数字时代非法获取游戏源代码的刑法规制:争议及启示
来源:优秀文章 发布时间:2023-03-27 点击:
李姝颖
(上海海事大学 法学院,上海 201306)
大数据、云计算、人工智能等数字技术的进步推动了数字经济高质量的发展,网上购物、线上教学、远程医疗等对数字技术的应用也深刻影响着人们生产生活的方方面面。在数字技术日新月异、数字经济深入推进的时代背景下,海量数据只有通过数字技术的专业化处理才能够实现信息资产的增值。一方面,计算机技术的发展使得人们对数据信息的处理更加强大和便捷;
但另一方面,当前的技术尚不成熟且存在数据被人为窃取或滥用等风险,亟待法律进行规制。数字化的伟大变革风险与机遇并存,对于纷繁复杂的数字,不仅需要高效快捷地使用,更应该知责任、合规制、守道德的去使用。本文以日益流行的网络游戏为切入点,分析并解决非法获取游戏源代码所存在的罪名适用争议问题,旨在明确对于数据类犯罪的刑法规制思路。
互联网的快速普及与广泛应用造就了蓬勃发展的网络游戏市场。近年来由于网络游戏用户规模进一步扩大,良莠不齐的游戏平台亦随之大量涌现,其中,不乏存在换皮游戏及架设私服等违法行为。换皮游戏,顾名思义是保留某爆款游戏的“筋骨”源代码与“血肉”如游戏玩法、架构等,通过“换皮”的方式改变游戏中的人物、场景或调整其中的画面、文案,制作出所谓的新游戏。究其实质,不过是“新瓶装旧酒”“换汤不换药”。而架设私服则是指行为人未经著作权人授权,通过非法手段获得服务器安装端程序后私自设立网络服务器。[1]游戏私服的背后,存在着对游戏源代码进行获取、转让等一系列操作的灰色产业链条。其中,游戏源代码的非法获取问题作为该产业的源头不得不引起人们重视。游戏源代码是指可编译运行出游戏的代码。笔者在中国裁判文书网中以“游戏源代码”为检索字项,通过对筛选出的刑事案件进行系统分析,发现“数据”因其多变的性质既是手段又是对象,[2]难免在具体案件的罪名选择与罪数认定方面存在争议和分歧。
一方面,游戏源代码可以作为犯罪工具。此类犯罪可以说是传统犯罪在形式上的异化,换言之,是将传统犯罪披上了“数字化”外衣。例如在胡毓钢冯杰等开设赌场一案中,①参见(2019)渝01刑终742号行为人擅自使用他人游戏源代码开设私服游戏并为牟利在其中植入赌博软件,供游戏玩家赌博,从赢家处抽头盈利。行为人本质是开设赌场,应以开设赌场罪定罪量刑。该案虽涉及游戏源代码,但仅仅是将他人游戏源代码作为行为人植入赌博软件的工具,在网络中开设赌场与在现实中开设赌场仅仅是外在形式上存在不同,与传统犯罪并无本质区别。
另一方面,游戏源代码的内容又可作为犯罪对象。此类犯罪保护的并非是游戏源代码本身的安全,而是该源代码可能涉及的各种具体利益。实践中,非法获取游戏源代码的行为可能破坏了游戏源代码所涉及的知识产权、社会管理秩序等利益。笔者以为,与传统犯罪的数字化变型相比,分析以游戏源代码作为犯罪对象的犯罪对于规制数据犯罪具有更高的研究价值,因此下文将讨论的重点放在以游戏源代码作为犯罪对象的犯罪上。
游戏源代码是指可编译运行出游戏的代码。须知数据是储存信息的代码,而代码是能够处理其他数据的数据。从这个角度上来说,游戏源代码属于数据。而网络游戏属于计算机软件,游戏源代码作为一款网络游戏软件中最核心的部分,自然落入著作权法的保护范围。[3]综上,非法获取游戏源代码涉嫌非法获取计算机信息系统数据罪和侵犯著作权罪。
(一)非法获取游戏源代码的罪名选择
1.非法获取计算机信息系统数据罪和侵犯著作权罪的犯罪对象不同
前罪以存储、处理、传输于使用中的计算机信息系统且具备保密性、完整性和可用性的数据作为犯罪对象;
[4]而后罪的犯罪对象则是获得著作权登记证书的计算机软件。计算机软件具有可感知性与可再现性,因此,二者最大的差异集中在计算机软件独具原创性特征,但对于前述数据而言,原创性要求则不是必须。
由此可知,游戏源代码是游戏公司所开发的计算机软件程序代码中最核心的部分,只要该程序代码与游戏软件所保护的程序代码具有实质性相似,就可能构成侵犯著作权罪,除非该游戏源代码在行业内众所周知或成为公共技术,已丧失原创性和新颖性。
2.非法获取计算机信息系统数据罪和侵犯著作权罪的犯罪客体不同
