数字经济时代，医疗数据具备显著商业价值，然而非法侵入医疗机构信息系统窃取、倒卖药品数据已然形成了一条黑色产业链。部分行为人利用医院内网防护漏洞，私自接入网络窃取药品统方、进销存数据后向医药代理商出售牟利，既扰乱医药市场公平竞争秩序，也破坏医疗机构数据安全管理体系。
6月1日，人民法院案例库公布一则参考案例：杨某非法获取计算机信息系统数据案。本案行为人杨某侵入兼具军民诊疗职能的战区医院内网、窃取数十万条药品数据并获利45.8万元，司法机关在审理中厘清非法侵入计算机信息系统罪与非法获取计算机信息系统数据罪的边界，以系统实质功能作为定罪区分标准，对涉军队医疗机构计算机犯罪的司法认定具有典型参考价值，为此类涉军民融合医疗机构数据犯罪划定裁判尺度。

2021年至2023年3月，被告人杨某在某省某市某战区医院候诊区，携带笔记本电脑、网线等设备私自接入医院内部局域网，借助专用程序突破系统防护侵入医院数据库，非法盗取系统存储的药品数据，随后将数据对外售卖，累计非法获利人民币45.8万元。经司法鉴定，在杨某涉案电子设备中提取非法窃取的药品数据共计32万余条。

案涉医院系战区下属医疗机构，既承担部队官兵医疗保障任务，又面向社会普通民众开展有偿诊疗服务；涉案药品数据为医院日常对外诊疗、药品采购、药房管理通用业务数据，不含国防军事涉密、专属战备医疗信息。案件侦查终结后移送某市某区人民检察院审查起诉。
2023年9月19日，某省某市某区人民法院对本案作出一审刑事判决：被告人杨某构成非法获取计算机信息系统数据罪，犯罪情节特别严重，综合考量杨某具有坦白、自愿认罪认罚、家属全额代为退缴违法所得等法定从宽量刑情节，依法判处有期徒刑三年六个月，并处罚金人民币八万元。

一审宣判后，在法定上诉、抗诉期限内，被告人未提出上诉，检察机关未提起抗诉，该刑事判决现已发生法律效力。

本案核心争议聚焦案涉医院信息系统是否属于《刑法》第二百八十五条第一款规定的国防建设领域计算机信息系统，直接决定本案是定性为非法侵入计算机信息系统罪，还是非法获取计算机信息系统数据罪。

非法侵入计算机信息系统罪（《刑法》第285条第一款）：本罪为行为犯，只要未经许可侵入国家事务、国防建设、尖端科学技术三类特定领域计算机系统即构罪，无需实际窃取数据、产生获利；立法设立本罪旨在对国防、政务、尖端科研关键信息系统实行最高等级法律保护，适用范围仅限系统功能、存储数据完全服务于国防战备、国家政务、尖端科研的专属系统。

非法获取计算机信息系统数据罪（《刑法》第285条第2款）：本罪为结果犯，要求违反国家规定侵入前述三类以外的普通计算机系统，或采用其他技术手段获取存储数据，达到情节严重方入刑；若数额超标构成情节特别严重，升格量刑档次。

司法裁判坚持实质审查标准，不能仅凭机构隶属战区、带有部队建制属性，就径直将医院全系统推定为国防建设领域系统，需从系统服务对象、核心运营功能、存储数据属性三项实质要件综合判定：只有系统专属用于国防战备保障、存储军事涉密医疗数据，才归入国防建设类计算机系统。

案涉战区医院属于军民两用医疗机构，并非仅面向现役军人的专属军事医院，对外常态化开展市场化诊疗、药品售卖等经营性医疗服务；涉案药品数据是医院面向全社会诊疗通用进销存、药房管理数据，不属于国防战备涉密信息、军队专属医疗保障数据，因此案涉计算机信息系统不在《刑法》第285条第一款保护范畴，杨某不成立非法侵入计算机信息系统罪。

依据两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（法释〔2011〕19号）第一条规定：非法获取数据违法所得5000元以上即属情节严重，违法所得达到前述标准5倍以上（即2.5万元以上）认定情节特别严重，对应量刑区间为三年以上七年以下有期徒刑，并处罚金。

本案杨某非法获利45.8万元，远超2.5万元的入档红线，窃取药品数据32万余条，数据体量巨大，依法应当认定为情节特别严重，法定基准刑期三年以上七年以下。法院结合杨某坦白认罪、全额退赃的从宽情节，在法定区间内酌情判处三年六个月有期徒刑，量刑合法、裁量公允。

案例1：钟某窃取医院药品统方案（湖北巴东法院）

基本案情：被告人钟某系医院信息系统外包运维人员，利用运维权限私自下载医院药品统方数据出售给药企代理，累计获利3.3万余元，法院以非法获取计算机信息系统数据罪判处有期徒刑三年，缓刑三年六个月，并处罚金3万元。

裁判要点：依托职务便利非法获取医院药品数据牟利，违法所得超5000元即入罪，获利数额较小、积极退赃可适用缓刑。

案例2：范某侵入医院内网盗卖药品数据案（山东济南历下法院）

基本案情：被告人携带黑客软件趁夜间无人潜入医院诊室，接驳内网线路侵入医疗数据库，多年持续窃取药品数据对外分销，全案违法所得近30万元，法院认定情节特别严重，以非法获取计算机信息系统数据罪判处实刑。

裁判要点：非院内工作人员私自接驳医院内网窃取数据，无论物理侵入场所，只要数据用于售卖获利，按本罪定罪处罚。

案例3：顾某某团伙跨院窃取医疗数据案（多地中院判例）

基本案情：犯罪团伙分工配合，利用系统漏洞先后入侵多家医院数据库，拆分药品、患者信息数据分层售卖，主犯累计获利超100万元，法院认定情节特别严重，结合数罪并罚判处五年三个月有期徒刑，并高额罚金。

裁判要点：团伙化、跨区域盗取医疗数据形成产业链，量刑从严从重。

《中华人民共和国刑法》

第二百八十五条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（法释〔2011〕19号）

第一条 非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：
（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；
（二）获取第（一）项以外的身份认证信息五百组以上的；
（三）非法控制计算机信息系统二十台以上的；
（四）违法所得五千元以上或者造成经济损失一万元以上的；

（五）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节特别严重”：（一）数量或者数额达到前款第（一）项至第（四）项规定标准五倍以上的；（二）其他情节特别严重的情形。