论财产犯罪中数据资产的占有及转移
2023-07-25赵拥军
赵拥军
关键词:数据资产 区块链 事实占有 规范占有 占有转移 犯罪既遂
一、问题与思路
数据作为新型生产要素,是数字化、网络化、智能化的基础,更是形成数据资产的基础。数据资源的存在与流转蕴含着丰富而大量的经济价值已是不争事实,在各种数据要素交易的产生和发展过程中,数据也实现了从“资源”到“资产”的转化,即数据资源价值的核心便是数据资产化。可以说,数据资产化是数据要素市场中的一种典型实践, 而数据资产便是数据要素的一种商品化形态。当前,数据资产具有财产价值属性亦是难以被推翻之议题,非法获取具有财产属性的数据资产的违法犯罪行为屡见不鲜,且被以财产犯罪论处的司法判例亦不罕见。但是,基于相关数据资产的独特技术路径、虚拟属性等特点,尽管可以将其归属于财物的范畴,但在当下的刑法理论中面临着能否成为占有转移对象以及能否以“打破并建立占有”的方式进行侵害的质疑。故对于数据资产的占有及转移的认定便成为相应财产犯罪认定的关键。同时,中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》明确提出,建立数据资源持有权等数据产权运行机制,创新数据产权观念,淡化所有权、强调使用权,聚焦数据使用权流通。在这一宏观背景之下,通过对财产犯罪中数据资产的占有及转移这一微观问题进行研究,将刑法中保护财产的占有等法益与“淡化所有权、强调使用权”相契合,从占有角度着手,为数据资产的持有、流转、交易等确立良好的秩序,并在一定程度上对数据资源持有权的建构,乃至整个数据要素市场的健康发展等问题将起到重要的作用。
但是,由于数据资产作为一种新型资产概念,当前对于数据资产的概念与其在财产犯罪中的占有及转移等方面的研究并未系统展开。一方面,在数据资产的概念界定方面,现有研究要么简单套用会计学关于“资产”的定义,要么将数据资产泛化或混淆為信息资产或数字资产,从而既导致了概念的混用或滥用,也造成了后续研究在逻辑起点上的偏差,影响了相关研究的深度,进而也在一定程度上导致了数据资产在财产犯罪中占有及转移所针对研究对象的争议。同时,数据资产所涵盖的外延较为广泛,也并非所有数据资产都能够成为财产犯罪的对象,即便当前被以财产犯罪论处的数字货币以及游戏装备等虚拟资产,其与传统意义上的财产或者财物之间,在适用相应的财产犯罪理论特别是占有及转移时,是否需要对相应的理论进行调试,肯定论和否定论亦是各执一词。
另一方面,尽管也有观点从民法角度提出构建数据财产权的准占有制度,但该观点系针对所有数据而展开的泛论,且系通过将占有预设在物权法体系中,得出数据不属于物亦难以被占有,但同时又承认占有的标的可以突破物的限制,将数据纳入财产权客体,进而从一般社会观念的空间以及时间等维度,以“管领能力”构造数据财产权的准占有,将数据纳入准占有的客体。同时,该观点从“管领能力”角度进行构建,实质上认可了对数据的观念占有。事实上,无论是民法还是刑法,不仅均已认可占有标的不再局限于物,且也均接受观念占有,但该观点针对所有的数据均认定为观念占有,并不符合事实,也不符合准占有构成要件中需要满足对权利进行事实上的支配,而事实上的支配显然也不能等同于观念占有,此为其一。其二,该观点认为数据权利人对于数据内容的使用必须拥有对应的数据载体,进而通过对数据载体的“管领能力”推及载体上的数据内容的“管领能力”并不妥当。毕竟并非所有数据均存在载体,或者说并不能“管领”所有的数据载体。例如,比特币等基于区块链技术的数字货币存在于网络中,便不存在可以直接“管领”的载体。因此,通过对数据载体的“管领”进而实现对数据内容的“管领”并不能针对所有数据。
基于此,本文将首先对数据资产与相关概念进行梳理,明确讨论的逻辑起点,以此廓清可以成为财产犯罪对象的数据资产界限,并将其作为财产性利益纳入财产罪的惩治范围;在此基础上,重点围绕财产犯罪中数据资产如何被占有、能否转移占有,以及占有转移的标准等问题进行法教义学展开。
二、数据资产作为财产犯罪的对象需能够映射现实的财产性利益
在德国、日本等国的刑法中,对象是否为有体物直接影响其能否构成相应的财产犯罪,但作为我国刑法分则中规定的财产犯罪对象已不再局限于是否有体以及是否有形,即便不是物权法上的物,债权即财产性利益成为财产犯罪的对象也并不罕见,这在刑法理论以及司法实务中也已渐具通说之势。数据资产的这种数字形态显然不属于有体物,且数据权本身也不具有物权属性,但似乎也并不能直接认定为无体物。因此,在讨论数据资产能否作为财产犯罪的对象被占有以及如何占有、转移等问题之前,对其概念及法律属性等问题需要予以厘定。
(一)数据资产的概念及其作为财产犯罪对象的财产性利益属性之厘定
数据资产的概念最早于1974年被提出,其后并未引起太多的关注。建立在信息技术发展的基础及其与各领域深度融合的过程中,信息对于经济主体而言便成为极为重要的资源,信息资产由此而生。当互联网在20世纪90年代的广泛发展和普及后,“数字”逐渐被认识和使用,数字经济概念顺势出现,紧接着数字资产便应运而生。随着“大数据”概念的兴起,数据作为一种资产被明确提出后,数据资产便真正地进入大众视野,并有了全新的涵义。因此,信息资产、数字资产和数据资产概念系伴随着科技与社会的发展进步而形成并更迭。
