案件背景:被告人杨某在未经公司允许的情况下,登陆其在公司任职期间获知的公司技术主管的超级账号的账号及密码,利用该超级账号可以修改公司后台数据库“期权”数据的权限,为自己事先注册的账号增加“期权”数据,并在公司运营的平台上进行交易,非法获利人民币380余万元。公安机关以破坏计算机信息系统罪移送审查起诉。检察机关认为,被告人杨某对计算机信息系统中存储、处理的数据进行增加的操作行为,属于破坏计算机信息系统罪,坚持以重罪提起公诉。
辩护人介入后,通过对案件的梳理发现,杨某增加的“期权”数据是虚拟财产,法律属性为计算机信息系统数据,杨某的行为并未影响系统中的其他用户使用,并未破坏计算机系统功能,不构成破坏计算机信息系统罪。杨某增加其个人账户中“期权”数据的行为,系对由计算机信息系统数据组成的虚拟财产的获取。经进一步查阅刑事审判参考案例,辩护人向法院提出对本案准确定性的请求,法院最终采纳辩护人的辩护意见,变更定性为轻罪非法获取计算机信息系统数据罪。
结合本案办理的实际情况,本文拟对破坏计算机信息系统罪与非法获取计算机信息系统数据罪的司法适用做简要梳理。
一、成立破坏计算机信息系统数据罪要求行为达到“造成计算机信息系统不能正常运行”的后果
《刑法》第286条规定了破坏计算机信息系统数据罪的三种行为模式,三种行为模式在行为对象和行为后果上存在差异。就行为对象而言,第一种行为作用的对象是计算机信息系统功能;第二种行为作用的对象是计算机信息系统中存储、处理或者传输的数据和应用程序;第三种行为作用的对象是计算机病毒等破坏性程序。就行为后果而言,第一种行为要求“造成计算机信息系统不能正常运行”的后果;第二种行为未要求行为“造成计算机信息系统不能正常运行”的后果;第三种行为要求行为“影响计算机系统正常运行”,而不要求行为达到使计算机信息系统不能正常运行的程度。由此产生的疑问是,对于第二种行为模式,即删除、修改、增加计算机信息系统中存储、处理或者传输的数据的行为,是否要求行为达到“造成计算机信息系统不能正常运行”的后果?有观点认为,既然第285条第二款没有规定“造成计算机信息系统不能正常运行”,那么就应当严格遵循罪刑法定原则,不得擅自增加构成要件。
本文认为,第285条第二款应当与第一条保持一致,即删除、修改、增加计算机信息系统中存储、处理或者传输的数据的行为也应达到“造成计算机信息系统不能正常运行”的后果,才能成立破坏计算机信息系统数据罪。该观点得到了指导性案例的支持,并在两个相互冲突的指导性案例中被进一步明确。根据检例第34号指导性案例的裁判要旨,冒用购物网站买家身份进入网站内部评价系统删改购物评价,属于对计算机信息系统内存储数据进行修改操作,应当认定为破坏计算机信息系统的行为。申言之,检例第34号指导性案例并未将“造成计算机信息系统不能正常运行”作为成立本罪的构成要件之一。与之相反的是,最高人民法院第145号案例被告人张竣杰等非法控制计算机信息系统案的裁判要旨表明,通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,符合刑法第二百八十五条第二款规定的,应当认定为非法控制计算机信息系统罪。原因在于,任何对数据进行删除、修改、增加的操作都以行为人获得对计算机信息系统的控制权为前提,而行为人的行为究竟构成非法控制计算机信息系统罪还是破坏计算机信息系统罪的界限就在于,行为人删除、修改、增加计算机信息系统数据的操作是否给计算机信息系统造成了实质性破坏,包括影响计算机信息系统的正常使用和影响数据本身的准确性和可用性。前述两个裁判观点相互冲突的案例在第285条第二款成立破坏计算机信息系统数据罪时是否要求行为达到“造成计算机信息系统不能正常运行”的后果的问题上存在分歧。但该分歧随着最高人民检察院于2024年2月27日发布的《关于宣告部分指导性案例失效的通知》(高检发办字[2024]35号)对检例第34号指导性案例的失效宣告而告终。也即,根据现行有效的指导性案例的观点,成立破坏计算机信息系统数据罪,不仅要求行为人具备删除、修改、增加数据的手段行为,还要求行为造成计算机信息系统功能被实质性破坏或者不能正常运行的后果。其中,实质性破坏是指,因删除、修改、增加计算机信息系统数据的操作,数据本身的准确性和可用性受到影响,进一步地,影响到计算机信息系统处理数据的准确性。
本案中,杨某修改系统数据从而非法获利的行为,并未破坏计算机信息系统的功能。一方面,杨某增加其个人账户中的“期权”数据后,便将获取的“期权”数据在平台上进行交易获利,这表明,杨某的行为并未“破坏”期权数据所在的计算机信息系统,否则,“期权”数据的交易将无法完成。换言之,杨某修改系统数据的行为变动了后台数据,但系统本身处理数据的功能依旧是完整、可用的,其处理数据的结果也是准确的。另一方面,在杨某修改后台数据后,平台内的其他用户仍能正常使用平台内的各项功能并进行交易,用户在平台上的各项操作也能通过平台后台的数据加以核实,侧面证实了杨某的行为并未破坏计算机信息系统处理数据的准确性,并未破坏计算机信息系统的正常运行。因此,尽管杨某存在修改计算机信息系统数据的行为,也不能据此认为其构成破坏计算机信息系统罪。
