游戏外挂类案件定罪分析
一、什么是“游戏外挂”?
根据《新闻出版总署、信息产业部、国家工商行政管理总局、国家版权局、全国“扫黄”“打非”工作小组办公室关于开展对“私服”、“外挂”专项治理的通知》(下称“《私服、外挂专项治理通知》”)的规定:“‘私服’、‘外挂’违法行为是指未经许可或授权,破坏合法出版、他人享有著作权的互联网游戏作品的技术保护措施、修改作品数据、私自架设服务器、制作游戏充值卡(点卡),运营或挂接运营合法出版、他人享有著作权的互联网游戏作品,从而谋取利益、侵害他人利益。‘私服’、‘外挂’违法行为属于非法互联网出版活动,应依法予以严厉打击。”
通俗地说,网络游戏外挂通常是指,针对一个或多个网络游戏,通过改变网络游戏软件的内部程序等技术手段制作而成的作弊程序。用户利用这种作弊手段可以轻易得到其他正常用户无法得到,或必须通过长期运行程序才能得到的游戏效果。
根据外挂制作者想要达到的效果,外挂的功能可能有所不同,比如获取游戏进程数据,增加、修改游戏客户端数据或内存数据,强制关闭游戏内置的保护程序,甚至可以查获指定玩家的IP地址进行攻击从而令其掉线,等等。
有时为了达到某种尚未构成犯罪的目的,也有可能会让程序完成前置违法动作。比如,某种辅助性程序可以让玩家的计算机自动打开游戏客户端、登陆账号、创建角色后自动完成前期任务,免去玩家的机械性重复性操作,此时程序仅对本地计算机造成影响,没有构成对游戏客户端运行的破坏,虽然有损游戏秩序,但尚未构成犯罪。然而,为了能让本地计算机能够由辅助性程序自行启动、登陆,可能需要强制关闭游戏登陆时的保护程序,这一行为就可能产生刑事法律责任。
根据外挂功能的不同,通常认为可能构成非法获取计算机信息系统数据罪,非法控制计算机信息系统罪,破坏计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪等(该类犯罪以下简称“计算机犯罪”)。本文主要想讨论这一种情况。当然,也有可能以游戏外挂为噱头,欺骗他人购买,或是引诱他人点击带有木马的链接从而窃取其银行存款等,从而构成诈骗罪、盗窃罪等,由于与外挂本身无直接联系,这种情况在本文中不作为讨论重点。
二、游戏外挂类刑事案件裁判概况
我们以“游戏外挂”为关键字,以“刑事”为案由,在北大法宝司法案例库中对过往裁判案例进行统计和考察。(注:囿于检索与统计逻辑等客观限制因素,统计结果无法避免地存在误差,应理性看待,但总体上符合客观情况。)
(一)案件数量变化趋势
截至本文撰写之日(即2022年03月29日,下同),涉游戏外挂类刑事裁判文书共计462篇,按照审结年份统计变化趋势,如下图所示。分别在2014年、2018年有两次迅速增长,在2019年至2020年达到顶峰。
在2012年及之前,除3起案件以侵犯著作权罪定罪量刑外,其余案件都以非法经营罪定罪量刑;2013年之后,才开始出现破坏计算机信息系统罪、非法获取计算机信息系统数据罪等案由。
再对比立法时间,非法侵入计算机信息系统罪、破坏计算机信息系统罪在1997年《刑法》中早已有之,而非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪则由2009年《刑法修正案(七)》增设。
可见,对于游戏外挂的性质认定和司法适用经历了一段时间的摸索过程,一直到2011年《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称“《计算机解释》”)发布实施后,情况才逐渐有所改善。
(二)地域分布
地域分布上,江苏省涉游戏外挂类刑事案件数量最多,共计160起;其次是浙江省共计43起;再次是广东省共计41起,如下图所示,颜色越深表示数量越多:
可见,江浙及广东沿海一带是该类案件频发的地域,这一特点与一般的计算机犯罪、互联网犯罪案件相似。
(三)罪名分布情况
游戏外挂类刑事案件,在司法实践中常被定性为什么罪名?这是本文着重想要考察的问题。
