顾伟 上海市徐汇区检察院第一检察部副主任、检察官
内容摘要:离职前利用职务便利在公司服务器上植入脚本文件,离职后利用该脚本文件“生产”大量游戏道具进而窃取,以非法获取计算机信息系统数据罪能更能全面评价犯罪行为,也更符合着力保护网络安全的司法趋势。
关键词:非法获取计算机信息系统数据罪 脚本植入 游戏道具
一、基本案情
被告人周洪宁;被告人荣保飞。
2015年2月10日, 被告人周洪宁向其任职的上海久游网络科技有限公司提出离职申请,2月26日正式离职。 2月15日周洪宁利用其身为久游公司编程员的VIP账号登陆公司后台服务器网站,将脚本文件分别植入劲舞团游戏专门服务器和久游公司中转服务器。
2015年3月,被告人周洪宁利用其植入在劲舞团游戏服务器上的脚本文件,为游戏账号随意添加游戏币,进而在网上出售相应游戏账号非法获利。
2015年5月,被告人周洪宁发现其植入劲舞团游戏服务器上的脚本被停用后,通过互联网发布低价出售劲舞团游戏道具的信息,此后被告人荣保飞主动联系周洪宁,并从周处低价购买劲舞团游戏道具,上述道具均由周洪宁利用其植入在久游公司中转服务器上脚本文件,直接添加进入荣保飞的劲舞团游戏账户。 本次交易后,周洪宁与荣保飞商议,由荣保飞在外发布低价出售游戏道具的信息并寻找买家,由周洪宁负责给玩家发送相应游戏装备,并确定以劲舞团游戏商城中道具价格的5折对外出售,周洪宁收取相当于商城道具价格3折的收入,剩余部分归荣保飞所有,双方通过支付宝进行转账交易。 至2015年7月,周洪宁多次启用其植入久游公司服务器上的脚本文件向荣保飞提供的账户添加劲舞团游戏道具“喇叭”“徽章”“衣服”等,进而非法获利,其中周洪宁非法获利12万余元,荣保飞非法获利7万余元。
2015年7月21日,公安机关在上海市金科路2966号掌耀信息科技有限公司内抓获被告人周洪宁,8月6日,公安机关在安徽省蚌埠市龙子湖区凤阳东路392号御景翰苑内抓获被告人荣保飞。
本案由上海市公安局徐汇分局侦查终结, 于2015年11月27日向徐汇区人民检察院移送审查起诉。 审查过程中,徐汇检察院依法退回补充侦查两次,后于2014年4月以被告人周洪宁涉嫌非法获取计算机信息系统数据罪、荣保飞涉嫌掩饰、隐瞒犯罪所得罪起诉至上海市徐汇区人民法院。
二、关键问题
周洪宁利用在职期间的VIP账户权限在公司服务器上植入脚本文件,离职后“生产”并发送游戏道具的行为应如何定性?
由于本案的特殊性,从离职时间和财物属性的角度,本案存在着盗窃罪与职务侵占罪的认定分歧;从犯罪方法的角度,本案存在着计算机类犯罪认定标准和情节上的分歧。
本案是一起非典型性的计算机类犯罪案件,行为人看似采用了一般的技术手段,通过远程控制的方式窃取久游公司营运的劲舞团游戏道具,后与他人合谋共同销售牟利。 但基于本案中周洪宁“植入脚本文件利用了身为久游公司员工的职务便利”“窃取的游戏道具原本并不存在于服务器中”等特殊因素,以及关于盗窃游戏道具定性的实践争议,导致本案对周洪宁行为定性存在一定分歧:
观点一:盗窃罪。 周洪宁利用脚本文件的运行“偷取”了劲舞团游戏装备,目前司法实践中一定范围内认为虚拟财产具有财产属性,可以作为财产型犯罪的对象,故对于周洪宁盗窃虚拟财产的行为可认定为盗窃罪。
观点二:职务侵占罪。 周洪宁离职前利用职务便利在久游公司服务器上植入两个脚本文件,属于在公司服务其上为自己留下“后门”,在离职后又利用上述“后门”窃取公司财物。 本案中虽然取财是在离职以后,但应充分考虑其取财与职务便利之间的关系,毕竟其在离职前已经可以通过“后门”取得对虚拟道具的实际控制,据此认定为职务侵占罪。
观点三:破坏计算机信息系统罪。 周洪宁通过植入脚本文件以及此后对游戏道具的任意虚增,一定程度上破坏了游戏的平衡,也造成游戏维护上的紊乱,可认定为破坏计算机信息系统罪。
观点四:非法控制计算机信息系统罪。 周洪宁植入久游公司服务器的脚本文件可以随意生成游戏道具和装备,一定程度上控制了久游公司服务器关于劲舞团游戏的维护和管理权,可认定为非法控制计算机信息系统罪。
