引入:關于盜竊虛擬數字貨幣究竟應當以盜竊罪規制還是以非法獲取計算機信息系統數據罪規制,近年來一直是學界研討的熱門問題。該問題之所以產生,是因為虛擬貨幣作為信息技術發展的產物,兼具數據和財產的特點,因而表面上均符合二罪的法益保護范圍。但問題是,非法獲取計算機信息系統罪的立法初衷就是保護“計算機信息系統中存儲、處理或者傳輸的數據”,而虛擬貨幣雖然具有數據的特性,但是與該罪名的立法目的不相符合。如果我們能重新審視在實務中被作為兜底罪名使用的非法獲取計算機信息系統罪,討論該罪名的實質規制范圍,則盜竊虛擬數字貨幣究竟應當用哪一罪名處罰的問題也迎刃而解了。
一、非法獲取計算機信息系統數據罪的罪名解讀
1997年我國刑法規定了非法侵入計算機信息系統罪和破壞計算機信息系統罪。互聯網信息技術的發展和普及,在促進計算機走進千家萬戶的同時,也催生了網絡犯罪,日益威脅著我國公民的網絡安全。針對實踐中出現的黑客攻擊、網絡病等違法犯罪活動的嚴重威脅,為維護計算機信息系統安全,2009年2月28日全國人大常委會通過的《刑法修正案(七)》增設了非法獲取計算機信息系統數據、非法控制計算機信息系統罪。
(一)立法目的研討
筆者檢索了《刑法修正案(七)》出臺后,人大法工委副主任黃太云對該修正案的解讀,其明確增加非法獲取計算機信息系統數據罪,是源于實踐對于網絡安全的法律保護需要。公共信息安全和網絡監察部門提出,當前,我國計算機網絡安全形勢十分嚴峻。一是計算機系統被植入病、木馬程序,后門、天窗等破壞性程序的案件大幅增加,給網絡安全帶來極大隱患。二是犯罪人員由專業技術人員向普通人群蔓延; 三是計算機病與木馬程序等惡意代碼相結合,以計算機病攜帶木馬程序、間諜軟件進行大規模傳播來非法獲取他人賬號、身份認證信息,進而侵入他人計算機信息系統竊取計算機信息系統數據,或者對計算機信息系統進行遠程控制的案件增長迅猛。法律要與時俱進,回應司法實踐的需要。此前,我國刑法第285條僅對非法侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的行為作了規定,沒有對于一般計算機信息系統的單獨規定,在互聯網商用、逐漸進入普通家庭的信息技術發展大背景下,法律擴展計算機網絡保護范圍,具有緊迫性和必要性。側面說明,該罪名的設立初衷,是為了保障互聯網信息數據安全。
美國IRS正在調查涉嫌從波多黎各稅收優惠中非法獲益的加密交易人員:7月13日消息,美國聯邦稅務局(IRS)正在調查涉嫌從波多黎各稅收優惠中非法獲益的加密交易人員。據此前彭博社報道,這些人可能謊報了自己的居住性質和收入等關鍵因素,不公平地利用稅收優惠。
據悉,自波多黎各在2012年推出新稅收政策以來,超過5000名美國人移居該國,以節省聯邦所得稅。波多黎各稅收政策給予個人100%股息免稅,60%市政稅免稅,而該地區獲得來源收入聯邦稅為零。為獲得減稅資格,新居民必須能夠證明他們每年至少在島上居住183天。[2023/7/13 10:51:40]
(二)司法解釋解讀
1.《解釋》的出臺背景
在《刑法修正案(七)》適用后不久,2011年,最高人民法院、最高人民檢察院聯合發布了《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下簡稱《解釋》)。在答記者問時,官方也解讀了《解釋》的出臺背景“從司法實踐來看,制作傳播計算機病、侵入和攻擊計算機信息系統的犯罪增長迅速,非法獲取計算機信息系統數據、非法控制計算機信息系統的犯罪日趨增多,制作銷售黑客工具、倒賣計算機信息系統數據和控制權等現象十分突出。這些違法犯罪行為具有嚴重的社會危害性,不僅破壞了計算機信息系統運行安全與信息安全,而且危害了國家安全和社會公共利益,侵害了公民、法人和其他組織的合法權益。”司法解釋對于法規的闡釋,再次表明非法獲取計算機信息系統數據罪針對的是對于計算機信息系統數據本身的犯罪,而不是將互聯網信息數據用做犯罪手段實施的傳統犯罪,該罪的立法目的是保障計算機信息系統運行與安全。
