侵者為安全性的支出負責是妥當?shù)摹．斎?，對于那些技術高深的黑客而言，可以突破良好的安全防護，但1030條這樣規(guī)定對于一般的入侵者從普通的安全漏洞攻入而言并不公平。二是將再安全的支出費用等算到入侵者頭上會使得形成犯罪的核心基礎與再安全費或調查費的起因之間出現(xiàn)脫節(jié)(disjuncture)。當計算機信息系統(tǒng)被發(fā)現(xiàn)受到入侵，系統(tǒng)管理員都會竭力追蹤入侵者是怎樣獲得訪問的。當安全漏洞被發(fā)現(xiàn)并得到控制以后，管理員的工作并未結束，應該檢測所有的與這一漏洞有關的其他部分是否安全，以確保不會再受到侵入。但很多受害的公司都是忙于收集證據(jù)和進行調查并將這些算作是因損害的發(fā)生而導致的經(jīng)濟損失。因而，計算機的入侵者最終受到刑事追訴是因為被害人的調查所產(chǎn)生的費用。(26)Reid Skibell, Cybercrime & Misdemeanors: A Reevaluation of the Computer Fraud and Abuse Act, 18 Berkeley Technology Law Journal, 929-31(2003).

總體來看，上述兩種觀點都試圖從兩個側面來明確經(jīng)濟損失定義中的“合理性”是否合理，雖然都有一定的道理，但是法條的規(guī)定有時只能選擇符合大眾公平的折中，從而實現(xiàn)寬嚴相濟。正如米德爾頓案的判解所體現(xiàn)的那樣：被害人不能以一個小的安全問題受到侵害為借口就升級其計算機的安全性，使得花費的“損失”數(shù)額達到五千美元以上，從而突然將一個輕微的安全漏洞攻擊行為變成一項重罪。(27)United States v. Middleton, 231F.3d 1207, 1213(9th Circuit, 2000).從上述法院判解中，可以概括出其關于“經(jīng)濟損失”的具體認定主要包括三個方面的內(nèi)容：一是對計算機信息系統(tǒng)損害(包括數(shù)據(jù)恢復、信息重建等)本身修復的必要成本；二是算入的損失必須是與計算機信息系統(tǒng)危害本身直接相關的合理工作成本；三是對計算機信息系統(tǒng)中數(shù)據(jù)信息的經(jīng)濟損失的計算除了包括因損害導致的維修成本外，還包括且限于數(shù)據(jù)信息本身的價值(以市場交易價值為參考)，而不包含預期的可能收益。

(二)我國司法實踐中關于“經(jīng)濟損失”的認定檢視

根據(jù)實務部門的有關研究來看，在實踐中危害計算機信息系統(tǒng)安全犯罪經(jīng)濟損失的認定同其他財產(chǎn)犯罪相比，存在以下三個顯著的特點(28)劉惠、鄧超：《計算機犯罪經(jīng)濟損失認定的實證解析》，載《檢察調研與指導》2016年10月輯刊，第84-85頁。：第一，被害單位與司法機關認定的數(shù)額存在重大差異。侵犯計算機的犯罪行為會導致?lián)p害后果的多樣性、程度的差異性、評估的技術性以及責任的不確定性，涉及不同層級被害人、同一層級多名被害人、多次侵害被害人的認定，因此實際損失的大小與范圍確定非常困難。同時，經(jīng)濟損失的確定也缺乏客觀明確的標準。具體反映到司法實踐中，體現(xiàn)為被害單位、公安機關、檢察院和法院對于經(jīng)濟損失數(shù)額的認定存在重大分歧。第二，被害單位與司法機關認定的內(nèi)容存在顯著差異。原因在于經(jīng)濟損失的內(nèi)容具有多樣性，直接經(jīng)濟損失和間接經(jīng)濟損失的計算范圍和計算標準存在明顯區(qū)別。被害單位認定遭受的經(jīng)濟損失一般包括被損毀數(shù)據(jù)費用、人力資本支出、應得利益受損、司法成本和防衛(wèi)安全支出等方面。被害單位往往傾向于將所有與計算機相關聯(lián)的損害結果均認定為犯罪嫌疑人的行為所致，而司法機關則需要甄別經(jīng)濟損失計算方法是否科學合理。實踐中，司法機關對于被害單位提供的經(jīng)濟損失的內(nèi)容往往未全部認定，甚至在部分案件中全部未予認定。第三，計算機犯罪與一般犯罪的證據(jù)采信標準差距較大。在計算機犯罪中，認定存在經(jīng)濟損失的證據(jù)主要包括：被害單位提供的證人證言，證明存在財產(chǎn)損失的情況說明及相關票證等書證，會計師事務所出具的司法會計鑒定意見書、損失鑒證報告、評估報告書、司法鑒定檢驗報告書、資產(chǎn)損失鑒定評估報告，價格認證中心出具的價值認證書、估價認證結論等。在財產(chǎn)犯罪和經(jīng)濟犯罪中，認定財產(chǎn)損失的主要證據(jù)為鑒定意見，通常情況下，鑒定意見因其科學性和客觀性而具有很高的證明效力。在計算機犯罪中，對經(jīng)濟損失的鑒定意見采信率則相對較低，未予采信或部分采信的現(xiàn)象較常見。