首先,信息资产着眼于信息的内容,凡是具有利用价值的信息资源皆可被称为信息资产,其可以是网络空间的也可以是物理空间的,并不局限于可以数字化的资产。信息较为泛化,泛指一切可以用来消除随机不确定性的东西。数据是客观事物属性的记录,包括狭义上的数字,还可以以文本、图像、视频及音频等方式呈现,是信息的具体表现形式,其经过加工处理才能成为信息;而数字是数据的传输和处理方式,只有经过数字化并转换成数据才能存储和传输。因此,数据是信息的原材料,也是信息的载体,而信息则又被称为“在上下文语境中的数据”。同时,从信息的角度来看,数字和数据并无质的差异,都属于可传输和可存储的信息,数据只是数字在数量上的扩展。所以,数字、数据和信息所指的内容范畴逐渐增大,前者被后者包容,并非所有的信息都可以数字化,只有能够数字化的信息才能在网络中存储、传输并产生价值,进而可能会成为数字资产或数据资产。
其次,数字资产和数据资产之间并不存在严格意义上的“泾渭分明”。尽管数字资产的类别及种类概念,目前世界各国仍无统一界定,国内有学者在进行整理和分析后,结合我国央行的相关规定,将数字资产分为数字货币、虚拟货币、加密货币以及数字化的传统金融资产如数字权证、股指期货等。事实上,加密货币也是一种技术路径下的数字货币,甚至也可以将虚拟货币纳入广义的数字货币范畴。根据数字资产的文义,凡是能以数字形式被占有、使用以及处分的数据都可以称为数字资产。进而,便有观点将数字资产定义为:拥有二进制形式数据所有权,产生并存储在计算机、智能手机、数字媒体或云端等设备中的数据。因此,数字资产、数据资产是从不同层面看待数据的。数字资产对应着数据的物理属性,数据资产对应着数据的存在属性。数据可以没有价值,但作为资产的数据必须有价值。
由此,大数据技术标准推进委员会从数据的价值性视角将数据资产定义为:“由组织(政府机构、企事业单位等)合法拥有或控制的数字,以电子或其他方式记录,例如文本、图像、语音、视频、网页、数据库、传感信号等结构化或非结构化数据,可进行计量或交易,能直接或间接带来经济效益和社会效益。从该定义可以看出,数据资产是一种完全不同于传统资产的新型资产概念,是一种既可以从所有权,也可以从控制权的角度来界定的资产。如果资产所有权会对资产未来收益产生重大影响,则需界定其所有权,否则便可从控制权的角度来界定。可以说,所有权虽然并不是数据资产必备的概念要素,但若不能控制所谓的数据资产,便失去资产之本意而仅为数据而已。
尽管数据能否成为民事法律上财产权的客体尚存争议或者仍值得斟酌,但将数据作为一种重要财产或者资源看待有一定的合理性。事实也表明,刑法中财物的范围并不取决于法律逻辑,而是由产业形态决定并隨其发展而不断调整的。工业时代的财物主要是机器生产的实物,电气时代的电力等无体物逐渐被法律承认,而数字时代的数据则以其创造的产业价值被认定为刑法中的财物将成为时代之势。不论数据资产的内涵如何界定,其外延必定包含具有财产属性可作为财产犯罪对象的那部分数据资产,并且无论是从学理上还是涉及数据保护纠纷的司法实践中,数据具有财产性利益都已被明确。从涉及数据的司法案件看,即便未明确承认数据财产权,也会承认涉案数据具有值得被保护的财产性利益或者相关的竞争性利益。当数据资产本身具有经济价值、使用价值和交换价值,能够带来经济收益或创造获取收益的机会, 起码就可以认定为税收意义上的财产而将其归入无形资产的类别,进而便可归属于财产性利益的范畴。例如典型的数字资产比特币,即便相关规范性文件否定其货币属性,使其“货币论”本身存在理论缺陷,但立足于其作为一种“特定的虚拟商品”,进而通过规范分析将其认定为刑法上的一种财产性利益,也能将其纳入财产犯罪的惩治范围。
(二)作为财产犯罪对象的数据资产需能够映射现实的财产利益
承前,并非所有的数据都可以成为数据资产,数据资产的形成需要对数据进行主动管理并形成有效控制且能够为组织产生价值的数据。同理,并非所有的数据资产都可以成为刑法中财产犯罪对象。由于财产犯罪对数据的保护并不是以数据的代码逻辑为基础(这是知识产权或者计算机犯罪等调整的范畴),而是以数据背后的具体财产法益为依据。数据资产普遍存在于网络虚拟环境中,但其背后的财产利益却是现实的,只不过这种财产利益系网络中数据资产的一种现实映射。因此,对于侵害该类数据的行为,应对该类数据所映射的现实的财产利益是否遭受侵害进行充分评价。这是对以数据资产为对象的犯罪行为是否充分评价的标准,也是对数据资产能否作为财产犯罪对象的判断依据。譬如被告人A购买某厂家槟榔参与抽奖活动时发现,用微信扫包装袋上的二维码,抽奖红包钱款能实时到账,遂其利用自身掌握的计算机技术入侵该厂家网站后台,找到微信二维码抽奖红包活动的抽奖码日志(该批抽奖码已经激活并投入市场销售,包含二维码链接地址、领奖四位数密码等信息)批量下载37万余条,并将网络后台设置的每日扫码上限10个修改为100个后,随即使用微信点击链接、输入密码快速兑现红包。截至案发,被A下载的37万余条数据中已充值激活数据共计4万余条,价值90余万元,其中被异常扫码的数据(同一微信号10分钟内扫码10次以上)为1万余条,价值30余万元被A等人兑现获利。