中国刑事诉讼法学研究会是团结全国刑事诉讼法学工作者和法律工作者的全国性法学学术团体,其前身是成立于1984年的中国法学会诉讼法学研究会(2006年,诉讼法学研究会分立为刑事诉讼法学研究会和民事诉讼法学研究会)。2013年12月,中国刑事诉讼法学研究会完成民政部社团法人登记手续,...
姜楠:以勒索病毒索要比特币的刑事责任分析

文章来源中国法院网 2017年5月25日

    5月12日以来,勒索病毒“WannaCry”肆虐全球,成为近年来波及面最广的网络安全事件。“WannaCry”是蠕虫和勒索病毒的结合,利用早期windows版本系统漏洞进行攻击,受攻击电脑中的文档、照片、程序等多种文件被加密,用户需支付比特币赎金取回,否则文件被彻底删除。
  事实上,勒索病毒和比特币都不是新鲜事物。近年来,被誉为“数字绑票”的勒索病毒、蠕虫病毒、DDOS攻击等黑客攻击破坏活动相关案件呈线性增长趋势,一条制作黑客工具、销售工具、获取信息、倒卖信息、控制系统的地下产业链条已经成型。而作为虚拟产品的比特币,自2010年首次公开交易以来价值迅速飙涨,成为备受追逐的投资产品,同时由于其匿名性,交易过程中无法辨认用户信息,比特币成为暗网、毒品、洗钱等违法交易追捧的交付方式。
  不论是黑客犯罪还是以比特币为对象的犯罪,都早已进入到司法的评价体系。本次“WannaCry”事件将两者正式推向了主流公众视野范围之中,两者的结合也为司法提供了一个新鲜、极富挑战的课题。
  一、危害计算机信息系统安全行为的刑法规制
  对于危害计算机信息系统安全的行为,也即通俗所称的黑客犯罪,我国刑法主要规定了四个罪名,其规制行为各有侧重。
  案例一
  2013年9月,黄某以VPN拨号的方式非法侵入浙江省政务内网,租用服务器,通过黑客攻击软件,扫描并侵入长兴县政府、舟山市政府、湖州市卫生局、诸暨市公共服务中心等处的三十台政府服务器,通过软件工具扫描出上述服务器下有漏洞的主机,植入大量恶意程序。后其因犯非法侵入计算机信息系统罪,判处拘役四个月,缓刑八个月。
  本罪规制对国家事务、国防建设、尖端科学技术领域计算机信息系统的侵入。
  案例二
  2015年3月15日,何某通过互联网侵入北京阿里巴巴云计算技术有限公司服务器,并下载该公司虚拟机账号、密码共计11 506组。后其因犯非法获取计算机信息系统数据罪,判处有期徒刑三年,罚金人民币一万元。
  案例三
  2013年4月,被告人龙某使用其租用的江苏省镇江市服务器,利用非法手段侵入中国电信股份有限公司江苏分公司常州节点的ITV主机服务器,通过种植木马程序,取得该节点设备控制权,并控制了该节点对应的5000个用户的终端设备,造成该节点26台服务器设备下电更换。后其因犯非法控制计算机信息系统罪,判处有期徒刑三年,缓刑四年,并处罚金人民币三万元。
  案例二三适用同一个选择性罪名,即非法获取计算机信息系统数据、非法控制计算机信息系统罪,规制针对除特殊系统之外的,入侵系统、通过技术手段获取账号、密码等身份认证信息或控制计算机系统行为。
  案例四 
  2015年1月至8月间,黄某利用计算机在互联网上的QQ群里向他人销售能够侵入、控制网站服务器的webshell网页木马程序,通过支付宝交易49次,获取违法所得10260元。经司法鉴定,该程序是利用网站漏洞获取网站服务器文件的读取、写入、修改、删除等权限。后其因犯提供侵入、非法控制计算机信息系统程序、工具罪,判处有期徒刑十一个月,并处罚金一万元。
  本罪规制提供黑客工具的行为。
  案例五
