文/陈成伟 北京中伦(青岛)律师事务所
本文为作者向无讼阅读独家供稿,转载请联系无讼阅读小秘书(wusongyueduxms)
近日,媒体公开报道了首例“王者荣耀”外挂案,针对网络游戏中的作弊行为,法院判定外挂程序的设计者触犯了提供侵入、非法控制计算机信息系统程序、工具罪。在计算机网络犯罪领域,非法侵入、控制计算机信息系统与破坏计算机信息系统的行为具有本质的区别,但却有相似的表现方式,两类犯罪的量刑也存在较大差异。本文通过对该热点案例的分析,试图厘清该两类犯罪的区别与联系。
一、案例的引入
江苏省江阴市法院宣判的全国首例《王者荣耀》游戏外挂入刑案在众多的网游爱好者中泛起了不小的波澜。媒体报道称谢某等人通过自学编程,建立“内测群”提升“用户体验”的方式,出售超过20个版本的“王者荣耀”游戏外挂。经审理,法院最终以提供侵入、非法控制计算机信息系统程序、工具罪对谢某判处有期徒刑一年零三个月,并处2万元罚金。
二、问题的提出
虽然该案对打击网络游戏的“外挂”行为具有指导意义,但作为律师,笔者对该网络作弊行为如何定性更感兴趣。
笔者从中国裁判文书网上查询到相关判决公开的信息[1],发现犯罪嫌疑人谢某最初是以涉嫌犯破坏计算机信息系统罪被公安机关刑事拘留,新闻报道中也称,“检方认为,警方查扣鉴定的三个外挂程序版本均存在对游戏客户端实施未授权的修改、删除操作,对游戏的正常操作流程和正常运行方式造成了干扰,被认定为对游戏服务器产生破坏作用的程序。”后公诉机关以“提供侵入、非法控制计算机信息系统程序、工具罪”的罪名向法院提起公诉,最终法院以该罪名予以认定。
那么,在该案的审判过程中,公安机关认定的涉嫌罪名与检察机关移诉的罪名不同,不同司法机关对“外挂”程序的定性存在哪些分歧?“检方”在媒体的公开报道中称谢某的行为实施了修改、删除,对游戏服务器产生了破坏作用,但又为何以“提供侵入、非法控制计算机信息系统程序、工具罪”,而不是“破坏计算机信息系统罪”提起公诉?针对以上疑问,笔者认为有必要对该两类犯罪的区别进行深入分析。
三、法律的解读
关于该“两类”犯罪,就《刑法》的相关具体罪名而言[2],应该包括四个罪名:非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,以及破坏计算机信息系统罪。其中第一个罪名属于特定领域的犯罪,本文不再展述;第二、第三个罪名的客观表现为非法获取和控制的行为,第四个罪名的客观表现为对计算机系统的破坏行为。下面主要针对与本案相关的后两类犯罪展开评析。
(一)破坏计算机信息系统罪与非法控制计算机信息系统罪客观方面的区别
根据《刑法》的规定,破坏计算机信息系统罪的客观行为表现为三种:
第一是对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行后果严重的行为;
第二是对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为;
第三是故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。而非法控制计算机信息系统罪是《刑法修正案(七)》新增加的罪名,是对侵入计算机信息系统,但未破坏计算机信息系统的功能或者数据,而通过计算机实施特定操作行为的打击。
二者的行为方式有共同之处,但法律定性以及量刑却大相径庭。比如某木马侵入手机后,控制手机中的微信软件向某微信群发送信息,进而实现对手机的控制,构成非法控制计算机信息系统罪[3],该罪最高处七年以下有期徒刑;而获取手机的ID信息后,通过远程控制,将手机锁定的行为,则构成破坏计算机信息系统罪[4],该罪最高处五年以上有期徒刑。同样是存在“控制”的行为,但最终定性是不同的。
深入分析二者保护的法益,其存在本质的区别。破坏计算机信息系统罪侵犯的法益是计算机信息系统的运行安全与功能的实现,而非法控制计算机信息系统罪侵犯的法益是计算机信息系统的保密性和控制性。前者导致计算机信息系统功能造成了实质性损坏,使计算机信息系统不能正常运行;后者则导致计算机信息系统的合法使用人不能按照自己的意志使用、控制计算机信息系统。
(二)司法认定的注意事项
如何区分罪与非罪,笔者认为在司法实践中应当考虑以下问题。
1. 须考虑造成后果的严重性
从立法本意来看,破坏计算机信息系统罪早在97年《刑法》就已经被立法者制定,而在当今一方面互联网技术高度发达,另一方面各种流氓软件泛滥成灾的现实中,回看立法之初当时的计算机和互联网发展水平,可以认为,彼时所认为的“严重后果”的标准,在今天的应当提得更高。因为随着当下新兴技术的不断发展,各式各样的软件、程序被开发出来,用于满足人们不同的需求,司法者应该更加包容新的设计和创新,客观地认定技术所带来的案件后果,否则将会导致重刑主义,扩大刑法的打击面。
