非法获取计算机信息系统数据罪的规制对象研究：以虚拟货币为例

引入：关于盗窃虚拟数字货币究竟应当以盗窃罪规制还是以非法获取计算机信息系统数据罪规制，近年来一直是学界研讨的热门问题。该问题之所以产生，是因为虚拟货币作为信息技术发展的产物，兼具数据和财产的特点，因而表面上均符合二罪的法益保护范围。但问题是，非法获取计算机信息系统罪的立法初衷就是保护“计算机信息系统中存储、处理或者传输的数据”，而虚拟货币虽然具有数据的特性，但是与该罪名的立法目的不相符合。如果我们能重新审视在实务中被作为兜底罪名使用的非法获取计算机信息系统罪，讨论该罪名的实质规制范围，则盗窃虚拟数字货币究竟应当用哪一罪名处罚的问题也迎刃而解了。

一、非法获取计算机信息系统数据罪的罪名解读

1997年我国刑法规定了非法侵入计算机信息系统罪和破坏计算机信息系统罪。互联网信息技术的发展和普及，在促进计算机走进千家万户的同时，也催生了网络犯罪，日益威胁着我国公民的网络安全。针对实践中出现的黑客攻击、网络病毒等违法犯罪活动的严重威胁，为维护计算机信息系统安全，2009年2月28日全国人大常委会通过的《刑法修正案（七）》增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪。

（一）立法目的研讨

笔者检索了《刑法修正案（七）》出台后，人大法工委副主任黄太云对该修正案的解读，其明确增加非法获取计算机信息系统数据罪，是源于实践对于网络安全的法律保护需要。公共信息安全和网络监察部门提出，当前，我国计算机网络安全形势十分严峻。一是计算机系统被植入病毒、木马程序，后门、天窗等破坏性程序的案件大幅增加，给网络安全带来极大隐患。二是犯罪人员由专业技术人员向普通人群蔓延； 三是计算机病毒与木马程序等恶意代码相结合，以计算机病毒携带木马程序、间谍软件进行大规模传播来非法获取他人账号、身份认证信息，进而侵入他人计算机信息系统窃取计算机信息系统数据，或者对计算机信息系统进行远程控制的案件增长迅猛。法律要与时俱进，回应司法实践的需要。此前，我国刑法第285条仅对非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为作了规定，没有对于一般计算机信息系统的单独规定，在互联网商用、逐渐进入普通家庭的信息技术发展大背景下，法律扩展计算机网络保护范围，具有紧迫性和必要性。侧面说明，该罪名的设立初衷，是为了保障互联网信息数据安全。

（二）司法解释解读

1.《解释》的出台背景

在《刑法修正案（七）》适用后不久，2011年，最高人民法院、最高人民检察院联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》）。在答记者问时，官方也解读了《解释》的出台背景“从司法实践来看，制作传播计算机病毒、侵入和攻击计算机信息系统的犯罪增长迅速，非法获取计算机信息系统数据、非法控制计算机信息系统的犯罪日趋增多，制作销售黑客工具、倒卖计算机信息系统数据和控制权等现象十分突出。这些违法犯罪行为具有严重的社会危害性，不仅破坏了计算机信息系统运行安全与信息安全，而且危害了国家安全和社会公共利益，侵害了公民、法人和其他组织的合法权益。”司法解释对于法规的阐释，再次表明非法获取计算机信息系统数据罪针对的是对于计算机信息系统数据本身的犯罪，而不是将互联网信息数据用做犯罪手段实施的传统犯罪，该罪的立法目的是保障计算机信息系统运行与安全。

2.《解释》中对非获罪“情节严重”的规定

细读该《解释》，非获罪入罪要求达到“情节严重”，具体而言为，下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；（二）获取第（一）项以外的身份认证信息五百组以上的；（三）非法控制计算机信息系统二十台以上的；（四）违法所得五千元以上或者造成经济损失一万元以上的；（五）其他情节严重的情形。对上述条款进行逐一分析，非获罪的入罪标准主要是根据盗取信息数据的种类和数量及损失计算的。首先，网络金融服务的身份认证信息关乎到人民群众的财产安全，因而应当额外保护，因此获取十组以上就构罪；其次，除网络金融服务信息外，其他身份认证信息同样关乎数据安全，非法获取五百组以上即入罪。最后，还有兜底条款，这里的“其他严重情节”中的行为要与前述非法获取身份认证信息的行为具有等值性，才能被刑法处罚。

