王智名，黄 婷(浙江省建德市人民检察院，浙江建德311600)

办理盗窃虚拟财产案件的若干疑难问题

王智名，黄 婷
(浙江省建德市人民检察院，浙江建德311600)

网络虚拟财产具有财产属性，应当纳入刑法的保护范围。实践中处理盗窃虚拟财产案件存在诸多疑难点，如电子证据的运用、虚拟财产价值的认定、多次盗窃的认定、虚拟财产盗窃犯罪形态认定及案件管辖地等。在综合国内外处理虚拟财产盗窃现状的基础上，应当在立法、司法层面上对我国盗窃虚拟财产罪之相关规定做出补充。

虚拟财产;电子证据;价值认定;犯罪形态

随着互联网的飞速发展，网络虚拟财产的盗窃问题也随之产生，盗窃虚拟财产型犯罪与普通盗窃犯罪有契合之处，应当将盗窃虚拟财产型犯罪纳入刑法规制范围。然而，我国目前《刑法》及刑法体系仅规定了普通的盗窃类犯罪刑罚适用及量刑幅度问题，对盗窃虚拟财产型犯罪电子证据如何采信及取证、数额及情节如何认定、犯罪形态如何区分等问题仍需要司法工作者发挥能动性，在实践中不断研究、探讨和总结。

一、电子证据审查规则

根据我国2013年新《刑事诉讼法》第48条第一款之规定，可以用于证明案件事实的材料，都是证据，同时电子数据作为新增证据种类被写入新刑诉法。在盗窃虚拟财产型犯罪中，电子证据无疑是证明案件事实的重要证据之一，其是否能和传统证据具有同等的证明力仍存在一定争议。那什么是电子证据?简言之，电子证据是法庭上可能成为证据使用的，按编码规则处理后以二进制形式存储或传递的电子数据。电子数据即行为人在使用计算机或计算机系统运行时产生的记录于个人计算机以及整个网络拓扑结构中节点上的电磁记录，可以形成电信息、光信息以及磁信息，通常表现为文字、声音、图像等多种媒体形式。电子数据系计算机在使用过程中自动记录并保存一定期限的痕迹，如电子邮件的发送、接收时间，访问数据的时间及内容，发送数据字节的大小，日志记录，IP登入记录等，其存在具有必然性，故其是证明行为人使用计算机行为、目的以及后果的有力证据［1］。但因为电子数据具有高技术性、隐秘性以及易破坏性，如何对其进行取证以及采信仍是实务中亟须解决的问题。

具体到电子证据审查规则。电子数据具有无形性，其以何种形式向法庭提交亦困扰司法工作者，目前检察院在使用电子数据作为证据时一般以书证或视听资料方式提交，即在对电子证据进行审查后将数据导出形成书面证据或制作成光盘以便于当庭出举和质证。同时也有观点提出，电子证据具有高技术性以及易被篡改性，应当由第三方专业人员作为专家鉴定意见向法庭提交。笔者认为，电子证据以何种方式提交需要建立在便于法庭举证、质证的基础上，电子证据具有专业性，部分原始电子证据须专业人员才能对其进行解读，给审判工作带来一定难度，故笔者认为，电子证据提交的方式应当根据其专业程度进行区分，若专业程度确实较高，则应当根据适当处理后形成通俗易懂的形式进行提交，一般情形下，应尽量尊重电子证据的原始形态，保证证据的客观性。那么电子证据作为证据使用其证明力如何审查?笔者认为，电子证据归根结底属于证据，其仍应遵循一般证据的三性进行审查。

第一，电子证据的客观性。电子证据因系计算机自动记录的痕迹证明，故其本身存在就具有客观性和必然性，故审查电子证据的客观性主要体现在审查其来源的客观性。公诉人在审查电子证据时要特别注意审查其来源是否真实客观，根据电子证据形成的时点、证明内容、调取人、调取过程以及调取设备情况，综合分析电子证据反映的是否真实，有无篡改、伪造的可能。对有删改、拼接痕迹的电子证据应按照非法证据排除规则进行排除［1］。一般情况下网上银行出具的账户支付信息，支付宝等交易平台出具的交易记录，EDI中心提供的提单签发、传输记录，网络接入服务商提供的上网信息、CA认证中心提供的认证或公证书均具有较强的证明力。

