随着社会信息化进程的不断深入，计算机及其网络的普及大大提高了社会的文明程度。信息技术在带给人们种种便利的同时，与之相伴而生的计算机犯罪也在一定程度上冲击着社会秩序的稳定。据统计，近年来，我国计算机犯罪呈逐年迅速上升趋势，其中以破坏计算机信息系统型犯罪数量较多，危害性最大。此类犯罪不仅使计算机信息系统本身受到破坏，而且使计算机网络因为系统破坏而瘫痪，使网络的信息传播途径功能丧失，直接影响到社会正常的政治、经济、文化秩序。因此，分析此类犯罪的类型和特点，探讨理论和实践中遇到的问题，无疑有助于正确适用法律，加大对破坏计算机信息系统犯罪的打击力度。
    （一）破坏计算机信息系统罪的概念和构成特征
    破坏计算机信息系统罪，是指违反国家规定，故意对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，或者违反国家规定，故意对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，以及故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的行为。
    破坏计算机信息系统罪具有如下构成特征：
    1．客体特征
    破坏计算机信息系统罪侵犯的客体是国家对计算机信息系统的管理秩序。
    本罪的犯罪对象是计算机信息系统。计算机信息系统，按照《中华人民共和国计算机信息系统安全保护条例》第2条的规定，是指由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。首先，计算机信息系统是一个联网系统，而这个网既可以是局域网，也可以是广域网。其次，计算机信息系统是一个人机系统，包括硬件、软件及其相关文件资料，系统相关配套设备和设施，系统服务，甚至计算机业务工作人员等。但是，根据《中华人民共和国刑法》（以下简称《刑法》）第286条的规定，将计算机信息系统包含的范围缩小到计算机的软件设备上，即破坏计算机信息系统罪的犯罪对象只包括计算机软件、信息数据和应用程序。即通过技术手段，非暴力地破坏计算机信息系统，从而影响计算机信息系统的正常运行。如果行为人采用暴力手段对计算机及其他设备本身进行破坏的，则不构成破坏计算机信息系统罪，而应构成故意毁坏财物罪。
    2．客观特征
    （1）《刑法》规定了破坏计算机信息系统罪在客观行为上有三种表现形式：
    a．违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重。以我院办理的案件举例说明：
    [案例一]被告人赵某原系某网站的网络管理员，因加薪问题与公司发生矛盾，辞职后伺机对公司实施报复。2007年6月间，赵某使用笔记本电脑，通过内装的NBSl3．0黑客软件，登录公司的服务器，将其创建的用户加入到了管理员组中，并将服务器系统文件windows文件夹中的“boot．ini”文件修改为“bootttt……（n个t）．ini”，导致公司刚站服务器雨新启动后无法运行，网页持续12天无法打开，严重影响了网站的世界排名和正常的经营活动。
    该案中，被告人赵某对服务器系统文件进行修改，就属于对计算机信息系统功能进行修改，造成计算机信息系统不能正常运行的行为。
    b．违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重。例如：
    [案例二]被告人申某系某水务局信息管理中心副科长，负责网络技术方面的工作。因认为水务局在全局系统的电脑上安装的趋势防病毒软件存在很多缺陷，给其工作造成诸多不便，申某于2006年7月某日，通过登录趋势防病毒软件服务器，破解控制台口令，继而采用访问趋势防病毒软件控制中心的方式，将随机选取的223台水务局计算机的趋势防病毒软件进行了远程卸载，使抢险单位的信息系统和个人终端处于病毒防护的失控状态，直接威胁到全市防汛指挥系统的运转，威胁到城市的防汛安全。水务局也为此支付了大量系统维护的费用。
