计算机犯罪的有关法律问题,本文主要内容关键词为:法律问题论文,计算机论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
编者按:
当今社会,计算机技术的广泛应用和发展,促进了社会进步和繁荣。但与之而来的计算机犯罪也呈日益增长的趋势。计算机犯罪作为一种高科技犯罪,虽然在我国还不很多见,但在发达国家已相当普遍,危害特别严重,已引起各国高度重视。对计算机犯罪我们应该有一种超前的意识,对其中的法律问题进行探讨。
计算机犯罪的手段
计算机犯罪手段主要分为暴力和非暴力两种。暴力手段是指对计算机资产实施物理性破坏,如使用武器摧毁系统设备和设施,炸毁计算机中心等活动。非暴力手段是指用计算机技术知识及其他技术进行犯罪活动。后者称高技术犯罪或智能犯罪,而且这部分犯罪最为常见。为了在设计计算机安全保护功能时,能充分考虑到计算机犯罪手段复杂性及多样化,从而有效地预防计算机犯罪,并为有关计算机犯罪的立法提供基础,了解当前计算机犯罪的主要手段是非常必要的。
1.特洛伊木马术(Trojan Horse)。 特洛伊木马术是借用公无前1200年古希腊特洛伊战争中,把士兵隐藏在木马腹中进入敌方城堡, 出其不意而攻占城堡的故事,来表示以软件程序为基础进行欺骗和破坏的方法。这种方法是在一个计算机程序中先指定任务的情况下,执行非授权的功能进行犯罪活动。在日本发生的PC—VAN事件是一例。PC—VAN是日本最大的个人计算机通讯网络。但在1988年8月中旬, 网络中成员都可以屏幕上看到意义不明的文章。经过跟踪调查,确认这一意义不明的文章是一种暗号,是“罪犯”用以盗窃其他成员口令(密码文字)的一个手段。“罪犯”通过电子邮件把带有“机关”的程序从网络中发送给用户,网络成员只要一启动个人计算机,这一“机关”便立即潜入该机的操作系统,并在屏幕上出现意义不明的文章。为了弄清其含义,用户往往输入自己的密码,以寻求系统的帮助。这样,“罪犯”便能窃取到对方的密码了。这是计算机犯罪中典型的特洛伊木马术。
2.数据欺骗(Data Deceiving)。非法篡改输入、输出数据或输入假数据。如伪造或冒充输入文件,用事先准备好的替换内容更换正常的输入内容等。这种犯罪常常发生在数据输入前或输入过程中,包括数据的产生,记录、传送、编辑、校对、调试、变更和转移等各个环节。这是计算机犯罪中最简便、最普通、最常见的方法。由于罚款理由一项数据被人篡改,信件内容变成了收信人因谋杀和敲诈勒索犯罪而必须交纳罚款,一时间造成极坏的社会影响。当然,该办公室的几万封道歉信也赶紧发出去了。
3.意大利香肠术(SalamiTechnipues)。Salami是指意大利式香肠。这种犯罪是采用不易觉察的手段,使对方自动作出一连串的细小让步,最后达到犯罪的目的。如美国的一个银行计算机操作员在处理数百万份客户的存取帐目时,每次结算都截留一个四舍五入的利息尾数零头,然后将这笔钱转到另一个虚设的帐号上,经过日积月累,积少成多,盗窃一大笔款项。这种截留是通过计算机程序控制自动进行的。
4.逻辑炸弹(Logic Bombs)。有意设置并插入程序的编码。 这些编码只有在一个特定时间(没有定时器)或是特定的条件下才执行,如以进行某种特定事务处理的输入作为触发信号而发起攻击的“炸弹”。逻辑炸弹是对系统的潜在威胁和隐患,它有可能抹除数据文库,或者破坏系统功能,使整个系统瘫痪。例如美国某公司负责工资表格的程序员在文件中事先秘密放置了一段程序,当他本人被公司解雇或他的名字从工资表中去掉时,在他离开公司三个月后,该程序破坏了系统的文件库。
5.超级冲杀(Superzapping)。Superzap是由大多数IBM 计算机中心使用的公用程序(共享程序)。它是一个仅在特殊情况下(当计算机出现故障、停机或其他需要人工干预时)方可使用的高级计算机系统干预程序。若被非授权用户使用,就可能从事非法存取或破坏数据及系统功能的犯罪活动。如美国新泽西州一家银行的计算机操作人员不通过通常的控制日记记录,而是利用干预程序直接修改客户的帐目,盗走12 8万美元。
