“外挂”,是指将编写的未经运营商或管理者认可、授权的程序通过特定事件触发连接到目标程序,改变目标程序的相关数据以达到某种目的的工具。
非法经营罪——最早的追责罪名
早期对制作并销售外挂、利用外挂进行游戏升级的行为评价集中在对外挂性质进行界定,该阶段的判决中均认为外挂属于非法互联网出版物,进而将制售外挂、单纯销售外挂行为界定为非法出版活动,不论外挂是为何种目的使用。但是,这一解释和认定具有不合理性,非法经营罪有一个大前提,也即违反国家规定,若想以非法经营罪来定性外挂,争议的焦点就在于能否合乎国家规定地将外挂认定为非法出版物。
从上述判决看,大部分判决所引用的《网络出版服务管理规定》《电子出版物出版管理规定》以及《私服、外挂通知》都不属于刑法上的国家规定,因此,按照这些部门规章的规定来论证的非法经营罪也不符合罪刑法定的要求。仅有(2011)宁刑二终字第10号判决书中言明,外挂系违反了《出版管理条例》的规定,但对于外挂是否适用该条例,并未进行说理。
即便非法经营罪的兜底性条款,但适用兜底性条款的行为应当与前三款一致,实际上司法实践中对于其他非法经营行为的限定,大多为关系到国计民生的相关行为,对于一般的外挂软件而言,其行为的法益侵害性是不可能达到严重扰乱市场秩序的标准的,故此,对其定非法经营罪实为不妥。
侵犯著作权类罪名
在随后的判决中,针对外挂行为的评价,从外挂定性评价转移到对外挂运行方式的评价上,在法院的认定逻辑中,认为各种类型的外挂通过对原软件程序进行复制发行,故认定外挂行为涉嫌侵犯著作权类犯罪。但若要以《刑法》第217 条的规定来规制外挂软件,只可适用复制发行行为的规定。司法解释中对复制发行的理解,即复制、发行或者既复制又发行的行为。对于外挂软件是否可以被定性为侵犯著作权罪,首先应当明晰的便是外挂软件自身的性质,判断其是否符合复制、发行的要求。倘若不符合复制的要求,那么就失去了以著作权犯罪来规制的意义。在刑法上,对于复制并无特别规定,但根据《著作权法》,复制即以印刷、复印、拓印、录音、录像、翻录、翻拍等方式将作品制作一份或者多份的权利。实践中,对于复制的判定多以“实质性相似”为标准,但目前尚未有明文规定。
对于外挂软件是否符合实质性相似的标准,应当从外挂的制作原理进行分析,而不是简单地对复制含义做不合理的解释。外挂是对原有代码进行解析后重新形成的软件,虽然有部分相似,但并不符合复制的核心要求。而且就著作权法所保护的权利看,禁止复制是为了防止他人任意再现其作品,而外挂本身并不涉及任何代码的重现,只是为了突破部分技术保护措施,因此不符合著作权保护的法益,因此以此追究刑责,也缺乏理论基础。
涉嫌计算机信息系统类罪
在上述判决中对外挂的评价思路再次发生改变,从对外挂的法律解释转变到了对外挂功能解释上来。从外挂的功能出发认为外挂程序对于源程序有所影响,因此以涉嫌计算机信息系统类犯罪进行评价。
在以破坏计算机信息系统数据罪定性的案例中,对于外挂的解读以形式认定为主,判决中均认为外挂对官方应用程序实施了增加、修改等操作,属于破坏性程序,但在判决书中并未言明上述操作是否造成了计算机信息系统不能正常运转。计算机信息系统不能正常运行,是指服务器宕机或者不能响应指令。外挂的主要目的是希望有更优、更好的游戏体验,外挂的研发、使用人员并不希望因使用外挂而造成服务器的瘫痪。根据最高人民法院指导案例145号张竣杰等非法控制计算机信息系统案,最高法明确了,“未造成系统功能实质性破坏或者不能正常运行的”,不应当认定为破坏计算机信息系统罪。况且,制售外挂行为本身并未影响网络游戏的正常运行,需要有使用人即购买的用户使用才会产生影响,显而易见的是,现行刑法框架下,对于直接侵害人,即购买外挂并使用的人员一般不追究刑事责任,对于最多属帮助犯的工具提供者却追究其刑事责任,法理上存在欠缺。
在以提供侵入、非法控制计算机信息系统程序、工具罪定性的案例中,将制售外挂行为认定为提供侵入、非法控制计算机信息系统程序、工具罪的主要理由在于两点:第一,制售的外挂程序经鉴定有避开安全措施而侵入服务器的行为、或未经授权增加修改软件功能对游戏的正常运转造成了干扰和控制,根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中关于“专门用于侵入、非法控制计算机信息系统的程序、工具”的规定可以看出,适用本罪的计算机信息系统的特征在于能够“避开或者突破计算机信息系统安全保护措施”。从形式看,源程序的安全保护措施有两种,一种是针对源代码所进行的安全保护措施,一种是针对程序运行过程中进行交换的数据包设置的安全保护措施。在具体评价中,应当对外挂的作用原理进行分析。当外挂的制作和运行以避开或者突破源程序的安全保护措施,则可能适用本罪。但若外挂存在修改封包、解包类的,在适用本罪时,则应谨慎。
在数据传输过程中,使用者完成客户端操作后,相关服务请求的数据会被发送至服务器,服务器进行解析执行再返回结果至客户端,由客户端接受返回结果处理显示。这个过程是数据传输交互的过程,服务器程序执行的过程需要借助客户端所传输数据所带指令的内容,但其作为独立的有机体,由既定的程序规则运行,只要传输回来的数据符合服务器的操作和管理程序,就可以完成相应操作。整个过程看似是客户端与服务器之间的交互,但事实上不可忽略的是客户端的载体是移动智能终端,事实上是移动智能终端与服务器之间发生了交互。因此在此过程中,当客户端的行为非被控制行为时,不宜直接认定计算机信息系统被侵入或被控制。
发表评论