近年来,互联网犯罪的手法不断翻新,尤其是利用互联网技术手段接入券商交易接口,非法经营各种证券业务的犯罪行为,侵害了多种法益,具有较大的社会危害性。为严厉打击该类犯罪行为,准确适用相关法律法规,本刊特遴选一起行为人获取破解的券商交易接口程序后开发、运营证券交易软件的案件,邀请专家就相关问题进行研讨,敬请关注。
「 特邀嘉宾 」
喻海松
(最高人民法院研究室刑事处处长)
江 溯
(北京大学法学院副教授、博士生导师)
夏 涛
(浙江省杭州市滨江区人民检察院检察长)
案情简介
李丽(化名)担任甲公司实际控制人期间,接受赠予或购买破解的券商交易接口程序,利用该程序以甲公司名义开发和运营具有证券交易虚拟分仓功能的α软件,按照每日交易量的约万分之一或者一次性买断的方式向服务使用者收取交易佣金。经鉴定,α软件中的β子程序能够调用券商交易接口插件动态链接库中的函数,实施打开插件、登录账号、下单、撤单以及查询各类交易数据等操作。
此外,李丽在担任乙公司实际控制人期间,未经国家有关主管部门批准,以乙公司名义使用α软件经营证券交易配资业务,为证券交易配资客户提供开立虚拟二级子账户、委托交易、查询、结算等证券业务,并为配资客户提供缴纳保证金数倍的资金在股市大盘进行证券交易,收取配资借款利息。证券交易配资具体流程为:配资客户登录乙公司旗下网站平台或关注微信公众号,用手机号码注册,实名认证绑定,然后选择日配、周配或月配等配资类型以及相应的杠杆比例,通过支付宝或者网银转账支付保证金和预付利息到公司指定的个人银行账户。乙公司通过后台的α软件建立虚拟二级子账户分配给配资客户,虚拟二级子账户接入乙公司控制的实名证券母账户在股市大盘进行证券交易。交易结束后,α软件会自动计算配资客户的本金、预付利息和盈亏情况,扣除配资客户应支付的借款利息后余款由乙公司控制的个人银行账户返还给配资客户。
公安机关接到报案称某券商开发的股票交易程序被他人非法破解,并在网上公开销售。十几天后,公安机关将李丽抓获归案;李丽对获得券商后台服务器接口代码嵌入到α软件并有偿提供给他人使用的事实供认不讳。后来,李丽在取保候审期间,又因涉嫌非法经营被电话传唤到案,如实供述了自己利用α软件非法经营证券配资业务的情况。
分歧意见
关于α软件中的β子程序是否属于侵入、非法控制计算机信息系统的程序、工具:
第一种意见认为,侵入、非法控制计算机信息系统的程序、工具应具有避开或突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据、对计算机信息系统实施控制等功能。β子程序使用的接口程序主要提供加密函数和解密函数的功能,具体来说,其只是将客户的查询、交易指令翻译为密文,经互联网传输给券商服务器处理,再将处理结果传输给客户,经解密后显示在客户端。券商本就有义务受理客户的查询、交易请求,所以该程序获取的都是本就应当获取的数据,实施的也是正常交易,不存在未经授权或超越授权获取计算机信息系统数据、对计算机信息系统实施控制的情况。
第二种意见认为,β子程序具有调用券商交易接口插件动态链接库中的函数,登录并使用相应的交易软件,实施证券交易下单、撤单、查询各类交易数据等功能。上述操作均未经券商合法授权。有关功能实际上是李丽利用破解的券商交易接口程序,欺骗、突破有关交易系统的安全保护措施,非法获取计算机信息系统数据并对该系统实施控制。因此,β子程序应属于一种侵入、非法控制计算机信息系统的程序或工具。
关于李丽开发、运营α软件并利用该软件经营证券交易分仓、配资等业务的罪数形态:
第一种意见认为,李丽开发α软件的目的就是经营与证券交易有关的业务,无论其利用该软件提供证券分仓还是配资服务,本质上都是一种非法经营行为,以非法经营罪一罪即可实现充分评价。同时,由于李丽开发、运营α软件的行为与其非法经营证券业务的行为存在手段行为和目的行为的牵连关系,应当依照牵连犯的处断原则择一重罪处断,按照非法经营罪定罪处罚。
第二种意见认为,李丽的行为应分两个阶段看待:开发α分仓软件向其他投资主体提供有关交易服务,收取交易佣金的行为应定性为提供侵入、非法控制计算机信息系统程序、工具罪;通过该软件向证券交易配资客户提供配资服务的行为应定性为非法经营罪;两个行为具有相对独立性,应当分别定罪、数罪并罚。
问题一:获取破解的券商交易接口程序开发并运营证券交易软件行为的定性
主持人:根据我国刑法规定,提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,构成提供侵入、非法控制计算机信息系统程序、工具罪。如何看待该罪在我国网络犯罪罪名体系中的地位和作用?该案中,李丽获取破解的券商交易接口程序开发并运营α软件的行为如何认定?
