【副标题】基于案例与比较法的反思
【作者】郭旨龙(中国政法大学刑事司法学院讲师)
【来源】《政治与法律》2021年第1期“经济刑法”栏目。因篇幅较长,已略去原文注释。
【投稿地址】http://zhen.cbpt.cnki.net,欢迎赐稿!
摘要:通过对非法获取计算机信息系统数据罪的案例法考察和域外法阐释,可以发现,其核心涵义指向侵犯数据机密性的情形和侵犯数据可用性的情形。其原因是机密性和可用性的规范结构导致该罪成为口袋罪:在罪名上,与人身安全、财产安全等多个章节的罪名产生交叉重合;在保护的利益上,不仅涵摄我国《刑法》其他章节所保护的法益,而且溢出整个刑法典,保护信息的时代重要性日益凸显、其他权益日益频繁地受到侵害。面对这种庞杂的规范结构,需要进行网络时代罪情、刑法基本原则的权衡考量,达致刑法规范的明确性与合理性。新的罪名标签“非法获取数据致损罪”,适应了双层社会虚实同构的态势、数据和利益在双层空间不断协同的复杂行为模式,是在刑法规范中嵌入网络风险控制的法律机制,有助于系统完善网络风险的治理格局。
关键词:系统安全;信息安全;罪名;数据利益;标签效应
数据化生存成为当今自然人和社会组织的基本存在方式。数据犯罪当前已成为各个法域规范的重点。1997年我国《刑法》新增了计算机犯罪,该法第285条规定了非法侵入计算机信息系统罪:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”我国《刑法修正案(七)》根据犯罪形势发展和社会保护的需要,增加了该条第2款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据……情节严重的,处三年以下有期徒刑或者拘役,……”该款被最高司法机关通过罪名确定的相关决定,增设为新罪“非法获取计算机信息系统数据罪。”近年来,该罪的口袋化倾向日益为学界所关注,揭示的问题和提出的解决方案也较为明确。然而,如果不了解该罪为何会因为内在的规范构造和时代的罪情发展而必然成为口袋罪,就不能真正提出契合该罪构造和时代需要的解决方案。 刑法规范用语的解释具有从核心含义到边缘含义的考量过程——离核心含义的距离和处罚的必要性、合理性是相互平衡的因素。非法获取计算机信息系统数据罪作为一个典型的新设计算机犯罪,应当努力探求其独特的法益保护目的,在此基础上才能进一步分析其规范结构到底实现了何种扩张。该罪的核心含义是保护数据的机密性不受非法侵犯,以及保护数据的可用性不受非法侵害。 该罪作为纯粹的计算机犯罪,是非法侵入信息系统罪的补充罪行和下游罪行,也应当有其独特的保护范围和立法目的。立法背景资料显示,我国《刑法》颁布后,有部门提出一些不法分子利用技术手段非法侵入我国《刑法》第285条以外的计算机信息系统,窃取他人账号、密码等信息,对这类严重违法行为应当予以犯罪化。可见,该罪主要是保护信息系统中的账号、密码等信息安全。可是,信息安全的范畴非常广,应如何限定该罪的保护范围呢?从我国刑法相关的前置法律来看,部分涉网络法律可以提供些许启示。2000年全国人大常委会《关于维护互联网安全的决定》第4条第4项规定禁止“非法截获、篡改、删除他人电子邮件或者其他数据资料”,其目的是为了保护“公民通信自由和通信秘密”,同时,数据信息中的核心的安全性需要法律甚至是刑法的保护。 从体系解释的角度出发,刑法上保护数据安全的条款还有我国《刑法》第286条第2款,该款禁止的是对数据的“删除、修改、增加”的行为,可见,数据的删、改、增行为已经被我国《刑法》第286条第2款所涵盖,那么该款所涵盖的获取行为应当是数据的删、改、增之外的数据操作行为。从2000年全国人大常委会的这个决定来看,获取行为包括截获行为。从截获行为这一典型的获取行为类型出发,可知获取行为侵害的主要是数据的机密性(confidentiality)——权利人不想让该数据为他人所知晓,该权利体现为对数据机密性质的状态设定。参与我国《刑法》制定的工作人员发表的文献指出,该罪中的获取包括从他人计算机信息系统中窃取,如直接侵入他人计算机信息系统,秘密复制其中的信息,也包括骗取,如设立假冒网站,骗取用户输入账号、密码等信息。司法解释也反映了这一数据性质的保护。《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释[2011]19号,以下简称:《解释》)第1条第1款的前两项规定,该罪以非法获取身份认证信息的数量为入罪标准,区分不同的身份认证信息类型而要求不同的数量,即金融服务身份认证信息和其他即时通讯、电子邮箱、网络游戏等网络服务身份认证信息。 最高人民检察院发布的指导性案例表明,该罪保护系统数据的机密性,打击非法获知、复制和下载等行为。在卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案(最高人民检察院第九批指导案例:检例第36号)中,行为人内外勾结、超出授权范围擅自登录某大型网络公司内部管理开发系统,查询、下载该计算机信息系统中储存的电子数据。