【基本案情】

2017年初，被告人姚晓杰等人接受王某某（另案处理）雇佣，招募多名网络技术人员，在境外成立“暗夜小组”黑客组织。“暗夜小组”从被告人丁虎子等3人处购买大量服务器资源，再利用木马软件操控控制端服务器实施DDoS攻击（指黑客通过远程控制服务器或计算机等资源，对目标发动高频服务请求，使目标服务器因来不及处理海量请求而瘫痪）。2017年初，某互联网公司网络安全团队在日常工作中监测到多起针对该公司云服务器上运营的三家游戏公司的客户端IP进行大流量高峰值DDoS攻击，该攻击导致三家游戏公司的IP被封堵，出现游戏无法登录、用户频繁掉线、游戏无法正常运行等问题，且攻击源IP地址来源不明，该公司随即报案。公安机关立案后，同步邀请广东省深圳市检察院介入侦查、引导取证。

2017年6月至9月间，公安机关陆续将11名犯罪嫌疑人抓获。2018年3月6日，深圳市南山区检察院以被告人姚晓杰等11人构成破坏计算机信息系统罪向深圳市南山区法院提起公诉。2018年6月8日，广东省深圳市南山区法院判决认定被告人姚晓杰等11人犯破坏计算机信息系统罪。宣判后，11名被告人均未提出上诉，判决已生效。

数字经济时代，网络信息手段利弊兼具，一旦被用来实施违法犯罪行为，其破坏性会呈几何倍数增长。由于破坏计算机信息系统罪的特殊危害性，刑法分则第六章关于以计算机网络信息系统或其中的数据信息、程序为对象的犯罪规定中，第286条破坏计算机信息系统罪的法定刑是最高的，后果特别严重的，处五年以上有期徒刑。司法实践中，适用罪数理论原则，除触犯第287条以计算机为手段的犯罪外，在大多数情况下，最终以破坏计算机信息系统罪定罪。另一方面，以破坏计算机信息系统罪定罪的案件数量快速增加，有实际发案增加的原因，也有司法实践中对该罪理解与适用法律认识不同等原因，一定程度上出现了该罪名的“口袋罪”化现象。

2020年4月8日，最高检发布了第十八批指导性案例，其中“检例第69号”姚晓杰等11人破坏计算机信息系统案（下称“检例第69号”案）对于及时找准突破口、引导侦查机关查清事实，客观全面准确认定破坏计算机信息系统罪的危害后果等具有重要的指导意义。

一是在破坏计算机信息系统罪中的行为性质的认定方面。根据刑法第286条破坏计算机信息系统罪的规定，“破坏”主要表现为对计算机信息系统功能进行破坏、对系统中的数据和应用程序进行破坏和通过病毒破坏系统正常运行三种行为。

被告人姚晓杰等人在境外成立的“暗夜小组”黑客组织三次利用木马软件操控该组织所购买的14台控制端服务器下的计算机，持续对某互联网公司云服务器上运营的三家游戏公司的客户端IP进行DDoS攻击，导致三家游戏公司的IP被封堵，出现游戏无法登录、用户频繁掉线、游戏无法正常运行，说明被告人是出于攻击目的，有预谋地实施传播恶意软件、非法控制计算机信息系统及攻击网站服务器，符合刑法第286条第3款故意制作、传播计算机病毒等破坏性程序影响计算机系统正常运行的情形。这种利用木马软件对境内服务器实施DDoS攻击他人服务器的行为，由于被害人是游戏公司，严重影响了公司的生产经营，同时也符合破坏生产经营罪的行为特征，属于破坏计算机信息系统罪与破坏生产经营罪的竞合，按择一重罪处罚原则，应当对被告人以破坏计算机信息系统罪定罪处罚。

此外，这种攻击网站服务器的行为在主客观方面都是非法控制计算机信息系统，同时触犯了刑法第285条非法控制计算机信息系统罪，应当按照牵连犯择一重处断，即依照刑法第286条第3款以破坏计算机信息系统罪定罪处罚。对此性质认定，“检例第69号”案各方并无太大争议，主要是事实认定和证据问题，包括云服务器不能正常运行的原因与“暗夜小组”攻击行为间的关系、犯罪嫌疑人线上身份和线下身份同一性的认定以及“暗夜小组”各成员在犯罪中的分工、地位和作用等。为此，深圳市检察院会同公安机关就被害单位云服务器受到的DDoS攻击的特点和取证策略进行研究部署，为案件的实体认定提供了坚实的事实和证据基础。

