王明赫丨非法获取身份认证信息的法教义学反思

　　转自：上观新闻

　　王明赫

　　华东政法大学刑事法学院刑法学硕士生

　　要目

　　一、问题的提出

　　二、对“非法获取”“身份认证信息”的质疑

　　三、非法获取身份认证信息的法益重构

　　四、法益重构方案的理论建构

　　结语

　　作为非法获取计算机信息系统数据罪核心构成要素的“非法获取”与“数据”，难以发挥构成要件的类型化机能。司法解释虽尝试将本罪的犯罪对象限定为身份认证信息。然而在司法实践中，将其他数据类型广泛纳入本罪行为对象的同时，本罪与社会管理秩序法益之间的关联也更加模糊，加之身份认证信息与个人信息、虚拟财产之间存在交叉重叠之处，本罪与信息犯罪、财产 犯罪难以区分。通过将非法获取身份认证信息所保护的法益重构为身份认证秩序，明确其与社会管理秩序的关联，并借助身份认证秩序对本罪的构成要素进行解读，从而实现与非法获取公民个人信息、账号类虚拟财产行为之间的界分。

　　一、问题的提出

　　对于非法获取计算机信息系统数据罪，在刑事立法并未对数据内涵和含义加以阐释的情况下，《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《计算机解释》）第1条第1款仅将本罪的犯罪对象限定为身份认证信息，对于其他数据类型是否能够作为本罪犯罪对象以及具体认定标准却语焉不详。然而在司法实践中，本罪犯罪对象却几乎涵盖了个人信息、知识产权及虚拟财产等一切可在计算机信息系统中储存、获取的权利客体。刑事立法、司法解释以及司法实践中的不同态度导致了多重问题：其一，由于非法获取行为在不同犯罪中指向不同的行为构造、作为犯罪对象的数据也因不同记载内容具有不同法律属性，使得本罪构成要件难以充分发挥类型化机能，实现罪与罪的界分；其二，《计算机解释》对本罪犯罪对象所做的限定并未在司法实践中得到严格遵循，身份认证信息之外的大量数据类型均被纳入本罪保护范围之中，使得本罪在一定程度上架空了部分个人信息犯罪、财产犯罪，也存在违背罪刑法定所要求的明确性原则。归根结底，当前问题的讨论并未关注对身份认证信息加以明确保护的价值所在，更未深入挖掘其背后所体现的法益。

　　对于非法获取计算机信息系统数据罪所保护的法益，存在“计算机信息系统安全”“数据安全”等主张。然而，上述观点缺乏对身份认证信息进一步的阐述，也难以明确其同社会管理秩序法益之间的关联所在，也就无法依据所保护之法益对本罪的构成要件进行妥善解释，更加剧了非法获取计算机信息系统数据罪的“口袋化”倾向。为此，在对“非法获取”“身份认证信息”等构成要件进行反思的基础上，在把握非法获取计算机信息系统数据罪作为侵害社会管理秩序罪的前提下，对非法获取身份认证信息所保护的法益进行展开，以探讨司法解释对其加以保护的价值所在，并对司法实践中的有关问题尝试解答。

　　二、对“非法获取”“身份认证信息”的质疑

　　根据刑法第285条及《计算机解释》，用以界定非法获取身份认证信息行为的两个核心要素是“非法获取”和“身份认证信息”。然而，两个要素仅仅是对司法实践中常见多发的数据犯罪的经验性总结，其内涵与外延并不明确。刑法理论与司法实践在对犯罪构成进行解释时，只有借助于刑法规定的具体犯罪所保护的法益，发挥法益的解释论机能，才能够厘清犯罪的教义学构造。对于非法获取计算机信息系统数据罪所保护的法益，存在两种观点：一为计算机信息系统安全法益。二为数据安全法益，数据安全包含三个面向：保密性、完整性及可用性，非法获取计算机信息系统罪旨在通过保护数据的保密性以维护数据安全法益。然而，笔者认为，上述观点不仅未能说明非法获取身份认证信息所保护的法益，也无法对构成要件进行准确解释，厘清犯罪的教义学构造。