2.《解釋》中對非獲罪“情節嚴重”的規定
細讀該《解釋》,非獲罪入罪要求達到“情節嚴重”,具體而言為,下列情形之一的,應當認定為刑法第二百八十五條第二款規定的“情節嚴重”:(一)獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上的;(二)獲取第(一)項以外的身份認證信息五百組以上的;(三)非法控制計算機信息系統二十臺以上的;(四)違法所得五千元以上或者造成經濟損失一萬元以上的;(五)其他情節嚴重的情形。對上述條款進行逐一分析,非獲罪的入罪標準主要是根據盜取信息數據的種類和數量及損失計算的。首先,網絡金融服務的身份認證信息關乎到人民群眾的財產安全,因而應當額外保護,因此獲取十組以上就構罪;其次,除網絡金融服務信息外,其他身份認證信息同樣關乎數據安全,非法獲取五百組以上即入罪。最后,還有兜底條款,這里的“其他嚴重情節”中的行為要與前述非法獲取身份認證信息的行為具有等值性,才能被刑法處罰。
韓國檢察官起訴20人因加密貨幣泡菜溢價非法獲利1.7億美元:金色財經報道,韓國檢察官于1月18日起訴20人非法匯出約4萬億韓元(約合32億美元)的海外匯款,并從加密貨幣泡菜溢價中非法獲利高達2100億韓元(約合1.7億美元)。被告人利用 256 個韓國銀行賬戶偽裝成外貿付款將資金轉移到其他國家并購買加密貨幣,隨后在韓國以高價出售了加密貨幣。據稱,這些非法交易發生在2021年1月至2022年8月,期間泡菜溢價率高達5%,檢察官目前正在努力沒收 131 億韓元(約合 1060 萬美元)的非法所得。[2023/1/19 11:21:35]
3.虛擬貨幣與情節嚴重條款的對應情況
總的來看,司法解釋表明非獲罪主要保護的是身份認證信息等關乎用戶互聯網信息安全的信息數據。具體到虛擬貨幣,首先,《解釋》第十條稱本解釋所稱“身份認證信息”,是指用于確認用戶在計算機信息系統上操作權限的數據,包括賬號、口令、密碼、數字證書等。本文所探討的重點虛擬貨幣屬于電磁數據,但并不屬于賬號、密碼等操作權限資格。也許有觀點會認為,盜竊虛擬貨幣需要以獲取他人平臺交易賬戶和密碼為前提,因此保護金融交易賬戶和密碼就是保護財產權益。先不論,身份認證信息和通過認證信息取得的財產是兩個值得保護的法益,不能混為一談。就說事實上,盜竊虛擬貨幣也不一定以盜竊賬戶身份認證信息為必要,如比特幣交易只認私鑰,如果私鑰泄露后被他人取得并獲得虛擬貨幣,則損失依然會產生,因此該條不符合。其次,用“違法所得”、“經濟損失”和兜底條款讓盜竊虛擬貨幣入罪也有個前提,即虛擬貨幣屬于非法獲取計算機信息系統數據罪中的數據,而后文將詳細論述該罪的規制范圍,并厘清此罪保護的數據與虛擬貨幣的區別。
二.非法獲取計算機信息系統數據罪中的“數據”外延