该案要旨明确,查询、下载数据是获取数据的行为,超出授权范围登录后进行查询、获取,属于使用技术手段非法获取。在《人民法院案例选》中登载的典型案例也表明,该罪保护系统中的账户数据不为他人所确知。涉案行为人通过针对动景公司UC系统的扫描程序对事先从网上获取的UC系统账户数据包进行关联,进而通过对UC系统进行大批量用户自动登录尝试的技术方式,得以非法侵入动景公司UC系统获取该计算机信息系统中大批量包含用户账号及密码等内容的身份认证信息30万余组,之后又手动非法登录部分账户获取动景公司UC系统账户内U点。对此,应当根据获取的账户和密码数量,认定为情节特别严重。可见,虽然实现从网上获取UC系统账户数据包不一定是非法的,因为该数据包可能被他人泄露,但是通过自动登录尝试的技术手段确认其中的30余万组的账户数据的确为该系统存储、处理或者传输,也就足以认定其获知了系统中30万组的账户数据的真实情况,这才是该案中的法益侵害。在“北大法宝”法律检索系统中检索的非法获取计算机信息系统数据典型案例,也包括类似的“撞库”行为以获知系统内的账户数据,如行为人在互联网上大肆收购网站身份认证信息,制作用于非法获取某公司账号的软件程序,使用该软件大量实施“撞库”行为,非法获取某公司账号约10万组。 从域外法分析可以发现,数据的机密性是重点保护法益。《网络犯罪公约》(以下简称:《公约》)第3条规定了非法截取罪行(Illegal interception):当通过技术手段从计算机系统或者在计算机系统截取计算机数据的非公开传输,包括传输该计算机数据的计算机系统的电磁辐射,是未经授权而故意进行时,每一签约方应采取本国法律下认定犯罪行为必要的立法和其他手段,签约方可以规定此犯罪应当具有不诚实意图,或涉及与另一个计算机系统相连接的计算机系统。对此,《公约》解释性报告详细分析了该罪行的目的、渊源和构成要件要素。第一,该条款目的在于保护数据传输的私密权利。该罪行代表了与传统的人们之间口头电话交谈监听和录音一样的隐私侵害。通信秘密权明文昭示于《欧洲人权公约》第8条。根据《公约》第3条,可以确定《欧洲人权公约》第8条的原则适用于所有电子数据转移的形式,不管是通过电话、传真、电子邮件还是文件转移。第二,该条款的文本主要来源于第89号备忘录第9条所包括的“未经授权截获”罪行。在现在的公约中,明确相关通信关系到特定情况下的“计算机数据传输”和电磁发射。第三,通过“技术手段”截获描述的是通过监听、追踪或监视通信以获取数据的内容,其要么是直接通过进入和使用计算机系统,要么是间接通过使用电子监听或者监听设备。截获也可以包括录音。技术手段包括固定于传输线路的技术设备和收集与记录无线通信的设备。它们可以包括软件、密码和编码的使用。要求使用技术手段是个严格的限制,以避免过度犯罪化。第四,该罪行适用于“非公开”的计算机数据传输。“非公开”是对传输(通信)过程而非传输的数据定性。传输的数据可以是公开可获得的信息,但是当事人意欲秘密传输,或者数据可能为了商业目的而被秘密化直到该服务得到付费,正如在付费电视中的情形。因此,“非公开”本身不排除通过公共网络的通信。构成“计算机数据非公开传输”的员工间的通信,不管是否为了商业目的,也根据第3条得到保护,无正当理由不得截获。可见,该罪所保护的法益是系统数据的私密权利,包括商业数据的私密权利及其私密设定。侵害该法益的行为方式包括从计算机系统截取和在计算机系统截取,后者要求侵入性的技术行为,而前者不要求,包括上述案例中的进行撞库获取系统内数据的行为。相应地,德国于2007年在其《刑法典》第202条a(探知他人做了特殊安全处理的数据)之后增设第202条b(截获数据罪),并且于2015年增设了第202条c(数据探知和截获的预备罪)。作为刑法加强保护的利益,数据的机密性需要详细构建的保护体系。 非法获取计算机信息系统数据罪保护的法益主要是计算机信息系统内数据的机密性,使得系统数据能够按照权利主体的意志保持私密的状态,不被非法获知、复制、下载,不被他人所知晓。数据的私密性是数据安全的要点之一,刑法的保护能够使得计算机网络用户对系统使用的安全保持信心和信任,促进社会生活的信息化和现代化。 在刑法中增设该罪能够打击以下行为,使得这种法益的保护意义得到实现。其一,出于好奇、炫耀网络技术等各种目的而打包盗窃论坛身份认证信息、登录情况等网络服务器数据的行为。此处该罪的适用保护的是网站服务器中一般性数据的安全。其二,为了减少自己的付费而获取付费电视、拨号上网、付费查询等网络服务的账号或者采取技术手段直接获取网络服务的数据内容的行为。此处该罪的适用保护的是提供和使用网络有偿服务的安全。例如,伪装成“WiFi万能钥匙”向掌门公司数据库服务器发送请求信息,从而非法获取掌门公司数据库返回的共享WiFi热点密码数据,供自己的软件客户使用。其三,为了满足好奇心、实施犯罪或者售卖获利而获取他人通信、社交、游戏、金融等网络服务的账号密码或者采用其他技术手段直接获知账号内的数据内容的行为。