【202202026】制作、销售学习平台辅助程序的定性
文/丁净玉

　　【裁判要旨】
　　提供侵入、非法控制计算机信息系统程序、工具罪并非选择性罪名，其指向的目标犯罪属于类罪，包括侵入、非法控制、非法获取数据、破坏等以计算机信息系统为犯罪对象的网络犯罪。学习平台辅助程序以机器浏览方式非法访问学习平台，并利用该访问改变学习平台内原有数据，侵犯他人计算机信息系统的可信性和预期功能，与专门用于侵入、非法控制计算机信息系统的程序具有相当性。行为人以非法获利为目的，单纯地制作、销售专门用于非法获取数据的学习平台辅助程序，自己并未使用，情节严重的，构成提供侵入、非法控制计算机信息系统程序、工具罪。
　　□案号　一审：（2019）苏06２3刑初535号　二审：（2020）苏06刑终333号
　　【案情】
　　公诉机关：江苏省如东县人民检察院。
　　被告人：刘健。
　　如东县人民法院经审理查明：2016年以来，被告人刘健为获取非法利益，在未取得相关软件平台许可和授权的前提下，先后自行编写了法宣在线辅助程序、江西干部网络学院辅助程序、青海干部网络学院辅助程序、福州党员干部在线学习辅助程序、广西干部网络学院辅助程序、大连市干部在线辅助程序、河北干部网络学院辅助程序、新疆干部网络学院辅助程序、湖北省干部在线学习中心课程学习挂机程序等16个具有自动刷机获取积分、学习时长和自动答题、自动完成考试等功能的非法外挂软件。被告人刘健在上述辅助程序内嵌入微信或支付宝的收款二维码，并将上述程序软件投稿至“绿盟”“脚本之家”“太平洋下载”等软件下载网站，并存放在其自建的“yichunl78.com”（原名宜春在线，后更名为干部网络培训178程序）网站内，供用户下载，并通过扫描其嵌入程序内的支付宝、微信收款二维码付费使用。被告人刘健以此方式，非法获利912486元。
　　被告人刘健归案后，如实供述了自己的犯罪事实，并自愿签署认罪认罚具结书，自愿退出违法所得21万元。
　　【审判】
　　如东县法院经审理认为，本案的争议焦点是罪名的确定。根据最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《危害信息系统解释》）第2条规定，具有下列情形之一的程序、工具，应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”：具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机系统数据的功能的；具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权对计算机信息系统实施控制的功能的；其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。本案被告人刘健编写的外挂程序，未取得相关软件平台许可和授权，在运行过程中突破了计算机信息系统安全保护措施，获取相关软件系统数据，应当按照上述司法解释的规定认定为“专门用于侵入、非法控制计算机信息系统的程序、工具”。被告人刘健编写、销售外挂程序的行为，构成提供侵入、非法控制计算机信息系统程序、工具罪，情节特别严重。同时，案涉外挂程序是一种第三方应用程序，并非出版物；被告人刘健提供外挂程序的后果是破坏了相关学习平台积分发放统计的公平性，并未严重扰乱市场秩序，故不宜按非法经营罪定罪处罚。故公诉机关指控被告人刘健犯非法获取计算机信息系统数据罪、非法经营罪，指控罪名不当，应予纠正。被告人刘健归案后如实供述了自己的犯罪事实，系坦白，可从轻处罚；自愿认罪认罚，可从宽处理。被告人刘健庭审中自愿认罪，主动退出部分违法所得，可酌情从轻处罚。对被告人刘健尚未退出的违法所得，继续予以追缴，没收并上缴国库。对已被扣押的作案工具，予以没收并上缴国库。据此，依照刑法第二百八十五条第三款、第六十七条第三款、第六十四条，《危害信息系统解释》第2条、第3条，刑事诉讼法第十五条之规定，判决被告人刘健犯提供侵入、非法控制计算机信息系统程序、工具罪，判处有期徒刑3年，并处罚金30万元。被告人刘健已经退出的违法所得21万元，已被扣押的作案工具均予以没收，上缴国库；尚未退出的违法所得702486元，继续予以追缴，上缴国库。
