销售外挂行为的类型划分及刑法规制

龚文博，梁云宝

（东南大学，江苏 南京 211189）

人类在科技实践中空间社会化的最新成果即网络空间[1]，随着互联网经济的蓬勃发展，网络空间甚至逐渐成为人们的生活本身[2]，但网络空间在为人们的生活提供便利的同时，由于其不可避免的漏洞，滋生出一系列的网络犯罪。随着跨国销售和平精英手游外挂①外挂指未经许可或授权，破坏他人享有著作权的互联网作品的技术保护措施、修改作品数据或使用其他方式运营或挂接运营他人享有著作权的互联网作品，致使他人利益遭受侵害。案件[3]、销售秒杀软件外挂案件[4]47-48[5]、销售微信抢红包外挂案件②参见建湖县人民法院（2017）苏0925 刑初97 号刑事判决书，辽宁省盘锦市大洼县人民法院（2017）辽1104 刑初123 号刑事判决书。、销售滴滴抢单外挂案件的发生③参见北京市第一中级人民法院（2018）京01 刑终233 号刑事裁定书。，不法分子利用网络软件的漏洞制作、销售、使用外挂并形成黑色产业链而牟取巨额非法利益的行为进一步被披露。应如何认定依赖网络空间在各个领域衍生出的外挂实施的不法行为成为司法实践中的难题。由于销售外挂的行为在黑色产业链中起着承上启下的作用，因此，在利用外挂实施不法行为已非个别现象的情况下，重点打击销售行为可以阻断产业链的形成，防止危害后果扩大化。而销售外挂的行为是否应由刑法规制，销售何种类型的外挂需要刑法保护，如何协调刑法内部条文使罪得其罚、罪刑相适应等问题是刑法理论界与实务界亟需解决的难题。

一、销售外挂行为的刑法规制争议

伴随着互联网的发展，不法分子自行制作外挂并销售（以下简称“制售”）或购买他人制作的外挂进行销售的案件频发。对于单纯销售外挂的行为是否需要刑法规制以及如何适用刑法进行规制在司法界存在较大的定性争议。继2009 年《中华人民共和国刑法修正案（七）》新增提供侵入、非法控制计算机信息系统的程序、工具罪后，2020 年《中华人民共和国刑法修正案（十一）》新增第二百一十七条第六款，将“未经著作权人或者与著作权有关的权利人许可，故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施的”行为纳入刑法规制范围。法律的修改彰显了国家打击外挂犯罪行为的决心，但由此产生的不同罪名的界限问题需进一步明晰，否则将会加剧销售外挂行为罪名适用紊乱的现状。

下文笔者将对中国裁判文书网相关案例进行分析，以期明晰司法实践中对于外挂犯罪的罪名界定。截至2021 年5 月31 日，在中国裁判文书网上在全文检索“外挂”，并分别以“提供侵入、非法控制计算机信息系统的程序、工具”“非法经营”“非法获取计算机信息系统数据、非法控制计算机信息系统”“侵犯著作权”为关键词，案件类型选择“刑事案件”，共得到涉及外挂案件刑事裁判书440 篇，其中有效案例262 件，在对案件所涉主要罪名等进行总结后，得出下表。

表1 涉“外挂”案例一览表

仔细分析相关案例后，笔者发现案件的裁判文书中均有对于网络外挂行为本身的鉴定意见，同时承办法院还结合鉴定意见对网络外挂行为进行了司法定性，但由于各承办法院对网络外挂本身的定性存在明显差异，导致其对销售外挂行为的定罪量刑出现分歧。出现上述情况的原因在于，法律尚未对外挂本身予以类型化区分且外挂的法律性质界定不清，从而导致司法实践中针对销售外挂的行为存在以非法经营罪、危害计算机信息系统安全犯罪、侵犯知识产权犯罪三类罪名规制的分歧。在惩治网络外挂犯罪的不同历史阶段，对此三类罪名的适用各有侧重[6]。

案例1：杨某某非法经营案。杨某某等人通过购买他人制作的《地下城与勇士》游戏外挂程序，并通过收取“版权费”及使用费的形式，非法出售该游戏外挂程序，一审、二审法院均认为被告人杨某某等人的行为构成非法经营罪①参见江苏省盐城市中级人民法院（2017）苏09 刑终22 号刑事裁定书。。