　　对“非法获取”的质疑

　　首先，“非法获取”是本罪的行为要素，然而在不同类型的犯罪中，非法获取行为往往指向不同的行为构造。在刑法中，除本罪外，在针对内幕信息、国家机密及公民身份信息的有关条文中，立法者也采用了“获取”或者“非法获取”的表述。对于内幕信息、国家机密，非法获取主要体现为接触并获知特定内容。对于侵害公民个人信息罪中的非法获取行为，有学者认为，此处的非法获取应当是指行为人打破了信息的保密状态，使自己处于能够知悉的状态。非法获取行为在两罪中的差异在于，根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《个人信息解释》），行为人非法获取的公民个人信息，往往需要达到五百条、五千条以上才能够达到本罪所要求的“情节严重”的标准，如果也要求具体知悉有关内容，则不当提高了入罪门槛。此外，在财产犯罪中，也有学者将盗窃、抢夺等行为统称为非法获取行为，从而使其更强调占有的移转。在非法获取计算机信息系统数据罪中，由于数据仅是对记录载体而非记载内容的描述，同时身份认证信息也牵涉与个人信息、虚拟财产等概念的重叠交叉，使得司法实践中本罪的非法获取行为囊括了侵犯个人信息法益、财产法益的行为，且在行为性质、手段及后果等方面均存在较大差异，使得本罪的非法获取行为所指向的不法行为类型涵盖范畴较为宽泛，从而导致罪与罪之间处罚边界不明。具言之，不管对本罪的非法获取行为作何理解，都难以适用于所有的数据类型。在司法实践中，司法者将不同类型的数据都纳入本罪的保护范围中来，也就使得在面对不同类型数据时，非法获取行为必须做不同理解，从而使得本罪的非法获取行为丧失定型性。

　　其次，对于非法获取身份认证信息，通常认为，行为人非法获取身份认证信息，需要求身份认证信息在非法获取的时间节点能够用以在计算机信息系统中确认操作权限。在司法实践中，行为人非法侵入他人计算机信息系统，获取其中的身份认证信息，最终目的是通过对个人数据非法利用进行牟利或者实施其他犯罪。换言之，行为人非法获取身份认证信息，其目的在于为继而实施的诈骗、敲诈、勒索、盗窃或者侵犯人身权利犯罪提供条件。从根本上而言，本罪是对个人法益的超前保护，行为人依托互联网技术，可以免受地域和人数的限制，如果不对非法获取行为加以规制，其向进一步实行行为的演进将伴随犯罪人数几何倍数增长。因此，立法者将社会管理秩序法益用以替代个人法益从而实现对个人法益的超前保护。然而作为保护法益的社会管理秩序法益以及下位的公共秩序法益，都过于抽象，使得对于构成要件的解释缺乏限制，削弱构成要件的限制机能。

　　对此，不管是计算机信息系统法益还是数据安全法益，都是从单点化的具有数据处理功能的智能终端自身或者存储于其中的数据予以论证或进行解释，仅仅强调了非法获取行为对系统运行安全或者数据安全造成了侵害，却没有体现非法获取行为与社会管理秩序之间的关联。或者说，对于本罪所保护的法益，计算机信息系统安全和数据安全都没能说明其是如何作为社会管理秩序法益的亚类型，从而难以体现刑法通过分则罪名设置所意图保护的重要法益，揭露非法获取行为的具有公共属性的不法本质。

