【聚焦】 本案属于非法侵入、非法控制、破坏计算机系统类案件的典型案例，该类案件最大特点就是“完全依赖鉴定性”，本案通过突破鉴定意见，及时和公诉机关沟通，有针对性的调整辩护方案，最大限度的维护了被告人的合法权益，其成功的辩护策略值得我们学习和借鉴

一、案例基本信息

涉嫌罪名：非法控制计算机信息系统罪

法院判决时间：2019年8月16日

法院名称：北京市海淀区人民法院

辩护律师姓名：令铎

关键词：非法控制  鉴定意见的中立性  DNS劫持  广告弹窗 设置首页

二、案例正文

【案情简介】

       刘某就职于深圳某IT软件公司S，该公司的几位创始人均为BAT出身，拥有较好的行业背景和资源，在几人的共同努力下，S公司的业务和业绩稳步发展，刘某正是在S公司处于上升期时加入团队，慢慢成长为S公司的技术骨干。

      S公司于2016年开发一款Y软件，刘某作为研发团队的一员，参与了该款软件客户端部分的代码编写工作，由于功能贴合普通用户需求，Y软件市场反响较好。同时，S公司的主要业务为广告分包推广，拥有包括多家互联网巨头公司在内的订单。在彼时的互联网环境中，用户流量已成为所有IT公司核心资源，包括行业龙头产品在内的各热门门户网站和常用软件捆绑广告已是业内惯常做法，S公司在开发Y软件的过程中，也尝试将其广告推广业务与Y软件所带来的用户流量相结合，通过在Y软件的安装包内添加服务器远程通路插件，由此试图以远程发布指令的形式实现广告推广的目的。后因具有该插件版本的Y软件不能通过主流软件下载平台的安全检测，于是Y软件的研发工作于2017年初终止。

      2018年3月，北京B互联网公司刑事法务侦查部向海淀分局警方报案，称公司的21台电脑受到恶意代码的攻击，经公司内部初查后发现是因为这21台电脑均下载了Y软件。海淀分局立案后将S公司董事长郭某、技术总监刘某某以及刘某三人拘留，羁押37天后，海淀检察院以证据不足为由不批准逮捕，刘某等人取保候审。2018年12月5日，海淀分局再次提捕，海淀检察院批准逮捕，刘某等三人再次到案。刘某三人的家属随后找到我们寻求委托刑事辩护。

      起诉意见书指控，自2016年以来，刘某三人以非法牟利为目的，利用内有恶意控制他人电脑插件的“Y软件”，非法控制B公司内21台电脑，后被抓获。经鉴定，Y软件具有非法控制计算机信息系统功能（弹窗广告），共计被安装1230060次，上述行为涉嫌非法控制计算机信息系统罪。在第一次补充侦查期间，经补充鉴定，Y软件还具有破坏计算机信息系统功能（修改浏览器首页），公诉方拟以非法控制计算机信息系统罪和破坏计算机信息系统罪两个罪名起诉，当事人将面临数罪并罚高至20年有期徒刑的指控。

      辩护人介入后，通过去S公司调查取证，向专业人员寻求技术支持等手段，厘清了本案与相关案例（最高院第102号指导案例）事实层面的本质区别，同时准确指出两份鉴定意见中存在的问题，及时与主办检察官沟通，第一时间形成书面辩护意见，相应辩护观点被公诉方采纳，直接推动了第二次补充鉴定的启动，并得到了预期的结果，最终公诉方在起诉书中仅保留了非法控制计算机信息系统罪一较轻罪名，且危害后果的认定仅限定在报案时的21台电脑。

