漏洞交易行為的刑法邊界及相關思考
——以李某出售游戲漏洞案為例

姚建龍，張少男

（上海政法學院， 上海 201701）

【公安與法】

漏洞交易行為的刑法邊界及相關思考
——以李某出售游戲漏洞案為例

姚建龍，張少男

（上海政法學院， 上海 201701）

發現游戲漏洞的未成年人出售漏洞遭拒后以向第三方出售相要挾行為在司法實務中引發了定性之爭——無罪？強迫交易罪？敲詐勒索罪？從行為角度分析，游戲漏洞發現者的上述行為符合了強迫交易罪的構成要件，但是從刑法謙抑性、刑事政策角度以及現代科技創新發展需求方面來說，不具備有責條件，不宜定罪入刑。在網絡行業中，該類行為的突現，應當引起我們對網絡行業的監管的重視，建議由政府搭建第三方網絡平臺，發揮其評估功能、轉交易功能以及監督功能，以便漏洞在公平安全雙贏的環境下進行交易，同時建立健全網絡安全立法，從法律上為網絡行業的發展提供強有力的保障，以應對多樣化的網絡行為。

漏洞；定性；第三方平臺；立法監管

一、案情簡介與定性之爭

2014年下半年，犯罪嫌疑人李某（未成年人）與其他七人在使用上海市某網絡科技公司（以下簡稱“網絡公司”）開發的手機游戲中，在QQ聊天軟件上建立了“新秀WPE公司，專用學習群”。QQ群建立后，群內成員不斷將該款游戲的漏洞發布到QQ群內，后群內網友經商議，決定由李某出面將該款游戲的漏洞出售給網絡公司。2014年12月3日，李某作為網友代表聯系了網絡公司，稱已經掌握了該公司手機游戲的漏洞，現要求將漏洞出售給該公司，然而卻遭到該公司的拒絕，被拒后，李某聲稱若網絡公司不買，便將漏洞出售給其他玩家，由此網絡公司將面臨更大的損失。在此情況下，網絡公司以人民幣5000元的價格購買了3個漏洞。2014年12月5日，李某再次以同樣的方式聯系網絡公司，要求以人民幣1萬元的價格出售該款游戲的其他漏洞時，網絡公司假意答應后報案而案發。①案例來源于“互聯網犯罪與互聯網安全監管相關問題研討會”（上海市徐匯區人民檢察院主辦，2016年2月19日）。

司法實務部門和理論界在對李某的行為性質進行法律上的認定時出現了分歧。

觀點一認為李某構成了敲詐勒索罪。敲詐勒索罪是指以非法占有為目的，對被害人使用威脅或要挾的方法，強行索要公私財物的行為。主張者認為，從主觀方面而言，李某明知“將游戲漏洞出售給其他玩家，將使網絡公司遭受巨大損失”這一事實，卻在遭到網絡公司拒絕購買后，仍以“出售給其他玩家”為威脅，反映出了李某要求網絡公司“允諾購買”的強制性態度，其非法占有他人財物的主觀目的顯露無遺；從客觀方面而言，網絡公司在李某的言語威脅下，無奈選擇購買游戲漏洞，該購買行為純屬被迫性，由李某的威脅行為造成，兩者之間存在直接的因果關系，李某行為所表現出的主客觀方面，均已符合敲詐勒索罪的構成要件，且根據最高人民法院《關于敲詐勒索罪數額認定標準問題的規定》，敲詐勒索罪的起刑點為一千元至三千元（各地根據實際情況確定），在本案中，李某所涉數額已經達到了入罪標準，因此應當以敲詐勒索罪對李某進行定罪量刑。反對者認為，敲詐勒索罪屬于財產犯罪，其成立的前提要求行為人有非法占有財產的主觀惡性心態，雖然李某的言語威脅行為體現出了其渴望獲得網絡公司一定金錢數額的強烈欲望，但是同時李某對網絡公司實施了對待給付，即將其智力成果所得——游戲漏洞告訴對方，這是一種各取所需的交易行為，與財產犯罪中傳統意義上的“占有”并不完全相同，因此李某是否具備非法占有他人財物的主觀惡性值得商榷。