在网络外挂行为兴起之初，司法实践中普遍将外挂界定为非法出版物，进而将销售外挂的行为认定为非法经营罪。在上述440 个涉及外挂的案件中，以非法经营罪对销售行为进行定罪处罚的案件有58 件，占比约为13.2%，但这一定性是值得商榷的。因为将外挂界定为非法出版物的依据多为部门规章及相关规定①将外挂认定为非法出版物的依据一般为2003 年新闻出版总署、信息产业部、国家工商行政管理总局、国家版权局、全国“扫黄”“打非”工作小组办公室在《关于开展对“私服”、“外挂”专项治理的通知》中明确指出的“‘外挂’违法行为属于非法互联网出版活动，应依法予以严厉打击”；2016 年3 月10 日起施行的国家新闻出版广电总局与工业和信息化部联合出台的《网络出版服务管理规定》；2020 年6 月12 日，国家版权局、工业和信息化部、公安部、国家互联网信息办公室《关于开展打击网络侵权盗版“剑网2020”专项行动的通知》等。，而司法实践中以此为前提将销售外挂的行为界定为非法经营罪，显然是不妥的。

其一，外挂虽为非法出版物，但销售外挂的行为不能认定为非法经营罪。因为非法经营罪的构成要件包括“违反国家规定”，而结合《中华人民共和国刑法》第九十六条及2011 年最高人民法院发布的《关于准确理解和适用刑法中“国家规定”的有关问题的通知》（以下简称《通知》）可知，部门规章等规范性文件无法作为认定非法经营罪的前置法依据。

其二，外挂并非专营物、专卖物，销售外挂的行为不应构成非法经营罪。鉴于非法经营罪的扩张适用，不少学者主张应限缩适用，陈兴良教授认为，只有违反特许的行为，在刑法没有单独设立罪名的情况下，如果有法律或者司法解释规定，才可以认定为非法经营罪[7]。张明楷教授主张“对于非法经营罪的认定应作出限缩解释”[8]，即使是专营、专卖的物品，只有销售行为侵害了值得刑法保护的且能够还原为个人法益的法益，才能由非法经营罪规制。因为外挂并非特许的专营物、专卖物，不论是根据陈兴良教授主张的“非法经营罪以违反特别许可为前提”，还是根据张明楷教授主张的“通过判断行为人的行为是否侵害了能够还原为个人法益的刑法保护法益”，销售外挂的行为都不应被认定为非法经营罪。

案例2：高某、赵某科非法获取计算机信息系统数据、非法控制计算机信息系统案。高某针对腾讯《地下城与勇士》游戏制作出模拟人工、实现自动打怪升级、自动获取金币的外挂程序后，将其销售给赵某科，赵某科在使用的同时又将该外挂销售给刘某。法院认为高某的制售行为、赵某科和刘某的使用行为均构成非法获取计算机信息系统数据、非法控制计算机信息系统罪②参见河南省许昌市中级人民法院（2020）豫10 刑终318 号刑事裁定书。。

案例3：陈某某、宋某某等人从他人处购买《绝地求生》游戏外挂程序及卡号、密码，并将其销售给他人。法院认为陈某某、宋某某的行为均构成提供侵入、非法控制计算机信息系统的程序、工具罪③参见江苏省淮安市中级人民法院（2021）苏08 刑终50 号刑事判决书。。

随着网络外挂的兴盛及相关黑灰产业链的扩大，司法实务中开始将外挂界定为破坏性程序，并进而将销售外挂行为认定为危害计算机信息系统安全犯罪，但这一类型的案件在内部罪名适用中存在较大争议。

首先，在案例2 中，一审法院认为，“高某制作的外挂具有破坏游戏正常运行和关闭游戏保护程序以及删除游戏正常运行产生的日志文件等功能，具有侵入性和破坏性”④参见湖北省恩施土家族苗族自治州中级人民法院（2018）鄂28 刑终42 号刑事裁定书，河南省信阳市中级人民法院（2019）豫15 刑终688 号刑事裁定书。，故高某制作的外挂属于破坏性程序。一审法院进而依此对行为人的行为做出界定。事实上，针对破坏性程序的认定依据中还存在因增加额外辅助功能、程序绕过游戏本身的安全保护措施等细节上的差异，但目前司法实践对于破坏性程序的认定标准较为模糊。

其次，针对单纯的销售外挂的行为，司法实践中主要通过危害计算机信息系统安全犯罪中提供侵入、非法控制计算机信息系统的程序、工具罪和非法获取计算机信息系统数据、非法控制计算机信息系统罪来进行规制，造成这一现状的原因在于未正确理解《中华人民共和国刑法》第二百八十五条第二款的规定。该款为《中华人民共和国刑法修正案（七）》新增条款，旨在规制侵入国家事务、国防建设、尖端科学技术领域以外的信息系统或获取该系统中存储、处理或者传输中的数据，而单纯销售外挂的行为不存在侵入或控制计算机系统的行为，故不应使用该款来规制销售外挂的行为，销售外挂的行为应只涉及危害计算机信息系统安全犯罪中的提供侵入、非法控制计算机信息系统的程序、工具罪。