【辩护意见】

       本案的辩护工作中，辩护人前后总共提交了三份辩护意见，前两份主要针对案件事实及相关行为的定性，最后一份主要针对量刑。

      第一份辩护意见主要是对起诉意见书中的指控进行初步的系统回应，主要内容包括：1、鉴定意见的检材来源不明，与起诉意见书中所指控的事实没有关联。鉴定意见没有说明鉴定所使用的Y软件客户端安装包的来源，也未说明安装包的具体版本信息，在Y软件存在多个具有不同功能模块的迭代版本以及测试版本的前提下，无从知晓具体的指控对象，也丝毫看不出与起诉意见书中所指控的“非法控制B公司内21台电脑”的软件有任何事实关联性；2、现有证据无法证明被告人被指控的行为之情节及所造成的后果已达到情节严重的程度，不符合该罪的法定构成要件。起诉意见书中所指控的软件安装次数不代表软件实际造成的危害，相关法律关于该罪危害情节的规定并不包含安装次数这一标准，影响范围方面只规定了安装台数这一种情形，但起诉意见书中所提到的“被非法控制的21台电脑”的相关情况并无任何事实证据予以佐证。Y软件存在众多版本，鉴定意见无法说明被指控的版本的具体安装次数。3、Y软件所具有的的设置首页功能的危害性显著低于其他同类案件，Y软件是通过修改IE浏览器的注册表中关于首页的具体信息，从而实现修改首页功能的，首先，这一修改针对的是IE浏览器，对于其他浏览器并不会产生任何作用，事实上，经辩护人测试，Y软件中的修改首页功能对非开发环境版本的IE浏览器也同样无效；其次，这一修改是极容易修复的可逆行为，用户只需在IE浏览器的设置选项中输入自己想要设定的首页，即可完成对原有首页的恢复；最后，用户即使不将原有首页修改回来，也不影响用户通过输入网址的方式访问目标网站。通过比较可以发现，关于修改首页功能被认定为破坏计算机信息系统的生效判决中，其软件修改首页的原理与Y软件完全不同，以最高院于2018年12月25日发布的102号指导案例为例，被告人付宣豪、黄子超等人租赁多台服务器，使用恶意代码修改互联网用户路由器的DNS设置。这里所说的DNS劫持是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能访问或访问的是假网址。与Y软件的修改首页功能原理相比，DNS劫持具有以下特点：（1）DNS劫持是通过系统层面对路由器的修改，实现对所有浏览器首页的修改；（2）这一修改破坏性极大却不容易被用户感知，必须通过对路由器相关设置的修复才能得以修复，普通用户无法通过浏览器自身的设置予以解决；（3）DNS劫持实现的功能是不能访问特定网络或访问假网址，这不仅仅意味着浏览器首页被修改，还意味着被劫持域名的网站无论任何方式都无法进行访问。从以上对比可以看出，无论从运行原理还是实际危害性来说，Y软件所达到的危害程度与DNS劫持行为相比，充其量只能算是一种对用户的骚扰，并不能算是真正意义上的破坏。4、刘某作为程序员，不参与软件的实际运营，并不具备犯罪的主观故意，案发后的表现应减轻、从轻处罚。

      第二份辩护意见主要针对鉴定意见是否具有中立性发表观点，主要内容为：1、本案的鉴定意见超出了委托人的鉴定要求，也超出了鉴定机构所登记的业务范围，根据相关法律规定不具有证据能力。辩护人通过仔细阅卷发现，鉴定意见书的鉴定意见部分写明：“……在数据库中的任务均为访问连接页面，然后在页面中进行相关内容点击，目的为刷广告或者视频流量，通过刷广告流量来骗取渠道流量收益。……”上述关于行为目的的表述已明显超出“是否具有远程控制功能”这一专门性问题的范畴，也明显不属于本案司法鉴定所的业务范围。同时辩护人还注意到，该份鉴定意见的代码分析部分写明：“……同时采用了隐藏窗口模拟点击等手段，为避免窗口播放音视频内容被用户察觉……”这一关于目的的类似表述同样无法从技术手段自身得出，也明显超出了鉴定委托的专门性问题范围，根据法律的规定，该份鉴定意见对所委托的专门性事实问题以外的事项所做出的鉴定不具有证据能力。2、经两次退回补充侦查后，鉴定机构仍未能出具足以证明被告人被指控的行为之情节及所造成的后果已达到情节严重的程度的鉴定意见，现有证据仍无法证明刘某等人的行为符合非法控制计算机信息系统罪的法定构成要件。综合以上情况，根据法律的规定，恳请检察官依法对刘某作出存疑不起诉处理。

      第三份辩护意见于庭审后提交，本案最终以认罪认罚从宽程序进行庭审，故该份辩护意见仅对量刑情节发表观点，主要内容为：1、本案犯罪事实情节较轻，社会危害性很小。起诉书指控的犯罪事实为刘某等人非法控制计算机信息系统21台，根据相关法律规定，刘某等人的行为刚刚达到入罪标准，且造成的危害仅仅控制在一家公司内部，社会危害性很小。其次，根据上述法律及司法解释的相关规定，本罪适用3年以上有期徒刑的标准为非法控制计算机信息系统100台以上，对比刘某等人的行为所造成的21台电脑的危害后果，量刑如超过7至8个月的区间过多，显有违比例原则。2、刘某到案后供述前后一致，始终保持如实供述的认罪态度。综上所述，结合公诉方一年以下有期徒刑的量刑建议，恳请法官能够对刘某作出10个月有期徒刑的判决。

