第二条 具有下列情形之一的程序、工具，应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”：

（一）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的；

（二）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权对计算机信息系统实施控制的功能的；

（三）其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。 

本解释第二条明确了刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”的具体范围。

本条解释的关键是对刑法第二百八十五条第三款规定的“专门”一词的涵义作出明确。参考立法机关编写的相关论著，刑法第二百八十五条第三款的“专门用于侵入、非法控制计算机信息系统的程序、工具”，“是指行为人所提供的程序、工具只能用于实施非法侵入、非法控制计算机信息系统的用途。”[1]可见，其区别于一般的程序、工具之处在于此类程序、工具专门是用于违法犯罪目的，而不包括那些既可以用于违法犯罪目的又可以用于合法目的的“中性程序”。因此。“专门”是对程序、工具本身的用途非法性的限定，是通过程序、工具本身的用途予以体现的。而程序、工具本身的用途又是由其功能所决定的，如果某款程序、工具在功能设计上就只能用来违法地实施控制、获取数据的行为，则可以称之为“专门工具、程序”。我们认为，从功能设计上可以对“专门用于侵入、非法控制计算机信息系统的程序、工具”作如下限定：

（1）程序、工具本身具有获取计算机信息系统数据，控制计算机信息系统的功能。刑法第二百八十五条第三款的用语是“专门用于侵入、非法控制计算机信息系统的程序、工具”，从字面上看，没有涉及“专门用于非法获取数据的工具”。但是，从刑法规范的逻辑角度而言，刑法第二百八十五条第三款应当是前两款的工具犯。换言之，通过侵入计算机信息系统而非法获取数据的专门性程序、工具也应当纳入“专门用于侵入计算机信息系统的程序、工具”的范畴，这并未超越刑法用语的规范含义。因此，“专门用于侵入、非法控制计算机信息系统的程序、工具”，既包括专门用于侵入、非法控制计算机信息系统的程序、工具，也包括通过侵入计算机信息系统而非法获取数据的专门性程序、工具。顺带需要提及的是，基于同样的理由，刑法第二百八十五条第三款后半句规定的“明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具”，这里的“侵入”既包括非法侵入计算机信息系统行为，也包括通过侵入计算机信息系统而非法获取数据的行为。由于专门用于实施非法侵入计算机信息系统的程序、工具较为少见，而且难以从功能上对其作出界定，对其主要应通过主观设计目的予以判断（即本条第三项的规定）。基于上述考虑，这里主要强调了程序、工具本身的获取数据和控制功能。

（2）程序、工具本身具有避开或者突破计算机信息系统安全保护措施的功能。有不少木马程序既可用于合法目的也可用于非法目的，属于“中性程序”，比如Window系统自带的TerminalService（终端服务）也可以用于远程控制计算机信息系统，很多商用用户运用这种远程控制程序以远程维护计算机信息系统。通常情况下，攻击者使用的木马程序必须故意逃避杀毒程序的查杀、防火墙的控制，故此类木马程序区别于“中性的”商用远程控制程序的主要特征是其具有“避开或者突破计算机信息系统安全保护措施”的特征，如自动停止杀毒软件的功能、自动卸载杀毒软件功能等，在互联网上广泛销售的所谓“免杀”木马程序即属于此种类型的木马程序。因此，本条将“专门用于避开或者突破计算机信息系统安全保护措施”作为界定标准之一。

（3）程序、工具获取数据和控制功能，在设计上即能在未经授权或者超越授权的状态下得以实现。这是专门程序、工具区别于“中性程序、工具”的典型特征，是该类程序违法性的集中体现。例如“网银大盗”程序，其通过键盘记录的方式，监视用户操作，当用户使用个人网上银行进行交易时，该程序会恶意记录用户所使用的账号和密码，记录成功后，程序会将盗取的账号和密码发送给行为人。该程序在功能设计上即可在无需权利人授权的情况下获取其网上银行账号、密码等数据。“中性”程序、工具不具备在未经授权或超越授权的情况下自动获取数据或者控制他人计算机信息系统的功能。

基于上述考虑，本条第（一）、（二）项将具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能或者对计算机信息系统实施控制的功能的程序、工具列为“专门用于侵入、非法控制计算机信息系统的程序、工具”。这两类程序都符合了上述三个要件，明显有别于“中性程序”，能够被认定为“专门性程序、工具”。此外，第（三）项还列出了其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。在黑客攻击破坏活动中还存在很多专门为实施违法犯罪活动而设计的程序、工具，比如攻击者针对某类网吧管理系统的漏洞专门设计的侵入程序，针对某个网络银行系统设计专用的侵入程序，此类程序难以进行详细分类并一一列举，也难以准确地概括其违法性的客观特征。因此，此处规定并不是通过程序的客观特性界定其范围，而是通过设计者的主观动机予以界定，具体哪些程序属于这一范畴应当具体情形具体分析。

第三条 提供侵入、非法控制计算机信息系统的程序、工具，具有下列情形之一的，应当认定为刑法第二百八十五条第三款规定的“情节严重”：

（一）提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的；

（二）提供第（一）项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的；

（三）明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的；

（四）明知他人实施第（三）项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的；

（五）违法所得五千元以上或者造成经济损失一万元以上的；

（六）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为提供侵入、非法控制计算机信息系统的程序、工具“情节特别严重”：

（一）数量或者数额达到前款第（一）项至第（五）项规定标准五倍以上的；

（二）其他情节特别严重的情形。 

本解释第三条共分为两款，明确了刑法第二百八十五条第三款规定的提供侵入、非法控制计算机信息系统程序、工具罪中“情节严重”“情节特别严重”的具体情形。

第一款明确了“情节严重”的具体认定标准。对于提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为，主要从以下几个方面认定“情节严重”：一是提供的程序、工具的人次。其中，对于提供网银木马等“能够用于非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息的专门性程序、工具”的行为，第（一）项规定提供5人次以上的即属“情节严重”；对于提供盗号程序、远程控制木马程序等其他专门用于侵入、非法控制计算机信息系统的程序、工具的，第（二）项规定提供的人次达到20人以上的属于“情节严重”；对于明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息的违法犯罪行为而为其提供程序、工具的，第（三）项规定提供五人次以上的即属“情节严重”；对于明知他人实施其他侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的，第（四）项规定提供20人次以上的属于“情节严重”。二是违法所得和经济损失数额。由于提供此类工具的行为主要以获利为目的，正是在非法获利的驱动下，互联网上销售各类黑客工具的行为才会泛滥，且往往会给权利人造成经济损失，故第（五）项将违法所得5000元以上或者造成经济损失1万元以上作为认定“情节严重”的标准之一。三是对于其他无法按照提供的人次、违法所得数额、经济损失数额定罪的，第（六）项设置了兜底条款。此外，第二款规定“情节严重”和“情节特别严重”之间为5倍的倍数关系。