6.活动天窗(Trapdoors )它是一种由程序开发者有意安排的指令语句。该种语句利用人为设置的窗口侵入系统,在程序查错、修改或是再启动时通过这些窗口访问有关程序。窗口的操作只有程序开发者掌握其秘密,而别人则往往会进入死循环或其他歧路。例如,美国底特律的几位汽车工程师通过佛罗里达商用分时服务系统中的一个活动天窗,查到了公司总裁的口令,进而获得了具有重要商业价值的计算机文件。
7.废品利用(或称拾垃圾Scavenging)。有目的或有选择地从废弃的资料、磁带、磁盘中搜寻具有潜在价值的数据和信息、密码等。例如,有一个用户从磁盘上窃取到若干石油公司暂存的地震测量数据,并把这些具有商业价值的数据转卖给其他的石油公司从中牟利。
8.寄生术(Woms Smilar to Zapping)。用某种方式紧跟享有特权的用户打入系统,或者在系统中装入“寄生虫”。它主要以小型机和分布式网络系统为攻击目标,并通过网络进行传播,进而危害整个系统。通常情况下,其恶性作用会造成正常的网络服务遭到拒绝或发生死锁。
9.数据泄露(Data leakage)。这是一种有意转移或窃取数据的手段。例如,有的作案者将一些关键数据渗漏混杂在一般性的报表之中;有的计算机间谍在计算机系统的中央处理机上安装微型无线电发射机,将计算机处理的内容传送给几公里外的接收机。
10.浏览(Brow sing)。利用合法使用手段查找搜寻不允许访问的文件。通常,这种活动并没有明确的目标,只是对“只读”、“防写”或加密的文件感兴趣。如利用合法访问某一指定部分文件的机会,趁机访问非授权文件。
11.截收(Intercept)。用必要的设备从系统通信线路上直接截取信息,或者接收计算机设备和通信线路辐射出来的电磁波信号并用以犯罪。
12.冒名顶替(Impersonation)。通过非法手段获取他人口令或许可证明之后,冒充合法使用者从事欺骗或其他犯罪活动。例如,从旁窥探终端用户进入终端时健入的密码口令;趁用户临时有事暂离或去接电话之机使用终端或以用户身份进行非授权访问;冒领或“代领”用户程序或打印结果;冒充上机用户领取存放在计算机中心的磁带或软磁盘等等。
13.伪造(Fabrication)。如伪造他人的信用卡、磁卡、存折等。如我国1986年发现的首例计算机犯罪。1986年7月22日, 港商李某前往深圳人民银行和平路支行取款,微机显示,其存款少了两万元人民币。两个月后,迎春路支行也发生了类似情况,某省驻深圳办事处赵某存入银行的三万元港币,经微机检索也已不翼而飞。经侦查认定,上述存款均被同一犯罪分子利用计算机知识伪造存折和隐形印鉴诈骗而去。这类犯罪极为常见,举不胜举。
14.制造或传播计算机病毒(Computer Virus)。 计算机病毒是隐藏在可执行程序中或数据文件中,在计算机内部运行的一种干扰程序。计算机病毒已经成为计算机犯罪者的一种有效手段,也是对计算机进行攻击的最严重的方法。它具有可传播、可激发和可潜伏性,可能会夺走大量的资金、人力和计算机资源,甚至破坏各种文件及数据,造成机器的瘫痪,带来难以挽回的损失。它同一般生物病毒一样,具有多样性和传染性,可以繁殖和传播,因此有人将它喻为计算机系统的“爱滋病”。如美国康奈尔大学一名25 岁的大学生、 计算机能手罗伯特·莫里斯在1988年11月2日编制了名为“蚯蚓”的淘气程序, 使包括美国宇航局、军事基地和一些主要大学在内的6000台计算机染上病毒,陷于瘫痪。最终法院根据有关法律判处其3年缓刑并罚款1 万美元, 同时必须参加400小时的社区服务。
计算机病毒最初起源于美国,十几年前首先发生在美国电报电话公司的贝尔实验室,由于工作人员失误而制造出了病毒。计算机病毒的本质是非授权的程序加载。它可以按指数模式进行传播或扩散。所以,计算机病毒的破坏力不在于软件的大小,相当程度上取决于病毒的再生机制。在某种意义上,计算机病毒也是对缺乏软件安全意识和随意拷贝软件的一种惩罚。
