一、“数据”的概念
“数据”是什么?网络中的数据是0/1形式的二进制代码,展现在我们面前的是文字、符号、声音、图像等内容。那么所有上述数据都是非法获取计算机信息系统数据罪(以下简称“本罪”)中的数据吗?《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称“《解释》”)指出“数据”包括支付结算、证券交易、期货交易等网络金融服务的身份认证信息、其他身份认证信息,“身份认证信息”是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。这里的数据还包括计算机信息系统中存储、处理、传输的各种数据,可以表现为图片、文字、影音资料、专有的程序或软件等。
从立法来看,《解释》对“数据”外延进行了限缩,但在当前司法实务中,本罪涵盖了大量以数据为对象和媒介、工具的网络犯罪,将以数据为对象、数据为载体的两种数据类型都作为了本罪的犯罪对象,使得本罪有发展为口袋罪的趋势。本文拟将不属于本罪规定的数据从“数据”中去除,明确本罪应规制的“数据”范围。
二、本罪中数据犯罪类型
以非法获取计算机信息系统数据罪认定的数据犯罪分为两种:
1、以数据为媒介、工具的侵犯传统法益的网络犯罪,其与传统犯罪的区别在于通过对数据载体的侵害来完成,例如侵犯公民个人信息。
2、以数据为对象侵犯新型法益数据安全的网络犯罪。其中“数据安全”包括了三方面内容:数据的保密性(confidentiality),即免受未授权人获悉;数据的完整性(integrity),即免受无权篡改;数据的可用性(availability),即权利人可随时无障碍的利用,欧盟、经合组织等国际组织及其成员国将侵犯此种法益的行为被称为CIA犯罪。
当前对于以上两种数据犯罪均以非法获取计算机信息系统数据罪加以认定的,但是结合国外的立法经验,笔者认为以数据为媒介、工具的侵犯传统法益的网络犯罪应该就其表征的个人信息权、财产权、知识产权等回归至传统犯罪中处理,如侵犯公民个人信息的犯罪、财产犯罪、侵犯知识产权犯罪等。
三、非法获取计算机信息系统数据罪中的“数据”司法实践现状
本文判决书的样本来自于“无讼”,数据检索方法如下:关键词栏目中输入“非法获取计算机信息系统数据罪”、“刑事”、“判决”,年限选择“2018年、2017年”,从中选择100份有效刑事判决书。
从这100份判决书来看,作为该罪犯罪对象的“数据”范围极广,几乎涵盖了一切可在电脑系统中储存、显示、获取的权利客体。如下图所示:
在上述判决中,既包括了隶属于人身权利的个人信息,也涵盖了隶属于财产权利的网络虚拟财产,还涉及知识产权和数据权的其他数据,将本罪中“数据”的外延无限扩大,因此亟需将“数据”限缩至其应有范围,排除不应成为本罪“数据”的数据。
四、应从本罪中的排除的“数据”
1.个人信息
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条明确规定:公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。很多公民个人信息是以数据的方式保存的,那些信息既是公民个人信息也是数据,但公民个人信息并非普通数据,它与公民个人身份的识别紧密相关,因此对其保护程度是强于一般数据的,当前已有特定罪名即“侵犯公民个人信息罪”对公民个人信息加以保护,鉴于此,对侵犯公民个人信息的行为应当予以特殊保护,而不是以本罪论处。
2.电子图书、电子银行存款等财产性数据
电子图书、电子银行存款等财产性数据不同于虚拟财产,他们具有明确的财产属性,包括特定的交易价值。获取该等数据不构成本罪,仍应是涉嫌财产性犯罪。
3.国家事务、国防建设、尖端科学技术领域的计算机信息系统中的数据
非法获取此类数据的犯罪目的是窃取国家秘密的,涉嫌“非法获取国家秘密罪”;获取数据后泄露的,涉嫌“故意泄露国家秘密罪”。
4.网络信号资源
网络信号也是一种数据,但它是一种具有经济价值的资源,行为人通过破解密码等方式非法获取网络信号资源的,应该按照我国《刑法》第 265 条规定: “以牟利为目的,盗窃他人通信线路、复制他人电信码号或者明知是盗接、复制的电信设备、设施而使用的,依照盗窃罪定罪处罚。”此外,最高人民法院《关于审理扰乱电信市场秩序案件具体应用法律若干问题的解释》第 8 条规定: “盗用他人公共信息上网账号、密码上网,造成他人信息资费损失数额较大的依照刑法第264条的规定,以盗窃罪定罪处罚。”因此,网络信号资源也不属于本罪中的“数据”。但根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11 条的规定,本解释所称“计算机信息系统”和“计算机系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等,所以盗窃他人上网账号、上网密码等认证信息的,如果没有使用,但达到非法获取计算机信息系统数据罪的量刑标准,可能构成非法获取计算机信息系统数据罪。
