王志远 史笑晓 潘颖颖:开发售卖手机配件虚增网约车里程数的行为如何定性

编者按:随着网络犯罪手段日趋多样化,兼具网络犯罪和传统犯罪特征的案件时有发生。为了准确适用法律,推动网络犯罪黑灰产业治理,本刊特遴选一起开发售卖手机外接配件虚增网约车里程数的案件,邀请专家学者和检察官就相关问题进行研讨。限于篇幅,仅推送前三个问题的研讨,敬请关注。

特邀嘉宾

王志远

(中国政法大学刑事司法学院教授、博士生导师)

史笑晓

(浙江省杭州市人民检察院法律政策研究室主任、三级高级检察官)

潘颖颖

(浙江省杭州市上城区人民检察院第一检察部副主任)

基本案情

2017年5月至2021年7月,魏某为牟利,未经手机生产厂商甲公司授权,研发、制造某外接配件,开发相应App,并通过多家在线销售平台和线下售卖渠道销售,共计向6000余人次销售该配件1.1万余个,销售金额362万余元。经鉴定,该配件能够修改甲公司手机自带系统生成的定位信息,且该配件使用的芯片系魏某收购的二手A芯片。魏某利用上述芯片绕过甲公司对手机外接配件芯片需经认证的要求,并使该配件可擅自修改甲公司手机定位信息。但魏某称,自己做这个东西就是玩电子游戏时改定位用的,不愿让别人用来做违法的事情。

李某获悉该配件具备改定位功能并能形成虚拟行驶线路后,便通过在社交平台发布售卖广告等方式进行转卖。李某于2019年1月至2020年4月从魏某处购买40多个上述配件再加价转卖给孔某、吕某(吕某另案处理)等网约车司机,违法所得2万余元。孔某从李某处购得上述配件后,在乙公司网约车平台开展网约车业务时,利用该配件修改手机定位信息,形成比实际行驶路线距离更长的虚拟行驶路线上传给乙公司网约车平台,以虚增平台计费里程方式骗取乘客车费。孔某以上述方式骗取车费300余次,乘客实付车费金额4.7万余元。办案机关根据乙公司网约车平台在生成订单时预估的应收车费,并结合侦查实验得出的实际车费上浮比例(不同时段上浮比例不等,但均未超过7%)后得出上述订单实际应收车费及价外费用合计3.5万余元,从而计算得出孔某诈骗数额为1.2万余元。此外,孔某还将这种“赚钱门路”告诉吕某等人,并在吕某等人要求下,代为购买该配件,帮助安装相应App,介绍使用方法、“技巧”等。吕某等网约车司机遂使用上述手段骗取乘客车费。其中吕某在2019年6月至2020年12月间骗取车费357次,获利1.8万余元。

分歧意见

关于魏某所研发、制造的配件及相应App的定性:

第一种意见认为,该配件及App修改的手机定位信息系手机使用人的个人信息,在经过信息主体授权后可以修改。同时,该配件使用的虽是二手A芯片,但其对甲公司手机自带系统的访问依然遵循了以A芯片为基础的安全保护规则,谈不上是“侵入”。所以,其对于手机定位信息的修改至多可视为一种违规访问,该配件及相应App属中性的程序、工具。

第二种意见认为,甲公司手机定位信息系该手机自带系统中的“数据”。上述配件安装二手A芯片冒充获得认证的设备,利用了信息系统安全措施识别能力局限性,且完全违背A芯片使用规则;其对甲公司手机系统的访问未经技术授权,并利用系统安全漏洞实施了获取数据、实施控制的行为。因而,案涉配件及App系“专门用于侵入、非法控制计算机信息系统的程序、工具”。

关于孔某的诈骗数额:

第一种意见认为,乘客所支付的车费与孔某的诈骗行为之间均有因果关系,应以孔某行骗时结算的订单总金额4.7万余元作为诈骗数额。

第二种意见认为,应以孔某实际收取的车费4.7万余元减去乘客本应支付的车费得出孔某诈骗数额。

研讨问题

问题一:手机定位信息的法律性质如何界定

人民检察:有观点认为,手机定位信息属公民个人信息,信息主体当然有权修改;也有观点认为,每部手机均包含操作系统前端,定位信息应视为该系统中存储、处理或传输的数据。对此您怎么看?该案中,案涉配件的用户是否有权修改自己的手机定位信息?

