“非法侵入计算机信息系统罪”等九个常见疑难问题

《网络犯罪办案手册》

这本书是目前市面上

最全的一本办理网络犯罪案件的工具书

（共有90万字 887页）

目录 | 网络犯罪办案手册

是“全国网络犯罪检察人才”任留存

侦查业务能手戴奎

十年办案经验的精华

重磅提醒：

本书《网络犯罪办案手册》

非法侵入计算机信息系统罪，非法获取计算机信息系统数据、非法控制计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪

目录

一、犯罪构成

二、疑难问题

（一）“身份认证信息”的范围界定

（二）超出授权范围使用账号、密码登录计算机信息系统后,下载其储存的数据行为的定性

（三）通过修改、增加计算机信息系统数据，对该计算机信息系统实施非法控制，但未造成系统功能实质性破坏或者不能正常运行的行为定性

（四）专门用于侵入、非法控制计算机信息系统的程序、工具的认定

（五）盗号类软件开发者、提供者的行为定性

（六）危害计算机信息系统安全犯罪案件的检验问题

（七）非法侵入计算机系统罪的审查要点

（八）非法获取计算机信息系统数据、非法控制计算机信息系统罪的审查要点

（九）提供侵入、非法控制计算机信息系统程序、工具罪的审查

三、追诉量刑

（一）非法获取计算机信息系统数据、非法控制计算机信息系统行为的定罪量刑标准

（二）提供侵入、非法控制计算机信息系统程序、工具行为的定罪量刑标准

（三）定罪量刑对应表

一、犯罪构成

（一）《刑法》（2020年12月26日修正）

第二百八十五条　【非法侵入计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

（二）学理解释

本节各罪的犯罪主体均为一般主体，即年满16周岁、具有刑事责任能力的自然人、单位。

二、疑难问题

（一）“身份认证信息”的范围界定

1.《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（法释〔2011〕19号，2011年9月1日起施行）

第十一条第二款　本解释所称“身份认证信息”，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。

2.关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释的理解与适用喻海松：《〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉的理解与适用》，载《人民司法·应用》2011年第19期。

由于《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》多处涉及“身份认证信息”这一术语，第11条第2款明确了“身份认证信息”的内涵和外延。

考虑到司法实践的具体情形，采用了概括加例举的方法，将“身份认证信息”界定为用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。从实践来看，数字签名、生物特征等都属于身份认证信息。

（二）超出授权范围使用账号、密码登录计算机信息系统后,下载其储存的数据行为的定性

\[检例第36号：卫某某、龚某、薛某某非法获取计算机信息系统数据案\]

超出授权范围使用账号、密码登录计算机信息系统,属于侵入计算机信息系统的行为;侵入计算机信息系统后下载其储存的数据,可以认定为非法获取计算机信息系统数据。

非法获取计算机信息系统数据罪中的“侵入”,是指违背被害人意愿、非法进入计算机信息系统的行为。其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。

本案中,被告人龚某将自己因工作需要掌握的本公司账号、密码、Token令牌等交由卫某某登录该公司管理开发系统获取数据,虽不属于通过技术手段侵入计算机信息系统,但内外勾结擅自登录公司内部管理开发系统下载数据,明显超出正常授权范围。

超出授权范围使用账号、密码、Token令牌登录系统,也属于侵入计算机信息系统的行为。行为人违反《计算机信息系统安全保护条例》第7条、《计算机信息网络国际联网安全保护管理办法》第6条第1项等国家规定,实施了非法侵入并下载获取计算机信息系统中存储的数据的行为,构成非法获取计算机信息系统数据罪。

按照《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》规定,构成犯罪,违法所得25000元以上,应当认定为“情节特别严重”,处3年以上7年以下有期徒刑,并处罚金。

（三）通过修改、增加计算机信息系统数据，对该计算机信息系统实施非法控制，但未造成系统功能实质性破坏或者不能正常运行的行为定性

\[最高法指导案例145号：张某某等非法控制计算机信息系统案\]