    该案中，申某的行为即属于对计算机信息系统中存储的应用程序进行删除，造成严重后果的行为。
    c．故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重。计算机病毒，是指在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒具有隐蔽性、破坏性、可传播性、可激发性和可潜伏性等特点，危害性极大，病毒一旦被制作和传播，就像毒瘤一样严重侵蚀互联网的正常运行。例如，2006年年底，众所周知的“熊猫烧香”病毒，在近乎一夜之问使数以百万台计算机遭到感染和破坏，造成直接经济损失过千万，相关犯罪分子均被以破坏计算机信息系统罪判刑。
    另外，近年来，利用网络黑客攻击他人刚站的破坏计算机信息系统的犯罪行为大量涌现，而犯罪分子较多地采用了一种分布式拒绝服务（DDOS）的攻击方式。例如，2007年来我院先后受理了两起涉案5名犯罪嫌疑人采用DDOS方式攻击大型知名网站的案件，其中一起由罗某等四人攻击北京联众、完美时空等国内多家大型网络游戏公司的案件是北京首例DDOS攻击案。
    可见，采用DDOS方式攻击他人网站，不仪会造成计算机系统瘫痪或无法正常运行，而且此类攻击行为又往往与网络敲诈、诈骗等犯罪活动相牵连，对正常的网络应用、服务等经济活动以及社会秩序造成严重影响，引起社会各界的普遍关注。因此，有必要对这种攻击行为的性质及归属于破坏计算机信息系统罪的哪一种行为形式作以分析。
    分布式拒绝服务攻击，又称DDOS攻击，它是一-种分佰、协作的大规模攻击方式，是利用一批受控制的计算机（俗称“肉鸡”、傀儡机）向一台计算机短时问内发送海量的登录请求，发起攻击，使得被攻击的计算机的资源被过多占用，来不及对这些海量的请求进行处理，最终造成瘫痪。
    根据DDOS攻击的原理，其特点是远程操控傀儡机，并不直接侵入被攻击的日标，也不会使受攻击的计算机系统以及系统内部的信息被修改、删除、增加，其本质上是暂时性对受攻击的计算机系统的功能进行影响，使其无法正常工作，从而达到攻击的目的。可见，DD0S攻击针对的是计算机信息系统的功能，而非针对数据和应用程序，其行为属于破坏计算机信息系统罪中的第一种表现形式，即“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰”，具体而言，属于“删除、修改、增加、干扰”四种具体方式中的“干扰”行为，因为破坏计算机信息系统罪的犯罪对象是针对最终受攻击的计算机而言的，而不是针对傀儡机，最终受攻击的计算机承担着信息系统不能正常运行的破坏结果，而傀儡机的正常运行不受影响。虽然行为人在实施攻击过程中需要在傀儡机中植入木马等破坏性程序，从而修改、增加了傀儡机的功能，但是对于最终受攻击的计算机，行为人没有实施侵入系统内部以及删除、修改、增加的行为，只是过多占用其资源，即干扰行为。
    （2）行为人破坏训算机信息系统的行为必须造成了严重后果。
    根据《刑法》第286条的规定，实施上述破坏计算机信息系统的行为，必须是发生了严重后果的才构成犯罪。没有发生严重后果的，不能认定为犯罪。
    3．主体特征
    本罪的主体是一般主体，即年满16周岁以上、具有刑事责任能力的自然人均可以成为本罪的主体。但从实践中来看，本罪的犯罪主体具有一定的特殊性，犯罪分子呈低龄化趋势，且绝大多数本身就是精通计算机的行家里手，具有很强的实践操作能力。即使在个别情况下，犯罪分子可能不甚精通计算机，也一般利用或伙同精通计算机的人一起实施犯罪。从我院办理的此类案件来看，8件12人中有约90％的犯罪嫌疑人年龄在30岁以下，83％的犯罪嫌疑人具有大学以上学历。
