圖片來源 視覺中國

本文為《中國審判》雜志原創(chuàng)稿件

文| 福建省高級(jí)人民法院 董文博

福州大學(xué)國際法研究所 肖若若

福建省福州市鼓山地區(qū)人民檢察院 丁秋云

隨著電商平臺(tái)的發(fā)展，利用計(jì)算機(jī)信息系統(tǒng)漏洞獲取財(cái)物的行為逐漸增多。相關(guān)行為的法律關(guān)系往往涉及刑民交叉領(lǐng)域。目前，對(duì)相關(guān)問題的探討研究有限。基于此，筆者擬通過分析利用計(jì)算機(jī)信息系統(tǒng)漏洞獲取財(cái)物行為的入罪標(biāo)準(zhǔn)，為相關(guān)案件的審理提供有益思路。

1

行為認(rèn)定分析

關(guān)于利用計(jì)算機(jī)信息系統(tǒng)漏洞獲取財(cái)物的行為，司法實(shí)踐中存有兩種觀點(diǎn)：一是將上述行為所獲財(cái)物認(rèn)定為不當(dāng)?shù)美枰苑颠€；二是將上述行為認(rèn)定為刑事犯罪，并結(jié)合行為手段特征等內(nèi)容具體認(rèn)定罪名。

第一種觀點(diǎn)認(rèn)為，如果行為人是該計(jì)算機(jī)信息系統(tǒng)所屬平臺(tái)的消費(fèi)者，則利用計(jì)算機(jī)信息系統(tǒng)漏洞獲取財(cái)物行為的法律基礎(chǔ)應(yīng)當(dāng)是消費(fèi)者與平臺(tái)所訂立的協(xié)議。因此，當(dāng)事人間的權(quán)利義務(wù)應(yīng)當(dāng)按照雙方協(xié)議的內(nèi)容確定。行為人通過漏洞進(jìn)行的非正常交易屬于可撤銷的行為，其所獲財(cái)物因不具備法律基礎(chǔ)而屬于不當(dāng)?shù)美瑧?yīng)予以返還。筆者認(rèn)為，將上述行為所獲財(cái)物認(rèn)定為不當(dāng)?shù)美m然可以解決部分案件罪刑不均衡的問題，但對(duì)于通過不正當(dāng)手段大量獲取商家優(yōu)惠并轉(zhuǎn)賣牟利，致使商家遭受重大財(cái)產(chǎn)損失的行為，并不能得到適當(dāng)?shù)奶幹谩Ｘ?cái)產(chǎn)犯罪與不當(dāng)?shù)美g并不是非此即彼的關(guān)系，即構(gòu)成民事違法的行為并不能構(gòu)成刑事犯罪的阻卻事由，因此，不宜將上述行為一概認(rèn)定為不當(dāng)?shù)美?/p>

第二種觀點(diǎn)認(rèn)為，作為新型網(wǎng)絡(luò)侵財(cái)行為，利用計(jì)算機(jī)信息系統(tǒng)漏洞獲取財(cái)物行為的社會(huì)危害性較大，應(yīng)當(dāng)以刑法予以規(guī)制。目前，對(duì)于上述行為的刑事規(guī)制，并無獨(dú)立罪名，因此，在個(gè)案審理過程中，法官需要結(jié)合行為手段特征進(jìn)行綜合認(rèn)定。實(shí)踐中，多數(shù)利用計(jì)算機(jī)信息系統(tǒng)漏洞獲取財(cái)物的行為被認(rèn)定為盜竊罪、詐騙罪等，并且一旦行為符合特定罪名的入罪標(biāo)準(zhǔn)，則排除民事法律的適用。值得注意的是，對(duì)于利用計(jì)算機(jī)信息系統(tǒng)漏洞獲取財(cái)物案件的刑民交叉問題，各地司法機(jī)關(guān)存在不同認(rèn)識(shí)，這使得司法實(shí)踐中對(duì)相關(guān)案件的審理存在一定的差異。因此，進(jìn)一步明晰該類案件中刑民交叉的相關(guān)問題，對(duì)于審理好相關(guān)案件至關(guān)重要。

2

獲取財(cái)物的行為類型分析

在處理相關(guān)案件時(shí)，類型化的方法可以實(shí)現(xiàn)從個(gè)案事實(shí)解構(gòu)向歸責(zé)要件的體系化銜接轉(zhuǎn)變。筆者通過案例歸納，按照漏洞類型的不同將相關(guān)行為分為三類，即利用計(jì)算機(jī)信息系統(tǒng)偶然漏洞、現(xiàn)有漏洞和破壞漏洞獲取財(cái)物的行為。