该案以盗窃罪处理似乎争议不大,主要争议在于犯罪对象是被批量下载的37万多条数据,还是已经充值激活的4万余条数据,抑或是被异常扫码的1万余条数据,同时犯罪形态也会随着犯罪对象的不同而有区别。审理法院认为,A下载红包二维码数据并未对资金本身产生实际威胁,进而也未使该数据对应的资金完全失去控制,只有在A点击链接、准备输入密码的时刻,才对资金原占有状态产生现实、直接、紧迫的危险,其后续的兑换变现行为才使资金完全脱离控制。故兑换变现才是该案盗窃的实行行为,A对于已兑换变现的资金构成犯罪既遂,而对于仅下载数据但没有兑换变现的资金构成犯罪预备。根据上述裁判观点,该案中作为盗窃罪的对象是被异常扫码的1万多条数据,犯罪金额即该部分数据对应的30余万元,并构成犯罪既遂。其余已充值激活的3万余条微信抽奖码的链接和密码,只能认定为数据,因其尚未成为盗窃对象的数据资产。
该案中若仅着眼于A非法获取的数据的物理形态而适用非法获取计算机信息系统罪等罪名,便意味着未能聚焦数据资产所承载的财产利益,进而便可能对案件事实要素未能充分评价。显然,该案中的37万余条数据并不全部具有财产属性, 或者说能够成为盗窃罪对象的只有其中被异常扫码的1万余条,因为此时该部分数据所映射的现实财产利益已经显现,其点击链接、输入密码兑换的行为已经造成该部分数据对应的财产利益被现实地侵害。因此,剩下的3万余条数据尽管在事实层面已由行为人获取,但该部分数据所映射的财产利益并未被现实的侵害,毕竟该部分已经充值激活的数据已随着相应的槟榔产品投入市场,若A不再进行兑换则势必为购买该批对应槟榔产品的消费者兑换,此种情形下该部分数据所对应的财产利益完全在该企业的销售策划项目内,并由企业所享有,行为人并未对其现实侵害。据此,该部分数据并不属于盗窃罪对象的数据资产。
财产(财富)的本质是稀缺的,其必定不可能是无限的,在流转、交易的过程中也必定是“此消彼长”的。故可无限复制的数据因其不满足“此消彼长”便不能作为财产犯罪的对象,而只能作为针对数据的相关犯罪对象。事实上,所谓数据的“可复制性”所针对的只是数据资产原始生成之前的状态,一旦以算法为基础,使得数据产生额外的经济价值并被“从无到有”地生成具有财产属性的数据资产之后,其即为一个独立的财产或者被称为财产犯罪的对象而存在。在此基础上,结合前述关于数据资产概念其及法律属性等问题的梳理厘定,本文将以去中心化的私人数字货币(如比特币)、数字权证(如NFT)等数字资产,以及包括游戏装备、游戏币等在内的中心化虚拟资产等典型数据资产为对象,围绕财产犯罪中这些典型的数据资产如何被占有以及转移占有等相关问题,立足于我国的刑事立法和司法实践进行阐释。
三、财产犯罪中数据资产的占有认定
占有作为财产犯罪领域中的概念,其重要性不言而喻。尽管占有以及针对财产性利益的占有在财产犯罪特别是盗窃罪中面临是否属于该罪结构核心要素的质疑,但并不影响当下的理论与实践在财产犯罪中对占有认定的重视。不过,在数据资产作为财产犯罪对象的背景下,相关占有认定差异必然会随着时代背景的不同而有所体现。
(一)占有的本质是一种控制支配方式
刑法中占有的实质是主体对物的支配,但何为“支配”便成为界定占有概念的核心要素。当前刑法理论中认定占有的强有力观点(甚至是通说)为“事实支配说”,即占有是指事实上的占有,或现实支配,或实际支配。若行为人实体控制了财物,则构成实际占有;若行为人并未实体控制财物,或其他人也没有实体控制,但从社会生活常识和规则来看,能够推断财物处于被他人控制的状态时,也能够说该财物处于被他人支配之下。占有以对财物事实上的、具有直接的支配情形(如实际持有财物、财物处于封闭的支配领域内等)为核心,业已扩大到具有支配事实可能性的情形。可见,占有的判断中既有事实性要素,如身体掌控、目击控制、场所或器具控制等事实上的支配,也包含了道德或生活习惯以及观念控制等规范性要素。因此,在对财产犯罪中具体的占有认定上,应结合事实性要素和规范性要素进行判断。
第一,凭借现实的或实际的“力”直接支配的应属于事实占有。结合当下对事实占有的情形来看,针对有体物或有形物进行事实支配不难判断。如在针对有体物或有形物进行事实占有的样态中,手持或其他身体部位持有的财物、身体支配力范围内支配的财物以及私宅等特定空间内财物的支配,均属于对有体物或有形物以现实的物理力以及一定范围内物理“辐射力”进行的实际控制,简而言之就是直接支配。在直接支配这种方式下,不需要通过其他的诸如社会一般观念等规范性要素判断支配力,仅依靠现实的或实际的“力”这一事实性要素即可直接得出是否存在支配力。需要注意的是,事实占有和直接支配是处于同一个层面且互为注释的两种表达,但直接支配与物理力支配并不是处于同一层面的问题。直接支配可以包含物理力支配,也包含非物理力支配。即只要是依赖于一种现实的或实际的“力”的支配便是直接支配,进而属于事实占有。既然事实支配并不等同于物理力支配,也就可以认为事实占有并不取决于对象是否有体或有形,而在于是否可以被直接支配。
