【202210037】非法获取交易接口程序后开发并运营证券交易软件的行为如何定性
文/刘仁文;喻海松;江溯;夏涛
作者单位:中国社科院法学所中国刑法学研究会最高人民法院研究室刑事处北京大学法学院浙江省杭州市滨江区人民检察院
期刊栏目:疑案精解
编者按 近年来,互联网犯罪的手法不断翻新,尤其是利用互联网技术手段接入券商交易接口,非法经营各种证券业务的犯罪行为,侵害了多种法益,具有较大的社会危害性。为严厉打击该类犯罪行为,准确适用相关法律法规,本刊特遴选一起行为人获取破解的券商交易接口程序后开发、运营证券交易软件的案件,邀请专家就相关问题进行研讨,敬请关注。
主持人:姜昕(《人民检察》主编)
点评专家:刘仁文(中国社科院法学所二级研究员,中国刑法学研究会副会长)
特邀嘉宾:喻海松(最高人民法院研究室刑事处处长)
江溯(北京大学法学院副教授、博士生导师)
夏涛(浙江省杭州市滨江区人民检察院检察长)
文稿统筹:王小飞(《人民检察》见习编辑)
案情简介
李丽(化名)担任甲公司实际控制人期间,接受赠予或购买破解的券商交易接口程序,利用该程序以甲公司名义开发和运营具有证券交易虚拟分仓功能的α软件,按照每日交易量的约万分之一或者一次性买断的方式向服务使用者收取交易佣金。经鉴定,α软件中的β子程序能够调用券商交易接口插件动态链接库中的函数,实施打开插件、登录账号、下单、撤单以及查询各类交易数据等操作。
此外,李丽在担任乙公司实际控制人期间,未经国家有关主管部门批准,以乙公司名义使用α软件经营证券交易配资业务,为证券交易配资客户提供开立虚拟二级子账户、委托交易、查询、结算等证券业务,并为配资客户提供缴纳保证金数倍的资金在股市大盘进行证券交易,收取配资借款利息。证券交易配资具体流程为:配资客户登录乙公司旗下网站平台或关注微信公众号,用手机号码注册,实名认证绑定,然后选择日配、周配或月配等配资类型以及相应的杠杆比例,通过支付宝或者网银转账支付保证金和预付利息到公司指定的个人银行账户。乙公司通过后台的α软件建立虚拟二级子账户分配给配资客户,虚拟二级子账户接入乙公司控制的实名证券母账户在股市大盘进行证券交易。交易结束后,α软件会自动计算配资客户的本金、预付利息和盈亏情况,扣除配资客户应支付的借款利息后余款由乙公司控制的个人银行账户返还给配资客户。
公安机关接到报案称某券商开发的股票交易程序被他人非法破解,并在网上公开销售。十几天后,公安机关将李丽抓获归案;李丽对获得券商后台服务器接口代码嵌入到α软件并有偿提供给他人使用的事实供认不讳。后来,李丽在取保候审期间,又因涉嫌非法经营被电话传唤到案,如实供述了自己利用α软件非法经营证券配资业务的情况。
分歧意见
关于α软件中的β子程序是否属于侵入、非法控制计算机信息系统的程序、工具,第一种意见认为,侵入、非法控制计算机信息系统的程序、工具应具有避开或突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据、对计算机信息系统实施控制等功能。β子程序使用的接口程序主要提供加密函数和解密函数的功能,具体来说,其只是将客户的查询、交易指令翻译为密文,经互联网传输给券商服务器处理,再将处理结果传输给客户,经解密后显示在客户端。券商本就有义务受理客户的查询、交易请求,所以该程序获取的都是本就应当获取的数据,实施的也是正常交易,不存在未经授权或超越授权获取计算机信息系统数据、对计算机信息系统实施控制的情况。第二种意见认为,β子程序具有调用券商交易接口插件动态链接库中的函数,登录并使用相应的交易软件,实施证券交易下单、撤单、查询各类交易数据等功能。上述操作均未经券商合法授权。有关功能实际上是李丽利用破解的券商交易接口程序,欺骗、突破有关交易系统的安全保护措施,非法获取计算机信息系统数据并对该系统实施控制。因此,β子程序应属于一种侵入、非法控制计算机信息系统的程序或工具。