3.虚拟货币与情节严重条款的对应情况

总的来看，司法解释表明非获罪主要保护的是身份认证信息等关乎用户互联网信息安全的信息数据。具体到虚拟货币，首先，《解释》第十条称本解释所称“身份认证信息”，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。本文所探讨的重点虚拟货币属于电磁数据，但并不属于账号、密码等操作权限资格。也许有观点会认为，盗窃虚拟货币需要以获取他人平台交易账户和密码为前提，因此保护金融交易账户和密码就是保护财产权益。先不论，身份认证信息和通过认证信息取得的财产是两个值得保护的法益，不能混为一谈。就说事实上，盗窃虚拟货币也不一定以盗窃账户身份认证信息为必要，如比特币交易只认私钥，如果私钥泄露后被他人取得并获得虚拟货币，则损失依然会产生，因此该条不符合。其次，用“违法所得”、“经济损失”和兜底条款让盗窃虚拟货币入罪也有个前提，即虚拟货币属于非法获取计算机信息系统数据罪中的数据，而后文将详细论述该罪的规制范围，并厘清此罪保护的数据与虚拟货币的区别。

二．非法获取计算机信息系统数据罪中的“数据”外延

前文已经明确，非法获取计算机信息系统数据罪实际上是为了保障用户互联网信息数据安全而设立。对非法获取计算机信息系统罪的构成要件展开分析，有以下特点：第一，本罪名作为刑法285条的补充，本罪扩大了受刑法保护的计算机信息系统的范围，即国家事务、国防建设、尖端科学技术领域之外的计算机信息系统；第二，本罪的犯罪行为是违反国家规定，侵入或者用其他技术手段获取计算机信息；第三，本罪的犯罪客体是计算机信息系统及其中数据的安全，犯罪对象仅限于使用中的计算机信息系统中存储、处理、传输的数据，脱离计算机信息系统存放的计算机数据，如光盘、优盘中的计算机数据不是本罪的保护对象。这里的数据，不限于计算机系统数据和应用程序，还包括权利人存放在计算机信息系统中的各种个人信息。以上信息均表明非获罪的保护对象是计算机数据，因此需要对“数据”一词进行界定。

（一）计算机信息数据的定义

我国现行关于计算机信息数据的立法包括但不限于《关于维护互联网安全的决定》、《数据安全法》、《中华人民共和国计算机信息系统安全保护条例》等法律法规。2000 年全国人大常委会《关于维护互联网安全的决定》第四条第二项规定禁止“非法截获、篡改、删除他人电子邮件或者其他数据资料”，其目的是为了保护“公民通信自由和通信秘密”。2021年的《数据安全法》第三条规定“本法所称数据，是指任何以电子或者其他方式对信息的记录。”，而“数据安全”是指“通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”。根据上述法律法规，数据是指任何以电子或者其他方式对信息的记录。

（二）非法获取计算机信息系统数据罪的“数据”外延

如果按照上文的定义，则只要是用电子或其他方式对信息的记录，都属于数据。但事实上，大数据背景下互联网已经变成了一种信息存储方式，如果用上述概念界定非法获取计算机信息数据罪中值得保护的数据，则几乎所有通过互联网储存的信息都包含在内，包括但不限于个人信息、虚拟财产、商业秘密和知识产权等权益。如果不对此加以区分，不仅会导致罪与罪之间的界限不明，而且会导致非法获取计算机信息系统数据罪沦为一个口袋罪名。

1.与个人信息重合

在《刑法》中，不仅存在针对计算机数据类犯罪，还有针对公民个人信息类犯罪。《刑法修正案（七）》的出台，在增加了非法获取计算机信息系统数据罪的同时，还增加了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。在以非法获取计算机信息系统数据的方式侵害公民个人信息的案件中，犯罪对象的表现形式是计算机信息数据，但实际承载的是个人信息。《中华人民共和国个人信息保护法》中，将“个人信息”界定为“是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”从中看出，公民的个人信息的内涵与前述《数据安全法》中的数据存在一定的重合。尤其是结合《解释》中，对于“身份认证信息”的界定，身份认证信息与个人信息密切相关，都具有可识别性。因此，有学者认为《数据安全法》规定的是信息与数据一体化的“广义数据”，从总体上保护和规制所有“有信息价值”的数据及其相关行为。《个人信息保护法》则是特别法，在数据保护中对提取“个人信息”进行特殊保护。如果不对此加以规范说明，会在个案适用中，导致法条的重合。