觀點二認為李某構成強迫交易罪。強迫交易罪是指以暴力、威脅手段強買強賣商品，強迫他人提供服務或者強迫他人接受服務，情節嚴重的行為。主張者認為，在本案中，游戲漏洞系李某的智力成果，具有一定的價值性，具備了商品的本質屬性，同時李某經過智力勞動發現漏洞后提供給網絡公司從而使得網絡公司得以及時彌補漏洞，這一過程系一種服務活動，因此無論將游戲漏洞作為一種商品還是服務，均可以成為強迫交易罪的對象。此外，李某與網絡公司的交易并非正常的市場交易，其中充斥著李某對網絡公司的言語威脅，系強迫行為，其與網絡公司允諾交易之間存在著直接的因果關系，因此應當以強迫交易罪定罪處罰。然而反對者認為，“游戲漏洞”是否系商品或者服務在法律上尚無定論，且強迫交易罪的行為特征是以“暴力、威脅”為基礎的，那么在本案中李某的言語威脅行為是否達到了刑法意義上的“威脅”，即精神上不得以反抗的程度呢？而這些目前都沒有形成統一的意見，因此以強迫交易罪論處依舊存在著爭議。

觀點三認為李某的行為不構成犯罪，贊同此觀點者又持有著不同角度的評判標準。以“刑法介入”為界限劃分，主要包括兩種角度：（1）李某的行為純屬民事行為，不應當由刑法介入評價；（2）李某的行為具有一定的社會危害性，符合犯罪的基本特征，但是基于刑事政策、科技發展等的需要，目前不宜入罪處罰。

綜上所述，對于此案的定性之爭的焦點主要圍繞以下三方面：第一，李某是否具有非法占有的主觀心態；第二，李某對網絡公司的言語威脅是否達到了犯罪構成要件意義上的程度；第三，李某的行為是否具備刑法評價的條件，有無處罰的必要性。

筆者以為，游戲漏洞發現者要求出售漏洞遭拒后以向第三方出售相要挾的行為作為網絡游戲行業中新出現的一種具備潛在風險性的“行為模式”，對其進行法理上的分析實屬必要。因此筆者以本案為契機，圍繞上述三方面的矛盾焦點，對該類案件所涉“行為模式”的法律定性予以論證。

二、“發現、交易、脅迫”行為的應有之義

在本案中，“發現、交易、脅迫”行為緊緊圍繞著游戲漏洞而展開，因此有必要對游戲漏洞的概念及其特征予以說明。從科技信息角度來說，所謂的漏洞是指在網絡環境下，系統所存在的弱點或者缺陷，它影響著系統對特定威脅攻擊或危險事件的敏感性或進行攻擊的威脅作用的可能性。漏洞可能來自應用軟件或者操作系統在設計時的缺陷或編碼時的錯誤，也可能來自業務交互處理過程中的設計缺陷或邏輯流程上的不合理之處，而在網絡游戲系統中這些缺陷、錯誤、不合理之處即為游戲漏洞。游戲漏洞一旦被游戲開發商或者運營商以外的人如玩家，有意或無意地利用，將對網絡游戲公司的運行產生不利影響，甚至是遭受巨大的經濟損失乃至無法運轉。

游戲漏洞有其自身的特性：第一，游戲漏洞的普遍性與不可避免性。由于技術的局限性，任何一款游戲都不可避免地存在著自身的漏洞，且這些漏洞與時間緊密聯系，一款游戲系統本身從發布之日起，隨著用戶的深入使用，系統中存在的漏洞就會不斷被發現，這些被發現的漏洞不斷被系統開發商或供應商所修補或者在日后發布的新版系統中得以糾正，然而新版系統在糾正舊版本中的漏洞的同時，也會引入一些新的漏洞，就這樣，舊漏洞消失，新漏洞出現，不斷往復，游戲漏洞的問題也就會一直存在，不可避免。第二，游戲漏洞的價值性。游戲漏洞的價值性源于虛擬物的價值性。在目前的司法實踐中，虛擬物包括金幣、裝備、角色等作為無形財產的價值性已經得到了肯定。在網絡游戲中，這些虛擬物除了通過正規途徑獲得外，如從游戲運營商處直接購買或通過完成游戲中的任務取得，還存在著利用非法代碼獲得游戲道具或虛擬貨幣，即利用游戲漏洞。正是由于游戲漏洞有創造虛擬財產的可能性，因此對于玩家來說，它是創造財富的助手，對于網絡公司來說，它有助于減少財產損失。因為有所需，所以游戲漏洞獲得了網游行業中的市場價值。