王志远:手机定位信息既属于民法典与个人信息保护法中规定的个人信息,也属于数据安全法中规定的数据。如果不考虑对他人利益造成损害的情况,案涉配件用户有权修改自己的定位信息。

首先,民法典与个人信息保护法均将可识别性作为个人信息的本质特征。个人信息是指以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,具体包括自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、行踪信息等。根据工业和信息化部制定的《电信和互联网用户个人信息保护规定》第4条,电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户使用服务的时间、地点等信息,属于用户个人信息。国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术 个人信息安全规范》也明确个人信息包括行踪轨迹。手机定位信息反映的是用户手机实时位置,具有动态性,尽管单项手机定位信息不具备标识特定自然人的能力,但手机定位信息不仅通过手机号码与公民个人直接关联,从中可以识别出主体身份,而且能够反映出被定位者一段时期内的行踪轨迹,一旦被非法处理和利用,将对公民生命、健康以及财产安全造成较大威胁。因此,手机定位信息属于个人信息。

其次,根据数据安全法第3条,数据是指任何以电子或者其他方式对信息的记录。手机定位信息依赖于网络通信技术和数字信息技术而存在,存储于手机操作系统前端,因此属于该系统中存储、处理或传输的数据。

再次,手机定位信息的内容是信息,以数据的形式存在。在涉及手机定位信息的案件中,不同情形下侵害的法益不同,应根据具体情形选择相应保护模式。该案中,孔某等人利用魏某制造的配件擅自修改甲公司手机定位信息,虚增里程骗取乘客车费,并未侵害被收集者的信息自决权,并不涉及个人信息“知情—同意”规则的适用。换言之,该案中行为人针对的是存储在操作系统中的数据,侵害的是计算机信息系统安全或数据安全。因此,手机定位信息的个人信息属性并不影响案涉配件用户的行为定性。

史笑晓:从手机定位信息的物理属性看,其乃系统中存储、处理或传输的数据,从手机定位信息的法律属性看,其系公民个人信息。一方面,网络安全法、民法典、个人信息保护法等前置法与2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》形成了界定“公民个人信息”的规范体系,均强调公民个人信息的核心特征在于可识别性,均规定行踪轨迹或行踪信息属于公民个人信息。另一方面,手机定位是指基于位置服务产生的反映移动手机地理位置的信息或者确定终端用户物理空间活动轨迹的信息。从表现形式上看,手机定位信息兼具实时性与动态性,充分反映自然人的“活动性”——“从哪里来到哪里去”“经过什么地方”的时空特征。正因如此,从手机定位信息的生成机制来看,其又应被视为手机操作系统中存储、处理或传输的数据。相比获取个人所在位置,掌握这些蕴藏个人行踪的数据信息更能精准识别到特定自然人。因此,手机定位信息属于刑法语境中的“公民个人信息”。既然如此,信息主体当然有权修改自己的手机定位信息。当然,自由与责任共生,案涉配件用户修改手机定位信息也意味着其可能在具体社交场景中逾越个人信息使用的规范约束而需要在法律框架内自我答责。

潘颖颖:对于手机用户而言,是否有权修改自己的手机定位信息取决于两个层面:一是手机定位信息是否属于公民个人信息;二是在手机定位信息属于公民个人信息的情况下,用户是否必然有权修改。

从第一个层面看,一种情况是,该手机定位信息仅被手机用户本人使用,此种情况下手机定位信息当然属于公民个人信息;另一种情况是,基于约定或业务性质要求,用户手机定位信息必然要被某个或者多个信息系统调用、收集,并作为向他人收费的依据,此种情况下,用户手机定位信息就并非单纯的公民个人信息,而成为一定范围内的公共信息。如,网约车司机与网约车平台签订合作协议时,就要约定其手机定位信息被网约车平台信息系统调用、采集,并作为订单行驶里程的依据以结算车费。如此,网约车司机的手机定位信息已经开放给网约车平台,同时也开放给目标乘客。所以,网约车司机的手机定位信息在其开展网约车业务时不能视为公民个人信息。

