私人發行的數字貨幣(廖一凡 非法獲取私人數字貨幣行為的法教義學分析)
廖一凡 華中科技大學法學院碩士研究生
在司法實踐中,非法獲取私人數字貨幣案件時有發生,對于該行為的罪名認定主要存在盜竊罪和非法獲取計算機信息系統數據罪的爭議。定性爭議源于實務中對行為對象的梳理不全面、法益界定存在分歧以及行為評價不統一,其行為對象包括密碼或私鑰、計算機系統以及私人數字貨幣,分別對應數據法益、計算機信息系統安全以及財產法益。在具體定性中,非法獲取私人數字貨幣可以分為侵害數據法益類與非侵害數據法益類。對于侵害數據法益類型,結合行為侵害的其他法益,分別認定為非法獲取計算機信息系統數據罪與盜竊罪構成牽連犯、以及以上兩罪的牽連犯與非法控制計算機信息系統罪數罪并罰。對于非侵害數據法益類型,可分別認定為盜竊罪以及盜竊罪與非法控制計算機信息系統罪數罪并罰。
一、非法獲取私人數字貨幣的司法現狀及其適用困境
我國司法實務中出現了許多非法獲取私人數字貨幣(下文出現的比特幣、虛擬貨幣均指私人數字貨幣)的案件,其裁判結果的分歧引起了學界的關注。我國刑法學者在研究獲取私人數字貨幣行為的定性時,多將關注點聚焦于私人數字貨幣的法律屬性之上,這些研究成果雖有一定的借鑒意義,但是對于司法實踐的需求回應不夠,尚不足以發揮指導作用,還需要結合現行立法的相關規定,進一步研究當前實踐中的問題,提出行之有效的解決方案。
(一)非法獲取私人數字貨幣案件的司法現狀
法院對于非法獲取私人數字貨幣的定罪主要包括:以盜竊罪定罪和以非法獲取計算機信息系統數據罪定罪。筆者在“中國裁判文書網”上設置裁判截止日期為“2021年11月12日”,以“數字貨幣”或“比特幣”為關鍵詞,再添加“盜竊罪”或“非法獲取計算機信息系統數據罪”進行檢索,檢索結果如下圖:
表1
在剔除盜竊電力和盜竊“挖礦”設備等與本文研究對象不相符的樣本后,定性為盜竊罪的案件共5件,定性為非法獲取計算機信息系統數據罪的案件共14件。實踐中還存在敲詐勒索、詐騙等非法獲取數字貨幣的案件,但這類案件對于明晰盜竊罪和非法獲取計算機信息系統數據罪在非法獲取私人數字貨幣案件上的適用并無幫助,所以不在本文的研究范圍內。
(二)非法獲取私人數字貨幣案件的適用困境
我國禁止私人數字貨幣融資但不禁止私人持有和交易的態度、相關立法具有較大的解釋空間以及非法獲取私人數字貨幣的理論研究不夠深入等原因,造成實踐中非法獲取私人數字貨幣案件出現以下困境。
1.行為對象的梳理不全面
筆者通過對19件案例進行梳理,發現以上案件的行為模式可以概括為“打破控制+轉移占有”,“打破控制”主要包括獲取密碼和控制計算機系統兩種方式,“轉移占有”則是指將私人數字貨幣轉移到自己賬戶或提現等操作。實務審判中缺乏對所有行為對象的梳理評價,以盜竊罪定罪的案件易忽視“打破控制”的行為對象即“密碼或私鑰”和“計算機系統”;以非法獲取計算機信息系統數據罪定罪的案件則僅關注“計算機系統”,而忽視“密碼或私鑰”和“私人數字貨幣”。此類案件的審判往往陷入先入為主、以預判主導論證之中。
2.法益界定存在分歧
與行為對象的梳理不全面“一脈相承”的是,對于該行為侵害法益的梳理亦存在缺漏。以盜竊罪定罪的判決中只論及“財產法益”,而以非法獲取計算機信息系統數據罪定罪的判決往往只提及“計算機系統安全”。
除了以上缺漏外,實踐中對于私人數字貨幣表征的法益界定亦存在爭議。我國央行等五部委于2013年12月發布的《關于防范比特幣風險的通知》(以下簡稱《通知》),將比特幣定義為“一種特定的虛擬商品”,但是該《通知》實質是“以一個模糊的概念來界定另一個模糊的概念”。實務判決中存在幾種觀點:一是“比特幣是一種特殊的互聯網商品,具有現金價值,屬于他人的合法財產”;二是“阿希幣是虛擬貨幣,其法律屬性是計算機信息系統數據,存在相應價值,但與金錢財物等有形財產、電力燃氣等無形財產存在明顯差別”;三是“虛擬貨幣是虛擬商品,但它不是實物,且缺乏穩定性,沒有現實的效用性,不能認定為刑法意義上的財物,其實質是動態數據組合,可視為計算機信息系統數據”。綜上,實務中對私人數字貨幣表征的法益存在“財產法益說”“財產法益否定說”以及“數據法益說”。
