|
【202008032】利用网络平台漏洞取财的定性
文/葛立刚
【裁判要旨】
行为人以非法占有为目的,利用网络平台的系统漏洞,以技术手段造成系统错误,进而取得财物,数额较大的,应认定为盗窃罪;对系统应用程序予以删除、修改或增加后,转移平台公司财物为己所有而得的违法所得数额,不能作为破坏计算机信息系统罪中后果严重的认定依据。
□案号 一审:(2017)沪0109刑初73号 二审:(2017)沪02刑终893号
【案情】
公诉机关:上海市虹口区人民检察院。
被告人:王科、单以朋。
上海市虹口区人民法院经审理查明:被告人王科于2016年4月16日晚,在受被告人单以朋委托,帮其制作电信翼积分快速兑换翼支付余额软件过程中,发现该兑换系统存在漏洞,后利用被告人单以朋提供的手机号登录该号码的翼积分账号,通过多次测试,利用该漏洞制作了不需要消耗积分即成功兑换翼支付余额的软件,并成功兑换翼支付余额222.12元。被告人单以朋明知被告人王科已经掌握该技术,仍再次提供其他5个手机号码,由王科在上述5个翼积分账户以零积分兑换翼支付余额共计27800元,随后由被告人单以朋转账或者消费,并支付给被告人王科报酬。被告人王科于2016年4月17日至26日间,在其他16个翼积分账户内采用上述相同手段以零积分兑换翼支付余额共计385800.02元,其中273889元被转账或消费。
【审判】
虹口区法院认为,被告人王科、单以朋以非法占有为目的,结伙或者单独多次盗窃公私财物,其中被告人王科犯罪数额特别巨大,被告人单以朋犯罪数额较大,其行为均已构成盗窃罪。被告人王科发现了被害单位电脑系统漏洞,进而利用技术窃取被害单位财物,其窃取方法、窃取时段、登录设备的MAC、IP地址、相应支付宝交易记录等证据均能够证明其实施了指控的犯罪。本案部分犯罪系共同犯罪。在共同犯罪中,被告人王科起主要作用,系主犯,被告人单以朋起次要作用,系从犯,对从犯应从轻处罚。被告人单以朋到案后如实供述犯罪事实,可从轻处罚。据此,依照刑法第二百六十四条,第二十五条第一款,第二十六条第一款、第四款,第二十七条,第六十七条第三款及第六十四条之规定,判决被告人王科犯盗窃罪,判处有期徒刑11年,并处罚金3万元;被告人单以朋犯盗窃罪,判处有期徒刑1年3个月,并处罚金3000元;追缴赃款发还被害单位;犯罪工具予以没收。
一审宣判后,被告人王科不服,提出上诉。
上海市第二中级人民法院经审理认为,原判认定事实清楚,证据确实充分,适用法律正确,审判程序合法,量刑并无不当,遂裁定驳回上诉,维持原判。
【评析】
关于本案定性,审理中存在三种意见:第一种意见认为被告人王科利用被害单位系统漏洞,以技术手段获取财物是一种秘密窃取行为,应定盗窃罪;第二种意见认为被告人利用技术手段欺骗了平台公司,使平台的兑换系统主动交付财物,应定诈骗罪;第三种意见认为被告人制作非法软件以影响余额兑换系统功能正常运行进而取得财物,同时构成盗窃罪和破坏计算机信息系统罪,属于想象竞合,应择一重处。
笔者同意第一种意见,理由如下:
一、利用平台的系统漏洞取得财物属于违背被害人意志的主动获取型犯罪,不成立诈骗罪
诈骗罪和盗窃罪的区分一直是涉互联网侵犯财产类犯罪司法认定的难点。诈骗罪的基本逻辑结构在于,行为人虚构事实、隐瞒真相,使被害人发生认识错误,后被害人基于该错误认识主动交付财物。盗窃罪则是行为人违背被害人意志,在被害人不知晓的情况下秘密窃取财物。所以从行为特征看,在行为人取得财物的情况下,诈骗是被害人基于处分意识自愿主动交付财物,属于被动交付型犯罪;盗窃则是行为人违背被害人意志主动取得财物,属于主动获取型犯罪。
然而,在互联网支付结算环境下,与犯罪行为人发生直接联系的是平台公司的计算机信息系统,而不是系统背后的平台公司。系统本身不具有人的意识,自然也不会陷入认识错误从而交付财物,但并不能由此得出,针对系统实施的侵犯财产犯罪就不可能构成诈骗罪。实际上,任何一个网络平台都是平台公司在互联网环境下的延伸,系统按照平台公司的预先设定或指令执行相关操作,其仍然是平台公司意志的体现。如果互联网平台或者相关程序本身没有遭到破坏,也没有发生错误、紊乱,而是严格按照平台公司的指令正常运行,那么,此时系统就是在实现其背后的平台公司的意志,与公司员工按照公司既定的工作规程执行公司任务并无本质差异。这种情况下,行为人利用平台运行的规则性漏洞,通过平台获取公司财物,就可能符合诈骗类犯罪的构成要件。比如,拾得他人信用卡并在ATM机使用的,行为人就是利用了ATM机仅凭磁条或芯片信息读取、密码认证等途径识别持卡人身份的规则漏洞,进而取得卡内资金,因而构成冒用型的信用卡诈骗罪,而不构成盗窃罪。但如果平台的相关程序本身存在错误或者漏洞并被行为人利用,或者系统经行为人技术干预而发生紊乱这种情况下,平台交付财物的操作实际上是违背其背后的平台公司的意志的,因而不属于基于认识错误而为的自愿、主动交付财物行为,不构成诈骗罪。