从第二个层面看,信息主体是否有权修改还要看其采用的修改手段是不是被法律许可。若其修改手段为有关信息系统所许可且并不违法,则可以修改。但若信息主体采用的是违法手段,比如侵入、非法控制计算机信息系统的手段,则系无权修改。对于操作系统为一个封闭的信息系统的手机而言,每部手机均包含该系统前端,定位信息则是其中的数据,不被允许修改;正是基于该系统的封闭性,其他App(含网约车软件、电子游戏等)在调取定位信息数据时会默认其真实可信。该案所涉配件的用户是网约车司机,其开展网约车业务时手机定位信息不单是公民个人信息,无权擅自修改;同时这些网约车司机非常清楚通过正常、合法手段无法修改原始的手机定位数据,必须凭借外接设备和相应程序才能实现修改目的。可见,其采用的修改手段是无权且不合法的。

问题二:对可修改手机定位信息的外接配件如何定性

人民检察:如何理解刑法中的“专门用于侵入、非法控制计算机信息系统的程序、工具”?此处的“程序”与刑法第286条第3款中的“计算机病毒等破坏性程序”如何区分?该案中,对魏某所研发、制造、销售的配件及相应App如何定性?

王志远:刑法第285条第3款中专门用于侵入、非法控制计算机信息系统的程序、工具,要求行为人所提供的程序、工具只能用于实施侵入、非法控制计算机信息系统的用途,根据2011年最高法、最高检《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》),这里的“程序、工具”原则上应当是指在功能设计上只能用来非法获取计算机系统数据以及控制计算机信息系统,用途上往往具有单一性,并不包括既可以用于非法用途也可以用于合法用途的程序、工具。但需要注意的是,如果某种功能上具有合法用途的程序、工具被专门用于非法用途,可以扩大解释为此处的程序、工具。而刑法第286条第3款中计算机病毒等破坏性程序,则是指能够对计算机信息系统功能进行删除、修改、增加、干扰,并造成计算机信息系统不能正常运行的程序。上述两组范畴之间并非决然对立,因为对计算机信息系统功能进行删除、修改、增加、干扰的程序,也可专门用于非法获取计算机系统数据或控制计算机信息系统。区分二者的关键在于计算机病毒等破坏性程序的本质特征应是对计算机信息系统功能造成了实质性破坏,进而使计算机信息系统不能正常运行。而专门用于侵入、非法控制计算机信息系统的程序、工具一般并不会直接影响计算机信息系统的正常运行,多表现为未经授权或者超越授权控制计算机信息系统。

从现有信息来看,该案中魏某所研发、制造、销售的配件及相应App不宜认定为专门用于侵入、非法控制计算机信息系统的程序、工具。尽管甲公司针对手机自带系统的访问权限设置了证书验证等限制,魏某等人利用从他人处购买来的二手芯片避开或突破证书验证程序,以进一步实现对系统内位置数据的更改和控制,侵犯了甲公司对手机自带系统的控制权,但魏某所研发、制造的配件及相应App,并非只能用于实施诈骗等违法犯罪活动,也能用于修改游戏定位等合法(至少是法律放任的)用途,且魏某主观上并不明知该配件及相应的App会被网约车司机专用于虚增里程实施诈骗,因此对魏某的行为不宜评价为提供侵入、非法控制计算机信息系统程序、工具罪。

史笑晓:所谓专门用于非法侵入计算机信息系统的程序、工具,主要是指专门用于获取他人登录网络应用服务、计算机系统的号、密码等认证信息以及智能卡等认证工具的计算机程序、工具;专门用于非法控制计算机信息系统的程序、工具,主要是指可用于绕过计算机信息系统或者相关设备的防护措施,进而实施非法入侵或者获取目标系统中数据信息的计算机程序。综合《解释》与有关解读,专门用于侵入、非法控制计算机信息系统的程序、工具是指能够非法获取认证信息,进而侵入他人计算机信息系统的程序、工具以及能够规避防护措施进而控制目标系统的程序、工具。在解释论上,单纯对专门用于侵入、非法控制计算机信息系统的程序、工具与计算机病毒等破坏性程序进行文义解释难以规范诠释二者的实质差异。从体系解释的立场出发,二者的主要区别在于程序开发设计者的主观目的与程序、工具的客观功能(用途)不同。对前者而言,程序设计者旨在实现获取计算机信息系统数据、控制计算机信息系统的目的,因此,其开发的程序、工具本身不仅具有避开或突破计算机信息系统安全保护措施的功能,而且在设计上能够实现在未经授权或超越授权的状态下获取数据和控制计算机信息系统。对后者而言,程序设计者意在达成干扰、影响计算机系统正常运行的目的。因此,后者客观上能够破坏计算机系统数据、功能或者应用程序(如删除、修改、增加计算机信息系统中存储、处理或者传输的数据),从而达到程序设计者所追求的“使计算机系统不能运行或者不能按原来设计的要求运行”的目的性效果。

