喻海松
有关部门就利用计算机窃取他人游戏币非法销售获利如何定性问题征求最高人民法院研究室意见。
我室经研究认为:利用计算机窃取他人游戏币非法销售获利行为目前宜以非法获取计算机信息系统数据罪定罪处罚。
【解读】
一、问题由来
被告人周某于2008年从网上购买了Pschare软件(一种木马软件,其作用是用于远程操纵他人的计算机信息系统,获取该计算机信息系统中存储、处理或者传输的数据),通过向聊天对象的计算机发送该软件,对他人的计算机进行远程操纵,获取对方游戏账号和密码,然后采取直接窃取或者修改密码的方式,盗窃他人“面对面365”网络游戏的游戏币,将对方的游戏币转移到其注册的账号中。之后,周某按照游戏币兑换人民币的比率,将盗窃的游戏币放到以其父亲的名字在淘宝网注册的网店销售牟利。自2009年3月起至8月,周某作案200余次。案发后,周某退回赃款20816.3元,公安机关追回赃款4700元。
对本案的定罪存在两种意见:多数意见认为被告人周某的行为构成
;少数意见认为被告人周某的行为构成非法获取计算机信息系统罪。2010年10月,有关部门就利用计算机窃取他人游戏币非法销售获利如何定罪问题征求最高人民法院研究室意见。
二、主要问题及争议
周某利用计算机窃取他人游戏币非法销售获利如何定罪,涉及
理论和实务界长期争论的一个热门问题,即网络盗窃,特别是网络盗窃虚拟财产行为的定性之争。近年来,随着计算机信息技术和互联网业的快速发展,
呈上升趋势,盗窃虚拟财产作为一种常见的网络犯罪,增长迅速。盗窃QQ号码、游戏装备等现象日益猖獗,甚至形成了产业链条。随着网络盗窃虚拟财产案件的不断增多,我国刑法实务界作出了相应判决,而理论界针对这些判决也进行了诸多评议。
关于网络盗窃、网络盗窃虚拟财产,刑法学界和实务界尚未形成统一的界定。结合司法实践的具体案件,我们认为,网络盗窃主要涉及如下几类对象:(1)与计算机信息系统安全相关的数据中最为重要的是用于认证用户身份的身份认证信息(如口令、证书等),此类数据通常是网络安全的第一道防线,也是网络盗窃的最主要对象,特别是非法获取电子银行、证券交易、期货交易等网络金融服务的账号、口令等身份认证信息的活动非常猖獗。(2)网络金融服务以外的身份认证信息。对于网络金融服务以外的其他网络服务,如网络即时通讯、网络邮箱等,网络盗窃者非法获取这些身份认证信息的案件也较为多发。(3)游戏装备等网络虚拟财产。由于网络游戏装备在游戏玩家眼中具有较高价值,并存在一定的交易市场,针对此类数据的盗窃现象也十分突出。我们认为,无论针对何种对象,只要通过侵入计算机信息系统或者采用其他技术手段,非法获取他人计算机信息系统数据的行为,都可以称之为“网络盗窃”。因此,包括盗窃网络虚拟财产在内的行为都可以为“网络盗窃”的概念所涵括。
概况而言,对于网络盗窃、特别是网络盗窃虚拟财产的行为,理论界和实务界大多认为应以犯罪论处,但在具体罪名的选择上存在不同观点:
1.盗窃罪说。2008年,广东省广州市天河区人民法院对于某某盗窃网游虚拟财产案作出判决,以盗窃罪判处于某某
三年三个月,并处
人民币2万元。①法院认为,被告人于某某以非法占有为目的,利用骗取的被害人游戏账号密码,非法进入被害人账号,窃取多名被害人的虚拟财产,数额巨大,其行为已构成盗窃罪。一审宣判后,被告人于某某不服判决提出上诉,广州市中级人民法院依法驳回上诉,维持原判。②
2.侵犯通信自由罪说。2006年1月13日,广东省深圳市南山区人民法院对全国首例盗卖QQ号码案作出宣判,以侵犯通信自由罪分别判处曾某、杨某两名被告人