3.犯罪行為的評價不統一
我國刑法第287條規定:“利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的,依照本法有關規定定罪處罰。”最高人民法院研究室《關于利用計算機竊取他人游戲幣非法銷售獲利如何定性問題的研究意見》則建議:“采用技術手段非法獲取包括虛擬財產在內的計算機信息系統數據的行為,應當以非法獲取計算機信息系統數據罪論處。”可見,我國立法與司法研究意見對于利用計算機技術盜取虛擬財產案件的處理意見相左。以上立法規定和司法研究意見必然影響法院對犯罪行為的評價,不少判決將其作為法律依據或者是論證理由引用,從而導致行為人的犯罪行為高度相似,而判決結果大相徑庭的情況。例如,“黃方駿盜竊案”和“田華鳳非法獲取計算機信息系統數據案”,兩行為人均是在幫助他人投資比特幣的過程中,采用非技術手段獲知了被害人比特幣錢包的賬號和密碼,并利用其將被害人比特幣轉移。判決結果則是黃方駿構成盜竊罪,田華鳳構成非法獲取計算機信息系統數據罪。“武宏恩盜竊案”和“馮國仕非法獲取計算機信息系統數據案”,兩行為人通過QQ遠程操作獲取了被害人存放于計算機的投資平臺的賬號和密碼,后將被害人比特幣轉移或變賣。法院判決武宏恩成立盜竊罪,馮國仕成立非法獲取計算機信息系統數據罪。又如“胡志凱盜竊案”和“許武浩非法獲取計算機信息系統數據案”,兩行為人通過非法獲取的郵箱數據庫,登錄被害人郵箱,利用“密碼找回”修改了與郵箱相關聯的被害人投資平臺密碼,并登錄平臺賬戶進行比特幣變賣或轉移。法院判決胡志凱構成盜竊罪,許武浩構成非法獲取計算機信息系統數據罪。
二、非法獲取私人數字貨幣行為對象的厘清
獲取私人數字貨幣作為非法獲取私人數字貨幣案件的最終目的,在多數法院的判決中成為了唯一的評價對象。以持有的主體為標準,私人數字貨幣可以分為交易平臺擁有和個人持有。對于交易平臺持有的數字貨幣,侵入交易平臺網站是主要的行為模式;對于個人持有的數字貨幣,其模式可概括為以各種手段獲得密碼或私鑰后獲取數字貨幣。故此類案件的行為對象除私人數字貨幣外,還應當包括交易平臺網站即計算機信息系統、數字貨幣錢包私鑰和交易平臺密碼。
(一)私人數字貨幣
實踐中關于私人數字貨幣是什么的問題存在誤解,法院判決中多采取“將電子錢包中的數字貨幣轉移”的表述,認為虛擬貨幣是存儲在數字貨幣錢包中的數據。
1.私人數字貨幣的概念
私人數字貨幣是與法定數字貨幣相對的概念,根據數字貨幣的發行機關不同,可以將數字貨幣分為兩大類,法定數字貨幣是由中國人民銀行發行的法定貨幣的數字化形式,私人數字貨幣是由私人發行并運用區塊鏈技術發行、管理、流通的貨幣,包括比特幣、以太坊等虛擬貨幣。數字貨幣的概念并不統一,基于認識和使用習慣的分歧,數字貨幣也被稱為加密貨幣或虛擬貨幣。
數字貨幣誕生于現代密碼學,以區塊鏈技術作為底層支撐技術。數字貨幣不需要借助第三方開戶,用戶通過在計算機終端上安裝數字貨幣錢包,即可開設賬戶。在安裝過程中,本地會根據電腦特有的參數信息隨機生成私鑰,后本地通過特定算法導出公鑰,經過兩次哈希運算并整合得到一個長位數,即錢包地址。錢包地址全網公開,相當于商業銀行的賬號,私鑰則相當于密碼。在沒有中介的情況下,錢包與錢包之間可以直接開展交易。區塊鏈上的每個節點都可以將發生的交易記錄下來,并通過工作量證明機制決定最終的記賬人。需要注意的是,數字貨幣錢包具有錢包之名而不具有錢包之實,雖然可以顯示該賬戶的數字貨幣存量,但是該存量是對記錄在區塊鏈同一地址的所有數字貨幣交易進行結算后得出的數值,其存儲的是數字貨幣的私鑰,而非數字貨幣本身。
2.私人數字貨幣的特征
中國人民銀行等五部委將數字貨幣定義為虛擬商品。該定義并非是從刑法層面對數字貨幣做出的界定,但是表明與傳統商品相比,私人數字貨幣具有以下特征:無體性和交換價值的有限性。
(1)無體性