喻海松:提供侵入、非法控制计算机信息系统程序、工具罪是刑法修正案(七)增设的犯罪。侵入、非法控制计算机信息系统程序、工具,既包括用于侵入计算机信息系统的程序工具,也包括用于非法控制计算机信息系统的程序、工具,还包括通过侵入计算机信息系统非法获取数据的程序、工具。故而,刑法第285条第3款规定的提供侵入、非法控制计算机信息系统程序、工具罪所规制的实际上是前两款规定的非法侵入计算机信息系统罪和非法获取计算机信息系统数据、非法控制计算机信息系统罪的帮助行为。但是,考虑到实践中提供侵入、非法控制计算机信息系统程序、工具的行为在网络犯罪中所起的重要作用和对网络信息安全造成的严重危害,并顾及司法实践中的操作便利性,刑法第285条第3款将此种本属共同犯罪之中的帮助行为独立入罪。可以说,提供侵入、非法控制计算机信息系统程序、工具罪的设立,是立法将共犯正犯化思路运用于网络犯罪立法的最早实践,对此后刑事立法发展,特别是帮助信息网络犯罪活动罪的增设起到了直接示范作用。
适用提供侵入、非法控制计算机信息系统程序、工具罪,关键在于准确认定“专门用于侵入、非法控制计算机信息系统的程序、工具”(俗称“木马程序”)。侵入的目的通常是获取数据,故“专门用于侵入、非法控制计算机信息系统的程序、工具”的功能在司法实践中主要表现为获取数据和控制系统,这也是司法解释所列明的情形。需注意的是,“专门用于侵入、非法控制计算机信息系统的程序、工具”区别于一般的程序、工具之处,在于此类程序、工具专门用于违法犯罪目的,而不包括那些既可以用于违法犯罪又可以用于合法目的的“中性程序”。因此,“专门”是对程序、工具本身用途非法性的限定。具体而言,程序、工具获取数据、控制系统等功能,在设计上即能在未经授权或者超越授权的状态下得以实现,这是专门程序、工具区别于“中性程序、工具”的典型特征。相反,如果所涉程序、工具虽然具有获取数据、控制系统的功能,但需要通过输入账号、密码,经系统同意后方可实施特定操作的,则属于“中性程序、工具”的范畴。
根据现有的案件信息,该案所涉程序很可能属于“外挂程序”的范畴。当前司法实践中,对于网络外挂程序能否认定为“专门用于侵入计算机信息系统的程序、工具”尚存在不同认识。实际上,如果单从技术原理上加以分析,作此认定应当慎重。假如网络外挂程序对主程序的数据发送系依据此前的既定通信协议进行,对主程序的访问只是一种“违规”访问,即违反了相关规则而已。假如网络外挂程序主要是对主程序发送数据,相关数据在客户端与主程序之间传输,恐怕不能认为主程序对数据排他占有。
应该说,上述问题一直困扰司法实践。故而,刑法修正案(十一)对我国刑法第217条作出修改完善,将“未经著作权人或者与著作权有关的权利人许可,故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施”的行为明确列为侵犯著作权罪的客观行为方式之一。而外挂程序运行的基本原理为通过破坏相应技术保护措施实现运行,“突破技术保护措施”是其本质属性。因此,可以根据情况适用侵犯著作权罪的相关规定。假如有关行为发生在刑法修正案(十一)生效之后,则应当考虑所涉程序是否系属于“破坏权利人为其作品……采取的保护著作权或者与著作权有关的权利的技术措施”,考察是否应当适用侵犯著作权罪。
江溯:从接口程序的原理上看,首先,接口程序只是一个翻译器,是为了避免交易数据被他人拦截或破译而设置的中间环节而已。接口程序的加密函数和解密函数,是将客户的查询或交易指令翻译成密文,经互联网传输到券商服务器,经券商服务器处理后,将查询或交易结果传输给客户,经客户用解密函数解密后,显示在客户端上的一系列动作。这么做的理由在于:
第一,互联网上不可能用明文传输,肯定需要密文,否则具有抓包技术的人就会很轻易知道客户的交易密码和交易请求,不利于保护客户隐私;