　　一审宣判后，公诉机关以原审定性错误、量刑畸轻为由提出抗诉。在二审审理过程中，江苏省南通市人民检察院经审查决定撤回抗诉。南通市中级人民法院裁定准许撤回抗诉。
　　【评析】
　　本案中，被告人刘健制作、销售的16个学习平台辅助程序，除法宣在线辅助程序具有获取试卷编号、调取平台服务器存储的试题、答案，实现自动答题的功能之外，其他15个学习平台辅助程序只有模拟键鼠行为，以机器方式浏览文章、观看视频以获取学习平台积分的功能。公诉机关按照学习平台辅助程序种类的不同，分别以非法获取计算机信息系统数据罪、非法经营罪提起公诉。辩方则提出刘健的行为仅构成非法获取计算机信息系统数据罪，不构成非法经营罪。法院经审理后，没有采纳控辩双方关于罪名定性的意见，最终以提供侵入、非法控制计算机信息系统程序、工具罪对行为人定罪处罚。本案争议关键在于刘健制作、销售16个学习平台辅助程序（其中法宣在线辅助程序不作为讨论重点）的行为是否构成犯罪。如果构成犯罪，是构成公诉机关指控的非法获取计算机信息系统数据罪、非法经营罪两罪？还是一审认定的提供侵入、非法控制计算机信息系统程序、工具罪一罪？抑或是审理中出现的观点侵犯著作权罪（与销售侵权复制品罪竞合）？笔者同意一审法院的认定，具体分析意见如下：
　　一、司法实践中提供侵入、非法控制计算机信息系统程序、工具罪与易混淆罪名的区别
　　（一）提供侵入、非法控制计算机信息系统程序、工具罪与非法经营罪
　　非法经营罪是指自然人或者单位，违反国家规定，故意从事非法经营活动，扰乱市场秩序，情节严重的行为。根据刑法条文可知，非法经营罪属于扰乱市场秩序的罪名，侵犯的法益是市场经济秩序，惩罚的行为均是法律明确规定的关系国计民生重要资源的非法经营行为。虽然两罪的共同点是都有可能通过不法行为谋取利益，本罪可能为了谋取利益，也可能只是为了其他特定目的，但区别也是非常明显的，即侵犯的法益不同。本案中，刘健制作、销售的学习平台辅助程序是一种第三方应用程序，并非出版物。刘健提供的学习平台辅助程序可以通过机器访问方式改变学习平台学员的学习时长，进而改变学习积分数据，侵犯的是学习平台计算机信息系统的可信性和可用性，在市场中不存在合法竞争的可能空间，很难认为其侵犯了市场经济秩序。此外，综合具体案情可见，虽然行为人通过制作、销售学习类外挂程序非法获利，但学习平台开发运营者所主要追求的并非经济利益，故本案不宜按非法经营罪定罪处罚。
　　（二）提供侵入、非法控制计算机信息系统程序、工具罪与侵犯著作权罪（销售侵权复制品罪）
　　侵犯著作权罪规定在我国刑法分则第三章“破坏社会主义市场经济秩序”之中，对相关案件适用该罪名时，应当考虑法益侵害是否涉及经济秩序。[1]侵犯著作权罪的核心特征在于复制发行，即行为人所制作发行的作品应与权利人的作品具有一定程度的相似性，否则不宜认定为侵犯著作权犯罪的行为。本案中，学习平台辅助程序的技术原理在于通过模拟点击鼠标和键盘动作，自动访问学习平台上文字、视频的指定链接地址，执行浏览文章、观看视频等虚假操作以产生学习积分。学习平台辅助程序不同于网络游戏类外挂程序，并未复制学习平台的源代码数据。同时，学习平台辅助程序自动访问指定链接地址，并非司法实践中经常发生的深度链接行为，不属于通过信息网络向公众传播他人作品的发行行为。
　　基于上述分析，涉案学习平台辅助程序既不存在对学习平台本身的复制发行，也不存在对学习平台中作品的复制发行，并非版权意义上的侵权复制品。如前所述，刘健制作、销售学习平台辅助程序，违背了学习平台设定的预期功能，侵犯的法益是学习平台作为计算机信息系统的可信性、可用性，指向的是信息网络公共秩序，而非市场经济秩序，故本案亦不宜按侵犯著作权罪（销售侵权复制品罪）定罪处罚。
　　（三）提供侵入、非法控制计算机信息系统程序、工具罪与非法获取计算机信息系统数据罪