通過上文對私人數字貨幣技術原理的梳理可知,數字錢包存儲的是私鑰,區塊鏈上分布的是交易記錄,私人數字貨幣既不存儲在數字錢包之中,也非分布于區塊鏈之上,乃是對區塊鏈上同一地址的所有交易進行結算后得出的數值。私人數字貨幣不具有實體,是一個純粹的概念。正如前文所述,法院對于私人數字貨幣的法律屬性認識存在分歧,部分判決將私人數字貨幣定性為計算機信息系統數據。即使相關司法解釋將非法獲取計算機信息系統數據罪中的“數據”限縮為“支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息”以及“其他身份認證信息”,即使目前“數據”的范圍正處于擴張趨勢,也無法囊括私人數字貨幣。因為一般的數據不論是存儲于電腦還是存儲于云端服務器,至少具備數據的本體,而私人數字貨幣不具有數據實體,公鑰、私鑰以及區塊鏈上的記錄都不是數字貨幣本身。
(2)交換價值的有限性
馬克思在《資本論》中提出資本社會中所有的商品都具有使用價值和交換價值兩個維度。所謂商品的使用價值是指能夠滿足人們一定的需要,典型商品的使用價值包括服務和勞動力的使用價值。交換價值是指商品的交換能力,其表現形式是價格或是商品在售賣時能夠得到的東西或貨幣量。私人數字貨幣是一種作為概念存在的虛擬物,其本身并未凝結無差別的人類勞動,不具有傳統意義上的商品使用價值。但在信仰數字貨幣的社群內范圍內,可以實現其購買商品的能力,亦可進行數字貨幣之間以及數字貨幣與法定貨幣的兌換,但不像法定貨幣以國家信用背書,私人數字貨幣具備的是一種有限的交換價值。
(二)計算機信息系統
根據我國刑法以及相關司法解釋的規定,“計算機信息系統”和“計算機系統”是指具備自動處理數據功能的系統,包括計算機、網絡設備、通信設備、自動化控制設備等。由于交易平臺密碼和數字錢包私鑰多存儲于計算機系統中,因此一般情況下,行為人在獲取交易平臺密碼或數字貨幣錢包私鑰時可能會侵入被害人的計算機系統;對于直接登錄交易網站的行為當然會將計算機系統作為行為對象。實踐中只有以非法獲取計算機信息系統數據罪定罪的判決會主動將計算機信息系統作為行為對象評價,以盜竊罪定罪的判決則直接略過這一行為對象。
(三)數字貨幣錢包私鑰和交易平臺密碼
私人數字貨幣在我國主要發揮投資功能,私人數字貨幣的持有者買進和賣出私人數字貨幣的交易分為兩種:一種是去中心化交易平臺上交易,即數字錢包之間的直接交易,這種交易方式中私鑰是轉賬和接收并使用的關鍵。私鑰是數字貨幣所有權的象征,本質是一串由字母和數字隨機組成的64位字符,可以從互聯網上將熱錢包或冷錢包下載到自己的計算機、移動電話或其他數字設備,用于儲存私鑰。私鑰的泄露和損毀意味著持有者的數字貨幣資產暴露于隨時被侵犯的危險之中或者其數字貨幣資產永遠無法找回。
另一種是中心化交易平臺上的現貨交易,類似于股票市場的交易。由于去中心化交易不能掛單買賣,成交花費時間長,故我國大部分的數字貨幣交易是通過中心化交易所進行的。中心化交易平臺的交易原理可以概括為:通過注冊成為平臺用戶,交易所會為每一名用戶分配一個錢包地址。從事交易的第一步是向交易所充值,平臺用戶將法定貨幣支付給平臺,平臺從自身持有的數字貨幣總量中轉移相應數額至用戶的錢包地址;或者用戶通過自己其他錢包向平臺分配的錢包地址充值,交易所則會顯示用戶的賬戶內有對應的數字貨幣。交易所用戶賬戶的數字貨幣會定期歸集到交易所的主錢包地址中,因此用戶從平臺分配的錢包地址向其他錢包提幣實際是從交易所主錢包地址的轉移。需要注意的是平臺內交易通過登錄平臺賬號和密碼即可進行操作,因此平臺內交易并不引發區塊鏈的交易記錄,僅表現為用戶交易平臺賬戶的數字貨幣數值的增減。對于錢包之間的直接交易,則需要轉賬方知道對方的錢包地址和公鑰,并用自己的私鑰對轉賬報文進行簽名并全網廣播,引發區塊鏈的交易記錄。
三、非法獲取私人數字貨幣侵犯法益之界定
通過上文梳理可知,非法獲取私人數字貨幣的行為對象包括私人數字貨幣、計算機信息系統、錢包私鑰和交易平臺密碼。私人數字貨幣所承載的法益應界定為財產性利益,計算機信息系統表征的則是計算機信息系統安全,錢包私鑰和交易平臺密碼本質屬于數據。
