圖片來源 視覺中國

本文為《中國審判》雜志原創稿件

文| 福建省高級人民法院 董文博

福州大學國際法研究所 肖若若

福建省福州市鼓山地區人民檢察院 丁秋云

隨著電商平臺的發展，利用計算機信息系統漏洞獲取財物的行為逐漸增多。相關行為的法律關系往往涉及刑民交叉領域。目前，對相關問題的探討研究有限。基于此，筆者擬通過分析利用計算機信息系統漏洞獲取財物行為的入罪標準，為相關案件的審理提供有益思路。

1

行為認定分析

關于利用計算機信息系統漏洞獲取財物的行為，司法實踐中存有兩種觀點：一是將上述行為所獲財物認定為不當得利而予以返還；二是將上述行為認定為刑事犯罪，并結合行為手段特征等內容具體認定罪名。

第一種觀點認為，如果行為人是該計算機信息系統所屬平臺的消費者，則利用計算機信息系統漏洞獲取財物行為的法律基礎應當是消費者與平臺所訂立的協議。因此，當事人間的權利義務應當按照雙方協議的內容確定。行為人通過漏洞進行的非正常交易屬于可撤銷的行為，其所獲財物因不具備法律基礎而屬于不當得利，應予以返還。筆者認為，將上述行為所獲財物認定為不當得利雖然可以解決部分案件罪刑不均衡的問題，但對于通過不正當手段大量獲取商家優惠并轉賣牟利，致使商家遭受重大財產損失的行為，并不能得到適當的處置。財產犯罪與不當得利之間并不是非此即彼的關系，即構成民事違法的行為并不能構成刑事犯罪的阻卻事由，因此，不宜將上述行為一概認定為不當得利。

第二種觀點認為，作為新型網絡侵財行為，利用計算機信息系統漏洞獲取財物行為的社會危害性較大，應當以刑法予以規制。目前，對于上述行為的刑事規制，并無獨立罪名，因此，在個案審理過程中，法官需要結合行為手段特征進行綜合認定。實踐中，多數利用計算機信息系統漏洞獲取財物的行為被認定為盜竊罪、詐騙罪等，并且一旦行為符合特定罪名的入罪標準，則排除民事法律的適用。值得注意的是，對于利用計算機信息系統漏洞獲取財物案件的刑民交叉問題，各地司法機關存在不同認識，這使得司法實踐中對相關案件的審理存在一定的差異。因此，進一步明晰該類案件中刑民交叉的相關問題，對于審理好相關案件至關重要。

2

獲取財物的行為類型分析

在處理相關案件時，類型化的方法可以實現從個案事實解構向歸責要件的體系化銜接轉變。筆者通過案例歸納，按照漏洞類型的不同將相關行為分為三類，即利用計算機信息系統偶然漏洞、現有漏洞和破壞漏洞獲取財物的行為。

（一）利用計算機信息系統偶然漏洞獲取財物

計算機信息系統偶然漏洞是指因人為疏漏或難以預料的其他因素而產生的漏洞。計算機信息系統偶然漏洞具備低概率性、短暫性、易察覺性的特點。實踐中，利用計算機信息系統偶然漏洞獲取財物的行為通常表現為由于商家的疏漏或計算機信息系統突發性和暫時性故障等引發的相關行為。利用計算機信息系統偶然漏洞獲取財物的行為以“許霆案”為代表。2006年4月，許霆發現ATM機系統漏洞，趁機提款17.5萬元后潛逃。“許霆案”中的ATM機故障并非因許霆主動破壞而產生，屬于計算機信息系統偶然漏洞。銀行作為ATM機的擁有者和管理者，雖然對機器漏洞應承擔過錯責任，但這一過錯與被告人取得財物的行為并不必然構成因果關系，可以將其作為對被告人從輕處罰的情節。

（二）利用計算機信息系統現有漏洞獲取財物

計算機信息系統現有漏洞是指伴隨計算機信息系統建成時所產生的漏洞。行為主體挖掘漏洞并利用該漏洞獲取財物。該類計算機信息系統漏洞具備長期存在性、不易察覺性等特點。區分現有漏洞和偶然漏洞的關鍵在于，偶然漏洞產生的概率小于現有漏洞，但其被主動修復的可能性大于現有漏洞。

