研究 | 刑法第285条、286条“计算机信息系统”界定范围的限缩解释：基于软件架构视角的技术辩护路径

作者：两高（成都）律师事务所 刘 俊

随着移动互联网技术向云原生与端侧智能演进，刑法第285条、286条中“计算机信息系统”的范围认定已成为网络犯罪司法实践的核心技术争议点。

本文以法释〔2011〕19号司法解释第11条为分析起点，结合软件工程中C/S架构、B/S架构及端云协同模式，从数据流与控制流的分离逻辑出发，主张应对“计算机信息系统”采取严格的技术限缩解释。应将保护范围限定于具备本地状态管理、业务逻辑运算及数据持久化能力的“富客户端”或核心服务端；对于仅作为表现层、遵循HTTP协议进行JSON/XML数据交换的“UI渲染层”，不应扩大解释为计算机信息系统的实质性组成部分。该限缩逻辑应统一适用于第285条之侵入、获取行为与第286条之破坏行为。

司法“系统整体论”与软件工程“前后/端

侧分离”的逻辑冲突

01

典型案例中的技术认知模糊

在多个涉及刑法第285条、第286条的犯罪案件中，法院将前端H5以及APP与后端服务器视为“循环运行的计算机信息系统”，并据此认定APP本身属于刑法保护对象。这一认定在软件工程视角下存在逻辑瑕疵：将具备独立计算能力的主机与仅具备I/O交互功能的终端混为一谈。

02

扩张解释引发的技术性困境

混淆表示层与业务逻辑层：现代软件架构遵循关注点分离原则（Separation of Concerns），普遍采用“前端-后端”分离模式。前端（APP、H5、小程序）主要负责视图渲染与事件监听，后端（服务器、数据库）负责业务规则处理与数据持久化。若将APP的View层（表现层）认定为“信息系统”，无异于将显示器的菜单调节功能等同于计算机主机本身，实质是以法律概念掩盖了技术事实。

不当扩张刑事打击范围，突破罪刑法定边界：若纯粹的前端UI层即构成“计算机信息系统”，则任何通过模拟点击、绕过前端限制（如分页、按钮状态）获取数据的行为，均可能构成“侵入计算机信息系统”。进而，HTML DOM操作、CSS样式修改、JavaScript模拟点击、使用Postman调用API接口等常见的技术行为，都将面临刑事风险。这一逻辑将导致刑法第285条的适用范围无限扩张，与罪刑法定原则产生紧张关系。

偏离法益保护的底层逻辑：刑法第285条、286条的保护法益是计算机信息系统的安全，即数据处理核心的完整性、可用性与保密性。信息系统安全的本质在于核心业务数据的机密性、完整性与可用性（CIA）。单纯前端UI的绕过或篡改（如通过Charles修改本地JS替换广告位），并不直接危害后端事务性数据的原子性与一致性，不必然导致系统核心功能的损害。

技术架构分析：“数据处理功能”的

软件工程映射

01

系统架构图例与界定

典型C/S三层架构与UI层独立示意图

架构分析结论：从图示可清晰看出，现代软件系统被清晰地分割为不同层次。表现层（UI）的功能高度依赖于后端的响应，其本质是数据的“展示与转发”终端。真正执行《解释》第11条所要求之“自动处理数据”功能的，是业务逻辑层和数据层。将三者不加区分地整体打包，是对软件工程基本原理的背离。

“富客户端”与“UI渲染层”的

技术边界标准

基于上述架构分析，本文主张引入“重客户端（富客户端）”与“UI渲染层（表现层）”的区分框架，以替代司法实践中模糊的“系统整体性”概念，精准界定“计算机信息系统”的范围。

01

“重客户端”的入罪合理性论证

1、功能上的不可分割性：重客户端与后端系统共同完成数据处理的完整闭环。以工业控制系统为例，现场控制终端（PLC/HMI）直接采集环境数据、执行控制指令，其功能与后端服务器同等重要。

2、法益侵害的直接性：对重客户端的侵入或破坏，将直接损害数据处理的完整性、可用性。例如，破解加密通信客户端的本地认证机制，即可绕过整个系统的安全防护。

3、符合法律规范：这与《解释》列举的“自动化控制设备”等“重设备”的特征相吻合。

02

“UI渲染层”的出罪正当性论证

1、缺乏“自动处理数据”的实质功能：普通APP或H5页面的核心功能是信息展示与交互转发。在此过程中，前端本身不进行独立的业务逻辑判断或数据运算，不具备《解释》第11条要求的核心功能。

