引入:關於盜竊虛擬數字貨幣究竟應當以盜竊罪規制還是以非法獲取計算機信息系統數據罪規制,近年來一直是學界研討的熱門問題。該問題之所以產生,是因為虛擬貨幣作為信息技術發展的產物,兼具數據和財產的特點,因而表面上均符合二罪的法益保護範圍。但問題是,非法獲取計算機信息系統罪的立法初衷就是保護“計算機信息系統中存儲、處理或者傳輸的數據”,而虛擬貨幣雖然具有數據的特性,但是與該罪名的立法目的不相符合。如果我們能重新審視在實務中被作為兜底罪名使用的非法獲取計算機信息系統罪,討論該罪名的實質規制範圍,則盜竊虛擬數字貨幣究竟應當用哪一罪名處罰的問題也迎刃而解了。
一、非法獲取計算機信息系統數據罪的罪名解讀
1997年我國刑法規定了非法侵入計算機信息系統罪和破壞計算機信息系統罪。互聯網信息技術的發展和普及,在促進計算機走進千家萬戶的同時,也催生了網絡犯罪,日益威脅著我國公民的網絡安全。針對實踐中出現的黑客攻擊、網絡病毒等違法犯罪活動的嚴重威脅,為維護計算機信息系統安全,2009年2月28日全國人大常委會通過的《刑法修正案(七)》增設了非法獲取計算機信息系統數據、非法控制計算機信息系統罪。
(一)立法目的研討
筆者檢索了《刑法修正案(七)》出台後,人大法工委副主任黃太雲對該修正案的解讀,其明確增加非法獲取計算機信息系統數據罪,是源於實踐對於網絡安全的法律保護需要。公共信息安全和網絡監察部門提出,當前,我國計算機網絡安全形勢十分嚴峻。一是計算機系統被植入病毒、木馬程序,後門、天窗等破壞性程序的案件大幅增加,給網絡安全帶來極大隱患。二是犯罪人員由專業技術人員向普通人群蔓延; 三是計算機病毒與木馬程序等惡意代碼相結合,以計算機病毒攜帶木馬程序、間諜軟件進行大規模傳播來非法獲取他人賬號、身份認證信息,進而侵入他人計算機信息系統竊取計算機信息系統數據,或者對計算機信息系統進行遠程控制的案件增長迅猛。法律要與時俱進,回應司法實踐的需要。此前,我國刑法第285條僅對非法侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的行為作了規定,沒有對於一般計算機信息系統的單獨規定,在互聯網商用、逐漸進入普通家庭的信息技術發展大背景下,法律擴展計算機網絡保護範圍,具有緊迫性和必要性。側面說明,該罪名的設立初衷,是為了保障互聯網信息數據安全。
(二)司法解釋解讀
1.《解釋》的出台背景
在《刑法修正案(七)》適用後不久,2011年,最高人民法院、最高人民檢察院聯合發布了《關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下簡稱《解釋》)。在答記者問時,官方也解讀了《解釋》的出台背景“從司法實踐來看,製作傳播計算機病毒、侵入和攻擊計算機信息系統的犯罪增長迅速,非法獲取計算機信息系統數據、非法控制計算機信息系統的犯罪日趨增多,製作銷售黑客工具、倒賣計算機信息系統數據和控制權等現象十分突出。這些違法犯罪行為具有嚴重的社會危害性,不僅破壞了計算機信息系統運行安全與信息安全,而且危害了國家安全和社會公共利益,侵害了公民、法人和其他組織的合法權益。”司法解釋對於法規的闡釋,再次表明非法獲取計算機信息系統數據罪針對的是對於計算機信息系統數據本身的犯罪,而不是將互聯網信息數據用做犯罪手段實施的傳統犯罪,該罪的立法目的是保障計算機信息系統運行與安全。
2.《解釋》中對非獲罪“情節嚴重”的規定
細讀該《解釋》,非獲罪入罪要求達到“情節嚴重”,具體而言為,下列情形之一的,應當認定為刑法第二百八十五條第二款規定的“情節嚴重”:(一)獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上的;(二)獲取第(一)項以外的身份認證信息五百組以上的;(三)非法控制計算機信息系統二十台以上的;(四)違法所得五千元以上或者造成經濟損失一萬元以上的;(五)其他情節嚴重的情形。對上述條款進行逐一分析,非獲罪的入罪標準主要是根據盜取信息數據的種類和數量及損失計算的。首先,網絡金融服務的身份認證信息關乎到人民群眾的財產安全,因而應當額外保護,因此獲取十組以上就構罪;其次,除網絡金融服務信息外,其他身份認證信息同樣關乎數據安全,非法獲取五百組以上即入罪。最後,還有兜底條款,這裡的“其他嚴重情節”中的行為要與前述非法獲取身份認證信息的行為具有等值性,才能被刑法處罰。