此处该罪的适用保护的是网络用户使用网络的数据安全。例如通过钓鱼链接骗取微信公众号的账号及密码。又如,租用钓鱼网站,非法获取他人苹果电子设备密码、QQ密码。QQ号码及密码的组合,属于非法获取计算机信息系统数据罪保护的“身份认证信息”。采用技术手段,变相利用木马程序盗取他人QQ号码身份认证信息,其行为构成非法获取计算机信息系统数据罪。 从这三种主要的系统数据机密性的保护情形可知,系统数据的保密性与网络的安全性、预防各种违法犯罪——侵犯声誉、隐私、财产、秘密等利益——具有密不可分的开放性关系。因为难以确知最终的利益侵害是何种类型、范围有多广、规模有多大,所以只能一般性地按照最初的数据获取行为的情节轻重予以定罪量刑。公众对于数据状态及其内容的信赖是信息社会中的重要利益和价值观,值得刑法保护。这就是该罪的核心含义:通过一般性地保护计算机信息系统内的数据不受非法查看、复制和下载或以其他方式为他人所知,来保护商业、工业、管理、金融、生活等各种社会活动中通过数据操作得以实现的各种利益,以及人们对于这种利益的信心和信任,促进人们使用数据操作方式进行社会化生存,提高效率和社会的联系性。 数据具有机密性、完整性和可用性(Availability)的安全性质。现实案件表明,非法获取信息系统数据罪除了用以保护上述涉及机密性的利益,还用于保护涉及可用性的利益。如在某案件中,行为人在没有获得手机绑定ID用户的同意下,本人或者委托他人利用网上租用的“钓鱼网站”和“XSS”方式非法获取进入苹果官方服务器的ID密码,对手机与ID进行解除绑定的操作。应当认为,苹果手机ID密码可以在任何计算机终端使用,是用于确认用户在计算机信息系统操作权限的数据,属于计算机信息系统数据。在此,不但非法获取苹果手机ID密码的行为属于非法获取数据,因为它侵犯了该数据的机密性,而且对手机与ID进行解除绑定的操作,也属于非法获取数据,因为它侵犯了该数据的可用性——使得该手机无法使用该ID数据享受苹果官方服务器提供的一系列服务。换言之,侵犯该数据机密性的行为还没有使得该数据无法被权利人所使用,而侵犯该数据的可用性的行为却导致了权利人丧失了该数据及其背后利益的可得性。后者才使得权利人直接地遭受了数据利益的损失。又如,在行为人修改系统信息,将数字特殊的手机号码转入他人的案件中,数据的机密性并未受到关注,因为特定手机号码显然是可以通过现实空间中的拨打行为而得以确认存在的,其客观存在于系统的事实并不需要特别保护,也无法得到特别保护,然而其中突出的数据利益损失是该特殊号码的可用性被侵害。如果该号码已经为其他用户所有,那么,该用户对该号码数据的可用性利益将受到损害。如果该号码还未为其他用户所使用,那么是运营商对该号码的可用性受到了损害。即使是后者,该案判决也未关注该数据的机密性,因为现实空间中拨打的号码是空号这一事实就轻易显示了该数据的确仍然存在于运营商的系统里、未被其他用户所使用。 可以发现,如果说在前一个案例中得知和解除苹果手机ID绑定的行为涉及系统数据的机密性和可用性的双重侵害,那么,在后一个案例中转走号码则只涉及对数据可用性的侵害,这两种情况都被认定为非法获取计算机信息系统数据罪。因此,获取(access)数据包括了对数据机密性的侵害,也包括了对数据可用性的侵害。 对数据获取的这种解释,可以从域外法上得到佐证。英国《1990年计算机滥用法》第1条规定了操作计算机意图非法获取计算机程序或数据罪。该法第17条第2款规定了获取的四种类型:改变或者抹除;复制或者移动到另一个存储介质或者同一个存储介质的不同地方;使用;使之从计算机中输出(不管是以呈现还是以其他方式)。可以发现,此处的各种获取行为的类型,都可以按照侵害的是数据的机密性还是可用性进行划分,即侵犯数据机密性的获取行为有复制、输出,侵犯数据可用性的行为类型则更加多样,包括改变、抹除、移动、使用。当然,在某些情况下,行为人的使用不妨碍权利人的同时使用,此时的使用只是原先的知晓行为侵害机密性的延伸。前述第一个案例中的可用性侵害行为类型是抹除,使得苹果服务器无法识别该手机的ID进行服务,前述第二个案例中的可用性侵害行为类型是移动和使用,将特定号码移动到运营商系统中的另一个用户或者新用户名下,并且进行使用,使得原用户或者运营商无法再使用该号码。 虽然前述在分析该罪的核心含义时使用的典型案例都尽量只涉及该罪,但将经验事实扩大到更多的典型案例时,会理解为何此种含义的确定必然与其他罪名体系产生交叉重合,与罪刑法定原则产生一定的张力。其原因是机密性和可用性的规范结构导致本罪成为口袋罪:在罪名上,其与人身安全、财产安全等我国《刑法》多个章节的罪名产生交叉重合;在保护的利益上,其不仅涵摄我国《刑法》其他章节所保护的法益,而且溢出整个刑法典,进而保护信息的时代重要性日益凸显、其他权益频繁地受到侵害。 保密性和可用性是数据安全的本体,同时这种本体又经常被赋加上社会功能。