（一）“發現漏洞”行為的應有評價

法律之所以禁止某項行為的實施，從本質上來說，是因為該項行為所產生的效果不利于整個社會的穩定發展與進步，所以站在全局的角度，法律選擇犧牲個人部分的自由行為，將其作為禁止的消極行為，從而規避行為所帶來的社會風險，營造良好的社會穩定環境。從這個角度來說，“發現游戲漏洞”的行為是否應當為法律所禁止可由該行為所創造的效果——利與弊來評價。

首先，我們應當明確“發現漏洞”不等于“制造漏洞”。所謂“發現”是指由于對某一個目標的研究或因經驗而找到，它所指向的對象本身是客觀存在的；而“制造”的原義為把原材料加工成適用的產品，所指向的對象一般是從無到有的，更加強調人為性。其實從嚴格意義上來說，游戲系統經編碼后一旦完成，游戲漏洞就已經隨之產生，因此所謂的玩家“制造漏洞”本身是并不存在的。因為“制造漏洞”的能力在游戲系統生成之初就已經消失了，而只有網絡游戲公司的游戲創造者在游戲創造的過程中才可能因為主觀的非法目的而進行“游戲漏洞的制造”，而在游戲市場中盛行的“非法代碼的游戲道具與虛擬貨幣”并不是“制造游戲漏洞”的結果，而是“利用游戲漏洞”而非法產生的?！爸圃炻┒础北旧砭哂幸欢ǖ闹饔^惡性，嚴重影響了游戲的公正性與平衡性，不利于網絡游戲行業的發展，而且制造者本身失去了一定的職業道德，因此應當成為法律所禁止的行為。但是既然“發現漏洞”并不等于“制造漏洞”，那么應當如何界定“發現漏洞”的性質呢？

筆者在前文中已經講到，“發現”是通過一定的經驗和研究找到一些客觀存在的事務或者事實，因此“發現漏洞”行為首先應當是一種“智力性”行為，玩家對“漏洞”的信息掌握是依靠自己的智力勞動所獲取的；其次，它應當是一種“中立性”行為，既然漏洞是客觀存在的，那么“發現漏洞”行為本身既沒有給社會帶來積極的作用，也沒有造成消極的影響，因此它應當是中立性的；再者，“發現”行為應當具有普遍性和長期性，這是由“漏洞”的不可避免性所決定的。在游戲行業的實踐中，為了提高游戲的質量，規避“漏洞”所帶來的風險，會不斷對“漏洞”進行檢測，然后發現、修復。一般而言，“游戲漏洞”的檢測分為“內測”與“外測”，“內測”是指在游戲開發商或運營商在將新款游戲投入市場之前，聘用“游戲測試員”對游戲進行試玩，通過聘用玩家的不斷測試，發現漏洞?！巴鉁y”是指將游戲投入市場，經過不特定多數的玩家在長時間的不斷玩的過程中，發現漏洞，然后進行反饋，定期進行修復?？梢?，不論是游戲開發商或者運營商還是玩家，在網絡游戲的整個行業中，各方對于“發現漏洞”行為都是持有“無可詬病”的態度，甚至是“支持”的態度。正是因為“發現漏洞”行為的“智力性”、“中立性”、“普遍性與長期性”，它并不應當成為法律做出否定性評價的對象。

回歸本案，犯罪嫌疑人李某對漏洞的掌握，并不是不勞而獲的，而是通過自己長時間的投入，憑借經驗與智慧而獲得的，因此，應當屬于“發現漏洞”的行為，不屬于法律禁止范圍之內。

（二）“交易”行為的應有評價

雖然“發現漏洞”行為本身不具有法律否定性評價的意義，但是由于“漏洞”所帶有的價值性決定了發現者享有了支配這些價值去向的權利。從法律意義上來說，“漏洞”信息是游戲漏洞發現者對其智力勞動成果所享有的一種特殊性財產，對其的支配實質上是一種民事權利的行使。玩家對于“發現的漏洞”信息可以選擇消極的處分——無視它，也可以進行積極的處分——在網絡游戲市場中，對“漏洞信息”積極的處分包括兩種類型，一種是利用漏洞實施“私服”、“外掛”行為，獲取不正當利益，由于此類行為帶有明顯的惡意性，嚴重影響了游戲的公正性與平衡性，基本已由法律介入對其進行規制；而另一種則是交易行為，目前法律對“漏洞信息的交易”并無明確的規定，從理論上來說，“法無明文規定即自由”，這樣看來“漏洞信息”的交易應當是合法的，但是法律具有滯后性，“漏洞信息”的交易是否由法律進行評價應當回歸漏洞交易行為在社會實踐中呈現的社會效果而言。