應當說，上述歸納非常確切中肯，較為客觀全面地反映了我國司法實踐部門在“經(jīng)濟損失”認定上的現(xiàn)實狀況。不過，與其講這是司法實務部門關于認定“經(jīng)濟損失”存在的三大特點，不如說是三大難點。在我國，自《解釋》明確將“經(jīng)濟損失”規(guī)定為危害計算機信息系統(tǒng)犯罪的入罪標準之一以來，由于“經(jīng)濟損失”本身內(nèi)涵比較簡單，《解釋》在第11條第3款用一句話予以“解釋”之外，也沒有再給予更多的解釋，同時也沒有權威典型案例判解予以指引。因而在實務中形成了“何人受損不易確定、多少人受損不易確定、損失大小也不易確定”(29)劉惠、鄧超：《計算機犯罪經(jīng)濟損失認定的實證解析》，載《檢察調研與指導》2016年10月輯刊，第84頁。等系列難題。另一方面，有關危害計算機信息系統(tǒng)安全犯罪“經(jīng)濟損失”的認定及其研究成果在我國也非常少，這一問題沒有得到深入的探討，未能給司法實踐提供有效參照借鑒。

盡管如此，在我國司法實踐中對于“經(jīng)濟損失”的認定，一些法官、檢察官還是結合案例敢于擔當?shù)靥岢隽艘恍┓浅７e極的觀點。如有學者認為，根據(jù)《解釋》的規(guī)定，“經(jīng)濟損失”具體而言包括：(1)危害計算機信息系統(tǒng)犯罪行為給用戶直接造成的經(jīng)濟損失。對于非法獲取計算機信息系統(tǒng)數(shù)據(jù)犯罪而言，合法用戶獲取該數(shù)據(jù)應當支付的費用屬于行為給用戶造成的經(jīng)濟損失；對于通過非法控制計算機信息系統(tǒng)使用的計算機信息系統(tǒng)資源，合法用戶使用該計算機信息系統(tǒng)資源應當支付的費用屬于行為給用戶直接造成的經(jīng)濟損失；計算機信息系統(tǒng)不能正常運行期間支付的網(wǎng)絡寬帶費用等合理支出費用。(2)用戶為恢復數(shù)據(jù)、功能而支出的必要費用。在計算機信息系統(tǒng)功能或者數(shù)據(jù)破壞后，通常需要采取各種應急響應措施使其恢復到正常狀態(tài)，如對被刪除的數(shù)據(jù)采取數(shù)據(jù)恢復措施，被拒絕服務攻擊的網(wǎng)站增加數(shù)據(jù)分流設備、增加帶寬等，都屬于造成的經(jīng)濟損失。(30)喻海松：《網(wǎng)絡犯罪二十講》，法律出版社2018年版，第22-23頁。有學者指出，實施犯罪時尚未實際產(chǎn)生，將來有可能產(chǎn)生的利益損失，以及可通過數(shù)據(jù)恢復并采取必要措施避免的損失，不能認定為該類犯罪所造成的經(jīng)濟損失。(31)馮莉：《破壞計算機信息系統(tǒng)犯罪中的經(jīng)濟損失》，載《人民司法》2013年第6期，第70頁。也有學者指出，經(jīng)濟損失應與破壞計算機信息系統(tǒng)行為具有直接因果關系。(32)吳波、俞小海：《破壞計算機信息系統(tǒng)罪的司法適用中，爭議性問題集中于——怎樣理解“后果嚴重”與“計算機信息系統(tǒng)數(shù)據(jù)”》，載《檢察日報》2019年4月19日，第03版。還有學者從《解釋》給定的內(nèi)涵著手，對“給用戶造成直接經(jīng)濟損失”和“用戶為恢復數(shù)據(jù)、功能而支出必要的費用”的具體情況進行了分門別類的具體認定。(33)劉惠、鄧超：《計算機犯罪經(jīng)濟損失認定的實證解析》，載《檢察調研與指導》2016年10月輯刊，第86-87頁。這些無疑都是很好的探索和經(jīng)驗積累，有利于對“經(jīng)濟損失”認識的不斷深化和認定的不斷精準。下文結合張某犯破壞計算機信息系統(tǒng)罪和程某林犯非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪來檢視我國司法實踐對“經(jīng)濟損失”的認定。

基本案情1(34)張某破壞計算機信息系統(tǒng)案，北京市海淀區(qū)人民法院(2008)海法刑初字第3461號刑事判決書。：被告人張某通過拒絕服務攻擊方式(DDOS)，對新浪互聯(lián)信息服務有限公司UT網(wǎng)絡服務器進行攻擊，造成該公司UT服務器堵塞，無法提供網(wǎng)絡服務，總時長達500余分鐘，經(jīng)鑒定經(jīng)濟損失達人民幣48．42萬元。被告人張某認可指控罪名，但對攻擊時長500余分鐘及由此造成的經(jīng)濟損失48．42萬元提出異議，辯稱攻擊總時長為100分鐘左右，損失數(shù)額不應全部承擔。其辯護人認為：張某對新浪公司UT網(wǎng)絡服務器攻擊的總時長應是在240分鐘至270分鐘之間，并非控方指控的500余分鐘，現(xiàn)有證據(jù)無法證實張某的攻擊行為會造成新浪網(wǎng)廣告頁面、博客等業(yè)務的損失，同時不排除他人也在攻擊新浪網(wǎng)。