数据以数字化的形式存在于计算机信息系统内,其不仅可为计算机信息系统所物理性地识别,也可能被使用此系统的人所社会化地识别,此时数据与其背后的社会化性质产生了某种不可避免的重合。这就意味着刑法规范的交叉甚至冲突。 数据的机密性和公民的个人信息性必然存在一定的交叉重合。数据的机密性意味着数据要保持私密的状态,而公民的个人信息性意味着公民有权将其个人信息保持在一定范围内的私密状态。例如在以下两个侦查机关认定的以非法获取计算机信息系统数据的方式侵害公民个人信息的案件中,犯罪对象都是以计算机系统内的数据为表现形式,以公民个人信息为利益内核。其一,行为人非法入侵了航空公司订票服务系统、贵金属交易平台、医疗中心、职教中心等数百家网站,下载各类公民个人信息数据10亿余条。其二,警方摧毁一条以黑客和快递公司内部员工为泄露源头的倒卖快递信息的黑色产业链,查扣各类快递信息500余万条。然而在两个审判机关认定为非法获取计算机信息系统数据罪的案件中,判决书均未能表明,行为人是否同时触犯侵害公民个人信息的罪名,以及如何处理此种竞合关系,而只是直接认定为非法获取数据罪。该两案案情如下:其一,利用计算机程序及方法,多次非法获取第三方应用软件“欢乐逛”服务器订单数据(包括买家昵称、卖家昵称、商品价格、订单创建时间、收货人姓名、收货地址、收货人联系电话等)。其二,向用户手机中预置具有获取用户手机位置、网络状态、安装其他应用程序以及上传手机收发短信、通话信息、通信录、GPS定位信息等功能的软件。 有法官在对相关案例的评论中指出了上述后两个案例判决背后的法律逻辑。其在对某案例的评论中认为,通过互联网向他人手机传播木马程序,非法获取被害人的淘宝账号及密码、支付宝账号及密码等网络金融服务身份认证信息100余组,并在被害人不知情的情况下,通过被害人的支付宝账号发起交易金额,其目的不是为了识别特定人,而是获取不特定人的身份认证信息进而实施犯罪。然而,这种思路将非法获取公民个人信息的犯意限定为直接目的,而没有考虑到间接放任的故意。虽然其直接目的不是针对特定人,但其任由特定人受到侵害,何况在该案中行为人还确实对特定的五个受害人进行了侵害。更重要的是,数据能够识别特定自然人的属性是一种客观性质判断,不受行为人的主观意图所影响。2017年最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。账号密码和财产状况的数据既属于系统数据又属于个人信息,而订单数据中也包括了联系方式、住址等个人信息。在该案中,唯一可以作为辩护理由的就是,淘宝和支付宝的账号密码仅仅是市场和金融服务中的身份认证信息,只要有该账号密码就可以获得该网络市场和金融服务,所以该数据重视的是其机密性不受侵害。淘宝和支付宝的账号密码本身可以是权利人任意设置的字符组合,一般不与其姓名、身份证号、联系方式直接挂钩,所以并不与其自然人身份有一一对应的关系,因此难以认定为个人信息。 然而,淘宝账号内的数据则直接成为个人信息的重要组成部分。因为订单中的姓名、联系方式和住宅直接指向了特定自然人个体,系列订单情况也构成了该特定自然人的活动情况。行为人通过在淘宝公司电脑上安装远程控制软件的方式,非法获取该计算机信息系统中存储的淘宝公司订单数据,继而转卖给他人获取巨额利润的行为,被认定为非法获取计算机信息系统数据罪,而下家购买的行为却被认定为非法获取公民个人信息罪。针对同样的订单数据信息,上家被认定为侵害系统数据,而下家被认定为侵害个人信息,这表明,系统数据的私密性和公民个人的信息性直接产生了重合,因而两罪的适用也必然产生冲突,需要有明晰与合理的规则进行调和。 公民个人的信息性只是与系统数据的保密性产生重合与冲突的一个典型和新类型。在刑法强化对公民个人信息保护之前,刑法就已经保护了各类秘密利益,主要包括国家秘密、军事秘密、商业秘密。这些秘密利益在信息化时代都可能甚至大部分都已经以系统数据的形式所承载和呈现。例如《德国刑法》在第15章“侵害私人生活和秘密”中增设了第202条a(非法探知数据罪),即非法为自己或他人探知不属于自己的、他人为了防止非法获得而做了特殊安全处理的数据的,处3年以下自由刑或者罚金。可见,《德国刑法》不仅在该章规定了各种侵害私人生活和秘密的传统罪行(录音、窃听、侵害文件内容、泄露他人秘密、利用他人秘密),还单独增设了非法探知数据的罪行。其立法的具体表述使得传统秘密罪行和数据秘密罪行并行不悖,很少有交叉重合之处。首先,在手段上,获取信息时用开拆文件手段或者用较为传统的技术手段以录音、窃听、探知文件内容,与非法探知数据的新手段是不同的;其次,在传播信息时,因为知晓了秘密而泄露、利用该秘密的行为也不同于仅仅是非法获取数据的行为。相比之下,我国《刑法》在各章节分别保护了国家秘密、军事秘密和商业秘密,对这三种秘密利益的保护意味着要打击几乎所有的非法获取方式,包括电子方式,但我国《刑法》又单独统一规定了非法获取计算机信息系统数据罪。