1. 问题的提出
随着数字经济时代的全面开启,算力作为“新引擎”,是推动数字经济持续纵深发展的重要动力。以人工智能为代表的产业发展和应用场景强依赖于算力要素,金融市场高频交易、VR/AR、超高清视频、车联网、智能工厂等实时性要求高的场景和业务,将因为有足够的算力支撑而得到快速发展和落地 [1] 。“算力网络”的提出让算力进入了基础设施范畴。2022年2月,“东数西算”工程全面启动,“数据向西,算力向东”,解决了我国东西部算力资源供需不均衡的现状,带动全国数字经济协同发展 [2] 。当前以ChatGPT引领的AI产业的发展,带动了全球算力需求持续上涨,算力商品化进程蓬勃发展。在“东数西算”工程开展一周年之际,国内首个算力交易平台——东数西算一体化算力服务平台,于2023年2月24日在宁夏银川正式上线运营 [3] 。
在算力持续飞速发展的同时,以“恶意挖矿”为代表的侵害他人算力的行为也频频发生。恶意挖矿,简言之是指未经他人允许利用他人计算机进行虚拟币挖矿的行为。例如,在“百度公司安某恶意挖矿案”中,被告人安某非法侵入北京百度网讯科技200余台服务器并利用其算力“挖矿”,共非法获利约10万元1。在“吴某圣非法侵入计算机信息系统案”中,被告人吴某圣借助香港IP、利用远程桌面工具、破解账号密码等非法手段侵入多省市公安网、视频专网计算机信息系统,并在侵入的271台计算机上安装运行门罗币挖矿软件,获取总计42枚门罗币,占用被控计算机CPU 20%~50%的算力2。
对于该类行为的定性与追责,国内现有法律并未对此做出明确的规定,学界的研究成果也极少。在司法实践中,该类非法获取算力“挖矿”的行为若情节严重触犯刑法,一般以计算机犯罪定罪处刑。此前,法院对于窃取电力用于比特币挖矿的行为早有以盗窃罪定罪处刑的判决3,但不同于电力在刑法上的“财物”地位已在盗窃罪司法解释中获得确认,与电力一样无形的算力是否可以被认定为一种新型的财产?非法获取他人算力行为若情节严重涉及刑事犯罪,应当适用何种罪名?计算机网络犯罪还是财产犯罪?这些问题具有独特而现实的研究价值,亟待法学研究者的学术聚焦。
2. 算力与非法获取他人算力现象
2.1. 数字时代的算力概念
算力(Computing Power),从字面意思理解即计算能力,目前还没有严格的学术定义。诺贝尔经济学奖获得者William D. Nordhaus认为,算力是设备根据内部状态的改变,每秒可处理的信息数据量 [4] 。计算机领域对“算力”有一个大致的共识,即表示某个设备或系统的计算性能,表征计算性能的指标一般使用运算速度表示,如百万指令数每秒(MIPS)、浮点操作数每秒(FLOPS) [5] 。据工信部数据,截至2022年6月底,我国算力总规模超过150 EFlops (每秒100亿亿次),算力规模排名全球第二。
2.2. 国内外非法获取算力现象层出不穷
近年来,非法获取他人算力现象层出不穷。针对各地多发的非法获取单位算力资源“挖矿”问题,国内多所高校和科研院所都要求全面排查非法利用单位算力资源行为。2021年7月,国家互联网应急中心浙江分中心在一次抽样监测中发现,浙江有4699个存在“挖矿”行为的IP地址,其中的183个IP地址涉及78家国有单位。同年9月,浙江省纪委监委、省委网信办抽调精干与技术专家组成联合检查组,突击抽查了全省7个地区20家国有单位的36个IP地址,严肃纠查了一批利用公共资源“挖矿”与交易的违规违纪行为,查处相关责任人员48人 [6] 。
