——从最高法案例看计算机系统属性的实质审查原则

作为刑事辩护律师，在处理涉网络与数据犯罪案件时，涉案计算机信息系统的定性是核心争议点之一。系统的定性不仅决定了罪名的适用，更直接关系到量刑的准确性。

近日，最高人民法院案例库收录了一则典型案例——“杨某非法获取计算机信息系统数据案”（入库编号：2026-04-1-252-001）。该案中，被告人侵入的是战区医院的计算机系统。面对具有特殊军事背景的受害单位，法院最终并未适用《刑法》第二百八十五条第一款的非法侵入计算机信息系统罪（即针对国家事务、国防建设、尖端科学技术领域的特别侵入罪），而是适用了第二款的非法获取计算机信息系统数据罪。

这一裁判结果精准地体现了刑法上的实质审查原则。本文将结合该案，从专业刑事辩护的视角对这一裁判逻辑进行深度拆解。

一、 案情回放与争议焦点

1. 基本案情

2021年至2023年3月期间，被告人杨某在某战区医院的候诊区，利用笔记本电脑和网线等物理设备接入医院内部网络。通过相关黑客程序，杨某成功侵入医院数据库，窃取了高达326761条药品数据，并对外销售，非法获利人民币45.8万元。一审法院最终以非法获取计算机信息系统数据罪判处其有期徒刑三年六个月，并处罚金八万元。判决已生效。

2. 案件争议焦点

本案在定性上面临一个显著的表面特征：被害单位是战区医院。

根据《刑法》第二百八十五条的规定，网络犯罪存在两个层级的罪名：

第一款（特别侵入罪）：违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，构成非法侵入计算机信息系统罪。（行为犯，入罪门槛低）

第二款（普通数据罪）：侵入前款规定以外的系统获取数据，情节严重的，构成非法获取计算机信息系统数据罪。（结果犯或情节犯）

杨某侵入战区医院系统，究竟是属于侵入国防建设领域的系统（第一款），还是侵入普通系统并获取数据（第二款）？这是本案定罪的关键。

二、 律师视角的法理剖析：穿透“身份表象”的实质审查

在网络犯罪辩护实务中，控方有时容易陷入主体身份决定论的误区，即认为只要被害单位是军方机构、政府机关或科研院所，其所属的所有系统就天然属于国家事务、国防建设、尖端科学技术领域。本案法院的判决有力地纠正了这一倾向，确立了实质审查原则。

1. 摒弃“主体身份决定论”

战区医院确实承担着部队医疗保障的职能，属于军队编制内的医疗机构。如果仅从运营主体来看，极容易将其系统直接归入国防建设领域。但现代社会中，许多特殊主体同样参与普通的民事或公共服务活动。如果仅依主体身份进行单一认定，将无限扩大刑法第二百八十五条第一款的打击范围，违背罪刑法定与罪责刑相适应原则。

2. 确立“双重实质审查”标准

本案裁判理由中，法院给出了判断计算机信息系统属性的科学标准，即不能仅看运营主体的性质，而必须结合以下两个维度进行综合判断：

核心功能审查：该系统的核心功能是否专门服务于国防建设相关事务？

数据属性审查：该系统存储、处理、传输的数据，是否属于国防军事涉密信息或者专属保障数据？

3. 本案的具体涵摄

将上述标准代入本案：

从系统功能看：该战区医院并非全封闭的专属军事医疗机构，它向社会公众开放并提供有偿医疗服务。杨某接入的网络是从普通候诊区接入的内部网络，属于普通医疗服务信息系统，而非专门的战备保障系统。

从数据属性看：杨某窃取并出售的是医院通用的药品数据，这些数据既不包含军事秘密，也不属于军人专属健康档案等专属保障数据。

因此，案涉计算机系统在实质上属于向社会提供公共服务的普通医疗网络。杨某的行为符合侵入普通系统加获取数据加情节特别严重的构成要件，定性为非法获取计算机信息系统数据罪是准确的。

三、 实务启示与辩护要点

本案的判例不仅是对个案的公正裁决，更为刑事律师办理类似案件提供了清晰的辩护思路：

1. 解构系统属性是网络犯罪辩护的切入点。面对涉及特殊主体的网络数据犯罪案件，辩护律师不应被被害单位的表面属性所影响。必须通过技术勘验笔录、系统设计文档、网络拓扑图等证据，将宏观的单位具象化为微观的涉案子系统，审查该子系统的真实用途。

2. 紧抓数据分类分级作为定性依据。在数据要素时代，同一单位内部的数据也有严格的密级和分类。辩护律师应当重点关注被控非法获取的底层数据内容。如本案中的普通药品数据，其民用属性阻断了案件向特别侵入罪方向的升格。

3. 技术与法律的深度融合。在这类案件中，律师不仅要精准适用刑法条文，还需要具备一定的网络安全基础知识（如内外网隔离、数据库权限分配等），才能在法庭上客观还原作案手段与系统边界，从而提出有力的实质性辩护意见。

结语

刑法适用必须严密而精准。最高法案例库的这则案例，通过确立实质审查原则，精准地划定了《刑法》第二百八十五条两款罪名之间的界限，既惩治了网络犯罪，又避免了过度拔高适用重罪，体现了客观、专业的法律适用逻辑。