这些秘密利益与数据的机密性高度一致,被侵犯的方式也无明显不同,两者存在必然的重合和冲突,需要解决的法律方案。 再者,刑法对社会秘密的原有保护范围是十分有限的,而该罪可以覆盖刑法原来没有保护的秘密利益。例如,著作权要求数据集合体具有独创性,而医院用药统方数据通常是按照业内普遍采用的方式进行编排,所以难以被认定为作品而进行著作权的保护,但是这种数据产品又具有一定的价值,刑法就用该罪来进行保护。同样,对于个人而言,电子设备中的很多数据并非能够特定化地反映其个人信息,但它构成其不愿为他人所知晓的隐私,此时刑法也需要适用该罪来予以保护。另外,刑法对已关注的法益进行保护的范围也是有限的,例如侵犯商业秘密的保护限于造成50万元损失以上的情节,这就在结果要素上限定了商业秘密罪行的保护范围。 数据的可用性被侵害之后,数据如果不可复制,则该数据原本具有排他性支配的可能性,可以认定其属于我国刑法已经保护的财产性利益;如果可以复制,则该数据原本并不具有排他性支配的可能性,难以认定其为我国刑法已经保护的财产性利益,可能成为我国刑法保护或者不保护的知识产权类型。数据利益性质上的技术、社会双重性导致刑法规范的竞合。 银行系统的资金、股票账户的股票,都是计算机信息系统数据,但直接划入自己或他人的账户、直接与自己或者他人的账户进行交易,都被认定为盗窃罪。这是因为两者(储蓄、股票)都被我国《刑法》第92条明文列举为财产。可以说,账户资金和股票是我国刑法保护无形物的证据。 然而,一旦涉及虚拟物,刑法规范就产生了模糊性。网络虚拟财产从物质形态上看,是以数字化的数据形态被生成和存在于网络服务器的虚拟空间之中,并可以为网络使用者通过一定的程序,以数字化的形态在网络间转移、支配使用的电磁信息。面对涉及Q币、游戏点卡、QQ号码等网络虚拟财产的刑事案件,司法实践产生分歧,有认定为盗窃罪的,也有认定为侵犯通信自由的,还有认定为非法获取计算机信息系统数据罪的。2016年最高人民法院研究室作出的《关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》指出,对利用计算机窃取他人游戏币非法销售获利的行为,宜以非法获取计算机信息系统数据罪定罪处罚。有法官认为,我国《刑法修正案(七)》将非法获取计算机信息系统数据行为予以犯罪化,主要是为了解决网络盗窃的法律适用问题,特别是因为盗窃的主要对象——网络账号、网络游戏装备等虚拟财产的财物属性存在争议,价格也难以认定。可见,该罪的设置客观上承担了保护刑法应当保护的法益的功能。在设置该罪以前,盗窃QQ号码被认定为侵犯通信自由,就是为了避免将其认定为财产的争议,同时表明法院力图指出系统数据背后的社会利益类型。 我国刑法原则上是不排斥虚拟物的财产性利益保护的。首先,在该罪出台以前,有些法院已经认定,盗窃网络虚拟财产的,其数额认定应当参照被害人的实际财产损失,而不能将销赃金额认定为盗窃数额。这表明,对虚拟财产的盗窃和其他物品的盗窃一样,关注的是被害人所遭受的财产法益侵害,而非行为人的违法所得。在设置该罪之后发布的最高人民检察院的指导案例也说明,仅仅存在于特定网络空间、由网络主体所控制和使用并不能排除虚拟物的财产性。在张四毛盗窃案(最高人民检察院第九批指导性案例:检例第37号)中,法院认定,破解该域名所绑定的邮箱密码,通过变更网络域名绑定邮箱及注册ID,实现了对域名的非法转移。由于网络域名的稀缺性和交换价值,其具备法律意义上的财产属性,盗窃网络域名可以认定为盗窃行为。可见,只要具有稀缺性和交换价值,就可能认定为财产,而游戏账号、内部装备也往往具有类似特性。然而同样的行为也有被认定为非法获取计算机信息系统数据罪的。可见,该罪的确在客观上用来保护财产性利益。例如,对于通过钓鱼链接骗取微信公众号的账号及密码的行为,有法院在判决中认为,以微信为标志的移动互联网时代,拥有大量粉丝的微信公众号已具备典型的财产性利益,“微信公众号”的管理账户和密码属于相关司法解释界定的“身份认证信息”。该法院的判决承认了自媒体时代的公众号的财产性价值,却又没有将其认定为财产犯罪。因为此时仅仅侵犯了该数据的机密性,还未改动密码而侵犯该数据的可用性;权利人仍然可以使用该数据,甚至通过修改密码而恢复机密性。行为人只是有侵害使用权和所有权的可能性。 然而,用该罪来保护我国刑法上已经设定其他罪名所保护的利益,会导致一些规范性方面的问题,例如违反罪刑法定原则。如行为人从上线手中购买游戏账号和密码,非法登录游戏账号窃取其中的“金币”。收购游戏账号密码在广义上也是非法获取计算机信息系统数据的行为,窃取游戏币也是非法获取。在这一认定非法获取数据行为的思维延续下,法院认为,行为人利用其他浏览器及相关插件对系统数据进行修改,致使充入0.01元人民币即可获得售价为人民币5000元的游戏币,其行为的本质在于非法获取计算机信息系统中的数据,继而使用部分数据,并通过转移部分数据获利,并非破坏计算机系统内的数据或程序,其行为已构成非法获取计算机信息系统数据罪。