“漏洞信息”的交易在網絡游戲行業十分普遍，其首先表現為游戲開發商或者運營商對游戲漏洞進行測試的環節中。例如在外測環境中，為了及時掌握漏洞信息，避免玩家利用漏洞從而造成巨大損失，網絡游戲公司通常會在官方的游戲平臺中發布諸如“對漏洞發現舉報者的獎勵”的公告，對于漏洞的舉報者，經官方鑒定后，根據漏洞的價值，通過Q幣、高額道具等形式對舉報者進行獎勵，而官方則對所獲得的漏洞進行修復，提高游戲質量。網絡游戲公司通過發布公告繼而對不特定人發出要約，而玩家即漏洞發現者向官方進行舉報即為即時完成的承諾，這本質上是一種民事交易行為，而這種交易行為基本上在所有網絡游戲公司與玩家之間形成了一個固定的模式，被普遍接受。

漏洞信息的交易除了在發現者與網絡游戲公司之間進行外，其巨大的商業價值滋生了灰色的市場交易平臺，例如地下黑市The Real Deal提供漏洞交易服務①地下黑市TheRealDeal提供0day漏洞交易服務，http://www.myhack58.com/ Article/60/76/2015/61477.htm，2015-04-21．。網絡安全公司“知道創宇”的技術VIP余弦曾說：有巨大價值的漏洞，都會在黑市上被交易，如果你把一個Win10的致命漏洞提交給微軟，可能拿到幾萬美金，如果你拿到漏洞黑市上交易，你可以得到幾倍、幾十倍、幾百倍的利潤。撇開道德因素，一個理智的黑客一定會在黑市中交易他手中的漏洞。雖然如此，余弦并未不認可黑市市場，他啟動“漏洞社區”計劃，這個社區最獨特的地方就在于可以明目張膽地合法交易漏洞。他認為，每個人都在集市里換得他們需要的漏洞，這是漏洞集市最大的價值所在。②知道創宇余弦——陽光下的“漏洞買賣”，http://www.leiphone.com/news/201509/ S8fxoNLO2KnSkjql.html?utm_source=tuicool ，2015-09-11．雖然游戲漏洞并未達到諸如Win10等致命漏洞的價值，但是對于網絡游戲行業而言，其價值性同樣打開了所謂“陽光下買賣”的灰色交易市場甚至是黑色市場的大門。不論是漏洞的黑色交易市場還是非官方的第三方漏洞買賣平臺都在一定程度上打破了正常的市場秩序，給網絡游戲公司帶來了巨大的危機，有礙于整個行業的穩定健康發展，應當成為法律予以限制甚至禁止的漏洞交易行為。

回歸本案，犯罪嫌疑人李某在發現漏洞之后，要求將漏洞出售給網絡游戲公司，對李某的這一行為，一些學者認為李某具有“非法占有”的目的，是“非法占有行為”的前置表現。但是什么是“非法占有”？學者張紹謙認為③張紹謙教授在“互聯網犯罪與互聯網安全監管相關問題研討會”（上海市徐匯區人民檢察院主辦，2016年2月19日）的發言觀點。，“非法占有”應當是一方純粹地以非法手段，把屬于對方財產轉為本人或者第三人所有，從而使得自己純粹獲益，對方純粹受害的行為。而在本案中李某出賣漏洞，從網絡游戲公司處獲得相當價值的貨幣，但是網絡游戲公司也并未純粹受害，他獲取了漏洞信息，從而有機會對漏洞進行彌補，提高游戲的質量，可以說這是一個互利互惠的交易行為。這種交易行為是發生在發現者與網絡游戲公司之間，與上述所講的“網游公司發布公告搜集漏洞”的性質一樣，只是要約主體與承諾主體發生了轉換而已。因此，李某要求出賣漏洞的行為本質上是一種處于協商過程中的交易行為，其沒有非法占有的意圖，不構成敲詐勒索罪。