从结果看,大量案件被定性为提供侵入、非法控制计算机信息系统程序、工具罪,次之是诈骗罪和非法经营罪,再来是破坏计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、盗窃罪。如下图所示:
从以上数据可以看出:
第一,刑事案件中抓捕的大多是制售游戏外挂的人,一方面是因为制售行为造成的恶劣影响更广泛,危害性更大,另一方面也应为制售者违法所得更多,容易达到追诉标准。
第二,横向对比,总体上定性为计算机犯罪罪名的占据更大的比例;竖向对比,在2013年及之前,几乎是以非法经营罪和侵犯著作权罪为主流,后面慢慢更多地去适用计算机犯罪罪名,在2018年后成为主流,体现了罪名适用精确化、口袋罪名限制解释的趋势。
三、游戏外挂案件定罪与辩护探索
诈骗罪与盗窃罪,如前文曾述,往往是拿游戏外挂当做噱头,犯罪内容与游戏外挂本身并无直接关系,不在本文重点探讨之列。
实践中产生较大分歧的是非法经营罪、侵犯著作权罪与其他的计算机犯罪的选择问题,这是因为,某些游戏外挂为了达到自动刷怪、自动拾取物品、双开游戏等效果,甚至需要破译、复制游戏部分源代码、提取游戏通信协议,制作出一个新的软件。游戏的制作与发行执行审批备案制度,未经过审批而擅自对外销售可能触及非法经营罪,而复制源代码的行为可能涉及侵犯著作权罪。司法实践中,法院常引用《私服、外挂专项治理通知》的有关内容,将外挂认定为非法出版物,进而做非法经营罪或侵犯著作权罪的认定,比如(2016)闽0582刑初1983号判决书。
实际上,我们特意将定性为侵犯著作权罪的案例挑出来查看,绝大多数判决书都避开了外挂运行原理问题,用“以营利为目的,未经著作权人许可,复制发行他人计算机软件”一句话轻易带过。
仅少数判决中有对外挂运行原理做介绍,比如(2015)石刑初字第180号判决书中说到:
“经鉴定均为天龙八部外挂辅助程序,是通过辅助程序调用游戏主程序启动游戏,获取游戏进程PID,通过获取到的游戏进程PID,进行注入游戏进程,将外挂目录下的TLEngine.d11、MC.d11注入到游戏进程内存空间中,通过注入的d11调用游戏进程空间中的函数来自动执行刷怪、跑商、采集、种植、打图、刷副本、打任务等操作。在天龙八部外挂辅助程序目录下,具有自动运行脚本文件,在脚本中包含各种游戏参数供挂机辅助程序调用,其中包含门派坐标、任务NPC坐标以及获取当前NPC坐标,获取任务状态等参数。”
但是,鉴定意见明确了这种游戏外挂只是“辅助程序”,那么,何来的“复制”?又为何最终定性为侵犯著作权罪?判决书中也并未对此详细说理。
也有不少判决书中,法院以“所复制的部分内容无法构成相对完整的作品”为由否认存在复制发行,转而认定为非法经营罪。
结合了外挂运行原理进行判决说理,最终仍然定性为侵犯著作权罪的,目前我们仅看到一份判决书,即(2015)武侯刑初字第55号判决书:
“在《新惊天动地》游戏客户端不具备自动进行游戏、完成自动创建游戏角色、自动执行任务、自动打怪、自动捡取物品、自动使用物品等功能的情况下,增加了以上自动实现的功能,该功能的实现必须复制互联网游戏程序的源代码,而被告人肖某某所制作的网络游戏外挂程序与《新惊天动地》游戏程序具有高度的相似性,同时,被告人要想使其制作的外挂程序与《新惊天动地》游戏对接,势必要破译和擅自使用原网络游戏的通信协议,截取并修改游戏发送到游戏服务器的数据,修改客户端内存中的数据,以达到增强客户端各种自动功能的目的,因此,其行为符合‘复制发行’的要求,其行为已构成侵犯著作权罪。”
由于没有看到具体的案卷材料,无法做更具体的判断,但从常理考虑,复制和运行一个盗版游戏所需的成本,和制作一个辅助性游戏外挂的成本是无法相提并论的,现实中大多数游戏外挂制售者是个人,显然制作辅助性游戏外挂更具有可操作性和盈利性,达到“复制”游戏本体程度的情况很少。
