利用抓包软件篡改计算机交易数据的行为定性分析

王晓光　李洋　谢添

一、基本案情

2020年12月至2021年1月期间，温某某利用“夜神”手机模拟器和“fiddler4”抓包软件等计算机特殊工具，抓取某网络科技有限公司开发的新能源汽车充电软件“千牛”APP发送的充电指令相关参数数据信息，并在闲鱼交易平台上发布、出售低价充电信息。温某某通过上述计算机抓包技术获取相关数据信息后，故意篡改“千牛”APP后台用户ID、充电桩编号以及充电金额的参数，利用其他含有充值金额的“千牛”APP沉睡账户给相应的充电桩发送指令，帮助全国各地有充电需求的车主（客户）充值，每次充值金额约50元，每单获利20至25元。

温某某利用查找到的300余个含有充值金的“千牛”APP沉睡账户给“客户”低价远程充电，非法获利金额达2万多元;另查明，温某某还利用同样方式盗取另外一家提供充电服务的公司的平台账户给“客户”充电，非法获利近2万元。

二、分歧意见

本案发生在网络空间，犯罪人员通过新型网络技术实现了窃取他人虚拟财产的目的，这也给本案增加了审查的难度，容易与各类计算机信息系统犯罪相混淆，办案组成员也产生了案件定性上的分歧。

第一种观点认为，行为构成非法获取计算机信息系统数据罪。从温某某的行为手段看，其利用“千牛”APP系统漏洞，使用抓包工具和夜神模拟器应用系统，在未经授权的情况下，突破计算机信息系统安全保护措施，抓取后台数据包，获取了存储在该系统内的用户ID、充电桩编号等数据，进而获得了对上述数据进行删除、增加、修改的权限。温某某获得数据操作权限的行为具有明显的违法性，是典型的侵入计算机信息系统的行为。从危害的对象看，温某某入侵的是国家事务、国防建设、尖端科学技术领域以外的计算机信息系统，其非法获取、使用数据的行为，威胁到了计算机信息系统的安全。从行为后果看，温某某侵入“千牛”APP后台并非法获取数据后通过对数据的直接利用，不仅达到了牟利的目的，也给被害单位造成了上万元的经济损失，已经达到情节严重的程度。因此，温某某的行为应当评价为非法获取计算机信息系统数据罪。

第二种观点认为，行为构成破坏计算机信息系统罪。从温某某的行为表现看，温某某采取非法技术手段不仅抓取了“千牛”APP内存储的相关数据，更有篡改数据、利用修改后的数据给应用程序下达指令等行为，非法获取计算机信息系统数据罪不足以完全评价温某某的行为。温某某通过篡改数据，使用沉睡账户给充电桩发送充值指令，是对原有正常充值指令的修改，导致未进行充电的新能源车主账户产生了充值消费，使得该APP原有的正常消费功能无法正确实现，属于典型的对计算机信息系统功能进行修改、干扰，造成计算机信息系统不能正常运行的情形，符合破坏计算机信息系统罪的客观表现。从危害的对象来看，数据、应用程序均属于破坏计算机信息系统行为的对象，二者是择一的关系。温某某虽然主要通过删除、修改数据实施犯罪，没有直接对应用程序进行破坏，但侵犯的对象也是破坏计算机信息系统罪保护的客体。从行为的后果看，温某某破坏计算机信息系统的行为造成了该APP运行紊乱，大量沉睡账户内的充值金额被他人用于充电消费，最终由被害单位买单，损失上万元，符合破坏计算机信息系统罪中“后果严重”的结果要件。因此，温某某的行为应当评价为破坏计算机信息系统罪。

