刘笛:插件、外挂是危害系统安全还是侵犯著作权?

2020年12月26日，中华人民共和国第十三届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国刑法修正案（十一）》将《中华人民共和国刑法》第二百八十六条修改为：

以营利为目的，有下列侵犯著作权或者与著作权有关的权利的情形之一，违法所得数额较大或者有其他严重情节的，处三年以下有期徒刑，并处或者单处罚金；违法所得数额巨大或者有其他特别严重情节的，处三年以上十年以下有期徒刑，并处罚金：

（一）未经著作权人许可，复制发行、通过信息网络向公众传播其文字作品、音乐、美术、视听作品、计算机软件及法律、行政法规规定的其他作品的；

（二）出版他人享有专有出版权的图书的；

（三）未经录音录像制作者许可，复制发行、通过信息网络向公众传播其制作的录音录像的；

（四）未经表演者许可，复制发行录有其表演的录音录像制品，或者通过信息网络向公众传播其表演的；

（五）制作、出售假冒他人署名的美术作品的；

（六）未经著作权人或者与著作权有关的权利人许可，故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施的。

也就是在原有的四项中加入通过网络侵犯著作权的情形并增加第（四）项和第（六）项。其中第（六）项是与前面五项完全不同的一种新的类型化行为，将侵犯著作权罪的打击范围进一步扩大。这是彼时为了应对严重的网络影视作品和软件作品侵权做出的积极举措。

这与侵犯商业秘密罪中特别添加“电子入侵”情形一样，是《中华人民共和国刑法修正案（十一）》将知识产权与网络安全相联系的举措。

此两项修正将侵犯著作权罪、侵犯商业秘密罪与非法获取计算机信息系统数据罪，破坏和计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪联系在了一起，或者说将侵犯知识产权的犯罪和危害计算机信息系统安全的犯罪联系在了一起。

相应地，带来了司法实践的进一步混乱——侵犯知识产权和危害计算机信息系统安全的犯罪对于司法人员本就具有一定的挑战。我们从法院知识产权案件、互联网案件的专门管辖，检察院的各部门分工以及公安机关新设立“食药环知大队”等组织机构建设探索中就能窥见这一点。

而《中华人民共和国刑法修正案（十一）》第二十项、第二十二项将两个有门槛的领域联系起来，带来门槛的叠加，造成司法实践的更多疑难、错乱和不一致，是自然的。

为了区分侵犯著作权罪第（六）项的行为与危害计算机信息系统安全的犯罪，对案件作出正确、合理的判断，我们需要从犯罪的对象入手，进行仔细地甄别。

由此，我们就得到一个分为两个方面的区分侵犯著作权罪和危害计算机信息系统安全的犯罪的方法：

第一方面，审查案件中权利对象的载体。

知识产权的载体是“作品”而计算机信息系统安全的载体是计算机信息系统。

《中华人民共和国著作权法》第三条　本法所称的作品，是指文学、艺术和科学领域内具有独创性并能以一定形式表现的智力成果，包括：（一）文字作品；（二）口述作品；（三）音乐、戏剧、曲艺、舞蹈、杂技艺术作品；（四）美术、建筑作品；（五）摄影作品；（六）视听作品；（七）工程设计图、产品设计图、地图、示意图等图形作品和模型作品；（八）计算机软件；（九）符合作品特征的其他智力成果。

两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条  本解释所称“计算机信息系统”和“计算机系统”，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。

这里我们需要关注的是这两种载体是没有交叉关系的。“作品”只与“数据”可能有交叉关系——当“作品”以电子形式被记录时，这些数据就是一种“对符合作品特征的智力成果的信息的记录”。

而具有自动处理这些“信息记录”功能的“软件和硬件的结合”，才是计算机信息系统。虽然我们并不排除一种经过独创设计的计算机信息系统整体也认定为一种“作品”的可能性，但那将是一个单纯的知识产权问题，本文不讨论。