关于李丽开发、运营α软件并利用该软件经营证券交易分仓、配资等业务的罪数形态,第一种意见认为,李丽开发α软件的目的就是经营与证券交易有关的业务,无论其利用该软件提供证券分仓还是配资服务,本质上都是一种非法经营行为,以非法经营罪一罪即可实现充分评价。同时,由于李丽开发、运营α软件的行为与其非法经营证券业务的行为存在手段行为和目的行为的牵连关系,应当依照牵连犯的处断原则择一重罪处断,按照非法经营罪定罪处罚。第二种意见认为,李丽的行为应分两个阶段看待:开发α分仓软件向其他投资主体提供有关交易服务,收取交易佣金的行为应定性为提供侵入、非法控制计算机信息系统程序、工具罪;通过该软件向证券交易配资客户提供配资服务的行为应定性为非法经营罪;两个行为具有相对独立性,应当分别定罪、数罪并罚。
问题一:获取破解的券商交易接口程序开发并运营证券交易软件行为的定性
主持人:根据我国刑法规定,提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,构成提供侵入、非法控制计算机信息系统程序、工具罪。如何看待该罪在我国网络犯罪罪名体系中的地位和作用?该案中,李丽获取破解的券商交易接口程序开发并运营α软件的行为如何认定?
喻海松:提供侵入、非法控制计算机信息系统程序、工具罪是刑法修正案(七)增设的犯罪。侵入、非法控制计算机信息系统程序、工具,既包括用于侵入计算机信息系统的程序工具,也包括用于非法控制计算机信息系统的程序、工具,还包括通过侵入计算机信息系统非法获取数据的程序、工具。故而,刑法第285条第3款规定的提供侵入、非法控制计算机信息系统程序、工具罪所规制的实际上是前两款规定的非法侵入计算机信息系统罪和非法获取计算机信息系统数据、非法控制计算机信息系统罪的帮助行为。但是,考虑到实践中提供侵入、非法控制计算机信息系统程序、工具的行为在网络犯罪中所起的重要作用和对网络信息安全造成的严重危害,并顾及司法实践中的操作便利性,刑法第285条第3款将此种本属共同犯罪之中的帮助行为独立入罪。可以说,提供侵入、非法控制计算机信息系统程序、工具罪的设立,是立法将共犯正犯化思路运用于网络犯罪立法的最早实践,对此后刑事立法发展,特别是帮助信息网络犯罪活动罪的增设起到了直接示范作用。
适用提供侵入、非法控制计算机信息系统程序、工具罪,关键在于准确认定“专门用于侵入、非法控制计算机信息系统的程序、工具”(俗称“木马程序”)。侵入的目的通常是获取数据,故“专门用于侵入、非法控制计算机信息系统的程序、工具”的功能在司法实践中主要表现为获取数据和控制系统,这也是司法解释所列明的情形。需注意的是,“专门用于侵入、非法控制计算机信息系统的程序、工具”区别于一般的程序、工具之处,在于此类程序、工具专门用于违法犯罪目的,而不包括那些既可以用于违法犯罪又可以用于合法目的的“中性程序”。因此,“专门”是对程序、工具本身用途非法性的限定。具体而言,程序、工具获取数据、控制系统等功能,在设计上即能在未经授权或者超越授权的状态下得以实现,这是专门程序、工具区别于“中性程序、工具”的典型特征。相反,如果所涉程序、工具虽然具有获取数据、控制系统的功能,但需要通过输入账号、密码,经系统同意后方可实施特定操作的,则属于“中性程序、工具”的范畴。
根据现有的案件信息,该案所涉程序很可能属于“外挂程序”的范畴。当前司法实践中,对于网络外挂程序能否认定为“专门用于侵入计算机信息系统的程序、工具”尚存在不同认识。实际上,如果单从技术原理上加以分析,作此认定应当慎重。假如网络外挂程序对主程序的数据发送系依据此前的既定通信协议进行,对主程序的访问只是一种“违规”访问,即违反了相关规则而已。假如网络外挂程序主要是对主程序发送数据,相关数据在客户端与主程序之间传输,恐怕不能认为主程序对数据排他占有。
应该说,上述问题一直困扰司法实践。故而,刑法修正案(十一)对我国刑法第217条作出修改完善,将“未经著作权人或者与著作权有关的权利人许可,故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施”的行为明确列为侵犯著作权罪的客观行为方式之一。而外挂程序运行的基本原理为通过破坏相应技术保护措施实现运行,“突破技术保护措施”是本质属性。故而,可以根据情况适用侵犯著作权罪的相关规定。假如有关行为发生在刑法修正案(十一)生效之后,则应当考虑所涉程序是否系属于“破坏权利人为其作品……采取的保护著作权或者与著作权有关的权利的技术措施”,考察是否应当适用侵犯著作权罪。