6个月,并追缴两名被告人违法所得人民币61650元,上缴国库。③本案中,两被告人篡改了多个QQ号码密码,使原注册的QQ用户无法使用本人的QQ号与他人联系,造成侵犯他人通信自由的后果,情节严重,构成侵犯通信自由罪。④
3.非法获取计算机信息系统数据罪说。2009年12月15日,江苏省徐州市鼓楼区人民法院对“温柔”系列木马程序案作出判决,以非法获取计算机信息系统数据罪判处张某、张某某、龚某某、陈某某有期徒刑一年五个月至二年六个月不等。⑤法院经审理认为:被告人张某、张某某明知是盗号木马程序而通过购买取得使用权后,借助他人技术手段加以传播,窃取网络游戏账号、密码数量巨大,情节严重;被告人龚某某、陈某某明知张某某通过非法手段获取游戏账号、密码而为其提供技术服务,情节严重,上述被告人的行为均已构成非法获取计算机信息系统数据罪。⑥
三、研究意见及其理由
由于网络的互联性以及由之带来的无国界性,网络犯罪已成为世界各国所面临的共同问题。因此,对于盗窃网络虚拟财产的定性问题,宜通过比较法的视角,考察境外的解决方案,以更好地思考我国当下相关争议,提出解决办法。
(一)境外关于盗窃网络虚拟财产的刑事对策
上世纪90年代以来,随着计算机网络技术的快速发展,特别是网络空间的虚拟性、开放性和流动性,网络犯罪的跨国性日益突出,加强国际协调与合作、共同打击网络犯罪成为了国际社会的共识。在此背景下,欧洲委员会于1997年设立委员会起草打击网络犯罪的国际公约,美国、日本、加拿大等欧洲以外的国家也参与其中。经过4年谈判,前后历经27稿,《网络犯罪公约》最终于2001年11月8日在欧洲委员会第109次部长委员会会议上通过,并子11月23日在布达佩斯开放签署。开放签署当日,包括德国在内的欧洲委员会中的26个成员国和美国、日本、加拿大、南非即签署公约。2004年7月1日,在签署和批准成员国达到规定的条件后,《网络犯罪公约》正式生效。作为当前国际社会唯一生效的打击网络犯罪的专门法律文书,《网络犯罪公约》对包括网络盗窃在内的网络犯罪提出了刑事对策。《网络犯罪公约》第二章要求各国在实体刑法中针对妨害计算机数据和系统的机密性、完整性与可利用性的犯罪作出规定。其中,第3条要求将非法拦截数据行为人罪,即对通过技术手段,未经授权对非公开传输的数据进行拦截的,或者入侵计算机信息系统直接获取数据的行为,每一个缔约国应当采取本国法律下认定犯罪行为的必要立法和其他手段。从该条规定不难看出,《网络犯罪公约》对于非法获取计算机信息系统数据的行为,无论是在传输过程中获取数据,抑或直接侵入计算机信息系统获取数据,都没有要求缔约国认定为盗窃罪,而只是要求规定为相应的计算机犯罪,以维护电子数据传输的私密性。
2009年3月9日,德国联邦议会批准《网络犯罪公约》,该公约于2009年7月1日起在德国生效。为了履行作为《网络犯罪公约》缔约国的国内立法义务,德国联邦议会于2007年8月7日通过了《关于打击网络犯罪的第41部刑法修正案》,于8月11日正式施行,德国网络犯罪立法也达到了相当完备的程度。《关于打击网络犯罪的第41部刑法修正案》的一个主要内容就是针对非法获取计算机信息系统数据的行为增设了刑法第202b获取数据,规定通过运用技术手段,无权为自己或者他人从非公开的数据传输或者数据处理装置中获取不属于行为人的数据(同202a第2款的界定),如果其他条款没有规定更重的刑罚的,则处二年以下自由刑或者罚金刑。从这一规定不难看出,对于盗窃网络虚拟财产的行为,德国刑法没有将其作为诸如盗窃等财产犯罪处理,而是单独规定为获取数据,以更为有效地打击此类犯罪。