（三）“脅迫”行為的應有評價

交易行為強調雙方意思的一致性，在本案中，李某提出將漏洞出賣給網絡游戲公司，遭到網絡游戲公司的拒絕，而后以“將漏洞出賣給其他人致使網絡游戲公司遭受更大損失”迫使網絡游戲公司答應進行交易，這一行為到底該如何進行評價？有觀點認為，這種言語表現屬于正常的商務談判技巧，但是談判應當是雙方利益的博弈，雙方不斷通過彼此手中的籌碼獲得更多利益或者進行讓步，這應當是建立在一個公平的基礎上，雙方都有著相對自由的選擇。但是在本案中，李某所掌握的“漏洞”籌碼使得打破了自由選擇的平臺格局，這種言語所表現出的所謂“談判技巧”已經突破了“談判雙贏”的理念，更帶有“脅迫”性，因此不應當認為李某的言語行為僅僅是談判技巧的表現。而作為一種“脅迫”行為，就直接表明了交易的非正當性，因此有觀點主張李某的行為構成強迫交易罪。在本案中，李某與網絡游戲公司之間是一種交易行為，在上文中已經闡述，那么李某的言語脅迫是否就達到了刑法意義上的強迫交易罪中“威脅”的程度呢？有觀點認為，在學理上一般將“威脅”分為三個層面：第一層面，行為人實施了某種行為使得對方產生恐懼心理；第二層面實施某種行為使得對方產生恐懼心理并影響對方的自由意志，使得對方不得不與之交易；第三層面，威脅行為使得對方喪失了反抗和認知的能力。從刑法介入的角度來說，第一層面的威脅不足以啟動刑法進行規制，第二層面的威脅通常達到了“強迫交易罪”所涉構成要件的程度，第三層面則是上升到諸如搶劫、敲詐勒索等罪名中的“威脅”程度。

在本案中，李某的“威脅”達到何種程度關鍵在于厘清“漏洞”之于“網絡游戲公司”的價值。筆者在前文已經闡述，漏洞具有及其重要的價值性，許多第三方依靠對漏洞的利用發家致富，而這損失皆由網絡游戲公司自身承擔，一些較為重要的漏洞若賣給第三方也會直接致使公司遭受致命性打擊甚至直接倒閉，可見“漏洞”之于“網絡游戲公司”而言具有至關重要的作用，任何一家網絡游戲公司都將受到漏洞所帶來的安全隱患。因此李某的威脅是足以影響網絡游戲公司自由意志，迫使其做出交易的。但是有觀點又提出，并非所有的漏洞都有影響網絡公司生存的威脅，一些小的漏洞雖會給網絡游戲公司帶來影響，但是這屬于正常的網絡游戲行業中游戲公司合理承擔損失的范疇之內，而這就不會達到第二層面的威脅程度，因此不應當一概而論。

筆者認為，漏洞的價值在經過檢測與驗證之前是無法確定它對于網絡游戲公司造成的影響的，而李某在與網絡公司交涉的過程中，其不可能先讓網絡游戲公司進行價值評估，因此對于網絡公司而言，不管漏洞實際的價值是多少，它都會被當作一個潛在的巨大風險來看待，而這種心理就足以達到“威脅”的程度。在本案中，事后的“漏洞價值”評估應當作為是否達到強迫交易罪的立案標準予以采用，而非作為影響“強迫交易罪”中“威脅”程度的影響因素。因此，從上述分析來看，筆者以為李某的脅迫行為達到了刑法意義上強迫交易罪“威脅”的程度。

三、本案的法律定性分析

從“發現漏洞”、“交易漏洞”到“脅迫公司”，雖然李某的“發現漏洞”行為不應當為法律所評價，但是從構成要件角度，其后的“交易—脅迫”行為所構成的整體符合了“強迫交易罪”的定罪標準，看似應當以“強迫交易罪”定罪量刑，但是，本案存在其特殊性。在新時代背景下，對于新類型案件的定罪不應當僅僅立足于“犯罪構成要件——行為”視角，而應當回歸刑法甚至是法律最基礎的理念和原則?；诖怂伎?，筆者以為雖然本案符合強迫交易罪的行為特征，但是不宜進行定罪量刑，主要理由在于：

（一）刑法謙抑性原則的要求

刑法謙抑性原則強調刑法介入的謹慎性。日本學者大谷實教授認為，謙抑性是刑法解釋的原理，又是刑事立法的原理，包括補充性、不完整性、寬容性，刑法所具有的、保護法益的、最后手段的特性被稱為刑法的補充性；刑法不介入市民生活的各個角落的特性被稱為刑法的不完備性；即使現實生活中已發生犯罪，但從維持社會秩序的角度來看，缺乏處罰的必要，因而刑法不進行處罰的特性被稱為寬容性。①大谷實著、黎宏譯．刑事政策學[M]．中國人民大學出版社，2009：86．