江溯:从接口程序的原理上看,首先,接口程序只是一个翻译器,是为了避免交易数据被他人拦截或破译而设置的中间环节而已。接口程序的加密函数和解密函数,是将客户的查询或交易指令翻译成密文,经互联网传输到券商服务器,经券商服务器处理后,将查询或交易结果传输给客户,经客户用解密函数解密后,显示在客户端上的一系列动作。这么做的理由在于:第一,互联网上不可能用明文传输,肯定需要密文,否则具有抓包技术的人就会很轻易知道客户的交易密码和交易请求,不利于保护客户隐私;第二,接口程序可以让券商服务器识别客户用的是哪个客户端,如果没有用相应的客户端,券商服务器就无法识别交易请求。
其次,接口程序不具有提供侵入、非法控制计算机信息系统程序、工具罪所要求的“专门性”。根据刑法第285条第3款,并非所有的程序、工具均构成该罪中的程序、工具。只有那些没有其他合法用途,“专门”用于侵入计算机信息系统的程序、工具,才能认定为该罪中的程序、工具。
再次,接口程序不属于“侵入、非法控制计算机信息系统的程序、工具”。第一,接口程序不具有避开或者突破券商服务器的安全保护措施的功能。这是因为,计算机信息系统的安全保护措施,通常是需要输入账户和密码的,但接口程序不需要账户和密码,换言之,券商服务器对于接口程序没有设立安全保护措施。既然没有安全保护措施,就没有所谓的避开或者突破安全保护措施之说。第二,接口程序缺乏未经授权或者超越授权获取数据或者控制系统的功能。即使通过接口程序,客户也要输入自己在券商开户的账号和密码,否则券商不可能受理交易;客户在券商开户,券商本来就有义务受理客户的查询、交易请求,并向客户反馈查询、交易的结果。客户通过接口程序获取的数据,都是自己的账户本来就应当获取的数据,并不存在未经授权或者超越授权的问题;客户通过接口程序交易,使用的是自己的资金,购买的股票也登记在自己本来就开好户的券商账户上,是正常的交易,没有对券商服务器实施非法控制。
最后,接口程序与认定为“侵入、非法控制计算机信息系统程序、工具”的外挂程序不同。实践中,一些不法分子设计的游戏外挂不仅方便玩家操作,而且可以实现透视、看别人的血量、自动瞄准等功能,这种情况下就实现了对计算机信息系统的侵入或非法控制。该案的情况似乎有所不同。
夏涛:李丽的行为应当构成提供侵入、非法控制计算机信息系统程序、工具罪,具体理由如下:
第一,α软件中的β子程序具有避开计算机保护机制的功能,属于侵入、非法控制计算机信息系统的程序。α软件中的β子程序能够调用券商交易接口插件动态链接库中的函数,实施打开插件、登录账号、下单、撤单、查询各类交易数据等操作。上述交易接口文件都是加密的函数,目的是保证券商数据交换的安全性,属于计算机信息系统安全保护措施,从未授权给他人。2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)第2条规定:“具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的‘专门用于侵入、非法控制计算机信息系统的程序、工具’:(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的……”李丽开发的β子程序能够调动券商交易接口插件动态链接库中的函数,通过接口程序将对应的交易数据在未经授权的情况下上传到证券公司,避开了券商本身的计算机信息系统安全保护措施,属于《解释》中规定的“避开或者突破计算机信息系统安全保护措施”。
第二,李丽出售α软件的行为属于提供侵入、非法控制计算机信息系统程序、工具的行为。李丽按照每日交易量的约万分之一或者一次性买断的方式向服务使用者收取交易佣金,系统性地向他人提供有关程序、工具的使用服务。
第三,李丽开发和运营α软件的行为未经权利人的授权。权利人没有对外授权过他人使用公司私有的通讯接口文件,李丽的行为属于没有权限的开发和运营相应软件的行为。
问题二:对“未经国家有关主管部门批准非法经营证券业务”的理解
主持人:“未经国家有关主管部门批准非法经营证券业务”是非法经营罪所规制的一种行为类型。该案中,李丽利用具有证券交易虚拟分仓功能的α软件为他人提供证券子账户开立、交易、查询、结算以及配资等服务,是否构成非法经营罪?