第二，电子证据的合法性。电子证据的合法性主要体现在电子取证的合法性上。电子取证是将计算机调查及分析技术应用于对潜在证据的确定和获取，包括对电子证据的保全、确认、提取和归档。一般而言，电子取证包括物理证据的获取与后续信息发现两个阶段。物理证据获取是指专业人员包括侦查人员及技术人员到犯罪现场，查找并扣留相关的计算机硬件。信息发现是指从扣留的计算机硬件中排查遗留的原始数据(包括系统日志、缓存记录等)，以确定可以用作证明案件事实的电子证据。物理证据的获取需要专业取证人员以及专业取证工具。首先，涉案计算机必须处于被隔离和保护的状态下，取证人员进入现场后，须第一时间对计算机硬件、软件配置情况、运行状态等信息进行记录并使用专业取证工具对以上信息进行按位拷贝固定。常见的取证工具有镜像工具和取证软件，如EnCase，sniffers，Tripwires，Argus，NFR，Network monitor等［2］。物理取证过程最能体现电子取证的合法性，故取证人员在取证过程中须特别注意保证原始数据不被破坏和篡改，不得在涉案计算机上执行任何无关的操作，不得任意删改原始数据，保证详细记录提取过程，保证物证安全稳定。后续信息发现要求技术人员通过数据恢复、破解加密文件等手段在物理证据的基础上重现计算机过去的工作细节，以获取行为人使用该计算机进行的操作痕迹，用以证明案件事实。笔者认为，信息发现的合法性需要由第三方专业人员出具鉴定意见，以此证明取证人员使用的数据处理手段合理合法，从而保证电子证据的合法性。

第三，电子证据的关联性。司法工作者在审查电子证据时需审查该证据是否与案件事实、量刑有关联，对侦查人员提交的电子证据须在了解其证明内容的基础上进行排查。同时注意保证行为人的隐私，与案件无关的计算机使用记录与信息系行为人隐私，一律不得作为证据使用，更不能当庭出具公之于众。

二、盗窃虚拟财产的价值、情节认定

根据刑法修正案(八)，盗窃数额和盗窃情节均能影响盗窃罪的定罪量刑。在盗窃虚拟财产实务处理中，以何种标准对虚拟财产的价值进行认定以及以何种标准区分多次盗窃是我们司法工作者必须直面的问题。

第一，盗窃虚拟财产的价值认定。根据上文的阐述，虚拟财产具有财产属性，即具有价值，其价值体现于用户在获得该虚拟财产时付出的等价劳动力以及成本。认定虚拟财产价值的方法一般有以下几种:

网络运营商营销该虚拟财产的自定价格。网络游戏中的普通道具以及装备一般都是以相应的游戏币进行购买，而相应游戏币的获得可以通过游戏点卡以及人民币进行充值，故按照网络运营商自定的充值价格即可认定该虚拟财产的价值。

虚拟财产的市场交易价格。该种认定方法主要体现在网络游戏中的特殊装备上，因特殊装备具有稀缺性，不支持直接用点卡或游戏币进行购买，只能在网游中参与特定的活动，以特定几率爆出，故特殊装备的价格具有较大的市场浮动性和不稳定性，价值也难以认定。在这种情况下，认定虚拟财产价值一般应参考网游中拍卖行的交易价格或玩家之间线下交易的价格。因拍卖行以及交易价格参差不齐，一般应根据基准日的平均成交价格对特定虚拟财产的价值进行认定。该种认定方法存在的缺陷是，所谓市场交易价格系个别玩家间自我商定的价格，并不具有普遍代表性。如人民币玩家因对某些装备情有独钟，愿意支付较高的对价获得该装备，非人民币玩家对装备的态度相对较为平和，其愿意支付的对价就小。网游拍卖行的价格亦属某几个专营装备的团队的自我定价，不具有普适性，故按此价格认定盗窃数额应持谨慎态度。

用户获得虚拟财产所付的对价。用户特别是网游玩家在经营某一角色的过程中需要投入时间、金钱、智力以及感情(如公会经营)，账号被盗后对其定价需要包括玩家在角色建立过程花费的所有费用。但该种认定方法需要由玩家负举证责任，即玩家需要提供自己经营该角色所花费的费用证明，如点卡花费、道具花费等，审查起诉机关在审查这些费用证明的同时还应咨询该网游运营商，向运营商调取该游戏点卡收费情况，一般玩家经营同等水平的游戏角色的花费情况等，尽可能排除因玩家水平、运气不同等不可控因素带来的影响，就低认定行为人的盗窃数额。但现实中，除游戏有充值记录的以外，很少有玩家会留意保留自己购买相应点卡以及道具的原始凭证;且按何种方法排除因玩家个体性差异导致的费用差异难以达成一致。