　　对“身份认证信息”的质疑

　　其一，作为本罪犯罪对象的“数据”范围过于宽泛。根据数据安全法第3条第1款规定，数据是一种存在于计算机信息系统中的记录载体，而非记载内容本身，也就意味着“数据”能够表征多种权利客体，从而使得本罪保护法益的内涵和外延极其模糊，可能涉及个人信息权、财产权、知识产权等权利。立法者虽然将“数据”限定为在计算机信息系统中储存、处理、传输的数据。然而，《计算机解释》对“计算机信息系统”进行了扩张解释，将其界定为“具备自动处理数据功能的系统”，从而将几乎所有与计算机相关联的网络终端设备解释为计算机信息系统。再者，在计算机信息系统中的数据，既有涉及信息系统正常运行的数据，也有与公民个人信息、商业秘密、个人财产等相关的数据，这些数据与人身、财产权利密切相关，却与计算机信息系统安全无关。然而根据计算机信息系统安全法益，则只能够将与计算机信息系统安全相关的数据作为本罪的对象，又在一定程度上不当限缩了本罪的保护范围，而根据数据安全法益，却又难以说明对于作为记录载体的数据的保密性，是否有必要在记载内容的保密性之外，单独加以保护。

　　其二，《计算机解释》将“数据”限定为“身份认证信息”，也即通过记载内容对数据的范围进行了限缩，所谓“身份认证信息”，即指确认用户操作权限的数据，通常表现为用户的账号及密码。然而，根据《个人信息解释》第1条，账号、密码同时也被纳入“公民个人信息”的范畴。那么，当行为人非法获取计算机信息系统中储存、处理、传输的身份认证信息时，侵害公民个人信息罪与非法获取计算机信息系统数据罪之间的关系为何。此外，账号类虚拟财产作为虚拟财产的重要类型，也往往呈现出账号及密码的形态。因此，有学者认为，当行为人非法获取账号类虚拟财产时，可以《计算机解释》第1条第2款为依据，将其认定为非法获取计算机信息系统数据罪并排除财产犯罪的成立。简而言之，作为本罪犯罪对象的“身份认证信息”与公民个人信息、账号类虚拟财产存在交叉之处，加之本罪的行为构造并不明确，当行为人“身份认证信息”为犯罪对象时，各罪之间的关系则含混不清。

　　其三，如前所述，《计算机解释》仅就身份认证信息作出了明确规定，也就意味着非法获取计算机信息系统数据罪的对象并非计算机信息系统上存储、处理和传输的全部数据类型，而仅指涉及“支付结算、证券交易、期货交易等网络金融服务的身份认证信息”。在司法实践中，记载账号、密码等权限型的信息之外的数据也被广泛纳入本罪犯罪对象之中。由此带来的疑问是：

　　首先，尽管有学者指出对于非法获取其他不属于“身份认证信息”的数据的行为，可以通过《计算机解释》第1条第1款第5项“其他情节严重的情形”予以入罪。然而，将各种类型的“数据”均通过本条款纳入非法获取计算机信息系统数据的保护范围中来，《计算机解释》第1条第1款第5项是否提供了充足的实体法依据，以及是否与同类解释规则相符合，都缺乏更为详细的论述。特别是对于公民个人信息、商业情报、国家机密之外的，尚未被刑法加以明确保护的信息，当其以电子形式记录时，是否有必要加以保护，也需要更实质的论证，同时也缺乏更为明确具体的入罪标准。

　　其次，对于公民个人信息等类型数据，刑法已经通过信息犯罪加以保护，再将各种类型的数据纳入本罪的保护范围中，是否会造成重复评价。换言之，对于非法获取行为所侵害的法益，刑法已经通过个人法益予以保护的情况下，再通过创设集体法益予以保护是否还有必要性，是否会导致刑法罪名之间的不协调，甚至是存在架空其他犯罪的可能。特别是在《个人信息解释》第1条中也指出，公民个人信息是以“电子或者其他方式记录”的信息，如果将公民个人信息也纳入非法获取计算机信息系统数据罪的保护范围之中，也将在一定程度上架空侵犯公民个人信息罪。在两罪法定刑相近的情况下，对于行为人非法获取以电子方式记录的公民个人信息的行为，如果认定侵犯公民个人信息罪，则还需要对有关信息是否符合公民个人信息的要求进行判断。而对于非法获取计算机信息系统数据罪，司法工作人员只需对有关信息是否以电磁数据的形态储存在计算机信息系统中即可，无需对其所记录的内容进行实质判断。