第三種观点认为，行为构成盗窃罪。温某某通过入侵“千牛”APP后台获取数据的根本目的在于盗窃平台账户内的充值金，从而牟利。因此，无论将温某某的行为评价为非法获取计算机信息系统数据罪还是评价为破坏计算机信息系统罪，都忽略了温某某利用数据窃取平台账户内充值金的行为。从温某某实施犯罪的全过程来看，侵入计算机信息系统、获取和篡改数据均属于温某某实施犯罪的准备活动，温某某并非通过非法获取计算机信息系统数据或破坏计算机信息系统直接给被害单位造成损失，而是将平台沉睡账户内的已有充值金窃走并提供给其他人员使用，从而导致被害单位蒙受损失。温某某行为系利用计算机秘密窃取被害单位财物的行为，符合盗窃罪的行为要件。温某某将平台账户内的充值款窃得后，虽然没有直接供本人使用，但其将该充值款提供给其他人使用并收取报酬，实质上处分了窃得的财物，在主观上具有非法占有的目的。根据刑法第287条，温某某利用计算机实施盗窃行为，应当按照刑法关于盗窃罪的规定，将温某某的行为评价为盗窃罪。

第四种观点认为，行为构成破坏计算机信息系统罪与盗窃罪之间想象竞合。从整体上看，温某某侵入APP后台、抓取数据、篡改参数、发送指令等操作是一个锁链式的连贯行为，但从侵犯的法益来看，温某某的行为实质上侵犯了两个法益。从行为手段看，温某某采用非法的技术手段入侵“千牛”APP后台并抓取数据包内的数据，该行为本身就对APP后台系统造成了危害，导致该应用程序的正常功能未能实现，是对计算机信息系统的破坏行为;从行为目的看，温某某破坏计算机信息系统的最终目的是通过干扰平台正常运营为其盗窃平台沉睡账户中的充值款项创造机会，盗窃是温某某破坏计算机信息系统的最终目的。因此，若单独将温某某的行为评价为破坏计算机信息系统数据罪或盗窃罪，均不能够完整评价温某某的犯罪行为，温某某的行为系同一犯罪行为触犯多个法益，属于破坏计算机信息系统罪与盗窃罪的想象竞合犯。

第五种观点认为，行为构成诈骗罪。温某某实施的并非盗窃行为，而是诈骗行为。温某某通过篡改用户ID、充电桩编号、充电金额等参数，使其能够利用平台沉睡账户给充电桩发送充电指令，从而给其他车辆进行充电。该行为本质是通过篡改数据，给充电桩下达一个为沉睡账户的用户进行汽车充电的虚假指令，隐瞒了真实的用户信息，系统根据错误指令，使用沉睡账户内的充值款支付充电费用。而系统是由被害单位控制、管理的，系统作出错误反应的背后是被害单位上当受骗。温某某的行为本质上是虚构事实、隐瞒真相的诈骗行为，其行为导致被害单位陷入认识错误，使用沉睡账户充值款抵扣充电费用，后因赔付用户充值款产生财产损失，该损失与温某某的诈骗行为有直接的因果关系。温某某的行为属于利用计算机实施诈骗犯罪，应当认定构成诈骗罪。

三、评析意见

笔者认为，温某某的行为构成盗窃罪。对于上述案件的定性分析应当根据案情实际情况，结合犯罪的主观故意，犯罪的目的以及犯罪行为实际侵犯的法益等各方面来综合分析，才能够对该案件做出准确的定性，具体分析如下：

（一）温某某的行为不构成非法获取计算机信息系统数据罪

第一，从温某某犯罪的行为目的层面看，温某某仅有“改变”数据的目的，没有“获取”数据的目的。本案中，温某某使用“fiddler4”抓包工具和“夜神”手机模拟器在运行“千牛”APP时拦截抓取的是千牛会员账户的交易数据，从表面上看，是一种非法获取数据的行为。但是，温某某抓包的重点不是截取数据，而是要修改目标数据包中的交易参数，温某某在主观上并没有从无到有地获取数据的目的。第二，从温某某犯罪的行为后果层面看，温某某的行为没有造成被害单位数据的权属发生变更。温某某对目标数据包内的交易参数进行人为修改，但修改后的数据参数并未发送到温某某本人控制的网站或者服务器上，而是直接发回涉案公司的官网。温某某通过绕过会员信息的验证，实现可以使用并消费涉案会员账户余额的目的，在本质上只是对数据从此状态到彼状态的改变。

