针对被告人吴冰利用充值系统漏洞,篡改系统数据从而非获取游戏币的行为应如何定性,形成了破坏计算机信息系统罪和非法获取计算机信息系统数据罪两种意见
随着科技进步,信息网络已经是社会生活的必需领域,网络支付、游戏币、VIP、用户权限等名词已经成为当今社会生活的一部分。各大网络平台几乎都有充值平台,进而获取VIP权限、游戏币等高级使用权限、功能等。
既然是系统、网络,就必定会出现漏洞,所以我们使用的所有APP等均会不定期进行更新。然而就在漏洞没有被后台操作人员发现或者即使弥补时,就很可能出现数据错误的情况,充值数据错误、权限期延长等情况屡见不鲜。
笔者通过案例、百度等渠道检索发现,借助系统漏洞充值,进而获取高于充值规则指定数量的游戏币、虚拟货币、点卡(以下统称为虚拟货币)等方式被追责的案件数不胜数,但罪名却莫衷一是,大部分被认定为盗窃罪,其次是诈骗罪,少部分被认定为非法获取计算机信息系统数据罪。
作为法律人、刑辩律师而言,我们迫切希望对此种犯罪类型,要统一法律适用及定罪量刑。针对如此差别的定罪结果,究其缘由:“网币”究竟为哪般“怪物”,何以让各地法院认定上出现如此之差别?
游戏币,虚拟货币的一种,只存在于游戏的虚拟世界里,本身只是游戏程序的一项数据。其货币单位五花八门,取决于游戏本身,不同的游戏其游戏币都不通用,不具有普遍的社会流通作用。游戏玩家使用游戏币在游戏中产生买卖行为,买卖对象一般为武器、装备、宝物、宠物、材料、宝宝、技能等等。在有些游戏里存在绑定金币和非绑定金币,作用不大相同。知名的虚拟货币如百度公司的百度币、腾讯公司的Q币,Q点、盛大公司的点券,新浪推出的微币(用于微游戏、新浪读书等),侠义元宝(用于侠义道游戏),纹银(用于碧雪情天游戏),2013年流行的数字货币有,比特币、莱特币、无限币、夸克币、泽塔币、烧烤币、便士币(外网)、隐形金条、红币、质数币。全世界发行有上百种数字货币。圈内流行比特金、莱特银、无限铜、便士铝的传说。......
首先,虚拟货币是在计算机技术领域,数据的生成、复制、传输通常是即时完成,游戏币等虚拟货币更是只要程序设置完毕,即可以无限产出,而非需要像实体的购物磁卡一样先行制作出来。虚拟货币这种数据的本质是一种赋予玩家、用户权限的口令密码,持有了游戏币就等于获取了一定的权限,可以在游戏中享有相应的权能。非法生成、复制、传输游戏币的行为,本质上是一种非法获取权限,并非法使用该权限的行为。这种权限的载体就是游戏币这种口令密码,它本质上是一种经过信息系统所预先设定并认可的数据,只不过在计算机系统中,数据未必像现实世界中的财物一样事先存在,也可以是系统根据设定即时生成的。因此,利用信息系统漏洞获取的虚拟货币口令码,不属于现实的财产性利益。即使获取后进行倒卖、转让的行为,也属于非法获取数据后的销赃行为,即事后不可罚行为。
其次,仅利用系统漏洞获取数据,而未实施对计算机信息系统中“数据”和“应用程序”的“删除、修改、增加”,未对信息系统造成破坏,我们就不能将利用系统漏洞的行为不当的扩大解释为破坏行为。被告人吴冰的行为并非破坏计算机信息系统,而是非法获取游戏币,以期享有这些游戏中所附着的利益。如在游戏中使用了一部分游戏币,并将一部分游戏币出售牟利,这些行为进一步证实,并未破坏该游戏所在的计管机信息系统,否则其获得游戏币之后也将无法使用或牟利。