　　再者，当行为人所获取的数据记载内容并不满足公民个人信息、商业情报、国家机密等信息的要求时，是否还有必要对作为记录载体的数据的安全加以保护。对此，计算机系统安全法益和数据安全法益也难以做出解释。对计算机信息系统安全法益而言，如前所述，其只能证成与计算机信息系统安全密切相关的数据的需保护性，对于其他数据是否需要加以保护则难以说明。而对于数据安全法益，其仅是笼统地说明数据的保密性、可用性及完整性需要加以保护，对于是否所有类型的数据需要通过刑法加以保护，以及需要通过本罪加以保护，都未能说明。此外，对于司法解释为何单独将非法获取计算机信息系统数据罪的犯罪对象限定为身份认证信息，也难以从上述两种法益中获得解释。

　　三、非法获取身份认证信息的法益重构

　　身份认证信息作为一种数据类型被《计算机解释》明确规定为非法获取计算机信息系统数据罪的犯罪对象，与其他未被明确规定的数据类型相比，立法者必然具有独特的考量。既往的司法实践和学术讨论未对司法解释为何对身份认证信息单独加以规定给出合理解释。因此，有必要对非法获取身份认证信息所侵害的法益进行展开，探寻非法获取身份认证信息的不法本质所在。

　　非法获取计算机信息系统罪是侵害社会管理秩序犯罪，其所保护的法益，隶属于社会管理秩序法益，即指国家管理活动所调整的社会模式、结构体系和社会关系的有序性、稳定性和连续性。因此，理解非法获取身份认证信息所侵害的法益需要厘清社会管理秩序法益在这一过程中是如何遭到侵害。同时，对于记载个人信息等与个人法益密切相关的数据，刑事立法已经通过侵犯公民个人信息罪等与人身、财产权利密切相关的分则罪名加以保护，那么立法者将记载身份认证信息的数据通过保护集体法益的罪名加以保护，就需要说明体现身份认证信息与仅其他通过个人法益加以保护的数据类型之间存在的差异。

　　笔者认为，非法获取身份认证信息的行为，实际上侵害了身份认证秩序。所谓身份，即个体在社会中所处的地位和相互关系，如公民的籍贯、住址、职业、种族、年龄等。认证则是国家或社会主体对自然人和法人的上述基本事实的识别和确认。一方面，国家职能的实现依赖于对公民身份的认证。受限于社会资源的稀缺性及社会成员之间不同的利益诉求，国家或地方的公共政策不可避免地带有一定的身份面向。因此，在具体制定和执行公共政策时，国家需要借助身份认证完成对个体身份的鉴别，从而保障公共政策的贯彻落实。另一方面，公民政治、经济各方面权利的实现也依赖于对身份的认证。换言之，即便国家已经制定出相应的具有身份面向的公共政策，如果公民不能够证明自己的身份，便难以享受到相应的社会利益分配。

　　进言之，国家对公民的身份认证事实上包含两个步骤：第一步，认证主体基于不同的目的，以一定的基本事实为依据，赋予公民不同的身份，而公民所不同的身份则意味着公民应当享有相应的权利以及承担相应的义务；第二步，公民向认证未能够主体证明自己具备相应的身份，从而实现相应的权利以及被要求承担相应的义务。同时，在私法自治领域，由于以权力或者科技为支撑的身份认证的可靠性，平等民事主体之间也借助认证主体赋予的身份向彼此证明个人身份。

　　然而，尽管一定的身份取决于一定的事实，例如，公民属于成年人或者未成年人取决于公民是否已满18周岁、公民是否被许可驾驶机动车辆取决于公民是否接受有关培训并通过相应考试。但是，公民证明自己身份的过程往往是通过一定的媒介而非对决定性的事实进行判断实现的。例如，公民证明自己属于成年人或者未成年人是通过展示身份证件上的出生日期来实现的，以及公民证明自己合法驾驶机动车是通过出示驾驶执照实现的。