我国台湾地区1997年修正“刑法”时,在第323条将“电磁记录”增设为动产的范围,使电磁记录成为窃盗罪的行为客体。根据这一修正案,盗窃网络虚拟财产的行为应当以盗窃罪论处。但是,2003年修正“刑法”时,台湾地区“刑法”将“电磁记录”又从动产的范围内删除,将窃取电磁记录的行为用专门的获取数据等计算机犯罪来处理,在第359条增设变更他人电脑或其相关设备之电磁记录罪,规定无故取得、删除或变更他人电脑或其相关设备之电磁记录,致生损害于公众或他人者,处五年以下有期徒刑、拘役或科成并科二十万元以下罚金。这一修改的主要考虑在于:“刑法”上所称之窃盗,须符合破坏他人持有,建立自己持有之要件,而电磁记录具有可复制性,此与电能、热能或其他能量经使用后即消耗殆尽之特性不同;且行131司法研究与指导为人于建立自己之持有时,未必会同时破坏他人对该电磁记录之持有。因此,将电磁记录窃盗纳入窃盗罪章规范,与“刑法”传统之窃盗罪构成要件有所扦格。为因应电磁记录之可复制性,并期使电脑及网络犯罪规范体系更为完整,将1997年修正刑法所作的有关电磁记录部分删除,将窃取电磁记录之行为改纳入新增之妨害电脑使用罪章中规范。⑦
通过考察《网络犯罪公约》、德国和我国台湾地区关于非法获取数据犯罪的规定,可以看出,虚拟财产应受刑法保护,对于盗窃网络虚拟的财产的行为应当予以刑事制裁。但是,“虚拟财产应受刑法保护”并不意味着虚拟财产可以成为盗窃罪的犯罪对象,通行的做法是规定单独的计算机犯罪规制此类行为。
(二)我国关于盗窃网络虚拟财产刑事对策的形成我国现行刑法是1997年3月14日第八届全国人民代表大会第五次会议修订的,而当时互联网的发达程度远不如今天,特别是网络游戏尚未在国内兴起,与之相伴随的网络盗窃虚拟财产现象几乎没有,刑法自然未对此类行为作出明确规定。进入21世纪以来,互联网在我国迅速发展普及,网民人数不断增长,互联网已成为民众生活的重要组成部分。在此背景之下,网络游戏在中国也获得了前所未有的发晨,从2000年境外游戏进入中国,到国产游戏开始占据主导地位,目前中国拥有了9家上市网游公司和126家网游研发公司,研发网游数量达到数百款,每年网游市场营业额达到数百亿元。互联网的快速发展及网络游戏的兴起,引发了网络盗窃虚拟财产案件的逐渐多发,关于此类案件的定性问题也引起了刑法理论界的关注和争议:有观点主张对于网络盗窃虚拟财产案件的行为,由于刑法盗窃罪的犯罪对象限于公私财物,而虚拟财产不属于公私财物的范畴,对于此类行为不宜以盗窃罪论处;而不少刑法学者主张或通过扩大解释刑法第九十二条第(四)项规定的“其他财产”的范围,或通过立法、司法解释的方式,将虚拟财产纳入盗窃罪的犯罪对象。尽管存在着种种争议,刑事司法实务界必须解决业已出现并日趋增多的网络盗窃虚拟财产案件,如前所述,法院分别以盗窃罪、侵犯通信自由罪等罪名作出过相关有罪判决。在刑法修正案(七)研究过程中,公安部网络安全保卫部门提出,近些年来,信息网络违法犯罪呈持续大幅上升趋势,特别是非法获取他人账号、身份认证信息、窃取计算机信息系统数据犯罪凸显,其中网上银行的信息又是窃取的重点,包括个人在网上银行的账户、密码等。但有相当一部分窃取网上银行账号者往往并不亲自实施盗窃资金的行为,而是将窃取的信息在网上提供给他人。这些行为严重威胁公民金融财产的安全,对这些窃取和提供信息的人员很难以盗窃罪的共犯追究。基于此,建议在对非法获取计算机信息系统中存储、处理或者传输的数据的行为规定为犯罪。⑧虽然用刑法保护网络虚拟财产的呼声愈来愈高,有的人建议刑法应当增加盗窃虚拟财产罪,⑨但立法机关没有通过立法规定将此类行为以盗窃罪论处,而是基于刑事立法者应有的睿智和审慎,充分借鉴境外成熟立法例,在刑法第二百八十五条增设了第二款,规定违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的,以非法获取计算机信息系统数据罪论处。这一规定对于严厉打击网络盗窃虚拟财产,保护计算机信息系统安全,打击计算机网络犯罪发挥了重要作用。