通过修改、增加计算机信息系统数据，对该计算机信息系统实施非法控制，但未造成系统功能实质性破坏或者不能正常运行的，不应当认定为破坏计算机信息系统罪，符合《刑法》第285条第2款规定的，应当认定为非法控制计算机信息系统罪。

被告人张某某等虽对目标服务器的数据实施了修改、增加的侵犯行为，但未造成该信息系统功能实质性的破坏，或不能正常运行，也未对该信息系统内有价值的数据进行增加、删改，其行为不属于破坏计算机信息系统犯罪中的对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的行为，应认定为非法控制计算机信息系统罪。

（四）专门用于侵入、非法控制计算机信息系统的程序、工具的认定

1.《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（法释〔2011〕19号，2011年9月1日起施行）

第二条　具有下列情形之一的程序、工具，应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:

（一）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的；

（二）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权对计算机信息系统实施控制的功能的；

（三）其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。

2.关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释的理解与适用喻海松：《〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉的理解与适用》，载《人民司法·应用》2011年第19期。

《刑法》第285条第3款的“专门用于侵入、非法控制计算机信息系统的程序、工具”，是指行为人所提供的程序、工具只能用于实施非法侵入、非法控制计算机信息系统的用途。

可见，其区别于一般的程序、工具之处在于此类程序、工具专门用于违法犯罪目的，而不包括那些既可以用于违法犯罪目的又可以用于合法目的的“中性程序”。

因此,“专门”是对程序、工具本身的用途非法性的限定，是通过程序、工具本身的用途予以体现的。而程序、工具本身的用途又是由其功能所决定的，如果某款程序、工具在功能设计上就只能用来违法地实施控制、获取数据的行为，则可以称为“专门工具、程序”。我们认为，从功能设计上可以对“专门用于侵入、非法控制计算机信息系统的程序、工具”作如下限定：

首先，程序、工具本身具有获取计算机信息系统数据，控制计算机信息系统的功能。《刑法》第285条第3款的用语是“专门用于侵入、非法控制计算机信息系统的程序、工具”，从字面上看，没有涉及“专门用于非法获取数据的工具”。

但是，从刑法规范的逻辑角度而言，《刑法》第285条第3款应当是前两款的工具犯。“专门用于侵入、非法控制计算机信息系统的程序、工具”，既包括专门用于侵入、非法控制计算机信息系统的程序、工具，也包括通过侵入计算机信息系统而非法获取数据的专门性程序、工具。

顺带需要提及的是，基于同样的理由，《刑法》第285条第3款后半句规定的“明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具”，这里的“侵入”既包括非法侵入计算机信息系统行为，也包括通过侵入计算机信息系统而非法获取数据的行为。

由于专门用于实施非法侵入计算机信息系统的程序、工具较为少见，而且难以从功能上对其作出界定，对其主要应通过主观设计目的予以判断（即《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第2条第3项的规定）。基于上述考虑，这里主要强调了程序、工具本身的获取数据和控制功能。

其次，程序、工具本身具有避开或者突破计算机信息系统安全保护措施的功能。有不少木马程序既可用于合法目的也可用于非法目的，属于“中性程序”，比如Windows系统自带的Terminal Services（终端服务）也可以用于远程控制计算机信息系统，很多商用用户运用这种远程控制程序以远程维护计算机信息系统。

通常情况下，攻击者使用的木马程序必须故意逃避杀毒程序的查杀、防火墙的控制，故此类木马程序区别于“中性的”商用远程控制程序的主要特征是其具有“避开或者突破计算机信息系统安全保护措施”的特征，如自动停止杀毒软件的功能、自动卸载杀毒软件功能等，在互联网上广泛销售的所谓“免杀”木马程序即属于此种类型的木马程序。因此，本条将“专门用于避开或者突破计算机信息系统安全保护措施”作为界定标准之一。