前罪属于分则第六章妨害社会管理秩序罪,[5]制定该罪的目的在于保护其犯罪客体即计算机信息系统的安全。黑客实施非法获取游戏源代码的行为即表明计算机信息系统安全可能受到威胁。如在马某非法获取计算机信息系统数据罪一案中,①参见(2016)粤03刑终1168号。该公司服务器遭受黑客攻击且管理员失去了对服务器的管制权,公司服务器被入侵后十几款游戏资源被打包外传,公司员工的电脑密码、公司财务数据等亦被非法获取,同时,黑客通过植入木马软件、删除打包文件、删除安全日志等操作删除其入侵痕迹使得管理员只能采取断网方式进行紧急处理。而断网则导致了多台电脑无法正常使用,严重扰乱了该公司正常的生产经营秩序,并造成了极大的社会安全隐患。
后罪属于分则第三章破坏社会主义市场经济秩序罪。一般说来,游戏公司对游戏软件依法享有财产权,他人非法获取游戏源代码明显未经游戏公司的许可,若行为人有后续转卖代码或架设私服等行为即可轻易证明其是以营利为目的进行复制。这无疑是对游戏公司著作财产权的侵犯,扰乱网络游戏市场的同时更破坏了社会主义市场经济秩序。
3.非法获取计算机信息系统数据罪和侵犯著作权罪的客观要件不同
定前罪须证明行为人侵入了游戏公司的计算机信息系统或者采用其他技术手段获取了其中存储的游戏源代码。实务中,侦查机关可根据游戏公司的服务器日志证实行为人存在非法侵入的情况,或提供服务器数据被打包复制的证据证明存在采用其他技术的事实,否则可能因难以认定行为人实施了非法手段而导致无法定本罪。此外,行为人非法侵入或采用其他技术手段黑进游戏公司后台,须至少控制20台服务器;
或者行为人在非法获取游戏源代码后转卖他人、架设私服获利超过5千元;
或者非法获取游戏源代码时行为人攻击后台服务器等行为给游戏公司造成的直接经济损失以及游戏公司为恢复数据、修复功能所支出的必要费用超过1万元,才符合“情节严重”的要件,成立前罪。
就后罪而言,行为人必然实施了将相关数据打包下载的操作,即未经游戏公司许可,对该游戏软件的代码进行复制,因此,是否构成侵犯著作权罪的关键在于复制后行为人是否有通过信息网络向他人传播的发行行为。与前罪为情节犯所不同,后罪系结果犯,行为人以转卖他人或架设私服营利为目的,未经游戏公司许可非法获取游戏源代码后将该游戏软件通过信息网络向他人传播500张(份)以上,属于有其他严重情节;
若从中获利3万元以上,则属于违法所得数额较大。只有当行为最终造成上述危害结果才属既遂,否则其在犯罪客观方面的构成要件将不齐备。
(二)非法获取游戏源代码的罪数认定
有观点认为,前后两罪之间实质上是一种法条竞合关系。对此笔者持否定态度,理由在于:一是前述两个罪名之间不具有通常的交叉或包容关系。法条竞合要求无论是否实施相关犯罪,两个罪名之间都必然存在包容与被包容的关系。但实际上,两罪仅在犯罪对象为计算机软件时有交叉的可能,当犯罪对象为其他时这两个罪名之间通常没有任何联系。二是符合法条竞合关系的两个犯罪其犯罪客体具有相同性,只能是一个法益类别,而妨害社会管理秩序罪与破坏社会主义市场经济秩序罪明显不同,两罪所保护的法益计算机信息系统安全与著作权管理制度亦是天差地别。由此可见,非法获取计算机信息系统数据罪与侵犯著作权罪并非法条竞合关系。但笔者以为,两罪仍存在想象竞合的可能,如行为人侵入游戏公司服务器并造成系统瘫痪后利用所获取的游戏源代码架设游戏私服营利且违法所得数额较大时,行为人虽然只有一个行为,但既侵犯了计算机信息系统安全,妨害了社会管理方面正常的网络秩序,也破坏了游戏公司对其游戏软件专有的著作财产权,亦扰乱了社会主义市场经济秩序,同时触犯非法获取计算机信息系统数据罪与侵犯著作权罪两罪,应从一重罪论处。
(一)数据犯罪的分类
数据犯罪作为类罪尚无统一的解释,笔者以为数据类犯罪应分为两种类型。第一类是从形式上理解“数据犯罪”,指以数字技术为犯罪对象,干扰或破坏计算机信息技术的犯罪。其目的在于防止信息技术所保护的信息财产被故意或偶然的泄漏、更改、破坏或使信息被非法系统辨识、控制,[6]如破坏计算机信息系统罪、非法控制计算机信息系统罪等。第二类是从内容上理解“数据犯罪”,指以数据内容为犯罪对象,破坏数据的保密性、完整性和可用性的犯罪。其保护的是该数据可能涉及的知识产权、社会管理秩序和个人信息安全等各种具体的利益,可能构成侵犯著作权罪、非法获取计算机信息系统数据罪、侵犯公民个人信息罪等。