最后，针对单纯的销售外挂行为，司法实践中还存在遗漏评价的情形。在案例2 中，赵某科在使用网络外挂的同时亦存在销售的行为，而一审法院并未评价其销售行为，仅依据其使用行为认定为非法获取计算机信息系统数据、非法控制计算机信息系统罪。

案例4：常某侵犯著作权案。常某、杨某未经许可制作的外挂程序通过复制原程序的原始数据，破译并擅自使用网络游戏的通信协议，截取并修改发送到游戏服务器的数据，修改客户端内存中的数据，从而达到增强客户端游戏功能的目的。外挂制作完成后，常某伙同陶某销售外挂给汪某某，汪某某购入该外挂后又将其销售。常某制作后伙同陶某销售外挂的行为被认定为侵犯著作权罪，汪某某购入该外挂后又将其销售的行为被认定为销售侵权复制品罪①参见成都高新技术产业开发区人民法院（2015）高新知刑初字第2 号刑事判决书。。

随着对网络产品知识产权保护的重视，司法机关加大了对销售网络外挂行为的打击力度，实务中出现将网络外挂界定为侵权复制品，进而将销售网络外挂的行为认定为侵犯著作权罪的情况，但这一定罪模式可能使销售侵权复制品罪成为僵尸条款。在案例4 中，承办法院认为常某等人销售的外挂程序存在未经许可复制原程序的原始数据的情况，其销售涉案外挂程序的行为符合侵犯著作权罪所规定的“复制、发行”的要求，因此对其以侵犯著作权罪论处。对于常某等人的下线汪某某，承办法院认为汪某某以营利为目的，明知外挂程序侵犯游戏软件著作权人权利，仍然参与销售并获利，明知是侵权复制品而予以销售，且违法所得数额巨大，其行为构成销售侵权复制品罪。在网络外挂存在侵犯著作权的情形下，承办法院一般将销售外挂认定为侵犯著作权罪中的“复制、发行”的行为，正如在案例4 中，陶某单纯销售网络外挂的行为被认定为侵犯著作权罪，而非销售侵权复制品罪。司法实务中，将案例4 中汪某某这类行为认定为销售侵权复制品罪的判罚极少。

由此可见，销售外挂行为是否需要以刑法规制以及适用何罪进行定罪处罚仍存在较大争议，这一问题的根源在于司法实践中并未根据技术原理对外挂做出类型化区分，从而使外挂的法律性质界定混乱。外挂作为互联网时代的功能性产品，旨在实现其特定目的与功能，只有从技术原理出发、以功能为界定标准对外挂进行类型化区分，才能明晰对销售外挂行为的定性。

二、销售外挂行为的类型化区分

（一）功能标准视角下的外挂之分类

随着互联网的发展，各领域的网络外挂程序层出不穷，已不再单纯局限于最初的网络游戏外挂②我国最早的关于外挂的文件为2003 年新闻出版总署、信息产业部、国家工商行政管理总局、国家版权局、全国“扫黄”“打非”工作小组办公室《关于开展对“私服”、“外挂”专项治理的通知》，此文件旨在打击针对游戏外挂的不法行为。，为了明晰刑法规制销售外挂行为的边界，需从本质上界定外挂的法律性质，并结合功能标准对外挂类型加以区分。司法实务中，承办法院一般将外挂区分为破坏性程序、非法出版物、侵权复制品，但这一分类没有明确的认定标准和区分依据，从而导致不同法院对功能相同的外挂，甚至对同一外挂存在不同的法律定性，并由此将销售外挂行为认定为不同罪名的现象①参见江苏省淮安市中级人民法院（2019）苏08 刑终343 号刑事判决书，江苏省淮安市中级人民法院（2019）苏08 刑终272 号刑事判决书。。

此外，还有另一种外挂的分类——依据外挂是否可以独立于客户端而将外挂区分为依附型外挂与独立型外挂[9]，但这一分类对明晰销售外挂行为的法律定性意义不大。因为独立型外挂的特点决定了其必须大量复制、利用游戏客户端的程序文件，构成了刑法意义上的侵犯著作权的行为[10]，但依附型外挂也有可能构成刑法意义上的犯罪行为。例如，秒杀软件外挂、微信抢红包外挂等多种外挂均无法脱离购物平台或微信平台而独立存在，但销售这些依附型外挂的行为仍被刑法规制。由此可见，该分类模式无法从根本上解决对销售外挂行为司法定性不清的问题。