在本案中，雖然李某的行為符合了強迫交易罪的構成要件，符合了犯罪的該當性要件，但是在違法性層面，李某的行為是否具備違法性則是處于模糊地帶，“漏洞出售”作為發現者合理行使處分權的行為，法律并未做出明確的禁止，根據“法無禁止即自由”的罪刑法定理論，“漏洞出售”在網絡實踐和社會生活中是被允許的，至少目前是允許的。而“轉售給第三方”作為處分權的一種延伸，雖然確實給網絡公司造成了損害，影響網絡游戲行業的整體發展，法律應當予以介入調整，但是“轉售”行為是在遭拒后行使的行為，是基于整個網絡行業對發現者的智力勞動成果保護的空白造成的，而在未來網絡游戲行業政策法規的調整中，這種“轉售行為”在特定條件下可能被予以合法化。因此，李某的行為在違法性層面上是模糊的，是值得考慮的。在本案中，李某的行為并未給網絡游戲公司造成實質性損害，又基于李某的未成年人身份，因此并無處罰的必要性。既然刑法作為調整社會生活的最后補充手段，在其違法性模糊、無處罰必要性的前提下，動用刑法違背了刑法謙抑性的原則。再者，刑法謙抑性又稱為“二次評價”理論，是指對于某種危害社會的行為，國家只有在運用民事、行政等手段仍不足以抗制時，才能運用刑法的方法。本案李某的行為介于“民事”與“刑事”的分水嶺，但是民事尚未對此類行為進行規制，而直接采用刑法對其進行評價，同樣違背刑法謙抑性原則。因此，對于李某的行為不宜入罪。

（二）未成年人刑事政策的要求

我國對未成年人刑事犯罪案件堅持“教育為主、懲罰為輔”，“少捕、慎訴、少監禁”的刑事政策方針。在本案中，李某作為未成年人在發現漏洞之后，對漏洞的利用是十分有分寸和有節制的，李某并沒有實施諸如外掛、私服等法律所禁止的行為，也沒有直接將漏洞信息出賣給第三方，而是先與網絡游戲公司交涉，且李某所要求的金額是符合漏洞價值的，在合理議價范疇之內，這是李某合理處分智力勞動成果的表現。在協商未果之后，李某采取言語威脅，雖然達到了足以影響網絡游戲公司自由意志的程度，但是立足于未成年人身心的視角，在未成年人這一成長階段，其較易沖動，言語威脅時常帶有“嚇唬嚇?！钡暮⒆有膽B，尤其作為游戲玩家，網絡公司對其交易的允諾往往是對其智力勞動成果的肯定，遭拒后的失落與不甘促使了“非理性”的未成年人做出這樣的脅迫行為。在本案中，未成年人是弱勢群體，法律不應當只立足于網絡公司這一強大一方的利益得失去評價。對未成年人的“錯”應當保持必要的寬容，以教育感化為主，刑法評價應當極為慎重。

（三）現代市場經濟發展及科技創新的要求

以互聯網產業為代表的中國信息產業日益蓬勃發展，并已成為國民經濟和社會發展的重要組成部分，其中網絡游戲產業的發展速度最為驚人，見下圖所示：

網絡游戲為國民經濟的發展帶來了巨大的增長點，但是漏洞作為網絡游戲發展不可避免的制約因素，直接影響了社會的發展。唯有通過科技的不斷創新，快速持續不斷地發現漏洞、及時彌補漏洞，減少網絡游戲行業損失，才能使網絡游戲這一新興產業擁有良好的發展前景。在本案中，李某通過智力勞動發現漏洞，若能及時且成功地與網絡游戲公司進行協商，網絡游戲公司便可防范漏洞所造成的損失，同時通過對漏洞的研究，不斷提高網絡游戲的質量，推動行業發展且利于科技的發展，這是網絡游戲這一特殊行業立足的需求，是網絡游戲行業不管如何發展進步都無可避免地走“漏洞彌補、科技創新”的循環路徑。倘若對李某的行為予以刑法這一最嚴厲的法律介入規制，在缺乏對“漏洞發現者”合理處置權保障的前提下，將會降低玩家對漏洞發現、報告的積極性，僅僅依靠網絡游戲公司研發者對漏洞的發現、修復的探索，會制約科技前進的步伐，影響網絡游戲行業發展的效率；從另一方面來說，法律若過分注重對網絡游戲公司的保護，將會使得玩家走向外掛、私服以及黑市交易等另一個極端，而這一極端路徑更加不利于行業發展、社會進步。