目前发现的计算机病毒已有上千种,传入我国的病毒也已过百种,以小球病毒和大麻病毒为甚。小的计算机病毒程序只有20多条指令,不到50个字节;而大的计算机病毒程序则象是一个操作系统,由上万条指令组成。不同的病毒有不同的症状特征。有的可直接察觉,有的则表面无异常,而在系统内部造成危害,还有的病毒在不同的条件下呈现不同的症状;有些病毒传播很快,并且一旦侵入就马上摧毁系统,而另一些病毒则有较长的潜伏期,在潜伏一段时间后才发作;另外,不同种类的病毒传播介质也不尽相同。根据病毒所寻找的宿主,可将病毒分为源码病毒(Source Code Viruses)、入侵病毒(Intrusive Viruses)、外壳病毒(Shell Viruses)和操作系统病毒(OS Viruses)。 前三种病毒是相对于主程序或源程序而言;而操作系统病毒程序是把大量的攻击逻辑隐藏在虚假地标明为坏磁道的扇区上,其他部分则装在常驻内存的程序或设备的驱动器之中,以便秘密地从内存进行感染或攻击。
计算机犯罪的主体
至今为止,对计算机犯罪主体的认识各有千秋,有的认为是特殊主体,俗称为“白领犯罪”;有的认为,是一般主体;还有的认为,计算机犯罪的主体可分为一般主体和特殊主体,但在认定其特殊主体时,仍以犯罪人的职务和身份为界,等等。笔者对此略述管见,以求教于各位先生和同仁。
一、计算机犯罪的主体表现为一般主体和特殊主体。
计算机犯罪主体,就是指达到法定责任年龄,具有刑事责任能力,实施计算机犯罪行为的自然人。由于计算机犯罪是一种新型犯罪,因而它具有不同于普通犯罪的显著特征,尤其是它明显地带有智能性犯罪的性质,故往往使人容易误认为此犯罪均为特殊主体。计算机在计算机犯罪中,无非扮演了两个不同的角色,即:犯罪工具(利用计算机作为工具进行犯罪活动)和犯罪对象(计算机资产,包括大、中、小、微型信息控制系统,是犯罪分子袭击的对象或目标)。无论何种具体的计算机犯罪都离不开这两个方面。因此,计算机犯罪的定义应该是:“行为人以计算机为工具,或以计算机资产为攻击对象而实施的危害社会并应处以刑罚的行为。”此定义说明了计算机在其犯罪中所处的地位和所起的作用,以及计算机犯罪的特点和基本含义。同时,这也是研究计算机犯罪主体的依据。在以计算机资产为攻击对象实施的犯罪中,其主体并非均为特殊主体。同样,以计算机为工具的计算机犯罪,笔者认为也不都是特殊主体。利用计算机作为犯罪工具有各种各样的方法,无论方法如何变化都离不开以下两种情况,即:直接法和间接法。所谓“直接法”,就是行为人为直接把计算机作为犯罪工具实施犯罪。实施这种犯罪行为的人理所当然要具备计算机方面的专业知识,故其犯罪主体只能是特殊主体。所谓“间接法”,就是行为人通过中间人把计算机作为犯罪工具而实施犯罪。其犯罪主体可以是一般主体。这里行为人与中间人并非是共犯。该中间人是具备计算机专业知识的人,但是并不知道自己的行为给犯罪分子钻了空子。
二、如何认定计算机犯罪中的特殊主体
计算机犯罪既可以由一般主体,也可以由特殊主体构成。对一般主体,笔者不再阐述。对特殊主体,笔者认为应理解为“具有一定的计算机专业知识,从事计算机信息系统操作、管理、维修以及其它有关人员”。其主要理由如下:
(1)符合犯罪主体特定身分的立法目的
刑法上设立犯罪主体特殊身份的规定,概括起来,不外乎要达到两个目的:其一,借助行为人某些特殊身份的有无,来限制某些犯罪主体及犯罪成立的范围,以区分罪与非罪、此罪与彼罪的界限,以便准确妥当地对某些危害行为追究刑事责任。其二,借助行为人某些特殊身份的有无,来区分犯罪罪责的轻重,以突出和加重对某些具备特殊身份的犯罪分子及其特定犯罪行为的打击,使刑罚的适用与其刑事责任程度相适应。从掌握计算机技术知识上去划定特殊身份,不仅符合刑法的上述两个目的,而且对进一步完善刑法理论上对犯罪主体特定身份规定的内容,也起到积极作用。
(2)将计算机犯罪的特殊主体仅从从事的职业上认定, 是不够的。