　　在传统熟人社会中，由于社会流动性小，各团体成员往往是通过“认脸”来识别身份，并进行人际交往、合作以及建立信任。然而随着现代社会的发展、社会流动性的增加，稳定小规模社群成员之间通过“认脸”来进行认证的模式，逐渐为国家和社会主体所提供的大规模认证所替代，这种大规模认证往往是通过“证件”“证明”等现代治理工具来维系，例如，国家通过发放居民身份证，赋予每个公民唯一对应的身份证件号码，使得公民在必要场合下能够证明自己公民身份从而享受相应的公民权利、承担相应的公民义务。

　　随着互联网技术的发展，网络空间日益在人们生活中占据重要地位，也相应地引发了身份认证的变革。与现实生活中的身份认证相比，网络空间中的身份认证由于缺乏类似“居民身份证”等被广泛适用于不同情景的统一身份认证媒介，往往更为碎片化，往往由不同的组织、协会对其成员围绕各自颁发的社会身份进行认证。同时，网络空间的身份认证也主要由社会主体特别是网络服务提供者组织进行。用户如果想要获得网络服务，往往需要与特定的网络服务提供者订立用户协议并注册账号，并需要在享受网络服务时验证身份。因此，“身份认证信息”则是在网络空间用以证明个体身份的认证媒介。一方面，通过提供正确的身份认证信息，用户得以确认自己所具有的权限，从而进行相关的操作，另一方面，通过核验用户所提供的信息，网络服务提供者才允许用户进行不逾越其权限的操作，享受相应的网络服务。

　　当身份认证制度有效运行时，或者说身份认证秩序并未受到干扰时，通过对媒介的核验，进行认证的公权力主体能够准确识别对应个体所具有的身份，从而推动国家职能的有效运转，保证公民权利的实现以及公民义务有效履行。然而当身份认证秩序遭到破坏时，公权力主体便无法准确识别个体所具有的身份，也就无法要求其履行个体所应承担的义务、无法实现其所享有的权利，也就使得公共政策无法贯彻落实、国家基本职能无法有效运转。例如，如果国家不能够有效识别未成年人与成年人，那么“不得向未成年人售卖烟酒”“未成年人不得出入网吧”“保护未成年人”等公共政策便不能实际发挥作用。当作为认证媒介的身份认证信息被大量非法获取，也就意味着借助特定的身份认证信息进行认证的个体并不一定具备相应的身份，便有可能逾越权限行使权利或者逃避履行义务。对于进行认证的公权力主体而言，也就意味着原有的身份认证秩序被扰乱。通过身份认证制度，能够建立起国家与国民之间稳定的、直接的沟通渠道，使得国家意志直达个体，从而推动国家职能的履行及政策的贯彻落实。

　　四、法益重构方案的理论建构

　　依照本文的方案，非法获取身份认证信息所侵害的法益是身份认证秩序，行为人通过非法获取行为，打破了身份认证信息与个体之间的唯一对应性，使得认证主体无法通过身份认证信息对个体身份进行有效检验。身份认证秩序在社会管理秩序中占据着基础性的地位，身份证件及身份认证信息被广泛应用于各类社会服务、公共服务及重大交易场景，例如金融、医疗、教育等，如果不能够对个体身份进行有效识别，便意味着社会管理一定程度的紊乱。由此，本方案实现了非法获取身份认证信息与社会管理秩序法益之间的对接。同时，本文所提出的方案也能够在实体法中得到检验。

　　本方案能够与宪法和整体法秩序相协调

　　宪法中未对身份认证制度或身份认证秩序加以明文规定，一方面，认证作为国家行为最为基础的环节，能够帮助政府了解人口、财产、物产、行为和事务的具体情况，进而实现征税、征兵、维护社会秩序、建立福利体系和规管社会经济事务等国家目标。在国家治理的理想形态的建设过程中，身份认证制度都发挥着基础性的作用，对国家基本职能和公共政策的实现都具有重要意义。因此，身份认证秩序方案能够从宪法第19-29条所规定的“公共服务”“基本国策”等条款中获得支撑。另一方面，宪法规定了我国公民的权利义务，而公民权利义务的具体实现仍需借助于身份认证的进行。不管是身份证件还是身份认证信息，其往往作为公民在不同领域行使特定权利义务的凭证，例如我国公民需要通过身份证件证明自己年满18周岁才能行使选举权和被选举权。当身份认证秩序紊乱时，也就意味着公民无法有效通过身份证件或身份认证信息向认证主体证明自己，从而导致公民权利的实现和义务的履行都遭遇障碍。因此，身份认证秩序与公民权利义务密切相关。简言之，即便未在宪法条文中被明确加以规定，但是身份认证秩序已成为其中应有之义。