最后，程序、工具获取数据和控制功能，在设计上即能在未经授权或者超越授权的状态下得以实现。这是专门程序、工具区别于“中性程序、工具”的典型特征，是该类程序违法性的集中体现。

例如“网银大盗”程序，其通过键盘记录的方式，监视用户操作，当用户使用个人网上银行进行交易时，该程序会恶意记录用户所使用的账号和密码，记录成功后，程序会将盗取的账号和密码发送给行为人。

该程序在功能设计上即可在无须权利人授权的情况下获取其网上银行账号、密码等数据。“中性”程序、工具不具备在未经授权或超越授权的情况下自动获取数据或者控制他人计算机信息系统的功能。

基于上述考虑，《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第2条第1、2项将具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能或者对计算机信息系统实施控制的功能的程序、工具列为“专门用于侵入、非法控制计算机信息系统的程序、工具”。这两类程序都符合了上述3个要件，明显有别于“中性程序”，能够被认定为“专门性程序、工具”。

此外，第3项还列出了其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。

在黑客攻击破坏活动中还存在很多专门为实施违法犯罪活动而设计的程序、工具，比如攻击者针对某类网吧管理系统的漏洞专门设计的侵入程序，针对某个网络银行系统设计专用的侵入程序，此类程序难以进行详细分类并一一列举，也难以准确地概括其违法性的客观特征。

因此，此处规定并不是通过程序的客观特性界定其范围，而是通过设计者的主观动机予以界定，具体哪些程序属于这一范畴应当具体情形具体分析。

（五）盗号类软件开发者、提供者的行为定性

撞库类软件、手机验证码软件、批量密码找回软件、洗号软件、扫号软件、账号解除异常、钓鱼链接、钓鱼木马程序等具有突破或避开计算机信息系统安全保护措施,未经授权或超越授权获取计算机信息系统数据的功能，属于专门用于侵入、非法控制计算机信息系统的程序、工具，如开发者、提供者与使用者存在事先通谋，或者按照使用者的特定犯罪需要、犯罪方式定制程序，开发者、提供者对使用者的犯罪行为有明确的认知，且仍积极追求、放任该犯罪结果发生，符合共同犯罪的，按照共同犯罪处罚；

如果开发者、提供者只对使用者实施的违法犯罪行为存在概括认知，但缺乏共同犯罪故意，可根据《刑法》第285条第3款的规定，按照提供侵入、非法控制计算机信息系统的程序、工具罪处罚。

（六）危害计算机信息系统安全犯罪案件的检验问题

1.《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（法释〔2011〕19号，2011年8月1日施行）

第十条　对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的，应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论，并结合案件具体情况认定。

2.关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释的理解与适用喻海松：《〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉的理解与适用》，载《人民司法·应用》2011年第19期。

《计算机信息系统安全保护条例》第6条规定：“公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。”

因此，对于相关情形难以确定的，应当根据案件具体涉及的领域，从省级以上的公安部门、国家安全部门、保密部门或者其他有关部门中选取确定检验部门。从实践来看，进行检验的部门主要应当是省级以上公安机关。

（七）非法侵入计算机系统罪的审查要点

1.非法侵入手段的审查。应当注重审查是否采用技术破解、通过黑客软件侵入网站、非法获得账户密码进行登录、未经授权使用事先知道的他人账号、密码、猜测他人账号、密码非法登录或超出授权范围使用账号、密码等方式，以证实是否存在违背权利主体意愿，未经授权或超越授权进入计算机信息系统的行为，包括利用技术手段突破系统防护、未经权利主体授权擅自进入他人的计算机信息系统。

2.非法侵入对象的审查。本罪要求侵入对象为国家事务、国防建设、尖端科学技术领域的计算机信息系统，应当结合计算机信息系统的管理者及用途进行审查认定。对于国家事务、国防建设、尖端科学技术领域的计算机信息系统难以确定的，应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。