观点五:非法获取计算机信息系统数据罪。
三、评析意见
笔者认为,认定周洪宁的行为构成非法获取计算机信息系统数据罪,更能全面评价其整体行为性质,也符合目前司法实践的趋势,具体分析如下:
首先,周洪宁的行为不构成盗窃罪。 从司法实践的趋势看,对于虚拟财产的刑法认定问题,已经从早期的不认可其具有财产属性,逐步发展到现今的将虚拟财产、游戏道具等视为“财产”,并认可其在一定范围内的流通功能和市场价值,因此实践中也出现了对于行为人通过黑客手段,盗窃游戏装备并予以销售的行为以盗窃罪判决的情况。
但笔者认为本案与前述观点有本质区别,周洪宁确实“偷取”了游戏道具并发送给买家,但其“偷取”的并非是劲舞团游戏中本就存在或者已经由其他玩家购买获得的道具,而是通过其植入的脚本文件,先行生成了相应道具后,再行将之窃取。 故对于涉案的游戏道具本就不属于久游公司所有,或者说不在久游公司发行道具的范围内,该道具的生成已经违背了久游公司的经营意志,将他人生成的道具视为久游网的财物有违其本质属性;此外,若认可该些游戏道具属于久游公司并以盗窃入罪,则无法全面评判周洪宁植入脚本、生成装备等行为的社会危害性,也属片面归罪。 因此,对周洪宁不宜认定为盗窃罪。
其次,周洪宁的行为不构成职务侵占罪。 通过查阅相关判例,对于游戏公司的员工利用职务便利侵占公司运营的网络游戏装备,不乏将之认定为职务侵占罪的判例,笔者也认为该种定性并不违反罪刑法定,也具有一定的法理依据。 但结合本案,若参照该类判决定罪,则不可避免要解决三个问题,一是在职时的职务便利能否延续到离职后使用的问题? 即周洪宁在职时利用其久游公司VIP账户登录公司服务器并植入脚本文件,离职后使用取财的行为。 目前尚无明确判例,也存在盗窃罪与职务侵占罪的竞合关系。 二是如前述对盗窃罪的分析一样,对于非原本存在于游戏服务器中的虚拟财产能否作为财产类犯罪的客体难以解决? 三是周洪宁属于久游公司编程工程师,其对游戏程序的开发和维护具有职务便利,但对于涉案的游戏道具不经手也不管理发放(为游戏商城管理人员管理发放),那么在游戏领域对于程序维护的职务便利是否当然可以视为对整个游戏中虚拟财产的管理? 目前,上述三个问题在本案中无法解决,也缺乏说理分析的事实依据,故笔者认为对本案不宜做出突破而认定为职务侵占罪。
第三,周洪宁的行为不构成破坏计算机信息系统罪。 刑法设立本罪的初衷是为了打击那些通过对计算机系统功能的删除、修改、破坏等,最终造成系统不能运行等严重后果的行为,因此本罪强调的是对计算机系统的“功能性”破坏。 而本案中周洪宁植入久游公司服务器的脚本文件,仅能实现对劲舞团游戏道具的虚增,并无法实现对游戏功能的破坏,也不会造成劲舞团游戏服务器的瘫痪,充其量仅是对游戏平衡性或者说劲舞团商城对于道具销售量的损害。 故无法认定为破坏计算机信息系统。
第四,周洪宁的行为不构成非法控制计算机信息系统罪。 该罪是指行为人通过非法制作相应系统程序从而控制大量信息系统,甚至形成僵尸网络的行为,认定本罪的关键点为对计算信息系统的“控制”行为。 本案中,周洪宁植入久游服务器的脚本文件确实可以根据其指令自行生成相应的游戏道具和装备,不受游戏商城、游戏规则等的限制,可以视为在一定程度上获得了与久游公司相当的对于游戏商城的控制权限。 但该商城仅是该劲舞团系统的部分功能,对单一功能的控制尚无法达到对计算机信息系统整体控制的程度;从另一方面看,周洪宁“控制系统”仅是其实现犯罪目的的手段行为,其通过该控制行为最终希望达到的是非法获取大量游戏道具、装备而用于倒卖非法获利,故从手段目的牵连犯罪看也不应简单以非法控制计算机信息系统进行认定犯罪。
最后,周洪宁的行为构成非法获取计算机信息系统数据罪。其一、“喇叭”“衣服”“徽章”等劲舞团游戏道具、游戏装备具有数据的本质属性。 近年来,网络盗窃类案件高发,其中大量犯罪指向的客体是网络游戏中的虚拟货币、游戏装备或道具,司法实践中关于网络虚拟财产的价值属性问题也争论不休。虽然,目前对于网络游戏中虚拟财产具有财产性价值的判断在一定程度上得到了司法认可,但笔者认为“虚拟财产”最为原始和本质的属性仍应当是电子数据。