　　在整体法秩序层面，本文观点同样可以得到实体法的回应。根据居民身份证法，公民身份的证明与公民合法权益、社会活动便利以及社会秩序密切相关，对于冒用、骗领、出售以及转让身份证件等行为也应当受到相应的行政处罚。此外，2021年正式施行的证券法也规定投资者应当使用实名开立的账户进行交易，并禁止出借或者使用他人账户从事有关证券交易，并与《计算机解释》中对金融领域的身份认证信息加以重点保护相呼应，具言之，在许多场景中，出于公共利益和社会秩序的考量，政府设定了公民进行身份认证的强制义务，特别是金融领域，而这些领域中身份认证秩序也就值得刑法加以更高的保护。此外，国信办发布的《互联网用户账号信息管理规定》第7条规定：“互联网个人用户注册、使用账号信息，含有职业信息的，应当与个人真实职业信息相一致。”这也与身份认证秩序中所要求的身份认证信息与个体身份之间的唯一对应性相呼应。

　　本方案能够在刑法范围内取得体系解释的融洽

　　其一，从身份认证秩序的角度来理解非法获取身份认证信息，能够与伪造、变造、买卖身份证件罪在体系解释上相互呼应。刑法第280条第3款规定，“伪造、变造、买卖或者盗窃、抢夺、毁灭国家机关的公文、证件、印章的，处三年以下有期徒刑、拘役、管制或者剥夺政治权利，并处罚金。”对于由有权国家机关制作、颁发的身份证件，立法者并未将相应的伪造、变造、买卖行为以第280条第1款所规定的伪造、变造、买卖国家机关公文、证件、印章罪加以规制，而是将其独立成罪，说明其所保护的法益必然存在特殊之处。第280条第3款将本罪犯罪对象明确限定为“依法可以证明身份的证件”而不包括其他用途的证件。由此可以看出，本罪同样是对于身份认证秩序的保护。在这一点上，非法获取身份认证信息和伪造、变造、买卖身份证件的行为一样，都通过破坏公民与认证介质的对应性，扰乱身份认证秩序，致使公民身份不能被准确识别，只不过由于两者存在不同形态，前者是“数据”，后者则为实体存在，所以相应的行为方式也存在差别。

　　其二，一方面，两罪刑度相同，说明立法者对于身份证件和身份认证信息不被伪造、变造、买卖或者非法获取给予了同等保护。另一方面，伪造、变造、买卖身份证件罪与非法获取计算机信息系统数据罪均被置于“侵害社会管理秩序罪”一章，说明立法者也意识到了两罪所保护法益的内在联系。

　　其三，在刑法内部，通过身份认证秩序来理解非法获取身份认证信息行为，能够与伪造、变造、买卖身份证件罪在具有共同的法理基础，能够在法律解释上取得逻辑上的一致性。刑法之所以保护身份认证信息，是因为行为人非法获取的行为，意味着在网络空间，行为人能够以他人身份行事，从而破坏了认证介质与个体之间的唯一对应性，也就意味着认证主体无法借由身份认证信息准确识别个体身份，从而使得公共政策无法有效施行、社会利益难以合理分配。非法获取身份认证信息以后，取决于不同身份认证信息的类型，行为人能够通过进一步非法获取虚拟财产、向其他银行账户汇款、冒充被害人进行诈骗以及获取被害人个人信息，但是显然对个人信息、财产权的保护，并不等同于对身份认证的保护本身。所以，问题的关键不在于行为人在非法获取身份认证信息之后做了什么，而是行为人非法获取身份认证信息使得认证主体无法通过认证介质对个体身份进行准确识别。因此，在这一点上，非法获取身份认证信息与伪造、变造、买卖身份证件罪在惩罚根据上具有一致性。刑法条文中也指出，身份证件必须限于“依法可以证明身份的证件”，这也说明，刑法不仅仅是单单为了保护国家的公共信用，否则便没有必要将身份证件从国家机关证件中独立出来。就此而言，身份认证信息与身份证件在身份认证中发挥了相似的作用，相应的非法获取行为与伪造、变造、买卖行为具有类似的危害性，值得刑法加以规制。

