互联网法治 | 利用计算机信息系统漏洞获取财物行为的刑法规制

图片来源 视觉中国

本文为《中国审判》杂志原创稿件

文| 福建省高级人民法院 董文博

福州大学国际法研究所 肖若若

福建省福州市鼓山地区人民检察院 丁秋云

随着电商平台的发展，利用计算机信息系统漏洞获取财物的行为逐渐增多。相关行为的法律关系往往涉及刑民交叉领域。目前，对相关问题的探讨研究有限。基于此，笔者拟通过分析利用计算机信息系统漏洞获取财物行为的入罪标准，为相关案件的审理提供有益思路。

1

行为认定分析

关于利用计算机信息系统漏洞获取财物的行为，司法实践中存有两种观点：一是将上述行为所获财物认定为不当得利而予以返还；二是将上述行为认定为刑事犯罪，并结合行为手段特征等内容具体认定罪名。

第一种观点认为，如果行为人是该计算机信息系统所属平台的消费者，则利用计算机信息系统漏洞获取财物行为的法律基础应当是消费者与平台所订立的协议。因此，当事人间的权利义务应当按照双方协议的内容确定。行为人通过漏洞进行的非正常交易属于可撤销的行为，其所获财物因不具备法律基础而属于不当得利，应予以返还。笔者认为，将上述行为所获财物认定为不当得利虽然可以解决部分案件罪刑不均衡的问题，但对于通过不正当手段大量获取商家优惠并转卖牟利，致使商家遭受重大财产损失的行为，并不能得到适当的处置。财产犯罪与不当得利之间并不是非此即彼的关系，即构成民事违法的行为并不能构成刑事犯罪的阻却事由，因此，不宜将上述行为一概认定为不当得利。

第二种观点认为，作为新型网络侵财行为，利用计算机信息系统漏洞获取财物行为的社会危害性较大，应当以刑法予以规制。目前，对于上述行为的刑事规制，并无独立罪名，因此，在个案审理过程中，法官需要结合行为手段特征进行综合认定。实践中，多数利用计算机信息系统漏洞获取财物的行为被认定为盗窃罪、诈骗罪等，并且一旦行为符合特定罪名的入罪标准，则排除民事法律的适用。值得注意的是，对于利用计算机信息系统漏洞获取财物案件的刑民交叉问题，各地司法机关存在不同认识，这使得司法实践中对相关案件的审理存在一定的差异。因此，进一步明晰该类案件中刑民交叉的相关问题，对于审理好相关案件至关重要。

2

获取财物的行为类型分析

在处理相关案件时，类型化的方法可以实现从个案事实解构向归责要件的体系化衔接转变。笔者通过案例归纳，按照漏洞类型的不同将相关行为分为三类，即利用计算机信息系统偶然漏洞、现有漏洞和破坏漏洞获取财物的行为。

（一）利用计算机信息系统偶然漏洞获取财物

计算机信息系统偶然漏洞是指因人为疏漏或难以预料的其他因素而产生的漏洞。计算机信息系统偶然漏洞具备低概率性、短暂性、易察觉性的特点。实践中，利用计算机信息系统偶然漏洞获取财物的行为通常表现为由于商家的疏漏或计算机信息系统突发性和暂时性故障等引发的相关行为。利用计算机信息系统偶然漏洞获取财物的行为以“许霆案”为代表。2006年4月，许霆发现ATM机系统漏洞，趁机提款17.5万元后潜逃。“许霆案”中的ATM机故障并非因许霆主动破坏而产生，属于计算机信息系统偶然漏洞。银行作为ATM机的拥有者和管理者，虽然对机器漏洞应承担过错责任，但这一过错与被告人取得财物的行为并不必然构成因果关系，可以将其作为对被告人从轻处罚的情节。