第二,凭借某种规则、制度以及法律等规范性要素进行间接支配的属于规范占有(或称之为观念占有)。由于事实占有是依赖于现实的或实际的“力”进行的直接支配,当某种占有无法直接通过现实的或实际的“力”等事实性要素进行判断时,而是凭借某种规则、制度或法律以及社会一般性观念等规范性要素时,也即需要依靠业已为其确定占有的这些规范性要素为媒介,间接地支配对象,这便是规范占有。如上文已提及,当行为人并未实体控制财物或其他人也没有实体控制,但从社会生活常识等规则能够推断财物处于被他人控制状态时,也能够说该财物处于被他人支配之下,便是依靠规范性要素为媒介进行的间接支配的情形。
综上所述,对于无体物或者无形物,以及作为财产犯罪对象的数据资产的占有,若存在一种现实的或实际的“力”对其进行控制便属于事实占有,反之则为规范占有。
(二)典型数据资产在财产犯罪中的占有认定
由于数据资产系基于区块链、互联网通信等新兴技术兴起而发展,在财产犯罪中对于数据资产的占有认定,需要结合数据资产本身的技术特征等因素,针对如上数据资产的占有判断,便需要结合其自身的技术特点,以其存在直接的支配力还是依靠间接的支配为标准进行。
1.数字货币等去中心化数据资产的占有
数字货币目前没有公认的标准概念,但认为数字货币是以区块链为底层技术支持,具有去中心化、可编程性、以密码学原理实现安全验证等特征却也争议不大。由于数字货币采用的区块链技术、去中心化方式运营等自身特征使然,不同状态的数字货币,其占有认定亦有差异。
第一,“钱包”中的数字货币属于权利人的事实占有。在区块链系统中,用户通过基于密码学原理架构的公钥和私钥来控制数字货币。公钥表示数字货币存储的地址,私钥则可以认为是支配权的象征。私钥系字母和数字随机组成的64位字符串,用户可从互联网上下载“热钱包”(在线钱包)或“冷钱包”(离线钱包)到自己的计算机等数字设备终端用于储存私钥,并可对私钥备份,但无法挂失重新获取。在以比特币为代表的典型的去中心化模式系统中,每个账户由一对公匙和私匙构成,拥有私匙的人就是账户的拥有者,并拥有公匙及其对应比特币的所有权。用户在计算机终端等设备上安装数字货币“钱包”后即开设账户,在安装过程中,根据计算机终端等设备特有的参数信息,在本地随机生成私钥,其后通过算法导出公钥并经过两次哈希运算及整合得到一个在全网公开的长位数,即相当于商业银行账号的“钱包”地址。不同“钱包”之间可直接进行交易,而区块链上的每个节点都可以将发生的交易记录下来,并通过工作量证明机制决定最终的记账人。如果A要给B转比特币,A就把比特币的数量加上B的公匙,用自己的私钥签名,然后把签过名的交易单尽量广播到比特币系统中,最终让每个节点进行记录。当B看到A的公匙时,得知是A转给了他一定数量的比特币,并从比特幣系统中不断收到其他节点的确认信息,当B收到足够多的确认信息后,就可以认为A的支付是有效的。因此,如果非法获取了“钱包”而知悉了私钥,便可随时通过使用自己的“钱包”将他人持有的比特币转移给自己,并在比特币网络区块链中留下交易记录。同理,若非法获取了“冷钱包”,行为人只需要将“冷钱包”插入计算机等终端即可将原持有人的比特币转移至自己的地址内。
由于缺少中心机构对用户身份确认的应用场景,公钥与私钥也成为用户对比特币行使支配权的唯一验证方法,一旦丧失公钥或私钥,也就意味着其永久失去了支配权。可以说,对比特币等数字货币的控制基本依赖于对私钥的掌握。尽管不能说知悉了私钥即相当于控制了比特币,但若遗失了私钥则相当于遗失了比特币。事实上,“钱包”只是存放和管理比特币私钥和地址的工具,正是由于私钥的重要性,所以“钱包”中存放的私钥就等同于存放比特币。因此,在权利人掌握私钥的前提下,并不需要其他人或者相关机构的配合来控制支配比特币,交易者在持有私鑰的情况下,能够随时地、独立地支配其所拥有的数字货币,并将其用于交易或赠予他人,这一支配过程无需以他人的同意为前提。从这个角度来看,“权利人可以凭借对数字货币钱包的排他性支配充足事实支配”,也就在事实上排除了他人对比特币的控制支配,据此就可以认定为是以一种现实的或实际的“力”对其进行直接控制,故属于事实占有。不过需要注意的是,尽管可以说控制比特币等数字货币的钱包软件或其载体,也就代表了对于数字货币的管控,但这只是针对原始权利人而言,并不涉及数字货币的转移占有。也就是说,权利人对于数字货币的占有与数字货币的转移占有并非同一个层面的问题。关于数字货币的转移占有详见下文讨论。
第二,中心化交易平台里的数字货币属于权利人的规范占有。除了通过私钥转让“钱包”里的数字货币外,用户还可以在中心化的平台开设账户进行交易。以比特币为例,现有的比特币交易平台不具备撮合机制,平台本身持有大量的比特币,当注册成为用户而拥有平台账号和密码后,交易时用户将法定货币支付给平台,平台便直接将其自身持有的比特币转移相应的数额至买家账户;反之,则由卖家将比特币直接转移至平台指定地址,平台将相应的法定货币转给卖家。简单来说,用户想买卖比特币时,都是直接与平台买卖。比特币在交易平台的买卖过程均须经过平台所持有的比特币地址,而并不是在买卖双方的比特币地址间进行直接转移。此种情形下,用户通过登录平台账号和密码进行的比特币交易,只是用户在交易平台开设的账户里比特币数值的增减,其与“钱包”之间的可引发区块链交易记录的情形存在显著不同。用户在平台交易时,即便其平台账户里有比特币,也并不掌握比特币私钥,交易平台是唯一享有私钥者。此种交易实际没有在区块链中进行,只有在用户提币拥有私钥以后,比特币才真正归属于用户,而在这之前,用户仅享有对平台的债权。因此,权利人对交易平台里的比特币等数字货币的占有便取决于交易平台中的相应规则,其无法绕过平台所确定的规则而直接以一种现实的或实际的“力”对平台中的数字货币进行控制,只能是以债权之名,通过平台的相应规则以及社会一般观念等规范性要素对其进行规范占有。