（二）温某某的行为不应认定为破坏计算机信息系统罪

第一，从温某某犯罪的危害后果层面来看，温某某的行为没有对计算机信息系统造成无法正常运行等破坏结果。温某某的抓包、改包、发包技术操作改变的仅仅是会员客户交易数据参数本身，被害单位“千牛”APP公司计算机信息系统是完好的，且一直处于正常运营状态，故并不属于故意破坏“千牛”公司的官网计算机信息系统安全和公司正常运行的“计算机信息系统数据”。破坏计算机信息系统罪属于扰乱公共秩序的行为，是对公法益的犯罪，本案中，仅有被害单位的私益受到侵害，若将某种行为认定为侵害公法益的犯罪来保护个人法益，明显不当。[1]第二，从温某某犯罪的主观故意层面来看，温某某作为新能源汽车“千牛”APP充电会员用户，他无意间发现了“千牛”APP后台数据可以进行抓包、改包、发包的网站安全漏洞，主观并不具有破坏计算机信息系统并进行损害公司运行系统的故意，温某某要实现远程使用涉案会员账户里的余额为“客户”充电，必须建立在“千牛”APP公司能够正常运营的前提之下，所以他主观目的并不是破壞计算机信息系统致使公司运营瘫痪。

（三）温某某的行为不构成破坏计算机信息系统罪与盗窃罪之间想象竞合

第一，从温某某犯罪行为的法益侵害后果来看，本案有且仅有一个法益受损，即开发运营“千牛”APP的被害单位遭受了财产损失，温某某的犯罪行为没有影响到其他未涉案会员账户的正常使用，并没有造成计算机信息系统的破坏，不存在“一行为触犯多法益”的情形，不应认定构成破坏计算机信息系统罪与盗窃罪的想象竞合。第二，从温某某的侵入行为与盗窃行为的关联性来看，温某某非法侵入“千牛”APP后台并抓取、篡改数据的行为是犯罪手段，盗窃沉睡账户内的充值款项是犯罪目的。想象竞合犯的观点实质上是将手段行为和目的行为割裂开来分别评价，即使温某某侵入系统、篡改数据的行为可以评价为对计算机信息系统功能进行修改、干扰的行为，从而认定该行为构成破坏计算机信息系统罪，同时温某某在此基础上盗窃充值款项数额较大，其目的行为又构成盗窃罪，前后行为分别触犯了不同的罪名。手段行为构成的破坏计算机信息系统罪与目的行为构成的盗窃罪之间成立牵连犯，不符合想象竞合犯的成立条件。

（四）温某某的行为不应认定为诈骗罪

盗窃罪与诈骗罪的本质区别之一在于盗窃罪是“主动获取型”犯罪，而诈骗罪是“被动交付型”犯罪。换言之，对于欺骗与秘密获取方式并行的侵财类案件如何定性，正确解释诈骗罪的“被动交付”与盗窃罪的“主动获取”便成为区分盗窃罪与诈骗罪的关键。[2]“千牛”APP根据事先设定的程序，在收到用户的指令后，自行向充电桩发送充电指令。温某某通过篡改用户ID、充电桩编号、充电金额等参数后下达充电指令是一种主动获取沉睡账户内充值金额的行为。同时，被害单位对于温某某利用沉睡账户的会员用户给充电桩下达为汽车充电的虚假指令并不知情，不存在被害单位因陷入认识错误而处分财物的情况。温某某的犯罪目的能够达成，并非是由于被害单位被其欺骗，而是温某某利用技术手段，秘密窃取并使用了沉睡账户内的充值金额，因此不符合诈骗罪的构成要件。