四、本案引發的進一步思考

網絡游戲行業的興起與發展帶來了社會行為的多樣化與不可預測化，法律在應對這些新出現的行為類型上顯得有些蒼白無力與無所適從。在互聯網盛行時代，法律如何發揮對網絡背景下新興行為的引導作用值得思考。在本案中，游戲漏洞發現者出售漏洞遭拒后以向第三方出售相要挾行為之所以引發理論與司法實務界的爭論，是因為現行的政策、法規對網絡監管的滯后所導致的，跳出本案的定性之爭，我們應當重點審視本案帶給我們的理論思考，即網絡游戲行業發展如何與行為規制之間做到無縫對接。

在本案中，幾名涉案未成年人都是酷愛網絡游戲的玩家，在游戲漏洞的發現上都具有極高的天分，這是玩家們智力勞動的成果。而在網絡行業中，由于游戲漏洞具有較強的價值性，這就決定了玩家對于漏洞的信息的支配應當屬于其該有的民事權利。但是，漏洞不僅僅涉及金錢價值，同時它影響著網絡游戲公司的生存發展，在整個網絡游戲行業發展過程中具有舉足輕重的地位，此外它更涉及網絡的安全問題，因此其支配權應當是有一定的限度的。在我國的民商法律關系中，“優先購買權”就是出賣人權利受限的一典型。所謂的“優先購買權”是指特定人依照法律規定或合同約定，在出賣人出賣標的物于第三人時，享有的在同等條件下優先于第三人購買的權利。優先購買權的價值在于法律作為利益分配的調節器，應堅持“兩利相權取其重”的價值取向進行平衡，保護這一利益不但對于個人且對經濟秩序的穩定發展具有十分重要的意義。針對本案所折射出的漏洞交易，網絡游戲公司應當被賦予“優先購買權”的地位，玩家對漏洞信息的使用應當是合理地使用，而非肆意地支配。

在理論上，網絡游戲公司雖享有優先購買權，但是在實踐操作中存在著一些問題：第一，優先購買的對象是漏洞信息，漏洞信息是虛擬產物，其價值性難以判定，在涉利雙方——玩家與網絡游戲公司之間，對漏洞信息的可靠性與價值性的判斷皆有失偏頗；第二，玩家合理使用權的保護。雖然網絡游戲公司享有優先購買權，但是玩家對漏洞信息的支配權依舊是合法正當的權利，在網絡游戲公司拒絕行使購買權的前提下，玩家如何保護自己的合理使用權應予考量。筆者以為有必要引入第三方中立機構，對上述實踐難題予以必要的幫助。

第三方網絡平臺作為中立機構，應當發揮三大功能：一是評估功能。第三方網絡平臺作為無利害關系第三方對漏洞的評估具有客觀性，通過第三方網絡平臺的介入，能夠消除網絡游戲公司對玩家提供漏洞價值的質疑，合理做出是否購買的決定，同時減少了玩家與網絡游戲公司之間斡旋的時間成本。二是轉交易功能。由于玩家與網絡游戲公司之間存在著利益的博弈，有時候漏洞的交易在雙方之間難以達成合意，此時，第三方網絡平臺就發揮了轉交易功能，充當起了中轉站，由第三方網絡平臺收購玩家提供的漏洞，再轉賣于網絡游戲公司。這種“轉交易”避免了玩家因遭拒后導致智力勞動成果利益享有的喪失，將不利后果的承擔由玩家個人轉向了第三方中立平臺，保護了公民的合法權利，同時也是避免玩家因不得利轉而走向實施“私服”、“外掛”等禁止行為的最好方式。三是監督功能。在前文中已經提及，目前網絡漏洞的交易存在著諸如“陽光下的漏洞買賣”這種灰色的民間交易市場，甚至還存在著黑色市場，這種灰色乃至黑色的市場交易的存在不僅僅是利益價值的得與失，其實是對整個網絡安全最危險最大的潛在沖擊，因此第三方平臺應當承擔起監督功能，及時發現并制止，對玩家“合理使用權”進行正確的引導。

