引入:关于盗窃虚拟数字货币究竟应当以盗窃罪规制还是以非法获取计算机信息系统数据罪规制,近年来一直是学界研讨的热门问题。该问题之所以产生,是因为虚拟货币作为信息技术发展的产物,兼具数据和财产的特点,因而表面上均符合二罪的法益保护范围。但问题是,非法获取计算机信息系统罪的立法初衷就是保护“计算机信息系统中存储、处理或者传输的数据”,而虚拟货币虽然具有数据的特性,但是与该罪名的立法目的不相符合。如果我们能重新审视在实务中被作为兜底罪名使用的非法获取计算机信息系统罪,讨论该罪名的实质规制范围,则盗窃虚拟数字货币究竟应当用哪一罪名处罚的问题也迎刃而解了。
一、非法获取计算机信息系统数据罪的罪名解读
1997年我国刑法规定了非法侵入计算机信息系统罪和破坏计算机信息系统罪。互联网信息技术的发展和普及,在促进计算机走进千家万户的同时,也催生了网络犯罪,日益威胁着我国公民的网络安全。针对实践中出现的黑客攻击、网络病等违法犯罪活动的严重威胁,为维护计算机信息系统安全,2009年2月28日全国人大常委会通过的《刑法修正案》增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪。
立法目的研讨
笔者检索了《刑法修正案》出台后,人大法工委副主任黄太云对该修正案的解读,其明确增加非法获取计算机信息系统数据罪,是源于实践对于网络安全的法律保护需要。公共信息安全和网络监察部门提出,当前,我国计算机网络安全形势十分严峻。一是计算机系统被植入病、木马程序,后门、天窗等破坏性程序的案件大幅增加,给网络安全带来极大隐患。二是犯罪人员由专业技术人员向普通人群蔓延;三是计算机病与木马程序等恶意代码相结合,以计算机病携带木马程序、间谍软件进行大规模传播来非法获取他人账号、身份认证信息,进而侵入他人计算机信息系统窃取计算机信息系统数据,或者对计算机信息系统进行远程控制的案件增长迅猛。法律要与时俱进,回应司法实践的需要。此前,我国刑法第285条仅对非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为作了规定,没有对于一般计算机信息系统的单独规定,在互联网商用、逐渐进入普通家庭的信息技术发展大背景下,法律扩展计算机网络保护范围,具有紧迫性和必要性。侧面说明,该罪名的设立初衷,是为了保障互联网信息数据安全。
韩国检察官起诉20人因加密货币泡菜溢价非法获利1.7亿美元:金色财经报道,韩国检察官于1月18日起诉20人非法汇出约4万亿韩元(约合32亿美元)的海外汇款,并从加密货币泡菜溢价中非法获利高达2100亿韩元(约合1.7亿美元)。被告人利用 256 个韩国银行账户伪装成外贸付款将资金转移到其他国家并购买加密货币,随后在韩国以高价出售了加密货币。据称,这些非法交易发生在2021年1月至2022年8月,期间泡菜溢价率高达5%,检察官目前正在努力没收 131 亿韩元(约合 1060 万美元)的非法所得。[2023/1/19 11:21:35]
司法解释解读
1.《解释》的出台背景
在《刑法修正案》适用后不久,2011年,最高人民法院、最高人民检察院联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》。在答记者问时,官方也解读了《解释》的出台背景“从司法实践来看,制作传播计算机病、侵入和攻击计算机信息系统的犯罪增长迅速,非法获取计算机信息系统数据、非法控制计算机信息系统的犯罪日趋增多,制作销售黑客工具、倒卖计算机信息系统数据和控制权等现象十分突出。这些违法犯罪行为具有严重的社会危害性,不仅破坏了计算机信息系统运行安全与信息安全,而且危害了国家安全和社会公共利益,侵害了公民、法人和其他组织的合法权益。”司法解释对于法规的阐释,再次表明非法获取计算机信息系统数据罪针对的是对于计算机信息系统数据本身的犯罪,而不是将互联网信息数据用做犯罪手段实施的传统犯罪,该罪的立法目的是保障计算机信息系统运行与安全。
2.《解释》中对非获罪“情节严重”的规定