  刘某为赚取广告推广费用,于2014年4月至5月间编写破坏性程序并将上述程序上传至互联网,经鉴定该程序具备抓取已登录QQ客户端用户的QQ号和Clientkey、登录QQ群管理、将程序链接上传到群共享并通知群成员等功能,具备自动复制及传播的特性,导致三万余名QQ用户被感染,程序运行后,被感染用户计算机自动下载并隐藏运行10余款推广软件。后其因破坏计算机信息系统罪,判处有期徒刑十个月,缓刑一年。
  本罪规制对系统、系统内信息进行删改等操作影响系统功能、数据、应用程序的正常运行、后果严重的或故意制作、传播计算机病毒等破坏性程序,影响系统正常运行的行为。
  二、以勒索病毒方式索要钱款的刑事法律评价
  目前司法实践中较为常见的黑客勒索财物方式是DDOS攻击(利用控制的傀儡机占据网络资源使目标系统无法正常服务)和勒索病毒,根据不同情况一般以破坏计算机信息系统罪或敲诈勒索罪定罪。
    黑客索财可以分为两步,第一步犯罪手段行为:通过网络攻击、植入病毒等方式,影响计算机系统的功能、正常运行;第二步犯罪目的行为:以阻止正常运营、删除数据相威胁,向机主、网站经营者等利益相关人索要钱款。该两种行为可以分别评价。
  蠕虫型勒索病毒属于能够自我复制、传播并破坏计算机系统功能,在特定触发条件下(7天不交付赎金)破坏系统数据的破坏性程序,同时遭受攻击、传染的计算机系统的软件或硬件不能正常运行,因此手段行为(不考虑罪量要素)符合破坏计算机信息系统罪的犯罪构成。
  敲诈勒索罪系指以非法占有为目的,以威胁或要挟的手段,强行索取他人财物;黑客以网络攻击、销毁文件、不予解锁等方式索要钱款,符合敲诈勒索罪的犯罪构成。
  由此,勒索病毒索财触犯了两个罪名,属于刑法理论中的牵连犯;对于牵连犯,除法律明确规定外,应当从一重罪处断。即,虽然敲诈病毒索财同时犯破坏计算机信息系统罪和敲诈勒索罪,但由于目的行为和手段行为之间存在着紧密联系,如果数罪并罚最后量刑往往偏重,故而要在两个罪名中选择一个裁量结果更重的罪名适用。
  这解释了为什么实践会出现两种判决结果,并不是裁判失误。破坏计算机信息系统罪的量刑更多的取决于所影响计算机系统的台数、经济损失、系统不能运行时间等方面,敲诈勒索罪主要取决于索要的钱款数额。因此不同的案件事实及不同的证据样貌将动态地决定何者量刑更高及最终适用。
  三、比特币是否属于刑法中评价的财物
  “WannaCry”事件的特殊之处是黑客索要比特币而非钱款,这在目前司法实践中较为鲜见。(已有通过勒索病毒索要比特币的案件,公诉机关以敲诈勒索罪起诉至法院,案件尚在审理过程中。)
  此种情形涉及刑事司法中的价值判断:比特币作为一种虚拟产品,它的法律本质是财物还是电子数据。如只将其视为电子数据而不纳入刑法保护的“财物”范畴,则索要比特币不符合敲诈勒索罪的犯罪构成。
  与比特币法律地位接近的网络游戏装备、游戏币、Q币、网络账号等属虚拟财产,学界的主流观点认为应当纳入“财物”范围,但实务界对此态度整体趋于保守。2013年两高《关于办理盗窃刑事案件适用法律若干问题的解释》出台时,相应起草者申明盗窃虚拟财产不应按盗窃论处,主要考虑到虚拟财产的本质是计算机信息系统数据,将其解释为财物超出了法律解释的合理范畴,从操作层面上亦难以解决数额计算的问题。 
  比特币不同于传统的虚拟财产,它不依赖于运营商、交易过程不可逆、具有强货币属性,但同样面临以上考量。网络技术的信息发展必然带来同类案件的高发,网络安全成为新的时代焦虑,迫切需要司法给出答案。此时如果通过扩大解释将比特币解释为财物,以可交易性作为财物的根本属性,固然即时作出答复,却有违刑法的谦抑性。同时,在国家监管层面尚对比特币持有审慎观望的态度、将其定位为“虚拟产品”而禁止金融机构参与交易的情况下,刑事司法直接将其定位为财物,不免有冒进和越位之嫌。
  因此,在当前情况下以审慎和克制为宜,暂不将其纳入传统“财物”的范围内,对勒索病毒索要比特币的行为以破坏计算机系统罪评价更为稳妥。