二、修改计算机信息系统数据的实质性危害与轻罪认定思路
(一)杨某修改“期权”数据的后果是非法获取了虚拟财产
与基于破坏目的,修改计算机信息系统数据,进而影响数据本身的可用性并由此影响计算机信息系统处理数据的准确性的操作不同。杨某的行为与修改计算机信息系统数据,人为增加个人账户中的游戏币数量,后续出售游戏币并获利的模式更为类似。杨某并不意在获取“期权”数据本身,其看中的是“期权”数据的交换价值与“期权”数据背后暗含的经济价值。换言之,修改“期权”数据仅仅是一种手段行为,杨某的实际目的在于获取具有经济价值的虚拟财产,二者之间构成手段与目的的牵连关系。值得注意的是,与传统的“获取”行为不同,杨某并未转移他人账户中已有的虚拟财产,而是通过对数据的修改,在增加个人所持有的虚拟财产的同时,增加了系统中虚拟财产的总量。
(二)该等虚拟财产的法律属性为计算机信息系统数据
就虚拟财产的法律属性问题,实践中存在着财物说、电子数据说等诸多学说的分野。本文认为,虚拟财产并非刑法意义上的财物,其实质上是一种电子数据,因而不能以财产犯罪论处。
首先,通常认为,刑法意义上的财物必须同时具有占有可能性、移转可能性、交换价值和稀缺性。虚拟财产具备占有可能性、移转可能性、交换价值,表现在用户对其账户内的虚拟财产享有支配和控制权,可依据其意志,以规定的时间、方式在不同主体之间流转、消耗。但是,虚拟财产不具有稀缺性的特征。只要程序设置完毕,虚拟财产的生产和创造在理论上可以无限制地进行。稀缺性是使得物品产生交换价值的本质原因,如果一个物品在特定时间和空间之下可以让人无限制地获取,则该物品不具有稀缺性,也就不属于刑法意义上的财物。
其次,最高人民法院在其发布的《〈关于办理盗窃刑事案件适用法律若干问题的解释〉的理解与适用》一文中写到,将虚拟财产认定为是盗窃罪的犯罪对象“公司财物”超出了司法解释的权限;将盗窃虚拟财产的行为认定为是构成盗窃罪会带来一系列棘手的问题,特别是盗窃数额的认定问题;境外刑事立法和司法也鲜少有将盗窃虚拟财产的行为以盗窃罪论处的。最高人民法院认为,虚拟财产的法律属性是计算机信息系统数据,对于盗窃虚拟财产的行为,如确需刑法规制的,可以按照非法获取计算机信息系统数据罪等计算机犯罪定罪处理,不应按盗窃罪处理。
最高人民法院将盗窃虚拟财产的行为拟制为非法获取计算机信息系统数据的原因在于,行为人通过取得对计算机信息系统的控制权进而修改数据的行为本身,并未给各方造成实际的损失,行为人也未因此获利,因而该行为只是一种特殊的、对由数据组成的虚拟财产的“获取”行为。又由于虚拟财产本身的特殊性,因而难以在“获取”阶段对行为人的获利和造成的实际损失进行认定,这构成了盗窃罪方案不可行的核心原因。而只有在将有关虚拟财产加以利用的环节,即流通和变卖环节,犯罪数额通过行为人的实际获利得以被准确认定。
(三)非法获取计算机信息系统数据罪与破坏计算机信息系统罪的区分适用
两罪在手段行为上都有可能表现为对计算机信息系统数据的修改、增加等操作,对二者进行准确区分的关键在于对行为人犯罪目的的考察。就犯罪目的而言,破坏计算机信息系统罪的本质在于行为人对信息系统进行了破坏,通过影响数据本身的可用性以损害其功能;而非法获取计算机信息系统数据罪的行为人旨在获取数据后将其进行使用、流转和获利。刑事审判参考第1459号吴冰非法获取计算机信息系统数据案,对破坏计算机信息系统罪与非法获取计算机信息系统数据罪如何区分进行了准确认定。参考案例中被告人吴冰发现北京麒某文化股份有限公司旗下的网络游戏《画皮世界》的充值系统存在漏洞,可利用火狐浏览器及相关插件对该系统数据进行修改,致使充入0.01元人民币即可获得5000游戏币(游戏内规则为充值1元人民币获得1游戏币)。法院认定被告人吴某篡改系统数据的行为本质上在于非法获取计算机信息系统中的数据,继而使用部分数据,还通过转移部分数据获利,并非破坏计算机系统功能,其行为构成非法获取计算机信息系统数据罪。
本案中,杨某通过登陆公司超级账户并对“期权”数据进行修改的行为并不旨在破坏计算机信息系统的功能,而意在获取计算机信息系统数据并嗣后于平台上交易以获利。而杨某的行为事实上也未造成计算机信息系统功能被实质性破坏或不能正常运行的结果,否则,杨某将无法在平台上出售其获取的“期权”数据,其获利的目的将无法达成。此外,尽管杨某在未经公司许可的情况下,使用其在公司任职期间获知的技术主管超级账户的账号密码登录超级账户,但该行为属于未经授权登陆计算机信息系统的行为,与采用技术手段破坏系统防护进入计算机信息系统的方式存在本质区别,使用账户密码登录的行为连系统防护都不会造成破坏,更不可能对计算机系统功能造成破坏。概言之,杨某没有破坏计算机信息系统的故意,事实上也未造成计算机信息系统被实质性破坏或不能正常运行的结果,因此,其行为不构成破坏计算机信息系统罪,而构成非法获取计算机信息系统数据罪。
发表评论