二是在“后果严重”中的损失认定方面。破坏计算机信息系统罪在犯罪客观方面的三种情形在入罪方面皆需要“后果严重”。根据最高法、最高检《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（下称《解释》）第6条第（四）项规定，对危害后果的认定主要是考虑受影响计算机信息系统和用户数量、违法所得或者所造成的经济损失以及其他严重后果。在“检例第69号”案中，鉴于证实受影响计算机信息系统和用户数量的证据已无法调取，深圳市南山区检察院通过与公安机关的积极沟通与两次退侦，只能以造成的经济损失认定危害后果。被害互联网公司为恢复云服务器的正常运营，抢修费用达4万余元。根据《解释》第6条第（四）项的规定，“违法所得五千元以上或者造成经济损失一万元以上的”是认定破坏计算机信息系统功能、数据或者应用程序“后果严重”的五种情形之一。

三是在引导取证的内容、方式方法方面。“检例第69号”案例突出的指导价值在于对这类案件证据的收集、审查与判断的引导。尽管该案的事实并不复杂，但是由于专业性强、技术性强，深圳市南山区检察院通过能动作为，及时与公安机关沟通、查清事实。

准确认定犯罪性质，离不开准确、客观、全面的事实认定和形成完整证据链的证据支撑，这些证据极易灭失，应及时介入、搜集证据；如果相关证据已经被毁损、删除，应当依法进行弹性、灵活处理，合理进行司法推定。例如，“检例第69号”案中犯罪嫌疑人实施网络攻击后威胁被害人的证据可作为认定攻击事实和因果关系的证据；一旦犯罪嫌疑人实施了攻击行为，网络攻击类型和特点与犯罪嫌疑人实施的攻击一致，攻击时间和被攻击时间吻合，对于这种异常、高概率联系的危害行为与危害结果之间因果关系可进行司法推定，认定危害行为为网络攻击，系犯罪嫌疑人实施。

同时，审慎把握罪状要件、严格按照罪刑法定原则的要求确定明确的侦查取证方案非常重要。面对攻击源IP地址来源不明、被告人作案后已串供并将手机、笔记本电脑等作案工具销毁或者进行了加密处理、到案后大多作无罪辩解、庭审中辩护人提出的现有证据不能认定三家网络游戏公司受到的攻击均是“暗夜小组”发动等挑战，深圳市检察机关与公安机关多次会商研究“暗夜小组”团伙内部结构、犯罪行为和技术特点等问题，找准三个工作重点：一是查明导致云服务器不能正常运行的原因与“暗夜小组”攻击行为间的关系；二是做好犯罪嫌疑人线上身份和线下身份同一性的认定工作，并查清“暗夜小组”各成员在犯罪中的分工、地位和作用；三是查清犯罪行为造成的危害后果。此外的侦查方向还包括要求侦查机关补充调取能够证实某互联网公司直接经济损失或为恢复网络正常运行支出的必要费用等证据，并交专门机构作出评估，进一步补充证实“暗夜小组”成员参与每次网络攻击具体情况以及攻击服务器控制权在“暗夜小组”与丁虎子等人间流转情况的证据，对丁虎子等人向“暗夜小组”提供攻击服务器控制权的主观明知证据作进一步补强等，使得案件的事实查明与证据收集取得突破性进展，并达到全案事实查清，案件证据确实充分，形成完整的证据链条。

从事实层面看，对于心存侥幸、以为境外组织利用木马软件对境内游戏公司网站服务器实施DDoS攻击就可以逃脱处罚的人，“检例第69号”案的成功办理用严谨务实的法律逻辑、技术逻辑、经济逻辑给这些人敲响警钟。

从法律层面看，“检例第69号”案的办理环环相扣，刑事侦查、检控、审判紧紧围绕破坏计算机信息系统罪构成要件的准确认定展开，通过对因果关系、主观明知等方面事实的查明，对破坏计算机信息系统罪的适用，既不扩大也不缩小适用范围，综合考虑危害行为的法律属性、经济特征、技术特征，作出合乎逻辑和市场规律的判断，客观分析被害公司的证人证言、第三方专家鉴定意见，努力实现不枉不纵，防止出现“破坏计算机信息系统罪”适用的不当扩大化、“口袋罪”化现象。

破坏计算机信息系统罪天然具有“口袋罪”的作用，因为大量网络犯罪的手段或者目的或者“手段+目的”就是破坏计算机信息系统，的确发生频率高。然而，破坏计算机信息系统行为大量存在，要对其实现有效惩处与预防，需要对其性质的准确理解与甄别。“检例第69号”案办理中，对于查处、认定计算机信息系统罪时如何进行体系化考察与运用，充分发挥司法能动性，通过智慧检务促进程序创新，实现实体认定的准确性，提高办案绩效，促进数字经济创新和规范发展，很有裨益。

同时，在当前复杂多变的国际形势下，“检例第69号”案对于完善专业化办案机制，发挥检察机关介入侦查引导取证的先发优势，有效打击跨境网络攻击等网络犯罪，维护数据安全、网络安全、国家安全，具有重要的理论意义与实践价值。