5.知识产权
刑法有关知识产权犯罪仅限于著作权、商标权、专利权、商业秘密四类,无论犯罪对象还是犯罪手段都过于狭隘,如侵犯著作权罪以“以营利为目的”,但部分网络侵权不是以营利为目的,这使得大量侵害网络知识产权的行为无法评价为知识产权犯罪,只能借助其他补充罪名,当前司法实践倾向于将侵害网络知识产权的行为定性为非法获取计算机信息系统数据罪。然而,网络知识产权具有不同于一般数据产品的特征——“创造性”,应依其知识产权特性采取特有的知识产权犯罪保护路径。
(1)域名
根据《中国互联网络域名管理办法》第三条,“域名”是指互联网络上识别和定位计算机的层次结构式的字符标识,与该计算机的互联网协议(IP)地址相对应。
2017年最高人民检察院公布的第九批指导性案例将盗卖域名行为认定为盗窃罪,因为网络域名“具备法律意义上的财产属性,盗窃网络域名可以认定为盗窃行为”。但据笔者研究,域名并非普通财产,而是一项新型的知识产权,因为域名具有知识产权属性,包括排他专有性、时间性和地域性特征,所以应以侵犯知识产权犯罪论处。
(2)商业秘密
《中华人民共和国反不正当竞争法》第九条规定“商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息。”针对商业秘密犯罪,刑法中已经规定了侵犯商业秘密罪,但随着数字化办公的发展,很多企业将商业秘密储存于计算机信息系统中,使得商业秘密在计算机信息系统中体现为电脑数据,一旦产生利用网络侵犯商业秘密的行为,就可能出现侵犯商业秘密罪与非法获取计算机信息系统数据罪的竞合。但笔者认为即使商业秘密以电脑数据的形式呈现,但其本质还是商业秘密,行为人侵犯的法益还是商业秘密权本身,因此应当以侵犯商业秘密罪论处,而不是以非法获取计算机信息系统数据罪来认定。
五、虚拟财产应认定为财产
网络中的虚拟财产是否构成本罪有很大的争议,有的学者认为虚拟财产虽然是数据,但其本质上是财产,对相关的侵犯行为应以财产性犯罪进行规制;有的学者认为虚拟财产也属于数据,应以非法获取计算机信息系统数据罪进行规制。根据现有法规,倾向于以非法获取计算机信息系统数据罪打击侵犯虚拟财产的行为,但无论在学界还是司法实践中,更倾向于以盗窃罪、诈骗罪等传统罪名打击侵犯虚拟财产的行为。
(一)虚拟财产的定义和特征
虚拟财产一般定义为:数字化的、非现实的、观念上的财产,虚拟财产不仅指网络游戏中的虚拟物品,还应包括虚拟货币等等。
虚拟财产的特征:
1、存在于网络环境或网络空间中。
2、以数字化的形式来模拟现实事物。
3、具有相对独立性。相对独立是指虚拟财产具有独立于其他网络资源或现实财产的价值。虚拟财产既区别于网络供应商提供的运行环境,也与其他网络用户的资源相区别,具有排他性。这正是虚拟财产交易产生的前提。
4、可以独占享有的。虚拟财产在某一特定领域具有独占性。如网络是没有疆界无法独占的,但储存于网络中的数据、信息却是可以独占享有的,这些数据、信息便属于本文所界定的虚拟财产。
(二)关于虚拟财产的现有规定——非法获取计算机信息系统数据罪
2012年最高人民法院研究室《关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》对一起盗窃网络虚拟财产案件的批复以准官方的姿态认为“盗窃虚拟财产宜以非法获取计算机信息系统数据罪定罪处罚”,理由如下:1.虚拟财产不是财产。2010年6月,文化部就网络游戏下发了一个部门规章,也就是《网络游戏管理暂行办法》。该规章明确规定:网络游戏虚拟货币的使用范围仅限于兑换自身提供的网络游戏产品和服务,不得用于支付、购买实物或者兑换其他单位的产品和服务。因虚拟财产不具有财物的交换属性,不属于财物的范畴。可见,包括虚拟货币在内的虚拟财产不是财物;2.虚拟财产的法律属性是计算机信息系统数据,举一个例子,企业的商业秘密可能就是一组数据,这组数据的物理属性是数据,但是法律属性却是知识产权,非法获取这组数据可能构成侵犯知识产权罪中的侵犯商业秘密罪。回到虚拟财产的概念上来,这种电磁记录、电子数据在刑法上的法律属性是计算机信息系统数据,故而,盗窃虚拟财产的行为应当适用非法获取计算机信息系统数据罪。