    另外，《刑法》没有规定单位可以成为本罪的犯罪主体，就当前立法而言，对单位破坏计算机信息系统的行为尚不能追究单位的刑事责任。
    4．主观特征
    破坏计算机信息系统罪的主观方面是故意，即行为人明知会破坏计算机信息系统安全，仍然故意实施破坏系统功能、应用程序以及制作、传播病毒的行为，包括希望或放任这种危害后果发生的两种心理状态。过失不构成本罪。
    （二）破坏计算机信息系统罪的犯罪特点
    破坏计算机信息系统罪作为一种与高科技相伴而生的犯罪，体现出与传统犯罪不同的特征：
    一是作案区域的广泛性。由于互联网具有“时空压缩化”的特点，当各式各样的信息通过互联网传输时，跨国或跨省的地理距离就暂时消失。破坏计算机信息系统罪不受时间和地点限制，在犯罪过程中，行为人可以在不同地区和时间通过远程控制对同一犯罪目标进行攻击。例如，北京首例DDOS攻击案中，犯罪嫌疑人在上海市浦东区远程遥控托管在山东省临沂市的服务器，进而对石家庄、北京等地的联众公司服务器发动攻击，被攻击目标在很短的时间内造成系统瘫痪的损害结果。
    二是犯罪活动的隐蔽性。首先，行为对象的隐蔽性。针对训算机信息系统犯罪的行为对象主要是存储于计算机中的信息数据和应用程序。无形的电子数据一经存入计算机，必须经过特别的程序才能转换，人们仅凭直观是感觉不到的，即使其中的有些信息被人攻击或改动，信息及其载体也不会有变化，这样就不易被发现。其次，行为过程的隐蔽性。就计‘算机犯罪的准备时问而言，从策划到实施通常需要经过一段时间，如犯罪人要对攻击对象系统性踩点，熟悉网络系统的安全情况，确定攻击目标地址范围，扩充自己的系统特权，使用黑客软件控制他人计算机或购买大量“肉鸡”，等等。然而犯罪一旦着手实行，所需的时间往往极短，有时甚至只是敲击几下键盘的时间，而且由于此类犯罪没有特定的表现场所和客观表现形态，有目击者的可能性很小，有时即使看到正进行犯罪活动，不是对计算机专业技术很精通的人也不知道，因此隐蔽性极强。
    三是社会危害的严重性。相对于传统犯罪而言，针对计算机信息系统的犯罪表现出更加严重的社会危害性。这不仅表现为犯罪造成的经济损失足其他类型犯罪所无法比拟的，而且体现在犯罪对正常的社会管理秩序和国家安全造成的危害，更是其他类型的犯罪所无法比拟的。据有关统计，以黑客攻击为例，当今世界上平均每20秒就有一起“黑客”事件发生，仅在美国每年造成的经济损失就超过100亿美元，更为严重的是它可能危及政治、军事乃至整个国家的安全。
    四是侦查取证的困难性。针对计算机信息系统的犯罪不同于现实生活中的犯罪活动，因“网络空间”没有指纹，加上虚拟网络犯罪的行为对象常常是计算机数据和程序，以代号和数字形成，具有匿名性，给侦破案件增加了难度。而且犯罪人一般具有较强的反侦查能力，犯罪后总是千方百计删除系统日志、应用程序日志等文件，销毁各种数字证据和痕迹，给侦查取证带来很大困难。
    （三）破坏计算机信息系统罪司法认定中的若干疑难问题
    l．罪与非罪认定中存在的问题
    破坏计算机信息系统的行为必须造成严重后果才能构成破坏计算机信息系统罪。也就是说，有无严重后果发生，是本罪罪与非罪行为的分水岭。目前，尚未有司法解释对后果严重作出界定。通常认为：
    （1）在计算机信息系统功能的形式里，发生严重后果一般表现为使重要的计算机信息系统功能遭受严重损害，严重破坏计算机信息系统的有效运行，给国家、集体或者个人造成重大损失，或者造成恶劣的社会影响，等等。如果对计算机信息系统功能进行删除、修改、增加、干扰的行为没有严重破坏计算机信息系统的正常运行，如被攻击的网络能够照常运行，只是网速慢，性能与平时相比虽有所下降，但造成的损失不大的，就不能认定为造成计算机信息系统不能正常运行，后果严重。