（二）利用计算机信息系统现有漏洞获取财物

计算机信息系统现有漏洞是指伴随计算机信息系统建成时所产生的漏洞。行为主体挖掘漏洞并利用该漏洞获取财物。该类计算机信息系统漏洞具备长期存在性、不易察觉性等特点。区分现有漏洞和偶然漏洞的关键在于，偶然漏洞产生的概率小于现有漏洞，但其被主动修复的可能性大于现有漏洞。

实务中，该类行为以如下案件为代表：徐某无意发现肯德基App客户端与微信客户端数据不同步的漏洞，便利用该漏洞骗取取餐码并将其于网上出售以牟利。本案中，行为人发现的漏洞属系统固有缺陷，且行为人利用该漏洞取财时未采用特殊手段，并无侵害除财产外其他刑法保护法益，而仅重复操作、反复牟利，即消极利用现有漏洞。即便相关行为未曾发生，该类漏洞也极可能因较难被察觉而长期存在于系统中，由商家或平台自行发现并修复的可能性较小。甚至在系统被攫取了大额利益后的较长时段内，平台或商家均难以及时发觉并阻止损失扩大。

（三）利用计算机信息系统破坏漏洞获取财物

利用计算机信息系统破坏漏洞获取财物的行为包含两种情形。第一种是故意破坏计算机信息系统使其产生漏洞，进而利用该漏洞获取财物的行为。此时的漏洞并非系统固有或偶然疏漏产生，而是行为人通过主动攻击（使用黑客工具、恶意软件）或技术干预（篡改数据、植入代码）等方式制造的漏洞。第二种是计算机信息系统虽然未经行为人破坏，但行为人通过非法辅助手段滥用系统漏洞获取财物。此种行为利用了人与系统的互动规则，属于非常规操作。同时，该类辅助行为还可能侵害多重法益。例如，非法获取公民个人信息或使用大量手机卡恶意批量注册等。值得注意的是，该行为从表面上看是利用计算机系统现有漏洞获取财物，但由于辅助手段在取财过程中占据必要地位，且具备明显异常特征，因此，该行为应属于利用计算机系统破坏漏洞获取财物的行为。此外，利用计算机信息系统破坏漏洞的方法具有可复制性和扩散性特征，行为人可能将漏洞利用模式推广至其他系统，形成规模化、产业化的攻击链。

3

行为入罪的判断标准

基于上文所述，根据我国刑法的相关规定，当利用计算机信息系统漏洞获取财物行为在客观上属制造或滥用漏洞，行为人主观上具有获取超额利益的恶意，且在满足相应漏洞类型所要求的财物数额时，该行为便满足入罪的基本标准。

（一）实质当罚：制造或滥用漏洞

相关行为的入罪标准要求行为人客观上制造或滥用系统漏洞。实践中，制造计算机信息系统漏洞的情形主要包括以下几种情况：编写黑客软件或自动化脚本攻击目标系统；获取系统管理员权限或其他高级权限；发送大量虚假请求诱发系统崩溃或使其响应缓慢。滥用计算机信息系统漏洞包含以下两种情形：第一种情形是当事人消极利用系统现存漏洞，且获取的财物金额较大，具备社会危害性的行为。值得注意的是，用户偶然利用漏洞获取小额优惠的情形应当属于不当得利，但如果是团伙通过自动化工具批量套现，则应当认定为滥用系统漏洞非法牟利的行为。第二种情形是行为人虽然没有获取超额利益，但因其利用漏洞的方式明显危害刑法保护的其他法益，此时该行为具备刑法规制的可能性。例如，利用平台漏洞非法获取大量公民个人信息或批量购买银行卡进而反复操作等情形。