北京市海淀區(qū)人民法院認為，對張某破壞計算機信息系統(tǒng)罪的指控成立。對于攻擊時長及經(jīng)濟損失數(shù)額的認定，通過對被告人張某的供述與控方當庭出示的受攻擊端口流量圖的分析，可以證實被告人張某第一次的攻擊時長為兩個小時左右，第二次攻擊時長為335分鐘，因此控方所提供的第一份評估報告中所顯示的攻擊時長為465分鐘是具有事實依據(jù)的，法院予以認可。對該份評估報告所得出的經(jīng)濟損失數(shù)額為人民幣196875.2元的結論亦予以認可。但由于被告人張某聲稱第二次攻擊結束后，后續(xù)的攻擊總時長僅有十余分鐘，次數(shù)亦很少，而控方所提供的這一期間新浪UT服務器所受攻擊時間長度、次數(shù)的證據(jù)未能充分證明哪些攻擊系由被告人張某實施，因此控方關于這一期間張某的攻擊時長為118．7分鐘，以及由此造成的經(jīng)濟損失額為人民幣287251．61元的結論，法院不予認可。最后，北京市海淀區(qū)人民法院結合張某與受害公司達成民事和解并積極賠償?shù)惹闆r，判決被告人張某犯破壞計算機信息系統(tǒng)罪，判處有期徒刑一年六個月。

通過上訴案例可以看出，在造成經(jīng)濟損失的數(shù)額認定問題上雖然控辯雙方存在著較大的分歧，但對于經(jīng)濟損失的內(nèi)容則并沒有多大異議。這些經(jīng)濟損失都是指新浪公司UT服務器遭受張某通過拒絕服務攻擊方式攻擊后因全面堵塞，無法對外提供網(wǎng)絡服務而造成的營業(yè)上的經(jīng)濟減損。因為在該案中關于損失的證據(jù)為，經(jīng)相關機構評估，第一次攻擊被害公司通訊軟件產(chǎn)品UT遭受連續(xù)攻擊所造成的直接損失金額為人民幣19.69萬元，第二次攻擊被害公司通訊軟件產(chǎn)品UT遭受連續(xù)攻擊所造成的直接損失金額為人民幣28.73萬元。法院在認定造成經(jīng)濟損失的數(shù)額時，并沒有具體確認最后的損失總額，而是按照最有力證據(jù)證明的最低損失額度為標準判定張某的行為符合刑法規(guī)定上的“后果嚴重”。雖然本案的判決是在2011年兩高出臺的司法解釋之前，但是在該案中的經(jīng)濟損失及其認定對于我們理解《解釋》中的“給用戶直接造成的經(jīng)濟損失”具有重要的參考價值。司法解釋中的規(guī)定一部分是源自司法實踐中的有益經(jīng)驗，在理解新的解釋內(nèi)涵時，不可忽視既有判決的結論，尤其是一些典型的重要案例。因此，我們認為《解釋》中的“直接造成的經(jīng)濟損失”就是指因計算機信息系統(tǒng)受到破壞或干擾等而導致的應有經(jīng)濟收入的減損。

基本案情2(35)程某林非法獲取計算機系統(tǒng)數(shù)據(jù)案，深圳市中級人民法院(2019)粵03刑終1735號刑事判決書。：被告人程某林系深圳市科脈技術股份有限公司(以下簡稱“科脈公司”)員工，負責軟件研發(fā)工作。2018年4月至11月22日期間，被告人程某林下載并運行Teamviewer12遠程控制軟件，利用其個人筆記本電腦遠程控制公司工作電腦并訪問公司服務器，在工作環(huán)境下未經(jīng)公司授權并繞開公司的代碼安全防護措施，私下將科脈公司服務器中“快食慧”“好餐謀”等軟件源代碼使用屏幕拷貝方式復制到個人筆記本電腦，后又將軟件源代碼上傳至個人微信中?？泼}公司于2018年11月上旬接到舉報并聘請專業(yè)公司對代碼被竊進行技術安全檢查，支付費用人民幣2.12萬元，同時向公安機關報案。經(jīng)鑒定，程某林個人筆記本電腦中的“快食慧”“好餐謀”軟件源代碼與科脈公司“快食慧”“好餐謀”軟件源代碼的相似率為99.92%。深圳市南山區(qū)人民法院于2019年6月6日作出《(2019)粵0305刑初735號刑事判決》，認為程某林違反公司規(guī)定，繞過公司多種防范措施，將軟件代碼和文檔非法獲取后存儲在個人電腦中，并因此導致公司聘請網(wǎng)絡安全單位對其行為進行查找、發(fā)現(xiàn)漏洞，給公司造成經(jīng)濟損失，情節(jié)嚴重，判決被告人程某林犯非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪，判處有期徒刑一年四個月，并處罰金人民幣一萬元。

程某林提起上訴，認為原審判決認定事實不清，適用法律錯誤。辯稱其是為學習、工作及研究的方便才獲取涉案計算機信息系統(tǒng)數(shù)據(jù)，起訴書將科脈公司聘請專業(yè)公司對代碼進行技術安全檢查，支付2.12萬元作為科脈公司的經(jīng)濟損失進行指控，不屬于《解釋》第11條規(guī)定的“經(jīng)濟損失”。深圳市中級人民法院認為，上訴人程某林非法獲取科脈公司的軟件源代碼，導致科脈公司聘請第三方對源代碼被竊進行技術安全檢查并支付人民幣2.12萬元，已達到《解釋》第1條第1款第(四)項之情節(jié)嚴重的規(guī)定，其犯罪動機以及是否將獲取的源代碼出售獲利，均不影響構成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的認定，于2019年9月30日作出《(2019)粵03刑終1735號刑事判決》：依法裁定駁回上訴，維持原判。