(一)私人數字貨幣的法益論證
關于私人數字貨幣的屬性,存在貨幣說、數據說、物權客體說以及債權說。由于2013年央行等五部委出臺的《通知》明確表明比特幣不是真正意義上的貨幣,另外比特幣作為一個純粹的概念,并不具有“數據”實體,所以對于數字貨幣的爭議應當限縮于物權客體和債權之間。無論是物權客體說還是債權說都是對私人數字貨幣具有財產屬性的肯定,這兩派觀點來源于民法上對私人數字貨幣的界分,延伸到刑法領域則分別對應財產犯罪中的財物說和財產性利益說。
1.物權客體說
有學者認為,雖然比特幣不屬于物理意義上的有體物,并非傳統民法意義上的物,但是用戶可以通過私鑰排他性地控制與支配數字貨幣,基于管理可能性說,數字貨幣可以成為物權的客體。持反對意見的學者認為,根據物權法定原則,數字貨幣沒有被規定為物權法上的“物”,所以數字貨幣不能成為物權客體。基于此觀點,有學者提出反對意見,即判斷虛擬財產(該學者認為虛擬貨幣是一種虛擬財產)是否是物的實質不在于物權法的規定,而應當根據其是否具有物權客體的屬性進行判斷。虛擬財產滿足可由特定的時、空加以固定的一種現實客觀存在的特定性和可按照一般社會觀念得以完整存在的獨立性,可以成為物權的客體。但是正如前文所述,數字貨幣不具有實體甚至不具有數據本體,其不滿足“現實客觀存在”的要求,并且數字貨幣只具有交換價值不具有內在的使用價值,脫離了其運行的區塊鏈網絡,數字貨幣無法獨立完整存在。因此根據該學者主張的實質判斷標準,數字貨幣亦無法成為物權的客體。
阻礙數字貨幣被評價為物權客體的因素有二,即物權法定原則和數字貨幣的非客觀存在性,這是當前持“物權客體說”的學者無法解決的問題。
2.債權說
有學者參考日本法院的判決,“絕大多數案由是合同、無因管理與不當得利等債權法律關系糾紛”,根據我國民法典第118條第2款規定“債權是因合同、侵權行為、無因管理、不當得利以及法律的其他規定,權利人請求特定義務人為或者不為一定行為的權利。”從而建議將數字貨幣當事人的權利定性為債權。另有學者從虛擬貨幣的實質進行分析,認為虛擬貨幣的權利內容實際上是“當事人可將他人承認之持有單位數向其他參加者移轉之權利,且該持有單位數須經他人承認才有正當性。”據此應當屬于債權。持債權否定說的學者理由則較為統一,即數字貨幣的去中心化導致發行人和債務人缺位,故不存在對特定人的債權。
筆者贊同“債權說”,在數字貨幣開發者編寫的程序中可以解讀出相關的權利與義務,如數字貨幣程序管理者的資格、程序治理規則、程序變更規則等。以比特幣為例,其程序規則大致可以概括為原始取得數字貨幣的規則與繼受取得數字貨幣的規則。原始取得即數字貨幣采取分布式共享賬本,區塊鏈上的每個節點都有一個賬本,每個節點都能檢測、驗證賬本信息,通過數學題決定最終的記賬人,獲得記賬權的人可以得到系統自動獎勵的一定數目的比特幣。繼受取得則是預先知道對方的錢包地址和公鑰后,轉賬方用自己的私鑰對轉賬報文進行簽名并全網廣播。全網收到該轉賬信息后進行驗證,最終持有錢包地址私鑰的人才能夠使用這筆資金。區塊鏈上的每個節點在加入區塊鏈時可視為已經默示接受以上規則,每一個節點的負責人既是權利人又是義務人,例如請求其他節點對轉賬信息進行驗證的權利和驗證轉賬信息的義務,這種權利和義務通過程序的設計而自動行使和履行,與傳統債權行使方式不同。值得一提的是,以中心化交易所為平臺進行數字貨幣的交易,主要是指交易所的內部交易,通過向交易所發出指令,經交易所審核后,在平臺內發生數字貨幣的轉移或者兌換,在這一場合,數字貨幣則體現為用戶對交易所的債權。