（一）利用計(jì)算機(jī)信息系統(tǒng)偶然漏洞獲取財(cái)物

計(jì)算機(jī)信息系統(tǒng)偶然漏洞是指因人為疏漏或難以預(yù)料的其他因素而產(chǎn)生的漏洞。計(jì)算機(jī)信息系統(tǒng)偶然漏洞具備低概率性、短暫性、易察覺性的特點(diǎn)。實(shí)踐中，利用計(jì)算機(jī)信息系統(tǒng)偶然漏洞獲取財(cái)物的行為通常表現(xiàn)為由于商家的疏漏或計(jì)算機(jī)信息系統(tǒng)突發(fā)性和暫時(shí)性故障等引發(fā)的相關(guān)行為。利用計(jì)算機(jī)信息系統(tǒng)偶然漏洞獲取財(cái)物的行為以“許霆案”為代表。2006年4月，許霆發(fā)現(xiàn)ATM機(jī)系統(tǒng)漏洞，趁機(jī)提款17.5萬元后潛逃。“許霆案”中的ATM機(jī)故障并非因許霆主動(dòng)破壞而產(chǎn)生，屬于計(jì)算機(jī)信息系統(tǒng)偶然漏洞。銀行作為ATM機(jī)的擁有者和管理者，雖然對(duì)機(jī)器漏洞應(yīng)承擔(dān)過錯(cuò)責(zé)任，但這一過錯(cuò)與被告人取得財(cái)物的行為并不必然構(gòu)成因果關(guān)系，可以將其作為對(duì)被告人從輕處罰的情節(jié)。

（二）利用計(jì)算機(jī)信息系統(tǒng)現(xiàn)有漏洞獲取財(cái)物

計(jì)算機(jī)信息系統(tǒng)現(xiàn)有漏洞是指伴隨計(jì)算機(jī)信息系統(tǒng)建成時(shí)所產(chǎn)生的漏洞。行為主體挖掘漏洞并利用該漏洞獲取財(cái)物。該類計(jì)算機(jī)信息系統(tǒng)漏洞具備長期存在性、不易察覺性等特點(diǎn)。區(qū)分現(xiàn)有漏洞和偶然漏洞的關(guān)鍵在于，偶然漏洞產(chǎn)生的概率小于現(xiàn)有漏洞，但其被主動(dòng)修復(fù)的可能性大于現(xiàn)有漏洞。

實(shí)務(wù)中，該類行為以如下案件為代表：徐某無意發(fā)現(xiàn)肯德基App客戶端與微信客戶端數(shù)據(jù)不同步的漏洞，便利用該漏洞騙取取餐碼并將其于網(wǎng)上出售以牟利。本案中，行為人發(fā)現(xiàn)的漏洞屬系統(tǒng)固有缺陷，且行為人利用該漏洞取財(cái)時(shí)未采用特殊手段，并無侵害除財(cái)產(chǎn)外其他刑法保護(hù)法益，而僅重復(fù)操作、反復(fù)牟利，即消極利用現(xiàn)有漏洞。即便相關(guān)行為未曾發(fā)生，該類漏洞也極可能因較難被察覺而長期存在于系統(tǒng)中，由商家或平臺(tái)自行發(fā)現(xiàn)并修復(fù)的可能性較小。甚至在系統(tǒng)被攫取了大額利益后的較長時(shí)段內(nèi)，平臺(tái)或商家均難以及時(shí)發(fā)覺并阻止損失擴(kuò)大。

（三）利用計(jì)算機(jī)信息系統(tǒng)破壞漏洞獲取財(cái)物

利用計(jì)算機(jī)信息系統(tǒng)破壞漏洞獲取財(cái)物的行為包含兩種情形。第一種是故意破壞計(jì)算機(jī)信息系統(tǒng)使其產(chǎn)生漏洞，進(jìn)而利用該漏洞獲取財(cái)物的行為。此時(shí)的漏洞并非系統(tǒng)固有或偶然疏漏產(chǎn)生，而是行為人通過主動(dòng)攻擊（使用黑客工具、惡意軟件）或技術(shù)干預(yù)（篡改數(shù)據(jù)、植入代碼）等方式制造的漏洞。第二種是計(jì)算機(jī)信息系統(tǒng)雖然未經(jīng)行為人破壞，但行為人通過非法輔助手段濫用系統(tǒng)漏洞獲取財(cái)物。此種行為利用了人與系統(tǒng)的互動(dòng)規(guī)則，屬于非常規(guī)操作。同時(shí)，該類輔助行為還可能侵害多重法益。例如，非法獲取公民個(gè)人信息或使用大量手機(jī)卡惡意批量注冊(cè)等。值得注意的是，該行為從表面上看是利用計(jì)算機(jī)系統(tǒng)現(xiàn)有漏洞獲取財(cái)物，但由于輔助手段在取財(cái)過程中占據(jù)必要地位，且具備明顯異常特征，因此，該行為應(yīng)屬于利用計(jì)算機(jī)系統(tǒng)破壞漏洞獲取財(cái)物的行為。此外，利用計(jì)算機(jī)信息系統(tǒng)破壞漏洞的方法具有可復(fù)制性和擴(kuò)散性特征，行為人可能將漏洞利用模式推廣至其他系統(tǒng)，形成規(guī)模化、產(chǎn)業(yè)化的攻擊鏈。