上述程某林案涉及的具體罪名是我國《刑法》第285條第2款規(guī)定的非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。設立該罪的主要目的，是保護計算機信息系統(tǒng)中有關數(shù)據(jù)的使用安全和獨有或專有價值，他人未經(jīng)授權或許可，不得隨意獲取這些數(shù)據(jù)，表明了數(shù)據(jù)所有或使用的排他性。其中，規(guī)定的“獲取”不限于對數(shù)據(jù)的復制、拍照、刻錄轉化乃至“死記硬背”等，只要將數(shù)據(jù)從儲存的計算機信息系統(tǒng)或有關介質中使用不當手段形成同樣的信息樣態(tài)，并且這一樣態(tài)完全不受原數(shù)據(jù)正當所有人或使用人的控制，而能夠被非法獲得者支配使用，就應認為是獲取。本罪屬于結果犯，即不但要求行為人違反有關規(guī)定侵入計算機信息系統(tǒng)，還要獲取到計算機信息系統(tǒng)中存儲、處理或傳輸?shù)臄?shù)據(jù)。

從程某林實施的行為看，其明知公司對所研發(fā)軟件采取多種手段進行嚴格保密的情況下，依然無視公司規(guī)定，通過遠程控制軟件介入公司電腦，繞過公司設置的多種防范措施，采取屏幕截圖的方式，將公司的軟件代碼和文檔非法獲取后存儲在個人電腦中，符合非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的構成要件。無論其是出于學習、工作及研究的方便，還是其他想法，在所不問。因為《刑法》第285條只規(guī)定了非法獲取的構成要件，并沒有規(guī)定諸如牟利或其他要求，一旦非法獲取到數(shù)據(jù)，犯罪即既遂。因此，從這一點來看，一審和二審法院的認定無疑是恰當?shù)?。問題的關鍵在于，一、二審法院據(jù)以認定的科脈公司聘請專業(yè)機構進行安全檢查花費的2.12萬元是否屬于經(jīng)濟損失，不無疑問。因為，這既涉及對“經(jīng)濟損失”的準確理解，更涉及程某林的行為是否“情節(jié)嚴重”，應否定罪處刑。一審法院并未就此展開深入分析，二審法院針對程某林上訴提出的“2.12萬元不屬于經(jīng)濟損失”的辯解也未充分論證。因此，只有對《解釋》規(guī)定的“經(jīng)濟損失”內(nèi)涵進行必要的厘清，才能進一步認定程某林的行為是否構成相關犯罪。

依照《解釋》第1條第1款的規(guī)定，構成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪規(guī)定中的“情節(jié)嚴重”至少包括四種情形之一：第一項，獲取支付結算、證券交易、期貨交易等網(wǎng)絡金融服務的身份認證信息十組以上的；第二項，獲取第一項以外的身份認證信息五百組以上的；第三項，違法所得五千元以上或者造成經(jīng)濟損失一萬元以上的；第四項，屬于兜底條款，即其他情節(jié)嚴重的情形。從上述程某林案來看，在其行為符合非法獲取計算機信息系統(tǒng)罪的構成要件的同時，是否達到“情節(jié)嚴重”的標準，則要看其是否符合上述四種情形之一。很明顯，第一項和第二項不符合，唯有可能的就是第三項，有違法所得或造成經(jīng)濟損失。經(jīng)濟損失數(shù)額和違法所得數(shù)額都是破壞計算機信息系統(tǒng)犯罪中定罪量刑的標準，公安機關、檢察機關對上述兩個數(shù)額都應當進行偵查和指控。(36)馮莉：《破壞計算機信息系統(tǒng)犯罪中的經(jīng)濟損失》，載《人民司法》2013年第6期，第72頁。按照這一認定思路，程某林在獲取到科脈公司服務器中的“快食慧”“好餐謀”等軟件源代碼后，先是將其存放于個人筆記本電腦中，后又將軟件源代碼上傳至其個人微信。至案發(fā)時，程某林自始至終并沒有將獲取到的“快食慧”“好餐謀”等軟件源代碼予以出售或用作其他用途而獲得相應的收入或任何其他利益。因此，違法所得的認定排除，剩下的就是造成經(jīng)濟損失。從《解釋》第11條第3款給“經(jīng)濟損失”的確立的內(nèi)涵來看，認定為“經(jīng)濟損失”，符合三個條件之一即可：一是給用戶直接造成經(jīng)濟損失；二是用戶為恢復數(shù)據(jù)支出的必要費用；三是用戶為恢復功能支出的必要費用。三個條件滿足其一即可認定造成的經(jīng)濟損失，但三個條件應該也可以疊加認定造成“經(jīng)濟損失”的總數(shù)。