需要注意的是,笔者对数据犯罪的界定排除了《刑法》第287条所规定的以数据犯罪为外衣实为传统犯罪的内容。此外,有学者认为,应当顺应信息技术的发展,拓宽司法解释中数据的概念范围,将刑法中的数据作扩大解释,即数据应包括任何以电子或者其他方式对信息的记录,①《数据安全法》第3条第1款:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”从而与最新出台的《数据安全法》相协调。然而,笔者对此持反对意见,刑法应秉持其谦抑性,以避免“数据”扩大解释后所可能带来的泛罪化危险,肆意扩大数据的定义范围,不分情况地将保护数据与保护信息等同起来,极易导致数据犯罪成为口袋罪,造成相关罪刑的擅断和滥用。
(二)规制思路的转变
有学者认为计算机运算已经由信息系统转变到云资源池,因其依托于网络,提出应修改非法获取计算机信息系统数据罪为非法获取网络数据罪以去除前提的技术性行为限定。[5]但笔者认为不应作出此种修改,理由如下:第一,随着科技发展和技术进步,大数据必然无法用单台的计算机进行处理,必须采用分布式架构,但本质上,分布式架构是将数据分布储存在多台服务器上,仍离不开计算机信息系统。第二,计算机信息系统是以计算机和各种信息技术为基础的信息处理统一体,计算机信息系统不等于计算机信息技术,并非是以此对技术行为进行限定。第三,从保护法益上看,计算机信息系统安全以信息安全为核心,包括操作系统安全、数据库安全、网络安全等等。因此,网络安全为计算机信息系统安全所涵盖,修改该罪会无端导致法益被限缩,亦可作为反对此种修改的论据。
数据技术的革新已成必然趋势且日新月异,法律罪名确实应取消技术性行为限定。但是,计算机信息系统通过存储器保留数据,云资源池基于网络提供数据存储服务,本质上二者都是存储数据的集合,只是外在表现形式不同。以小说为例,不论其发表于网络抑或出版成书,其本质与形式无关,法律所保护的是作品,其法益是知识产权。而对于数据犯罪而言,法律所保护的也并非计算机存储器抑或云资源池,而是计算机信息系统的安全。
还有学者认为应当将数据安全从计算机信息系统安全中独立出来,建立计算机犯罪与数据犯罪的双切入点体系。[2]然而,这只是从形式上更加突出了数据犯罪的重要性,现行法律对法益的保护已经是周延的,无论是数据安全抑或网络安全均是计算机信息系统安全中的分支,不管是数据犯罪还是信息犯罪、计算机犯罪还是网络犯罪都存在着千丝万缕的联系,其内涵和外延都会随着时代的发展、技术的革新、犯罪手段的升级而发生变化。既然没有出现新的法益,即刑法保护的内容没有实质的变更,就没有改变罪名形式或设立新罪的必要。笔者以为,对数据犯罪规制的重点应落脚在对计算机信息系统安全之法益的深入理解上。第一,计算机信息系统的安全是技术层面的安全。为保障信息财产不被故意或偶然的泄漏、更改、破坏,保护信息不被非法系统辨识、控制,需要不断提高大数据、云计算、人工智能等数字技术水平,更需要迅速升级、及时更替、潜心研发新兴技术。第二,计算机信息系统的安全是应用层面的安全。从数据的可用性特征出发,经处理的数据即是有意义的信息。从这个意义上理解,数据反映数据对象,而信息承载具体利益,当数据与信息在内容上表现出同质化的趋势时,数据所具有的全部意义就在于对所涉具体法益的保护。
综上,由于数据犯罪既可从形式角度理解,亦可从内容角度理解;
其法益计算机信息系统安全既包括技术层面的安全,又包括应用层面的安全。因此,以刑法规制数据犯罪的思路应由数据向数字技术和具体法益两个方向着陆。形式与内容互为表里,技术与应用相辅相成,数据犯罪最终应落脚到对计算机信息系统安全全面且实质的保护上。
非法获取游戏源代码涉嫌非法获取计算机信息系统数据罪与侵犯著作权罪,针对该罪名适用争议,笔者通过比较犯罪对象、犯罪客体和犯罪客观要件对两罪予以区分,并且以分析过程中所得到的启示为根据,归纳出针对数据类犯罪的刑法归制思路。第一,数据犯罪包含两种类型,第一类是从形式上理解“数据犯罪”,指以数字技术为犯罪对象,干扰或破坏计算机信息技术的犯罪;
第二类是从内容上理解“数据犯罪”,指以数据内容为犯罪对象,破坏数据的保密性、完整性和可用性的犯罪。第二,计算机信息系统安全既包括技术层面的安全,又包括应用层面的安全。规制数据犯罪的思路应由数据向数字技术和具体法益两个方向着陆。形式与内容互为表里,技术与应用相辅相成,数据犯罪最终应落脚到对计算机信息系统安全全面且实质的保护上。