（二）非难可能：获取超额利益的恶意

判断相关行为能否入罪，除了需要考察客观上的实质当罚性外，还需要判断行为人主观上是否具备获取超额非法利益的主观恶意，即非难可能性。对于行为人是否具备获取超额利益的恶意，法院应当从以下两个方面进行认定：一方面，考察行为人是否具备非法占有他人财物的恶意；另一方面，考察行为人所获财物是否符合超额的标准。以2019年发生的“拼多多案”为例，某些非法产业团伙针对该平台系统存在的缺陷，运用非法技术手段，大规模窃取优惠券资源，并迅速变现其非法所得。这些人员领取优惠券的目的并非为了在个人消费时使用，而是意图直接将优惠券金额变现，占有平台方财物。这已经脱离了一般消费目的。与此同时，该团伙通过大量虚拟账号重复注册领取优惠券，积极追求并扩大获利的可能性，最终涉案金额高达数千万元。通过这一行为获取的财物已经符合超额的标准。值得注意的是，在该案中，普通消费者利用系统漏洞，通过个人账户单次领取优惠券的行为，虽然具备非法占有利益的目的，但所获财物数额并未达至超额的标准。这些用户的行为符合民法中不当得利的构成要件，应当归属民事法律规制范畴。

（三）罪量梯度：漏洞类型差异化的数额界分

法院在认定犯罪时，不能仅要求行为具有一般违法性，还需进一步考虑刑法所特有的规范内容，确定相关行为的社会危害达到何种程度。因此，行为人利用计算机信息系统漏洞获取财物数额的大小是法院认定行为人客观上是否滥用漏洞、主观上是否具备获取超额利益的关键。

理论界对利用计算机信息系统漏洞获取财物行为所涉财产犯罪的探讨集中在盗窃罪与诈骗罪（以下简称“两罪”）的区分。根据《最高人民法院、最高人民检察院关于办理盗窃刑事案件适用法律若干问题的解释》与《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体应用法律若干问题的解释》的规定，“两罪”的入罪标准均采取以最高人民法院、最高人民检察院规定的数额幅度为基础，结合地区经济社会发展状况予以具体研究确定的模式。因此，利用计算机信息系统漏洞获取财物行为的入罪数额标准也应当参照此种模式。

为便于统一阐述，笔者在此以a指代利用计算机信息系统偶然漏洞获取财物行为的入罪数额，以b作为利用计算机信息系统现有漏洞获取财物行为的入罪数额，以c指代利用计算机信息系统破坏漏洞获取财物行为的入罪数额（见下表）。

实践中，在计算机信息系统产生漏洞时，如果被害人承担的责任越大，则行为人利用该漏洞获取财物行为的可罚性就越低，由此利用计算机信息系统漏洞获取财物行为入罪的标准便越高。因此，针对不同类型的漏洞，“滥用”“超额”的标准也应当相应变更。偶然漏洞的成因主要在于平台或商家的主观疏忽，且该类漏洞的产生具备低概率性，一般人难以获取超额利益。因此，行为人利用偶然漏洞获取财物行为的入罪标准应当更为严苛，即在判断其是否滥用漏洞获取财物以及获取非法利益是否超额时，要求行为人获取财物的数额较大。在利用破坏漏洞获取财物的案件中，被害人并不存在过错情形，行为人应当承担完整的刑事责任。因此，该类行为的入罪标准应当最低。在利用现有漏洞获取财物的案件中，被害人往往因疏于系统安全维护致使漏洞长期存在，客观上为犯罪行为提供了可乘之机。被害人的过错一定程度上降低了相关行为的可谴责性。值得注意的是，该类漏洞往往不易察觉，一般消费者无法敏锐地发现该漏洞。同时，行为人可能存在利用其他系统复刻该类漏洞产生的情形，以期寻求出系统更多漏洞并获取非法利益。因此，利用现有漏洞获取财物行为较利用偶然漏洞获取财物行为具备更大的法益侵害可能性，但尚不及利用破坏漏洞获取财物行为的危害性，因此，利用现有漏洞获取财物行为的入罪标准应当介于前两者之间。

本期封面及目录

<< 滑动查看下一张图片 >>

《中国审判》杂志2025年第8期

中国审判新闻半月刊·总第366期

编辑/孙敏