法院着重辨别非法获取计算机信息系统数据罪和破坏计算机信息系统罪,忽视了数据的财产性质问题。的确,该案并非破坏数据罪行,因为该罪行“要求达到使数据丧失正常功效,影响数据的正常使用或运行的程度”, 然而,将其认定为非法获取数据罪行也存在疑问:该游戏币在充值以前已经在系统内存储了吗?非法获取计算机信息系统数据罪中的数据必须是处于储存状态下的,或正被编辑,或正被传输。该案中的游戏币数据是行为人进行充值操作之后才产生的,行为人并没有获取计算机信息系统中已经存在的数据,没有针对已经存在的数据的机密性或可用性进行侵害,这与获得他人账号密码转走其系统中已然存在的设备、物品等数据的行为是不同的,因此该案中的行为难以认定为非法获取计算机信息系统数据罪。 我国刑法直接保护的财产利益范围是有限的,非法获取数据罪行客观上弥补了这一缺憾。如行为人修改系统信息,将数字特殊的手机号码转入他人名下。有评论认为,附加于吉祥号上的文化价值是运营商对号码的所有权的收益权能体现,有赖于立法机关和司法解释对刑法总则中“其他财产”的解释。该评论的贡献在于指出了该号码数据仍在运营商的控制之下,运营商并未完全丧失其所有权,只是丧失了该数据的使用权(可用性)。在刑法原则上打击的是以非法占有为目的侵害他人财产所有权的情况下,此种情况并不能为刑法所涵摄。 除了上述情形之外,财产性利益用本罪来保护的另一种情形是,在行为人非法获得拨号上网的账号并使用时,包月的合法用户并未受到财产损失。其一,行为人伪装成“WiFi万能钥匙”向掌门公司数据库服务器发送请求信息,从而非法获取掌门公司数据库返回的共享WiFi热点密码数据,供自己的软件客户使用。此时的虚拟财产使用权的特殊性在于,它可能完全取代了所有权的概念和重要性,多个用户可以同时使用它,不在乎归谁所有,关键是同时使用可能会影响原来的使用者的使用效率和体验,并且此种使用的提供者也只在乎后来加入的使用者有没有向其支付应有的对价。这种盗用他人数据流量的行为难以被认定为盗窃罪。虽然我国《刑法》第265条规定,盗接、复制或使用盗接、复制的通信线路、电信码号、设备、设施,依照该法第264条的规定定罪处罚,但这是拟制规定,“定罪处罚”的用语表明既援引法定刑,也援引罪名。该法第264条的原则是保护财物不受非法占有,保护权利人的占有不被非法排除,而该法第265条则例外地保护财物不受非法使用,不在乎权利人的占有有无被排除。因为无线数据流量并未被刑法所直接规定,基于罪刑法定原则,无法扩张性地适用我国《刑法》第265条,所以,该案中虽然密码数据本身具有前述的数据机密性,当然可以认定为非法获取计算机信息系统数据,但后续更为重要的行为——数据流量的持续获取,则侵犯了数据的可用性。这种技术上的可用性仅仅是受到了轻微的损害,使得原来的用户不能按照既有的时间和效率获得该流量数据,更大的危害在于社会上的财产性利益受到了损害。非法获取计算机信息系统数据罪在客观上覆盖了对这种利益的侵害。非法获取计算机信息系统数据罪除了可以覆盖我国刑法原来就保护的著作权、商标权、专利权、商业秘密等利益,还可以覆盖无形产权和法律、法规应当保护,而刑法尚未予以保护的知识产权类型。近期涉及知识产权的案例是,非法获得一个序列码就可在网络中下载和享受正版软件及其后期服务,刑法只关注全面的所有权,而忽视对财产的使用权的保护,这在网络空间中财产权各项权能的关系和重要性次序发生重大变化的情况下,其已经日益显得捉襟见肘。软件是可复制的,并无所有权的非法侵害和排除占有,此时只有该序列码之下的正版软件使用权的侵害。其二,域名的构思、创设是一种智力劳动成果,它符合知识产权的专有性、时间性和地域性等特征,但域名却未被我国知识产权法和刑法确认为一种无形财产权而予以保护。司法实践中除了前述的最高人民检察院指导性案第37号中认定为财物的盗窃之外,一般以非法获取计算机信息系统数据罪进行保护,认为侵害了域名数据的可用性。 通过对非法获取计算机信息系统罪的法律适用考察,可以发现,其覆盖的范围不仅包括侵犯数据机密性的情形,还包括侵犯数据可用性的情形。该罪覆盖侵犯数据机密性的情形意味着,该罪同时还能覆盖侵犯公民个人信息罪的情形,以及侵害刑法上已经保护的国家秘密、军事秘密、商业秘密的情形和刑法之前尚未保护的其他秘密利益;该罪覆盖数据可用性的情形意味着,该罪同时还能涵摄刑法上已经保护的财产性利益,以及刑法原本不保护的财产性利益。这就意味着,该罪在司法实践中成了一个超级口袋罪:在罪名上,与人身安全、财产安全等多个章节的罪名产生交叉重合;在保护的利益上,不仅涵摄刑法上其他章节所保护的法益,而且开始溢出整个刑法典,进而保护信息时代重要性日益凸显、其他利益日益频繁地受到侵害。面对这种庞杂的规范结构,需要综合网络时代犯罪情势和刑法基本原则的权衡考量,达致刑法规范的明确性与合理性。 对于这种庞杂的罪名功能,学者提出的解决方案是,该罪应当只保护数据安全不受非法获取行为的侵犯,而不保护个人信息、财产权利、知识产权不受以数据为媒介、工具的侵害。