赵正武 北京尚权律师事务所实习律师 经济犯罪研究与辩护部副主任 武汉大学刑法学硕士
前文回顾:接电话+到现场=聚众斗殴罪既遂?
话说行为人赵某经过辩护律师一通化腐朽为神奇的辩护操作,在审查起诉阶段被不起诉,逃过一劫。曾经的兄弟们都去服刑了,赵某失去了组织,失去了人生的方向,整天窝在网吧里打网络游戏。
一个偶然的机会,赵某结识了小武,小武问赵某有没有兴趣倒卖游戏账号,赵某一想,我以前像个地痞流氓一样到处收保护费真是低端,现在我干这个好歹跟因特莱特沾点边,出去吹个牛也气派!最近网游玩得太上头,钱都充点券买装备了,手头确实有点紧。于是,赵某开始花钱收购小武等人提供的游戏账号,然后再自行寻找买家接盘,赚取差价。就这样,赵某又一次走在了老路上,在犯罪的边缘疯狂试探。
不干则已,一干才知道,原来这网游账号黑市买卖的行当,早已形成一条产业链。做过四五单以后,赵某发现跟自己一样经营倒手环节的同行比比皆是。居安思危,具有忧患意识的赵某开始寻思:“想当年我收保护费时就是那条街上收得最快最齐的仔,今天我也不能被同行比下去……人无我有、人有我优、人优我廉,趁现在还没有卷到价格战的地步,我必须先开发点人无我有的新服务!”
赵某发现,由于很多同行办事大条,上家说什么就是什么,卖号时只是照旧背书:“这个号,我跟你讲,89级!里面装备老牛了,什么青釭剑、雪饮刀,应有尽有……犹豫什么?我是你我就买了!”结果玩家买回去发现,吹得天花乱坠,根本子虚乌有。由此整个行业的口碑被搞得很差,这样下去大家以后还怎么做生意?赵某决心从自己做起,有一说一,重振行业风气。于是,每一次赵某从上家接货时,都会认认真真查验一番,自己亲自拿着上家所给的账户密码登录游戏界面,确认等级、装备等卖点真实无误后,再收货进而倒卖。
可惜,好景不长,赵某刚赚得六千块钱,与众多同行便纷纷被捕。赵某发现,自己和同行都被指控了掩饰、隐瞒犯罪所得罪,可唯独自己还多背了一个罪名,叫什么非法获取计算机信息系统数据罪。赵某长叹:盗亦有道,我做点生意兢兢业业,比同行更老实本分,这也要处罚?
检察院认为,赵某在本案中分别构成非法获取计算机信息系统数据罪和掩饰、隐瞒犯罪所得罪,应予数罪并罚。
那么问题来了,只是因为在登录界面多看了一眼的赵某,究竟是否构成非法获取计算机信息系统数据罪?
关于本案,最基本的判断是不应数罪并罚。那么,不应数罪并罚的原因是赵某的登录查看行为根本不构成非法获取计算机信息系统数据罪,还是前行为应作为一个事前不可罚的行为被后续销赃犯罪所吸收?后一思路也有一定探讨价值,本文在此仅讨论前一思路。
直觉是,登录查看行为应不能构成非法获取计算机信息系统数据罪。那么下一步就需要为出罪直觉寻找依据。
首先来看法条,《刑法》第285条第1款、第2款规定了:
【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
继续看司法解释,两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释【2011】19号,2011年9月1日起施行)第1条第1款规定:
非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:
(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(二)获取第(一)项以外的身份认证信息五百组以上的;
(三)非法控制计算机信息系统二十台以上的;
(四)违法所得五千元以上或者造成经济损失一万元以上的;
(五)其他情节严重的情形
继续往下看,发现有惊喜,该司法解释第7条第1款规定:
明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒,违法所得五千元以上的,应当依照刑法第三百一十二条第一款的规定,以掩饰、隐瞒犯罪所得罪定罪处罚。
看到第7条规定,按理说其实已经解决了赵某的定罪问题,但是,如果站在辩方的对立面,要在第7条的基础上继续维护起诉书既有的指控,仍然可以强行解释:第7条确实说了收购数据的行为应以掩饰、隐瞒犯罪所得罪定罪,但本案中赵某在收购行为之前还有一个登录查看行为,对此仍应予以评价。
事实上,检察院也确实是指控赵某构成了两个罪名。所以,我们仍然需要正面解决为何赵某的登录查看行为不构成非法获取计算机信息系统数据罪这一问题。