　　非法获取计算机信息系统数据罪指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统，或者采用其他技术手段，获取计算机信息系统中存储、处理或者传输的数据，情节严重的行为。刘健制作的学习平台辅助程序具有以非法访问方式改变系统数据的功能，其并非自己使用，而是为他人获取数据的违法犯罪提供程序、工具，是一种帮助行为。向他人提供侵入、非法控制计算机信息系统的程序、工具的犯罪行为，大大降低了网络犯罪的技术门槛，使几乎不需要专业计算机网络知识即可实施侵入、非法获取计算机信息系统数据、非法控制计算机信息系统犯罪，因而严重破坏了计算机信息系统安全管理秩序，给计算机信息系统安全造成极大的威胁。[2]从单独设定提供侵入、非法控制计算机信息系统程序、工具罪的立法旨意出发，考虑到其提供具有上述功能程序、工具的行为在网络犯罪中所起的重要作用以及对网络信息安全造成的严重危害，在现有立法框架下以提供侵入、非法控制计算机信息系统程序、工具罪进行惩处，能更为准确、全面地评价刘健这种单纯制售学习平台辅助程序的行为。
　　二、本案认定刘健构成提供侵入、非法控制计算机信息系统程序、工具罪的基本思路
　　（一）本罪的构成要件分析
　　提供侵入、非法控制计算机信息系统程序、工具罪，是指提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的行为。提供侵入、非法控制计算机信息系统程序、工具罪发生在使用者着手实施侵入、非法控制等目标犯罪之前，运用了预备犯罪实行化的立法技术对提供者进行前置性处罚，属于独立于目标犯罪的预备犯罪，其主要构成要件如下：
　　本罪客观方面要求行为人实施了提供侵入、非法控制计算机信息系统程序、工具的行为。对于何为侵入、非法控制计算机信息系统的程序、工具，根据刑法第二百八十五条第三款的规定，行为人提供的犯罪工具包括两种，即专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具。《危害信息系统解释》第2条对于专门用于侵入、非法控制计算机信息系统的程序、工具以“列举+兜底”的方式作出了并列、任择性规定，其中第（1）项中获取数据需要同时满足避开或者突破安全措施、违反访问权限的条件，而第（3）项中专门设计用于非法获取数据的程序、工具则不需要以突破安全防护、违反访问权限为必要前提，即使是欠缺突破安全防护、违反访问权限的非法获取数据，也可以因其客观危害相当性而具有刑事可罚性。
　　本罪在主观方面要求行为人对于其提供的软件、工具被用于侵入、非法控制等目标犯罪的危险变现有指向性认识。对于提供用于侵入、非法控制计算机信息系统的专门工具、程序的行为，刑法和《危害信息系统解释》均没有对于行为人应当明知的内容进行规定，只是对于提供具有危害性功能的非专门程序、工具的行为，要求行为人明知他人实施侵入、非法控制计算机信息系统的是违法犯罪行为；对于专门性程序、工具，从《危害信息系统解释》第2条“避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权”“专门设计”等表述来看，立法者对行为人向他人提供专门性程序、工具构成犯罪的主观方面作出了严格限制，即行为人对于其提供的程序、工具专门用于侵入、非法控制等目标犯罪主观上有指向性认识。需要指出的是，本罪指向的目标犯罪属于类罪，既包括侵入、非法控制网络犯罪，也包括非法获取数据、破坏、侵犯著作权等以计算机信息系统为犯罪对象的网络犯罪。按照预备犯罪实行化理论，本罪独立于后续目标犯罪，只需要行为人在主观上对于他人有实施侵入、非法控制计算机信息系统的某种犯罪行为有概括性认识，不需要对于特定犯罪行为的具体内容和后果有认识。[3]
　　（二）学习平台的特殊性与一般性
　　刘健制作、销售的学习平台辅助程序针对的侵害对象是法宣在线、江西干部网络学院、青海干部网络学院、福州党员干部在线学习、广西干部网络学院、大连市干部在线、河北干部网络学院、新疆干部网络学院、湖北省干部在线学习中心等16个学习平台。无需回避的是，上述学习平台具有不同于其他计算机信息系统的特殊性。第一，服务功能特定化。被侵害学习平台多为提供政治学习、学法考试、专题培训等特定教育服务。第二，主办单位特定化。这些学习平台的主办单位基本上是省级组织部门、党校等国家机关单位。第三，用户身份特定化。涉案学习平台的注册用户主要为国家机关工作人员。上述学习平台对注册用户进行的政治生活管理有内部化和非正式的特点，鉴于刑法规制的严格性和用语的限定性，尚不足以将其纳入刑法第二百八十五条第一款非法侵入计算机信息系统罪的犯罪对象即国家事务、国防建设、尖端科学技术领域的计算机信息系统等范畴，但其本质上仍然是自动处理数据功能的系统，具有计算机信息系统的一般性，不能将之视为刑法制裁网络犯罪的真空地带。