该案中,魏某研发、制造销售的配件及相应App属于刑法第285条第3款规定的专门用于侵入、非法控制计算机信息系统的程序、工具。或有观点认为,案涉配件可擅自修改甲公司手机定位信息,因而应将其解释为刑法第286条第3款中的“破坏性程序”。诚然,案涉配件及App符合“破坏性程序”的形式规定,但是根据刑法第286条第3款,该条款中的“破坏性程序”客观上须产生“影响计算机系统正常运行”“后果严重”的效果。显然,案涉配件的“破坏”功能并不满足“破坏性程序”前述要求。相反,该配件的核心功能表征为规避安全防护措施的侵入、非法控制,而能够冒充获得认证的设备,并可擅自修改手机定位信息,正是侵入、非法控制的具体体现,因此,将该配件解释为“专门用于侵入、非法控制计算机信息系统的程序、工具”更为妥当。

潘颖颖:一方面,从《解释》第2条中的第(1)(2)项来看,首先,刑法第285条第3款中专门用于侵入、非法控制计算机信息系统的程序、工具本身具有获取计算机信息系统数据或控制计算机信息系统的功能;其次,该程序、工具本身具有避开或者突破计算机信息系统安全保护措施的功能;再次,该程序、工具获取数据和控制功能,在设计上即能在未经授权或者超越授权的状态下得以实现。这三个特征是判定该类程序、工具,并将其与中性的程序、工具加以区分的重要依据。

另一方面,根据《解释》第5条,刑法第286条第3款规定的“计算机病毒等破坏性程序”包括计算机病毒,逻辑炸弹,其他专门设计用于破坏计算机系统数据、功能或者应用程序的程序。对比上述两组概念,后者的核心特征是其对计算机系统具有破坏性功能,而前者具有侵入或非法控制计算机信息系统的功能,但未必具备破坏性功能,即便有破坏性也不是其核心功能。此外,前者并不关注其技术运行逻辑是否违法,而对后者而言,技术运行逻辑的违法性是其必要条件。该案中,魏某研发、制造、销售的配件及App利用二手芯片绕过A公司手机信息系统的安全防护设置,未经授权获取了A公司手机信息系统内的定位数据并加以修改,即控制了该信息系统中与手机定位有关程序的运行,应视为专门用于侵入、非法控制计算机信息系统的程序、工具。

问题三:关于财产犯罪犯罪数额的认定

人民检察:关于财产犯罪的犯罪数额,理论上存在“整体财产说”“个别财产说”等观点。该案中,孔某的涉案数额应如何认定?

王志远:关于如何认定诈骗罪中的财产损失,理论上存在不同观点。整体财产说认为,诈骗犯罪是侵害被害人财产整体状态的犯罪,诈骗罪保护的对象不是个别的财物或财产利益,而是整体财产利益,因此即使行为人取得了一定的财物或者财产性利益,但相对人并没有因此受到经济上的损害时,行为人也不成立该罪。形式的个别财产说认为,诈骗罪保护的对象是个别的财物或财产性利益,财物、财产性利益的丧失本身就是财产损失,只要是相对人基于欺骗行为而丧失了财物或者财产性利益的,就存在财产损失,行为人是否提供了反对给付并不重要。实质的个别财产说认为,单纯的交付财产并不等同于财产损失,还需要结合被害人财产处分目的是否实现来作进一步的实质判断。当前,争议主要集中于整体财产说和实质的个别财产说之间。不同的学说立场会导致对该案中孔某诈骗数额的计算产生不同结论。立足整体财产说,该案应以孔某实际收取的车费4.7万余元减去乘客本应支付的车费得出孔某诈骗数额。