3.虛擬貨幣與情節嚴重條款的對應情況
總的來看,司法解釋表明非獲罪主要保護的是身份認證信息等關乎用戶互聯網信息安全的信息數據。具體到虛擬貨幣,首先,《解釋》第十條稱本解釋所稱“身份認證信息”,是指用於確認用戶在計算機信息系統上操作權限的數據,包括賬號、口令、密碼、數字證書等。本文所探討的重點虛擬貨幣屬於電磁數據,但並不屬於賬號、密碼等操作權限資格。也許有觀點會認為,盜竊虛擬貨幣需要以獲取他人平台交易賬戶和密碼為前提,因此保護金融交易賬戶和密碼就是保護財產權益。先不論,身份認證信息和通過認證信息取得的財產是兩個值得保護的法益,不能混為一談。就說事實上,盜竊虛擬貨幣也不一定以盜竊賬戶身份認證信息為必要,如比特幣交易只認私鑰,如果私鑰洩露後被他人取得併獲得虛擬貨幣,則損失依然會產生,因此該條不符合。其次,用“違法所得”、“經濟損失”和兜底條款讓盜竊虛擬貨幣入罪也有個前提,即虛擬貨幣屬於非法獲取計算機信息系統數據罪中的數據,而後文將詳細論述該罪的規制範圍,並釐清此罪保護的數據與虛擬貨幣的區別。
二.非法獲取計算機信息系統數據罪中的“數據”外延
前文已經明確,非法獲取計算機信息系統數據罪實際上是為了保障用戶互聯網信息數據安全而設立。對非法獲取計算機信息系統罪的構成要件展開分析,有以下特點:第一,本罪名作為刑法285條的補充,本罪擴大了受刑法保護的計算機信息系統的範圍,即國家事務、國防建設、尖端科學技術領域之外的計算機信息系統;第二,本罪的犯罪行為是違反國家規定,侵入或者用其他技術手段獲取計算機信息;第三,本罪的犯罪客體是計算機信息系統及其中數據的安全,犯罪對象僅限於使用中的計算機信息系統中存儲、處理、傳輸的數據,脫離計算機信息系統存放的計算機數據,如光盤、優盤中的計算機數據不是本罪的保護對象。這裡的數據,不限於計算機系統數據和應用程序,還包括權利人存放在計算機信息系統中的各種個人信息。以上信息均表明非獲罪的保護對像是計算機數據,因此需要對“數據”一詞進行界定。
(一)計算機信息數據的定義
我國現行關於計算機信息數據的立法包括但不限於《關於維護互聯網安全的決定》、《數據安全法》、《中華人民共和國計算機信息系統安全保護條例》等法律法規。 2000 年全國人大常委會《關於維護互聯網安全的決定》第四條第二項規定禁止“非法截獲、篡改、刪除他人電子郵件或者其他數據資料”,其目的是為了保護“公民通信自由和通信秘密”。 2021年的《數據安全法》第三條規定“本法所稱數據,是指任何以電子或者其他方式對信息的記錄。”,而“數據安全”是指“通過採取必要措施,確保數據處於有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。”。根據上述法律法規,數據是指任何以電子或者其他方式對信息的記錄。
(二)非法獲取計算機信息系統數據罪的“數據”外延
如果按照上文的定義,則只要是用電子或其他方式對信息的記錄,都屬於數據。但事實上,大數據背景下互聯網已經變成了一種信息存儲方式,如果用上述概念界定非法獲取計算機信息數據罪中值得保護的數據,則幾乎所有通過互聯網儲存的信息都包含在內,包括但不限於個人信息、虛擬財產、商業秘密和知識產權等權益。如果不對此加以區分,不僅會導致罪與罪之間的界限不明,而且會導致非法獲取計算機信息系統數據罪淪為一個口袋罪名。
1.與個人信息重合