　　（三）专门用于侵入、非法控制的相当性
　　要确定刘健的行为是否构成犯罪、构成何罪，关键在于其制作、销售的学习平台辅助程序能否认定为刑法第二百八十五条第三款规定的专门用于侵入、非法控制计算机信息系统的程序、工具。对此，宜从《危害信息系统解释》第2条第（3）项的兜底性规定“其他专门设计用于非法获取计算机信息系统数据的程序、工具”入手，具体可以概括为设计上的“专门”和侵入、非法控制上的“专门”两个方面。结合本案案情，刘健针对不同的学习平台量身定制相应的学习平台辅助程序，仅设定为用户提高学习积分的单一功能，功能设计上具有高度的指向性，可以准确、无争议地判定为专门设计。本案的讨论重点是学习平台辅助程序以机器浏览方式改变学习平台内的数据，在技术层面实现了侵入行为与非法获取数据行为相分离，此类程序与专门用于侵入、非法控制计算机信息系统的程序具有相当性，属于提供侵入、非法控制计算机信息系统程序、工具罪目标犯罪的范围。具体理由如下：
　　首先，网络社会新技术的发展要求将获取数据的非法访问行为纳入刑法侵入禁止规范。随着cookies技术、大数据、云计算等新技术的发展应用，访问行为实际上具有一定程度的相互性，即用户通过其计算机浏览目标计算机的信息时，后者也会访问用户的计算机，两者之间存在相互浏览对方信息的问题。[4]不当限制计算机侵入禁止的适用范围，刑法将难以应对网站收集用户的cookies等信息社会中出现的全新犯罪类型。
　　其次，将获取数据的非法访问行为纳入本罪的目标犯罪不会导致刑法的不当扩张。虽然学习平台在网络空间中通常被视为公共场所，用户可以随时随地访问，但获取数据的非法访问行为强调的是基于被侵害学习平台不同意的非法性以及获取数据的内涵，而非访问的外延，同时要求提供者满足情节严重的入罪条件，不会导致刑法的不当扩展。行为人通过机器方式非法访问学习平台，改变学习平台内的学习积分等数据，其所侵犯的计算机数据的可信性和信息系统预期功能，具有独立的公共利益，刑法应当给予相应的保护。
　　再次，将获取数据的非法访问行为认定为本罪的目标犯罪具有法律依据。《危害信息系统解释》第2条第（3）项规定“其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具”应当认定为刑法第二百八十五条第三款“专门用于侵入、非法控制计算机信息系统的程序、工具”，该兜底性规定中的“获取”是广义的获取数据，既包括下载、复制数据以获取计算机信息系统数据的行为，也包括单纯地以机器浏览方式非法访问计算机信息系统并利用该访问改变计算机信息系统原有数据的行为。对“获取”作广义理解，并未超越法律文本语词的含义。
　　最后，本案最终对罪名的选择更为契合罪责刑相适应原则。鉴于案件的具体犯罪事实和情节，刘健提供涉案16个学习平台辅助程序，非法获利90多万元，属于情节特别严重的情形。法院以提供侵入、非法控制计算机信息系统程序、工具罪定罪，依法应当对其判处3年以上7年以下有期徒刑。但倘若对刘健以非法获取计算机信息系统数据罪、非法经营罪处罚，依法应当判处5年以上有期徒刑，事实上，公诉机关正是建议对刘健判处有期徒刑5年至6年并处罚金90万元至100万元。一审考虑刘健有认罪认罚、退出违法所得等量刑情节，以提供侵入、非法控制计算机信息系统程序、工具罪对其判处有期徒刑3年并处罚金30万元。从社会公众的一般认知看，本案的定罪量刑是妥当的，在不致于放纵犯罪的前提下，真正做到了罚当其罪，符合罪责刑相适应原则。综上所述，本案以提供侵入、非法控制计算机信息系统程序、工具罪评价刘健的行为，是恰当的。
　　【注释】
　　作者单位：江苏省南通市中级人民法院
　　[1]喻海松：“网络外挂罪名适用的困境与转向——兼谈《刑法修正案（十一）》关于侵犯著作权罪修改的启示”，载《政治与法律》2021年第8期。
　　[2]喻海松：《网络犯罪二十讲》，法律出版社2019年版，第40页。
　　[3]于志刚、于冲：《网络犯罪的裁判经验与学理思辨》，中国法制出版社2013年版，第84页。
　　[4]杨春然：“从现实到虚拟：计算机侵入禁止规范的构成及适用——兼论计算机同意”，载《法学论坛》2021年第1期。