同理,若是完全基于共识区块链技术的数字权证,例如NFT等数字资产,其持有者掌握私钥便可排他性地直接支配NFT,其他主体无法针对该NFT采取行动。故私钥持有者也是通过直接以一种现实的或实际的“力”(掌握私钥)对其行控制,故亦属于事实占有。但是,目前国内机构发售的NFT基本在自建的私有链上,即便是联盟链也并非完全去中心化的共识区块链,本质上与数字货币的中心化交易平台无异,持有者仅基于发售机构相应规则确立的债权支配着NFT,故亦为规范占有。
2.游戏装备等中心化数据资产的占有
游戏装备,游戏币等中心化虚拟数据资产,系采取互联网等通信技术,由中心化的网络运营商发行,用户需首先在其网站平台注册,获取账户和密码后才能使用。与去中心化的数字资产不同的是,游戏装备等中心化虚拟数据资产系运营商发行的,其只能存储在运营商的服务器中,且只能在相应游戏中使用,无法实现跨平台的流动,更无法与物理资产实现流通。正是由于该类资产系网络运营商自主发行,具有中心化特征,用户在获取账户和密码后便可进入相应的游戏中使用并进行游戏装备等虚拟资产的交易转让,若遗忘或遗失密码等,一般可通过挂失等方法取回,因此用户便基于该网络运营商相应规则的明确使用和对这些虚拟资产的转让交易;倘若在使用和转让交易过程中存在争议等,均需依靠运营商,甚至求助于运营商。换句话说,用户无法绕开运营商确立的相应使用和转让交易规则进行直接支配,或者说需要凭借这些规则等规范性要素间接地对游戏装备等虚拟资产进行控制支配,进而属于规范占有。这种中心化数据资产的占有,与存款的占有相似。存款的占有在本质上是以存款债权之名,通过法律或社会一般观念对具有真正权利义务关系项下的存款金额能够予以控制性地确认。如果不承认该种规范的占有,一方面无法合理地将行为人非法获取存款账户名义人网银账号、密码后将存款转移的行为归入财产犯罪的范畴;另一方面也难以对以存款名义人出租、出借其银行卡后,非法转账、消费或取现卡内钱款的行为进行妥当的刑法评价。同理,针对游戏装备等中心化虚拟数据资产的占有亦是如此。行为人非法获取他人游戏账号和密码,并不能据此认定其占有账号中的游戏装备、游戏币等数据资产;行为人将游戏账号和密码借用他人后,当他人通过游戏竞练或购买升级游戏装备后,行为人尽管是该游戏账号密码的名义人,也不能认为其占有升级后的游戏装备。在上述两种情形下的行为人将游戏装备转移并出售,均侵犯了社会一般观念等规范性要素认可的对该游戏装备具有真正权利义务关系的人的规范占有。
综上所述,针对不同情形下数据资产在财产犯罪中的占有认定,主要目的在于:直接以一种现实的或实际的“力”对数据资产予以控制支配的,在非法获取私钥的场合,即便两个甚至多个主体同时掌握了私钥,最终应看谁在事实上真正控制或支配数据资产,若即便掌握私钥但尚未真正控制数据资产,则不能认定为占有;而凭借数据资产所在网络社区中的相应规则、制度等规范性要素进行间接控制支配的,当两个甚至多个主体同时掌握了账号及密码时,对账户内数据资产的控制支配能够被社会一般观念等规范性要素予以认可,方能认定为占有。明确上述规则之后,将为数据资产在财产犯罪中相应的转移占有及其犯罪形态奠定基础。
四、财产犯罪中数据资产占有转移的可能及其标准
占有转移是取得型财产犯罪既遂的标准,但并非真正的标准,其只不过是控制说的体现。占有的本质是控制支配。因此,占有转移实为控制权或支配权的转移。为了减少交流成本,本文依然采取占有转移的表达。
(一)数据资产作为财产性利益可以转移占有
财产犯罪中的数据资产,无论是基于去中心化区块链技术的数字货币,还是基于网络通信技术中心化的虚拟财产,均是利用技术算法产生的一个数据串,其价值无法脱离法定货币的衡量。因此,将其称为虚拟财产并无多大异议。前文已述,财产犯罪中的数据资产作為一种虚拟财产,其不仅具有现实的经济价值,也为法秩序所认可,进而可将其归入财产性利益。但从财产犯罪的构成要件方面进行符合性判断时,财产性利益能否成为适格对象的争议并未消弭。其争议的实质便是财产性利益是否具备可转移性。这不仅表现在实务中有支持构成占有转移的判例,也有不支持构成占有转移的判例;在理论中,典型的以盗窃罪为例,便有观点认为,当占有对象被延展到财产性利益时,作为谓语动词的“占有”的“事实控制力”的核心含义就被消解了。以占有转移为中心构建起来的盗窃罪的客观构成要件的教义学解释框架就此轰然倒塌,罪刑法定原则的明确性要求也随之彻底落空;还有观点认为,财产性利益属于公私财物,但却不能够以打破并建立占有的方式进行侵害。勉强将侵害虚拟财产或其他债权的行为生硬地纳入盗窃罪的构成要件中,是以牺牲盗窃罪的构成要件定型性为代价的,即在盗窃罪教义学上所构建起来的“占有转移”这一构成要件符合性的判断中,财产性利益无法满足要求。进而,将传统社会中财物在时空的“占有转移”等同于财产性利益在不同主体之间此消彼长的“财产转移”,其实质属于将架构在占有之上的盗窃罪结构中的占有转移异化成财产转移,进而损坏盗窃罪构成要件的定型性。