　　本方案能够为司法实践提供指导

　　对于非法获取身份认证信息的行为而言，其在司法实践中较为突出的两个问题是，如何与非法获取公民个人信息的行为以及窃取虚拟财产的行为进行区分。

　　对于非法获取身份认证信息与非法获取公民个人信息的行为，一方面，从行为方式来看，非法获取行为在侵犯公民个人信息罪与非法获取计算机信息系统罪中存在细微差异。如前所述，对侵犯公民个人信息而言，非法获取行为强调打破保密状态，从而使行为人处于能够知悉的状态。对于身份认证信息而言，由于非法获取行为是通过打破身份认证信息与个体身份之间的唯一对应性从而侵害到身份认证秩序，因此，行为人必须通过非法获取行为获得利用身份认证信息的可能。当行为人非法获取身份认证信息时，两罪行为方式便存在如下可能性：其一，对于账号密码等身份认证信息，行为人打破其保密状态便意味着行为人获取了利用身份认证信息的可能。其二，对于电子签名、数字证书、人脸识别信息等身份认证信息，知悉有关内容并不足以使行为人登录计算机信息系统，行为人尚需借助一定的技术手段才能加以利用。此外，根据司法解释起草者的说明，之所以将账号密码纳入个人信息的范畴，其主要目的是防止后续引发财产犯罪或者人身犯罪，但针对身份认证信息的非法获取行为本身便造成了法益侵害。

　　另一方面，从作为犯罪对象的身份认证信息与公民个人信息来看，个人信息指能够单独或与其他信息结合从而识别特定自然人身份或者反映特定自然人活动情况的信息。在司法实务中，身份认证信息既包括真实的身份认证信息，也包括匿名化的身份认证信息。对于匿名化的身份认证信息，网络服务提供者往往借助数字化技术，以用户真实信息不相关的符号标记用户并进行识别，通过算法来保证无法反推真实生活信息。对于真实的身份认证信息，其直接指向用户在现实生活中的身份，例如银行卡账号密码、考生信息系统账号密码等。对于匿名化的身份认证信息，由于行为人无法通过其反推用户真实生活信息，也就无法被同时评价为个人信息。对于真实的身份认证信息，由于其直接指向行为人在现实生活中的身份，所以存在被认定为个人信息的可能。一方面，根据《个人信息解释》，两者在账号密码这一具体形态上存在交叉重叠之处。当账号由网络服务提供者随机生成时，便难以对个人真实身份进行反推，也就只需以身份认证信息认定。而当账号直接指向用户在现实生活中真实身份时，特别是其本身便由电话号码、身份证号码、银行账号组成时，如前所述，便存在两个概念的交叉重叠。另一方面，对于其他类型的身份认证信息与个人信息，虽然司法解释中并未具体列明，但是也同样存在交叉重叠的可能。例如对人脸而言，长期以来其仅具有肖像权的私法意义，随着人工智能技术的提高，其被大规模数据化，成为一种认证口令，在公共领域和私人领域被广泛使用，逐渐取代账号密码，用以进行身份认证，确认权限。同时，被数据化的人脸识别信息，其指向特定自然人，从而也属于个人信息。