前文已經明確,非法獲取計算機信息系統數據罪實際上是為了保障用戶互聯網信息數據安全而設立。對非法獲取計算機信息系統罪的構成要件展開分析,有以下特點:第一,本罪名作為刑法285條的補充,本罪擴大了受刑法保護的計算機信息系統的范圍,即國家事務、國防建設、尖端科學技術領域之外的計算機信息系統;第二,本罪的犯罪行為是違反國家規定,侵入或者用其他技術手段獲取計算機信息;第三,本罪的犯罪客體是計算機信息系統及其中數據的安全,犯罪對象僅限于使用中的計算機信息系統中存儲、處理、傳輸的數據,脫離計算機信息系統存放的計算機數據,如光盤、優盤中的計算機數據不是本罪的保護對象。這里的數據,不限于計算機系統數據和應用程序,還包括權利人存放在計算機信息系統中的各種個人信息。以上信息均表明非獲罪的保護對象是計算機數據,因此需要對“數據”一詞進行界定。
美國地方法院法官裁定Kraken前雇員沒有非法獲取商業機密:美國一位聯邦法官裁定,一名透露加密貨幣交易所Kraken所在地的雇員沒有非法獲取交易所商業秘密。根據9月22日提交的法院記錄,美國地方法院法官Maxine M. Chesney已駁回了Payward Inc.(Kraken的所有者)針對前雇員Nathan Peter Runyon提起的訴訟。該訴訟指控Nathan Peter Runyon非法獲取“商業機密”,公開了交易所在舊金山的物理地址,并訪問了該公司受保護的電腦。法官裁定,Payward沒有指控Runyon使用該地址來獲取經濟利益,也沒有包括訪問該計算機給Payward造成了“任何數額的損害或損失”的事實。(Cointelegraph)[2020/9/24]
(一)計算機信息數據的定義
我國現行關于計算機信息數據的立法包括但不限于《關于維護互聯網安全的決定》、《數據安全法》、《中華人民共和國計算機信息系統安全保護條例》等法律法規。2000 年全國人大常委會《關于維護互聯網安全的決定》第四條第二項規定禁止“非法截獲、篡改、刪除他人電子郵件或者其他數據資料”,其目的是為了保護“公民通信自由和通信秘密”。2021年的《數據安全法》第三條規定“本法所稱數據,是指任何以電子或者其他方式對信息的記錄。”,而“數據安全”是指“通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。”。根據上述法律法規,數據是指任何以電子或者其他方式對信息的記錄。
(二)非法獲取計算機信息系統數據罪的“數據”外延
如果按照上文的定義,則只要是用電子或其他方式對信息的記錄,都屬于數據。但事實上,大數據背景下互聯網已經變成了一種信息存儲方式,如果用上述概念界定非法獲取計算機信息數據罪中值得保護的數據,則幾乎所有通過互聯網儲存的信息都包含在內,包括但不限于個人信息、虛擬財產、商業秘密和知識產權等權益。如果不對此加以區分,不僅會導致罪與罪之間的界限不明,而且會導致非法獲取計算機信息系統數據罪淪為一個口袋罪名。
1.與個人信息重合
在《刑法》中,不僅存在針對計算機數據類犯罪,還有針對公民個人信息類犯罪。《刑法修正案(七)》的出臺,在增加了非法獲取計算機信息系統數據罪的同時,還增加了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪。在以非法獲取計算機信息系統數據的方式侵害公民個人信息的案件中,犯罪對象的表現形式是計算機信息數據,但實際承載的是個人信息。《中華人民共和國個人信息保護法》中,將“個人信息”界定為“是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。”從中看出,公民的個人信息的內涵與前述《數據安全法》中的數據存在一定的重合。尤其是結合《解釋》中,對于“身份認證信息”的界定,身份認證信息與個人信息密切相關,都具有可識別性。因此,有學者認為《數據安全法》規定的是信息與數據一體化的“廣義數據”,從總體上保護和規制所有“有信息價值”的數據及其相關行為。《個人信息保護法》則是特別法,在數據保護中對提取“個人信息”進行特殊保護。如果不對此加以規范說明,會在個案適用中,導致法條的重合。