2.与秘密利益重合

我国《刑法》在各章节分别制定了侵犯国家秘密、军事秘密和商业秘密犯罪，但是以上三种秘密往往是以电子方式储存的，被侵犯的方式也相似，秘密利益与数据的机密性出现了高度一致。值得注意的是，《刑法》各章节在制定侵犯三种秘密犯罪时都强调了不同的构成要件，如非法获取国家秘密要求以窃取、刺探、收买方式获得，非法获取军事秘密要求利用职务之便或以非法手段，侵犯商业秘密要求造成重大损失。如果对非法获取计算机信息系统数据罪中的数据和秘密性利益不加区分，容易发生获取秘密性利益不符合上述三类罪的特定构成要件，用非获罪加以兜底的情况。该情况则会导致该罪的扩张与变异，也有违罪刑法定原则的要求。

3.与网络知识产权重合

知识产权保护的是人类智力成果和经营活动中的标记，而网络是人类智力成果的记载方式之一，因而非获罪保护的数据和网络知识产权具有重合性。如有学者研究过，以非获罪处罚的犯罪行为中不乏:盗窃网络游戏源代码予以销售或者搭建网络游戏牟利、非法破解、修改、控制域名并出售、盗窃网络课堂教学视频和公司设计图纸等行为。以上几种行为侵犯的数据的突出特性是智力成果性，均可用知识产权法规和刑法中知识产权类犯罪规制，无需纳入非法获取计算机信息系统数据罪的数据保护范围。

4.与虚拟财产重合

网络虚拟财产从物质形态上看，是以数字化的数据形态被生成和存在于网络服务器的虚拟空间之中，并可以为网络使用者通过一定的程序，以数字化的形态在网络间转移、支配使用的电磁信息。2016 年最高人民法院研究室作出的《关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》指出，对利用计算机窃取他人游戏币非法销售获利的行为，宜以非法获取计算机信息系统数据罪定罪处罚。但问题是，虚拟财产本质上就是电磁数据，但是作为虚拟财产，其不同于一般数据的特点就是财产性，具有经济价值。结合前文论述非法获取计算机信息系统数据罪的立法目的主要是保障计算机信息数据安全，而非公私财物，因此非法获取虚拟财产的行为难以认定为非法获取计算机信息系统数据罪。

（三）对非法获取计算机信息系统数据罪中的“数据”限缩

信息安全的范畴非常广，前文也已经论述过，由于我国《数据安全法》对于“数据”的定义是广义的，导致在运用中“数据”一词可能与个人信息、秘密性利益、网络知识产权、虚拟财产等概念发生重合或冲突。如果采取此类广义解释，可能会导致非法获取计算机信息系统数据罪不可避免地沦为口袋罪，应当将此罪名限制为单纯的针对计算机信息数据的犯罪，尽量与其他法益做区分。结合该罪名的立法目的和数据的特性，应当认为该罪名立足互联网安全，保护的是以电子方式记录的具有机密性、完整性和可用性特征的数据。机密性指不被他人知晓，完整性指不被删改，可用性指用户针对该数据有在互联网使用的利益，如金融账户登录后可以开展金融交易，APP账户登录后可以享有APP提供的服务。如果数据的其他属性，如智力成果性或财产性更为突出，则应当考虑他种罪名保护。

三．盗窃虚拟货币不应以非法获取计算机信息系统数据罪定罪处罚

在前文中已经铺垫过，虚拟财产不能直接等同于非获罪中的数据，下文也将回归本文重点，讨论盗窃虚拟货币应当以哪一罪名追究。本文探讨的虚拟货币，是依据特定算法，通过大量计算产生的，具有流通性、匿名性和去中心化特征的数字货币，如比特币、泰达币等。2013年12月3日中国人民银行等五部委《关于防范比特币金融风险的通知》规定“从性质上看，比特币应当是一种特定的虚拟商品。”这是首次以部门规章的形式正向肯定了比特币的“虚拟商品”属性。此后的法律法规延续了这一观点，即使虚拟货币交易被认定为非法，也没有否定其商品属性。因此，虚拟货币作为虚拟经济的一部分，当然具有财产价值。