此外，對于第三方網絡平臺的搭建主體，筆者以為，目前由政府主導最為適宜。雖然網絡發展有其自身的態勢，政府過多的干預容易限制其發展，但是我國目前尚處于網絡安全發展的不穩定期，各種問題層出不窮，將第三方網絡平臺完全任由民間力量進行主導，濃厚的商業性質容易使其走向模糊的危險地帶。此外，第三方網絡平臺的“轉交易”功能和監督功能要求搭建主體不僅僅具有中立性質，同時應當具有公立性質和威懾性質，而目前，政府是最佳的選擇。因此由政府主導，搭建第三方網絡平臺是應對網絡漏洞過程中應有的舉措。

由本案所引發出的爭議以及當前在灰色地帶產生的第三方平臺所帶來的問題，其根結點還是落腳于如何健全網絡安全立法。近些年，我國的網絡安全立法有了很大的進展，主要體現在兩個方面：一是專門的網絡安全法進入立法計劃。2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法（草案）》，隨后該草案在中國人大網上全文公布，并向社會公開征求意見。《網絡安全法》進入十二屆全國人大常委會公布的2016年立法計劃之中。二是其他相關法律對于網絡安全問題多有涉及。例如，《刑法修正案（九）》針對網絡違法犯罪行為的新情況，進一步完善了刑法有關網絡犯罪的規定，進一步加強了對公民個人信息的保護，對網絡服務提供者、網絡信息發布者等主體的責任做出了更為嚴密的規定。此外，在《反恐法》、《國家安全法》等相關法律中對于網絡安全問題也都有所涉及。

在目前網絡安全立法進展中最快的，主要是涉及到國家安全和重大社會公共利益的領域，我國的網絡安全監管立法在這些領域做了比較快速的漏洞彌補。但對于私人領域的，包括一般的公司、企業與個人之間的網絡安全行為及其合法性的邊界，在目前的立法中并未得到較為全面的修補與完善。除了涉及國家安全和重大社會公共利益的領域之外，在屬于私人領域的網絡空間，其行為的合法性邊界同樣需要明晰的劃定。因為，這不僅會涉及到公民個人權利保障和企業正當經營權的界限問題，而且從深層次上看，也與某一領域的互聯網安全息息相關。

網絡的發展伴隨著信息技術的革新，“我國網絡法律結構單一，難以適應信息技術發展的需要和日益嚴重的網絡安全問題。網絡安全保護實踐的依據多為保護條例或管理辦法，缺少系統規范網絡行為的基本法律”。①網絡安全立法面臨三大“軟肋”[EB/OL]．http://zqb.cyol.com/html/2014-11/01/ nw.D110000zgqnb_20141101_4-03.htm，2014-11-01．由該起案件所提出的值得思考的問題是，如何合理地界定網絡空間中行為的合法性邊界，這也是完善網絡安全立法應當解決的核心問題。

How to Def ne Bug-Trading Act According to Criminal Law and Related Consideration——Take for Example Li’s Case of Trading Game Bugs

Yao Jianlong, Zhang Shaonan
(Shanghai University of Political Science and Law, Shanghai 201701, China)

A juvenile who discovered a game bug attempted to sell the bug but it was refused so he threatened to sell it to a third party. Whether his act is guilty or not leads to an judicial argument. Is it forced trading or extortion or blackmail? From the perspective of behavior analysis, the bug discoverer matches constitutive elements of forced trading but from the angle of limitation of criminal law, criminal policies and demands of modern science development, he is not guilty and can not be convicted. In the network, the act of such kind is on the rise, which should draw our attention and supervision. It is suggested that the government should establish a third-party platform, which has its assessment functions and plays the role of both trading and supervision so that the win-win goal can be attained by trading bugs safely and fairly. Meanwhile, laws on the web safety should be made or perfected to provide legal protection of the web and to deal with coming diverse web acts.

Bug; Def ne; Third-Party Platform; Legislation and Supervision

D914

B

1008-5750(2017)01-0047-(11)

10.13643/j.cnki.issn1008-5750.2017.01.006

2016-12-27 責任編輯：陳 匯

姚建龍，上海政法學院刑事司法學院院長、教授、博士生導師；張少男，上海政法學院刑法學研究生。