在办理危害计算机信息系统案件的过程中,适用刑法相关规定遇到了一些问题,如非法获取计算机信息系统数据行为的定罪量刑标准等,办案部门认识不一,难以操作。为依法惩治危害计算机信息系统安全犯罪活动,维护正常的计算机网络运行秩序,最高人民法院会同最高人民检察院,联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释[2011]19号),自2011年9月1日起施行。该司法解释对非法获取计算机信息系统数据的行为规定了明确的定罪量刑标准:非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上或者其他身份认证信息五百组以上,或者违法所得5000元以上或者造成经济损失l万元以上的,构成非法获取计算机信息系统数据罪;而数量或者数额达到前述标准5倍以上的,应当认定为“情节特别严重”,以非法获取计算机信息系统数据罪在三年以上七年以下有期徒刑的幅度内裁量刑罚。(三)当前关于盗窃网络虚拟财产的定罪意见基于前文的分析,当前关于盗窃网络虚拟财产的刑事对策已经十分清晰,即采用技术手段非法获取包括虚拟财产在内的计算机信息系统数据的行为。应当以非法获取计算机信息系统数据罪论处。以被告人周某盗窃网络虚拟财产案为例,最高人民法院研究室认为,利用计算机窃取他人游戏币非法销售获利行为目前宜以非法获取计算机信息系统数据罪定罪处罚。主要考虑如下:
1.虚拟财产不是财产。我国台湾地区“地方法院”的部分法官认为,玩家盗窃虚拟的“天币”或“宝物”的行为,充其量只能被评为“干扰他人游戏之游戏违规行为”罢了,而且“天币”、“宝物”在现实社会中并无客观上的价值,就像玩大富翁盖房子游戏,这些房子在现实社会并无客观价值。因此盗窃此类物品并未侵害实际的“财产法益”。⑩而在我国大陆,根据国家相关规定,虚拟财产只能用于获取虚拟服务,不能用于交易,不符合财产所具有的交易这一基本特征。以网络游戏虚拟货币为例说明这个问题:2010年6月,文化部就网络游戏下发了一个部门规章,也就是《网络游戏管理暂行办法》。该规章第二条对网络游戏虚拟货币作出界定:网络游戏虚拟货币是指由网络游戏经营单位发行,网络游戏用户使用法定货币按一定比例直接或者间接购买,存在于游戏程序之外,以电磁记录方式存储于服务器内,并以特定数字单位表现的虚拟兑换工具。这个定义实际上道出了虚拟货币的本质,本质上就是虚拟兑换工具,就是电磁记录。根据该规章的规定,网络游戏虚拟货币发行种类、价格、总量等情况按规定报送注册地省级文化行政部门备案后就生效,也就是说虚拟货币的价格是发行单位自行定下来的,不是市场交易所决定的。因此,该规章明确规定:网络游戏虚拟货币的使用范围仅限于兑换自身提供的网络游戏产品和服务,不得用于支付、购买实物或者兑换其他单位的产品和服务。而在之前,2009年6月,文化部、商务部联合下发《关于加强网络游戏虚拟货币管理工作的通知》(文市发[2009]20号)也有这方面的规定。其中规定:网络游戏虚拟货币的使用范围仅限于兑换发行企业自身所提供的虚拟服务(不包括发行企业以外的企业的虚拟服务),不得用以支付、购买实物产品或兑换其他企业的任何产品和服务。这实际上很好理解,因为虚拟货币的价格本身是发行商自行确定的,不是根据市场规定交易形成的,所以是不能用于自由流通交易的,也就不具有财物的交换属性,不属于财物的范畴。可见,包括虚拟货币在内的虚拟财产不是财物,而刑法第二百六十四条明确规定“盗窃公私财物的”才构成盗窃罪,因此盗窃虚拟财产的行为不构成盗窃罪。2.虚拟财产的法律属性是计算机信息系统数据。虚拟财产不是财物,本质上是电磁记录,是电子数据,这是虚拟财产的物理属性。但是,这个电磁记录、电子数据在法律上、在刑法上应当有特定的法律属性。举一个例子,企业的商业秘密可能就是一组数据,这组数据的物理属性是数据,但是法律属性却是知识产权,非法获取这组数据可能构成