笔者主张以制作外挂的方式、目的为依据，以功能为标准，根据是否修改游戏数据、是否实质性修改游戏功能等方面，将外挂区分为增强型外挂与辅助型外挂。这样区分的依据在于：一方面，辅助型外挂即“通过模拟鼠标、键盘技术，产生一些常规、连贯、重复的动作”[11]，使在没有人为操作的情形下，计算机软件也可以自动运行，该类外挂通过独立编程即可实现，无须复制原计算机软件的数据，更应被视为一种“加速”利器，秒杀软件外挂多为辅助型外挂。另一方面，增强型外挂即“利用封包技术对游戏服务器产生欺骗性数据包”，此类外挂“有时会直接调用客户端保存在客户单机中的部分功能函数”[12]，不法行为人则通过修改原计算机软件的数值以达到增加原计算机软件不具备功能的目的。该类外挂存在复制、修改原计算机软件数据的行为，微信抢红包外挂等多为增强型外挂。

（二）类型化销售外挂行为的实质解释

1.销售辅助型外挂

在司法实务中，外挂常被认定为破坏性程序，销售外挂的行为也因此被认定为危害计算机信息系统安全犯罪，但从功能标准出发对外挂做出类型化区分后便可明晰，辅助型外挂并不存在获取、修改原计算机信息系统数据的情形，亦不存在危及计算机信息系统安全的状况，故而不可能触及危害计算机信息系统安全犯罪。因此，辅助型外挂没有侵犯原计算机软件著作权，亦没有侵犯计算机软件的数据安全。

首先，辅助型外挂不存在侵犯原计算机软件复制权的情形。在辅助型外挂中，行为人仅需通过API 函数实现模拟鼠标、键盘，无须复制计算机软件的数据，也不存在复制计算机软件的情形，故而辅助型外挂没有侵犯原计算机软件的复制权。

其次，辅助型外挂不存在侵犯原计算机软件发行权的情形。针对“发行”的界定，实务界多依据最高人民法院、最高人民检察院、公安部《关于办理侵犯知识产权刑事案件适用法律若干问题的意见》（以下简称《意见》）认为销售属于发行②2011 年1 月10 日，最高人民法院、最高人民检察院、公安部《关于办理侵犯知识产权刑事案件适用法律若干问题的意见》第十二条规定：“发行”，包括总发行、批发、零售、通过信息网络传播以及出租、展销等活动。，但由于《意见》未对销售对象做出具体限定，因此理论界存在不同的观点。张明楷教授认为《中华人民共和国刑法》第二百一十七条中的“发行”为批量销售或者大规模销售（但不限于第一次销售）作品，故而将《中华人民共和国刑法》第二百一十八条中的“销售”理解为零售[13]824-825。刘艳红教授认为侵犯著作权罪中的发行，是指以出售或赠与等方式向公众转移作品载体所有权的行为[14]。虽然两位学者是从不同维度出发对“发行”进行的界定，但其中存在一定的共性。笔者认为应从法律规范本身出发界定发行的概念，即根据《中华人民共和国著作权法》第十条第（六）项及《计算机软件保护条例》第八条第（五）项的规定，发行应为以出售或者赠与方式向公众提供软件的原件或者复制件的权利。因为辅助型外挂并非原计算机软件本身，亦非其复制件，所以销售辅助型外挂的行为不存在侵犯计算机软件发行权的情形。

再次，辅助型外挂没有侵犯计算机软件修改权。根据《中华人民共和国著作权法》第十条第（三）项及《计算机软件保护条例》第八条第（三）项的规定可知，针对计算机软件的修改是指“对软件进行增补、删节，或者改变指令、语句顺序”的行为，而辅助型软件只需要完成替代人工实现加速或减缓某一软件进程的目的，不需要增加原计算机软件不具备的功能，也无须截取修改计算机软件的数据，不修改通讯数据包，因此并没有侵犯著作权人的修改权。

最后，辅助型外挂没有侵犯计算机信息系统安全。辅助型外挂仅需通过API 函数实现模拟鼠标、键盘的行为，是一种替代人工操作的行为，该模式并不增加、删除、修改或干扰原计算机软件本身的功能，只是一种类似加速或减速的变速器外挂，并不会对原计算机信息系统的正常运行产生影响，故而不会危害计算机信息系统安全。

综上，辅助型外挂不存在侵犯原计算机软件著作权的可能，亦不侵犯计算机信息系统的安全。

2.销售增强型外挂

与辅助型外挂不同，增强型外挂存在复制、修改原计算机软件数据的行为，因此，销售增强型外挂侵犯的是原计算机软件的修改权而非复制、发行权。但是，销售增强型外挂是否构成侵犯知识产权犯罪则需根据具体罪名的构成要件、保护法益进行分析。此外，销售增强型外挂还可能涉及危害计算机信息系统安全犯罪，但侵害的应为计算机软件数据安全，而非计算机信息系统安全。