2、与“访问终端”的法律定位冲突：《解释》起草者在答记者问针对“如何界定“计算机信息系统”和“计算机系统”的范围？”的回答中，刑法第285条、第286条所保护的“计算机信息系统”，其本意是指“数据库、网站等提供信息服务的系统”（参见最高人民法院、最高人民检察院研究室负责人答记者问，2011年8月29日）。从该核心界定出发，仅承担信息展示与交互转发功能的前端“访问终端”，因不具备独立的“自动处理数据功能”，在规范意义上应与“计算机信息系统”予以区分。若将访问终端等同于系统本身，则任何通过浏览器访问网站的行为均可视为“进入计算机信息系统”，这显然不当。

3、避免刑法适用的“口袋化”：若将UI层纳入，则使用自动化脚本、绕过前端分页限制、批量查看公开信息等行为均可能入罪。上述行为虽可能违反平台规则或构成民事侵权，但动用刑罚有违刑法的谦抑性原则。

03

《解释》第11条的技术解构

《解释》第11条核心要件为“具备自动处理数据功能”。从计算机组成原理来看，其应包含以下技术特征：

04

UI层（Thin Client）的技术纯粹性

数据交互协议分析：普通APP与后端的通信实质是JSON over HTTP。前端仅进行序列化与反序列化操作，不进行业务语义的计算。例如，前端请求GET /api/user/score，后端计算总分后返回{"total": 100}，前端仅将100渲染至TextView。此过程前端无“自动处理”，仅有“自动展示”。

内存管理差异：普通UI层的内存数据是易失性的，仅用于界面缓存，与数据库的持久化存储具有本质区别。

技术辩护与司法鉴定实务路径

01

技术取证与架构逆向分析

在办理涉及“提供侵入工具”或“非法获取数据”案件时，律师与技术专家应协同开展以下技术事实还原工作：

1、网络抓包分析：通过Wireshark或Charles分析涉案APP与服务器的通信流量。

·辩护点：若所有业务数据均由服务端Response明文或密文返回，且客户端未对数据进行二次逻辑计算即展示，则客户端仅为哑终端。

2、逆向工程与代码审计：对APK/IPA进行静态分析。

·辩护点：检查AndroidManifest.xml权限，重点区分INTERNET权限与READ_EXTERNAL_STORAGE数据库操作权限。若代码中仅包含OkHttp网络请求库调用，未包含Room或SQLiteOpenHelper业务逻辑，则可能不构成“信息系统”的核心要件。

02

“安全保护措施”的技术辨析

1、访问控制层 vs 流量控制层：

·技术特征：绕过OAuth 2.0、破解JWT签名密钥属于突破安全保护措施。

·技术特征：修改User-Agent头、更换代理IP、使用Selenium绕过前端按钮disabled状态，属于规避反爬虫策略。

2、论证逻辑：反爬虫机制属于服务质量保障机制，其技术目的是保障服务器并发负载均衡，而非保护数据不被非法访问。数据是否公开取决于后端接口是否做鉴权校验，而非由前端决定。

区分“安全保护措施”与“访问管理措施”：

安全保护措施：身份认证、权限控制、数据加密、防火墙等，旨在防止未授权访问

访问管理措施：反爬机制、频率限制、人机验证等，旨在优化访问质量与体验仅规避后者，不构成"避开或突破计算机信息系统安全保护措施"。

03

针对工业互联网与物联网场景的入罪限定

对于工控场景（如挖掘机锁机、PLC篡改），因其技术架构符合富客户端定义：

·存在RTOS实时操作系统与独立控制算法。

·存在本地故障诊断与离线操作缓存。

·结论：对此类设备的攻击直接作用于数据自动处理闭环的末端执行环节，理应纳入刑法第285条规制范围，与纯UI篡改严格区分。

04

法律层面的辩护要点

1、文义解释路径

援引《解释》第11条“具备自动处理数据功能”的核心定义，主张：

·纯粹UI层不具备“自动处理数据”功能，仅具备“数据展示与转发”功能。

·“访问终端”与“计算机信息系统”在规范意义上应予区分。

2、体系解释路径

结合刑法第285条第1款（非法侵入计算机信息系统罪）与第2款（非法获取计算机信息系统数据罪）的体系关系：

·第1款保护“国家事务、国防建设、尖端科学技术领域”的计算机信息系统，强调系统的关键基础设施属性。

·第2款保护一般计算机信息系统中的数据，而非系统本身。

·若将普通APP均认定为“计算机信息系统”，则第2款的“数据保护”逻辑被架空。

3、目的解释路径

刑法第285条以及286条的立法目的是保护计算机信息系统的安全运行与数据的完整性、保密性、可用性。纯粹UI层的绕过或模拟，并不直接危害上述法益，可通过民事救济或行政处罚实现规制，无需动用刑罚。