實務中，該類行為以如下案件為代表：徐某無意發現肯德基App客戶端與微信客戶端數據不同步的漏洞，便利用該漏洞騙取取餐碼并將其于網上出售以牟利。本案中，行為人發現的漏洞屬系統固有缺陷，且行為人利用該漏洞取財時未采用特殊手段，并無侵害除財產外其他刑法保護法益，而僅重復操作、反復牟利，即消極利用現有漏洞。即便相關行為未曾發生，該類漏洞也極可能因較難被察覺而長期存在于系統中，由商家或平臺自行發現并修復的可能性較小。甚至在系統被攫取了大額利益后的較長時段內，平臺或商家均難以及時發覺并阻止損失擴大。

（三）利用計算機信息系統破壞漏洞獲取財物

利用計算機信息系統破壞漏洞獲取財物的行為包含兩種情形。第一種是故意破壞計算機信息系統使其產生漏洞，進而利用該漏洞獲取財物的行為。此時的漏洞并非系統固有或偶然疏漏產生，而是行為人通過主動攻擊（使用黑客工具、惡意軟件）或技術干預（篡改數據、植入代碼）等方式制造的漏洞。第二種是計算機信息系統雖然未經行為人破壞，但行為人通過非法輔助手段濫用系統漏洞獲取財物。此種行為利用了人與系統的互動規則，屬于非常規操作。同時，該類輔助行為還可能侵害多重法益。例如，非法獲取公民個人信息或使用大量手機卡惡意批量注冊等。值得注意的是，該行為從表面上看是利用計算機系統現有漏洞獲取財物，但由于輔助手段在取財過程中占據必要地位，且具備明顯異常特征，因此，該行為應屬于利用計算機系統破壞漏洞獲取財物的行為。此外，利用計算機信息系統破壞漏洞的方法具有可復制性和擴散性特征，行為人可能將漏洞利用模式推廣至其他系統，形成規模化、產業化的攻擊鏈。

3

行為入罪的判斷標準

基于上文所述，根據我國刑法的相關規定，當利用計算機信息系統漏洞獲取財物行為在客觀上屬制造或濫用漏洞，行為人主觀上具有獲取超額利益的惡意，且在滿足相應漏洞類型所要求的財物數額時，該行為便滿足入罪的基本標準。

（一）實質當罰：制造或濫用漏洞

相關行為的入罪標準要求行為人客觀上制造或濫用系統漏洞。實踐中，制造計算機信息系統漏洞的情形主要包括以下幾種情況：編寫黑客軟件或自動化腳本攻擊目標系統；獲取系統管理員權限或其他高級權限；發送大量虛假請求誘發系統崩潰或使其響應緩慢。濫用計算機信息系統漏洞包含以下兩種情形：第一種情形是當事人消極利用系統現存漏洞，且獲取的財物金額較大，具備社會危害性的行為。值得注意的是，用戶偶然利用漏洞獲取小額優惠的情形應當屬于不當得利，但如果是團伙通過自動化工具批量套現，則應當認定為濫用系統漏洞非法牟利的行為。第二種情形是行為人雖然沒有獲取超額利益，但因其利用漏洞的方式明顯危害刑法保護的其他法益，此時該行為具備刑法規制的可能性。例如，利用平臺漏洞非法獲取大量公民個人信息或批量購買銀行卡進而反復操作等情形。