第二,接口程序可以让券商服务器识别客户用的是哪个客户端,如果没有用相应的客户端,券商服务器就无法识别交易请求。
其次,接口程序不具有提供侵入、非法控制计算机信息系统程序、工具罪所要求的“专门性”。根据刑法第285条第3款,并非所有的程序、工具均构成该罪中的程序、工具。只有那些没有其他合法用途,“专门”用于侵入计算机信息系统的程序、工具,才能认定为该罪中的程序、工具。
再次,接口程序不属于“侵入、非法控制计算机信息系统的程序、工具”。
第一,接口程序不具有避开或者突破券商服务器的安全保护措施的功能。这是因为,计算机信息系统的安全保护措施,通常是需要输入账户和密码的,但接口程序不需要账户和密码,换言之,券商服务器对于接口程序没有设立安全保护措施。既然没有安全保护措施,就没有所谓的避开或者突破安全保护措施之说。
第二,接口程序缺乏未经授权或者超越授权获取数据或者控制系统的功能。即使通过接口程序,客户也要输入自己在券商开户的账号和密码,否则券商不可能受理交易;客户在券商开户,券商本来就有义务受理客户的查询、交易请求,并向客户反馈查询、交易的结果。客户通过接口程序获取的数据,都是自己的账户本来就应当获取的数据,并不存在未经授权或者超越授权的问题;客户通过接口程序交易,使用的是自己的资金,购买的股票也登记在自己本来就开好户的券商账户上,是正常的交易,没有对券商服务器实施非法控制。
最后,接口程序与认定为“侵入、非法控制计算机信息系统程序、工具”的外挂程序不同。实践中,一些不法分子设计的游戏外挂不仅方便玩家操作,而且可以实现透视、看别人的血量、自动瞄准等功能,这种情况下就实现了对计算机信息系统的侵入或非法控制。该案的情况似乎有所不同。
夏涛:李丽的行为应当构成提供侵入、非法控制计算机信息系统程序、工具罪,具体理由如下:
第一,α软件中的β子程序具有避开计算机保护机制的功能,属于侵入、非法控制计算机信息系统的程序。α软件中的β子程序能够调用券商交易接口插件动态链接库中的函数,实施打开插件、登录账号、下单、撤单、查询各类交易数据等操作。上述交易接口文件都是加密的函数,目的是保证券商数据交换的安全性,属于计算机信息系统安全保护措施,从未授权给他人。2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)第2条规定:“具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的‘专门用于侵入、非法控制计算机信息系统的程序、工具’:(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的……”李丽开发的β子程序能够调动券商交易接口插件动态链接库中的函数,通过接口程序将对应的交易数据在未经授权的情况下上传到证券公司,避开了券商本身的计算机信息系统安全保护措施,属于《解释》中规定的“避开或者突破计算机信息系统安全保护措施”。
第二,李丽出售α软件的行为属于提供侵入、非法控制计算机信息系统程序、工具的行为。李丽按照每日交易量的约万分之一或者一次性买断的方式向服务使用者收取交易佣金,系统性地向他人提供有关程序、工具的使用服务。
第三,李丽开发和运营α软件的行为未经权利人的授权。权利人没有对外授权过他人使用公司私有的通讯接口文件,李丽的行为属于没有权限的开发和运营相应软件的行为。
问题二:对“未经国家有关主管部门批准非法经营证券业务”的理解
主持人:“未经国家有关主管部门批准非法经营证券业务”是非法经营罪所规制的一种行为类型。该案中,李丽利用具有证券交易虚拟分仓功能的α软件为他人提供证券子账户开立、交易、查询、结算以及配资等服务,是否构成非法经营罪?