第286条“破坏计算机信息系统罪”的限缩

解释：技术视角的平行适用

刑法第286条规定了三种破坏行为类型：（一）对计算机信息系统功能进行删除、修改、增加、干扰，造成系统不能正常运行；（二）对数据、应用程序进行删除、修改、增加；（三）故意制作、传播计算机病毒等破坏性程序。该罪与第285条共享“计算机信息系统”这一基础概念，因此前述限缩解释逻辑必须平行适用，否则将导致相同技术行为在两罪间的评价矛盾。

01

破坏行为的“系统级”与“UI级”技术界分

从计算机系统层次结构看，破坏行为的作用层级决定其是否真正危害了“计算机信息系统”的安全：

02

UI层“破坏”行为的技术非罪性论证：以API

模拟用户行为为例

司法实践中，另一类常被纳入刑法第286条评价视野的行为，是行为人通过技术手段分析网络或移动应用的API接口，编写脚本模拟真实用户向服务端发送HTTP请求，以实现批量数据获取、自动化操作等目的。例如，行为人使用Python的requests库或Postman工具，按照特定格式向服务器API端点发送POST请求以提交订单、获取数据列表。从技术本质分析，将此类行为认定为“破坏计算机信息系统”存在根本性缺陷。

1、行为的技术本质：调用系统合法对外接口，而非干扰系统内部功能

现代软件系统为支持多端（Web、iOS、Android）访问，其服务端会设计并暴露一系列API接口。这些接口是系统主动对外开放的、预期的、合法的数据交互通道。行为人模拟用户行为，本质上是通过编程方式构造符合接口规范的HTTP请求，经互联网发送至服务端。这一过程的技术链路是：客户端脚本 → 互联网 → 服务器API网关 → 业务逻辑处理。它与真实用户通过APP或浏览器点击按钮所产生的网络请求，在服务端视角并无二致，服务端无法也无权区分一个请求是来自真实用户的点击，还是来自一段善意的自动化脚本。该行为并未对计算机信息系统的功能（如接口的响应能力、服务器的运算能力）进行删除、修改、增加或干扰。服务端接收到请求后，依然按照预设的逻辑（校验参数、查询数据库、返回结果）正常运行。

2、作用对象未触及“系统”层级，未破坏“自动处理数据”功能

如前所述，破坏计算机信息系统罪要求行为对“系统”本身造成影响。API模拟行为的作用对象是系统提供的服务，而非系统自身的运行环境或功能。

· 未修改系统功能：脚本并未对服务器上的应用程序文件、配置文件或操作系统内核进行任何增删改操作。服务器的API处理程序、数据库连接池、缓存策略等核心功能组件均保持原状。

· 未干扰系统运行：服务器在处理API请求时，会消耗CPU、内存和带宽资源。这与处理任何正常用户请求的资源消耗过程相同。除非请求量达到DDoS攻击级别，导致服务器资源耗尽而无法为正常用户提供服务（此时已转化为对“可用性”的破坏），否则单纯的、未超负载的API调用属于对系统服务功能的正常使用，而非对系统运行状态的异常干扰。第286条第1款要求的“造成计算机信息系统不能正常运行”的因果关系在此处是断裂的。

3、所涉“数据”并非破坏行为（286条第二款）的适格对象

第286条第2款规制的对象是“计算机信息系统中存储、处理或者传输的数据和应用程序”。API模拟行为涉及的数据交互，是向服务端提交数据（如提交表单）和从服务端获取数据（如获取JSON列表）。这一行为并未对服务器上已存储的数据进行删除或修改。例如，通过API批量获取公开商品信息，仅是在服务器上执行了SELECT查询操作，未执行DELETE或UPDATE操作。又如，通过API模拟提交订单，是在数据库中INSERT了一条新记录，这是系统功能设计所允许的数据增加，而非对既有数据的非法破坏。刑法在此惩罚的是对数据完整性和可用性的破坏（如执行DROP TABLE），而非对系统功能的使用（如执行INSERT）。

4、突破的是“访问管理措施”，而非“安全保护措施”

这是区分此行为罪与非罪的核心技术界限。API模拟行为通常需要应对的反制措施是：API签名算法、User-Agent校验、IP访问频率限制、人机验证等。这些措施的技术目的是识别客户端身份、管理访问流量、保障服务质量，属于流量层或应用层的管理策略。其保护的终极法益是服务器的负载均衡与服务稳定，而非系统核心的访问控制安全。行为人通过逆向分析出签名算法、伪造请求头、使用代理IP池来规避上述限制，本质上是在与系统的反爬虫策略进行技术对抗。只要其未通过技术手段（如SQL注入、反序列化漏洞利用）绕过服务端的核心身份认证（如OAuth2.0）或权限校验逻辑，便不能认定其“避开或突破了计算机信息系统安全保护措施”。