如此,该罪就成了一个纯粹的计算机犯罪,只保护没有个人信息性质、财产性质、知识产权性质的普通数据的机密性和可用性。这样的罪行规范结构的确是清晰的、纯粹的,很符合一个罪名标签对应一个规范结构的刑法理想,有助于落实罪刑法定原则,保障刑法规范的明确性、可预见性,从而保障公众的行动自由和意志自由;排除刑法上已经保护的其他人身权利和财产权利,也有利于落实法益位阶原理。人身权利和财产权利是现代刑法保护的首要利益,而安全和秩序则为超个人法益,在罪名设置时,应当尽可能地仅指向破坏安全和秩序的行为,避免与侵犯权利的犯罪发生重合。在罪名适用时,也应当优先考虑侵犯公民人身权利、财产权利等个人法益的犯罪,而非将某种行为认定为侵害公法益的犯罪(非法获取计算机信息系统数据罪属于扰乱公共秩序罪)来保护个人法益,因为这种做法必然侵害被害人的诉讼参与权利,也不利于附带民事诉讼程序的进行。 然而,前述对司法实践的梳理表明,该罪不仅覆盖刑法上已经保护的个人信息、财产、知识产权利益类型,而且涵括刑法上之前未能保护的财产利益、知识产权利益、秘密利益。在当前信息网络时代出现上述规范功能的复杂结构,是因为刑法规范的利益关注不可避免地实现了从系统安全向网络安全的时代性转向。在数据时代的早期,数据、系统和计算三位一体,数据信息通过计算机这一物质所承载的计算能量的运行来服务于当时的各政府机关和科研院所。如此,计算机系统的正常运行和使用才和公共秩序相契合,新增的纯正的计算机犯罪完全发生在系统内,也只影响计算机系统本身的运行。此时犯罪情势的兴奋点是黑客犯罪,针对的完全是系统及其内部的数据性质本身,强调的是犯罪的技术性。 不过,数据在近年来开始变得不再必然与计算机系统相联系,不一定存在于计算机系统中,开始存在于信息网络中。云端存储使得数据与本地系统不一致,智能传感器获取海量数据的大数据技术使得数据输入不依赖于本地系统。孤立的系统安全和数据安全的关联性预设不再成立。与此同时,网络数据安全的价值重要性开始占据主导地位。2015年出台的我国《网络安全法》第10条的表述是维护“网络数据”的完整性、保密性和可用性,不再强调是系统内的数据。以数据为核心要素的开放的、互联的网络安全嵌入了社会生活秩序、公共安全和国家安全。此时的数据安全进一步包含了诸多的社会、商业、经济、国家安全等各种利益维度。数据的基本性质规定由系统内技术化的样态转为网络中社会化的样态,这种态势呼唤着刑法规范的结构更新。当代犯罪情势的重点是传统违法犯罪的网络化,以及借助数据的社会性质多样化而不断翻新的新类型危害,此时刑法规范实践强调的是行为风险的社会性——危害或威胁多样态的社会利益安全。行为的技术性不再被关注,因为数据无处不在,行为人轻易接触数据的机会分布于整个社会空间,数据涉及的社会利益重要性则不断凸显。 随着社会的发展和变化,过去不被视为利益或不会受到损害的利益成为重要的利益,并受到严重的损害,因而需要刑法保护的法益数量的增加是增加新犯罪的最重要原因。然而,如果通过解释可以将某些行为纳入刑法规定的犯罪构成要件,却在没有解释的情况下增加新的犯罪构成要件,这显然是不恰当的。因此,在第一层次上,刑法上有明文规定可以保护个人信息、财产和知识产权利益时,当然可以,而且应该按照既有的罪名进行保护。我国《刑法》第287条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。”这一规定应被理解为对利用计算机所犯的所有传统犯罪的一般定性规则:为了实施一种传统犯罪,即使在网络空间中应用了一种技术方法,其实质利用计算机所犯的一种传统犯罪。但是,在第二层次上,当刑法上既有的个人信息、财产、知识产权等条款所保护的利益范围有限时,2009年新设的非法获取计算机信息系统数据罪就应当考虑进行涵摄,发挥其保护数据的机密性、可用性以及保护数据背后的信息机密性与利益可得性的功能,而非坐等新罪增设。那么,这种扩大本罪适用范围的思路是否可行呢?换言之,如何缓解本罪的口袋化所带来的对落实刑法基本原则的挑战呢? 刑事立法表述中的一些缺陷,可以通过解释,得出合理的结论,然后根据这一补正解释重新表述新的立法。可以论证,罪名也是刑事立法出台的刑事规范的重要组成部分,也应当经过合理的解释和调适,推动刑事规范的转型升级。也就是说,非法获取数据罪行的相关罪名的更新解释,能够推动相关罪行的更新理解和未来罪行规范符合时代发展的精细表达。 虽然该罪可以继续涵摄刑法应当保护的利益,其罪名却有必要进行调适。罪名的公正标签理论在国内受到的关注较少。有学者提出,把本属于不同种的犯罪硬性作为一个罪名规定在一个法条中是不符合罪刑相适应要求的——应作罪名分解,每一条文都应叙明各罪的罪名、罪状及法定刑。近年来有学者提出了罪名的生成办法和系统调整,这为网络犯罪中口袋罪的解决方案提供了智识支持。 国外诸多重要学者(Ashworth, Williams, Chalmers, Moshikaro)认为,罪名标签对立法和司法的公正都提出了要求。