與德國、日本刑法明確區分財物與財產性利益不同,我國刑法侵財犯罪中未出現“財產性利益”,僅有“財物”一個概念,但我國刑法通說承認財產犯罪中的“財物”是包含財產性利益的廣義概念。張明楷教授提出不論是財產性利益還是狹義的財物,只要具備三個特征即可作為財產犯罪的對象,第一,具有管理可能性,數字貨幣的管理可能性可以通過錢包私鑰、交易平臺密碼或者交易平臺網站管理權限實現;第二,具有轉移可能性,數字貨幣雖不具有實體,但可以在錢包或交易平臺賬戶之間進行轉移,并表現為區塊鏈上或平臺上相應的交易記錄;第三,具有價值性,凡具有一定交換價值或一定使用價值,原則上就是財產犯罪的行為對象。數字貨幣的單一價值性不妨礙其成為財產犯罪的行為對象。有學者則持反對觀點,認為虛擬財產不能歸入“財物”,只能以侵犯著作權罪進行補充保護。知識產權的客體首先應當是人類的智力成果,私人數字貨幣是由“礦工”們依賴于各自“礦機”的計算能力,爭奪記賬權而產生的,其本身并不具有任何智力創造。因此即使學界對數字貨幣的屬性仍存在物權客體說和“債權說”的爭議,也不影響數字貨幣成為財產犯罪的行為對象。
(二)數據法益作為新興法益的證成
當前我國司法實踐對“數據”的理解較為混亂,一方面,相關司法解釋將“數據”限定為“包括賬號、口令、密碼、數字證書等在內用于確認用戶在計算機信息系統上操作權限的身份認證信息。”;另一方面,從實踐判決來看,“數據”幾乎涵蓋了所有可以在計算機系統中儲存、顯示、獲取的權利客體。不論采用何種理解,交易平臺密碼和私鑰均可被囊括進“數據”的范疇之內。而私人數字貨幣由于不具有數據本體,則自然無法采取數據法益保護路徑。“由于我國數據犯罪在體系上隸屬于刑法第285條和第286條所規定的計算機犯罪,保護法益也受制于計算機信息系統安全”,導致對數據法益的保護不足。下文將論證數據法益是具有獨立性的新興法益。
1.對數據法益進行獨立保護的必要性
“所有的法益都是生活利益,而生活利益是社會生活實踐產生的。”新興法益的產生是社會生活實踐發展的必然產物,刑法并不保護所有的生活利益。在判斷刑法的保護法益時,必須遵循一定的規則。首先,應根據憲法的基本原理確定哪些生活利益可能成為刑法上的法益;其次還需要考慮利益的價值、法益陷入危險的頻率以及危險的程度等因素。最后,還應當考慮數據法益獨立的必要性。
(1)數據法益具有保護價值
羅克辛教授提出,法益概念顯然是以憲法的描述為基礎,產生于國家的根本任務。首先,需要在憲法中尋求法益的價值基礎。根據是否經過技術加工,可將數據分為結構化數據和非結構化數據即元數據,未經過技術加工的數據即元數據,社會公眾是其主要提供者,以個人信息為內容,具有人身屬性。結構化數據則是在元數據的基礎上經過加工所得,無論是結構化數據還是非結構化數據都間接或直接與我國憲法保護的公民私有財產和公民隱私等基本權利緊密相關。
國務院2015年印發《促進大數據發展行動綱要》,指出“數據已成為國家基礎性戰略資源”。2016年11月7日頒布的網絡安全法,將保障網絡數據的完整性、保密性、可用性的能力界定為網絡安全的一部分。中國工業和信息化部電信研究院(現稱中國信息通信研究院)于2014年、2016年、2018年、2019年、2020年及2021年度陸續發布大數據白皮書,根據黨中央、國務院的重要指示,提出了“將數據資源轉化為經濟發展動力的課題”,“推動實施國家大數據戰略,加快建設數據強國”,“數據成為繼土地、勞動力、資本、技術之后第五種市場化配置的關鍵生產要素”。2019年8月30日,我國發布《信息技術安全—數據安全能力成熟度模型》,規定了數據采集、數據傳輸、數據存儲、數據處理、數據交換以及數據銷毀六個階段的數據安全要求。2021年6月為規范數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權,頒布數據安全法。可見,對于數據的發展與保護早已提上國家戰略層面,數據法益無疑具有保護的必要性。
(2)數據法益危險頻發
縱觀計算機犯罪的發展史,早期作為數據載體的計算機信息系統是犯罪的主要攻擊對象,近年來,數據承載了更重要的價值,成為了主要的攻擊對象。2019年2月,我國人臉識別公司深網視界曝出數據泄露事件,超過680萬條身份證信息、人臉識別圖像及GPS位置記錄等被泄露。不僅如此,侵犯數據安全犯罪已經呈現出產業鏈模式,我國“網絡黑產”從業人員已超過150萬,市場規模已高達千億級別。盡管當前我國對數據的地位與性質尚存爭議,但通過刑法來保護數據安全已然成為了我國立法與司法的選擇。
(3)計算機信息系統安全籠罩下的數據法益欠缺全面保護