非法获利数额。实务中某些虚拟财产的用户初始获得该虚拟财产时并没有支付相应对价，随着时间推移该虚拟财产因具有标志性和特权性实现了自我增值，如六位数的QQ号码、淘宝网VIP特权用户等，行为人通过木马、远程控制等手段非法侵入网站服务器平台盗取用户账号后用于出售;又有部分网络游戏运营商的服务器被暴力入侵，行为人盗取游戏运行编程代码后自己或出售给他人用于建立私服，吸引官服用户以此牟利。在该种情况下，用户无法证明自己获取该虚拟财产支付的相应对价，网络游戏运营商估算的因私服的建立造成的官服可能的损失不属于直接损失，不能直接用作认定盗窃数额的依据，故只能参考行为人出售该虚拟财产的非法获利数额对该盗窃数额进行认定。但该种认定方法不可避免地遭遇行为人未出售被盗虚拟财产如何认定盗窃数额的尴尬困境。笔者认为，在认定未销赃的虚拟财产价格时，应当根据听取运营商的意见及省级以上互联网主管部门、物价部门的共同意见，综合分析用户在经营该虚拟财产耗费的金钱以及市场上该虚拟财产的出售价格。

第二，多次盗窃的认定。根据两高2013年4月4日《关于办理盗窃刑事案件适用法律若干问题的解释》第3条之规定，二年内盗窃三次以上的应认定为多次盗窃。张明楷认为，刑法第264条修改后“规定多次盗窃是为了扩大盗窃罪的处罚范围，故对多次盗窃就不能再作过于严格的限制”，对于“次”应当根据客观行为认定，不能根据行为人的主观心理状态认定，多次盗窃不以每次盗窃既遂为前提，也不要求行为人每次实施的盗窃行为均成立盗窃罪。笔者认为，盗窃虚拟财产的“多次”认定的标准应当与普通盗窃多次认定的标准保持一致，即多次盗窃虚拟财产的认定不要求行为人每次盗窃均成功窃取用户资料获得其虚拟财产，也不要求行为人每次均成功侵入网站系统服务器。虚拟财产盗窃中，行为人若在其主观具有非法占有故意的前提下，客观上实施了入侵网站系统服务器的行为，无论其是否成功入侵，无论其入侵后是否成功窃取了用户的资料，也无论其窃取用户资料后是否被网站管理者发现并及时补救使得用户虚拟财产免于损失，或者其成功窃取的虚拟财产价值是否达盗窃罪数额较大的标准，行为人的行为均系盗窃行为，均应计算入多次盗窃的次数内。

多次的计算。普通盗窃中，是否认定行为人具有多次盗窃的情节需要考虑其盗窃的时空性是否连贯，即时间、空间是否具有明显的隔断性。如行为人在同一时间、同一地点窃取不同被害人的财产，应当认定其为一次盗窃;如其在同一连贯的时间内，在不同地点窃取不同被害人的财产，应当认定其为多次盗窃(被盗地点具有明显隔断性);如其在不同时间，同一地点窃取同一人的财产，应当认定其为多次盗窃［3］873－889，在虚拟财产型盗窃中亦是如此。行为人同一连贯时间内使用同种或不同手段侵入多台个人计算机，窃取多名用户的虚拟财产，应当认定其为多次盗窃;若该行为人入侵的是网络运营商的数据库平台，一次性窃取用户数据库，即使行为人盗卖多名用户账号，根据行为人的盗窃的行为以及犯意，仍应认定该次盗窃为一次盗窃，并按照其实际盗卖的用户账号价值认定其盗窃数额。

三、盗窃虚拟财产的犯罪形态认定

在盗窃犯罪中，区分既遂、未遂的认定标准较具代表性的是失控说和控制说。失控说认为公私财物所有人或保管人实际丧失了对财物的控制的，即为盗窃既遂，未脱离控制的为盗窃未遂。控制说以行为人是否已取得对被盗财产的实际控制为标准，行为人实际控制财物的为既遂，未实际控制的为未遂。盗窃未遂根据其行为是否完成又可以分为实行终了的未遂和未实行终了的未遂。盗窃虚拟财产也存在不同的犯罪形态，但因被盗对象虚拟财产以及行为人实施盗窃手段的特殊性，在认定虚拟财产盗窃的不同犯罪形态时，存在诸多难点。因既遂形态笔者已在上文结合案例进行分析讨论，盗窃的犯罪预备一般不作为犯罪处理，故本节笔者仅对虚拟财产型盗窃的未遂和中止形态进行分析探讨。