刑事司法不仅是对行为人定罪量刑,而且是对行为人准确确定罪名,如果该罪名不能给予其罪行一个准确的涵摄,这对于行为人和受害人都是不公平的,因为行为人的罪行和被害人的经历都没有适当地展现给公众。准确反映罪行要素的罪名标签通过其描述和区别功能,对于犯罪人、受害人、公众、刑事司法机关和其他相关机构具有关于罪行严重性和不法行为的象征性、沟通性的意义。标签效应理论不仅适用于刑罚执行后的有犯罪记录的“犯罪人”这一标签,更适用于在刑法规范诞生到司法适用、刑罚执行和复归社会的整个流程中起作用的各个罪名标签。罪名的基本功能是概括罪行和指称犯罪人行为,达到刑法规范的明确性和可预测性,使得犯罪人和公众能够准确地选择行为和评价行为,司法机关和相关机构能够准确地评价和处理、统计相关行为。 罪名与刑法基本原则有内在联系,可以在很大程度上创新性地缓解罪名口袋化的问题。刑法基本原则指导整个立法和司法过程,指导整个刑法规范系统。刑法规范不仅包括刑法条文内容,而且包括概括该内容的罪名。罪刑法定原则和罪刑相当原则的实现不能仅仅依赖立法对罪状和法定刑的规定。这是因为,其一,刑法条文对广大公民的教育程度有限;其二,定某罪而免除其刑,也是规范的否定评价和谴责。如果罪名不恰当,致使名不符实,则难以发挥罪名的识别、威慑预防和否定功能,影响刑法规范系统的明确性和公正性。罪名可以而且应当落实罪刑法定、罪刑相当原则。 该罪罪名调适的必要性和可行性可从域外法上得到理解。英国《1990年滥用计算机法》第1条规定了意图非法获取数据、程序而侵入计算机的罪行。该法第2条规定了非法获取数据、程序而意图犯其他重罪的罪行,即明知无权,执行计算机功能,获取数据或程序,意图实施犯罪或者便利自己或他人实施犯罪(该犯罪必须是由法律固定刑期的犯罪或者21岁以上的人初犯可能判处5年监禁的犯罪)。可见,对于英国法上的非法获取数据罪行,在非法获取数据已然实现的情况下,如果能够证明其具有其他犯罪意图,例如盗窃、敲诈、缠扰,则认定为该法第2条的罪行;如果不能证明,则认定为第1条的罪行。 总之,用技术手段非法获取账号密码,当然是非法获取数据的罪行;当可以证明具有进一步的盗窃等意图时,仍然是非法获取数据罪行;在盗窃实行后,应当是非法获取数据罪行和盗窃罪行数罪并罚。例如行为人利用黑客程序窃得某公司登录腾讯、网易在线充值系统使用的账号和密码,此时构成非法获取数据罪行,后又入侵某公司的在线充值系统,窃取Q币和游戏点卡后在网上低价抛售,则是盗窃罪行和销赃行为。如果账号密码并非通过技术手段非法获取,实行盗窃后,则不能认定为非法获取数据罪。例如在岳曾伟等非法获取计算机信息系统数据案中,行为人从他人处购得八万多个游戏账号及密码,这可构成掩饰、隐瞒犯罪所得罪;然后其使用购得的账号及密码进入游戏操作系统,窃得账号内的游戏金币近八亿个,这是新的盗窃罪行。类似地,购买他人非法获取的个人信息数据,也不构成非法获取数据罪,而只能认定为侵犯公民个人信息罪。 然而,如果以技术手段非法获取数据不触犯我国《刑法》其他条文,如侵害《刑法》其他条文所不保护的秘密利益,或者利用非技术性手段获取数据后,以侵犯数据可用性的方式侵犯我国《刑法》其他条文所不保护的财产性利益和知识产权利益,此时最终受损的利益并不仅仅是数据在技术上的机密性、可用性,而是数据背后的社会性利益。如果依然沿用非法获取计算机信息系统数据罪这一罪名,则行为人仍然会抗辩,认为该罪仅仅保护普通数据的机密性和可用性,而不保护数据背后的社会利益。这有损刑法规范对于行为人的明确性、可预见性利益——行为人认为该罪保护的主要是系统运行安全所需的数据,自己却因为涉及其他利益安全而被犯罪化处理。危险及其后果应当在可被行为人理解的基础上被归责,这是刑事法规范(包括罪名)的功能与责任。罪名的确定和更新也是对刑法规范进行解释和再解释的重要过程。在规范解释和建构的过程中,罪名选择进一步理清犯罪圈,同时表达谴责力度和国家态度,满足公众的心理期待。 该罪的规范结构在客观上可以包括数据获取行为人不诚实意图的实现——导致了损失或毁坏,这一态势应当在罪名上得到体现。其罪名可以变更为“非法获取数据致损罪”。此处的“致损”既可以包括普通数据的机密性和可用性受到损害,也可以包括进而威胁和损害其他社会利益的情形。如此,罪名的标签功能和罪行的规范结构实现了名实相符,司法者和行为人都有了明确的规范性指引。当我们在作为刑法规范要素之一的罪名当中明确了该罪的损害后果可以包括社会性利益的损害时,裁判者和行为人等司法系统内外的人员都能合理地理解该罪名和相应罪行所涵盖的行为及其后果的关系模式,能够对行为人做出准确的评价、谴责、处罚和矫正。为此,有必要在我国《刑法》第285条现有两款规定的基础上再增设一款,规定非法获取数据造成其他重大利益损害的如何处罚。如此,罪名更为精细化、类型化(分别为非法获取计算机信息系统数据罪、非法获取数据致损罪)。
转载请注明出处。
分享本文:
点击界面右上角按钮,在弹出框中选择“发送给朋友”或者“分享到朋友圈”
本刊微信号:ZZYFL-SASS
本刊微信链接二维码: