非法获取计算机信息系统数据罪是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息公司系统，或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，情节严重的行为。

该罪规定在《刑法》第二百八十五条：

【非法侵入计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

单位犯前三款罪的，律师对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

刑法第285条第二款规定了非法获取计算机信息系统数据、非法控制计算机在信息系统罪，该罪名是选择性罪诉讼名，即行为人只实施非法获取计算机信息系统数据或非法控制计算机信息系统的行为之一的，则以具体实施的行为确定非法获取计算机信息系统数据罪或者非法控制计算机信息系统罪，若实施两个行为，则以非法获取调取计算机信息系统数据、非法控制计算机信息系统罪定罪处罚，而不数罪并罚。

虽然实践中先非法控制计算机系统，又非法获取其数据的行为比比皆是，但两种行为的具体罪状和犯罪构成并不完全一致，本文中只解析非法获取计算机信息系统数据罪。

一、犯罪构成

非法获取计算机信息系统数据罪的客体是计算机信息系统的数据安全。2017年出台的我国《网络安全法》第10条的表述是维护“网络数据”的完整性、保密性和可用性。数据的保密性，即免受未授权人获悉；数据的完整性，即免受无权篡改；数据的可用性，即权利人可随时无障碍的利用。该罪保护的是数据安全的内涵包括数据的保密性、完整性、可用性，排除行为人侵犯他人的数据。

犯罪对象仅限于使用中的计算机信息系统（包括电脑、手机、网络设备、自动化控制设备等）中存储、处理、传输的数据，而不包括脱离计算机信息系统存放的计算机数据，如光盘、U盘中的计算机数据。

在客观方面表现为行为人违反国在家规定，实施侵入国家事务、国防建设、尖端科学技术领域以外的普通计算机信息系统，或者采用其他技术手段，从而获取这些计算机信息系统中存储、处理或者传输的数据的行为。并且，本罪为情节犯，行为人在结果上应达到司法解释规定的“情节严重”的标准。

犯罪主体是一般主体，即达到刑事责任年龄即年满16周岁并且具有刑事责任能力的自然人，包括单位犯罪。

在主观方面表现为故意，即行为人调取明知是侵入计算机信息系统或以其他技术手段获取数据的行为，仍故意为之。

根据刑法信息规定来看，正确理解与适用非法获取计算机信息系统数据罪，必须从“违反国律师家规定”、“侵入或者采用其他技术手段”、“数据”的认定、“情节严重”四个方面进一步强化。

二、违反国家规定

根据《刑法》第九十六条规定：本法所称违反国家规定，是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。

国家规定包括且不限于：

1.《全国人大常委会关于维护互联网安全的决定》第三条第(三）项中关于利用互联网侵犯他人知识产权和第四条第(二）项中关于非法截获他人其他数据资料的规定。

2.《网络安全法》第北京二十七条“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数信息据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的公司活动的，不得为其提供技术支持、广告推广、支付结算等帮助”的规定。

3.《中华人民共和国计算机信息系统安全保护条例》第七条“任何组织或个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全”的北京规定。

4.《计算机信息网络国际联网安全保护管理办法》第四条“关于任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动”的规定和第六条关于未经允许不得实施进入计算机信息网络或者使用计算机信息网络资源的规定。

违反国家规定体现了行为人行为的违法性，这是构成本罪的前提。是否具有违法性主要看是有权利或者经过他人授权。如果行为人利用技术手段批量获取属于自己的或自己有权利获取的数据，没有从实质上损害其他任何主体的利益或者国家的利益，则行为不具有违法性，自然也不属于违反国家规定。

三、手段的特定性

非法获取数据的前提是侵入计算机信息系统或者采用其他技术手段。

根据参与我国《刑法》制定的工作人员发表的文献指出，该罪中的获取包括从他人计算机信息系统中窃取，如直接侵入他人计算机信息系统，秘密复制其中的信息，也包括骗取，如设立假冒网站，骗取用户输入账号、密码等信息。有观点认为，无论是侵入还是采取其他手段获取数据，均要求采用的是计算机技术手段，否则不构成该罪。

但最高人民检察院发布第九批指导性案例中卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案，则突破了该罪对于技术手段的要求。该案中被告人卫梦龙伙同被告人龚旭、薛东东，合谋利用龚旭掌握的登录某大型网络公司内部管理开发平台的账号、密码、Token令牌（计算机身份认证令牌）等，违反规定多次在异地登录该大型网络公司内部管理开发系统，查询、下载该计算机信息系统中储存的电子数据并出售牟利。此案被北京市海淀区人民检察院提起公诉后，人民法院认定卫梦龙、龚旭、薛东东构成非法获取计算机信息系统数据罪。因此，该案明确了超出授权范围使用账号、密码登录计算机信息系统属于侵入计算机信息系统的行为；侵入计算机信息系统后下载其储存的数据可以认定为非法获取计算机信息系统数据。

在实践中，技术手段主要体现为以植入木马的方式入侵网站服务器、向用户手机预置“静默插件”的方式侵入手机后台、设立钓鱼网站诱导用户下载含有木马程序的安装包、利用扫号软件和基础数据筛选用户信息等等。非技术手段主要体现为超出授权范围使用账号、密码或者购买、窃取账号、密码后访问计算机系统并获取数据。

四、“数据”的认定

本罪中的计算机信息系统特指除“国家事务、国防建设、尖端科学技术领域的计算机信息系统”以外的计算机信息系统。因如何此，数据也特指这些计算机信息系统中的数据如何。

根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条规定，本罪涉及的数据主要指身份认证信息。根据该解释第十一条第二款：“本解释所称“身份认证信息”，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。”有观点认工商为，如果要适用上述司法解释第一条第一款第五项规定的“其他情节严重的情形”认定身份认证信息以外的信息为该罪的“数据”，那么该信息本身应当是有价值的，而且其重要性应当跟以上身份认证信息的重要性相当，达到了需要刑法保护的程度才行。

在司法实践中，数据主要体现为用户注册信息、身份认证信息、账号信息、手机机主信息、医院的医生用药信息、视频课程、购物优惠券、游戏币、网络直播后台数据等具有相应商业、社会价值的数据。

五、情节严重

本罪是情节犯，只有达到“情节严重”的程度才构成犯罪。

根据最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释（法释〔2011〕19号）第一条规定，获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上，或者获取其他身份认证信息五百组以上，或者违法所得五千元以上或者造成经济损失一万元以上的，或者具有其他严重情节，属于非法获取计算机信息系统数据罪的“情节严重”情形，追究刑事责任。

以上是邵永飞律师的个人观点，不得作为个案处理的意见，具体案件需要根据证据及情节进诉讼行具体分析，否则后果自负。

邵永飞律师从海关缉私局辞职从律，具有丰富的海关法律知识和经济犯罪刑事辩护经验，是国内少有的具有海关工作经验的海关律师、走私犯罪辩护律师、进出境犯罪辩护律师、海关案件律师、经济犯罪辩护律师。主做工商走私犯罪辩护、经济犯罪辩护、出入境犯罪辩护、海关案件代理、民商事案件代理等。