喻海松:根据刑法第225条,未经国家有关主管部门批准非法经营证券业务,情节严重的,构成非法经营罪。最高人民法院、最高人民检察院、公安部、中国证券监督管理委员会《关于整治非法证券活动有关问题的通知》第2条第3项对适用非法经营罪规制非法经营证券业务行为作出了规定。需要注意的是,这里所涉及的“证券业务”,不应限于法定的证券业务类型,还应包括其他违法证券业务活动。判断所涉行为是否属于非法经营证券业务,关键在于是否经过证监会批准。如,《关于整治非法证券活动有关问题的通知》规定,对于中介机构非法代理买卖非上市公司股票,涉嫌犯罪的,应当依照刑法第225条之规定,以非法经营罪追究刑事责任。代理买卖非上市公司股票自然不属于合法证券业务的范畴。对于从事证券违法犯罪活动的行为,证监会依法不会批准;该类行为较之法定的证券业务类型,社会危害性更大,更应当纳入刑法的规制范围。如果行为同时构成非法经营罪和其他犯罪的,应当择一重罪处断。
江溯:李丽利用具有证券交易虚拟分仓功能的α软件为他人提供证券子账户开立、交易、查询、结算以及配资等服务,属于证券法规定的经营证券业务,且该行为未经国务院证券监督管理机构批准,可以适用非法经营罪加以评价。
夏涛:非法经营罪侵犯的客体是国家限制买卖物品和经营许可证的市场管理制度。该案中,李丽的行为构成非法经营罪,具体理由如下:
首先,场外配资属于融资融券业务,是受证券法规制的,需要获得证监会的许可。根据2019年最高法发布的《全国法院民商事审判工作会议纪要》,场外配资指的是将资金融出方、资金融入方即用资人和券商营业部三方连接起来,配资公司利用计算机软件系统的二级分仓功能将其自有资金或者以较低成本融入的资金出借给用资人。一般情况下,证券公司的融资融券业务称为场内配资,其他的配资行为称为场外配资,也就是说场外配资是融资融券业务之一。2019年修订的证券法第120条第1款明确规定,证券融资融券系证券公司经国务院证券监督管理机构核准,取得经营证券业务许可证才可以经营的业务。同时该条第4款指出,除证券公司外,任何单位和个人不得从事证券融资融券业务。
其次,李丽为客户提供α软件即分仓软件,根据客户的交易情况收取相应的费用,属于经营行为。李丽使用α软件为客户提供开立子账户、买卖、交易等证券业务,客户通过选择日配、周配或月配等配资类型以及相应的杠杆比例,通过支付宝或者网银转账向李丽支付保证金和预付利息。交易结束后,α软件会自动计算配资客户的本金、预付利息和盈亏情况,扣除配资客户应支付的借款利息后余款由乙公司控制的个人银行账户返还给配资客户。
最后,李丽的经营行为未获证券监管部门的批准。场外配资作为融资融券业务需要证券公司得到证券监管部门的批准,获得《经营证券业务许可证》后才可以进行。根据2019年证券法第120条第4款,李丽的违法经营行为显然不可能获得有关部门的批准。
问题三:关于自首和坦白的认定
主持人:自首和坦白均是我国刑法明文规定的量刑情节。该案中,李丽第一次到案后如实供述了开发α软件并有偿提供给他人使用的犯罪事实;取保候审期间,在因涉嫌非法经营被电话传唤到案后,又如实供述了利用α软件非法经营证券配资业务的犯罪事实。区分自首和坦白的关键是什么,如何评价李丽的上述行为?
