【裁判要点】
1.网络交友平台上不具有自由交换的现实流通性和价值稳定性的充值虚拟币不是刑法规定的“财物”,应界定为计算机信息系统数据。
2.破坏计算机信息系统罪中对数据和应用程序的“增删改”行为针对的应当是被破坏之前就已存在于计算机信息系统内的,且关系到计算机信息系统能否正常运行与系统安全的数据和应用程序。
【相关法条】
《中华人民共和国刑法》第二百八十五条第二款 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
第二百八十六条第一、二款 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
【案件索引】
一审:浙江省杭州市西湖区人民法院(2017)浙0106刑初791号(2017年10月16日)
【基本案情】
公诉机关指控:2015年6月至2016年2月,被告人施宛汝在杭州纳财公司担任客服,其掌握的24号管理官账号有修改用户密码的权限。2015年12月至2016年4月,被告人施宛汝利用上述权限,在本市西湖区翠柏路7号、三墩金家渡路等地,对公司一款名为“Hi”的交友软件平台上大量注册用户的账户密码进行修改,并将上述账户内的充值虚拟币“钻石”统一以“送礼”的方式转移至其违规解禁的ID为235829的可提现账号内,而后在公司软件平台内将虚拟币兑换成现金后提现至用户名为张姚蓉的支付宝账户内,违法所得共计人民币15587元。案发后,被告人施宛汝向杭州纳财网络科技有限公司退赔人民币19725元并取得谅解。
被告人施宛汝对公诉机关指控的事实与罪名均无异议。辩护人认为,本案所涉并非暴力型犯罪,而被告人施宛汝主观恶性较小,犯罪情节较轻,在归案后也能如实供述自己的罪行,具有坦白情节,且其已赔偿被害人相应损失并取得了谅解,又系初犯、偶犯,请求对其从轻处罚。
法院经审理查明的事实与公诉机关指控一致。
【裁判结果】
浙江省杭州市西湖区人民法院于2017年10月16日作出(2017)浙0106刑初791号刑事判决:一、被告人施宛汝犯非法获取计算机信息系统数据罪,判处有期徒刑一年,缓刑一年六个月,并处罚金人民币3000元;二、将扣押于公安机关的被告人施宛汝非法获取计算机信息系统数据所使用的电脑主机一台和苹果牌6plus型手机一部,予以没收。宣判后,被告人施宛汝未提起上诉,检察机关未提起抗诉,判决已发生法律效力。
【裁判理由】
法院生效裁判认为:被告人施宛汝违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统,获取该计算机信息系统中存储的数据,情节严重,其行为已构成非法获取计算机信息系统数据罪。公诉机关的指控成立。被告人施宛汝自愿认罪,且赔偿被害人相应损失并取得谅解,酌情予以从轻处罚。根据被告人施宛汝的犯罪情节、悔罪表现以及没有再犯罪的危险,宣告缓刑对其所居住社区没有重大不良影响,故对其宣告缓刑。
【案例注解】
本案系时下发展迅猛的互联网交友平台中涉及网络虚拟货币的新型网络犯罪案件。被告人施宛汝系杭州纳财网络科技有限公司员工,该公司主要通过网络技术运营一款名为Hi交友(此前叫作“咪我Hi”)的网络软件,该软件宣称为一款以优质真实女性用户为依托,丰富的互动娱乐场景为内容的游戏娱乐化及才艺展示、视频直播类的交友社交软件。涉案所谓“钻石”系该互动交友平台上流通的一种网络虚拟货币,该虚拟货币在平台上的流通规则是,只有注册的男用户可以通过充值方式购买,购买后可以使用“钻石”在平台上购买各种形式的虚拟礼物,赠送给平台上的女用户,用于男女用户之间的互动交流。平台上只有女用户可以将“钻石”进行提现,兑换成真实的货币。被告人施宛汝利用其担任该平台后台管理员具有修改用户账号密码的权限,对平台中多名男用户的账户密码进行修改后,将用户账户中的虚拟货币“钻石”转移至其控制的一个女性账户中,随后通过平台提现获利。对于被告人施宛汝的行为如何认定,在案件审理过程中存在多种不同意见。本案移送审查起诉的公安机关认为对被告人行为应当认定为盗窃罪,亦有观点认为被告人系利用其作为后台管理员的职务便利实施的窃取行为,应当认定为职务侵占罪;审查起诉和审判阶段对该案的定性又存在破坏计算机信息系统罪和非法获取计算机信息系统数据罪等不同意见。经审理认为,对被告人的行为应当认定为非法获取计算机信息系统数据罪,主要认定依据如下:
一、网络平台上不具有自由交换的现实流通性和价值稳定性的虚拟货币不能认定为刑法上的“财物”
对于盗窃网络虚拟财产行为的定性争议由来已久,随着互联网的快速发展以及网络游戏、网络直播及交友平台的日新月异,通过网络盗窃虚拟财产的案件大量增加,对此类案件争议的焦点集中于对网络中存在的虚拟财产、虚拟货币能否认定为刑法意义上的公私财物的问题。对此,刑法学界和实务界尚未形成统一的界定。为数不少的刑法学者认为应当将网络虚拟财产作为刑法上的财产予以保护,刑法上公私财物的内涵和外延已经随着时代的变化而改变,作为互联网时代产生的一种全新的财产形式,在法律没有单独规定之前,可以对《刑法》第九十二条第(四)项规定的“其他财产”进行扩大解释,将虚拟财产纳入“其他财产”中予以保护,使之可以成为盗窃罪的犯罪对象。然而,司法实务部门却并未采纳学界的这种界定。早在2010年,有关部门曾就利用计算机窃取他人游戏币非法销售获利的行为定性问题征求过最高人民法院研究室的意见,最高人民法院研究室经研究认为:利用计算机窃取他人游戏币非法销售获利行为目前宜以非法获取计算机信息系统数据罪定罪处罚。在2013年最高人民法院、最高人民检察院制定《关于办理盗窃刑事案件适用法律若干问题的解释》的过程中,对盗窃虚拟财产的认定也进行了深入研究。相关司法解释的起草者在《〈关于办理盗窃刑事案件适用法律若干问题的解释)的理解与适用》中亦明确:对于盗窃虚拟财产的行为,如确需刑法规制,可以按照非法获取计算机信息系统数据等计算机犯罪定罪处罚,不应按盗窃罪处理。域外国家和地区对虚拟财产的法律保护实际也存在很大的差异,有的国家是将虚拟财产作为财产,通过刑事司法中关于财产犯罪的规定予以保护;但有的国家则不同,例如德国刑事司法中就将虚拟财产作为电磁记录,通过妨害计算机网络系统犯罪予以规制;我国台湾地区的刑事司法更是存在一个变化的过程,台湾“刑法”早先是将作为虚拟财产表现形式的电磁记录规定为动产,对盗窃网络虚拟财产的行为按照盗窃罪论处,随后,又基于电磁记录的可复制性和未必一定破坏他人的合法持有等特点,认为不符合盗窃罪的构成要件,而将之纳入计算机类犯罪予以规制。
网络虚拟财产本身实际是一个大的范畴或者概念,随着互联网时代信息科技的高速发展,面对纷繁复杂的互联网经济形态和载体,虚拟财产亦存在多种不同的种类和表现形式。从最早引发争议的腾讯QQ账号到目前多见的网络游戏装备、游戏币,以及用于互联网消费的腾讯Q币、百度币;还有目前不断涌现的新形式的虚拟货币,例如支付宝中的集分宝等。不同案件中所面对的虚拟财产无论从内容还是形式上均存在不同的特征涉案的虚拟财产或者说虚拟货币能否作为刑法上的财物予以规制,判断时不应当超出普通人的普遍认知,对虚拟财产的实质判断应当从具体案件的表现形式出发,从社会对财产性质的普遍认同着手。据此,我们认为,这种虚拟财产是否属于刑法意义上的财物,其首先应当具备几个基本属性:(1)该虚拟财产可以通过法定货币的购买有偿取得;(2)该虚拟财产具有自由交换的现实流通性,具备基本的交换价值,能够在网络用户之间不受限制地交换流转;(3)该虚拟财产具有价值的稳定性,其交易价格客观,价值计算现实可行,具有可操作性。
考察本案中犯罪行为所针对的虚拟货币“钻石”,其确实可以由平台中的男性用户通过真实的法定货币向平台经营者购买取得,但其明显不具备自由交换的现实流通性和价值的稳定性。其使用的规则在于只有在平台注册的男用户可以通过充值方式购买,但用户在购买“钻石”后不能以法定货币赎回即提现,亦不能转赠给其他男性用户,只能通过购买虚拟礼物的方式赠予女用户,平台上亦只有女用户可以将“钻石”进行提现,兑换成真实的货币。从上述规则可见,首先,该虚拟货币在涉案平台上并不能无限制地自由交换和流通,该货币的购买权、交易权和赎回权均有所限制,其实际只是网络平台所设计的供男性用户娱乐身心交友所用并且能够实现收益的一种网络工具。其次,从价值上考量,涉案平台上“钻石”的价格均由创造和发行该“钻石”的网络公司自行确定,相关购买价格被规定为六档:第一档位充6元人民币得18颗钻石;第二档位充18元人民币得78颗钻石;第三档位充68元人民币得298颗钻石;第四档位充108元人民币得488颗钻石;第五档位充198元人民币得918颗钻石;第六档位充388元人民币得1988颗钻石。