動態 | 安全公司:NSABuffMiner挖礦木馬霸占校園服務器 已非法獲利115萬元:近日,騰訊智慧安全御見威脅情報中心接到用戶反饋,稱學校內網水卡管理服務器頻繁出現崩潰情況。經檢測發現,該學校內網水卡管理服務器遭rundllhost.exe挖礦木馬入侵,屬于NSASrvanyMiner挖礦木馬的變種,利用NSA武器工具在內網攻擊傳播。由于該服務器存在未修復的ms17-010漏洞,因此受到攻擊被利用挖礦。截至目前,NSABuffMiner挖礦木馬已挖礦獲得門羅幣1217個,非法獲利高達115萬元人民幣。[2018/9/25]
2.與秘密利益重合
我國《刑法》在各章節分別制定了侵犯國家秘密、軍事秘密和商業秘密犯罪,但是以上三種秘密往往是以電子方式儲存的,被侵犯的方式也相似,秘密利益與數據的機密性出現了高度一致。值得注意的是,《刑法》各章節在制定侵犯三種秘密犯罪時都強調了不同的構成要件,如非法獲取國家秘密要求以竊取、刺探、收買方式獲得,非法獲取軍事秘密要求利用職務之便或以非法手段,侵犯商業秘密要求造成重大損失。如果對非法獲取計算機信息系統數據罪中的數據和秘密性利益不加區分,容易發生獲取秘密性利益不符合上述三類罪的特定構成要件,用非獲罪加以兜底的情況。該情況則會導致該罪的擴張與變異,也有違罪刑法定原則的要求。
3.與網絡知識產權重合
知識產權保護的是人類智力成果和經營活動中的標記,而網絡是人類智力成果的記載方式之一,因而非獲罪保護的數據和網絡知識產權具有重合性。如有學者研究過,以非獲罪處罰的犯罪行為中不乏:盜竊網絡游戲源代碼予以銷售或者搭建網絡游戲牟利、非法破解、修改、控制域名并出售、盜竊網絡課堂教學視頻和公司設計圖紙等行為。以上幾種行為侵犯的數據的突出特性是智力成果性,均可用知識產權法規和刑法中知識產權類犯罪規制,無需納入非法獲取計算機信息系統數據罪的數據保護范圍。
4.與虛擬財產重合
網絡虛擬財產從物質形態上看,是以數字化的數據形態被生成和存在于網絡服務器的虛擬空間之中,并可以為網絡使用者通過一定的程序,以數字化的形態在網絡間轉移、支配使用的電磁信息。2016 年最高人民法院研究室作出的《關于利用計算機竊取他人游戲幣非法銷售獲利如何定性問題的研究意見》指出,對利用計算機竊取他人游戲幣非法銷售獲利的行為,宜以非法獲取計算機信息系統數據罪定罪處罰。但問題是,虛擬財產本質上就是電磁數據,但是作為虛擬財產,其不同于一般數據的特點就是財產性,具有經濟價值。結合前文論述非法獲取計算機信息系統數據罪的立法目的主要是保障計算機信息數據安全,而非公私財物,因此非法獲取虛擬財產的行為難以認定為非法獲取計算機信息系統數據罪。
大成律所肖颯:黑客攻擊數字貨幣 至少犯了非法獲取計算機信息系統數據罪:肖颯今日表示,用戶對黑客黑客攻擊不必太過恐慌,即使ICO出口轉內銷,長臂管轄原則適用于世界各國。但目前國家沒有明確的管理身份,尤其是比特幣之外的數字貨幣,相關法律并不明確,不過如果有人像黑客一樣去偷貨幣,就是犯了非法獲取計算機信息系統數據罪。[2018/3/28]
(三)對非法獲取計算機信息系統數據罪中的“數據”限縮