喻海松:犯罪以后自动投案,如实供述自己的罪行的,是自首。该案中,李丽第一次到案后如实供述了相关事实,但其所涉行为已经被公安机关掌握,并对其进行讯问,故不符合自动投案的条件,不能成立自首。同样,李丽在第一次到案后并未对非法经营犯罪事实如实供述,而是在取保候审期间又因涉嫌非法经营被电话传唤到案才作供述,依法亦不能成立自首。坦白是刑法修正案(八)新增的制度。自首与坦白的区别主要就在于是否系自动投案,在如实供述自己的罪行这点上是相同的。李丽犯罪后未自动投案,但到案后如实供述自己的罪行,可以成立坦白。
江溯:自首与坦白的区分标准在于犯罪人是否存在自动投案的情况。根据相关司法解释,自动投案是指犯罪事实或者犯罪嫌疑人尚未被司法机关发觉,或者虽被发觉,但犯罪嫌疑人尚未受到讯问、未被采取强制措施时,主动、直接向司法机关投案。李丽在被公安机关抓获后如实供述了开发α软件并有偿提供给他人使用的犯罪事实,是在被采取强制措施情况下的如实供述,因此不是自首而是坦白;在取保候审期间,因涉嫌非法经营被电话传唤到案后,又如实供述了利用α软件非法经营证券配资业务的犯罪事实,是在公安机关已经掌握其犯罪事实情况下的如实供述,因此同样并非自首而是坦白。
夏涛:根据刑法第67条第2款,被采取强制措施的犯罪嫌疑人、被告人和正在服刑的罪犯,如实供述司法机关尚未掌握的本人其他罪行的,以自首论。在犯罪嫌疑人已经被采取强制措施的情况下,认定自首的要件在于审查“其他罪行”和“司法机关尚未掌握”这两个关键要素。李丽以提供侵入、非法控制计算机信息系统程序、工具的犯罪事实被取保候审,后供述非法经营的犯罪事实,属于不同种罪行,故符合“其他罪行”的要件;但公安机关在传唤李丽之前已经掌握了其非法经营的事实,故不符合刑法规定的“司法机关尚未掌握”的要件,不能成立“以自首论”的情形。同时,李丽当时已经被采取取保候审强制措施,对其进行电话传唤,是其遵守取保候审规定的体现,也不符合自首认定中“主动置于司法机关控制之下”的主观意愿要件。李丽虽没有主动投案的主动性,但其在归案后能够主动供述自己的罪行,构成坦白。
问题四:关于该案的罪数形态
主持人:该案中,李丽获取破解的券商交易接口程序后,开发提供证券交易服务的α软件并向他人提供有偿使用服务,和后续利用该软件向证券交易配资客户提供配资服务的行为既联系紧密,又相对独立。如何看待上述行为的罪数形态,对李丽是否需要数罪并罚?