而提现的价格固定为60颗钻石变现10元人民币。从上述价格可见,购买“钻石”的价格在任何情况下都是要高于提现“钻石”的价格的。因此,网络公司实际就是通过购买与提现之间的差价获利。而整个软件平台上的“钻石”数量是不受限制的,具有可无限复制性。从上述特征可见,涉案虚拟货币“钻石”价格系由发行公司自行确定,不是根据市场交易形成,具体价格的高低具有较大随意性,发行公司只要保证购进价格与提现价格之间存在价差,其具有获利空间即可;同时,该虚拟货币不具有自由交换的现实流通性,不具备财物的交换属性。综上,其本质上并不属于刑法意义上的财物。因而,涉案虚拟货币不能成为盗窃罪和职务侵占罪的犯罪对象,行为人的行为亦不应认定为盗窃罪和职务侵占罪。
根据2010年文化部发布的《网络游戏管理暂行办法》的有关规定:网络游戏虚拟货币是指由网络游戏经营单位发行,网络游戏用户使用法定货币按一定比例直接或者间接购买,存在于游戏程序之外,以电磁记录方式存储于服务器内,并以特定数字单位表现的虚拟兑换工具。网络游戏虚拟货币的使用范围仅限于兑换自身提供的网络游戏产品和服务,不得用于支付、购买实物或者兑换其他单位的产品和服务;网络游戏运营企业只需将网络游戏虚拟货币发行种类、价格、总量等情况按规定报送注册地省级文化行政部门备案。从上述规定结合实践可知,网络虚拟货币在本质上是以电磁记录方式存储、以数字单位为表征的虚拟工具,具有可复制性,实质上应属于计算机信息系统中存储的数据。对于转移、窃取涉案虚拟货币的行为应当通过相关涉计算机网络罪名予以规制。
二、行为人转移并控制计算机信息系统中存储数据行为的定性
破坏计算机信息系统罪中对数据和应用程序的“增删改”行为针对的应当是被破坏之前就已存在于计算机信息系统内的,且关系到计算机信息系统能否正常运行与系统安全的数据和应用程序。行为人转移并控制计算机信息系统中存储的不具有上述特征的数据应认定为非法获取计算机信息系统数据罪。
在明确了涉案虚拟货币的属性,肯定应当通过涉计算机网络相关罪名予以规制之后,本案如何定性的关键就在于对被告人行为的准确辨析。从被告人利用后台权限修改用户密码,进入用户账户后将账户中的虚拟货币转移至其自己控制的账户中并予以提现获利的行为看,其实质属于违反国家规定,非法获取计算机信息系统中存储的数据的行为。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)的有关规定,违法所得5000元以上或者造成经济损失1万元以上的,构成非法获取计算机信息系统数据罪的“情节严重”。本案违法所得共计人民币15587元,符合司法解释要求,因而本案符合非法获取计算机信息系统数据罪的构成要件。
但在审理过程中,有观点提出,本案应当以破坏计算机信息系统罪认定。理由是根据《刑法》第二百八十六条第二款的规定,违反国家规定对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定认定为破坏计算机信息系统罪定罪处罚。《解释》对所谓的“后果严重”进行了界定,第四条第一款规定:“破坏计算机信息系统功能、数据或者应用程序,具有下列情形之一的,应当认定为刑法第二百八十六条第一款和第二款规定的‘后果严重’:(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的;(二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;(三)违法所得五千元以上或者造成经济损失一万元以上的;(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;(五)造成其他严重后果的。”从本案情况看,被告人将本质为计算机信息系统数据的虚拟货币从部分用户账户里转移至其个人控制的账户里,实际就是对计算机信息系统中存储的数据进行增删改的操作,被告人的违法所得已经达到5000元以上,因此,亦符合破坏计算机信息系统罪的构成要件。其行为属于想象竞合,应当从一重处罚,而破坏计算机信息系统罪的法定刑更重,据此对本案被告人的行为应当认定为破坏计算机信息系统罪。