一方面，增强型外挂仅侵犯计算机软件知识产权中的修改权。首先，增强型外挂不侵犯计算机软件的复制权。在案例4 中，常某等人通过复制、修改原程序的原始数据实现增强客户端游戏功能，因而被认定为侵犯著作权罪。但在司法实务中，因“复制计算机软件”而将销售外挂的行为认定为侵犯著作权罪的情况并不少见①参见河南省商丘市中级人民法院（2018）豫14 刑终89 号刑事裁定书。。事实上，计算机软件数据并不等同于计算机软件本身，这在案例1 及相关法条中已经得到了印证。在案例1中，二审法院认为“外挂虽然会引用计算机软件数据的部分内容，但该部分内容不能构成相对完整的作品，且外挂程序仍需依托计算机软件客户端，通过截获、修改通讯数据并使用模拟的方式控制游戏进程，达到实现更好地游戏效果的功能”②参见江苏省盐城市中级人民法院（2017）苏09 刑终22 号刑事裁定书。，该行为不属于对原作品的复制，因而杨某某等人的行为不构成侵犯著作权罪。这一观点与相关法条对于“复制”概念的界定相似。根据《中华人民共和国著作权法》第十条第（五）项及《计算机软件保护条例》第八条第（四）项的规定，计算机软件著作权人享有的复制权为“将软件制作一份或者多份的权利”。虽然根据《计算机软件保护条例》第二十四条，即使“部分复制著作权人的软件的”亦可能侵犯复制权而构成侵犯著作权罪，但其前提是存在复制软件本身的行为，而在案例1 和案例4 中，杨某某、常某等人的行为仅为复制部分计算机软件数据，而非复制计算机软件本身，无法称之为著作权法意义上的复制。此外，对于复制行为的认定需达到非法复制计算机软件实现硬件产品功能的目标程序或功能性代码，与他人享有著作权的计算机软件“实质相同”，方能以侵犯著作权罪定罪处罚[15]。由此可见，侵犯复制权要求与原作品的呈现方式、功能、目标程序相似甚至相同。而增强型外挂的制作目的、制作方式、运行界面、运行功能均不同于原计算机软件，甚至可以说是与原计算机软件完全不同的一个计算机软件，故增强型外挂并非复制原计算机软件，没有侵犯原作品的复制权。其次，增强型外挂没有侵犯计算机软件的发行权。由于侵犯发行权要求以出售或者赠与方式向公众提供原件或者复制件，而增强型外挂既非原计算机软件，亦非其复制品，故而销售增强型外挂不侵犯发行权。最后，增强型外挂侵犯计算机软件的修改权。在增强型外挂中，行为人需要修改原计算机软件的数据来达到对计算机软件部分甚至全部修改的目的，进而增加原计算机软件不具备的功能，这一修改过程不可避免地会侵犯计算机软件的修改权。

另一方面，增强型外挂并不一定会危害计算机系统的安全，但会侵犯计算机软件数据安全。其一，虽然增强型外挂需避开计算机信息系统安全保护措施，但只要不存在未经授权或超越授权获取计算机信息系统数据的情形，就不会危害计算机信息系统安全。增强型外挂以增加原计算机信息系统不具备的功能为目的，在避开或突破计算机信息系统安全保护措施后获取计算机信息系统的数据，并在此基础上增加、删除、修改数据以进行“二次加工”，这正好符合司法解释认定的“专门用于侵入、非法控制计算机信息系统的程序、工具”①2011 年9 月1 日起施行的最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条第一项。。虽然在销售增强型外挂的案例中，多存在“危害计算机信息系统安全”的类似表述，但这并不意味着增强型外挂必然会危害计算机信息系统安全。如陈某某微信抢红包案中，陈某某制作的避开微信系统安全保护措施，实现原微信系统并不具备的自动抢红包功能的增强型外挂，并未对微信系统的运行产生影响，故承办法院认为该系统为“侵入微信改变其运行方式达到控制微信”的抢红包程序，并进而将其后续销售行为认定为提供侵入、非法控制计算机信息系统的程序、工具罪是有误的②参见建湖县人民法院（2017）苏0925 刑初97 号刑事判决书。。其二，普通法只保护有形的个人在人身和财产上的利益，但是，随着政治、社会和经济的变化，需要承认新的权利[16]。迈入数字社会以来，越来越多的权利客体以数据的形式储存、传输和利用[17]154。为此，不少学者提出计算机软件的数据安全这一新兴法益[18][19]，并提出数据安全三要素，即数据的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）[17]159。2021 年6 月10 日，中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》，其第一条明确规定该法的制定目的为“规范数据处理活动，保障数据安全”，并在第三条对于数据安全首次做出概念界定，这一概念蕴含了数据安全三要素。在销售增强型外挂的案件中，数据安全这一法益体现的更为明显。增强型外挂复制、修改原计算机信息系统数据的行为不仅侵犯了数据本身的保密性，甚至侵犯了数据的完整性，亦属于《中华人民共和国数据安全法》规制的“篡改、非法获取、非法利用”数据的行为，因此，增强型外挂的本质应为侵犯原计算机软件数据安全。