3

行為入罪的判斷標(biāo)準(zhǔn)

基于上文所述，根據(jù)我國刑法的相關(guān)規(guī)定，當(dāng)利用計(jì)算機(jī)信息系統(tǒng)漏洞獲取財(cái)物行為在客觀上屬制造或?yàn)E用漏洞，行為人主觀上具有獲取超額利益的惡意，且在滿足相應(yīng)漏洞類型所要求的財(cái)物數(shù)額時(shí)，該行為便滿足入罪的基本標(biāo)準(zhǔn)。

（一）實(shí)質(zhì)當(dāng)罰：制造或?yàn)E用漏洞

相關(guān)行為的入罪標(biāo)準(zhǔn)要求行為人客觀上制造或?yàn)E用系統(tǒng)漏洞。實(shí)踐中，制造計(jì)算機(jī)信息系統(tǒng)漏洞的情形主要包括以下幾種情況：編寫黑客軟件或自動(dòng)化腳本攻擊目標(biāo)系統(tǒng)；獲取系統(tǒng)管理員權(quán)限或其他高級(jí)權(quán)限；發(fā)送大量虛假請(qǐng)求誘發(fā)系統(tǒng)崩潰或使其響應(yīng)緩慢。濫用計(jì)算機(jī)信息系統(tǒng)漏洞包含以下兩種情形：第一種情形是當(dāng)事人消極利用系統(tǒng)現(xiàn)存漏洞，且獲取的財(cái)物金額較大，具備社會(huì)危害性的行為。值得注意的是，用戶偶然利用漏洞獲取小額優(yōu)惠的情形應(yīng)當(dāng)屬于不當(dāng)?shù)美绻菆F(tuán)伙通過自動(dòng)化工具批量套現(xiàn)，則應(yīng)當(dāng)認(rèn)定為濫用系統(tǒng)漏洞非法牟利的行為。第二種情形是行為人雖然沒有獲取超額利益，但因其利用漏洞的方式明顯危害刑法保護(hù)的其他法益，此時(shí)該行為具備刑法規(guī)制的可能性。例如，利用平臺(tái)漏洞非法獲取大量公民個(gè)人信息或批量購買銀行卡進(jìn)而反復(fù)操作等情形。

（二）非難可能：獲取超額利益的惡意

判斷相關(guān)行為能否入罪，除了需要考察客觀上的實(shí)質(zhì)當(dāng)罰性外，還需要判斷行為人主觀上是否具備獲取超額非法利益的主觀惡意，即非難可能性。對(duì)于行為人是否具備獲取超額利益的惡意，法院應(yīng)當(dāng)從以下兩個(gè)方面進(jìn)行認(rèn)定：一方面，考察行為人是否具備非法占有他人財(cái)物的惡意；另一方面，考察行為人所獲財(cái)物是否符合超額的標(biāo)準(zhǔn)。以2019年發(fā)生的“拼多多案”為例，某些非法產(chǎn)業(yè)團(tuán)伙針對(duì)該平臺(tái)系統(tǒng)存在的缺陷，運(yùn)用非法技術(shù)手段，大規(guī)模竊取優(yōu)惠券資源，并迅速變現(xiàn)其非法所得。這些人員領(lǐng)取優(yōu)惠券的目的并非為了在個(gè)人消費(fèi)時(shí)使用，而是意圖直接將優(yōu)惠券金額變現(xiàn)，占有平臺(tái)方財(cái)物。這已經(jīng)脫離了一般消費(fèi)目的。與此同時(shí)，該團(tuán)伙通過大量虛擬賬號(hào)重復(fù)注冊(cè)領(lǐng)取優(yōu)惠券，積極追求并擴(kuò)大獲利的可能性，最終涉案金額高達(dá)數(shù)千萬元。通過這一行為獲取的財(cái)物已經(jīng)符合超額的標(biāo)準(zhǔn)。值得注意的是，在該案中，普通消費(fèi)者利用系統(tǒng)漏洞，通過個(gè)人賬戶單次領(lǐng)取優(yōu)惠券的行為，雖然具備非法占有利益的目的，但所獲財(cái)物數(shù)額并未達(dá)至超額的標(biāo)準(zhǔn)。這些用戶的行為符合民法中不當(dāng)?shù)美臉?gòu)成要件，應(yīng)當(dāng)歸屬民事法律規(guī)制范疇。