(三)司法認定的啟示

從美國法院關于“經(jīng)濟損失”認定的判解和學界關于對“經(jīng)濟損失”計算的“合理性”的不同主張，可以看出，司法實踐中要準確的厘定“經(jīng)濟損失”的具體范疇，需要在遵循法條規(guī)定的基礎上結合具體案例形成對“經(jīng)濟損失”含義的不同要件的單獨體系性的判解(比如對數(shù)據(jù)信息損害的修復成本認定的判解、數(shù)據(jù)信息的具體價值認定的判解、計算機信息系統(tǒng)危害有關的工作成本認定的判解等)，從而將“經(jīng)濟損失”定義中的核心要件部分都以具體案例判解來解釋和確定具體內(nèi)涵。概而言之，“經(jīng)濟損失”在美國除了立法給予其單獨規(guī)定并賦予具體內(nèi)涵之外，還通過判例來不斷發(fā)展豐富，形成了——立法“條文定調”指明主要方向——司法“判例定型”形成具體結論——的模式，使得對“經(jīng)濟損失”的認定不斷與時俱進，越發(fā)清晰和全面。同時，從美國法院判解中還可以看出，雖然法條規(guī)定經(jīng)濟損失的計算包括“因計算機損害失去的任何收入”，但法院對此保持了相當謹慎的立場，對可能的預期性收入沒有予以確認，也是受到了學界關于“合理性”不得額外增加被告人負擔主張(即前述第二種)的影響。因此，美國這種對經(jīng)濟損失先通過立法進行內(nèi)涵豐富的定義，再通過司法對內(nèi)涵中各個類型的具體豐富的做法，對我們認定相應犯罪的經(jīng)濟損失具有一定的參考價值。

結合上述分析，并從“程某林案”的司法認定來看，科脈公司被程某林通過遠程屏幕截圖復制的“快食慧”“好餐謀”等軟件源代碼的原數(shù)據(jù)依然在科脈公司服務器中完好的存儲著，沒有受到任何的損害，并且“快食慧”“好餐謀”等軟件源代碼的有關功能也未受到任何影響。因此，在該案中不需要對數(shù)據(jù)被復制后進行恢復，也不用對有關功能進行修補，也即不會產(chǎn)生相關任何費用。按照《解釋》關于“經(jīng)濟損失”的規(guī)定來看，本案中涉及的2.12萬元的安全檢查費用，可以明確判斷其不屬于科脈公司為恢復數(shù)據(jù)或有關功能而支出的必要費用。問題的焦點在于，這2.12萬元是否屬于“給用戶直接造成經(jīng)濟損失”？一般而言，給用戶造成直接的經(jīng)濟損失應當是行為人實施危害計算機信息系統(tǒng)的犯罪行為后，在用戶未采取有關補救措施之前致使用戶因計算機信息系統(tǒng)受到侵害或暫停服務產(chǎn)生的實際的現(xiàn)實損失。具體到本案中，就是看程某林在復制“快食慧”“好餐謀”等軟件的源代碼后，是否給科脈公司因代碼被復制而造成經(jīng)濟上的減損。這既包括源代碼被出售的獲得的價值，也包括源代碼被他人使用而產(chǎn)生的經(jīng)濟價值，但不包括可能會帶來的預期收益。事實上，程某林復制代碼后，并沒有出售，也沒有本人使用或轉給他人使用，因此并沒有讓科脈公司蒙受任何直接的經(jīng)濟損失。至于科脈公司發(fā)現(xiàn)“快食慧”“好餐謀”等軟件源代碼被程某林復制后，而聘請專業(yè)公司對該公司的服務器相關日志進行分析和安全檢查鑒定，屬于后續(xù)的防控行為，其產(chǎn)生的2.12萬元技術協(xié)查服務費并不能認定為屬于《解釋》規(guī)定中的“經(jīng)濟損失”。因此，在本案中程某林的行為雖然符合非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的構成要件，但因為達不到《解釋》規(guī)定的“情節(jié)嚴重”標準，可以免予刑事處罰，采用相關的非刑罰處罰措施。通過以上檢視分析，我們認為，可以對我國規(guī)定中的“經(jīng)濟損失”分別從“給用戶直接造成的經(jīng)濟損失”和“用戶為恢復數(shù)據(jù)、功能而支出的必要費用”兩個方面的內(nèi)涵再予以細化明確。

四、我國危害計算機信息系統(tǒng)犯罪中“經(jīng)濟損失”的完善思考

在對我國危害計算機信息系統(tǒng)犯罪中“經(jīng)濟損失”相關規(guī)定進行完善建構的同時，必須要看到傳統(tǒng)財產(chǎn)犯罪與危害計算機信息系統(tǒng)犯罪中“經(jīng)濟損失”的差異，否則就沒有必要對危害計算機信息系統(tǒng)犯罪中“經(jīng)濟損失”進行單獨認定和建構。傳統(tǒng)的財產(chǎn)犯罪中，如盜竊、搶(奪)劫、詐騙等，一般情況下都主要是因侵財行為而導致被害人的財產(chǎn)在價值上受到減損，從而表現(xiàn)為經(jīng)濟損失。總的來說，侵犯財產(chǎn)罪的構成要件結果是使被害人財產(chǎn)遭受損失。(37)張明楷：《刑法學(下)》，法律出版社2016年版，第938頁。因此，我國《刑法》對于傳統(tǒng)的財產(chǎn)型犯罪，起刑點都主要是以“數(shù)額”作為參照，以“數(shù)額較大”作為犯罪成立的標準，而司法解釋更是以明確的數(shù)字劃定了“數(shù)額較大”的具體內(nèi)容。例如盜竊罪，盜竊公私財物價值1000元至3000元以上就是《刑法》第264條規(guī)定的“數(shù)額較大”。雖然刑法規(guī)定了“數(shù)額較大”作為傳統(tǒng)侵財犯罪的入罪標準，但是法律規(guī)定上或司法解釋確定的“數(shù)額”是否為犯罪導致的經(jīng)濟損失，不無疑問。就常態(tài)化的取財行為而言，取得財物往往意味著被害人失去財物，財物的數(shù)額就是被害人損失的數(shù)額，將“數(shù)額”與“損失”等同也沒多大疑問。(38)王俊：《財產(chǎn)罪中“損失”要素的體系性定位》，載《政治與法律》2019年第1期，第35頁。但是傳統(tǒng)財產(chǎn)犯罪導致的“經(jīng)濟損失”，單從財物的數(shù)額來看似乎不太完整，具體應包括哪些內(nèi)容，還需要進一步予以厘清。