我们用这个方法来查看一下《人民法院案例库》中一个涉及“木马”程序的案例，案件中行为人一审被判破坏计算机信息系统罪，二审改判非法控制计算机信息系统罪：

2017年，被告人何某骏、蒋某阳等人预谋通过制作恶意木马程序的方式牟利，被告人唐某应何某骏等人要求编写完成了相关木马程序。该木马程序的功能在于通过一定渠道感染用户电脑，使被感染电脑中的腾讯QQ软件自动加“坏人”为好友、自动邀请QQ用户及其好友进入各种QQ群，以达到为“客户”打广告等目的。后何某骏负责找“渠道”投放该木马程序，以被感染的大量腾讯QQ用户为基础，为“客户”投放网络赌博等广告。被告人魏某、鲍某鑫受何某骏安排寻找“客户”并收取“广告费”，在按约定比例扣除自己应得部分后，将剩余钱款交给何某骏，再由何某骏向蒋某阳等人分配收益。何某骏还找到被告人梁某胜，将该木马程序提供给梁某胜并由后者通过网吧投放等渠道感染用户电脑，并按感染腾讯QQ用户的数量支付报酬。

这里有两个可能的“犯罪对象”：一是“用户电脑”，二是“用户QQ客户端”。用户电脑符合司法解释的规定，是计算机信息系统，所以如果非法控制用户电脑，可能构成非法控制计算机信息系统罪。事实上，最普通的使用“木马”程序控制“肉鸡”的行为，就是最典型的非法控制计算机信息系统犯罪。本案中，利用木马程序，行为人可以令用户电脑运行QQ客户端的加好友、加群功能，确实对用户电脑有“控制”。但是，本案行为人是与网吧运营人员勾结，安装木马程序。而网吧运营人员在自己运营管理的电脑上安装木马程序却是“合法”的，不符合“违反国家规定，侵入或使用其他技术手段……”的前提，不构成危害计算机信息系统安全的犯罪。

那么，QQ客户端的法律情况如何呢？首先，它是一个计算机软件。这里注意两重意义：第一，它并不是“计算机信息系统”，所以采用技术手段控制该客户端不会构成非法控制计算机信息系统罪；第二，它是计算机软件，其作者——也就是腾讯公司，而非用户——享有著作权和相关权益。这就包括《计算机软件保护条例》第八条下规定的全部软件著作权：（一）发表权；（二）署名权；（三）修改权，即对软件进行增补、删节，或者改变指令、语句顺序的权利；（四）复制权，即将软件制作一份或者多份的权利；（五）发行权，即以出售或者赠与方式向公众提供软件的原件或者复制件的权利；（六）出租权，即有偿许可他人临时使用软件的权利，但是软件不是出租的主要标的的除外；（七）信息网络传播权，即以有线或者无线方式向公众提供软件，使公众可以在其个人选定的时间和地点获得软件的权利；（八）翻译权；（九）应当由软件著作权人享有的其他权利以及获得报酬权。

因此，需要考察行为人向QQ客户端发送的指令是否符合客户端本身的规则。如果发送的指令符合技术规则，也就是说技术上是合法的，那么QQ客户端就在按照其作者原本设计的程序运行，著作权未受侵犯。这也就是成都中院二审改判时所提到的：“各行为人投放该木马程序意在感染QQ用户使其加入指定群组并接收‘客户’发送的指定广告进而牟利，虽知晓该行为对QQ程序运行存在一定影响，但其目的仍为控制他人QQ加入指定群组，而非意图破坏QQ程序本身。同时该木马程序未对QQ程序增改功能，而仅利用其本身具有的添加好友和群的功能，不妨碍其主要功能正常运行，未达到严重后果的情形。”成都中院从主客观两方面否认构成破坏计算机信息系统罪是画蛇添足，因为QQ程序不满足司法解释第十一条对计算机信息系统的定义。但是，这个事实认定却是否认构成侵犯著作权罪的理由。

至于QQ账户，根据现行的用户协议，QQ账号虽系用户实名注册，却归腾讯公司所有，用户仅有使用权。行为人和网吧运营人员无疑妨害了用户对QQ账户的使用，但是这种使用权并不受刑法保护。而且网吧给客户提供的互联网接入服务有明显缺陷，显属瑕疵交付，应当承担民事责任。

那么本案是否只能判决无罪呢？不一定。本案中行为人的广告是网络赌博等违法犯罪活动的广告，可能致使行为人构成帮助信息网络犯罪活动罪（明知他人利用信息网络实施犯罪，为其犯罪提供广告推广情节严重）或者非法利用信息网络罪（利用信息网络为实施诈骗等违法犯罪活动发布信息，情节严重）。从辩护实务的角度讲，在一审判决有罪的情况下，要求二审判决无罪是具有极高难度的。不能排除这种现实困难也是成都中院改判轻罪却不判决无罪的动因之一。因此，选择明显更轻的帮助信息网络犯罪活动罪或非法利用信息网络罪进行轻罪辩护也许是更具现实策略价值的。