细读该《解释》,非获罪入罪要求达到“情节严重”,具体而言为,下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;获取第项以外的身份认证信息五百组以上的;非法控制计算机信息系统二十台以上的;违法所得五千元以上或者造成经济损失一万元以上的;其他情节严重的情形。对上述条款进行逐一分析,非获罪的入罪标准主要是根据盗取信息数据的种类和数量及损失计算的。首先,网络金融服务的身份认证信息关乎到人民群众的财产安全,因而应当额外保护,因此获取十组以上就构罪;其次,除网络金融服务信息外,其他身份认证信息同样关乎数据安全,非法获取五百组以上即入罪。最后,还有兜底条款,这里的“其他严重情节”中的行为要与前述非法获取身份认证信息的行为具有等值性,才能被刑法处罚。
一名ICO者通过欺诈性贷款申请非法获得逾700万美元疫情救济:据美国司法部4月20日公布的一份声明,一名中国籍纽约居民Justin Cheng在2018年通过欺诈贷款申请并在欺诈性ICO中误导投资者,获得了逾700万美元的新冠疫情救济。Cheng将这些钱花在了个人奢侈品支出上,包括劳力士手表、一套豪华公寓和一辆新奔驰汽车。在2018年8月至10月期间,他为自己的公司Alchemy Coin Technology Limited募集投资者参与ICO,同时对公司的财务状况和p2p借贷平台的准备情况做出虚假陈述,并且没有披露该公司的融资活动是未经授权的。地区法官Alison J. Nathan将8月3日定为量刑日期,Justin Cheng将面临最高80年的监禁。(Cointelegraph)[2021/4/21 20:42:57]
3.虚拟货币与情节严重条款的对应情况
总的来看,司法解释表明非获罪主要保护的是身份认证信息等关乎用户互联网信息安全的信息数据。具体到虚拟货币,首先,《解释》第十条称本解释所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。本文所探讨的重点虚拟货币属于电磁数据,但并不属于账号、密码等操作权限资格。也许有观点会认为,盗窃虚拟货币需要以获取他人平台交易账户和密码为前提,因此保护金融交易账户和密码就是保护财产权益。先不论,身份认证信息和通过认证信息取得的财产是两个值得保护的法益,不能混为一谈。就说事实上,盗窃虚拟货币也不一定以盗窃账户身份认证信息为必要,如比特币交易只认私钥,如果私钥泄露后被他人取得并获得虚拟货币,则损失依然会产生,因此该条不符合。其次,用“违法所得”、“经济损失”和兜底条款让盗窃虚拟货币入罪也有个前提,即虚拟货币属于非法获取计算机信息系统数据罪中的数据,而后文将详细论述该罪的规制范围,并厘清此罪保护的数据与虚拟货币的区别。
二.非法获取计算机信息系统数据罪中的“数据”外延
前文已经明确,非法获取计算机信息系统数据罪实际上是为了保障用户互联网信息数据安全而设立。对非法获取计算机信息系统罪的构成要件展开分析,有以下特点:第一,本罪名作为刑法285条的补充,本罪扩大了受刑法保护的计算机信息系统的范围,即国家事务、国防建设、尖端科学技术领域之外的计算机信息系统;第二,本罪的犯罪行为是违反国家规定,侵入或者用其他技术手段获取计算机信息;第三,本罪的犯罪客体是计算机信息系统及其中数据的安全,犯罪对象仅限于使用中的计算机信息系统中存储、处理、传输的数据,脱离计算机信息系统存放的计算机数据,如光盘、优盘中的计算机数据不是本罪的保护对象。这里的数据,不限于计算机系统数据和应用程序,还包括权利人存放在计算机信息系统中的各种个人信息。以上信息均表明非获罪的保护对象是计算机数据,因此需要对“数据”一词进行界定。
动态 | NBA前球员涉嫌在加密局中非法获取80万美元资产:NBA前球员Isaac Edwards冒充两家比特币信托公司IEA和Tudor Trust的委托人,从印度加纳的一家公司获得了80万美元的报酬,但之后并没有代表他的客户与该公司进行比特币交易。据悉,这两家相关的信托公司声称使用了一种加密货币“自动交易”程序。尽管Edwards承诺偿还这家加纳公司的投资带来的额外回报,但他还没有这样做,并继续推迟了偿还日期。(Cryptoglobe)[2019/10/26]
计算机信息数据的定义
