5月12日以来,勒索病毒“WannaCry”肆虐全球,成为近年来波及面最广的网络安全事件。“WannaCry”是蠕虫和勒索病毒的结合,利用早期windows版本系统漏洞进行攻击,受攻击电脑中的文档、照片、程序等多种文件被加密,用户需支付比特币赎金取回,否则文件被彻底删除。
不论是黑客犯罪还是以比特币为对象的犯罪,都早已进入到司法的评价体系。“WannaCry”事件将两者正式推向了主流公众视野范围之中,两者的结合也为司法提供了一个新鲜、极富挑战的课题。
危害计算机信息系统安全的
刑法规制
危害计算机信息系统安全的行为,也即通俗所称的黑客犯罪,我国刑法主要规定了四个罪名,其规制行为各有侧重。
【案例一】
2013年9月,黄某以VPN拨号的方式非法侵入浙江省政务内网,租用服务器,通过黑客攻击软件,扫描并侵入长兴县政府、舟山市政府、湖州市卫生局、诸暨市公共服务中心等处的三十台政府服务器,通过软件工具扫描出上述服务器下有漏洞的主机,植入大量恶意程序。后其因犯非法侵入计算机信息系统罪,判处拘役四个月,缓刑八个月。
【案例二】
2015年3月15日,何某通过互联网侵入北京阿里巴巴云计算技术有限公司服务器,并下载该公司虚拟机账号、密码共计11506组。后其因犯非法获取计算机信息系统数据罪,判处有期徒刑三年,罚金人民币一万元。
【案例三】
2013年4月,被告人龙某使用其租用的江苏省镇江市服务器,利用非法手段侵入中国电信股份有限公司江苏分公司常州节点的ITV主机服务器,通过种植木马程序,取得该节点设备控制权,并控制了该节点对应的5000个用户的终端设备,造成该节点26台服务器设备下电更换。后其因犯非法控制计算机信息系统罪,判处有期徒刑三年,缓刑四年,并处罚金人民币三万元。
【案例四】
刘某为赚取广告推广费用,于2014年4月至5月间编写破坏性程序并将上述程序上传至互联网,经鉴定该程序具备抓取已登录QQ客户端用户的QQ号和Clientkey、登录QQ群管理、将程序链接上传到群共享并通知群成员等功能,具备自动复制及传播的特性,导致三万余名QQ用户被感染,程序运行后,被感染用户计算机自动下载并隐藏运行10余款推广软件。后其因破坏计算机信息系统罪,判处有期徒刑十个月,缓刑一年。
以勒索病毒方式索要钱款的
刑法评价
目前司法实践中较为常见的黑客勒索财物方式是DDOS攻击(利用控制的傀儡机占据网络资源使目标系统无法正常服务)和勒索病毒,根据不同情况一般以破坏计算机信息系统罪或敲诈勒索罪定罪。
蠕虫型勒索病毒属于能够自我复制、传播并破坏计算机系统功能,在特定触发条件下(7天不交付赎金)破坏系统数据的破坏性程序,符合破坏计算机信息系统罪的犯罪构成。
敲诈勒索罪指以非法占有为目的,以威胁或要挟的手段,强行索取他人财物;黑客以网络攻击、销毁文件、不予解锁等方式索要钱款,符合敲诈勒索罪的犯罪构成。
由此,勒索病毒索财触犯了两个罪名,属于刑法理论中的牵连犯;对于牵连犯,除法律明确规定外,应当从一重罪处断。
比特币是否属于财物
“WannaCry”事件的特殊之处是黑客索要比特币而非钱款,这在目前司法实践中较为鲜见。已有通过勒索病毒索要比特币的案件,公诉机关以敲诈勒索罪起诉至法院,案件尚在审理过程中。
此种情形涉及刑事司法中的价值判断:比特币作为一种虚拟产品,它的法律本质是财物还是电子数据。如只将其视为电子数据而不纳入刑法保护的“财物”范畴,则索要比特币不符合敲诈勒索罪的犯罪构成。
与比特币法律地位接近的网络游戏装备、游戏币、Q币、网络账号等属虚拟财产,学界的主流观点认为应当纳入“财物”范围,但实务界对此态度整体趋于保守。2013年两高《关于办理盗窃刑事案件适用法律若干问题的解释》出台时,申明盗窃虚拟财产不应按盗窃论处,主要考虑到虚拟财产的本质是计算机信息系统数据,将其解释为财物超出了法律解释的合理范畴,从操作层面上亦难以解决数额计算的问题。
比特币不同于传统的虚拟财产,它不依赖于运营商、交易过程不可逆、具有强货币属性,但同样面临以上考量。网络技术的信息发展必然带来同类案件的高发,网络安全成为新的时代焦虑,迫切需要司法给出答案。此时如果通过扩大解释将比特币解释为财物,以可交易性作为财物的根本属性,固然即时作出答复,却有违刑法的谦抑性。同时,在国家监管层面尚对比特币持有审慎观望的态度、将其定位为“虚拟产品”而禁止金融机构参与交易的情况下,刑事司法直接将其定位为财物,不免有冒进和越位之嫌。
因此,在当前情况下以审慎和克制为宜,暂不将其纳入传统“财物”的范围内,对勒索病毒索要比特币的行为以破坏计算机系统罪评价更为稳妥。