　　因此，行为人非法获取身份认证信息的行为与非法获取个人信息的行为，仅当犯罪对象为账号密码、人脸识别信息等真实的身份认证信息，且行为人的非法获取行为即使行为人获得了知悉可能，也使得行为人获得利用可能时，非法获取计算机信息系统数据罪与侵害公民个人信息罪才构成想象竞合。

　　对于窃取账号类虚拟财产的行为如何认定，主要存在非法获取计算机信息系统数据罪和盗窃罪两种观点。主张非法获取计算机信息系统数据罪的学者，往往以《计算机解释》作为依据，认定游戏账号等账号类虚拟财产，为身份认证信息，相应的窃取行为应当以非法获取计算机信息系统数据罪认定，也即认为财产犯罪与非法获取计算机信息系统犯罪在窃取账号类虚拟财产的认定中是互斥的关系。对此，笔者认为，从犯罪对象上来看，账号类虚拟财产并不等同于身份认证信息。以游戏账号为例，身份认证信息仅指用户在登录时验证身份的账号密码，通常以字符串的形式体现出来。用户借助身份认证信息登录账号之后，才能够享受运营商所提供的娱乐服务，而运营商所提供的娱乐服务便是账号类虚拟财产的体现。

　　从行为方式上来看，针对身份认证信息的非法获取行为，其仅强调使行为人获得确认权限的可能，并不需要排除被害人使用身份认证信息确认权限的可能。对于窃取账号类虚拟财产的行为，在司法实践中，常常体现为行为人修改账号密码，使得被害人无法继续登录账号。因此，非法获取身份认证信息的行为仅仅是为行为人窃取行为创造了条件，两者并不完全相等。进言之，非法获取身份认证信息的行为，其侵害的是身份认证秩序。以游戏账号为例，用户需要将游戏账号与个人身份证件号码相绑定，以便于区分未成年人与成年人。对于未成年人，往往在游戏内容、游戏时长等方面受到限制。用户在进行身份认证时，不仅向运营商证明自己作为特定账号所有者的身份，也在向主管部门证明自己是否为成年人。当游戏账号被他人非法获取时，也就意味着其他人能够逃避对于成年与否的验证，便使得相关的游戏产业管理政策难以贯彻落实。相比之下，行为人的窃取行为，虽然同样损害了身份认证秩序，但是其行为使得被害人无法继续登录账号，难以行使使用、收益及处分的权利，实际上造成了财产法益侵害。

　　因此，对于窃取账号类虚拟财产的行为，并不能直接认定为非法获取计算机信息系统数据罪。考虑到对于虚拟财产是否能够成为财产犯罪对象尚存在争论，当行为人进一步的窃取行为不能以盗窃罪认定时，便可以将行为人通过技术手段获取大量游戏账号密码的行为以非法获取计算机信息系统数据罪认定。

　　结语

　　司法解释将非法获取计算机信息系统数据罪的犯罪对象限定为身份认证信息，在于实现对身份认证秩序法益的保护。身份认证是国家提供公共服务、制定并执行公共政策的基本手段，也是公民在不同情境中用以实现权利、承担义务的凭证，故而身份认证秩序一方面与社会管理秩序紧密相关，另一方面也关系着公民的人身、财产权利，能够体现立法者将非法获取计算机信息系统数据罪设置为侵害社会管理秩序罪的所欲保护的法益所在。在此基础上，本文所提出的法益重构方案也能够从实体法中得到验证，不管是从宪法中国家职能与公民权利、义务的有关条款中，还是从证券法、居民身份证法等前置法规定中，以及刑法内部与伪造、变造、买卖身份证件罪在体系上的呼应，都能为本文方案提供支撑。此外，借助本文所提出的方案，能够为非法获取身份认证信息行为与非法获取公民个人信息、账号类虚拟财产行为的区分提供一定的借鉴。

　　对于身份认证信息所体现的法益，本文仅是尝试在反思原有的“计算机信息系统安全”“数据安全”观点的基础上提出了新的方案。但是对于其他类型数据能够作为非法获取计算机信息系统数据罪保护的对象，以及如何遵照同类解释规则，将其他类型的数据纳入其中，尚待进一步探讨。