根据2010年6月文化部出台的《网络游戏管理暂行办法》第2条规定:“网络游戏虚拟货币是指由网络游戏经营单位发行,网络游戏用户使用法定货币按一定比例直接或者间接购买,存在于游戏程序之外,以电磁记录方式存储于服务器内,并以特定数字单位表现的虚拟兑换工具。 ”该规定明确了网络游戏虚拟货币的本质性质,即为电磁记录,不论其在游戏中价值几何,网络运营商出售定价如何,该些财产必须以计算机数据的方式被储存和表现。 基于网络游戏中虚拟货币与游戏道具、游戏装备的同质化属性,笔者可以上述规定推而广之,同样适用于网络游戏道具、装备的认定上。 故本案中,周洪宁窃取的劲舞团游戏喇叭、衣服、徽章等游戏道具虽然在游戏商城中可以销售,在劲舞团游戏范围或者玩家之间具有一定的交换价值,但其本质属性仍应认定为计算机存储的电磁数据。
其二、周洪宁采用非法手段获取了计算机数据。 与其他非法获取计算机信息系统数据案件不同,本案中周洪宁非法获取的“喇叭”“衣服”等游戏装备对应的数据原本并不存在于久游公司的服务器上,而是由周洪宁植入的脚本文件生成后,再由其自行获取。 因此笔者认为,利用自己植入的脚本生成的数据再行获取的行为能否认定为非法获取的问题,就成为本案能否以非法获取计算机信息系统数据罪定罪的关键症结所在。 笔者将之分割为“非法性的认定”“数据归属的认定”加以分析。从非法性认定角度看,刑法条文对于非法获取计算机信息系统数据罪状的描述为“侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据”。 可见非法获取数据中的“非法”可以是侵入系统或者其他技术手段,周洪宁通过远程控制,运行其植入服务器的脚本文件进而获取游戏装备,已经侵害了游戏服务器的安全,且可以凭其意志任意操作,其非法性足以认定。从数据归属角度看,非法获取计算机信息系统数据罪的入罪的前提是“获取了信息系统中存、处理或者传输的数据”,即要求所获数据为系统中原先存储或正在处理的。 本案中,周洪宁获取的数据在其侵入久游服务器前并不存在,而是经过其对植入脚本文件的运行新生成的数据。 故此时的“数据”能否成为非法获取的客体值得探讨? 笔者认为,上述数据虽然不是原先就存在于久游服务器上,其生成也并非基于久游公司运营游戏的真实意志所为,但该数据的生成必须依托久游服务器自身的运行和计算规则,也仅能通过该服务器才能对外将游戏道具发送给玩家,并成为劲舞团游戏“认可”的游戏道具和装备。 故该些数据在生成后第一时间存储和处理于久游公司服务器,若将之视为“有价值的虚拟财产”,那么此时该财产归属或保存于久游公司。 因此,本案涉及的劲舞团游戏道具、衣服、徽章等数据符合非法获取的犯罪客体。
第三、以非法获取计算机信息系统数据罪定罪全面评价了周洪宁的犯罪行为,也符合刑事司法的趋势。 以本罪定处,可以全面评判整个犯罪过程,其中周洪宁非法植入的脚本文件和自动运行后发送给玩家游戏装备的行为组成了一个完整的非法获取的过程;而其后出售游戏道具获利的行为在认定非法所得数额的基础上,可以作为量刑或跳档情节加以评判,因此不会出现片面归罪的情况。 此外,从近期两高发布的多个关于网络安全方面司法解释,对于网络犯罪案件的罪名设定、入罪标准都予以说明和细化,体现出打击网络犯罪保障网络安全的决心,而各地刑事司法判例也逐步将网络犯罪,特别是通过黑客手段窃取网络游戏虚拟财产的相关犯罪行为统一到计算机类犯罪中来。 故本案以非法获取定性也符合罪刑相一致的刑法理论。
2016年5月11日, 周洪宁因犯非法获取计算机信息系统数据罪被徐汇区人民法院判处有期徒刑四年,并处罚金人民币二万元;荣保飞因犯掩饰、隐瞒犯罪所得罪被徐汇区人民法院判处有期徒刑三年,缓刑三年,并处罚金人民币一万元。