【案情】
公诉机关:北京市东城区人民检察院。
被告人:杨锋。
北京市东城区人民法院经审理查明:被告人杨锋于2013年8月至2014年4月间,通过互联网向他人手机传播木马程序,非法获取被害人的淘宝账号及密码、支付宝账号及密码等网络金融服务身份认证信息100余组,并在被害人金某某等5人不知情的情况下,通过被害人的支付宝账号发起交易金额18900元,其中支付成功9500元,造成其中5名被害人实际损失7500元。用户发现账户失窃后,向奇虎公司投诉,奇虎公司经调查发现可疑木马信息后向公安机关报案。北京市公安局网络安全保卫总队接报案后,于2014年4月25日在江西省南昌市将被告人杨锋抓获,用于作案的电脑、手机等犯罪工具被起获并扣押在案。在案件审理期间,被告人杨锋的家属代为退赔7500元。
【审判】
北京市东城区人民法院经审理认为:被告人杨锋无视国法,违反国家有关计算机安全保护的规定,故意在互联网上利用计算机病毒程序,非法获取他人网络金融服务的身份认证信息,情节特别严重,其又以非法占有为目的,秘密窃取他人财物,数额较大,被告人杨锋的行为已分别构成非法获取计算机信息系统数据罪和盗窃罪,应依法予以惩处。法院对其以犯非法获取计算机信息系统数据罪,判处有期徒刑3年,并处罚金6000元;犯盗窃罪,判处有期徒刑6个月,并处罚金1000元;决定执行有期徒刑3年2个月,并处罚金7000元。
一审宣判后,被告人没有提出上诉,检察机关亦未抗诉,判决已生效。
【评析】
本案在审理过程中,涉及两个焦点问题。一是被告人杨锋的行为构成非法获取计算机信息系统数据罪还是侵犯公民个人信息罪?二是本案应以牵连犯对被告人以盗窃罪进行处罚,还是数罪并罚?
一、被告人非法获取被害人网络金融服务身份认证信息的行为性质分析
通过网络非法获取的信息中有可能包含公民个人信息,也就是说非法获取计算机信息系统数据的行为在一些情况下是侵犯公民个人信息罪的手段行为,所以两罪之间存在一定的竞合关系。而这种竞合并非是因“一行为侵害数个独立之法益,致触犯数个罪名,同时具有数罪之性质”,而是“一个犯罪行为,只因法条之错综,以致可以适用之法条,适有数个而已”。[1]也就是说,非法获取计算机信息系统数据罪与侵犯公民个人信息罪之间的关系不是想象竞合关系,而是法条竞合关系。两罪之间的竞合并非由于一个犯罪行为侵害多个法益所在,而是两罪之间存在某种特殊关系所致。两罪之间体现的是一种交叉竞合,即有些要素是共用的要素,如犯罪主体、主观罪过、法定刑等。但两罪之间又存在诸多的不同点,进而使得两罪之间存在实质性的差别,成为司法实践中构成不同罪名进行处断的依据。具体区别主要体现如下:
1.犯罪对象不同。前罪的犯罪对象是数据,且为计算机信息系统中存储、处理或者传输的数据,主要包括支付结算、证券交易、期货交易等网络金融服务的身份认证信息。后者的犯罪对象是公民个人信息,包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。虽然两者之间存在一定的重合,如数据中可能包含有公民个人信息,但由于犯罪构成要主客观相一致,行为人在实施不同犯罪中会基于不同的目的,如某些行为人侵入他人计算机的目的是获取公民个人信息,有些则是为了获取具有交易价值的身份认证信息,本质上两者追求的对象仍属于性质不同、特征相异的不同范畴。
2.客观方面不同。前罪的客观方面表现为违反国家规定,侵入国家事务、国防建设、尖端科学技术领域之外的计算机系统或者采用其他技术手段,获取计算机信息系统中存储、处理或者传输的数据。后罪的客观方面表现为违反国家定,向他人出售、提供或者通过窃取以及其他方法非法获取公民个人信息。根据2017年6月1日最局人民法院、最高人民检察院颁布实施的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条的规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。公民个人信息的实质要件包括能够识别公民个人身份或者涉及公民个人隐私。故两者针对犯罪对象采取的方式亦不同,前者限于侵入计算机系统进而实施获取行为,而后者包括多种手段,如向他人出售、提供或者窃取等。