喻海松:罪数判断的关键是准确认定行为的个数:在一个行为的情形下,不可能成立数罪,即使触犯数个罪名的,也只需要考虑具体罪名适用的问题;在数个行为的情形下,才需要讨论应以一罪还是数罪论处。该案中,李丽所涉行为实际可以分为两个阶段:第一个阶段是获取破解的券商交易接口程序后,开发提供证券交易服务的α软件并向他人提供有偿使用服务;第二个阶段是后续利用该软件向证券交易配资客户提供配资服务。两个阶段的行为虽有关联,但相互独立,在法律上有独立评价的必要。李丽第一个阶段的行为对象与第二个阶段的行为对象不相同,也就不具备按刑法上法定的一罪或者处断的一罪加以评价的可能,应分别加以评价;如果两个阶段的行为都构成犯罪,则应数罪并罚。
夏涛:牵连犯的行为人需要出于一个犯罪目的而实施数个犯罪行为,同时上述数个行为之间存在必然的牵连关系。在主观上,行为人须具有以实施前一犯罪为手段,以实施后一犯罪为目的的意思;在客观上,前一犯罪是后一犯罪的预备阶段,后一犯罪是前一犯罪的发展结果。该案中李丽的行为并不成立牵连犯。李丽向他人提供α软件和使用该软件开展配资业务的犯罪目的是相对独立的。从公司主体来看,李丽开发和提供α软件是通过甲公司完成的,但其开展配资业务则是通过乙公司;从客户对象来看,李丽提供α软件的对象与提供配资服务的对象并不完全重合;从收益方式来看,提供α软件的获利方式为按照交易流量的一定比例收取软件服务费,而配资服务的获利来源为客户配资后产生的利息差。可见,李丽实施的是两个独立的犯罪行为,应数罪并罚。
问题五:关于打击新型互联网证券犯罪的建议
主持人:新型互联网证券犯罪作案手法新、技术含量高,既危害计算机信息系统安全,也影响资本市场的平稳健康发展。司法机关可以从哪些方面推进工作机制创新,加大对该类犯罪的打击力度?
喻海松:新型互联网证券犯罪是互联网技术在证券领域的滥用,行为的迷惑性更强、危害更大,应当在刑事惩治的基础上,注重分析相关犯罪滋生的原因,完善前置法律,综合施策、标本兼治,实现有效规制与防范。首先,对该类犯罪坚持全链条惩治,不仅惩治直接具体实施互联网证券犯罪的行为,还应惩治为其提供程序、工具和其他有关帮助的行为。通过全链条惩治实现全流程规制,消除相关犯罪赖以生存的环境,以实现对证券市场秩序和相关网络秩序的有效维护。其次,对该类犯罪进行类型化分析,总结有关规律,为完善相关立法和健全监管措施提供参考。通过制定司法解释,发布指导性案例、典型案例等,不断健全司法尺度,做好法治宣传,引导证券行业依法经营。最后,延伸司法职能,促进行业监管。在刑事惩治的基础上,针对案件办理中发现的监管方面问题,进一步提出意见建议,促使监管手段的与时俱进和监管成效的有效累积。
江溯:有效打击新型互联网证券犯罪,一方面,司法机关应当充分准确地运用刑事手段,严格按照刑法规定的犯罪构成要件来定罪,做到不枉不纵;另一方面,司法工作人员应当与时俱进,不断学习最新的计算机和网络知识,充分掌握该类犯罪的技术原理,把技术与刑法充分结合起来,实现打击犯罪和保障人权的双重目标。
夏涛:新型互联网证券犯罪兼具“互联网犯罪”和“金融犯罪”的特性,由此带来了取证复杂、犯罪手段隐蔽、行为类型定性争议大等新问题。为更好地破解上述难题,可以探索建立跨市跨省协助取证制度。针对互联网金融犯罪被害人分布广泛以及跨行业、跨部门、跨地域等特点,可尝试建立跨市、跨省的金融机构、第三方支付平台、互联网信息存储平台之间的信息查询、共享机制,及时获取相关证据,提高取证效率。探索证券市场管理行刑衔接工作机制,建立涉互联网证券违法犯罪案件行政处罚法和刑事追责的快速关联和预警机制,形成打击合力。打造专业化的办案团队,在强化办案人员专业能力的同时,通过指派专业鉴定机构、吸收专家辅助人参与办案等方式,为办案提供有力的智力支持。
专家点评:关于这种新型互联网犯罪的司法规制
刘仁文
作者单位:中国社科院法学所中国刑法学研究会
专题分类:网络犯罪
期刊栏目:疑案精解