    （2）在破坏计算机信息系统数据和应用程序的形式中，发生严重后果主要是指使用户重要的计算机数据和资料遭到不可恢复的严重破坏，影响正常的工作和生活的，因计算机信息系统的数据和应用程序被破坏而造成重大经济损失的等。
    （3）在制作、传播计算机病毒等破坏性程序的形式中，发生严重后果主要是指影响重要计算机系统的正常运行，致使工作秩序遭受严重破坏，造成重大经济损失以及恶劣的影响等。如果故意制作、传播计算机病毒等破坏性程序，但病毒等破坏性程序尚处于潜伏期，虽然可能占用了一定的系统资源，但没有造成严重后果的，就不构成本罪。
    司法实践中，目前认定后果严重主要是依据破坏计算机信息系统的行为造成的损失数额。例如，我院办理的新浪网站服务器受DDOS攻击一案中，损失数额参考会计师事务所出具的损失评估报告，评估主要根据无法正常使用网络服务的用户数量、业务指标在线人数增长速度受影响的比例、网络瘫痪持续的时间、部分广告页面无法正常显示的损失一人员成本、机房租用费等直接损失作出。另外，损失数额只是衡量后果是否严重的一个方面，有的案件中破坏计算机信息系统的行为造战的直接经济损失数额可能并不大，但是破坏的是有较人影响的知名门户网站，受影响的范围较广，网民较多，造成的社会影响比较恶劣，我们认为，也应该认定为后果严重。可见，计算机信息系统的性质、用途和范围，如是区域性、局域性网站还是广域网，是公司、机关单位的内部网还是综合性的门户网，以及是否属于关乎国家、人民重大利益的信息系统，都是司法实务部门应当考虑的因素。例如，案例二中，虽然被告人的行为给单位造成的经济损失只有3万余元，但被告人卸载的是200多台水务局计算机的趋势防病毒软件，直接威胁到全市防汛指挥系统的运转，威胁到城市的防汛安全，因此后果严重。
    总之，上述关于后果是否严重的判断标准应当在实践中综合衡量、全面把握。
    2．罪数形态认定中存在的问题
    （1）破坏计算机信息系统罪与非法侵入计算机信息系统罪的竞合。《刑法》第285条和第286条规定了典型的计算机犯罪的两个罪名，即非法侵入计算机信息系统罪和破坏计算机信息系统罪。两罪在侵犯的行为对象、行为方式和内容，对危害后果的要求及犯罪动机、目的等方面都有明显的差异，但是如果行为人既实施了非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为，又实施了针对该信息系统的功能、数据或应用程序进行删除、修改等行为，就会出现非法侵入计算机信息系统罪与破坏计算机信息系统罪的竞合问题。两罪之间是什么形式的竞合关系，应当按照什么原则进行处理，有论者认为成立吸收犯，非法侵入行为是破坏行为的所经阶段，破坏行为是非法侵入行为发展的必然结果，对此以吸收的犯罪行为一个罪名进行处罚；有论者认为成立牵连犯，非法侵入行为是破坏行为的方法行为，应以牵连犯从一重罪处罚。笔者赞同后者的观点。
    （2）破坏计算机信息系统罪与敲诈勒索罪、诈骗罪等其他犯罪的竞合。《刑法》第287条规定：“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。”因此，如果行为人只是将计算机作为工具，从而实施了金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密等其他犯罪的，不构成非法侵入计算机信息系统罪或破坏计算机信息系统罪，而应当按照其他犯罪定罪处罚。