我國數據犯罪棲身于刑法第285條第2款非法獲取計算機信息系統數據罪和第286條破壞計算機信息系統罪第二款的計算機犯罪之中,對“數據”的定義亦借助了“計算機信息系統”這一概念,即“計算機信息系統中存儲、處理或者傳輸的數據”。與計算機信息系統的概念存在相互定義的問題。傳統觀念認為數據存在于計算機系統之中,侵犯數據必然會侵犯計算機系統。例如,有觀點認為破壞計算機信息系統罪第2款的成立必須滿足在破壞數據的同時,還必須影響計算機信息系統功能的正常運行。此種保護模式并不直接保護數據本身,而是將數據安全作為計算機信息系統功能運行的一部分進行保護,此種間接的保護方式意味著不影響計算機系統運行的數據安全無法得到相應保障。隨著數字化技術的發展,數據與計算機信息系統之間的“承載與被承載”關系變得松弛,侵害數據安全的行為不一定必然同時侵害計算機信息系統安全。我國數據法益在立法和司法上受制于“計算機信息系統安全”,導致數據法益定位模糊,數據犯罪與傳統犯罪界分困難,無法應對日新月異的數字化犯罪技術。因此數據法益應當跳脫“計算機信息系統安全”的籠罩,獨立成為一項新興法益。
2.數據法益作為新型法益的可行性
根據是否經過技術加工,可將數據分為結構化數據和非結構化數據即元數據。
元數據表征的是數據的保密性、完整性和可用性,其內容是一系列權利集合。首先,基于元數據的內容與數據主體的人身、財產等密切相關,衍生出下列權利:第一,知情同意權,即未經數據主體的知情同意,相關數據應當處于保密狀態,包括數據收集者在內的其他所有人不得獲悉、收集、利用相關數據;第二,被遺忘權,即數據主體將其信息上傳網絡后,應當具有無理由刪除的權利,其他義務主體應當配合。其次,出于對電子數據這一媒介的信賴,產生以下權利:第一,維護數據完整性的權利,這一項強調的是數據相對方應承擔維護數據完整性的義務,應當保證數據不被刪除、修改或增加等;第二,使用權,是指數據相對方應當確保數據主體能夠及時、有效地訪問和使用存儲于電子媒介的個人數據。
結構化數據是用戶為獲得經濟利益或某種社會評價、服務時主動提供或者專門的數據經營者通過用戶協議收集的元數據,經過數據經營者的收集、整理和分析等處理后具有了實用性,能夠為權利人帶來經濟利益的數據。其蘊含的是公平自由的數據市場秩序。數據經營者的加工使得元數據之上附著了數據經營者的勞動和智慧,應當受到法律保護。但若直接以數據產品權利人的權益作為保護客體,可能會導致沒有實際侵害權利人利益但已經嚴重妨礙數據市場公平自由競爭的行為無法入罪。例如,“酷米客訴車來了盜取后臺數據案”中,元光公司法定代表人授權技術人員利用爬蟲技術大量獲取競爭對手“酷米客”軟件中的實時公交信息,以提高旗下同類軟件的市場用戶量和信息查詢準確度。元光公司的惡意爬取行為并未造成“酷米客”的直接損失,但是卻已經破壞了公平自由的市場秩序。“十四五規劃綱要”對未來大數據發展作出總體部署,其中提到“發展數據要素市場,加強數據產業制度建設”,以及數據安全法第19條提出“培育數據交易市場”。作為數據產品利用、交易的主要場所,數據市場具有重要的戰略地位,公平自由的數據市場秩序應當成為刑法的保護對象。另外,將公平自由的數據市場秩序定性為“結構化數據”表征的法益,不意味著數據產品權利人的權益不受保護,相反數據產品權利人的合法權益正是此種秩序能夠作為刑法保護客體的價值基礎,這種秩序并非僅關注某個具體權利人的權益,而是為了社會公眾的公平自由的市場秩序普遍不受損害。
3.數據法益作為新型法益的挑戰性
數據法益作為獨立于計算機信息系統安全的新興法益,計算機信息系統安全應當從數據犯罪中脫離。而數據法益與計算機信息系統安全法益分離后,該如何對二者分別提供刑法保護,則是數據法益作為獨立法益將面臨的挑戰。