综上，增强型外挂侵犯原计算机信息系统的修改权与数据安全。但是，销售增强型外挂的行为是否构成提供侵入、非法控制计算机信息系统的程序、工具罪与侵犯知识产权犯罪，以及两罪之间究竟是何种关系，下文将具体分析。

三、销售外挂行为的刑法规制

上文以功能为标准对外挂类型进行了合理化区分，这一区分虽然明晰了各类型外挂使用目的的不同，却引发了是否需要动用刑法进行规制的问题。刑事入罪需注重合法性，出罪需要注重合理性，平衡法益保护机能与人权保障机能之间的基本关系[20]99。犯罪的产生源于行为人对于利益的追寻，法益具有区分不同犯罪类型的功能[21]236。由于销售外挂的行为不仅侵犯原软件开发者的经济利益，还可能会危害社会市场秩序等多重法益，故在“打准打实”的形势政策指导下，若想有效打击销售外挂行为，首要的便是正确界定销售外挂行为侵害的法益。行为是否具有处罚的必要性、是否构成犯罪，取决于法益是否受到侵害或存在被侵害的危险。法益在刑法构成要件中的解释作用在于确定某一行为是否侵害了刑法保护的法益、是否达到了应受刑罚处罚的程度[22]。由于销售辅助型外挂不存在侵害刑法保护的法益的情形，故应注重刑法的谦抑性，贯彻落实刑法的人权保障机能，将不属于刑法处罚范围的行为出罪化处理。对犯罪构成要件的解释结论，必须是“符合这种犯罪构成要件的行为确实侵犯了刑法规定所要保护的法益”[21]216，且“应当从处罚的必要性和合理性的立场出发，对刑罚法规或者构成要件进行实质性解释”[23]。故对于销售增强型外挂的情形，应以其侵害的法益为切入点，以契合的构成要件为基本遵循，合理界定销售增强型外挂行为的入罪限度。

（一）销售辅助型外挂行为的出罪路径

法益是指导构成要件实质解释的工具，也是实现限定刑法处罚范围与出罪的工具。如果没有确定一种犯罪的保护法益是什么，就无法在法益概念的指导下予以合理出罪[20]181。当前司法实践多以侵犯著作权罪与提供侵入、非法控制计算机信息系统的程序、工具罪规制销售辅助性外挂的行为，但销售辅助型外挂的行为既不存在侵犯刑法保护的著作权的情形，亦不存在侵犯提供侵入、非法控制计算机信息系统的程序、工具罪保护的法益，故无须交由刑法处罚。

其一，销售辅助性外挂的行为不存在侵犯由侵犯著作权罪保护的著作权。首先，针对销售辅助型外挂的行为，司法实践中常因其侵犯原计算机软件的复制、发行权，而将其认定为侵犯著作权罪。但正如前文所论证的，虽然侵犯著作权罪所保护的法益中涵盖了原计算机软件的复制、发行权，但辅助型外挂不存在复制、发行原计算机软件的情形，故而销售辅助性外挂的行为既不契合侵犯著作权罪的构成要件，更不属于侵犯著作权犯罪保护法益的情形，将其认定为侵犯著作权罪的规范依据阙失。其次，销售辅助型外挂的行为亦不触犯《中华人民共和国刑法修正案（十一）》中侵犯著作权罪新增的条款。《中华人民共和国刑法修正案（十一）》侵犯著作权罪中新增的条款旨在规制“避开或者破坏保护著作权或者与著作权有关的权利的技术措施”的行为，由于该罪具有典型的法定犯特征，故结合《中华人民共和国著作权法》第四十九条及相关规定，王迁教授认为我国同时保护“版权保护措施”和“接触控制措施”的技术措施。其中，“接触控制措施”是指未经许可阅读、欣赏文学艺术作品或运行计算机软件的技术措施，这是一种使原本无法接触到作品的人可以通过避开计算机软件技术措施而接触到作品的行为，但无论是辅助型外挂抑或是增强型外挂的制作者、使用者均可以接触到原计算机软件，外挂的开发与运用仅为了有助于变速进程或新增特殊目的、实现特殊功能，故而不存在扩大原计算机软件受众范围的情形，即不存在避开或破坏“接触控制措施”的情形。故辅助型外挂仅可能规避“版权保护措施”，即避开或破坏防止未经许可以复制、传播、修改等方式利用作品（即阻止版权侵权行为）的技术措施[24]，并因此构成侵犯著作权犯罪。但正如上文所言，辅助型外挂不存在复制、发行以及修改等方式侵犯原计算机软件著作权的情形，无须避开或者毁坏原计算机软件的技术措施，因此，销售辅助型外挂并不符合新增条款的构成要件，不构成侵犯著作权罪。也就是说，不管是《中华人民共和国刑法修正案（十一）》出台前还是出台后，销售辅助型外挂均不存在侵犯著作权罪的情形，均不符合侵犯著作权罪的构成要件，不侵犯该罪保护的法益。