    司法实践中，利用破坏计算机信息系统实施敲诈勒索、诈骗的情况比较常见。例如，北京首例DDOS攻击案中，从犯罪嫌疑人李某、罗某等人的主观目的来看，他们之所以对联众公司的服务器进行攻击，目的是为了借此向联众公司推销遐迩公司的网络安全防卫设备。当联众公司使用了遐迩公司的防火墙之后，他们仍旧进行攻击，由于此防火墙能够识别、阻拦这种攻击，因此给联众公司一方造成了效果良好的假象，从而骗取了联众公司的信任。以此来看，李某、罗某等人实际上只是将破坏计算机信息系统作为一种手段，其真正的目的是为了欺骗联众公司购买其产品。该案中破坏计算机信息系统的行为与诈骗行为就存在手段和目的的牵连关系。我们认为应当根据牵连犯从一重罪处断的原则追究犯罪嫌疑人的刑事责任。
    有论者主张，如果某一具体犯罪与破坏计算机信息系统罪发生竞合时，大体有三种处理方法：第一，如果通过破坏计算机信息系统来实施其他破坏性犯罪的，应当从一重罪从重处罚；第二，如果破坏计算机信息系统是该种犯罪的方法行为，则按牵连犯从一重罪处罚；第三，如果实施该种犯罪行为可以不破坏计算机信息系统，而行为人却故意破坏的，应当数罪并罚。以上观点在本罪罪数形态认定方面可以为司法实务部门提供有益的思路。
    3．证据的收集、固定和认定中存在的问题
    （1）收集、固定证据中存在的问题。破坏计算机信息系统案件具有犯罪行为难以发现、犯罪证据不易获得、犯罪现场不明确、证据的有效性难以确定等特点。此类犯罪是在虚拟的网络空间实施的，犯罪现场空间与时间分离，案发现场与施案现场往往不在同一个地点，甚至跨省、跨国度，有的犯罪人秘密地把破坏程序运送到目标机器上的时候，并不急于实施犯罪，而是设置一定的触发事件。因此，公安机关的侦查取证方向往往采取“倒推”的方式，通过案发现场的蛛丝马迹倒推施案现场，一般情况下，犯罪施案现场是通过IP地址（相当于计算机的身份证）确定的，根据案发机器的日志记录确定施案机器IP地址，根据IP地址确定机器所处的地理位置。然后，再通过施案现场倒推实施犯罪的机器位置和使用人，最终锁定犯罪嫌疑人。当然，倒推的侦查过程离不开专业的技术手段。
    但有的案件，犯罪分子破坏技术和手段不断革新，依靠技术手段有时也很难侦破案件并收集、固定据以认定犯罪的证据。例如，北京首例DD0S攻击案中，犯罪分子所发数据包的IP地址都是伪造的，中间还有很多作为跳板的环节，而且被犯罪分子远程控制的成千上万台电脑“肉鸡”范围很大，单纯依靠技术手段很难倒推确定犯罪嫌疑人。因此，侦查机关需要采取网络技术与传统侦破案件方法相结合的方式。如对遭受攻击的计算机网络系统进行监控，发现可疑的信息，进而跟踪信息的来源，顺藤摸瓜，对原始来源地进一步调查，从而侦破犯罪；对已经锁定的IP地址进行监控，在犯罪分子间歇性发动攻击的过程中获取全面而充分的证据。
    （2）审查认定证据中存在的问题。仍以DD0S攻击案为例，如前所述，在侦查机关布置监控的情况下，犯罪分子实施攻击的整个过程都在警方的视野中，因而据以认定犯罪的证据容易取得，而且证据链条完整、确实、充分，犯罪嫌疑人的犯罪事实比较容易认定。但是在没有侦查机关监控的情况下，司法人员认定案件事实就需要首先审查从被攻击计算机一攻击傀儡机一控制傀儡机一发动攻击计算机整个倒推的证据是否环环相扣，形成完整的链条。另外，即使上述证据能够环环相扣，也不能就此得出犯罪嫌疑人实施攻击行为的结论，因为上述倒推的过程只是指向了哪台计算机发动了攻击，而并不能指向发动攻击时哪个人在实际操控该机器中攻击的指令。这一“从机到人”的认定过程在犯罪现场空间与时间分离的案件中显得尤其关键。因为在此情况下，犯罪人秘密地把破坏程序运送到目标机器上的时候，并没有立即实施犯罪，而是设置了一定的触发事件，也许案发的时候，犯罪人正在家里享受美味可口的咖啡。而实践中，这一“从机到人”的最后一个环节的司法认定过程，往往需要结合犯罪嫌疑人的供述予以认定，将犯罪嫌疑人的供述与其他证据进行综合分析，各个证据之间要能够相互印证，排除合理怀疑，这样，整个证明的过程才是完整、严密的，得出的结论才是排他的和唯一的。