我国现行关于计算机信息数据的立法包括但不限于《关于维护互联网安全的决定》、《数据安全法》、《中华人民共和国计算机信息系统安全保护条例》等法律法规。2000年全国人大常委会《关于维护互联网安全的决定》第四条第二项规定禁止“非法截获、篡改、删除他人电子邮件或者其他数据资料”,其目的是为了保护“公民通信自由和通信秘密”。2021年的《数据安全法》第三条规定“本法所称数据,是指任何以电子或者其他方式对信息的记录。”,而“数据安全”是指“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”。根据上述法律法规,数据是指任何以电子或者其他方式对信息的记录。
非法获取计算机信息系统数据罪的“数据”外延
如果按照上文的定义,则只要是用电子或其他方式对信息的记录,都属于数据。但事实上,大数据背景下互联网已经变成了一种信息存储方式,如果用上述概念界定非法获取计算机信息数据罪中值得保护的数据,则几乎所有通过互联网储存的信息都包含在内,包括但不限于个人信息、虚拟财产、商业秘密和知识产权等权益。如果不对此加以区分,不仅会导致罪与罪之间的界限不明,而且会导致非法获取计算机信息系统数据罪沦为一个口袋罪名。
1.与个人信息重合
在《刑法》中,不仅存在针对计算机数据类犯罪,还有针对公民个人信息类犯罪。《刑法修正案》的出台,在增加了非法获取计算机信息系统数据罪的同时,还增加了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。在以非法获取计算机信息系统数据的方式侵害公民个人信息的案件中,犯罪对象的表现形式是计算机信息数据,但实际承载的是个人信息。《中华人民共和国个人信息保护法》中,将“个人信息”界定为“是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”从中看出,公民的个人信息的内涵与前述《数据安全法》中的数据存在一定的重合。尤其是结合《解释》中,对于“身份认证信息”的界定,身份认证信息与个人信息密切相关,都具有可识别性。因此,有学者认为《数据安全法》规定的是信息与数据一体化的“广义数据”,从总体上保护和规制所有“有信息价值”的数据及其相关行为。《个人信息保护法》则是特别法,在数据保护中对提取“个人信息”进行特殊保护。如果不对此加以规范说明,会在个案适用中,导致法条的重合。
动态 | 安全公司:NSABuffMiner挖矿木马霸占校园服务器 已非法获利115万元:近日,腾讯智慧安全御见威胁情报中心接到用户反馈,称学校内网水卡管理服务器频繁出现崩溃情况。经检测发现,该学校内网水卡管理服务器遭rundllhost.exe挖矿木马入侵,属于NSASrvanyMiner挖矿木马的变种,利用NSA武器工具在内网攻击传播。由于该服务器存在未修复的ms17-010漏洞,因此受到攻击被利用挖矿。截至目前,NSABuffMiner挖矿木马已挖矿获得门罗币1217个,非法获利高达115万元人民币。[2018/9/25]
2.与秘密利益重合
我国《刑法》在各章节分别制定了侵犯国家秘密、军事秘密和商业秘密犯罪,但是以上三种秘密往往是以电子方式储存的,被侵犯的方式也相似,秘密利益与数据的机密性出现了高度一致。值得注意的是,《刑法》各章节在制定侵犯三种秘密犯罪时都强调了不同的构成要件,如非法获取国家秘密要求以窃取、刺探、收买方式获得,非法获取军事秘密要求利用职务之便或以非法手段,侵犯商业秘密要求造成重大损失。如果对非法获取计算机信息系统数据罪中的数据和秘密性利益不加区分,容易发生获取秘密性利益不符合上述三类罪的特定构成要件,用非获罪加以兜底的情况。该情况则会导致该罪的扩张与变异,也有违罪刑法定原则的要求。
3.与网络知识产权重合
知识产权保护的是人类智力成果和经营活动中的标记,而网络是人类智力成果的记载方式之一,因而非获罪保护的数据和网络知识产权具有重合性。如有学者研究过,以非获罪处罚的犯罪行为中不乏:盗窃网络游戏源代码予以销售或者搭建网络游戏牟利、非法破解、修改、控制域名并出售、盗窃网络课堂教学视频和公司设计图纸等行为。以上几种行为侵犯的数据的突出特性是智力成果性,均可用知识产权法规和刑法中知识产权类犯罪规制,无需纳入非法获取计算机信息系统数据罪的数据保护范围。
4.与虚拟财产重合