（一）虚拟货币的财产性特征与数据性特征对比

虚拟货币作为虚拟财产属于广义的数据，但应与数据相区别。《民法典》第一百二十七条规定：法律对数据、网络虚拟财产的保护有规定的，依照其规定。将虚拟财产和数据作为两个并列的概念。数据，前文已经指出，是指任何以电子或者其他方式对信息的记录。从广义上讲，虚拟货币作为电磁记录，依托于计算机信息技术，也属于数据的一种。但是，将网络虚拟财产的本质界定为二进制代码的数据属性观念,只认识到虚拟财产的表面,因为任何由计算机系统记录的信息都属于数据，在互联网时代数据的范围太过广阔了，如电子银行APP记载的余额本质也是数据。但认定虚拟货币的财产属性较数据私密性、完整性和可用性属性更为显著的原因在于它存在一个内在的调整机制,即虚拟经济系统,并推演出虚拟财产的交换价值和使用价值。当前各国网络虚拟财产纠纷涉及虚拟财产买卖、继承、税收、虚拟货币投机、虚拟财产盗窃与诈骗等,而这些纠纷是虚拟财产的数据属性所无法解决的。这也是我国《民法典》中将数据和虚拟财产并列的意在突出虚拟财产的特殊属性的原因。在上文已结合非法获取计算机信息系统数据罪的立法背景和司法解释探讨过，该罪所侵害的是数据管理安全，而盗窃罪侵害的是财产权益。因此，将数据限缩在管理安全的基础上，虚拟货币依照其财产属性，自然不成为该罪的规制对象。

（三）盗窃虚拟货币应当以盗窃罪定性量刑

银行APP的资金、股票账户的股票、微信钱包的余额，都是计算机信息系统数据，但如果窃取上述他人账户内的财物，都被认定为盗窃罪。在盗窃虚拟财产的犯罪行为中，表面上是获取“计算机信息系统数据”。但对于虚拟财产来说，网络数据却是财产的载体。所以，在通常情况下，“获取数据”本身不是盗窃的犯罪目的，窃取行为的根本目的还是获得他人具有经济价值的虚拟财产，目的是侵害他人对虚拟财产的所有权而非“数据”本身。另外，如果为了将虚拟货币界定为非法，就否认其经济价值，将盗窃行为以非法获取计算机信息系统数据罪处理，那诈骗行为、抢劫行为又该如何规制？就像毒品虽然非法，但为了规制窃取行为仍然将其认定为犯罪，只不过在数额计算上依靠犯罪情节计算。因此，将非法获取计算机信息系统数据罪中的数据限于具有机密性、完整性、可用性的电子数据，保障互联网安全，将虚拟货币的财产性放在其应有的地位保护，才有利于整个刑法保障体系的构建。

四．结论

综上所述，非法获取计算机信息系统数据罪立法目的就是保障互联网信息安全，而如果对该罪保护的数据做广义解释，则可能导致此罪名与侵犯个人信息类、知识产权类、秘密性利益类犯罪界线不分，从而走向异化，因此宜对此罪名做限缩解释。在限缩数据定义的情况下，虚拟货币虽然兼具数据性与财产性的双重特点，却因为财产性更为突出且值得保护，而被定义为刑法上的财物。这样盗窃虚拟货币的行为，就应当用盗窃类犯罪规制，从而更好地打击实务中屡禁不绝的盗币行为。

参考文献

[1]黄太云：《刑法修正案（七）解读》，载《人民检察》2009年第6期，第5-27页。

[2]皮勇：《我国网络犯罪刑法立法研究—兼论我国刑法修正案（七）中的网络犯罪立法》，载《河北法学》2009年第6期，第49-57页。

[3]郭旨龙：《非法获取计算机信息系统数据罪的规范结构与罪名功能——基于案例与比较法的反思》，载《政治与法律》2021年第1期，第64-76页。

[4]杨志琼：《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》，载《法学评论》2018年第6期，第163-174页

[5]李遐桢：《论盗窃虚拟财产的定性》，载《河北法学》2012年第11期，第30-35页。

作者简介

刘 扬

北京德恒律师事务所合伙人、刑委会副秘书长、执业律师。北京大学软件工程硕士。从事法律工作十五年，主要从事网络、区块链和数字科技与金融交织的细分领域刑事业务，网络安全应急技术国家工程实验室数据安全咨询专家（国家级重点实验室），北京计算机学会网络空间安全与法务专委会副秘书长（杨芙清院士任学会会长），北京大学软件与微电子学院校友会理事。

李 冰 倩

北京德恒律师事务所实习生李冰倩，本科就读于中国政法大学法学专业，对本文亦有贡献。