李丽利用破解的券商交易接口程序,开发并运营具有证券交易虚拟分仓功能的α软件,为证券交易配资客户提供开立虚拟二级子账户、委托交易、查询、结算等证券业务。α软件的β子程序具有调用券商接口插件链接库中的函数,实现α软件的虚拟二级子账户在券商交易系统中查询信息和交易等功能。该案涉及三个争议,以下分别解析。
一、获取破解的券商交易接口程序后又开发软件接入券商计算机信息系统服务器,构成提供侵入、非法控制计算机信息系统程序、工具罪
该案中,认定李丽构成提供侵入、非法控制计算机信息系统程序、工具罪的关键在于:第一,α软件的β子程序调用破解的券商交易接口程序接入券商柜台计算机信息系统服务器,属于侵入计算机信息系统中的“侵入”。危害计算机信息系统安全类犯罪中的“侵入”是一个颇具争议的概念,刑法规范和相关司法解释缺乏清晰的界定。理论上一般认为,“侵入”是指未经授权访问他人计算机信息系统的行为。通常表现为四种情形:(1)盗取他人访问密码,冒充合法用户实施访问;(2)合法用户越权访问;(3)利用技术手段进入本无权进入的计算机信息系统;(4)通过“陷阱门”“后门”进行非法入侵。
该案中的情形属于未经券商授权,利用技术手段进入本无权进入的计算机信息系统。首先,券商授权金融软件进入自己柜台计算机信息系统服务器的方式有两种:一种是券商私有API接口,即由券商提供给特定第三方金融软件公司使用;另一种是券商把其接口进行封装后,直接供个人投资者使用。其次,α软件的β子程序不属于上述任何一种情况,也即α软件的β子程序没有获得券商授权其进入自己柜台计算机信息系统服务器的权限。最后,α软件的β子程序通过技术手段处理进入了券商柜台计算机信息系统服务器。技术手段处理方式主要有两种:一种是通过破解的券商交易接口程序,调用有关插件中动态链接库中的函数,打开第三方金融软件等;另一种是破解接口协议代码,利用源代码生成接口程序文件,将非法交易数据发送到券商柜台计算机信息系统服务器。
第二,α软件的β子程序是专门用于侵入计算机信息系统的程序。检察指导性案例第68号叶源星、张剑秋提供侵入计算机信息系统程序、谭房妹非法获取计算机信息系统数据案的指导意义指出,对有充分证据证明涉案程序是专门设计用于侵入计算机信息系统、非法获取计算机信息系统数据的,可以直接认定为“专门用于侵入计算机信息系统的程序”。理论上一般认为,只要在功能上具有“专门性”,就符合法定的“专门性”认定规则,但功能与目的是一个问题的两个方面,缺少任何一个方面,得出的结论都有失偏颇。对此,程序的“专门性”需要从功能和目的两个方面进行论证。
从功能看,α软件的β子程序具有单一性,即侵入券商柜台计算机信息系统服务器。实现这一功能的方式主要有三种:(1)调用有关插件中的加密函数和解密函数,使程序能与券商柜台计算机信息系统服务器进行正常交互;(2)调用券商交易接口插件动态链接库中的函数,打开和关闭第三方金融软件、查询各种交易数据等;(3)利用源代码生成接口程序文件,将非法交易数据发送到券商柜台计算机信息系统服务器,完成相关交易。从目的看,α软件的β子程序也具有单一性,即为不能接入券商柜台计算机信息系统服务器的α软件提供技术支持,通过破解券商私有接口将α软件接入券商柜台计算机信息系统服务器。综上,可直接将该案α软件的β子程序认定为专门用于侵入计算机信息系统的程序。
二、未经批准利用α软件从事证券交易分仓、场外配资等服务,构成非法经营罪
未经国家有关主管部门批准非法经营证券业务是非法经营罪所规制的行为类型。利用α软件从事证券交易分仓、场外配资等服务,应被评价为非法从事证券业务,构成非法经营罪的行为类型。券商从事证券交易的方式有两种,一种是传统证券交易,另一种是网上证券交易,该案属于网上证券交易。券商通过金融软件提供证券交易分仓、场外配资等服务,是目前券商从事网上证券交易业务的主要方式。该案中李丽利用α软件为其客户提供分仓、场外配资等服务属于券商从事网上证券业务的内容。但从事证券业务必须经证监会批准,李丽的行为并未获证监会批准。