最后,针对该类案件,我们必须深刻探析案涉虚拟货币的性质,是否直接具有人民币属性,是否为计算机数据口令,是否会直接导致被害平台产生对应数额的财产损失,如果只会产生平台内部权限、虚拟货币数量的变化,而不会产生直接对应人民币数额的损失,也就不能认定为盗窃或者诈骗犯罪,只能认定为非法获取计算机信息系统数据罪。当然,如果直接利用系统漏洞获取支付连接,而产生具有普遍的社会流通属性的直接支付功能连接,亦或是直接可以获取法定货币属性的连接,那么可认定为盗窃等侵财类犯罪。
上述观点同最高人民法院《刑事审判参考》第130辑,第1459号指导案例——吴冰非法获取计算机信息系统数据案。
指导案例
吴冰非法获取计算机信息系统数据案
——利用游戏系统漏洞非法充值行为的定性
一、基本案情
被告人吴冰,男,汉族,1988年×月×日出生。2014年12月12日被逮捕。
北京市海淀区人民检察院指控被告人吴冰犯破坏计算机信息系统罪,向北京市海淀区人民法院提起公诉。
被告人吴冰对指控事实无异议。吴冰的辩护人提出,检察机关指控罪名有误,吴冰的犯罪对象是虚拟财产,法律属性为计算机信息系统数据,吴冰实施的实际上是非法获取计算机信息系统数据的行为,且其行为未影响到游戏中的其他玩家,不构成破坏计算机信息系统罪。吴冰系初犯,有坦白、悔罪情节,已赔偿被害单位损失,取得被害单位谅解,请求从轻减轻处罚,并适用缓刑。
北京市海淀区人民法院经公开审理查明:2014年8月,被告人吴冰在其位于浙江省富阳市康达南路的家中,发现北京麒某文化股份有限公司(以下简称麒某公司)旗下的网络游戏《画皮世界》的充值系统存在漏洞,可利用火狐浏览器及相关插件对该系统数据进行修改,致使充入0.01元人民币即可获得5000游戏币(游戏内规则为充值1元人民币获得1游戏币)。2014年8月至9月,吴冰利用上述漏洞进行反复操作,多向n100001、n100002、panjunyou、zhixinyao01、xingbakeO1、newbee001、mujin01、 newbeeqq八个《画皮世界》游戏账号充值,并通过他人在互联网上变卖上述账号内的部分游戏币,获利人民币2.1万元。
被告人吴冰于2014年11月6日被公安机关抓获归案,后如实供述了上述犯罪事实。在本案审理期间,吴冰在家属帮助下,赔偿被害单位麒某公司人民币2.1万元,获被害单位谅解。
北京市海淀区人民法院认为,被告人吴冰违反国家规定,非法获取计算机信息系统中存储、处理的数据,且通过变卖非法获取的部分数据,违法所得人民币2.1万元,情节严重。其行为的本质在于非法获取计算机信息系统中的数据,继而使用部分数据,还通过转移部分数据获利,并非破坏计算机系统功能,其行为已构成非法获取计算机信息系统数据罪。检察院指控吴冰犯罪的事实清楚,证据确实、充分,但指控罪名有误,依法予以更正。鉴于吴冰到案后如实供述自己的罪行,认罪悔罪,积极赔偿被害单位损失,获其谅解,对其依法从轻处罚。依照刑法第一百八十五条第二款、第六十七条第三款、第五十二条、第六十四条之规定,判决如下:
一、被告人吴冰犯非法获取计算机信息系统数据罪,判处有期徒刑一年九个月,并处罚金人民币五千元;
二、追缴被告人吴冰违法所得人民币二万一千元予以没收。
一审宣判后,被告人未上诉,公诉机关亦未抗诉。判决已发生法律效力。
二、主要问题
破坏计算机信息系统罪与非法获取计算机信息系统数据罪如何区力
三、裁判理由
本案中的游戏币是一种虚拟财产,其性质实质上是电磁记录,即电子数据。针对被告人吴冰利用充值系统漏洞,篡改系统数据从而非获取游戏币的行为应如何定性,形成了破坏计算机信息系统罪和非法获取计算机信息系统数据罪两种意见。