其二，销售辅助性外挂的行为不侵犯由提供侵入、非法控制计算机信息系统的程序、工具罪保护的数据安全。以某销售秒杀软件外挂案为例①参见山西省太原市迎泽区人民法院（2017）晋0106 刑初583 号刑事判决书。本案案情为：被告人任某某、张某共谋由张某开发“黑米”软件用于抢购小米官网手机，进而推广牟利，后二人又陆续开发了“黑米”华为、“黑米”魅族手机抢购软件，并在2015 年开发了专门针对天猫网站的黑米天猫（淘宝）抢购软件，在网上大量销售并非法获利。法院认为被告人任某某、张某违反国家规定，提供专门用于侵入、非法控制计算机信息系统的程序、工具，情节特别严重，行为均侵犯了国家计算机信息系统的安全和管理程序，其行为均已构成提供侵入、非法控制计算机信息系统的程序、工具罪。，虽然“黄牛”抢购软件的开发和使用备受争议，但使用“黄牛”抢购软件“秒杀”火车票、抢购商品仅仅被视为一种作弊行为，制作、销售“黄牛”抢购软件在此案之前并未被定性为一种犯罪行为。有学者主张该案因扰乱了正常的商品销售秩序和互联网管理秩序，破坏了公平竞争的环境且损害了普通消费者的利益，故而应以提供侵入、非法控制计算机信息系统的程序、工具罪论处，且法院最终的确如此定罪[25]，但笔者并不赞同上述入罪理由。如何准确适用提供侵入、非法控制计算机信息系统的程序、工具罪是理论与实践的难点，而解决这一难题的关键在于确定该罪的保护法益[20]182。首先，根据该罪的相关司法解释，对于“专门用于侵入、非法控制计算机信息系统的程序、工具”存在多种认定模式，故针对不同的行为类型存在不同的保护法益②2011 年9 月1 日起施行的最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条“专门用于侵入、非法控制计算机信息系统的程序、工具：（一）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的；（二）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权对计算机信息系统实施控制的功能的。”，具体而言，根据外挂的功能及目的，无论是辅助型外挂抑或增强型外挂，均无法对计算机信息系统实施控制，故销售外挂的行为仅可能因触及“未经授权或超越授权获得计算机信息系统数据”而构成这一罪名，因此，需要明晰这一行为模式下提供侵入、非法控制计算机信息系统的程序、工具罪保护的法益。其次，《中华人民共和国数据安全法》回应学界制定专门立法保障数据安全的呼声[26][27]，明确保障数据安全为该法的立法目的，且将数据安全界定为“通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力”，数据安全已然成为一种新型法益。由于销售外挂行为可能侵害“计算机信息系统数据”，故司法实践中应将提供侵入、非法控制计算机信息系统的程序、工具罪保护的法益认定为数据安全。最后，根据罪刑法定原则，只有在具备构成要件该当性的基础上，才能进行法益侵害的实质判断[28]，销售辅助型外挂的行为因不存在获取原计算机软件数据的行为，故不符合司法解释对于该罪构成要件的要求。同时，销售辅助型外挂没有侵害该罪所保护的数据安全法益，因此并不构成提供侵入、非法控制计算机信息系统的程序、工具罪。

综上，销售辅助型外挂的行为既不符合侵犯著作权罪及提供侵入、非法控制计算机信息系统的程序、工具罪的构成要件，亦不侵害两罪的保护法益，在罪刑法定原则的指引下，销售辅助型外挂的行为不属于刑法的处罚范围。

（二）销售增强型外挂行为的入罪限度

不同于辅助型外挂不存在复制原计算机软件数据的行为，增强型外挂为了实现其特殊目的与功能，涉及复制乃至修改原计算机软件数据的行为，这一过程触及避开或破坏计算机软件的技术措施，同时符合侵犯著作权罪与提供侵入、非法控制计算机信息系统的程序、工具罪的构成要件。对于销售增强型外挂的行为是否侵犯上述两罪保护的法益，以及如何处理侵犯著作权罪与销售侵犯复制品罪的关系，最终应以何罪规制销售行为等问题，仍需进一步分析。

