收藏 | 设为首页 | 客服热线: 010-65181749
 
谈法论道
地址:北京市东城区建国门内大街18号恒基中心办二座1114室
电话:010-65181749
刑事您当前的位置:首页 > 谈法论道 > 刑事
利用FD抓取并修改充值数据获利如何定性
日期:2019年11月06日 09:17

 

利用FD抓取并修改充值数据获利如何定性

 

 

 

来源:检察日报|作者:丁鹏李勇

 

案情:20175月,王某发现A公司旗下网站“A生活”在线手机话费充值平台存在漏洞,遂在该平台注册用户并进行话费充值20元的测试,王某在支付 20元的同时,利用“Fiddler”软件(下称FD软件)抓取向该在线充值平台发送的数据包,发现可以把支付金额20元修改为0.01元,而实际充值到账的金额仍然是20元。王某在随后的24小时内,通过该种方式,以实际支付0.01元的金额为多个手机号码充值20元、300元、500元不等的话费,共计操作50次,获利8096元,造成A公司经济损失11921元。王某到案后,如实供述自己的罪行并已赔偿损失。

 

分歧意见:对王某的行为定性存在三种不同意见:

 

第一种意见认为,王某的行为构成破坏计算机信息系统罪和盗窃罪的想象竞合犯,从一重处。由于本案盗窃数额没有达到数额巨大,从一重处应该以破坏计算机信息系统罪定罪处罚。

 

第二种意见认为,王某的行为应该以非法获取计算机信息系统数据罪定罪处罚。理由是,王某的主行为是利用FD软件获取计算机信息系统数据,通过修改数据而获利的行为是获取计算机信息系统数据的附随行为,无需考虑与盗窃罪的想象竞合。

 

第三种意见认为,王某的行为构成破坏计算机信息系统罪。理由是,王某不仅获取计算机信息系统数据,还修改了数据而破坏计算机信息系统,后者是主行为,至于与盗窃罪的想象竞合问题,与第二种意见相同。

 

评析意见:笔者同意第一种意见,具体理由如下:

 

一、关于非法获取计算机信息系统数据罪与破坏计算机信息系统罪的关系。本案王某把手机上网端口改成与电脑一致,形成一个局域网,然后在电脑上打开FD软件,电脑就能看到手机发送的所有数据包。再通过手机登录并输入要充值的手机号及金额,然后用FD软件开启拦截,抓取充值的数据包,把数据包内的支付金额改成0.01元,然后再把这条修改过的数据发送出去,就可以以0.01元购买到20元至500元不等的话费。从FD工作原理来看,王某的行为不是一个单纯的截获数据行为,更为重要的是更改传输数据的行为。根据刑法第285条第2款的规定,违反国家规定,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的,构成非法获取计算机信息系统数据罪;根据刑法第286条第1款的规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,构成破坏计算机信息系统罪。根据两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称《解释》)的规定,对计算机信息系统中存储、处理或传输的数据进行删除、修改、增加操作的属于破坏计算机信息系统。

 

本案中,王某获利8096元,造成损失11921元,根据《解释》第4条规定,违法所得5000元以上或者造成经济损失1万元以上的,应当认定为“后果严重”。从形式上看,王某的行为符合上述两个罪名,关键问题是这两个行为之间的关系。王某的作案方式就是通过FD软件截获充值数据,然后再把充值数据修改为0.01元,然后再发送出去。前面截获数据的行为是后面修改的行为必经阶段,属于吸收犯,应当按照重罪吸收轻罪的原则处理。根据刑法第285条第2款和第286条第1款的规定,破坏计算机信息系统罪重于非法获取计算机信息系统数据罪,按照重罪吸收轻罪,应当构成破坏计算机信息系统罪。接下来分析破坏计算机信息系统罪与取得财产行为之间的关系。

 

二、关于破坏计算机信息系统罪与盗窃罪的关系。如前所述,王某通过FD软件截获并修改数据的行为,构成破坏计算机信息系统罪,但是被告人的行为并没有就此停止,而是将本应当支付相应话费的金额一律改为0.01元,而被害单位仍然按照20元至500元不等的话费支付给被告人,被告人通过支付0.01元的犯罪成本获取财产。如何看待这一取财行为呢?

 

首先,该取财行为不单纯是破坏计算机信息系统罪(或获取计算机信息系统数据罪)的附属行为。《解释》第4条规定的违法所得5000元以上,是指通过破坏计算机信息系统、获取计算机信息系统数据,通过受雇或转让数据等方式间接获取违法所得。而本案王某不是通过向他人提供获取数据而获利,也不是受雇于他人实施破坏计算机系统而获利,而是直接取得充值平台中的财产。

 

其次,该取财行为属于盗窃行为。盗窃罪的本质特征是违背财物所有人或占有人的意志,以不为财物所有人或占有人所知的平和方式改变财产占有关系。本案中,被害单位并不知道被告人实际仅支付了0.01元,属于违背意志改变财产占有关系,符合盗窃罪的特征。或许有观点认为,计算机信息系统误以为实际支付了20元至500元,属于陷于错误认识而支付财产,符合诈骗罪的特征。但机器不存在“被骗”的问题,且FD实际发送的数据是0.01元,也没有“骗”的行为,固然不可能成立诈骗罪。

 

最后,盗窃罪与破坏计算机信息系统罪之间的关系。笔者认为本案中的盗窃行为与破坏计算机信息系统行为之间属于想象竞合关系。修改并发送数据的行为本身是违背财物所有人或占有人的意志获取财产的行为,换言之,破坏计算机信息系统的行为与盗窃行为重合,因此属于刑法中的一行为而非数行为。只不过这一个行为同时触犯破坏计算机信息系统罪和盗窃罪两个罪名,属于想象竞合犯,应当从一重处。本案中属于盗窃罪数额较大,法定最高刑为三年有期徒刑,而破坏计算机信息系统罪,后果严重的,法定最高刑为五年有期徒刑,从一重处应当定破坏计算机信息系统罪。

 

(作者单位:东南大学法学院、江苏省南京市建邺区人民检察院)