第二方面，审查被突破的保护措施究竟是保护著作权的措施还是保护计算机信息系统安全的措施。

这一问题会普遍出现在各种“抢号/抢单”外挂案件中。多种抢号/抢单外挂的基本原理是自动地、循环地向预约平台/销售平台发送购买请求，以此来获取交易机会。为此，就需要采用逆向工程、反编译等技术方式，获取源代码中的数据包格式、参数配置及加密算法等核心技术信息，在非客户端官方环境下构造请求数据包。

除去全开源的平台（这是很少见的），这些信息都被加密保护。所以，为了接触到这些信息，外挂制作者经常需要破解加密手段拆解已经封包的数据包或是越过鉴权措施访问登载这些信息的页面。对于接收合法数据包后解包的行为，依据司法解释第十一条的规定，由于数据包显然并非计算机信息系统，不会涉及危害计算机系统安全的犯罪。而越过鉴权措施访问平台服务器符合“侵入计算机信息系统”的前提，所以要进一步观察是否非法获取了服务器中存储、传输、处理的数据。

这里涉及数据和信息的区分问题。行为人访问服务器，为的是了解发送请求的数据包的构建规则和服务器响应规则——这些信息虽然承载在数据上，但行为人并不需要这些数据的副本。按照ISO/IEC 27037:2012《信息技术－安全技术－电子数据识别、收集、获取和保存指南》中对“获取”的概念界定，所谓“获取（acquisition）”是指“在特定的数据集合中进行数据副本创建的过程（process of creating a copy of data within a defined set）”；同时对于该条款的注释亦明确“获取的内容是对于拟获取的数据信息的备份（The product of an acquisition is a potential digital evidence copy）”。所以，无论从主观目的还是客观行为上来说，这种越权访问侵犯的是信息的秘密性而非数据的独占，因此不构成非法获取计算机信息系统数据罪。

那么应该如何评价外挂制作者解密或越权获知技术信息的行为呢？在《中华人民共和国著作权法》明确著作权人有权采取著作权保护措施，以及《中华人民共和国刑法修正案（十一）》明确将绕过或突破著作权保护措施单独列为侵犯著作权罪的行为的当下，将外挂制作者的行为以侵犯著作权罪打击似有合理性。

这就涉及本文最后想要探讨的话题。《中华人民共和国刑法修正案（十一）》第二十条规定的保护著作权的技术措施是否应当包含全部的著作权利，还是应当有所限缩？

如果认为应当包含全部著作权利，尤其是包括修改权和保护作品完整权，那么市面上几乎所有的游戏外挂，包括仅作用于客户端的各种修改用户界面和显示模型的外挂，以及几乎所有的对视频、（电子）绘画、摄影的修改，都涉嫌侵犯著作权罪。只能通过著作权人明示或暗示的授权，或者通过《刑法》中“情节显著轻微”的总则规范来非罪化，这是相当不合理的。

反观修正案（十一）第二十条的前五项规定，集中于保护复制权、发行权和网络传播权，而第（六）项的保护措施如果对应全部著作权利，则其范围的扩大缺乏理由。毕竟前五项行为是直接侵犯著作权并指向非法获利的行为，而第（六）项只是侵犯著作权的“必要准备”。所以，将第（六）项中的著作权保护措施限缩于保护复制权、发行权和网络传播权的保护措施，应该是更为合理的。

如果认可这样的观点，那么无论抢号/抢单外挂，还是修改用户界面的显示外挂，突破或绕过的都是修改权和保护作品完整权的保护措施，不会因为修正案（十一）第二十条的规定而涉嫌侵犯著作权罪。后者将处在完全无罪的境地，而前者的刑事风险则集中于侵犯商业秘密。这将与犯罪的本质是社会危害性的总则规定保持一致。

常年从事刑事辩护与非诉讼刑事法律服务，具备丰富的理工科基本知识和广泛的行业了解（生物/化学/化工、计算机/通信/互联网）。

曾为华为、京东等知名ICT企业，上海焦化、惠生生物等大型化工、医药企业服务多年，积累了大量专业服务履历。

执教华东政法大学庭审技能与实务课程。参与上海、天津、浙江、江苏、广东、广西、山东等多地公安系统、检察系统、法院系统、司法局或律师协会的培训和人才培养工作。

参与办理一系列新型、疑难、重大、复杂案件，部分取得一定辩护效果，包括数十起撤案、不起诉案件。有助于维护当事人合法权益及促进案件公正处理。