在非法控制计算机信息系统罪(《刑法》第285条第二款)中,“控制”的认定是核心难点。司法机关对“控制”的证明要求严格,需结合技术事实与主观故意。本文将从法律定义、司法认定标准及企业合规建议三方面,厘清“控制”的认定边界。
一、“控制”的法律定义与技术内涵
《刑法》第285条第二款及《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第2条明确规定:
“非法控制”指行为人通过技术手段,使计算机信息系统丧失自主运行能力,处于其支配之下,且该状态具有持续性或实质性影响。
技术内涵:
- 实质性支配:行为人远程执行系统指令(如删除文件、修改配置),系统功能被行为人主导。
- 排除短暂访问:仅登录系统查看数据(如临时浏览文件)不构成“控制”。
- 持续性要求:控制状态需存在一段时间(如木马持续运行数小时),非瞬间操作。
二、司法认定标准:技术证据链的构建
司法机关通过“技术事实+主观故意”双重要件判定“控制”:
成立“控制”的典型证据:系统日志显示异常进程运行(如木马进程);网络流量记录显示行为人IP与系统异常操作关联;操作指令记录显示行为人远程执行系统命令。
不成立“控制”的常见情形:行为人安装远程工具但未激活(如未输入密码);系统故障由自然原因(如网络波动)导致,非行为人实施控制。
“情节严重”的量化标准:《解释》第2条:非法控制10台以上计算机信息系统或违法所得1万元以上,才构成“情节严重”。
三、企业合规建议:预防“控制”风险
企业应构建技术防御体系,避免系统漏洞导致刑事追责:
- 终端安全强化:部署终端检测与响应(EDR)系统,实时监控异常进程;限制管理员权限,实行最小化授权原则。
- 访问控制细化:对远程访问设置双重认证(如短信+动态口令);通过网络行为分析(NBA)阻断异常流量。
- 操作审计完善:保存完整操作日志(登录IP、时间、指令);定期进行安全审计,修复系统漏洞。
合规依据:《网络安全法》第21条:企业需落实网络安全保护义务;《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)第5.1.2条:要求“对系统操作行为审计”。
结语
“非法控制”的认定本质是技术事实与法律的精准对接:必须证明行为人通过技术手段实质性支配系统运行。企业应通过终端防护、访问控制与操作审计构建技术防线,既能预防犯罪,也能在遭遇指控时提供关键抗辩依据。