在《刑法修正案(七)》对计算机犯罪罪名进行增设完善之前,很多案件都会被定性为非法经营罪和侵犯著作权罪,尤其是非法经营罪在早期作为“口袋罪名”更是经常被滥用;即便是近几年,究竟是认定非法经营罪、侵犯著作权罪,还是认定为相关的计算机犯罪,在司法实践中都还是有很大的争议,这是因为,有的辅助性游戏外挂只在本地计算机产生影响,没有介入游戏正常运行,认定为计算机犯罪存在难度,此时仍然只能求助于另外两种泛用性较强的罪名。
游戏外挂的运行原理千变万化,探讨某一种外挂运行的原理意义不大。在实践中往往是由侦查机关委托司法鉴定机构进行鉴定,通过分析外挂源代码,最终的鉴定结论将指出外挂如何实现其功能、与原客户端有何区别、会给正常游戏运行带来什么影响等,很多判决书中“本院认为”部分会直接引用鉴定意见的结论,得出判决结果。这份鉴定意见也是该类案件中辩护律师需要重点关注的证据材料。
一方面,譬如有的案件侦查机关未能获取外挂源代码,无法鉴定外挂运行机制,或者获取的并非最终源代码,又或者提取保存源代码的过程中出现程序瑕疵等,可以成为案件辩护突破口。
另一方面,通过分析外挂的具体运行原理和机制,我们可以探查该外挂究竟是不是对游戏正常运行产生了影响,有没有增加、修改内存数据,有没有删除、破坏游戏的某些内置程序等,从而去分析是否符合相应的计算机犯罪,如破坏计算机信息系统罪等。
四、“计算机信息系统”指什么?
在探讨外挂运行机制之前,还有一个基础问题必须解决:游戏客户端由玩家下载到本地计算机,属于一种软件或程序,它也属于计算机信息系统吗?
为了解决这一问题,我们先找到了“大前提”,即关于“何为计算机信息系统”的法律规定。
《计算机解释》第十一条规定:“本解释所称‘计算机信息系统’和‘计算机系统’,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。”
在《<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>的理解与适用》(下称“《理解与适用》”)一文中,对“计算机信息系统”和“计算机系统”范围界定做了如下阐述:
“《刑法》第285条、第286条使用了‘计算机信息系统’、‘计算机系统’两种表述,其中《刑法》第286条第3款中使用的是‘计算机系统’,其他条款使用的则是‘计算机信息系统’。本条对这两种表述作了统一界定,原因如下:一是从技术角度看,这两种表述已无法区分。《刑法》第285条、第286条立法区分这两者的原意是考虑侵入计算机信息系统、破坏计算机信息系统功能、数据或者应用程序的对象应当是数据库、网站等提供信息服务的系统,而传播计算机病毒如果只影响计算机操作系统(计算机系统)本身,即使不对系统的信息服务造成影响也应当受到处罚。但随着计算机技术的发展,计算机操作系统与提供信息服务的系统已密不可分。例如,很多操作系统自身也提供WFB(互联网)服务、FTP(文件传输协议)服务,而侵入操作系统也就能够实现对操作系统上提供信息服务的系统实施控制,破坏操作系统的数据或者功能也就能够破坏操作系统上提供信息服务的系统的数据或者功能,从技术角度无法准确划分出提供信息服务的系统和操作系统。二是从保护计算机信息系统安全这一立法目的出发,对这两种表述进行区分没有必要。不论危害的是计算机操作系统还是提供信息服务的系统,只要情节严重或者造成严重后果的,都应当追究刑事责任。三是经过对美、德等国的网络犯罪立法进行研究可以看出,这些国家均在立法中使用单一的计算机系统、计算机等术语,而未对计算机信息系统和计算机系统进行区分。”