【判决结果】

       一审法院判决刘某有期徒刑10个月，并处罚金8000元。

【裁判文书摘要】

       本院认为，被告刘某违反国家规定，采用技术手段对计算机信息系统实施非法控制，情节严重，其行为已构成非法控制计算机信息系统罪，应予惩处。…….鉴于被告人归案后能够如实供述犯罪事实，认罪态度较好，此次犯罪系初犯，认罪认罚，本院对刘某依法从轻处罚。辩护人发表的有关对从轻处罚的辩护意见，本院予以采纳。

【案例评析】

       本案之所以能取得较为理想的辩护效果，有以下几点经验可供分享：

（一）坚持以专业知识和证据规范相结合的方法质证专业性鉴定意见

       本案属于新兴互联网犯罪，涉及较多专业知识，尤其是鉴定意见的说明部分，包含大量专业术语，如对相关内涵不了解，肯定无法对鉴定意见进行有效质证。本案鉴定意见包括一部分性质判断，如Y软件是否具有被指控的非法控制和破坏的功能，是通过DNS劫持还是修改浏览器注册表的方式来实现非法控制和破坏的目的等，还包括一部分程度判断，如服务器中所显示的Y软件安装次数统计，这些鉴定内容一经司法认定，将直接决定犯罪情节的严重程度乃至罪与非罪的认定。辩护人首先通过对相关知识的学习和与相关专业人员的沟通，明确本案的行为模式是修改浏览器注册表来实现设置首页目的，成功的将本案事实与102号指导案例中的DNS劫持手段相区分，从而将行为的危害性显著降低，为拿掉较重的罪名进行了事实层面的充分铺垫。其次，还通过对服务器中软件安装次数统计的原理进行阐述，从而达到切断123万次这一数据和所指控事实关联性的目的，这都体现了专业知识在具体辩护工作中的重要价值。同时也应看到，正是基于对鉴定机构中立性的一般性证据规范的运用，使得公诉人对该鉴定意见是否具有适格的证据资格产生疑问，从而推动了案件的辩护工作朝有利的方向发展。

（二）注重与办案人员的庭前沟通，切忌毕其功于庭审一役

       作为一个最初有可能判处20年以上有期徒刑的案件，仅通过20分钟的庭审就以法定刑幅度内较轻的判决作结，如此理想的结果可以说和辩护人庭前与主办检察官的充分沟通密不可分，庭前沟通具有对抗性较低、说理较为充分、不拘泥于时间、地点、次数等众多优势，而且沟通的结果可以直观、良性的作用于检察官权限内的程序性操作之上，对于案件走向和进程的推动具有积极意义。本案正是由于通过在审查起诉阶段提交书面辩护意见、与检察官面谈等形式取得了较为理想的沟通效果，成功的推动检察官作出启动二次退补、适用认罪认罚从宽制度等有利于被告人的决定，这些程序层面有利因素的积累，使得终局阶段实体上的理想结果成为一种必然。

（三）要根据案件阶段和发展的不同及时调整辩护策略，争取最大限度、最多维度的维护当事人的利益

       本案的辩护策略经历了多次调整，接受委托伊始，因鉴定意见、当事人供述及相关判例（最高院指导案例）均使当事人处于一个较为不利且被动的处境，辩护人优先着眼于当事人行为时在团队的辅助性身份、在行为中所起到的较为次要作用、到案后认罪态度较好等辩护点，为罪轻辩护做好准备。随着对事实层面了解的深入，辩护人厘清了本案与相关案例的本质区别，同时从本案鉴定意见的关联性和中立性存在的问题击破了这一“证据之王”，在此基础之上果断将辩护策略从罪轻辩护调整为无罪辩护，在后期沟通中相关意见也得到了公诉方的认可，成功消除了迫在眉睫的重罪危机。在取得公诉机关放弃重罪指控、启动认罪认罚从宽程序的阶段性成果后，辩护人又在没有明确量刑规则的情况下通过对比性说理，结合已被办案机关认定的较好的认罪态度，适时的提出具体的量刑建议，最终也得到了法官的采纳。可以说，在本案的整个辩护过程中，辩护人并没有僵化抱守于某一个特定的辩护策略，而是结合时、势，灵活调整，在定罪、量刑的每一个环节都尽最大可能提出针对性的辩护意见，最终成功为当事人争取到利益最大化的结果。

【结语和建议】

       本案涉及罪名所指涉的行为在某一特定历史时期内于行业中较为常见，但该罪的入罪门槛却相对较低（相关软件安装21台以上电脑、违法所得5000元人民币，满足其一即达到“情节严重”的入罪标准），这种“不均衡”的客观状况，一方面要求相关互联网企业必须意识到业务中存在的刑事法律风险，充分重视事前刑事合规的重要性，另一方面还需要立法机关在后续的立法工作中对法规本身予以完善，以使其更加贴合社会经济发展的客观需求，避免设置过大的犯罪圈。

（本文案件由刑事研究会推荐）