《歐盟網絡犯罪公約》將計算機系統與計算機數據分別作為獨立的侵犯對象,以不同的罪名予以規制。非法訪問與系統干擾侵害的是計算機系統安全,其保護法益表現為計算機系統的不被侵入與系統功能的正常運行。我國刑法中有相關罪名與之對應,非法侵入計算機信息系統罪的保護法益是特定計算機信息系統的不被侵入的保密性;破壞計算機信息系統罪第1、3款以“造成計算機信息系統不能正常運行、影響計算機系統正常運行”為構成要件,保護的是計算機系統正常運行的有用性;非法控制計算機信息系統罪保護的則是計算機信息系統不被控制的保密性,成立該罪不要求造成計算機系統不能正常運行。
侵犯數據主體的知情同意權、被遺忘權,屬于違背數據主體的意愿,阻止數據維持或恢復保密狀態,應當以刑法第285條第2款非法獲取計算機信息系統數據罪定罪處罰。但對于數據主體主觀上對數據不具有保密的意思,并且客觀上亦無采取相應保密措施的數據的獲取,不屬于違背數據主體的意愿。侵犯數據主體維護數據完整性的權利或使用權,是一種破壞數據的行為,不僅包括物理意義上的破壞即刪除、修改和增加,還包括對數據使用可能性的破壞,應當以刑法第286條第2款的規定定罪處罰。在數據法益的指導下,成立該罪不要求對造成計算機信息系統不能正常運行,這并非數據法益涵蓋的范疇。
綜上所述,對于計算機信息系統安全的保護應當集中于非法侵入計算機信息系統罪、非法控制計算機信息系統罪以及破壞計算機信息系統罪第1、3款。非法獲取計算機信息系統數據罪和破壞計算機信息系統罪第2款則成為純粹的數據犯罪另外還需要對以上兩個罪名進行相應的修改完善,因元數據與結構化數據表征的法益分別是個人法益和秩序法益,故建議在以上兩罪名中以侵犯對象為標準設置兩款具體規定。
四、非法獲取私人數字貨幣行為的分類及定性
一般而言,非法獲取私人數字貨幣的行為分為兩個階段,第一個階段是打破權利人對私人數字貨幣的控制,第二個階段則是獲取私人數字貨幣,屬于共性環節。案件差異體現在第一階段,或是獲取密碼或私鑰,或是直接進入交易所網站。根據第一階段侵犯的法益不同,筆者將案件劃分為侵害數據法益類和非侵害數據法益類。
(一)侵害數據法益類
錢包私鑰與平臺密碼是非法獲取私人數字貨幣案件中的主要工具,其表征的是數據法益。
表2 侵害數據法益的行為類型
1.類型一:侵害數據法益與財產法益
(案例一)被告人戴永華以被害人武某存放比特幣的方式不安全為由,向其發送名為“wallet.rar”的壓縮軟件,該軟件生成的錢包地址具有自動回傳功能,安裝后該軟件生成的錢包地址會將地址和私鑰回傳至戴永華。戴永華利用私鑰將被害人價值300余萬元的比特幣出售并提現。法院判決被告人戴永華成立非法獲取計算機信息系統數據罪。
這一類型的案件是以侵犯數據的保密性或者說是數據權利人的知情同意權為前提,獲取密碼或私鑰。而與其他獲取密碼或私鑰的行為不同的是,這類案件的第一階段行為僅侵犯了數據法益,是侵犯數據法益但不侵犯計算機信息系統安全的典例。
2.類型二:侵害數據法益、計算機信息系統安全與財產法益
(案例二)被告人羅全和趙某從他人處購買木馬軟件并發布到QQ群中,“感染”該病毒的電腦可以被他人操控。被告人經過遠程操控,發現被害人蘇某的電腦中存有比特幣錢包,后獲取錢包私鑰并將比特幣兌換成人民幣提現到自己銀行卡賬戶,造成被害人損失15萬元左右。法院認定被告人構成非法獲取計算機信息系統數據罪。
在第一階段,被告人通過獲取錢包私鑰打破權利人的獨占控制,故錢包私鑰是其行為對象之一。另外,被告人通過木馬病毒操控被害人電腦的方式獲取錢包私鑰,侵犯了被害人計算機信息系統的保密性,因此在數據法益之外,被告人還侵犯了計算機信息系統安全。
(二)非侵害數據法益類
表3 非侵害數據法益的行為類型
1.類型三:單純侵害財產法益
(案例三)被害人常某邀請被告人馮國仕通過QQ遠程幫其操作“阿希幣”錢包參與空投項目,常某將“阿希幣”錢包私鑰存放在電腦桌面,遠程操作期間被告人馮國仕多次打開此錢包并復制錢包私鑰。后被告人馮國仕利用私鑰將其價值約21萬元的“阿希幣”盜走。法院判決被告人成立非法獲取計算機信息系統數據罪。