3.侵犯的法益不同。前罪侵犯的法益是计算机信息系统安全,属于刑法分则第六章妨害社会管理秩序罪第一节扰乱公共秩序罪中的一种;后者侵犯的法益是公民个人信息的隐私权,属于刑法分则第四章侵犯公民人身权利、民主权利罪中一种。从法益的性质来说,前者侵犯的是公法益,而后者侵犯的是私法益,两者存在着根本性质的差别。
4.情节严重认定的侧重点不同。根据2011年9月1日由最高人民法院、最高人民检察院颁布实施的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》可以看出,非法获取计算机信息系统数据罪入罪强调的是行为人通过技术手段获取计算机信息,重点在于非法获取,如利用木马程序、后门软件、键盘跟踪技术、攻击病毒、开放端口等获取计算机数据。而侵犯公民个人信息罪情节严重的认定主要侧重侵犯公民个人信息的数量、次数,造成的危害结果,违法所得数额,是否利用信息实施其他犯罪等。
通过对本案的事实分析不难发现,被告人杨锋的行为构成非法获取计算机信息系统数据罪,而非侵犯公民个人信息罪。理由如下:其一,从其实施犯罪的主观意图分析。被告人是通过互联网传播木马程序的技术手段,获取不特定人的淘宝、支付宝账号及密码,进而利用账号和密码来侵害被害人的财产权利。而其通过互联网获取被害人信息不是为了识别特定自然人身份或者反映特定自然人活动情况,故不应认定为被告人的行为构成侵犯公民个人信息罪。从犯罪构成主客观相统一的角度而言,虽然从危害后果上来看,非法获取计算机信息罪也侵害了公民的个人信息,但结合被告人主观目的来看,其并非为了识别或监控被害人,而是为了获取不特定受害人的相关信息,进而实施犯罪。其二,从受损法益的情况来看。虽然被告人杨锋的行为侵害了五个被害人的个人信息,并利用这些信息进一步实施了犯罪,但这些危害后果与被侵害的计算机信息系统数据而言显然居于次要地位。故此,笔者认为被告人的行为本质上属于妨害社会管理秩序的犯罪,其行为扰乱了国家对计算机信息系统的管理制度,造成不特定人员数据泄露的可能性。所以,被告人的行为应当认定为非法获取计算机信息系统数据罪。
二、行为人盗取身份认证信息后交易行为的认定
本案中被告人杨锋盗取五人身份认证信息后进行交易的行为应当如何认定?对此行为进行界定不仅关系到定罪,而且也会直接影响到对其刑罚的适用。
(一)是否构成牵连犯
笔者认为,杨锋的行为不构成牵连犯,其在盗取五人身份认证信息后进行的交易行为应该认定为盗窃罪。主要理由如下:
其一,不符合牵连犯构成的条件。牵连犯要求“以实施某一犯罪为目的,其方法行为或结果行为又触犯其他罪名的犯罪形态”。[2]可见,牵连犯要求行为人基于一个犯罪目的实施具有牵连关系的两个犯罪,进而按一罪处断的犯罪形态。在本案中,如果认为非法获取计算机信息系统数据是手段,雨利用这些信息实施窃取被害人财物是目的,那么可否认定两罪之间存在牵连关系?通过对类案进行分析,不难发现,非法获取计算机信息系统数据的目的往往并不是单一的,而是会有多种目的,行为人除了获取公民个人信息之外,还有获取经济信息、商业情报、进行商业运作等多种目的。故此不能断定实施非法获取计算机信息系统数据的目的系的盗窃行为。