從我國《刑法》規(guī)定來看，對于因犯罪而導致經(jīng)濟損失的有關規(guī)定在總則中有所體現(xiàn)?！缎谭ā返?6條第1款規(guī)定，由于犯罪行為而使被害人遭受經(jīng)濟損失的，對犯罪分子除依法給予刑事處罰外，并應根據(jù)情況判處賠償經(jīng)濟損失。這里規(guī)定的“由于犯罪行為而使被害人遭受經(jīng)濟損失的”，既包括由犯罪行為直接造成被害人物質損失的，如毀壞財物、盜竊、詐騙等直接侵害財產(chǎn)的犯罪行為，也包括由于犯罪行為的侵害間接造成的被害人經(jīng)濟上的損失，如傷害行為，不僅使被害人身體健康受到損害，而且使被害人遭受支出醫(yī)療費用等經(jīng)濟損失。(39)胡康生、李福成主編：《中華人民共和國刑法釋義》，法律出版社1997年版，第45頁。從這一論述來看，其對《刑法》第36條第1款規(guī)定中犯罪行為人導致的經(jīng)濟損失分為直接損失和間接損失兩部分。直接侵害財產(chǎn)就是侵財行為直接導致的財物本身經(jīng)濟價值數(shù)額的減損。例如，在盜竊罪中，盜竊數(shù)額指的是損失數(shù)額(而非獲利數(shù)額)，且損失數(shù)額以被盜財物本身的價值為上限。(40)馬樂、劉奕祿：《論盜竊罪的法益與財產(chǎn)損失定位》，載《河南財經(jīng)政法大學學報》2020年第4期，第90頁。間接損失則是指與財物本身經(jīng)濟價值無關的但是與侵財行為有聯(lián)系的經(jīng)濟上的損失，比如搶劫罪中導致的人身傷害而形成的醫(yī)療費用等。但從侵財犯罪的本體來看，其中導致的經(jīng)濟損失主要是指直接的財物本身的經(jīng)濟價值。在財產(chǎn)損失判斷過程中，應當排除非物質性主觀價值和利他主義目的的商品化和經(jīng)濟化。(41)陳毅堅：《詐騙罪中財產(chǎn)損失的概念與認定——以混合型交易為中心》，載《政法論壇》2019年第1期，第43頁。在傳統(tǒng)的侵財型犯罪中，經(jīng)濟損失的內(nèi)涵主要限于財物本身的經(jīng)濟價值即財物數(shù)額，一般存在著“此消彼長”的關系(即被侵害一方所失，就是侵害一方所得)，在有些情況下還同時表現(xiàn)為附加侵財犯罪行為直接導致的非財物性價值(如搶劫中導致人身傷害產(chǎn)生的醫(yī)療費用等)。

在信息化時代，計算機安全有幾個基本的目標要求，即保護計算機信息系統(tǒng)及其中的數(shù)據(jù)或者信息的安全性、機密性、完整性和可用性。(42)Matt Bishop, Introduction to Computer Security, Addison-Wesley Professional, 259-275(2004).相應地，在危害計算機信息系統(tǒng)犯罪中特別強調計算機信息系統(tǒng)的安全性和數(shù)據(jù)信息本身的“機密性”“有用性”和“完整性”，這種狀態(tài)一旦被打破，即使數(shù)據(jù)信息在計算機信息系統(tǒng)中完好存在并沒有被刪除，其價值也受到了削弱，給權利人造成了消極影響，從而導致經(jīng)濟損失?！敖?jīng)濟損失”在危害計算機信息系統(tǒng)犯罪中主要從三大方面體現(xiàn)其重要性：一是其為犯罪的構成要件之一；二是其為量刑的主要決定性因素；三是其為被害人獲得賠償?shù)幕A。(43)Jennifer S. Granick, Faking It: Calculating Loss in Computer Crime Sentencing, 2 ISJLP 209 (2006).這也使得在危害計算機信息系統(tǒng)犯罪中，經(jīng)濟損失產(chǎn)生的情況比較復雜，既有可能是因為對系統(tǒng)功能本身的損害導致的經(jīng)濟損失，也有可能是對系統(tǒng)中儲存的數(shù)據(jù)信息的損壞或獲取泄露導致的經(jīng)濟損失。

在這類犯罪中不一定直接表現(xiàn)為財物本身數(shù)額的減少而形成經(jīng)濟損失，相反，有時計算機信息系統(tǒng)中的數(shù)據(jù)信息本身并沒有直接減少，但依然出現(xiàn)了經(jīng)濟損失。這是因為在計算機信息系統(tǒng)中所涉及的主要不是實在的有形財物，而是以數(shù)據(jù)信息表現(xiàn)出來的財產(chǎn)性利益。計算機濫用中所侵害的東西與既有的法律關于財產(chǎn)規(guī)定的類別與形態(tài)并不很符合，比如計算機程序或軟件，其可能只以電子脈沖或磁性方式存在于儲盤中，即使這些程序或軟件被盜用，原件依然存在，沒有被奪取。(44)Michael Gemignani, Computer Crime: The Law in '80, 13 Ind. L. Rev. 689,690(1980).這些表現(xiàn)為程序或軟件的電子數(shù)據(jù)信息雖然通過犯罪方式從此計算機中經(jīng)由網(wǎng)絡或特定的程序工具被復制轉移到彼計算機中，但并沒有對原來的程序數(shù)據(jù)做任何改變，其依然好端端地在原來計算機中運行著。因此，在危害計算機信息系統(tǒng)犯罪中，由于其中的數(shù)據(jù)信息的特殊性導致了這類犯罪的經(jīng)濟損失和傳統(tǒng)財產(chǎn)犯罪存在較大差異。