日常行為與“侵入計算機信息系統”和“其他技術手段”的區別不在于手段方式是否借助計算機技術,而在于被害人對于其平臺密碼和錢包私鑰是否采取保密措施。被害人邀請被告人幫助投資數字貨幣,在此過程中被害人必然會接觸到錢包私鑰,主觀上被害人對錢包私鑰將暴露于被告人無疑是明知且同意的,在客觀上錢包私鑰不再處于完全保密的狀態,至少被害人未對被告人采取保密措施。因此,即使被告人采取了“其他技術手段”,但因為被告人獲取錢包私鑰的行為并不侵犯被害人數據法益中的知情同意權,故這一行為應當被評價為合法行為,并未侵害數據法益。
(案例四)自2015年起,被告人仲崇杰擔任比特幣大陸公司運營維護開發工程師,2017年被告人通過使用“TEAMVIEWER”軟件遠程控制其在比特幣大陸公司工位上的電腦,使用ROOT權限進入公司的服務器,轉移100個比特幣至個人錢包中,造成公司損失人民幣36000元。法院認定被告人構成非法獲取計算機信息系統數據罪。
被告人仲崇杰的網站管理權限是由被害人比特幣公司賦予的,這意味著該網站內的程序或存儲的數據等在一定程度均是對被告人公開的,被告人的登錄并不侵犯公司網站的保密性,被害人的計算機信息系統安全并未受到負面影響。
2.類型四:侵害計算機信息系統安全和財產法益
(案例五)被告人周翔擔任區融未來公司客服一職,與被告人李陟預謀侵入公司計算機信息系統,獲取虛擬貨幣。被告人周翔利用工作中獲取的公司同事的賬號登入公司BI網后臺管理系統,獲取虛擬貨幣約355萬個,違法所得100余萬元。法院認為被告人行為構成非法獲取計算機信息系統數據罪。
案例四與案例五均是利用網站管理權限進入交易所網站,不同的是案例五中被告人周翔本身不具備登錄資格,意味著交易所網站對被告人采取了保密措施。即使利用他人權限非暴力登錄網站后臺,但未經被害人許可的登錄也是對網站后臺保密性的侵犯。
(案例六)被告人魏成峰與朱某預謀通過黑客技術入侵數字貨幣交易網站后臺數據庫,朱某通過該網站后臺存在的漏洞使用“菜刀”黑客軟件入侵網站后臺,并通過技術手段將網站后臺比特幣轉出至魏成峰賬戶,違法所得額為475000元人民幣。法院判決被告人成立非法獲取計算機信息系統數據罪。
被告人利用黑客技術侵入網站后臺的行為會對被害人網站后臺的保密性甚至可用性造成損害,這類案件必然侵犯計算機信息系統安全。
(三)非法獲取私人數字貨幣的類型化定性
筆者將私人數字貨幣定性為債權類財產性利益,若非法獲取私人數字貨幣的數額達到盜竊罪的入罪門檻,那么第二階段必然成立盜竊罪。
1.類型一:非法獲取計算機信息系統數據罪與盜竊罪擇一重罪論處
獲取私人數字貨幣的犯罪途徑有兩種,對于個人持有的私人數字貨幣,獲取的方式限于先獲取平臺密碼或私鑰再獲取數字貨幣。平臺密碼或私鑰本身就是一串字符,唯一的用途即是控制私人數字貨幣,獲取平臺密碼或私鑰的目的往往是進一步獲取數字貨幣,所以,獲取平臺密碼或私鑰與獲取數字貨幣之間是手段與目的的牽連關系。
類型一借助其他技術手段獲取平臺密碼或私鑰的行為侵犯被害人關于個人數據的知情同意權,應當成立非法獲取計算機信息系統數據罪,第二階段的行為成立盜竊罪。兩行為之間存在牽連關系,按照牽連犯的處理規則,應當擇一重罪論處。
2.類型二:牽連犯擇一重處后與非法控制計算機信息系統罪數罪并罰
類型二在類型一的基礎上增加了“侵入被害人計算機信息系統”這一行為,侵害了計算機信息系統安全,應當成立非法控制計算機信息系統罪。若實踐中侵入被害人計算機系統已經造成系統無法正常運行,則應當適用破壞計算機信息系統罪第1或3款。因此,類型二需要在非法獲取計算機信息系統數據罪與盜竊罪成立牽連犯,擇一重罪論處的情形下與非法控制計算機信息系統罪或破壞計算機信息系統罪數罪并罰。
3.類型三:單獨成立盜竊罪
類型三應當單獨成立盜竊罪。被告人獲取私鑰或者登錄網站后臺是經被害人知情同意的,行為并未侵犯數據法益或者計算機信息系統安全法益,第一階段的行為屬于合法行為,只需對第二階段做出評價即可。
4.類型四:非法控制計算機信息系統罪與盜竊罪數罪并罰
不論是利用管理權限的非法登錄還是非利用管理權限進入網站,均是未經同意的非法行為,侵犯交易所計算機系統的保密性甚至是系統的有用性,因此,應當成立非法控制計算機信息系統罪或適用破壞計算機信息系統罪,并與盜竊罪實行數罪并罰。