信息安全的范疇非常廣,前文也已經論述過,由于我國《數據安全法》對于“數據”的定義是廣義的,導致在運用中“數據”一詞可能與個人信息、秘密性利益、網絡知識產權、虛擬財產等概念發生重合或沖突。如果采取此類廣義解釋,可能會導致非法獲取計算機信息系統數據罪不可避免地淪為口袋罪,應當將此罪名限制為單純的針對計算機信息數據的犯罪,盡量與其他法益做區分。結合該罪名的立法目的和數據的特性,應當認為該罪名立足互聯網安全,保護的是以電子方式記錄的具有機密性、完整性和可用性特征的數據。機密性指不被他人知曉,完整性指不被刪改,可用性指用戶針對該數據有在互聯網使用的利益,如金融賬戶登錄后可以開展金融交易,APP賬戶登錄后可以享有APP提供的服務。如果數據的其他屬性,如智力成果性或財產性更為突出,則應當考慮他種罪名保護。
三.盜竊虛擬貨幣不應以非法獲取計算機信息系統數據罪定罪處罰
在前文中已經鋪墊過,虛擬財產不能直接等同于非獲罪中的數據,下文也將回歸本文重點,討論盜竊虛擬貨幣應當以哪一罪名追究。本文探討的虛擬貨幣,是依據特定算法,通過大量計算產生的,具有流通性、匿名性和去中心化特征的數字貨幣,如比特幣、泰達幣等。2013年12月3日中國人民銀行等五部委《關于防范比特幣金融風險的通知》規定“從性質上看,比特幣應當是一種特定的虛擬商品。”這是首次以部門規章的形式正向肯定了比特幣的“虛擬商品”屬性。此后的法律法規延續了這一觀點,即使虛擬貨幣交易被認定為非法,也沒有否定其商品屬性。因此,虛擬貨幣作為虛擬經濟的一部分,當然具有財產價值。
(一)虛擬貨幣的財產性特征與數據性特征對比
虛擬貨幣作為虛擬財產屬于廣義的數據,但應與數據相區別。《民法典》第一百二十七條規定:法律對數據、網絡虛擬財產的保護有規定的,依照其規定。將虛擬財產和數據作為兩個并列的概念。數據,前文已經指出,是指任何以電子或者其他方式對信息的記錄。從廣義上講,虛擬貨幣作為電磁記錄,依托于計算機信息技術,也屬于數據的一種。但是,將網絡虛擬財產的本質界定為二進制代碼的數據屬性觀念,只認識到虛擬財產的表面,因為任何由計算機系統記錄的信息都屬于數據,在互聯網時代數據的范圍太過廣闊了,如電子銀行APP記載的余額本質也是數據。但認定虛擬貨幣的財產屬性較數據私密性、完整性和可用性屬性更為顯著的原因在于它存在一個內在的調整機制,即虛擬經濟系統,并推演出虛擬財產的交換價值和使用價值。當前各國網絡虛擬財產糾紛涉及虛擬財產買賣、繼承、稅收、虛擬貨幣投機、虛擬財產盜竊與詐騙等,而這些糾紛是虛擬財產的數據屬性所無法解決的。這也是我國《民法典》中將數據和虛擬財產并列的意在突出虛擬財產的特殊屬性的原因。在上文已結合非法獲取計算機信息系統數據罪的立法背景和司法解釋探討過,該罪所侵害的是數據管理安全,而盜竊罪侵害的是財產權益。因此,將數據限縮在管理安全的基礎上,虛擬貨幣依照其財產屬性,自然不成為該罪的規制對象。
(三)盜竊虛擬貨幣應當以盜竊罪定性量刑
銀行APP的資金、股票賬戶的股票、微信錢包的余額,都是計算機信息系統數據,但如果竊取上述他人賬戶內的財物,都被認定為盜竊罪。在盜竊虛擬財產的犯罪行為中,表面上是獲取“計算機信息系統數據”。但對于虛擬財產來說,網絡數據卻是財產的載體。所以,在通常情況下,“獲取數據”本身不是盜竊的犯罪目的,竊取行為的根本目的還是獲得他人具有經濟價值的虛擬財產,目的是侵害他人對虛擬財產的所有權而非“數據”本身。另外,如果為了將虛擬貨幣界定為非法,就否認其經濟價值,將盜竊行為以非法獲取計算機信息系統數據罪處理,那詐騙行為、搶劫行為又該如何規制?就像雖然非法,但為了規制竊取行為仍然將其認定為犯罪,只不過在數額計算上依靠犯罪情節計算。因此,將非法獲取計算機信息系統數據罪中的數據限于具有機密性、完整性、可用性的電子數據,保障互聯網安全,將虛擬貨幣的財產性放在其應有的地位保護,才有利于整個刑法保障體系的構建。