第一种意见认为,根据刑法第二白八十六条第二款的规定,破坏计切信息系统罪中的破坏,开不要求导致信息系统功能受损或者首先,只要是对信息系统中存储、处理或者传输的数据和应用程序进行了删修改、增加的操作,造成了严重后果,就是破坏。而且本案的游戏币并非早已存储在被侵害的计算机信息系统之中,被告人吴冰并不是通过复制、存储、传输等方式非法转移占有或者非法获知计算机信自统数据,而是通过非法侵入、篡改的方式,在被害的信息系统中人为地生成非法数据。本案行为不符合非法获取计算机信息系统数据的犯罪特征,而是属于第二百八十六条第二款规定的“修改、增加”行为,符合破坏计算机信息系统罪的行为特征,应当认定为破坏计算机信息系统罪。
第二种意见则认为,本案并未破坏游戏系统功能,仅是非法获取计算机信息系统数据,应当认定为非法获取计算机信息系统数据罪。
我们赞同第二种意见,破坏计算机信息系统罪必须是对系统功能的破坏,本案只能认定为非法获取计算机信息系统数据罪。具体理由如下:
(一)破坏计算机信息系统罪的本质在于损害了信息系统的功能
刑法第二百八十六条第二款规定:“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。”这里的对“数据”和“应用程序”的“删除、修改、增加”,必须对计算机信息系统功能达到损害的程度,而且该程度是持续性的。如果不把握这一关键点,很可能导致对法条进行不恰当的扩大解释,把类似于向他人邮件系统中乱发垃圾邮行为纳入本罪处罚范围,这明显是失当的。被告人吴冰的行为并非破坏计算机信息系统,而是非法获取游戏币,以期享有这些游戏中所附着的利益。吴冰自行在游戏中使用了一部分游戏币,并将一部分游戏币出售牟利,这些行为进一步证实,其行为并未破坏该游戏所在的计管机信息系统,否则其获得游戏币之后也将无法使用或牟利。
(二)本案并无典型的破坏计算机信息系统的行为
被告人利用火狐浏览器及相关插件对该系统数据进行修改并非法充值的行为,虽然在一定程度上是对充值程序的破坏,使其暂时不能正常充值,但该行为并未妨害其他游戏用户的正常充值。本案中对充值系统的所谓“破坏”所波及的范围仅仅限于被告人非法充值当时,而非对个充值系统的持续性破坏。该行为类似于盗窃犯罪中,行为人使用万能钥匙将被害人的房门打开之后实施盗窃行为,之后又将门正常锁上,盗窃行为人并未彻底破坏门锁的功能,也未将被害人的房门敞开不管,其行为的本质并不在于对门锁的破坏,而在于对财物的非法转移占有。而且现有证据也无法证明网络游戏《画皮世界》因为被告人的非法充值行为而导致其他游戏功能受损,影响了其他游戏玩家的正常使用。因而,仅仅基于被告人对充值程序的修改就认定本案构成破坏计算机信息系统罪是不充分的。
(三)非法获取计算机信息系统数据罪所指的数据,并不需要早已存储在信息系统之中
在计算机技术领域,数据的生成、复制、传输通常是即时完成,游戏币等虚拟财产更是只要程序设置完毕,即可以无限产出,而非需要像实体的购物磁卡一样先行制作出来。游戏币这种数据的本质是一种赋予玩家权限的口令密码,玩家持有了游戏币就等于获取了一定的权限,可以在游戏中享有相应的权能。非法生成、复制、传输游戏币的行为,本质上是一种非法获取权限,并非法使用该权限的行为。这种权限的载体就是游戏币这种口令密码,它本质上是一种经过信息系统所预先设定并认可的数据,只不过在计算机系统中,数据未必像现实世界中的财物一样事先存在,也可以是系统根据设定即时生成的。故被告人吴冰利用系漏洞非法获取游戏币的行为,可以认为是非法获取了计算机信息系统数据。
综上,法院判决认定被告人的行为构成非法获取计算机信息系统数据罪,是适当的。
(撰稿;北京市海淀区人民法院吴扬传
审编:最高人民法院刑二庭王晓东)