在《刑法》中,不僅存在針對計算機數據類犯罪,還有針對公民個人信息類犯罪。 《刑法修正案(七)》的出台,在增加了非法獲取計算機信息系統數據罪的同時,還增加了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪。在以非法獲取計算機信息系統數據的方式侵害公民個人信息的案件中,犯罪對象的表現形式是計算機信息數據,但實際承載的是個人信息。 《中華人民共和國個人信息保護法》中,將“個人信息”界定為“是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息。”從中看出,公民的個人信息的內涵與前述《數據安全法》中的數據存在一定的重合。尤其是結合《解釋》中,對於“身份認證信息”的界定,身份認證信息與個人信息密切相關,都具有可識別性。因此,有學者認為《數據安全法》規定的是信息與數據一體化的“廣義數據”,從總體上保護和規制所有“有信息價值”的數據及其相關行為。 《個人信息保護法》則是特別法,在數據保護中對提取“個人信息”進行特殊保護。如果不對此加以規範說明,會在個案適用中,導致法條的重合。
2.與秘密利益重合
我國《刑法》在各章節分別制定了侵犯國家秘密、軍事秘密和商業秘密犯罪,但是以上三種秘密往往是以電子方式儲存的,被侵犯的方式也相似,秘密利益與數據的機密性出現了高度一致。值得注意的是,《刑法》各章節在製定侵犯三種秘密犯罪時都強調了不同的構成要件,如非法獲取國家秘密要求以竊取、刺探、收買方式獲得,非法獲取軍事秘密要求利用職務之便或以非法手段,侵犯商業秘密要求造成重大損失。如果對非法獲取計算機信息系統數據罪中的數據和秘密性利益不加區分,容易發生獲取秘密性利益不符合上述三類罪的特定構成要件,用非獲罪加以兜底的情況。該情況則會導致該罪的擴張與變異,也有違罪刑法定原則的要求。
3.與網絡知識產權重合
知識產權保護的是人類智力成果和經營活動中的標記,而網絡是人類智力成果的記載方式之一,因而非獲罪保護的數據和網絡知識產權具有重合性。如有學者研究過,以非獲罪處罰的犯罪行為中不乏:盜竊網絡遊戲源代碼予以銷售或者搭建網絡遊戲牟利、非法破解、修改、控制域名並出售、盜竊網絡課堂教學視頻和公司設計圖紙等行為。以上幾種行為侵犯的數據的突出特性是智力成果性,均可用知識產權法規和刑法中知識產權類犯罪規制,無需納入非法獲取計算機信息系統數據罪的數據保護範圍。
4.與虛擬財產重合
網絡虛擬財產從物質形態上看,是以數字化的數據形態被生成和存在於網絡服務器的虛擬空間之中,並可以為網絡使用者通過一定的程序,以數字化的形態在網絡間轉移、支配使用的電磁信息。 2016 年最高人民法院研究室作出的《關於利用計算機竊取他人遊戲幣非法銷售獲利如何定性問題的研究意見》指出,對利用計算機竊取他人遊戲幣非法銷售獲利的行為,宜以非法獲取計算機信息系統數據罪定罪處罰。但問題是,虛擬財產本質上就是電磁數據,但是作為虛擬財產,其不同於一般數據的特點就是財產性,具有經濟價值。結合前文論述非法獲取計算機信息系統數據罪的立法目的主要是保障計算機信息數據安全,而非公私財物,因此非法獲取虛擬財產的行為難以認定為非法獲取計算機信息系統數據罪。
(三)對非法獲取計算機信息系統數據罪中的“數據”限縮
信息安全的範疇非常廣,前文也已經論述過,由於我國《數據安全法》對於“數據”的定義是廣義的,導致在運用中“數據”一詞可能與個人信息、秘密性利益、網絡知識產權、虛擬財產等概念發生重合或衝突。如果採取此類廣義解釋,可能會導致非法獲取計算機信息系統數據罪不可避免地淪為口袋罪,應當將此罪名限制為單純的針對計算機信息數據的犯罪,盡量與其他法益做區分。結合該罪名的立法目的和數據的特性,應當認為該罪名立足互聯網安全,保護的是以電子方式記錄的具有機密性、完整性和可用性特徵的數據。機密性指不被他人知曉,完整性指不被刪改,可用性指用戶針對該數據有在互聯網使用的利益,如金融賬戶登錄後可以開展金融交易,APP賬戶登錄後可以享有APP提供的服務。如果數據的其他屬性,如智力成果性或財產性更為突出,則應當考慮他種罪名保護。
三.盜竊虛擬貨幣不應以非法獲取計算機信息系統數據罪定罪處罰
在前文中已經鋪墊過,虛擬財產不能直接等同於非獲罪中的數據,下文也將回歸本文重點,討論盜竊虛擬貨幣應當以哪一罪名追究。本文探討的虛擬貨幣,是依據特定算法,通過大量計算產生的,具有流通性、匿名性和去中心化特徵的數字貨幣,如比特幣、泰達幣等。 2013年12月3日中國人民銀行等五部委《關於防範比特幣金融風險的通知》規定“從性質上看,比特幣應當是一種特定的虛擬商品。”這是首次以部門規章的形式正向肯定了比特幣的“虛擬商品”屬性。此後的法律法規延續了這一觀點,即使虛擬貨幣交易被認定為非法,也沒有否定其商品屬性。因此,虛擬貨幣作為虛擬經濟的一部分,當然具有財產價值。