（八）非法获取计算机信息系统数据、非法控制计算机信息系统罪的审查要点

非法获取计算机信息系统罪，可以通过调取被侵入的计算机信息系统的控制端程序、相关数据，审查犯罪嫌疑人实施侵入行为时设备、程序、工具的使用情况、非法获取的计算机信息系统数据情况，结合在案其他证据综合认定非法获取数据行为；

可以根据从犯罪嫌疑人作案设备中提取的涉案数据特征、数量、种类，结合用于非法侵入并获取计算机信息系统数据的程序、工具使用情况，以及相关言词证据等确定犯罪嫌疑人非法获取的计算机信息系统数据情况；

也可以通过审查被侵入计算机信息系统被侵入期间的访问、数据读取等记录，结合上述记录的生成机制以及生成过程认定犯罪嫌疑人非法获取的计算机信息系统数据情况。

非法控制计算机信息系统罪，可以根据从犯罪嫌疑人作案设备以及被非法控制的计算机信息系统内提取的程序、通讯日志等电子数据，结合言词证据等综合确定上述设备的控制与被控制关系。

注重对计算机信息系统、涉案程序、工具、网站运行机制的全面审查，注重利用电子数据、检查笔录等客观性证据，并根据侵入、控制手段或其他技术手段的具体特征确定犯罪后果以及因果关系。

（九）提供侵入、非法控制计算机信息系统程序、工具罪的审查

1.提供程序、工具行为的审查。注重对涉案程序、工具的来源审查，可以通过犯罪嫌疑人的通信传送记录、互联网公开发布记录、交易记录等，结合犯罪嫌疑人供述、被提供人关于涉案程序、工具来源的说明等证据审查认定犯罪嫌疑人的提供行为。

2.专门用于侵入、非法控制计算机信息系统的程序、工具的审查。

（1）通过审查被侵入、被非法控制计算机信息系统的安全保护措施认定涉案程序是否具有侵入、非法控制的目的，以及是否具有避开或者突破计算机信息系统安全保护措施的功能。

（2）通过审查计算机信息系统被侵入、非法控制的具体情形，认定涉案程序、工具是否在未经授权或者超越授权的情况下，获取计算机信息系统数据、非法控制计算机信息系统。

（3）其他专门用于侵入计算机信息系统、非法控制计算机信息系统的程序、工具的审查。可以通过审查涉案程序、工具的设计目的、功能用途等进行认定，对于“钓鱼软件”“DDoS”软件等明显不具有正常业务用途的程序、工具，认定为专门用于侵入计算机信息系统、非法控制计算机信息系统的程序、工具。

3.鉴定意见、检验意见的审查。对于涉案程序、工具是否属于专门用于侵入、非法控制计算机信息系统的程序、工具难以确定的，一般应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验确定，也可以委托司法鉴定机构或者有专门知识的人等对涉案程序、工具的功能、运行原理等开展鉴定、检验，审查时可以根据鉴定意见、检验意见，结合法律、司法解释的有关规定，认定是否属于专门用于侵入、非法控制计算机信息系统的程序、工具。

\[检例第68号：叶某某、张某某提供侵入计算机信息系统程序、谭某某非法获取计算机信息系统数据案\]

对有证据证明用途单一,只能用于侵入计算机信息系统的程序,司法机关可依法认定为“专门用于侵入计算机信息系统的程序”;难以确定的,应当委托专门部门或司法鉴定机构作出检验或鉴定。

审查认定“专门用于侵入计算机信息系统的程序”,一般应要求公安机关提供以下证据:一是从被扣押、封存的涉案电脑、U盘等原始存储介质中收集、提取相关的电子数据。二是对涉案程序、被侵入的计算机信息系统及电子数据进行勘验、检查后制作的笔录。