喻海松:根据刑法第225条,未经国家有关主管部门批准非法经营证券业务,情节严重的,构成非法经营罪。最高人民法院、最高人民检察院、公安部、中国证券监督管理委员会《关于整治非法证券活动有关问题的通知》第2条第3项对适用非法经营罪规制非法经营证券业务行为作出了规定。需要注意的是,这里所涉及的“证券业务”,不应限于法定的证券业务类型,还应包括其他违法证券业务活动。判断所涉行为是否属于非法经营证券业务,关键在于是否经过证监会批准。如,《关于整治非法证券活动有关问题的通知》规定,对于中介机构非法代理买卖非上市公司股票,涉嫌犯罪的,应当依照刑法第225条之规定,以非法经营罪追究刑事责任。代理买卖非上市公司股票自然不属于合法证券业务的范畴。对于从事证券违法犯罪活动的行为,证监会依法不会批准;该类行为较之法定的证券业务类型,社会危害性更大,更应当纳入刑法的规制范围。如果行为同时构成非法经营罪和其他犯罪的,应当择一重罪处断。
江溯:李丽利用具有证券交易虚拟分仓功能的α软件为他人提供证券子账户开立、交易、查询、结算以及配资等服务,属于证券法规定的经营证券业务,且该行为未经国务院证券监督管理机构批准,可以适用非法经营罪加以评价。
夏涛:非法经营罪侵犯的客体是国家限制买卖物品和经营许可证的市场管理制度。该案中,李丽的行为构成非法经营罪,具体理由如下:
首先,场外配资属于融资融券业务,是受证券法规制的,需要获得证监会的许可。根据2019年最高法发布的《全国法院民商事审判工作会议纪要》,场外配资指的是将资金融出方、资金融入方即用资人和券商营业部三方连接起来,配资公司利用计算机软件系统的二级分仓功能将其自有资金或者以较低成本融入的资金出借给用资人。一般情况下,证券公司的融资融券业务称为场内配资,其他的配资行为称为场外配资,也就是说场外配资是融资融券业务之一。2019年修订的证券法第120条第1款明确规定,证券融资融券系证券公司经国务院证券监督管理机构核准,取得经营证券业务许可证才可以经营的业务。同时该条第4款指出,除证券公司外,任何单位和个人不得从事证券融资融券业务。
其次,李丽为客户提供α软件即分仓软件,根据客户的交易情况收取相应的费用,属于经营行为。李丽使用α软件为客户提供开立子账户、买卖、交易等证券业务,客户通过选择日配、周配或月配等配资类型以及相应的杠杆比例,通过支付宝或者网银转账向李丽支付保证金和预付利息。交易结束后,α软件会自动计算配资客户的本金、预付利息和盈亏情况,扣除配资客户应支付的借款利息后余款由乙公司控制的个人银行账户返还给配资客户。
最后,李丽的经营行为未获证券监管部门的批准。场外配资作为融资融券业务需要证券公司得到证券监管部门的批准,获得《经营证券业务许可证》后才可以进行。根据2019年证券法第120条第4款,李丽的违法经营行为显然不可能获得有关部门的批准。
问题三:关于该案的罪数形态
主持人:该案中,李丽获取破解的券商交易接口程序后,开发提供证券交易服务的α软件并向他人提供有偿使用服务,和后续利用该软件向证券交易配资客户提供配资服务的行为既联系紧密,又相对独立。如何看待上述行为的罪数形态,对李丽是否需要数罪并罚?
喻海松:罪数判断的关键是准确认定行为的个数:在一个行为的情形下,不可能成立数罪,即使触犯数个罪名的,也只需要考虑具体罪名适用的问题;在数个行为的情形下,才需要讨论应以一罪还是数罪论处。该案中,李丽所涉行为实际可以分为两个阶段:第一个阶段是获取破解的券商交易接口程序后,开发提供证券交易服务的α软件并向他人提供有偿使用服务;第二个阶段是后续利用该软件向证券交易配资客户提供配资服务。两个阶段的行为虽有关联,但相互独立,在法律上有独立评价的必要。李丽第一个阶段的行为对象与第二个阶段的行为对象不相同,也就不具备按刑法上法定的一罪或者处断的一罪加以评价的可能,应分别加以评价;如果两个阶段的行为都构成犯罪,则应数罪并罚。
夏涛:牵连犯的行为人需要出于一个犯罪目的而实施数个犯罪行为,同时上述数个行为之间存在必然的牵连关系。在主观上,行为人须具有以实施前一犯罪为手段,以实施后一犯罪为目的的意思;在客观上,前一犯罪是后一犯罪的预备阶段,后一犯罪是前一犯罪的发展结果。该案中李丽的行为并不成立牵连犯。李丽向他人提供α软件和使用该软件开展配资业务的犯罪目的是相对独立的。从公司主体来看,李丽开发和提供α软件是通过甲公司完成的,但其开展配资业务则是通过乙公司;从客户对象来看,李丽提供α软件的对象与提供配资服务的对象并不完全重合;从收益方式来看,提供α软件的获利方式为按照交易流量的一定比例收取软件服务费,而配资服务的获利来源为客户配资后产生的利息差。可见,李丽实施的是两个独立的犯罪行为,应数罪并罚。
来源:人民检察杂志