但在笔者看来,首先,上述质疑的论证前提失实。如上述质疑观点持有者认为,“德日刑法中盗窃罪对象仅以有体物为限,因此占有概念无论如何发展,都仅是有体物的占有”。据此,在其教义学理论中,便先将盗窃罪的对象限定为有体物,然后再将其纳入盗窃罪的客观构成要件中进行相应的教义学解构,最后得出财产性利益不符盗窃罪构成要件中占有转移的符合性要求。但这种质疑是以德日的刑事立法和教义学理论为前提得出的结论,并不符合我国的刑事立法及司法实践,且在当下我国刑法理论中,盗窃财产性利益可以构成盗窃罪的观点已渐具通说之势,前文已述,在此不赘。
其次,教义学一语意味着:认识程序必须受到———于此范围内不可再质疑的———法律规定的拘束。因此,法教义学研究的是表现为部门法的实在法规范,秉持一种价值中立的立场,并以假定法规范的正确性为前提,进而通过法律语句阐述法律意蕴为使命的一种法律技术方法。由此可见,法教义学研究一是要以本国刑法规范为对象,而不是以他国法规范为依据;二是假定法规范的正确性为前提,进而阐述法规范的真正法律意蕴。例如,如我国刑法第265条将财产性利益规定为盗窃罪对象以法教义学作为研究方法时,便应假定该条正确,以财产性利益可以被占有进而阐释财产性利益如何被占有,而不是无视法规范的存在,以他国的法教义学成果“盗窃罪对象仅以有体物为限”来质疑“财产性利益”的占有及其转移在盗窃罪构成要件中的符合性问题。
最后,财产犯罪占有对象从有体物到无体物再到财产性利益的扩张过程,越来越强调载体背后的价值占有与转移。财物占有转移的实质是利益占有转移,将“占有转移”与“财产利益转移”区别对待的观点,要么过分拘泥于占有对象的有体性,要么忽视了“利益转移”,以“利益占有”作为前提,若没有利益的“占有”,就不会发生利益的“转移”。因此,数据资产的占有转移实际上就是象征着价值不可复制的代码数据的转移。因此,在财产性利益已成为财产重要体现形式的今天,仍然以有体物的占有作为理解占有概念的经典图式,并进而将占有转移理解为物理空间位置上的移转,必将使得刑法教义学沦为刑法教条学。
前文已述,财产性利益作为盗窃罪乃至取得型财产犯罪的对象,在理论与实务中已渐具通说之势,进而其作为犯罪对象在取得型财产犯罪中能够被转移占有也是该通说下的附随性命题。据此,数据资产作为财产性利益可以转移占有便顺理成章,需要进一步阐释的便是其占有转移标准的确立。
(二)数据资产在财产犯罪中占有转移的标准
取得型财产犯罪的客观构成要件为排除被害人的占有,由行为人或第三人占有,即“行为人实际取得财物的控制权,排除他人的占有而将财物处于自己的事实支配之下”。同时,文义解释中的“占有”即为“掌握”,“掌握”意味着“控制”,而“控制即为实际支配”。因此,财产犯罪中的占有转移便可以认为是控制支配的转移。同时,当行为人将数据资产从一个主体的控制支配下转移为另一个主体的控制支配,便也完成了犯罪既遂。因此,一般而言,财产犯罪中占有转移的标准,实质上即为犯罪既遂的标准。与世界上大多数国家一样,我国也没有通过立法例对犯罪既遂予以规定,只是通过刑法理论予以阐释,其较为通行的观点是结果说和构成要件说。事实上,结果说中的结果正是犯罪构成要件中所蕴含的该罪法益所保护的侵害或危险结果,即广义的结果;而构成要件说中实现个罪中构成要件的全部要素,也依然需要通过行为和结果两个要素来具体阐释。进而,在此意义上,构成要件说和结果说没有质的区别。财产犯罪作为结果犯,其既遂的标准显然应当以行为造成被害人财产损失这一构成要件结果的发生为必要。
但问题在于如何理解财产损失的结果发生。如有观点认为,当行为人掌握被害人的数字货币账户密码,登录账户但尚未转移数字货币,且被害人也能同时登录账户支配数字货币的场合,此时由于并不存在现实的“占有转移”而不存在既遂;倘若改变账户密码排他性地支配账户和数字货币,则行为构成既遂。笔者认为,该观点存在自相矛盾的嫌疑。一方面,既然其认为仅获取并登录账号和密码的情形并不存在现实的“占有转移”而不存在既遂,为何当改变账户密码但依然并未实现账户内财产“占有转移”的情况下就可以构成既遂? 另一方面,该观点认为被害人失去对数字货币的控制即可认为财产利益遭受现实侵害进而构成既遂,但是既然认为既遂的标准是“财产利益遭受现实侵害”,那么失去账户的控制也并不是必然就会导致财产利益遭受现实侵害。况且,“获取私钥建立了与财物间的支配关系,但它既不能直接导致被害人失去财物结果的发生,也不是刑法分则规定的罪体要素行为”。由此可见,该观点以账户内的财产尚未转移而认定为犯罪既遂,均与盗窃罪作为结果犯,其既遂的标准应以行为造成被害人财产损失这一构成要件结果的发生为必要这一“结果”相违背,显然不妥当。
由此可见,财产犯罪中占有转移理当坚守作为构成要件结果的财产损失为标准。占有转移的此种标准也应合了财产(财富)在流转、交易过程中“此消彼长”不可能无限的稀缺本质。因此,以数据资产为财产犯罪的对象,这一标准可以具体分为两个方面:对于已处于他人占有之下的数据资产,要体现出被害人实际的财产损害;对于非法生成型的数据资产,该部分数据资产所映射的现实财产利益已显现出被侵害的状态或事实。