本案中,被告人王科发现了翼支付平台的系统漏洞,并据此制作了非法软件以零积分兑换翼支付余额,系统并没有严格按照平台公司预先设定的指令正常运行,不能代表平台公司的意思表示。所以,平台向被告人王科兑换翼支付余额的行为,看似主动交付,实则是违背平台公司意志的系统错误行为,不属于被害人基于处分意识所为的处分行为,自然不能认定为诈骗。也即,被告人王科利用平台的系统漏洞,以技术手段造成系统错误,进而对财物实现非法占有,从行为特征看,仍属于主动获取,而不是被动交付,故本案应定盗窃罪而非诈骗罪。
二、本案对系统程序的破坏尚未达到后果严重,不成立破坏计算机信息系统罪
根据刑法第二百八十六条,破坏计算机信息系统罪有三种行为方式:(1)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的;(2)违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的;(3)故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的。据此,依据第一款、第三款规定构成该罪的,应当要求造成计算机信息系统不能正常运行或影响计算机系统正常运行,即应当造成计算机系统本身的破坏;依据第二款构成该罪的,则无此要求。
本案中,被告人王科利用技术手段对翼支付兑换系统予以干预,以实现其零积分兑换翼支付余额的目的,但这种干预是临时的、排他的,并没有造成系统本身的破坏,或者说,这种破坏并未依附于系统本身,对于其他用户而言,兑换系统仍然在正常运行。故被告人王科的行为不符合刑法第二百八十六条第一款、第三款的规定。那么,是否符合第二款的规定呢?
有观点认为,被告人王科制作并在翼支付平台上使用非法兑换软件,就是第二款中规定的对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,具体而言,是对计算机信息系统中的应用程序进行修改、增加的操作。同时,王科据此通过兑换获得翼支付余额的金额也达到了最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)中规定的违法所得5000元以上的后果严重的数额标准,因而其行为符合破坏计算机信息系统罪的构成要件。
笔者对此持不同观点。破坏计算机信息系统罪所侵犯的客体是计算机信息系统安全,基于此,对刑法第二百八十六条第二款的规定就不能作泛泛的理解。虽然第二款没有规定需造成计算机信息系统不能正常运行才能构成该罪,但对后果严重进行理解时,仍不能脱离对计算机信息系统安全影响的考察。比如,第二款规定,对计算机信息系统中的数据进行删除、修改、增加的操作可构成该罪,但不意味着对系统中的任何数据实施上述操作都可构成该罪,而只有当这些操作可能影响系统本身的安全运行时,才属于该款中规定的后果严重,也即,后果严重应当与计算机信息系统安全具有关联性。同样,作为后果严重认定标准之一的违法所得,也应当仅指破坏计算机信息系统的直接所得,而不应包括破坏后又通过其他非法手段获得财物的情况。正如有观点所述,“据以判断‘后果严重’的违法所得必须是基于删除、增加、修改等行为本身所产生的违法所得,而并非通过删除、增加、修改等行为将他人的财物转为自己所有”。[1]如此,才能真正体现违法所得作为破坏计算机信息系统后果严重认定标准的应有之义。
本案中,被告人王科通过制作、使用非法软件对翼支付余额兑换系统的干预与系统安全运行本身具有关联性,但其据此所获得的翼支付余额并不能认定为《解释》中的违法所得。也即,被告人王科通过制作、使用非法软件对兑换系统程序进行修改、增加,从而具有了以零积分兑换翼支付余额的可能性,该修改、增加行为本身未为被告人王科牟得任何经济利益,而是被告人王科在进行修改、增加操作的基础上,又通过兑换行为成功使以零积分兑换翼支付余额的可能性变为现实性。所以,被告人王科通过兑换所得翼支付余额,并非基于修改、增加等行为本身产生的违法所得,不能作为后果严重的认定依据,进而,其行为也不构成破坏计算机信息系统罪。
综上,本案被告人的行为不符合诈骗罪、破坏计算机信息系统罪的构成要件,也不构成盗窃罪与破坏计算机信息系统罪的想象竞合,对其行为应以盗窃罪罪定罪判处。
【注释】
作者单位:上海市虹口区人民法院
[1]吴波、俞小海:“怎样理解‘后果严重’与‘计算机信息系统数据’”,载2019年4月19日《检察日报》。
|