從上述關于傳統(tǒng)犯罪和危害計算機信息系統(tǒng)犯罪的經(jīng)濟損失的簡要分析來看，兩者雖在結果上都主要表現(xiàn)為導致他人經(jīng)濟上的價值減損，并且在法律的評價上也都主要以數(shù)額作為入罪和量刑的參照標準，但兩者又有較大的不同。從形式上看，在傳統(tǒng)的財產(chǎn)犯罪中是直接可見的損失，主要體現(xiàn)為財物的轉移、滅失、減少等直觀可見的價值減損；危害計算機信息系統(tǒng)安全犯罪既有直接可見的損失，還有系統(tǒng)不能正常運行或者安全運行導致的損失，還包括系統(tǒng)中的數(shù)據(jù)信息受到獲取或使用而導致本身的價值減損。因此，既存在“此消彼長”的關系，還存在“此未消彼未漲，但經(jīng)濟損失也發(fā)生”的情況。從范圍上看，危害計算機信息系統(tǒng)安全犯罪中經(jīng)濟損失的生成既有可能是有形實體，還包括無形物。一般而言，傳統(tǒng)財產(chǎn)犯罪中規(guī)定的是實際存在并可識別的財產(chǎn)，甚至在一些條文中明確規(guī)定的是“物”，這樣才可能在竊取過程中拿走屬于他人的東西。(45)Orin S. Kerr, Note, The Limits of Computer Conversion: United States v. Collins, 9 Harv. J.L. & Tech. 205, 209 (1996).在危害計算機信息系統(tǒng)犯罪中，受到侵害的數(shù)據(jù)信息則屬于無形物。這些無形的數(shù)據(jù)信息在計算機空間具有價值是因為其表征著一種財產(chǎn)利益，人們可以拿來在現(xiàn)實世界中花費使用，那些軟件、域名以及純粹的信息等，本身都具有經(jīng)濟價值。(46)Marc D Goodman and Susan W Brenner, The Emerging Consensus on Criminal Conduct in Cyberspace, 10 International Journal of Law and Information Technology no.2, 145(2002).這些數(shù)據(jù)信息作為無形物與有形實體物一樣代表著一種經(jīng)濟財產(chǎn)，可以給所有或合法持有人帶來經(jīng)濟上的利益。

打擊危害計算機信息系統(tǒng)安全犯罪的主要目的是保護數(shù)據(jù)信息，最重要的是謹慎地對數(shù)據(jù)信息及其體現(xiàn)的權益加以保護。(47)Donn B. Parker, Fighting Computer Crime: A New Framework for Protecting Information, Wiley Computer Publishing, John Wiley&Sons, Inc., 55(1998).這種保護體現(xiàn)了危害計算機信息系統(tǒng)安全犯罪所導致的“經(jīng)濟損失”和傳統(tǒng)犯罪所導致的“經(jīng)濟損失”在認定上的路徑差異：危害計算機信息系統(tǒng)安全犯罪中強調的是計算機數(shù)據(jù)信息安全和數(shù)據(jù)信息產(chǎn)生的財產(chǎn)性利益，而傳統(tǒng)財產(chǎn)犯罪中強調的主要是財物的安全。詐騙和盜竊的法律只反映了傳統(tǒng)的關于財產(chǎn)的觀念——有形的并常常是可以移動的實體物——這種按照慣例所定義的財產(chǎn)已經(jīng)在信息化時代不能被接受了，在信息社會下登錄程序或訪問金融賬號就像記一個數(shù)字那么簡單，不能以傳統(tǒng)財產(chǎn)犯罪的眼光和法律來對計算機犯罪中的財產(chǎn)進行相應認定(48)Jill S. Newman, The Comprehensive Crime Control Act of 1984: Filling the Gap in Computer Law, St. Louis Bar Journal, 32(1986).。對危害計算機信息系統(tǒng)安全犯罪的“經(jīng)濟損失”的確定和厘清要充分體現(xiàn)信息化時代要求，通過合理歸因和有效判定，突出對計算機信息系統(tǒng)本身及其中的數(shù)據(jù)信息價值的雙重保護功能。綜合上述分析，危害計算機信息系統(tǒng)安全犯罪的“經(jīng)濟損失”既有別于傳統(tǒng)侵財犯罪的“經(jīng)濟損失”，又在相關規(guī)定和司法認定中有其特殊性，應結合《解釋》的規(guī)定，分別從“給用戶直接造成的經(jīng)濟損失”和“用戶為恢復數(shù)據(jù)、功能而支出的必要費用”兩個方面予以完善。