我国刑法第112条规定,从事交通运输的人员违反规章制度, 因而发生重大事故,致人重伤、死亡或者使公私财产遭受重大损失的, 处3年以下有期徒刑或者拘役;情节特别恶劣的,处3年以上7年以下有期徒刑。非交通运输人员犯前款罪的依照前款规定处罚。这样规定可以说该罪不是由特殊主体构成的。如把计算机犯罪的特殊主体也按职业认定,势必也会出现同样的问题,在司法实践中很难区分。因此,对此类技术性犯罪主体必须要求“掌握计算机专业技术知识。”
(3 )增加“掌握计算机专业技术知识”作为认定特殊身份的资格,有利于我国刑法理论进一步完善
按照掌握的专业技术知识或技能去认定犯罪特殊主体,国外已有先例。目前,在美国、德国、日本等发达国家超导技术已开始在各个领域应用。这些国家对在采用超导技术已开始在各个领域应用。这些国家对在采用超导技术的悬浮列车的使用中发生的交通肇事罪,其特殊主体,限定为具有一定超导技术的专门人员构成。
计算机犯罪的防范
计算机犯罪是一种高智能犯罪。防范计算机犯罪必须用“综合治理”的方法,从技术、管理和法律三个方面着手:
1.加强计算机安全管理。计算机机房、终端室、网络控制室等关键场所应加强安全保卫。重要的部位或区域要用电子门锁,用计算机控制人员出入,并登录姓名和出入时间。对高度机密的部门或区域应有核对指纹、声纹的设备。要害部位应有电视监视系统和自动报警系统。
2.对重要的计算机系统应加电磁屏蔽,防止电磁波辐射而造成信息外窃和外部电磁场干扰计算机的正常工作。
3.对工作人员进行识别和验证,以保证只有授权的人员才能访问计算机系统和数据。常用的方法是设置口令和密码,输入后由电脑验证。口令和密码应经常更换。
4.加强计算机犯罪的侦查和审判职能
计算机犯罪案件牵涉到高度的机密性、技术性、隐蔽性,这类案件的侦破和审判可以安排懂计算机技术的专家参加,也可以通过对刑侦人员和审判人员进行计算机专业训练,使他们掌握计算机犯罪的特性及规律,以提高对各类计算机犯罪的侦查能力和审判水平。
5.制订法规,防止和惩罚计算机犯罪
美国早在1975年就起草了《联邦计算机系统保护法》、该法案规定:任何人只要为了图谋或实施任何欺诈方案或诡计,或利用虚假的手段、陈述或承诺获取金钱、财物或服务,而直接地或间接地接近或使之接近任何计算机、计算机系统及计算机网络,利用计算机进行犯罪者,将构成重罪犯,可处15年以下的监禁或5万美元以下的罚金, 或二者并罚。1984年该国又通过了《电脑诈骗和滥用法案》,以打击计算机犯罪。国会还组建了一支由警方和特工人员组成的打击计算机犯罪的特别组织。继美国之后,日本、加拿大、英国、法国、德国也制定了专门防止利用计算机犯罪的法律。
根据我国计算机犯罪的实际情况,国务院已发布了《计算机软件保护条例》,并于1991年10月1日施行。1994年2月28日,国务院又发布实施了《中华人民共和国计算机信息系统保护条例》。1995年2月28日, 八届人大十二次会议又通过了《中华人民共和国警察法》,该法规定:“监督管理计算机信息系统安全保护工作。”这些法规的出台,结束了我国计算机信息系统无法可依的局面。但由于计算机犯罪和一般犯罪不同,是一种高科技的智能犯罪,其软件、磁盘、磁碟等电磁记录物以及计算机病毒在原有的刑法中没有明确解释,适用上会产生困难,因此,有必要在刑法中增订有关惩处计算机犯罪的条款,可以用计算机的专门用语来规定罪名,根据犯罪的危害性程度来确定法定刑,或制定制裁计算机犯罪的单行法规。例如,对病毒的侵害行为,建议以故意制造传播计算机病毒罪或以计算机病毒侵害罪论处。
总之,治理电脑犯罪这类高科技犯罪是一项系统工程,迫切需要既有科技知识又有法律知识的人才。为此,笔者建议在高等政法院校组建《高科技与犯罪》教研室,探索研究预防和治理各种高科技犯罪的措施和方法,培养高科技知识与法律知识兼备的双重知识人才。建议在公、检、法机关中,相应设立高科技犯罪组,打击、制裁计算机电脑犯罪和各类高科技犯罪。