（三）罪量梯度：漏洞類型差異化的數(shù)額界分

法院在認(rèn)定犯罪時(shí)，不能僅要求行為具有一般違法性，還需進(jìn)一步考慮刑法所特有的規(guī)范內(nèi)容，確定相關(guān)行為的社會(huì)危害達(dá)到何種程度。因此，行為人利用計(jì)算機(jī)信息系統(tǒng)漏洞獲取財(cái)物數(shù)額的大小是法院認(rèn)定行為人客觀上是否濫用漏洞、主觀上是否具備獲取超額利益的關(guān)鍵。

理論界對(duì)利用計(jì)算機(jī)信息系統(tǒng)漏洞獲取財(cái)物行為所涉財(cái)產(chǎn)犯罪的探討集中在盜竊罪與詐騙罪（以下簡稱“兩罪”）的區(qū)分。根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理盜竊刑事案件適用法律若干問題的解釋》與《最高人民法院、最高人民檢察院關(guān)于辦理詐騙刑事案件具體應(yīng)用法律若干問題的解釋》的規(guī)定，“兩罪”的入罪標(biāo)準(zhǔn)均采取以最高人民法院、最高人民檢察院規(guī)定的數(shù)額幅度為基礎(chǔ)，結(jié)合地區(qū)經(jīng)濟(jì)社會(huì)發(fā)展?fàn)顩r予以具體研究確定的模式。因此，利用計(jì)算機(jī)信息系統(tǒng)漏洞獲取財(cái)物行為的入罪數(shù)額標(biāo)準(zhǔn)也應(yīng)當(dāng)參照此種模式。

為便于統(tǒng)一闡述，筆者在此以a指代利用計(jì)算機(jī)信息系統(tǒng)偶然漏洞獲取財(cái)物行為的入罪數(shù)額，以b作為利用計(jì)算機(jī)信息系統(tǒng)現(xiàn)有漏洞獲取財(cái)物行為的入罪數(shù)額，以c指代利用計(jì)算機(jī)信息系統(tǒng)破壞漏洞獲取財(cái)物行為的入罪數(shù)額（見下表）。

實(shí)踐中，在計(jì)算機(jī)信息系統(tǒng)產(chǎn)生漏洞時(shí)，如果被害人承擔(dān)的責(zé)任越大，則行為人利用該漏洞獲取財(cái)物行為的可罰性就越低，由此利用計(jì)算機(jī)信息系統(tǒng)漏洞獲取財(cái)物行為入罪的標(biāo)準(zhǔn)便越高。因此，針對(duì)不同類型的漏洞，“濫用”“超額”的標(biāo)準(zhǔn)也應(yīng)當(dāng)相應(yīng)變更。偶然漏洞的成因主要在于平臺(tái)或商家的主觀疏忽，且該類漏洞的產(chǎn)生具備低概率性，一般人難以獲取超額利益。因此，行為人利用偶然漏洞獲取財(cái)物行為的入罪標(biāo)準(zhǔn)應(yīng)當(dāng)更為嚴(yán)苛，即在判斷其是否濫用漏洞獲取財(cái)物以及獲取非法利益是否超額時(shí)，要求行為人獲取財(cái)物的數(shù)額較大。在利用破壞漏洞獲取財(cái)物的案件中，被害人并不存在過錯(cuò)情形，行為人應(yīng)當(dāng)承擔(dān)完整的刑事責(zé)任。因此，該類行為的入罪標(biāo)準(zhǔn)應(yīng)當(dāng)最低。在利用現(xiàn)有漏洞獲取財(cái)物的案件中，被害人往往因疏于系統(tǒng)安全維護(hù)致使漏洞長期存在，客觀上為犯罪行為提供了可乘之機(jī)。被害人的過錯(cuò)一定程度上降低了相關(guān)行為的可譴責(zé)性。值得注意的是，該類漏洞往往不易察覺，一般消費(fèi)者無法敏銳地發(fā)現(xiàn)該漏洞。同時(shí)，行為人可能存在利用其他系統(tǒng)復(fù)刻該類漏洞產(chǎn)生的情形，以期尋求出系統(tǒng)更多漏洞并獲取非法利益。因此，利用現(xiàn)有漏洞獲取財(cái)物行為較利用偶然漏洞獲取財(cái)物行為具備更大的法益侵害可能性，但尚不及利用破壞漏洞獲取財(cái)物行為的危害性，因此，利用現(xiàn)有漏洞獲取財(cái)物行為的入罪標(biāo)準(zhǔn)應(yīng)當(dāng)介于前兩者之間。

本期封面及目錄

<< 滑動(dòng)查看下一張圖片 >>

《中國審判》雜志2025年第8期

中國審判新聞半月刊·總第366期

編輯/孫敏