回到司法解释第1条中的入罪门槛,一一涵摄,会发现有可能的入罪路径包括第(一)、(二)、(四)项以及第(五)项兜底条款。第(一)、(二)项将计算机信息系统数据具体落脚为“身份认证信息”。因涉及支付结算、证券交易、期货交易等网络金融服务的信息更为重要,故十组以上便可构罪,除此之外的身份认证信息则需要五百组以上。
那到底什么是“身份认证信息”?通读司法解释就会发现,《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条第2款规定:
本解释所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。
(顺带提一下关于“组”的理解——根据最高人民法院喻海松法官发表于《人民司法》2011年第19期的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的理解与适用:
“在司法实践中,要准确把握第一项和第二项规定的一组身份认证信息的概念。所谓一组身份认证信息,是指可以确认用户在计算机信息系统上操作权限的认证信息的一个组合。比如,某些网上银行需要用户名、密码和动态口令就可以转账,那么用户名、密码和动态口令就是一组身份认证信息;有的网上银行除上述三项信息外还需要手机认证码才可以转账,缺一不可,那么这四项信息才能构成一组身份认证信息。但是,对于身份认证信息,特别是密码信息,很多用户有经常更改的习惯,故认定一组身份认证信息不应以在办案过程中是否可以实际登录使用为判断标准,而应结合其非法获取身份认证信息的方法判断该身份认证信息在被非法获取时是否可用为依据。比如,使用木马程序能有效截获用户输入的账号、密码,则不管该密码当前是否可用,只要是使用该木马程序截获的账号、密码,就应认定为一组有效身份认证信息。”)
可见,身份认证信息的表现形式可能多种多样,但其仍有明确限制,必须围绕用以确认用户的操作权限来把握。
很明显,赵某案中所涉及到的游戏等级与装备,并不属于此列。通常而言,游戏等级与装备是系统已然确认完毕用户的操作权限之后才会看到的界面信息,即使之前就可以查看,也与确认用户的操作权限没有关联。
或许正是基于上述原因,检察院的指控最终所适用的是第(四)项中“违法所得五千元以上的”情节,但这又存在另一个明显的问题,就是重复评价。检察院在起诉赵某掩饰、隐瞒犯罪所得罪的同时,又牵强地起诉赵某构成非法获取计算机信息系统数据罪,导致两个罪名构成要件的满足都需要评价一次赵某的违法所得事实,形成对同一事实的重复评价。
从禁止重复评价的角度看,也再一次证明,我们应当公允地解释《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第7条规定,而不能为了定罪穿凿附会、曲解法意。
第7条规定显然是符合法理的。事实上,在还没有注意到第7条的存在时,辩护律师们无论在直觉上还是进一步的讨论中,也已推得相同的处理结论。
遗憾的是,一个或许并不一定需要规定在司法解释中的处理方式,最终出现在了司法解释中,而在司法实践中,仍然没能发挥它统一司法适用的应有作用……
本案的定罪处理已然清晰。但还可以进一步思考,如果本案适用了第(五)项“其他情节严重的情形”的兜底条款,律师应当如何应对?
这是一个较为疑难的问题,因为已经涉及到非法获取计算机信息系统数据罪处罚边界的划定。
该罪处罚边界的模糊性至少源于以下三点:
一是对“非法”的解释,实践中对“违反国家规定”的适用,即使有《刑法》第96条的限定,想要找一个大而化之的原则性规定用以说理,依然没有难度。
二是对“侵入”以及“技术手段”的解释,对此问题,当前的司法实践有日益架空该要素的趋向。(可参考推文《认定非法获取计算机信息系统数据罪的三要素——评“检例第36号”指导案例缺一不可》)
第三,也是在此试图要探讨的,即何为非法获取计算机信息系统数据罪中的“获取”“数据”。
说实话,刚开始接触赵某案不免觉得一头雾水,检察院的指控到底是怎样一种入罪思路,为什么赵某只是多看了一眼也会被入罪?如果看一眼就该当了“获取”“数据”的要素,那便说明“获取”几乎是没有限制的,除了网络中的下载、复制,现实中的手抄、纯肉眼观察记忆,哪怕瞟一眼,也可能电脑被认为属于“获取”。如此“获取”,属实无际……
要尝试去理解指控的思路,再考虑一下“数据”。难道是认为行为人的登录等操作点击行为会引发客户端计算机与服务总台计算机的数据传输互动,所以叫获取了数据?那么发散开去,就赵某的下家而言,如果一个普通的网游玩家在购买时便明知账号来自黑市,他操作买来的账号登录娱乐,由于同样属于实质没有权限的“侵入”,在不考虑罪量要素的情况下,岂不同样也将触犯非法获取计算机信息系统数据罪?