“本款将‘计算机信息系统’和‘计算机系统’统一界定为‘具备自动处理数据功能的系统’,原因如下:一是具备自动处理数据功能的系统都可能成为被攻击的对象,有必要将其纳入刑法保护范畴。随着信息技术的发展,各类内置有可以编程、安装程序的操作系统的数字化设备被广泛应用于各个领域,其本质与传统的计算机系统已没有任何差别。这些设备都可能受到攻击和破坏:互联网上销售的专门用于控制手机的木马程序,可以通过无线网络获取手机中的信息;通过蓝牙、wi—Fi(将个人电脑、手持设备等终端以无线方式互相连接的技术)等无线网络传播病毒的案件也呈现快速增长态势;在工业控制设备中可能植入破坏性程序,使得工业控制设备在特定条件下运行不正常;在打印机、传真机等设备中可以内置程序非法获取相关数据。总之,任何内置有操作系统的智能化设备都可能成为入侵、破坏和传播计算机病毒的对象,因此应当将这些设备的安全纳入刑法保护范畴。二是本定义借鉴了多个国家有关法律的相关定义。例如,美国将计算机定义为‘具备自动处理数据的功能的一个或者一组设备’,欧盟网络犯罪公约将计算机定义为‘由软件和硬件构成的用于自动处理数据的设备’,其出发点都是将保护计算机信息系统安全的法律适用于所有具有自动处理数据功能的设备。”
“为使相关界定更加明确,方便司法实践适用,本款采用了概括加例举的解释方法,即在对‘计算机信息系统’、‘计算机系统’作归纳定义的同时,还例举‘计算机’、‘网络设备’、‘通信设备’、‘自动化控制设备’等具体情形。其中,‘网络设备’是指由路由器、交换机等组成的用于连接网络的设备;‘通信设备’包括手机、通信基站等用于提供通信服务的设备;‘自动化控制设备’是指在工业中用于实施自动化控制的设备,如电力系统中的监测设备、制造业中的流水线控制设备等。”
通过以上定义,我们可以得到初步结论:
第一,“计算机系统”与“计算机信息系统”不再做区分,在刑法上属于相同的概念;
第二,计算机信息系统指的是某种能够自动处理数据的设备,《理解与适用》中提及该定义借鉴了国外的相关法律定义,而不论美国还是欧盟,也都将定义最终落足于“设备”一词。
那么,“设备”指的是什么?
在维基百科中,对“设备”一词的定义是:“设备通常是一群中大型的机具器材集合体,皆无法拿在手上操作而必须有固定的台座,使用电源之类动力运作而非人力。”
可以认为,“设备”至少是一种实体,运用到计算机信息系统的概念中,可以认为是一种由软件系统和硬件系统共同组成的、能够自动处理数据的系统。
单单只有软件,是无法作为一种“计算机信息系统”的。
我们又在各类裁判文书中寻找相关论述或信息。
这个问题在很多裁判文书中都没有做过具体论述,最终直接做出对应的计算机犯罪判决。我们目前仅看到两件相关案例。
第一件案例是最高检察院发布的指导性案例,即检例第34号的李骏杰等破坏计算机信息系统案。
该案评析道:“购物网站评价系统是对店铺销量、买家评价等多方面因素进行综合计算分值的系统,其内部储存的数据直接影响到搜索流量分配、推荐排名、营销活动报名资格、同类商品在消费者购买比较时的公平性等。买家在购买商品后,根据用户体验对所购商品分别给出好评、中评、差评三种不同评价。所有的评价都是以数据形式存储于买家评价系统之中,成为整个购物网站计算机信息系统整体数据的重要组成部分。侵入评价系统删改购物评价,其实质是对计算机信息系统内存储的数据进行删除、修改操作的行为。这种行为危害到计算机信息系统数据采集和流量分配体系运行,使网站注册商户及其商品、服务的搜索受到影响,导致网站商品、服务评价功能无法正常运作,侵害了购物网站所属公司的信息系统安全和消费者的知情权。”
购物网站评价系统乍一听,似乎与游戏客户端类似,都不存在实体。实际上,要具备上传、存储、下载数据等功能,网站运营方需要购置或租赁服务器主机,所有的网站运行过程中产生的数据、服务器、客户终端共同构成了完整的所谓“购物网站评价系统”,而不单单指向网站本身。案例中的行为,本质上是侵入了网站服务器,对服务器上的内容进行删改,因《计算机解释》第四条第(四)项将服务器也纳入计算机信息系统的范围内,故这类行为符合破坏计算机信息系统罪的客观构成。