网络虚拟财产从物质形态上看,是以数字化的数据形态被生成和存在于网络服务器的虚拟空间之中,并可以为网络使用者通过一定的程序,以数字化的形态在网络间转移、支配使用的电磁信息。2016年最高人民法院研究室作出的《关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》指出,对利用计算机窃取他人游戏币非法销售获利的行为,宜以非法获取计算机信息系统数据罪定罪处罚。但问题是,虚拟财产本质上就是电磁数据,但是作为虚拟财产,其不同于一般数据的特点就是财产性,具有经济价值。结合前文论述非法获取计算机信息系统数据罪的立法目的主要是保障计算机信息数据安全,而非公私财物,因此非法获取虚拟财产的行为难以认定为非法获取计算机信息系统数据罪。
独家 | 降维安全实验室:区块链的匿名性给黑客非法获利变现提供了便利途径:2015年起,大连晟平网络科技有限公司在全国各地招聘代理,来推广捆绑着挖矿程序的木马58迅推增值客户端,一旦客户端植入电脑主机,就会静默下载挖矿监控软件和挖矿程序运行,挖到的矿币(如DGB\\DCR\\SC)会转移到公司控制人贺某的虚拟货币钱包中。该公司非法利用黑客技术控制电脑主机389万台、共非法获利1500万。
对此,降维安全实验室安全专家在接受金色财经独家专访时分析,不法分子利用黑客技术获利的触角已从互联网行业伸到区块链行业,所有的个人电脑、手机都可能变成黑客的非法提款机。
1、由于很难追查到数字货币流向地址所属人的真实身份,所以区块链的匿名性给黑客非法获利变现提供了极为便利的途径。利用区块链非法获利的攻击将成指数级上升。
2、挖矿将大幅度降低电脑及手机的性能、增加耗电量。当用户的手机或电脑出现操作时变慢或发热量突然增大的现象,就有可能已经被黑客植入了挖矿代码进行非法挖矿。
3、常见的挖矿攻击方式包括1)在网页中植入挖矿代码,用户访问网页时电脑或手机就开始满负荷运行,成为黑客的免费矿机。2)应用程序及手机APP中被捆绑挖矿木马,用户一旦安装此程序,即自动在用户电脑或手机下载挖矿程序并进行隐秘挖矿,将非法所得时时转入黑客个人数字货币地址。
4、对于用户而言虽然没有绝对的安全,但是好的电脑及手机使用习惯可以降低被黑客利用的可能性。1)不要随意登录不知名网站,避免被网站中的挖矿代码驱动进行挖矿2)电脑下载应用程序时应尽可能在应用所属的官方网站下载,在其他第三方网站下载可能存在应用程序本身已被捆绑挖矿木马的风险3)手机下载App时,苹果手机应在苹果Appstore下载,安卓手机应尽可能去App所属官网下载或在国内著名的手机应用市场下载。在其他地方下载会存在App已捆绑挖矿木马的风险。
5、无论国内还是国外,未经用户允许擅自使用用户的计算资源都属于违法行为。在机构严厉打击此类违法行为同时,用户也应该主动提高自身安全意识、养成良好的电脑、手机使用习惯。更好的保护自己的资产。[2018/7/11]
对非法获取计算机信息系统数据罪中的“数据”限缩
信息安全的范畴非常广,前文也已经论述过,由于我国《数据安全法》对于“数据”的定义是广义的,导致在运用中“数据”一词可能与个人信息、秘密性利益、网络知识产权、虚拟财产等概念发生重合或冲突。如果采取此类广义解释,可能会导致非法获取计算机信息系统数据罪不可避免地沦为口袋罪,应当将此罪名限制为单纯的针对计算机信息数据的犯罪,尽量与其他法益做区分。结合该罪名的立法目的和数据的特性,应当认为该罪名立足互联网安全,保护的是以电子方式记录的具有机密性、完整性和可用性特征的数据。机密性指不被他人知晓,完整性指不被删改,可用性指用户针对该数据有在互联网使用的利益,如金融账户登录后可以开展金融交易,APP账户登录后可以享有APP提供的服务。如果数据的其他属性,如智力成果性或财产性更为突出,则应当考虑他种罪名保护。
三.盗窃虚拟货币不应以非法获取计算机信息系统数据罪定罪处罚
在前文中已经铺垫过,虚拟财产不能直接等同于非获罪中的数据,下文也将回归本文重点,讨论盗窃虚拟货币应当以哪一罪名追究。本文探讨的虚拟货币,是依据特定算法,通过大量计算产生的,具有流通性、匿名性和去中心化特征的数字货币,如比特币、泰达币等。2013年12月3日中国人民银行等五部委《关于防范比特币金融风险的通知》规定“从性质上看,比特币应当是一种特定的虚拟商品。”这是首次以部门规章的形式正向肯定了比特币的“虚拟商品”属性。此后的法律法规延续了这一观点,即使虚拟货币交易被认定为非法,也没有否定其商品属性。因此,虚拟货币作为虚拟经济的一部分,当然具有财产价值。