首先,对于已处于他人占有之下的数据资产,占有转移需体现出被害人实际的财产损害。
在针对比特币等区块链数据资产的财产犯罪行为中,获取私钥是一个关键的环节,据此便有观点认为,当行为人非法获取他人的比特币私钥备份(但没有立即使用)时,行为人便与原比特币持有者对相应比特币已具有了相同的控制力或支配力,且能够随时获得比特币上承载的经济利益,就应当认为行为人对比特币已建立了新的支配关系,此时行为人和原持有者对比特币的占有效果没有实质性区别。根据该观点,既然行为人已经对比特币建立了新的支配关系且其对比特币的占有效果与原持有人没有实质区别,也就意味着此种情形下,行为人已然完成了对比特币的占有转移。但是,当行为人非法获取比特币的私钥但并未立即使用时,原持有人依然可以通过私钥在事实上占有比特币,并未体现出实际的财产损害。此种情形下,就连该观点持有者也认为,当比特币持有者拥有私钥备份时,行为人虽获得了私钥但并未立即使用,由于原持有者的财产并未受到实质损害,只有立即使用私钥将相应的比特币转移到其控制的比特币地址中,则构成犯罪既遂;反之,行为有可能成立犯罪但并不构成犯罪既遂。同时,该观点进一步认为,当比特币持有者有且仅有一份私钥文件时,行为人一旦获得储存该私钥文件的硬盘或其他存储介质即构成犯罪既遂,因为无论行为人是否进一步实施使用私钥的行为,原比特币持有者都已失去对相应比特币的实际控制。简而言之,在其看来,当行为人非法获取的是独一份的私钥时,获取私钥之时便构成犯罪既遂(当然发生占有转移)。
但依据本文观点,针对该种情形下数据资产的占有转移需要体现出被害人实际的财产损害。当行为人非法获取独一份的私钥时,依然需要将比特币转移至行为人控制之下方可构成犯罪既遂。尽管对于比特币等区块链数据资产而言,私钥的重要性不言而喻,掌握私钥可以视为在一定程度上掌握了相应的数据资产。但是,在针对数据资产的财产犯罪中,行为人仅控制私钥还不足以体现控制支配对应的数据资产,必须要通过私钥将对应的比特币转移到其控制之下,方能实现真正的控制,即占有转移。结合比特币的交易模型可知,比特币作为一种典型的区块链货币,其交易依赖区块链货币系统中所有节点对交易的确认,一次交易账单只有经过6次确认后被滚回和撤销的概率才可忽略不计。因此,若要保证交易的不可逆转,一般要等待6个数据块完全确认后,这大概需要1个小时以上时间。可见,即便通过私钥开始转移比特币尚且需要1个小时以上的时间后,也即当行为人非法获取私钥并立即转移比特币不满1个小时,根据其交易技术路径都并不能立即实现比特币的转移占有(毕竟存在被滚回和撤销的概率),更何况倘若获取私钥但并不转移呢? 可能会有反对观点认为,当行为人非法获取的并非独一份的私钥时,的确存在该种概率,所以需要将比特币转移至其控制之下方为犯罪既遂。但针对独一份的私钥时,当行为人非法获取后,原权利人根本就不可能通过挂失等方式重新获得私钥,也就意味着失去比特币。但是,“刑法学是最精确的法学,而精确的刑法理论以及由此产生的精确的刑法规定,就是在为社会及其成员规定精确自由程度”。通过规范的设定,犯罪既遂也应当是一个精确的点。如果独一份的私钥被他人非法获取后,行为人基于某种原因并未转移比特币,但原持有者又想起来此前还备份过并找到了,或者转移时被滚回和撤销,此种情形下难道在认定犯罪既遂后再以未遂论处? 由是之故,转移占有的数据资产要体现出被害人实际的财产损害。
同理,针对中心化的数据资产,诸如交易平台里的数字货币以及游戏装备、各种游戏币等虚拟数据资产,行为人非法获取相应的账号和密码或者原持有人许可其登录自己的账户时,相应数据资产的占有转移也应遵循此标准。但有观点认为,当被害人许可行为人登录自己的游戏账号时,其并没有丧失占有而是造成了自己对财产占有的迟缓状态。网络空间财产犯罪占有转移的认定标准应当是网络账户权限或账户记录内容的不可逆转。如果行为人非法获取他人具有财产价值的网络账户权限,并排除了原占有人能够比较方便地找回账户的可能性, 就认为该行为实现了对网络账户的占有转移。前文已述,针对中心化数据资产的财产犯罪,由于原持有者系通过相应规则、制度等规范性要素对相应的数据资产进行规范的占有,当行为人非法获取账号和密码时,该数据资产依然处于原持有者的规范占有之下,即原持有者依然可以登陆账户密码进行有效控制。即便行为人通过修改密码等方式造成该“账户权限或记录的不可逆转变”时,由于此时被害人的财产损失并未实质性地显现,就不能认定为行为人完成了占有的转移。对于数据资产而言,单纯地非法获取私钥或者账户和密码,就如同非法获取了他人房屋的钥匙,只是为控制支配房屋内的财产奠定了基础,并不能据此就认为房屋内的财产转移为行为人占有。简而言之,行为人针对该种数据资产的财产犯罪,并不能仅因其获取账号和密码就完成了占有转移,进而构成犯罪既遂。例如,在“姜某诈骗案”中,姜某伪造身份信息,欺骗域名托管公司以获取他人域名转移密码等,将他人的域名转移于自己的控制之下。法院认定网络域名具备“公私财物”的特征并以詐骗罪论处。该案中,倘若被告人姜某仅是非法获取了域名转移密码但若并未转移域名,则显然并不能据此就认为姜某完成了对于域名的转移占有进而构成犯罪既遂。
其次,对于非法生成型的数据资产,占有转移体现在该部分数据资产所映射的现实财产利益已显现出被侵害的状态或事实。