首先，《中华人民共和国刑法修正案（十一）》在侵犯著作权罪中的新增条款旨在规制制作增强型外挂的行为，但销售增强型外挂的行为不构成侵犯著作权罪。如上所述，《中华人民共和国著作权法》及相关条文保护的技术措施可以分为“版权保护措施”和“接触控制措施”两部分，其中“版权保护措施”以保护计算机软件（作品）著作权，防止著作权侵权行为的发生为目的。辅助型外挂的制作目的决定了其无须避开或破坏“接触控制措施”，而增强型外挂为了实现增加原计算机软件不具备功能的目的，不可避免地要修改原计算机软件的数据，并因此进一步侵犯原计算机软件的修改权，这无疑符合新增条款的构成要件，在侵犯该罪保护法益的情形下，构成侵犯著作权罪。不仅如此，由于侵犯著作权罪保护的法益为著作权或者与著作权有关的权利①2020 年《中华人民共和国刑法修正案（十一）》第二十条修订，增设了侵犯与著作权有关的权利亦可构成侵犯著作权罪的规定。，且新增的条款将技术措施的保护范围明确为相同范围，故新增条款的保护法益并非某一具体著作权，而是所有著作权或者与著作权有关的权利，这一规制范围的确定与我国当前刑法适用范围扩张的趋势相契合[29]，是积极刑法观的一种体现[30]。由于增强型外挂存在侵犯修改权的情形，因此其侵犯了《中华人民共和国刑法修正案（十一）》新增条款的保护法益，然而单纯地销售行为并不存在避开或者破坏技术措施的行为，故侵犯著作权罪可以用于规制制作增强型外挂的行为而无法规制销售增强型外挂的行为。

其次，销售增强型外挂的行为应构成销售侵权复制品罪。由于《中华人民共和国刑法》第二百一十七条侵犯著作权罪的第一款规定了发行作品的行为，司法实践中多依此条款将销售外挂行为认定为侵犯著作权罪。如前所述，实践中销售侵权复制品罪的使用率极低，属于僵尸化条款，这也引发了学界对于发行与销售之区别的争论[13]824-825。在销售增强型外挂的行为中，因为行为人不存在发行原计算机软件的行为，故无法因其侵犯发行权而认定为侵犯著作权罪，但制作增强型外挂的行为属于侵犯著作权罪，故而销售增强型外挂的行为属于销售侵犯著作权罪的侵权复制品，当行为人的行为符合以盈利为目的等其他构成要件的情形下，销售增强型外挂的行为即构成销售侵犯复制品罪。在案例4 中，法院将汪某某购入后销售外挂的行为认定为销售侵权复制品罪就属于正确的定罪模式。

最后，销售增强型外挂的行为构成提供侵入、非法控制计算机信息系统的程序、工具罪。一方面，增强型外挂通过避开或突破计算机信息系统安全保护措施，未经授权，以数据交换的方式获取计算机信息系统数据，并对原计算机信息系统的数据加以修改，从而实现其新增原计算机信息系统不具备功能的目的，这符合司法解释对于专门用于提供、非法控制计算机信息系统的程序、工具的界定。另一方面，“提供”既包括出售等有偿提供，也包括不具有牟利目的的免费提供[41]47。将销售行为认定为“提供”的一种是当前学界的共识，故而销售增强型外挂的行为在满足情节严重的情形下，构成提供侵入、非法控制计算机信息系统的程序、工具罪。综上，销售增强型外挂的行为同时构成销售侵权复制品罪与提供侵入、非法控制计算机信息系统程序、工具罪，系想象竞合犯，根据两者法定刑的规定，最终应对其以销售侵权复制品罪定罪处罚。

四、结语

网络空间的飞速发展使不法分子看到了其中蕴含的巨大利益，结合计算机软件特点的外挂产业应运而生并形成完整的黑灰产业链。在对侵害计算机软件著作权人权利的销售外挂行为进行打击的同时，应结合刑法的谦抑性原则，适当划定刑法的处罚范围，对外挂进行类型化区分以合理界定司法边界。由于增强型外挂具有避开、破坏计算机软件技术措施的功能，再加之销售行为在黑灰产业链中起着承上启下的作用，故应重点规制销售增强型外挂的行为。对于销售增强型外挂的行为，应当激活销售侵权复制品罪这一条款，并注意该罪名与侵犯著作权罪以及提供侵入、非法控制计算机信息系统的程序、工具罪的关系，做到罪名的合理适用。