（二）非難可能：獲取超額利益的惡意

判斷相關行為能否入罪，除了需要考察客觀上的實質當罰性外，還需要判斷行為人主觀上是否具備獲取超額非法利益的主觀惡意，即非難可能性。對于行為人是否具備獲取超額利益的惡意，法院應當從以下兩個方面進行認定：一方面，考察行為人是否具備非法占有他人財物的惡意；另一方面，考察行為人所獲財物是否符合超額的標準。以2019年發生的“拼多多案”為例，某些非法產業團伙針對該平臺系統存在的缺陷，運用非法技術手段，大規模竊取優惠券資源，并迅速變現其非法所得。這些人員領取優惠券的目的并非為了在個人消費時使用，而是意圖直接將優惠券金額變現，占有平臺方財物。這已經脫離了一般消費目的。與此同時，該團伙通過大量虛擬賬號重復注冊領取優惠券，積極追求并擴大獲利的可能性，最終涉案金額高達數千萬元。通過這一行為獲取的財物已經符合超額的標準。值得注意的是，在該案中，普通消費者利用系統漏洞，通過個人賬戶單次領取優惠券的行為，雖然具備非法占有利益的目的，但所獲財物數額并未達至超額的標準。這些用戶的行為符合民法中不當得利的構成要件，應當歸屬民事法律規制范疇。

（三）罪量梯度：漏洞類型差異化的數額界分

法院在認定犯罪時，不能僅要求行為具有一般違法性，還需進一步考慮刑法所特有的規范內容，確定相關行為的社會危害達到何種程度。因此，行為人利用計算機信息系統漏洞獲取財物數額的大小是法院認定行為人客觀上是否濫用漏洞、主觀上是否具備獲取超額利益的關鍵。

理論界對利用計算機信息系統漏洞獲取財物行為所涉財產犯罪的探討集中在盜竊罪與詐騙罪（以下簡稱“兩罪”）的區分。根據《最高人民法院、最高人民檢察院關于辦理盜竊刑事案件適用法律若干問題的解釋》與《最高人民法院、最高人民檢察院關于辦理詐騙刑事案件具體應用法律若干問題的解釋》的規定，“兩罪”的入罪標準均采取以最高人民法院、最高人民檢察院規定的數額幅度為基礎，結合地區經濟社會發展狀況予以具體研究確定的模式。因此，利用計算機信息系統漏洞獲取財物行為的入罪數額標準也應當參照此種模式。

為便于統一闡述，筆者在此以a指代利用計算機信息系統偶然漏洞獲取財物行為的入罪數額，以b作為利用計算機信息系統現有漏洞獲取財物行為的入罪數額，以c指代利用計算機信息系統破壞漏洞獲取財物行為的入罪數額（見下表）。

實踐中，在計算機信息系統產生漏洞時，如果被害人承擔的責任越大，則行為人利用該漏洞獲取財物行為的可罰性就越低，由此利用計算機信息系統漏洞獲取財物行為入罪的標準便越高。因此，針對不同類型的漏洞，“濫用”“超額”的標準也應當相應變更。偶然漏洞的成因主要在于平臺或商家的主觀疏忽，且該類漏洞的產生具備低概率性，一般人難以獲取超額利益。因此，行為人利用偶然漏洞獲取財物行為的入罪標準應當更為嚴苛，即在判斷其是否濫用漏洞獲取財物以及獲取非法利益是否超額時，要求行為人獲取財物的數額較大。在利用破壞漏洞獲取財物的案件中，被害人并不存在過錯情形，行為人應當承擔完整的刑事責任。因此，該類行為的入罪標準應當最低。在利用現有漏洞獲取財物的案件中，被害人往往因疏于系統安全維護致使漏洞長期存在，客觀上為犯罪行為提供了可乘之機。被害人的過錯一定程度上降低了相關行為的可譴責性。值得注意的是，該類漏洞往往不易察覺，一般消費者無法敏銳地發現該漏洞。同時，行為人可能存在利用其他系統復刻該類漏洞產生的情形，以期尋求出系統更多漏洞并獲取非法利益。因此，利用現有漏洞獲取財物行為較利用偶然漏洞獲取財物行為具備更大的法益侵害可能性，但尚不及利用破壞漏洞獲取財物行為的危害性，因此，利用現有漏洞獲取財物行為的入罪標準應當介于前兩者之間。

本期封面及目錄

<< 滑動查看下一張圖片 >>

《中國審判》雜志2025年第8期

中國審判新聞半月刊·總第366期

編輯/孫敏