盗窃虚拟财产的犯罪未遂及未遂情形。虚拟财产系用二进制表示的电磁记录，用户需通过特定的账号密码登陆服务器后才能对其进行操作、管理，行为人盗取虚拟财产一般通过技术手段秘密窃取用户的账户、密码实现对虚拟财产的转移控制。实施虚拟财产盗窃按照其行为可以分为三个阶段，第一阶段为入侵系统服务器，第二阶段为窃取用户资料，第三阶段为非法获利。行为人一旦开始运行入侵程序，用户存储于服务器平台上的资料和虚拟财产即处于丧失的紧急危险中，行为人此时即系盗窃着手，盗窃行为开始实行，若该行为人能够完成第一、二两个阶段，则盗窃行为实行终了，反之则未实行终了。判断虚拟财产盗窃是否既遂，关键在于第二阶段中如何认定用户资料已被行为人窃取和控制。用户资料存储于系统服务器中，无论是个人计算机还是网站系统服务器，一般都具有防火墙等防止入侵的软件设施，因此服务器对外界而言都是“不能随便进出”、“相对密闭”的空间，与传统盗窃中的“户”有一定的类似之处。传统入户盗窃既遂以行为人实际取得财物控制权为标准，表现为行为人带着财物脱离“户”、脱离所有人的控制范围。同理，盗窃虚拟财产也应当以行为人成功窃取用户资料，取得对用户账号和密码的排他性占有、控制权为既遂标准。排他性占有、控制是指在网络管理员以及用户发现资料被盗之前行为人已经篡改用户认证资料，行为人成为唯一能够对虚拟财产进行操作的控制者。如果网络管理员发现系统曾被非法入侵的痕迹，及时对用户数据进行保存封号或者用户第一时间发现账号被盗向管理员申请冻结账号，导致行为人窃取用户资料后并不能对账号下虚拟财产进行窃取并控制，用户未丧失对账户下虚拟财产的控制，即未遭受实际的损失，盗窃行为的法定既遂损害后果没有出现，则行为人此次盗窃行为是盗窃未遂。除以上介绍的一般未遂情形外，虚拟财产盗窃还存在两种特殊情况下的未遂。一种是行为人认识错误的未遂，如行为人侵入系统服务器进行资料拷贝时，系统自动或者网络管理员提醒行为人IP地址已被追踪，行为人信以为真并立即停止入侵放弃拷贝，根据刑法原理，行为人停止盗窃的行为系意志以外的原因，并非中止，而是基于错误认识的盗窃未遂。第二种是系统服务器崩溃，如行为人窃取用户资料后，但该虚拟财产的服务器因故障，数据毁损清零，行为人无法提取虚拟财产，系统恢复后，运营商根据系统原先备份恢复数据，用户未遭受损失，行为人成立盗窃未遂。但因该种未遂情形系统服务器因崩溃侵入痕迹无法保存，电子取证非常困难。

盗窃虚拟财产的中止及中止情形。认定虚拟财产中止犯应当比照普通盗窃中止犯的认定，其难点主要在于当两人及两人以上共同实施虚拟财产盗窃时，如何认定其中一人盗窃中止。中止可以发生在犯罪预备阶段、犯罪实行阶段以及犯罪结果发生前的阶段，其认定的条件是行为人在其有能力完成犯罪的情况下自动放弃犯罪或者积极有效地防止犯罪结果的发生［3］339－343。在共同盗窃虚拟财产中，几个行为人共同编写或者购买用于入侵系统服务器的木马程序，若其中一个行为人想成立中止，则其必须在犯罪结果发生之前，放弃参与盗窃行为，并且将自己为该盗窃团队贡献的有利于盗窃实施的助力收回，如其提供了入侵程序，其必须保证其他人无法再使用该程序进行盗窃;如其在入侵成功后，下载用户数据库完成前想要中止盗窃，则其须立即停止下载，并保证用户数据未毁损，同时还应保证自己行为中止后，其他行为人不能在本次侵入的基础上继续窃取用户资料，但其他行为人重新使用非由中止人提供的入侵程序入侵服务器窃取用户资料不影响中止人的中止认定;如行为人窃取用户资料后未控制用户虚拟财产前想要中止盗窃，则其应销毁已获取的用户资料，并保证其他行为人不能利用资料盗取虚拟财产，反之，不能成立盗窃犯罪中止。

［1］伊伟鹏.网络犯罪中的电子证据及其采信规则［J］.人民司法，2002，(4).

［2］王保勇，宋斌.浅谈计算机网络犯罪侦查中的电子取证［J］.数字技术与运用，2010，(7).

［3］张明楷.刑法学［M］.北京:法律出版社，2011.

［责任编辑:范禹宁］

王智名(1970－)，男，辽宁彰武人，检察员;黄婷(1989－)，女，浙江建德人，助理检察员。

DF625

A

1008－7966(2016)04－0032－03

2016－05－01