(一)虛擬貨幣的財產性特徵與數據性特徵對比
虛擬貨幣作為虛擬財產屬於廣義的數據,但應與數據相區別。 《民法典》第一百二十七條規定:法律對數據、網絡虛擬財產的保護有規定的,依照其規定。將虛擬財產和數據作為兩個並列的概念。數據,前文已經指出,是指任何以電子或者其他方式對信息的記錄。從廣義上講,虛擬貨幣作為電磁記錄,依託於計算機信息技術,也屬於數據的一種。但是,將網絡虛擬財產的本質界定為二進制代碼的數據屬性觀念,只認識到虛擬財產的表面,因為任何由計算機系統記錄的信息都屬於數據,在互聯網時代數據的範圍太過廣闊了,如電子銀行APP記載的餘額本質也是數據。但認定虛擬貨幣的財產屬性較數據私密性、完整性和可用性屬性更為顯著的原因在於它存在一個內在的調整機制,即虛擬經濟系統,並推演出虛擬財產的交換價值和使用價值。當前各國網絡虛擬財產糾紛涉及虛擬財產買賣、繼承、稅收、虛擬貨幣投機、虛擬財產盜竊與詐騙等,而這些糾紛是虛擬財產的數據屬性所無法解決的。這也是我國《民法典》中將數據和虛擬財產並列的意在突出虛擬財產的特殊屬性的原因。在上文已結合非法獲取計算機信息系統數據罪的立法背景和司法解釋探討過,該罪所侵害的是數據管理安全,而盜竊罪侵害的是財產權益。因此,將數據限縮在管理安全的基礎上,虛擬貨幣依照其財產屬性,自然不成為該罪的規制對象。
(三)盜竊虛擬貨幣應當以盜竊罪定性量刑
銀行APP的資金、股票賬戶的股票、微信錢包的餘額,都是計算機信息系統數據,但如果竊取上述他人賬戶內的財物,都被認定為盜竊罪。在盜竊虛擬財產的犯罪行為中,表面上是獲取“計算機信息系統數據”。但對於虛擬財產來說,網絡數據卻是財產的載體。所以,在通常情況下,“獲取數據”本身不是盜竊的犯罪目的,竊取行為的根本目的還是獲得他人具有經濟價值的虛擬財產,目的是侵害他人對虛擬財產的所有權而非“數據”本身。另外,如果為了將虛擬貨幣界定為非法,就否認其經濟價值,將盜竊行為以非法獲取計算機信息系統數據罪處理,那詐騙行為、搶劫行為又該如何規制?就像毒品雖然非法,但為了規制竊取行為仍然將其認定為犯罪,只不過在數額計算上依靠犯罪情節計算。因此,將非法獲取計算機信息系統數據罪中的數據限於具有機密性、完整性、可用性的電子數據,保障互聯網安全,將虛擬貨幣的財產性放在其應有的地位保護,才有利於整個刑法保障體系的構建。
四.結論
綜上所述,非法獲取計算機信息系統數據罪立法目的就是保障互聯網信息安全,而如果對該罪保護的數據做廣義解釋,則可能導致此罪名與侵犯個人信息類、知識產權類、秘密性利益類犯罪界線不分,從而走向異化,因此宜對此罪名做限縮解釋。在限縮數據定義的情況下,虛擬貨幣雖然兼具數據性與財產性的雙重特點,卻因為財產性更為突出且值得保護,而被定義為刑法上的財物。這樣盜竊虛擬貨幣的行為,就應當用盜竊類犯罪規制,從而更好地打擊實務中屢禁不絕的盜幣行為。
參考文獻
[1]黃太雲:《刑法修正案(七)解讀》,載《人民檢察》2009年第6期,第5-27頁。
[2]皮勇:《我國網絡犯罪刑法立法研究—兼論我國刑法修正案(七)中的網絡犯罪立法》,載《河北法學》2009年第6期,第49-57頁。
[3]郭旨龍:《非法獲取計算機信息系統數據罪的規範結構與罪名功能——基於案例與比較法的反思》,載《政治與法律》2021年第1期,第64-76頁。
[4]楊志瓊:《非法獲取計算機信息系統數據罪“口袋化”的實證分析及其處理路徑》,載《法學評論》2018年第6期,第163-174頁
[5]李遐楨:《論盜竊虛擬財產的定性》,載《河北法學》2012年第11期,第30-35頁。
作者簡介
劉 揚
北京德恒律師事務所合夥人、刑委會副秘書長、執業律師。北京大學軟件工程碩士。從事法律工作十五年,主要從事網絡、區塊鍊和數字科技與金融交織的細分領域刑事業務,網絡安全應急技術國家工程實驗室數據安全諮詢專家(國家級重點實驗室),北京計算機學會網絡空間安全與法務專委會副秘書長(楊芙清院士任學會會長),北京大學軟件與微電子學院校友會理事。
李冰倩
北京德恒律師事務所實習生李冰倩,本科就讀於中國政法大學法學專業,對本文亦有貢獻。