三是能够证实涉案程序的技术原理、制作目的、功能用途和运行效果的书证材料。四是涉案程序的制作人、提供人、使用人对该程序的技术原理、制作目的、功能用途和运行效果进行阐述的言词证据,或能够展示涉案程序功能的视听资料。

五是能够证实被侵入计算机信息系统安全保护措施的技术原理、功能以及被侵入后果的专业人员的证言等证据。六是对有运行条件的,应要求公安机关进行侦查实验。对有充分证据证明涉案程序是专门设计用于侵入计算机信息系统、非法获取计算机信息系统数据的,可直接认定为“专门用于侵入计算机信息系统的程序”。

证据审查中,可从以下方面对涉案程序是否属于“专门用于侵入计算机信息系统的程序”进行判断:一是结合被侵入的计算机信息系统的安全保护措施,分析涉案程序是否具有侵入的目的,是否具有避开或者突破计算机信息系统安全保护措施的功能。

二是结合计算机信息系统被侵入的具体情形,查明涉案程序是否在未经授权或超越授权的情况下,获取计算机信息系统数据。三是分析涉案程序是否属于“专门”用于侵入计算机信息系统的程序。

根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第10条和《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第17条的规定,对是否属于“专门用于侵入计算机信息系统的程序”难以确定的,一般应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验,也可由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具报告。

实践中,应重点审查检验报告、鉴定意见对程序运行过程和运行结果的判断,结合案件具体情况,认定涉案程序是否具有突破或避开计算机信息系统安全保护措施,未经授权或超越授权获取计算机信息系统数据的功能。

三、追诉量刑

（一）非法获取计算机信息系统数据、非法控制计算机信息系统行为的定罪量刑标准

1.《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（法释〔2011〕19号，2011年9月1日起施行）

第一条　非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：

（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；

（二）获取第（一）项以外的身份认证信息五百组以上的；

（三）非法控制计算机信息系统二十台以上的；

（四）违法所得五千元以上或者造成经济损失一万元以上的；

（五）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节特别严重”：

（一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的；

（二）其他情节特别严重的情形。

明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用的，依照前两款的规定定罪处罚。

2.关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释的理解与适用喻海松：《〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉的理解与适用》，载《人民司法·应用》2011年第19期。

《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条共分为3款，第1款规定了“情节严重”的具体认定标准。

主要包括下列情形：第1项以获取网络金融服务的身份认证信息的数量为标准。与计算机信息系统安全相关的数据中最为重要的是用于认证用户身份的身份认证信息（如口令、证书等），此类数据通常是网络安全的第一道防线，也是网络盗窃的最主要对象，特别是非法获取电子银行、证券交易、期货交易等网络金融服务的账号、口令等身份认证信息的活动非常猖獗，故应对身份认证信息予以重点保护。

根据司法实践的情况，综合考虑行为的社会危害性，获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上即属“情节严重”。

第2项以获取网络金融服务以外的身份认证信息的数量为标准。对于网络金融服务以外的其他网络服务，如网络即时通讯、网络邮箱等，网络盗窃者非法获取这些身份认证信息的案件也较为多发。获取其他网络服务的身份认证信息500组以上的，应当认定为“情节严重”。

需要注意的是，对于实践中发生的出于好奇、显示网络技术等目的而实施的打包盗窃论坛身份认证信息等行为，即使获取身份认证信息略微超过500组的，由于社会危害性也不大，应当适用《刑法》第13条但书的规定，不宜纳入刑事打击的范围。

在司法实践中，要准确把握第1项和第2项规定的“一组”身份认证信息的概念。所谓一组身份认证信息，是指可以确认用户在计算机信息系统上操作权限的认证信息的一个组合，比如某些网上银行需要用户名、密码和动态口令就可以转账，那么用户名、密码和动态口令就是一组身份认证信息；