(一)“給用戶直接造成的經(jīng)濟損失”的進一步細化

通過仔細對比美國法關于“經(jīng)濟損失”規(guī)定的內(nèi)涵，就會發(fā)現(xiàn)我國《解釋》中對“經(jīng)濟損失”的規(guī)定顯得相對單一和粗疏，容易導致認定上的困難，特別是其中關于“給用戶直接造成的經(jīng)濟損失”的表述，易造成誤判。如前文所述，1030條中的“經(jīng)濟損失”內(nèi)涵至少可以分解為四個方面。(49)即：1.被害人針對計算機網(wǎng)絡犯罪所采取的反應與措施成本；2.評估計算機損害所需的開支；3.恢復數(shù)據(jù)、程序、系統(tǒng)以及信息等到原有狀態(tài)的合理費用；4.因計算機被犯罪損害而失去的任何收入或付出的成本和其他因中斷服務帶來的損害性結果。如果將這種劃分具體分解適用到上述程某林案中，科脈公司所花費的2.12萬元，其實最接近于其中的第二項，即評估計算機損害所需的開支。我國《解釋》中規(guī)定的“給用戶直接造成的經(jīng)濟損失”，如果與1030條規(guī)定的“經(jīng)濟損失”內(nèi)涵向對應，最相似的應該是其中的第四項，即因計算機被犯罪損害而失去的任何收入或付出的成本和其他因中斷服務帶來的損害性結果。程某林的行為如果按照1030條的“經(jīng)濟損失”內(nèi)涵規(guī)定，其超越授權獲取所在公司“快食慧”“好餐謀”等軟件源代碼致使該公司不得不聘請第三方公司來進行安全檢測鑒定所花費的2.12萬元，無疑屬于造成了經(jīng)濟損失，應該被定罪處刑。但是按照我國《解釋》對“經(jīng)濟損失”的規(guī)定，其并未對所在公司造成直接的經(jīng)濟損失，也就達不到“情節(jié)嚴重”的要求，故而可以免除刑罰處罰。因此，在關于“經(jīng)濟損失”的規(guī)定上，我們應該區(qū)分不同情況進行更精細的規(guī)定，進一步明確“給用戶直接造成的經(jīng)濟損失”是指行為人實施危害計算機信息系統(tǒng)犯罪行為后，在用戶未采取有關補救措施之前致使用戶產(chǎn)生的實際的損失，包括失去的應有經(jīng)濟收入或付出的經(jīng)濟成本和其他因中斷服務帶來的現(xiàn)實經(jīng)濟價值的減損。

(二)“用戶為恢復數(shù)據(jù)、功能而支出的必要費用”的進一步明確

用戶恢復數(shù)據(jù)、功能到何種狀態(tài)算是恢復以及怎么來確定支出的費用是“必要”的？這是關鍵的問題。前文分析了美國法院在1030條的“經(jīng)濟損失”規(guī)定下，對計算機“再安全”和損失計算的“合理性”的判解(50)United States v. Middleton, 231F.3d 1207(9th Circuit, 2000).以及學界關于“合理性”的不同主張。其中的“再安全”與“合理性”類似于我國司法解釋規(guī)定上的“恢復”和“必要”。在美國判例中對“再安全”的認識是，要求對計算機系統(tǒng)安全進行修復并使之與原來狀況一樣，而不是更安全，即任何改良的成本不能當作犯罪造成的損失數(shù)額，“合理”是指進行經(jīng)濟損失的計算時必須仔細檢查其涉及的價值是否合理，也就是在邏輯上要排除陪審團認為是過多的任何支出。(51)United States v. Middleton, 231F.3d 1207, 1215(9th Circuit, 2000).美國法院判例對于“再安全”和“合理性”的判解觀點可以作為我們對我國《解釋》規(guī)定的“恢復”和“必要”進行理解時的參考?；謴蛿?shù)據(jù)、功能就是使之達到計算機遭受攻擊或破壞以前的完好或安全狀態(tài)；支出的必要費用就是指為了恢復計算機信息系統(tǒng)中的數(shù)據(jù)或功能到原來的完好或安全狀態(tài)而支出的必需的合理費用，同時用戶在恢復數(shù)據(jù)、功能過程中采取安全防護、檢測鑒定、彌補安全漏洞等有關必要的措施使計算機信息系統(tǒng)恢復到受害之前的狀態(tài)而產(chǎn)生的必要合理成本也應屬于“用戶為恢復數(shù)據(jù)、功能而支出的必要費用”。

(三)簡要的結論

綜合上述分析，我國《解釋》中“經(jīng)濟損失”的內(nèi)涵應進一步解釋為：給用戶直接造成的經(jīng)濟損失，是指行為人實施危害計算機信息系統(tǒng)的犯罪行為后，在用戶未采取有關補救措施之前致使用戶產(chǎn)生的實際的損失，包括失去的應有經(jīng)濟收入或付出的經(jīng)濟成本和其他因中斷服務帶來的現(xiàn)實經(jīng)濟價值的減損；用戶為恢復數(shù)據(jù)、功能而支出的必要費用，是指用戶為恢復計算機信息系統(tǒng)數(shù)據(jù)、功能使之達到遭受攻擊或破壞以前的完好或安全狀態(tài)而支出的必需的合理費用以及用戶為使數(shù)據(jù)、信息、系統(tǒng)功能達到受害之前的狀態(tài)而采取的安全防護、檢測鑒定、彌補安全漏洞等措施所產(chǎn)生的必要成本。按照這一解釋，上述程某林案中，科脈公司所花費的2.12萬元無疑可以計算入“經(jīng)濟損失”的范圍，而程某林的行為則構成犯罪，應受到刑罰處罰。另外，在對“經(jīng)濟損失”的內(nèi)涵予以解釋建構的基礎上，還建議最高司法機關適時發(fā)布相關的指導性案例，為“經(jīng)濟損失”的認定提供有力參考，使定罪處刑更準確，避免誤解誤判。