在非法添加游戏道具“生成”游戏装备并出售换取钱财的情形中,如周某在从某网络科技公司辞职前,利用其编程员的VIP账号登录公司后台服务器,将脚本文件分别植入公司开发的网游专门服务器和公司中转服务器。辞职后,周某利用其植入在该公司网游专门服务器上的脚本文件,向某款网络游戏账号随意“添加”游戏币及游戏装备,并在网上出售相应的游戏账号非法牟利数万元。该案中的行为性质不外乎是构成盗窃罪或非法获取计算机信息系统数据罪。其争议的主要焦点在于,这些“添加”或者说“非法生成”的游戏币或游戏道具是否具有财产属性,以及是否构成转移占有。如论者所言:“周某确实偷取了游戏道具并‘添加至买家的游戏账户,但其‘添加的并非是网游中本就存在或者已经由其他玩家购买获得的道具,而是通过其植入的脚本文件,自行‘生成了相关游戏道具后再将之窃取、添加。故涉案的游戏道具本不属于网络公司所有,或者说不在网络公司发行道具的范围内,该道具的生成已经违背了网络公司的经营意志, 故将由周某自行生成的游戏道具视为网络公司的财物有违其本质属性。”意即,在该论者看来,行为人确实是偷了,但偷的只是并不具有财产属性的数据。因为非法添加的游戏币、道具与本就存在或经由其他玩家购买获得的存在质的区别。诚然,该案中的游戏币及装备在未“生成”之前,仅为数据,但“非法添加的游戏装备在电磁信息数据这一物理属性上与网游公司合法生成的游戏装备并无本质区别,仅因生成程序的非法性导致对网游公司而言其具有非法性”,进而被“视为网络公司的财物有违其本质属性”的结论未免过于武断和片面。
刑法中财物的本质在于其财产属性而非其物理属性,当数据资产本身具有经济价值以及使用价值和交换价值,能够带来经济收益或创造获取收益的机会,便可以认为其具备财物的本质属性。该案中,行为人周某首先向游戏账号随意“添加”游戏币和道具,然后再通过网络出售相应的游戏账号。根据本文的观点,由权利人购买,经游戏公司合法生成并添加在权利人账号中的游戏币和道具,作为具有财产属性的数据资产(通过账号和密码)处于权利人的规范占有之下;而由行为人非法“添加”生成的游戏币和道具其具有的财产属性与合法生成的并无质异,由于尚不存在对应的权利人,但已经生成的情况下便应归属于游戏公司的规范占有之下。当行为人将处于游戏公司规范占有之下的游戏币和道具,以出售相应的游戏账号的方式于第三人,即将游戏币和道具所映射的现实财产利益在被侵害的状态下予以显现,进而发生了占有的转移。换句话说,倘若行为人周某只是将游戏币和道具非法添加在相应的账户中,但并未出售该账户或该账户也并未使用非法添加的游戏币和道具,则可以视为相应的游戏币和道具所映射的现实财产利益被侵害的状态并未显现,进而便不满足占有转移的条件。就如同行为人利用黑客技术非法往他人的银行账户中添加100万元的存款数据,倘若该100万元未被转移或未被使用,则理当不能认定为占有转移并认定为盗窃既遂。
再如,被告人铁某伙同辛某利用联通公司的网络漏洞,擅自使用被告人辛某的工號和密码登录该公司ESS系统, 为被告人铁某销售的近千个手机号码非法添加仅针对某集团内部使用的定向数据流量包,上述手机号码销售金额共计人民币7万余元,因上述号码已被实际使用,造成联通公司资费损失共计人民币40余万元。该案中的数据流量包遵循市场经济规律可以进行货币化衡量,且行业内部早已达成了统一的计价标准,进而属于财产性利益,法院认为被告人的行为构成盗窃罪。之所以如此,也概因非法添加的数据流量包被实际使用,使得该部分数据资产所映射的现实财产利益被侵害的状态得以显现(造成联通公司的资费损失)。倘若被告人辛某将流量包非法添加进相应的手机号码之后,铁某并未将相应的手机号出售或者出售后也并未实际使用,则作为数据资产的该部分流量包所映射的现实财产利益被侵害的结果并未显现出来(并未造成联通公司的资费损失),则显然不构成占有的转移,进而也不构成盗窃罪既遂。
结语
完全基于共识区块链技术的数据资产,由于缺少中心机构对用户身份确认的应用场景,用户以私钥作为控制支配相应数据资产的关键, 并据此直接对其行使支配权, 系以一种现实的或实际的“力”对其进行直接控制的事实占有。除此之外,包括私有链和联盟链在内的并非完全意义上去中心化的数据资产,其实质上与基于网络通信等技术的中心化数据资产并无质异,用户对该类数据资产的支配控制均系凭借相应的网络社区规则、制度等规范性要素进行间接控制,根本无法脱离相应的规则而在事实上进行占有,故属于规范占有。通过规范性要素进行控制支配的规范占有,只要满足以某种规范要素这种介质对数据资产实现控制支配即可认定占有,进而就可以在无事实状态以及无实物的前提下实现占有以及占有转移的认定,这对于以中心化数据资产为主的当下而言,无疑能够解决处于虚拟状态下的各种数据资产在财产犯罪中的占有及转移等关键问题,也能够在一定程度上缓和当下数据资产确权机制阙如等引发的问题。数据资产的确权实质就是对资产的所有权属的认定,这在民法等私法领域中可能至为重要,但在刑法中所有权的有无对于财产犯罪的认定并不是关键必备要素,重点是占有。占有关注的是对财产秩序的保护,从该角度着手,对数据资产的流转、交易等确立一个良好的秩序进而为数据资产确权奠定一定的基础亦有裨益。