例如本案的“外挂”程序,制作者的确为了不法利益,破坏了游戏的规则,也影响了游戏服务器的运行,但该行为是否构成对服务器的“破坏”,还是仅仅涉嫌非法控制计算机信息系统,应当充分论证,慎之又慎。
从文理解释的角度,只有“破坏”程度足以导致计算机系统不能适用或者严重影响其功能的实现时,才满足刑法意义上的“破坏”标准。对于本案来讲,“外挂”仅仅是对单个游戏账号的作弊行为,对整个游戏服务器不会造成瘫痪或者严重影响其他玩家的情形,所以其损坏结果很难构成“破坏”的标准。
2. 应当考量功能性特征而非单纯代码内容
所有计算机系统和程序的功能都是若干代码指令运行的外在表现。行为人删除、修改、新增某些代码,并不必然导致功能的破坏,也不必然导致计算机信息系统的破坏。因此,判断计算机信息系统是否遭到“破坏”,应当从外在的功能层面来考量,而不应以某项代码指令的改变与否来认定,否则会将一般性的程序操作认定为“破坏”行为。
比如本案被告人设计源代码的过程,被告人不可避免地会对原来游戏代码进行增删与修改,但是否对整个游戏服务器产生严重破坏,则是从游戏程序或者服务器所实现的功能性特征去考量。
3. 未遂和既遂对定罪量刑的影响
由于该类案件涉及到复杂的技术问题,而技术的中立性又使得该类案件与一般的犯罪行为有所区别,因此在定罪量刑的过程中还应当考量客观的技术元素。
在实践中,对计算机系统的破坏行为,可以通过有效的防控手段比如杀毒软件,可以拦截该行为,该种情况往往可以认定为未遂;也可以通过事后的补救措施,将原来的数据和功能恢复,比如从云端恢复被删除的手机联系人信息。当然,对于既遂的情形,也应当考虑不同的结果:对于已经破坏的数据和功能,有的很容易恢复,有的恢复成本很高,有的则无法恢复,导致永久性破坏。在定罪量刑中,不同的损坏程度会导致不同的损害后果,应当区别对待。
四、案例的扩展检索——该类案件的司法现状
通过案件检索发现,该类案件的数量呈逐年上升的趋势,尤其是2013年以后增长速度较快,地域分布多集中在江苏、浙江、广东等沿海发达省市。
笔者仔细研读各地区的判决后发现,该类案件存在裁量尺度不一、法律适用不准确的情形。
比如,在北京市第一中级人民法院(2017)京01刑终80号判决中,法院认为被告人利用游戏充值系统漏洞,在不实际支付货币的情况下对玩家的游戏账号进行反复充值,构成获取计算机信息系统数据、非法控制计算机信息系统罪;而在广东省珠海市中级人民法院(2015)珠香法刑初字第2040号判决中,法院认为被告人利用游戏内部的邮件系统存在漏洞,大量复制出游戏道具进行出售的行为,构成破坏计算机信息系统罪。
再比如,北京市第三中级人民法院(2015)三中刑终字第00288号判决中,被告人将“静默插件”植入移动终端,该插件具有获取用户手机信息、删除、安装应用程序的功能,用以推送软件、广告等商业性电子信息。法院最终认定被告人构成非法控制计算机信息系统罪;而杭州市中级人民法院(2016)浙01刑终40号判决中,被告人将其编写的swf文件插入淘宝网页,可实现推送商品、优惠券、添加商品或店铺收藏等功能,法院认定该行为构成破坏计算机信息系统罪。
笔者分析造成以上判决结果存在差异的可能原因,一是不同法官对“破坏”和“控制”行为的掌握的尺度不一,有的片面认为对计算机系统进行了控制,就会对造成相应的破坏,导致重罚的后果,有的忽略了对行为方式的认定,认为只要造成较大的经济损失,就倾向于重罚;二是不同地域的审判机构对该类案件的包容程度不一,科技经济发展水平越高,对该类犯罪行为的把握和定性就越准确;三是现有的法律和司法解释对“破坏”行为没有更深入地进行辨析,对“删除”“修改”等方式没有作进一步解释,导致审判人员对“删除”的理解千差万别。
五、小结
《刑法》第二百八十五条第三款规定,对于提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为,构成提供侵入、非法控制计算机信息系统程序、工具罪。
显然,在本案中,江阴市法院认为在“王智荣耀”的游戏中植入外挂软件,是对计算机信息系统的非法控制行为,而非破坏行为。法院甚至认为,“对《王者荣耀》游戏客户端实施未授权的删除、修改操作,绕过了游戏的保护措施,对游戏的正常操作流程和正常运行方式造成干扰,属于破坏性程序”,但是该“破坏性”程序,并不构成刑法意义上的“破坏”行为,笔者对该准确和中肯的定性表示非常赞同。
诚然,此罪与彼罪的辨析,有助于法律的正确适用,完善健全的司法评价体系,对于被告人个人而言,则接受了罪责适应的惩罚,得到了公平的审判。但是,无论是破坏计算机信息系统罪还是提供侵入、非法控制计算机信息系统程序、工具罪,都是违法犯罪行为,该案的宣判对长期以来的“外挂”泛滥问题也及时起到了警示作用。