该观点的提出实际深刻地反映出当前司法实践中对破坏计算机信息系统罪在法律适用上相当程度的误读。有学者就提出,近年来破坏计算机信息系统罪已经迅速沦为网络犯罪中的“口袋罪”,其“口袋化”的原因就在于有些司法机关在适用该罪名时简单地认为所有对于计算机信息系统数据的增删改行为,无论是否影响计算机信息系统的正常运行,都被视为争点案例。
破坏计算机信息系统罪的罪状描述。同时,《解释》的起草者在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉的理解与适用》中亦提及:《解释》第四条只是明确了破坏计算机信息系统功能数据或者应用程序行为的“后果严重”“后果特别严重”的具体情形,是否构成犯罪,还需要结合《刑法》规定的其他要件判断。而根据《刑法》第二百八十六条第一款、第二款的规定,破坏计算机信息系统功能和破坏计算机信息系统数据、应用程序行为的入罪要件并不相同,前者要求“造成计算机信息系统不能正常运行”,而后者不需要这一要件。因此,在司法实践中,需要依据《刑法》和《解释》的规定,根据具体案件情况进行分析判断,确保定罪量刑的准确。很多实务工作者也据此认为,既然不需要“造成计算机信息系统不能正常运行”这一要件,那么只要对计算机信息系统中的数据实施了增删改行为就可以入。但在实践中我们会发现作为一个动态数据系统的计算机信息系统,任何一项加诸该系统的操作行为都可能会对计算机信息系统数据产生增删改的效果,即使是最简单的打开某一应用程序或者文件夹的基本行为,严格地说也都会在计算机信息系统后台数据运行中留下操作记录,增加计算机信息系统的数据;再例如目前多见的利用木马程序控制计算机信息系统实施的犯罪行为,任何的木马程序都必须通过各种手段先植入计算机信息系统中才能够发挥作用,植入木马程序的过程本质上也是对计算机信息系统数据和应用程序的增加,那么是不是可以说所有利用木马程序实施的非法控制计算机信息系统的行为都可以被认定为破坏计算机信息系统罪?考虑到破坏计算机信息系统罪在相关涉及计算机犯罪的刑法罪名中比较而言属于重罪,那么实际上无形中等于架空了非法控制计算机信息系统罪等罪名的适用。
我们认为,对《刑法》第二百八十六条第二款所规定的破坏计算机信息系统罪中所称的“计算机信息系统中存储处理或者传输的数据”应当作实质理解,不能简单地将这些数据理解为计算机信息系统中存储、处理或者传输的所有数据。相关司法解释起草者在解读中所说的该条款不要求“造成计算机信息系统不能正常运行”这一构罪要件是从所造成的后果角度进行的区分,但不影响对该条款所规制的数据本身的解释和限定。相关解读中也提到虽然司法解释对“后果严重”“后果特别严重”的具体情形进行了规范,但对相关破坏计算机信息系统功能、数据或者应用程序行为是否构成犯罪,还需要结合《刑法》规定的其他要件判断。同时,也应当注意到,司法解释中相关条款使用的是“破坏”计算机信息系统数据或者应用程序,具有相关情形的构成“后果严重”,而不是直接使用“增删改”计算机信息系统数据或者应用程序这样的表述。这也反映出并不是简单“增删改”数据或者应用程序就属于对计算机信息系统的“破坏”。我们认为,破坏计算机信息系统罪所要保护的应当是被破坏之前就已存在于计算机信息系统内的数据和应用程序,而且应当是关系到计算机信息系统能否正常运行或者说关系到计算机信息系统安全的数据和应用程序。这样的界定一方面符合破坏计算机信息系统罪的本质属性及其所要保护的法益,且使得《刑法》第二百八十六条所规定的三款罪状之间在罪质上保持一致,也能够与破坏计算机信息系统罪所规定的相对较重的法定刑相匹配;另一方面,也能够有效地实现破坏计算机信息系统罪与其他涉计算机网络犯罪罪名之间的区分,特别是将该罪与非法获取计算机信息系统数据罪、非法控制计算机信息系统罪等罪名区别开来,改变破坏计算机信息系统罪作为“口袋罪”的适用趋向,纠正司法适用上的混乱和误区。基于上述分析可见,本案中所涉及的虚拟货币“钻石”,其虽系之前就存在于计算机信息系统内的数据,但明显不属于关系到计算机信息系统能否正常运行或者关系到计算机信息系统安全的数据,对其的增删改行为不会影响整个软件和信息系统的有效运作,因而不能成为破坏计算机信息系统罪所规制的对象。据此,对本案被告人的行为不能认定为破坏计算机信息系统罪,而仅能以非法获取计算机信息系统数据罪定罪处罚。