第二件案例来自于(2014)龙泉刑初字第390号判决书,该案中“被告人李某某在成都市龙泉驿区制作了一款可以绕过《穿越火线》游线安全检测程序,在该游戏中实现‘透视’功能名为‘空岛’的外挂程序。其中‘DLL.E’的源代码文件显示其编译后的程序功能为:通过注入DLL文件的方式修改《穿越火线》游戏客户端,在《穿越火线》游戏中增加‘方框透视’功能。在不执行送检程序的情况下,《穿越火线》游戏客户端本身不具备该功能。”
法院认为:“被告人李某某、项某某、胡某某、刘某某为了谋取非法利益,违反国家规定,在《穿越火线》游戏客户端不具备透视功能的情况下,增加了透视功能,该功能的实现必须复制互联网游戏程序的源代码,而被告人李某某制作的网络游戏外挂程序与《穿越火线》游戏程序具有高度的相似性,同时,被告人要想使其制作的外挂程序与《穿越火线》游戏对接,势必要破译和擅自使用原网络游戏的通信协议,截取并修改游戏发送到游戏服务器的数据,修改客户端内存中的数据,以达到增强客户端透视功能的目的,其行为符合‘复制发行’的要求,故四人的行为属于侵犯著作权行为,其中,李某某的非法经营额184460元,违法所得为75675元;项某某非法经营额147845元,违法所得95971元;胡某某、刘某某的经营额不足5万,违法所得额也不足3万元,达不到侵犯著作权罪的入罪标准,公诉机关以成龙检公诉撤诉(2014)1号撤回起诉决定书决定撤回对被告人胡某某、刘某某的起诉,符合法律规定,予以准许。”
在这一案中,行为人“通过注入DLL文件的方式修改《穿越火线》游戏客户端”,被定性为侵犯著作权罪,只是因为没有达到侵犯著作权罪的入罪标准,最终控方撤诉。那么,为什么这一案没有定性为非法获取计算机信息系统数据罪,或者破坏计算机信息系统罪呢?
通常,任何游戏都不可能把源程序提供给玩家,提供给玩家的只有客户端。如果行为人侵入游戏公司内部计算机,提取到游戏的源程序、获得源代码,那么符合非法获取计算机信息系统数据罪无疑。但这种操作并不现实,更多的是通过提取客户端运行过程中产生的DLL文件,对该文件进行反编译获得源代码。此时,并不存在一个具体的、被侵入的计算机信息系统,所有操作都在本地进行,并且也不是单纯复制源代码,而是通过反编译自行解析出源代码,这与非法获取计算机信息系统数据罪的行为模式是有差别的。
与此类似,对本地客户端注入DLL文件、修改客户端的行为,也同样难以构成破坏计算机信息系统罪。
而至于“截取并修改游戏发送到游戏服务器的数据”这一行为,其实只是让游戏服务器接收到错误的信息,但这种错误信息本身并没有破坏游戏服务器的正常运行功能,其他玩家的游戏数据在此期间仍然可以与游戏服务器进行正常的交互。因而,也不构成破坏计算机信息系统罪。
当然,由于判决书中信息量有限,最终没有定性为计算机犯罪的原因是否如上所述,并不一定,也有可能是因为2014年对于计算机犯罪的司法适用尚且谨慎之故,也未可知。
结合上述两个案例,我们可以得出如下结论:
第一,游戏客户端本身并不属于计算机信息系统,而游戏服务器属于计算机信息系统。
第二,对游戏客户端本身的增、删、改,不能构成相应的计算机犯罪,如果是反编译破解了源代码,并复制发行了类似的游戏,则可以构成侵犯著作权罪或者非法经营罪;如果直接影响、或者因为对游戏客户端的修改间接影响到游戏服务器的正常运行,则有可能构成破坏计算机信息系统罪。
综上所述,在涉游戏外挂类刑事案件中,辩护律师需要做三步基础审查:
第一步,审查鉴定意见是否存在根本性问题,导致对游戏外挂的功能和实现方式无法鉴定或结论有误。
第二步,如果鉴定意见本身没有问题,那么审查这一游戏外挂究竟是对本地的游戏客户端产生影响,还是波及到了游戏服务器。
第三步,如果没有波及到服务器,那么是否有可能构成非法经营罪或侵犯著作权罪?如果波及到服务器,那么是否对服务器的正常运行产生了切实的影响?这种影响是什么样的影响,是否符合相应计算机犯罪的客观构成?
这三步审查是基础审查,在具体个案中,尚需结合其他情况进行细致的研究和判断。在这类案件中,除了法律研究,对外挂原理的技术性研究也是非常重要的。