四.結論
綜上所述,非法獲取計算機信息系統數據罪立法目的就是保障互聯網信息安全,而如果對該罪保護的數據做廣義解釋,則可能導致此罪名與侵犯個人信息類、知識產權類、秘密性利益類犯罪界線不分,從而走向異化,因此宜對此罪名做限縮解釋。在限縮數據定義的情況下,虛擬貨幣雖然兼具數據性與財產性的雙重特點,卻因為財產性更為突出且值得保護,而被定義為刑法上的財物。這樣盜竊虛擬貨幣的行為,就應當用盜竊類犯罪規制,從而更好地打擊實務中屢禁不絕的盜幣行為。
參考文獻
黃太云:《刑法修正案(七)解讀》,載《人民檢察》2009年第6期,第5-27頁。
皮勇:《我國網絡犯罪刑法立法研究—兼論我國刑法修正案(七)中的網絡犯罪立法》,載《河北法學》2009年第6期,第49-57頁。
郭旨龍:《非法獲取計算機信息系統數據罪的規范結構與罪名功能——基于案例與比較法的反思》,載《與法律》2021年第1期,第64-76頁。
楊志瓊:《非法獲取計算機信息系統數據罪“口袋化”的實證分析及其處理路徑》,載《法學評論》2018年第6期,第163-174頁
李遐楨:《論盜竊虛擬財產的定性》,載《河北法學》2012年第11期,第30-35頁。
作者簡介
劉 揚
北京德恒律師事務所合伙人、刑委會副秘書長、執業律師。北京大學軟件工程碩士。從事法律工作十五年,主要從事網絡、區塊鏈和數字科技與金融交織的細分領域刑事業務,網絡安全應急技術國家工程實驗室數據安全咨詢專家(國家級重點實驗室),北京計算機學會網絡空間安全與法務專委會副秘書長(楊芙清院士任學會會長),北京大學軟件與微電子學院校友會理事。
李 冰 倩
北京德恒律師事務所實習生李冰倩,本科就讀于中國政法大學法學專業,對本文亦有貢獻。
金色財經
金色早8點
Odaily星球日報
Arcane Labs
澎湃新聞
歐科云鏈
深潮TechFlow
MarsBit
BTCStudy
鏈得得
作者:Terry 2 月 5 日,a16z 向 BNB Chain 上部署 Uniswap V3 的最終提案提出反對票,導致 Uniswap 登陸 BNB Chain 的計劃擱淺.
1900/1/1 0:00:00撰文:nanfengpo,Opside 聯合創始人關于 PoS & PoW 的混合共識Native Rollup 是一個基于 zk 的 Layer 3 擴容解決方案.
1900/1/1 0:00:00原文:Current Ethereum作者:@LuozhuZhang翻譯:Franci, ECN文章概述了以太坊目前開發工作的重心,并整理出了關鍵升級的路線圖和時間線.
1900/1/1 0:00:00撰文:Zeneca_33 編譯:DeFi 之道 我最近的一條推文似乎引起了 NFT 社區很大一部分人的共鳴.
1900/1/1 0:00:00作者:阿法兔研究筆記 1.1首先,討論Nostr協議最近大火的Damus,是建立在Nostr協議的一個應用,主要是以去中心化的社交場景(你把它理解為去中心化的Twitter)即可.
1900/1/1 0:00:00▌以太坊聯合創始人Joe Lubin:ETH不可能被歸類為證券金色財經報道,以太坊聯合創始人兼ConsenSys的創始人Lubin表示,以太坊不可能被歸類為美國的一種證券.
1900/1/1 0:00:00