追究李丽的刑事责任,不以证监会行政处罚决定书载明被处罚公司涉嫌非法经营罪为前提。理由有三:其一,虽然非法经营罪具有刑事违法和行政违法两个特征,但行政法与刑法在规制范围、规制目的上的差异,决定了刑事违法的判断需坚持自身的独立性。其二,可以根据司法解释中非法经营证券业务的刑事立案标准,判断有关行为是否达到刑事违法性标准。其三,在已经达到非法经营罪刑事违法性标准的前提下,可直接依据非法经营罪的构成要件对有关行为加以认定。
三、获取破解的券商交易接口程序后又开发、运营证券交易软件,构成数罪,应数罪并罚
第一,获取破解的券商交易接口程序后又开发、运营证券交易软件,应构成数罪。确定犯罪个数的基准,主要有行为说、意思说、结果说和构成要件说等。通说以构成要件说为基准,即基于一个罪过,实施一个犯罪行为,符合一个构成要件的,为一罪;基于多个罪过,实施数个犯罪行为,符合数个犯罪构成要件的,是数罪。
从主观上看,李丽具有两个故意:一是提供破解的券商交易接口,开发接入券商柜台计算机信息系统服务器的α软件的故意;二是利用自己开发的α软件,为其注册用户提供证券信息查询、交易等服务,即从事证券经营类业务的故意。从客观上看,李丽实施了两个行为:一是提供破解的券商交易接口,交予雇员开发α软件;二是利用α软件,进入券商柜台计算机信息系统服务器,从事证券交易业务。从客体上看,李丽实施的两个行为侵害了两个法益:前行为侵害了计算机管理秩序法益;后行为扰乱正常的证券市场交易秩序,侵害了证券市场交易秩序法益。
第二,应对获取破解的券商交易接口程序后又开发、运营证券交易软件的行为数罪并罚。李丽故意实施获取破解的券商交易接口程序后又开发、运营证券交易软件的系列行为,符合数个犯罪构成要件,同时法律未将相关行为规定为一个罪名,所以不存在想象竞合、法条竞合及法定的一罪诸情形。
有争议的是,李丽获取破解的券商交易接口程序后又开发α软件的行为,与运营α软件的行为之间,是否存在手段行为和目的行为的牵连关系。虽然李丽故意实施的系列行为,满足了牵连犯的两个要件——行为人实施了两个充足于犯罪构成要件、能独立评价为数罪的行为;数个犯罪行为分别触犯了不同的罪名。但是,李丽主观上并非受一个犯罪故意支配,所实施的数个行为之间也不具有牵连关系。首先,李丽提供破解的券商交易接口是为了α软件的成功开发;运营α软件是为了非法获利,二者之间存在本质区别。现实中的一些公司是可能具有合法开发应用软件的资质的。其次,李丽获取破解的券商交易接口程序后又开发α软件的行为与运营α软件的行为没有牵连关系。按照社会一般经验,开发证券交易软件与维护证券交易软件具有牵连关系,开发证券交易软件与运营证券交易软件不具有牵连关系。前者可能是李丽实际控制的甲公司可以从事的正常业务;后者则需要经过国家有关部门的特别授权。因此,将李丽实施的获取破解的券商交易接口程序后又开发、运营证券交易软件构成的数罪评价为牵连关系不妥当,应当对其数罪并罚。
信息网络环境下,利用互联网技术手段,破解券商柜台计算机信息系统服务器接口,开发、经营证券交易类软件,不仅侵害了券商的合法权益,扰乱了正常的证券市场交易秩序,而且损害了计算机网络公共秩序。检察机关办理这类案件,应充分发挥能动检察职能,多维思考,一并审查与危害计算机信息系统安全相关联的犯罪,以高水平办案服务保障经济社会高质量发展。将故意提供破解的券商交易接口程序后又开发软件接入券商柜台计算机信息系统服务器的行为认定为提供侵入、非法控制计算机信息系统程序、工具罪,将利用金融软件非法进行虚拟分仓、为他人开立证券子账户、配资等行为认定为非法经营罪,并对这两类行为数罪并罚,不仅坚持了罪刑法定原则,而且坚持了罪责刑相适应原则,实现了援法断罪,罚当其罪,为新型互联网环境下科学规制利用高科技手段侵入计算机信息系统实施证券违法犯罪行为贡献了司法智慧。
[编辑:张倩 见习编辑:王小飞]
|