中的
。回到虚拟财产的概念上来,这种电磁记录、电子数据在刑法上的法律属性是计算机信息系统数据,故而,盗窃虚拟财产的行为应当适用非法获取计算机信息系统数据罪。
3.对盗窃网络虚拟财产的行为适用盗窃罪会带来一系列棘手问题。如果承认了非法获取虚拟财产的行为构成盗窃罪,等于承认了虚拟财产的价值,最为困难的一个问题就是价格鉴定问题。正如有论者所指出的:“游戏用户花了500元人民币买游戏币,玩到一定级别,可以拥有游戏商赠送的虚拟财产——价值5000元的屠龙刀,如果屠龙刀被窃,被盗窃虚拟财产的价值如何计算?是价值500元,还是5000元?对整天沉湎于游戏的玩家来说,头盔、战甲、屠龙刀等虚拟财产价值千金,但对局外人来说可能一文不值。对于虚拟财产能否有一个能够被普遍接受的价值计算方式?”(10)我们认为,虚拟财产没有、也不可能有一个能够被普遍接受的价值计算方式。一个五位数的QQ号到底值多少钱?游戏装备值多少钱?这些问题恐难有统一答案。4.不适用盗窃罪同样能够解决、而且能够更好地解决问题。我们如果换一个思路,不要往盗窃罪方面靠,往非法获取计算机信息系统数据罪方面靠,则问题好解决得多。盗窃一个五位数的QQ号,卖了之后获利5万元,这个时候要认定为盗窃罪,则必须认定这个QQ号的价值是多少,谁来作这个认定都会有争议,都不合适。而如果按照非法获取计算机信息系统数据罪办理,根据前述司法解释的规定,违法所得5000元以上的就可以人罪了,适用非法获取计算机信息系统数据罪一点问题也没有。
5.对盗窃网络游戏虚拟货币的行为适用非法获取计算机信息系统数据罪,符合罪责刑相适应原则。非法获取计算机信息系统数据,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。可见,适用非法获取计算机信息系统数据罪,并不会放纵盗窃网络游戏虚拟货币的行为,仍然能够对其罚当其罪。
6.不承认虚拟财产的财产属性符合世界惯例。从境外刑事立法和司法来看,鲜有将盗窃网络虚拟财产的行为以盗窃罪论处的。如前所述,从目前掌握的资料来看,国外关于网络盗窃虚拟财产的认定也处于探索尝试阶段,很少有直接按照盗窃罪定罪处罚的。而我国台湾地区1997年修改“刑法”时,在第三百二十三条将“电磁记录”纳入动产的范围,对窃取电磁记录的行为适用盗窃罪,但是2003年修正“刑法”时,又将“电磁记录”从动产的范围内删除,实际上是否定了1997年的“刑法”修正,对窃取电磁记录的行为规定适用专门的获取计算机信息系统数据等计算机犯罪来处理。这种否定之否定的探索历程值得我们深思。
综上所述,对盗窃网络游戏虚拟货币的行为应以非法获取计算机信息系统数据罪定罪量刑。本案中,被告人周某通过控制他人计算机信息系统,进而非法获取他人网络游戏虚拟货币,对其应以非法获取计算机信息系统数据罪定罪量刑。