虚拟货币的财产性特征与数据性特征对比
虚拟货币作为虚拟财产属于广义的数据,但应与数据相区别。《民法典》第一百二十七条规定:法律对数据、网络虚拟财产的保护有规定的,依照其规定。将虚拟财产和数据作为两个并列的概念。数据,前文已经指出,是指任何以电子或者其他方式对信息的记录。从广义上讲,虚拟货币作为电磁记录,依托于计算机信息技术,也属于数据的一种。但是,将网络虚拟财产的本质界定为二进制代码的数据属性观念,只认识到虚拟财产的表面,因为任何由计算机系统记录的信息都属于数据,在互联网时代数据的范围太过广阔了,如电子银行APP记载的余额本质也是数据。但认定虚拟货币的财产属性较数据私密性、完整性和可用性属性更为显著的原因在于它存在一个内在的调整机制,即虚拟经济系统,并推演出虚拟财产的交换价值和使用价值。当前各国网络虚拟财产纠纷涉及虚拟财产买卖、继承、税收、虚拟货币投机、虚拟财产盗窃与等,而这些纠纷是虚拟财产的数据属性所无法解决的。这也是我国《民法典》中将数据和虚拟财产并列的意在突出虚拟财产的特殊属性的原因。在上文已结合非法获取计算机信息系统数据罪的立法背景和司法解释探讨过,该罪所侵害的是数据管理安全,而盗窃罪侵害的是财产权益。因此,将数据限缩在管理安全的基础上,虚拟货币依照其财产属性,自然不成为该罪的规制对象。
盗窃虚拟货币应当以盗窃罪定性量刑
银行APP的资金、股票账户的股票、微信钱包的余额,都是计算机信息系统数据,但如果窃取上述他人账户内的财物,都被认定为盗窃罪。在盗窃虚拟财产的犯罪行为中,表面上是获取“计算机信息系统数据”。但对于虚拟财产来说,网络数据却是财产的载体。所以,在通常情况下,“获取数据”本身不是盗窃的犯罪目的,窃取行为的根本目的还是获得他人具有经济价值的虚拟财产,目的是侵害他人对虚拟财产的所有权而非“数据”本身。另外,如果为了将虚拟货币界定为非法,就否认其经济价值,将盗窃行为以非法获取计算机信息系统数据罪处理,那行为、抢劫行为又该如何规制?就像虽然非法,但为了规制窃取行为仍然将其认定为犯罪,只不过在数额计算上依靠犯罪情节计算。因此,将非法获取计算机信息系统数据罪中的数据限于具有机密性、完整性、可用性的电子数据,保障互联网安全,将虚拟货币的财产性放在其应有的地位保护,才有利于整个刑法保障体系的构建。
四.结论
综上所述,非法获取计算机信息系统数据罪立法目的就是保障互联网信息安全,而如果对该罪保护的数据做广义解释,则可能导致此罪名与侵犯个人信息类、知识产权类、秘密性利益类犯罪界线不分,从而走向异化,因此宜对此罪名做限缩解释。在限缩数据定义的情况下,虚拟货币虽然兼具数据性与财产性的双重特点,却因为财产性更为突出且值得保护,而被定义为刑法上的财物。这样盗窃虚拟货币的行为,就应当用盗窃类犯罪规制,从而更好地打击实务中屡禁不绝的盗币行为。
参考文献
黄太云:《刑法修正案解读》,载《人民检察》2009年第6期,第5-27页。
皮勇:《我国网络犯罪刑法立法研究—兼论我国刑法修正案中的网络犯罪立法》,载《河北法学》2009年第6期,第49-57页。
郭旨龙:《非法获取计算机信息系统数据罪的规范结构与罪名功能——基于案例与比较法的反思》,载《与法律》2021年第1期,第64-76页。
杨志琼:《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》,载《法学评论》2018年第6期,第163-174页
李遐桢:《论盗窃虚拟财产的定性》,载《河北法学》2012年第11期,第30-35页。
作者简介
刘??扬
北京德恒律师事务所合伙人、刑委会副秘书长、执业律师。北京大学软件工程硕士。从事法律工作十五年,主要从事网络、区块链和数字科技与金融交织的细分领域刑事业务,网络安全应急技术国家工程实验室数据安全咨询专家,北京计算机学会网络空间安全与法务专委会副秘书长,北京大学软件与微电子学院校友会理事。
李冰倩
北京德恒律师事务所实习生李冰倩,本科就读于中国政法大学法学专业,对本文亦有贡献。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。