首先,尽管刑法并未将财产损失明确规定为诈骗罪的成立要件,但理论和实践中多认为财产损失是诈骗罪不成文的构成要件要素,整体财产说更符合我国对诈骗罪基本构造的一般理解。

其次,实质的个别财产说仍是在个别财产说的基本框架下展开的实质判断,无法更好地界分民事欺诈与诈骗罪,难以真正限缩诈骗罪适用范围。

再次,整体财产说符合相关司法解释以及规范性文件对诈骗罪犯罪数额的计算规则。如最高法《关于审理非法集资刑事案件具体应用法律若干问题的解释》第8条第3款规定,集资诈骗的数额以行为人实际骗取的数额计算,在案发前已归还的数额应予扣除。而该案属于典型的交易型诈骗犯罪,孔某提供的对价处于被害人交易目的范围内,对其具有一定的可利用性,宜考虑扣除。

史笑晓:在财产犯罪场合,关于被害人是否遭受财产损失,刑法理论上存在争议。以诈骗罪为例:

第一,整体的财产损失说认为,诈骗罪是针对被害人“净财富”所实施的犯罪,其中净财富是指法律上的利益减去债务以后的余额。原则上如果被害人净财富没有受损就认为没有财产损害。

第二,形式的个别财产损失说认为,只要存在个别的财产丧失就认定为财产损失。即被害人因为欺骗行为而陷入错误认识,进而基于错误认识处分财产,即使被告人提供的给付与被害人交付的财物价值相当甚至超过后者的价值,也应认为被害人存在财产损害。如果将这种观点彻底化,那么诈骗罪保护的就不是财产,而成了纯粹的财产处分自由。

第三,实质的个别财产损失说认为,单纯的交付财产并不等于财产损失,财产法益在市场经济中是作为交换手段、达成目的手段而成为保护对象的。如果财产的交付或者处分没有达到交易目的,则存在财产损害。本人赞成整体的财产损失说与实质的个别财产损失说,认为基于欺骗行为而交付财物,如果因此而达到了交易目的,财产因脱离交付者之手而发挥效用,就不应将该财产的丧失评价为财产损害。因此,乘客本应支付的车费应从孔某实际收取的4.7万余元中扣除。

潘颖颖:诈骗类犯罪的数额认定应当体现被害人所受的财产损失。针对该案,本人支持整体损失说,即以孔某实际收取的车费4.7万余元减去乘客本应支付的车费得出其诈骗数额。

其一,这符合犯罪成本原理。犯罪成本是指行为人为实施犯罪行为而产生或应该产生的直接用于实施犯罪的开支。犯罪成本在不同的侵犯财产犯罪中的作用不尽相同,是否可以从犯罪数额中扣除也因罪而异。以该案为例,孔某付出的犯罪成本即其为乘客履行的运送服务所对应的真实车费,客观上不属于被害人损失,且该犯罪成本系一次性消耗支出,可在犯罪数额中扣除。

其二,这符合相关司法解释的精神。参照1996年最高法《关于审理诈骗案件具体应用法律的若干问题的解释》(已失效),2001年最高法《全国法院审理金融犯罪案件工作座谈会纪要》,2022年施行的最高法《关于审理非法集资刑事案件具体应用法律若干问题的解释》,对于合同诈骗、金融诈骗犯罪而言,犯罪数额一般须以行为人实际骗取的数额认定,行为人支付的对价减少了被害人损失的一般应予扣除(为实施集资诈骗活动而支付的利息应当计入诈骗数额),但没有减少被害人损失的广告费、中介费、手续费等犯罪成本则不予扣除。该案中,孔某完成了将乘客从出发地送达目的地的服务,其实际行程产生的车费对于被害人而言为其理应支付,不属于被害人损失,可从犯罪数额中扣除。

其三,这符合认定犯罪时的主客观一致原则。该案中,主观上孔某明知虚增里程部分的车费才是对方实际损失的数额,也即自己实际获利的数额,其非法占有目的仅指向虚增里程产生的差价。客观上,孔某真正取得的利益以及乘客所遭受的损失也仅系虚增里程产生的差价部分。

(全文共五个问题,现摘发前三个问题,全文见《人民检察》2024年第8期)