①本案基本案情如下:2005年初,于某某在互联网论坛上以签订电子合同购买“大话西游2”网络游戏人物账号为名,诱骗游戏玩家向其香袋真实身份资料、电子邮箱等,并以猜测邮箱密码等方式,进入玩家邮箱猎取大话西游账号资料,其后再冒充玩家将伪造或者变造的身份资料发送至网易公司修改账号安全码。于某某在获得游戏账号安全码后,在互联网上公开售卖游戏账号及虚拟物品牟利。2005年至2007年间,于某某利用上述方法,共窃取大话西游游戏账号33个,并将其中15个账号内的召唤兽、宝石等虚拟财产出售,获利2万余元。参见《网游大盗倒卖虚拟财产牟利2万元获刑3年》,载《广州日报》2009年10月29日A6版。
②参见《网游大盗倒卖虚拟财产牟利2万元获刑3年》,载《广州日报》2009年10月29日A6版。
③本案基本案情如下:2004年5月,曾某受聘于腾讯公司,后被安排到该公司安全中心负责系统监控工作。2005年3月至7月期间,曾某伙同杨某,合谋通过窃取他人QQ号出售获利。杨某将随机选定的他人的QQ号(主要为5、6位数的QQ号)通过互联网发给曾某,曾某通过私下破解腾讯公司离职员工柳某使用过但尚未注销的账号的密码(该账号拥有查看QQ用户原始注册信息,包括证件号码、邮箱等信息的权限)。曾某利用该账号进入腾讯公司的计算机后台系统,根据杨某提供的QQ号查询号码的密码保护资料,即证件号码和邮箱,然后将查询到的资料再发给杨某,由杨某将QQ号秘密保护问题答案破解,再将QQ号的原始秘密更改后出售给他人,造成该QQ号码原始用户无法使用原注册的QQ号。2005年3月至7月期间,曾某、杨某两人修改密码并卖出的QQ号约130个,从中获利人民币61650元。其中,曾某分得人民币39100元,杨某分得人民币22550元。参见杨洪涛、徐强:《全国首例盗卖QQ号码案》,载《中国审判》2006年第4 期。
④参见杨洪涛、徐强:《全国首例盗卖QQ号码案》,载《中国审判》2006年第4期。
⑤本案基本案情如下:2008年3月至8月,被告人张某通过互联网从他人处获取了针对“QQ华夏”网络游戏的盗窃木马程序使用权。为了使该木马程序发挥盗号功能,流量商将该木马程序插入到网络上各正常网页,随玩家点击而将木马程序植入玩家计算机系统,在上述玩家登陆网络游戏时,木马程序自动运行并后台盗取“QQ华夏”游戏账号、密码合计42万余组,并倒卖,非法获利3万元。2008年4月至8月期间,被告人张某某通过互联网从他人处获取了针对“天龙八部”网络游戏的盗号木马程序使用权。为了使该程序发挥作用,张某某以支付报酬的方式雇佣龚某某为其租用了网络服务器,在计算机系统内设置了存放所窃取网络游戏账号、密码的箱子,以及提供其他技术支持。之后,张某某通过流量商将该木马程序插入到网络上各网页上,随玩家点击相应网页而将该木马程序植入玩家计算机系统,在玩家登陆“天龙八部”网络游戏后,木马程序自动运行并后台盗取“天龙八部”游戏账号、密码合计244万余组。在此期间,陈某某受雇于张某某,并按照张某某联系的买主将所盗账号、密码转卖他人。张某某因此非法获利23万元,龚某某获利2万元,陈某某获利1万元。参见《江苏省徐州市鼓楼区人民法院刑事判决书(2009)鼓刑初字第150号》。
⑥参见《江苏省徐州市鼓楼区人民法院刑事判决书(2009)鼓刑初字第150号》。
⑦参见陶百川等编纂:《综合最新六法全书》,台湾地区三民书局2011年版,第4-79页。
⑧参见黄太云:《〈刑法修正案(七)〉解读》,载《人民检察》2009年第6期。
⑨参见黄太云:《知识产权与网络犯罪立法完善需认真研究的几个问题》,载《中国刑事法杂志》2007年第3期。
⑩参见于志刚:《论网络游戏中虚拟财产的法律性质及其刑法保护》,载《政法论坛》2003年第6期。
(11)参见黄太云:《知识产权与网络犯罪立法完善需认真研究的几个问题》,载《中国刑事法杂志》2007年第3期。
作者简介:喻海松,最高人民法院研究室。
来源:《司法研究与指导》2012年第2辑(总第2辑)
发表评论