其二,从我国刑法理论和司法实践的现实来看,不存在牵连犯成立的理论依据和司法实践的紧迫性。虽然在大陆法系国家的刑法理论上存在牵连犯的理论,但在我国刑法理论上对牵连犯的处置却存在不同的态度。张明楷教授认为应“取消牵连犯概念,将原有的牵连犯所包的犯罪现象,分别作为想象竞合犯、吸收犯与数罪处理”。[3]也就是说,即使两罪之间存在某种牵连关系,在一定程度上构成了牵连犯,进行异化处理,即将其按照想象竞合、吸收犯、数罪并罚的理论进行处理也是可行的,并且更能满足司法实践的需要。另外,从我国的刑事立法来看,只在刑法分则层面承认个别罪名之间存在牵连关系,更多的是进行异化处理。“我国刑法典分则对某些具体犯罪的牵连犯的处理作了特别规定,规定的情况不一:有规定从一重处罚的,有规定独立的法定刑的,也有规定实行数罪并罚的。我国刑法典分则条款对如何处理牵连犯作了特别规定的,只能按照刑法典分则有关条款的规定处理。”[4]而在我国刑法第二百八十五条第二款以及相关司法解释中不存在牵连犯的相关规定,故此不宜进行牵连犯的处置。而且,根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条所规定的相关内容可以看出,非法获取计算机信息系统数据罪挢规定的行为方式只包括非法获取、出售等行为,而没有包含利用这些信息进一步实施犯罪的行为,也就是说立法者没有考虑将行为人可能进一步实施的犯罪与该罪认定存在牵连关系而择一重处断。所以,无论是在我国的刑法理论上,还是在刑事立法、司法实践中,都不存在按照牵连犯处断的条件。
(二)窃取行为是否为不可罚的事后行为
在本案中,杨锋非法获取计算机信息系统数据后,利用这些数据中的五人身份认证信息进行交易,进而非法获利。从形式上看,杨锋后面的利用数据信息交易是前面非法获取计算机信息数据之后的自然延伸,正如行为人将盗窃的财物进行藏匿、转移而不再构成掩饰、隐瞒犯罪所得罪。这里首先要明确不可罚的事后行为的内涵,在此基础上才能准确判断杨锋窃取被害人财物的性质。一般认为,所谓不可罚的事后行为是指“由于是完成犯罪之后,在与该犯罪相随而继续存在的违法状态中通常包含的行为,所以,是被该犯罪的构成要件所评价完毕的行为。共罚的事后行为(不可罚的事后行为),不受处罚”。[5]那么,杨锋实施非法获取计算机信息系统数据后的通常状态应当是持续占有这些数据信息,根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》可以看出,也包含将这些信息进行出售获利,这些情况才是构成非法获取计算机信息系统数据罪之后的通常状态。
而事实上,被告人杨锋不仅实施了非法获取计算机信息系统数据的行为,而且还利用这些信息窃取被害人的财物,造成了被害人的损失,这显然已经突破了非法获取计算机信息系统数据罪所能包含的范围,当“事后行为另外侵犯了新的法益的,则另外构成他罪”。[6]非法获取计算机信息系统数据罪所侵害的法益是计算机信息系统的正常运行秩序,是公共秩序的一种情形。而被告人杨锋在获取相关数据信息之后,又实施了利用这些信息窃取被害人财物的行为,侵犯了他人的财产权益,而这两个法益存在本质的差别。也就是说杨锋的行为侵害法益的性质发生了转变,后面行为所侵犯的法益并非非法获取计算机信息系统数据罪侵犯的法益,而是侵害了新的法益。故此,杨锋实施的窃取他人财物的行为不是前面犯罪行为的自然延续,而应当单独定罪处罚。
总体而言,本案应数罪并罚,应以非法获取计算机信息系统数据罪及盗窃罪对被告人进行处罚。之所以数罪并罚,是因为行为人实施的非法获取相关数据信息行为已经构成犯罪,法益侵犯已经完成,构成既遂。其之后实施的交易行为系在完成前罪的情况下实施了另一新行为,行为人实施的该行为是在被害人不知情的情况下所为,其目的是窃取他人钱财,侵犯的是被害人的财产权,因此,应构成独立的盗窃罪。行为人实施了两个可以分别被刑法评价的行为,为了严厉打击犯罪,应该对其数罪并罚。
| 