2013年,最高人民法院、最高人民检察院《关于办理盗窃刑事案件适用法律若干问题的解释》的理解与适用,对该解释的进一步解读明确了网络虚拟财产的法律属性是计算机信息系统数据,并认为对于盗窃虚拟财产的行为,如确需刑法规制,可以按照非法获取计算机信息系统数据等计算机犯罪定罪处罚,不应按盗窃罪处理。理由如下:其一,虚拟财产与金钱财物等有形财产、电力燃气等无形财产存在明显差别,将其解释为盗窃罪的犯罪对象公私财物,超出了司法解释的权限。其二,虚拟财产的法律属性是计算机信息系统数据,对于非法获取计算机信息系统数据的行为当然可以适用非法获取计算机信息系统罪定罪量刑。其三,对盗窃网络虚拟财产的行为适用盗窃罪会带来一系列棘手问题,特别是盗窃数额的认定,目前缺乏能够被普遍接受的计算方式。而《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》对非法获取计算机信息系统数据罪明确了具体定罪量刑标准,适用该罪名可以罚当其罪,实现罪责刑相适应。其四,从境外刑事立法和司法来看,鲜有将盗窃网络虚拟财产的行为以盗窃罪论处。
(三)侵犯虚拟财产应以财产性犯罪认定
以上两份文件中为论证虚拟财产属于数据列出了数条理由,但笔者认为上述理由颇为牵强。
1、虚拟财产已经趋向现实
“网络游戏虚拟货币的使用范围仅限于兑换自身提供的网络游戏产品和服务,不得用于支付、购买实物或者兑换其他单位的产品和服务。”《网络游戏管理暂行办法》规定虚拟货币不得支付,但该规定已脱离现实。随着游戏业的蓬勃发展,虚拟财产交易逐渐突破了网络虚拟空间,转向真实的社会空间,从而使虚拟财产与真实财产之间的交易日益盛行,虚拟财产的交易已趋向现实。
其一,游戏中的虚拟物品存在离线交易的机制。不但游戏参与者群体之间流行着以现实金钱来交易“网络货币”、“宝物”、“武器”等虚拟物品,运营商为了开拓市场也向玩家出售虚拟道具和财物,离线交易迅速发展并形成一定的规模。
其二,虚拟财物已成为现实化的商品,具有现实价格。笔者从判决检索中也发现了获取游戏装备、道具的案件频发,这也印证了游戏装备、道具等虚拟财物存在现实交易价值及交易市场。
其三,虚拟财产与真实货币的固定的兑换方式已经存在。虚拟货币交易平台已经产生了,且每天都有新的交易平台上线,据笔者检索,现在全球范围内有几家平台的日均交易额在百亿以上。
2、虚拟财产具有财产属性
“虚拟财产的法律属性是计算机信息系统数据。”虚拟财产的法律属性是数据,但不能因此否认虚拟财产的法律属性是财产,任何对象都有可能具有多重属性。
其一,虚拟财产具有转移可能性。这是相对于行为人而言,如果行为人不可能转移被害人管理的财物,就不可能侵害被害人的财物。而虚拟财产显然是可转移的,正是因为虚拟财产具有转移可能性,才使得虚拟财产成为被侵害的对象。
其二,虚拟财产的价值性。虚拟财产具有交换价值与使用价值,一方面,虚拟财产具有交换价值,所谓交换价值,是指虚拟财产的客观价值,网上、网下如火如荼进行的交易行为充分彰显了虚拟财产的交换价值;另一方面,虚拟财产具有使用价值,所谓使用价值,是指使所有者、占有者获得精神上的满足,其使用价值体现在游戏装备以及网络游戏中的角色不仅可以满足玩家的精神需求,而且可以通过游戏过程使游戏装备升值或者通过升级攻关来提高自己的等级从而获得游戏装备。
其三,虚拟财产的排他性。网络用户可以通过对自己的帐号设置密码来防止他人对自己的资料进行修改、增删,也可以通过一定的程序对虚拟财产进行买卖、使用、消费,这说明了虚拟财产在法律上具有排他的可能性。
3、虚拟财产存在立法空间
“对盗窃网络虚拟财产的行为适用盗窃罪会带来一系列棘手问题。”这条指出司法实践中的虚拟财产可能会面临数额认定的困难,但不能因此否认以盗窃罪认定获取虚拟财产的可能性,因为最高人民法院、最高人民检察院2013年4月2日联合发布的《关于办理盗窃刑事案件适用法律若干问题的解释》第1条第4款规定:“盗窃毒品等违禁品,应当按照盗窃罪处理的,根据情节轻重量刑。”显然,毒品、淫秽物品等违禁品虽然无法准确估价,但盗窃毒品、淫秽物品的行为性质没有变化,仍然成立盗窃罪。既然如此,对于盗窃虚拟财产的行为,就不能以数额难以计算为由而否认盗窃罪的成立。
此外,适用非法获取计算机信息系统数据罪在认定虚拟财产犯罪时也存在明显的局限,未利用计算机非法获得他人虚拟财产的案件就无法已本罪认定,如甲以暴力相威胁,让乙说出网络账户与密码,然后通过设置新密码的方法,将其价值数万元的Q币据为己有,这就无法以本罪认定。
閱讀更多 滬法網 的文章