03

典型场景的罪与非罪判断

04

第286条与第285条的体系协调

若对“计算机信息系统”采取扩张解释，将导致两罪适用出现逻辑断裂：

· 第285条：绕过前端反爬获取公开数据 → 若认定为“侵入”，则违反罪刑法定。

· 第286条：修改前端显示字段/提交数据 → 若认定为“破坏”，则同样违反罪刑法定。

统一限缩逻辑应为：只有当行为作用于具备自动处理数据功能的系统核心层级（业务逻辑层、数据层、系统层）时，才可能构成第285条或第286条的犯罪。仅作用于UI渲染层的行为，无论其外在表现是“侵入”还是“破坏”，均应排除在刑法适用范围之外，转由《反不正当竞争法》《数据安全法》或民事侵权规则调整。

实践检验：区分标准在典型场景中的应用

01

场景一：数据爬虫类案件

案情特征：行为人编写脚本，绕过APP的反爬机制（如IP限制、人机验证），批量获取后端公开数据。

传统裁判：APP+后端构成计算机信息系统，绕过反爬即构成"侵入"。

限缩解释路径：

· 若仅针对UI层展示限制（如模拟点击、更换IP），未突破后端身份认证，则不应认定为“侵入计算机信息系统”。

· 反爬机制属于访问频率控制，而非访问权限控制；规避前者仅违反平台管理规则，不构成对“系统安全保护措施”的突破。

· 可依据《数据安全法》《个人信息保护法》追究民事责任或行政处罚，而非直接动用刑罚。

02

场景二：远程控制类案件

案情特征：行为人开发远程控制软件，可操控他人设备（如协助考试作弊）。

关键区分：

· 若软件需经用户授权安装运行，且未突破系统安全机制（如关闭杀毒软件、提权），则属于“中性程序”，不构成“专门用于侵入、非法控制的程序”。

· 若软件具备隐匿安装、强制控制、绕过认证等功能，则属于"重客户端"层面的侵入工具。

03

场景三：工业控制与物联网设备

案情特征：行为人侵入智能电表、环境监测站、工程机械（如挖掘机）的控制系统。

入罪合理性：此类设备属于典型的“重客户端”，具备：

· 本地数据采集（电量、环境参数、设备状态）

· 独立逻辑运算（计费算法、控制指令生成）

· 关键数据存储（交易记录、运行日志）

· 实时控制功能（远程锁机、参数调整）

对其未经授权的访问或控制，直接危害系统安全与公共安全，应纳入刑法第285条保护范围。

结论

在云原生与端侧分离成为主流的今天，法律解释不应扩大“计算机信息系统”的范围。建议司法实务采纳以下技术准则——

1、核心标准：是否具备本地状态管理与业务逻辑计算能力。

2、鉴定要求：鉴定意见需明确涉案对象在MVC/MVVM模式中属于Model/Controller层还是纯View层。

3、谦抑适用：对于仅通过Hook技术修改View层显示数值、未篡改数据库事务及网络数据包的界面欺骗行为，应优先适用行政法或民商法规范；同理，对于通过抓包分析、直接构造 HTTP 请求模拟合法 API 交互的行为，由于行为人仅调用了服务端公开或半公开的数据接口，未对后端业务逻辑、数据库状态或访问控制机制实施任何实质性突破，本质上仍属于数据请求方式的变通而非对计算机信息系统安全的侵害，亦应在行刑衔接层面保持谦抑，避免将 API 调试与接口调用泛化为网络入侵行为。

律师介绍

刘俊

两高（成都）律师事务所 律师

刘俊律师，毕业于四川大学，具备扎实的法学专业知识与跨学科整合能力。执业前曾在盛大网络、华为赛门铁克及某成都独角兽企业负责后端技术与大数据相关工作，深度参与过技术类项目的欧盟GDPR数据保护合规实践，善于将网络技术、计算机科学与法律实务有机融合。

现专注于数据合规与计算机网络犯罪刑事辩护两大核心业务领域。在数据合规方向，能够为互联网、大数据、人工智能等新兴行业客户提供覆盖数据全生命周期的合规体系搭建、风险评估与监管应对方案；在计算机网络犯罪刑事辩护方向，凭借真实的技术从业背景，可深入穿透涉案技术细节，在非法侵入计算机信息系统、数据窃取、软件著作权侵犯、网络诈骗等新型科技犯罪案件中，为当事人提供兼具技术深度与法律精度的专业辩护。

可查看律师资料