（五）温某某的行为应认定为盗窃罪

盗窃罪是以非法占有为目的，盗窃公私财物数额较大或者多次盗窃、入户盗窃、携带凶器盗窃、扒窃公私财物的行为，它侵犯的客体是公私财物的占有、使用、收益、处分等所有权。当前网络空间与社会空间正在逐步走向交叉融合，传统盗窃罪的发生场域也由“现实空间”转化为“现实空间”与“网络虚拟空间”的交错场域，网络外衣给传统的盗窃行为增加了复杂性与神秘性。但是经深入研究，扯下网络的外衣从犯罪的构成上来看，本案中温某某作为新能源汽车“千牛”APP充电会员用户，发现“千牛”APP后台数据可以进行抓包、改包、发包的漏洞。通过技术手段绕过会员验证，远程控制具有充值金额但又长久未使用过的沉睡会员账户，低价给他人充电非法获利，其主观上就是想要通过技术手段占有他人沉睡账户中的充值金额。从犯罪目的看，温某某利用“千牛”APP后台交易数据漏洞，通过抓包、改包、发包手段而获取非法经济利益。温某某对涉案会员账户的选择也印证了其非法占有目的。温某某发现“千牛”APP漏洞之后，“千牛”APP会员账户除了绑定手机号之外，会员ID也是按照一定数字顺序排列的，温某某利用自己的会员账户ID数字顺序特点，逐一改变ID数字尝试发现其他会员是否有余额，然后筛选出那些既有充值余额又长时间未使用的“沉睡账户”，用于给相应的充电桩发送指令帮助“客户”充电，从而获取非法收益。从温某某对涉案“沉睡账户”的选择上来看具有秘密窃取的特点，而且对原本沉睡的涉案账户的充值余额具有非常明显的非法占有目的。因此上述通过抓包、改包、发包篡改会员数据参数，秘密窃取“沉睡”涉案账户充值余额的行为应当评价为一个完整的盗窃行为。

温某某实施的盗窃行为只是从现实空间转移到了网络虚拟空间，即传统盗窃披上了网络的外衣，通过办案发现，网络空间中发生的盗窃行为与传统的盗窃相比具有几大显著特点。第一，网络空间盗窃案件中犯罪主体的专业性和技术性更强，网络盗窃人员大都是掌握特殊网联网技能的网民。第二，网络盗窃案件中犯罪行为侵害的对象范围广且多为虚拟化财产，大多数情况下，这类网络表现形式的财产不能直接用于日常生产、生活，但这类虚拟财产可以与金钱进行流通转换，比如高价值游戏道具、Q币、狗狗币等。第三，网络盗窃案件中犯罪行为超出了时空限制且隐蔽性强。按照确定管辖地的传统做法，只要与犯罪行为或犯罪结果相关的地点都可以视为犯罪地。然而在涉互联网犯罪确定网络犯罪的管辖地时未必完全行得通。[3]网络互联的特点之下，网络空间就失去了明确的地域划分属性。第四，网络盗窃案件中犯罪行为披着网络化的外衣易与其它犯罪混同。例如，网络盗窃行为所针对的虚拟财产同时具有财产性与数据性，在盗窃罪与非法获取计算机信息系统数据罪之间存在竞合关系。[4]

互联网技术的发展往往比社会法律规则的更新要快，而法律规则的滞后性往往给我们处理司法实践问题带来一定的困惑，就像本案这样，传统的盗窃行为从现实空间转移到了网络空间，使得盗窃行为变得复杂且神秘，这就要求承办人要不断更新知识储备和认知，认清犯罪行为本质，揭开“网络空间中盗窃行为”的神秘面纱，才能对案件准确定罪量刑作出处理。

2022年1月，检察机关以盗窃罪起诉温某某，经开庭审理，法院认为公诉机关指控罪名成立，认定温某某构成盗窃罪，判处有期徒刑1年，缓刑1年，并处罚金。

*浙江省杭州市西湖区人民检察院党组书记、检察长、二级高级检察官[310012]

**浙江省杭州市西湖区人民检察院第五检察部副主任[310012]

***浙江省杭州市西湖區人民检察院第一检察部四级检察官助理[310012]

[1] 参见张明楷：《非法获取虚拟财产的行为性质》，《法学》2015年第3期。

[2] 参见徐光华：《刑法解释视域下的“自愿处分”——以常见疑难盗窃与诈骗案件的区分为视角》，《政治与法律》2010年第8期。

[3] 参见孙潇琳：《我国网络犯罪管辖问题研究》，《法学评论》2018年第4期。

[4] 参见陈兴良：《虚拟财产的刑法属性及其保护路径》，《中国法学》2017年第2期。