有的网上银行除上述3项信息外还需要手机认证码才可以转账，缺一不可，那么这4项信息才能构成一组身份认证信息。

但是，对于身份认证信息，特别是密码信息，很多用户有经常更改密码的习惯，故认定一组身份认证信息不应以在办案过程中是否可以实际登录使用为判断标准，而应结合其非法获取身份认证信息的方法判断该身份认证信息在被非法获取时是否可用为依据，如使用的木马程序能有效截获用户输入的账号密码，则不管该密码当前是否可用，只要是使用该木马程序截获的账号、密码，则应认定为一组有效身份认证信息。

第3项以非法控制计算机信息系统的数量为标准。在非法侵入计算机信息系统后，并未破坏计算机信息系统的功能或者数据，而是通过控制计算机信息系统实施特定操作的行为被称为“非法控制计算机信息系统”。很多攻击者通过控制大量计算机信息系统形成僵尸网络（Botnet）。

为了解决上述问题，将非法控制计算机信息系统台数作为衡量情节严重的标准之一，即非法控制计算机信息系统20台以上的，应当认定为“情节严重”。第4项以违法所得或者经济损失的数额为标准。

非法获取计算机信息系统数据、非法控制计算机信息系统行为的主要目的是牟利，且易给权利人造成经济损失，故将违法所得数额和财产损失数额作为衡量情节严重的标准之一，即违法所得5000元以上或者造成经济损失1万元以上的，应当认定为“情节严重”。第5项是关于兜底条款的规定。

此外，第2款根据计算机网络犯罪的性质和危害程度，并参照以往有关司法解释，以“情节严重”的5倍为标准，对“情节特别严重”作了规定。

明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用，使该计算机信息系统继续处于被控制状态，实际上是对该计算机信息系统实施控制，应当认定为非法控制计算机信息系统，故第3款明确规定对此种行为适用前两款关于非法控制计算机信息系统行为的定罪量刑标准。

（二）提供侵入、非法控制计算机信息系统程序、工具行为的定罪量刑标准

1.《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（法释〔2011〕19号，2011年9月1日起施行）

第三条　提供侵入、非法控制计算机信息系统的程序、工具，具有下列情形之一的，应当认定为刑法第二百八十五条第三款规定的“情节严重”：

（一）提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的；

（二）提供第（一）项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的；

（三）明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的；

（四）明知他人实施第（三）项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的；

（五）违法所得五千元以上或者造成经济损失一万元以上的；

（六）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为提供侵入、非法控制计算机信息系统的程序、工具“情节特别严重”：

（一）数量或者数额达到前款第（一）项至第（五）项规定标准五倍以上的；

（二）其他情节特别严重的情形。

2.关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释的理解与适用喻海松：《〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉的理解与适用》，载《人民司法·应用》2011年第19期。

对于提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为，主要从以下几个方面认定“情节严重”：一是提供的程序、工具的人次。

其中，对于提供网银木马等“能够用于非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息的专门性程序、工具”的行为，第1项规定提供5人次以上的即属“情节严重”；

对于提供盗号程序、远程控制木马程序等其他专门用于侵入、非法控制计算机信息系统的程序、工具的，第2项规定提供的人次达到20人以上的属于“情节严重”；对于明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息的违法犯罪行为而为其提供程序、工具的，第3项规定提供五人次以上的即属“情节严重”；

对于明知他人实施其他侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的，第4项规定提供20人次以上的属于“情节严重”。

二是违法所得和经济损失数额。由于提供此类工具的行为主要以获利为目的，正是在非法获利的驱动下，互联网上销售各类黑客工具的行为才会泛滥，且往往会给权利人造成经济损失，故第5项将违法所得5000元以上或者造成经济损失1万元以上作为认定“情节严重”的标准之一。

三是对于其他无法按照提供的人次、违法所得数额、经济损失数额定罪的，第6项设置了兜底条款。此外，第2款规定“情节严重”和“情节特别严重”之间为5倍的倍数关系。

《网络犯罪办案手册》任留存、戴奎