姑且停止漫无边际的发散,来参考一下最高人民检察院发布的两个指导案例。
检例第36号:卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案
抽取其与赵某案的类案事实来讲,大致就是行为人卫梦龙越权登录某公司内部管理开发系统下载了电子数据,然后交由同伙行为人薛冬冬通过互联网出售牟利。
该案要旨明确:
第一,非法获取计算机信息系统数据罪中的“侵入”,是指违背被害人意愿、非法进入计算机信息系统的行为。其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。
第二,侵入计算机信息系统后下载其储存的数据,可以认定为非法获取计算机信息系统数据。
第一点正是在讲上述提及的对于“技术手段”要求的逐渐淡化。由第二点我们至少可以看出,在计算机信息系统上操作下载其所储存的电子数据,可以认为是该罪最为典型的一种“获取”样态。至于其他边缘方式,仍旧不明。
检例第68号:叶源星、张剑秋提供侵入计算机信息系统程序、谭房妹非法获取计算机信息系统数据案
行为人叶源星编写了可批量登录某电商平台的“小黄伞”撞库软件,后行为人谭房妹通过下载使用“小黄伞”撞库软件,获取到某电商平台用户信息2.2万余组。
这是一个行文值得玩味的指导案例。在该案中,由于叶源星的辩护律师提出,叶源电脑星经由“小黄伞”软件所利用的数据都是已然泄露的信息,故其不构成犯罪。因此检察院在补侦之后又作了如下说明:
“通过对谭房妹所有包含某电商平台用户账号和密码的文件进行比对,查明了谭房妹利用‘小黄伞’撞库软件非法获取的某电商平台用户信息文件不仅包含账号、密码,还包含了注册时间、账号等级、是否验证等信息,而谭房妹从其他渠道非法获取的账号信息文件并不包含这些信息……最终确定谭房妹利用‘小黄伞’撞库所得的网络用户信息为2.2万余组。”
难以判断,指导案例中“网络用户信息”的表述是有意为之还是无心使然。起码,如果确实将该案的指导性推而广之,那么便意味着,在身份认证信息以外的一般信息数据也属于非法获取计算机信息系统数据罪的行为对象。
结合上述全文,当“获取”与“数据”等要素都缺乏基本的形式限制时,非法获取计算机信息系统数据罪的处罚范围将极度扩张,也必然会催生刑事司法的不当打击。事实上,根据学者杨志琼等人的实证研究,非法获取计算机信息系统数据罪已然成为当前网络犯罪中的新“口袋罪”。
回过头来,在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的理解与适用中,喻海松法官也写道:“需要注意的是,对于实践中发生的出于好奇、显示网络技术等目的而实施的打包盗窃论坛身份认证信息等行为,即使获取身份认证信息略微超过500组的,由于社会危害性不大,也应当适用《刑法》第13条‘但书’的规定,不宜纳入刑事打击的范围。”
就非法获取计算机信息系统数据罪而言,目前的形式法治显然还有提升空间。同时,无论形式法治状况如何,一旦涉及入罪,我们都要实质考虑行为是否具有严重的社会危害性/法益侵害性。在掩饰、隐瞒犯罪所得罪已能评价赵某行为的情况下,那多看的一眼,真的具有不可忽视的社会危害性吗?
最后,就刑事辩护而言,难辩的从来都不是针锋相对、短兵相接,而是面对摸不着头脑的迷踪指控。“谁是我们的敌人/我们的敌人长什么样子?这是革命的首要问题。”离谱的入罪看电脑似一目了然,谁也不会如此定论,但真要揪住你问了,要头头是道、条分缕析地答出个所以然来,绝非易事。
所谓大音希声,大象无形,道隐无名。诚如苏力教授所言:“真正的伟大会融入生活,成为常规,成为背景,因此不彰显,因此看不清其发生和存在的理由。”
本文只是点出了个案的不正义,但具体如何系统性地解决该问题,有待学界与实务界的进一步研究。
电脑