国外的非法获取算力现象也呈现多发态势,美国国家科学基金会、哈佛大学、伦敦帝国理工学院都曾爆出内部人员利用机构、学校算力资源挖矿获利 [4] 。非法获取他人算力造成重大损失的甚至面临刑事指控。Matthew Ho,一名29岁的新加坡骇客,通过非法利用他人信用卡信息的手段盗用亚马逊AWS、谷歌云合计约545万美元的云计算服务用于“挖矿”。他被指控涉及美国电信诈骗、非法访问设备与身份盗用等14项罪名 [7] 。
2.3. 打击非法获取算力行为需刑法介入
近年来,非法获取他人算力的行为严重侵犯他人合法权益、扰乱社会公共秩序,甚至危及公共安全。以“王某、李某、刘某恶意挖矿案”4为例,行为人在杭州市90余家合作网吧的8000余台客户端计算机上安装挖矿程序盗用算力挖矿,给网吧经营者造成严重的经济损失。上文提及的“吴某圣非法侵入计算机信息系统案”中,吴某圣侵入多省市公安网、视频专网计算机信息系统,占用政府部门的算力谋取私利,其行为不仅扰乱公共秩序、侵犯公共利益,甚至危及公共安全。在政府部门、大型互联网公司和大数据机构算力支撑下的交通、医疗、金融、社交办公等关键领域,若存在非法获取算力的“米虫”,使得该领域功能失灵、安全风险增加,其造成的危害后果在海量用户的放大下将无法估量。
非法获取算力行为的社会危害性逐渐凸显,然而法律对算力侵害行为的回应却具有滞后性。我国当前法律未对“算力”做出清晰的属性界定与规范保护,法学界对此问题也鲜少论述。在民法层面,一则侵犯算力的行为大多具有隐蔽性和匿名性,普通受害方通过民事诉讼维权的难度较大、成本较高。二则,民事救济以填平损害为原则,难以充分保护受害人的财产损失。在行政法层面,执法依据的欠缺、行政处罚力度不足都是其面临的难题 [8] 。在浙江省“挖矿专项整治”活动中,非法获取算力“损公济私”的行为似乎并未触发民法或者行政法上的法律后果,对该行为的惩戒力度较轻、威慑力较小。
在民法和行政法规制不力的情形下,针对严重损害算力网络、造成重大损失的非法获取算力行为,刑法应当出面积极干预,发挥其打击犯罪、保护公私财产、维护社会秩序的作用。
3. 归罪的现实路径:计算机类犯罪
3.1. 司法实践多认定为计算机类犯罪
当前,司法实践中对于“盗用”他人算力资源挖矿行为倾向于适用计算机相关犯罪,其中以“非法控制计算机信息系统罪”适用频率最高,非法获取计算机信息系统数据罪、非法侵入计算机信息系统罪等也偶有适用。
例如,在上文提及的影响力较大的“百度公司安某恶意挖矿案”中,安某系百度网讯科技有限公司员工,利用维护百度公司搜索服务器的工作便利,以技术手段在服务器上安装“挖矿”程序牟利。被告人律师对于检方指控的非法控制计算机信息系统罪提出辩护意见,首先被告人作为维护系统的工程师,百度公司赋予了其对相关计算机信息系统的控制权,所以不存在非法侵入的行为。其次,百度公司对于相关计算机信息系统并未失去控制权,被告人安某只是盗用了百度公司计算机信息系统的算力,属于盗用行为,不是非法控制行为。二审法院并未采纳该辩护意见。法院认为,安某作为运维工程师,基于百度公司的授权确有进入该公司服务器及操作运行服务器的权限,其行为本身不属于非法侵入行为。但安某在合法进入百度公司服务器后,其操作超越公司授予的权限,擅自在服务器中增加程序目录,部署挖矿程序,占用百度公司服务器运算资源,该行为即属于“利用技术手段”非法控制百度公司计算机信息系统的违法行为。
3.2. 适用计算机犯罪于法有据却存在缺陷
针对非法获取算力行为,当前司法实践以计算机类犯罪定罪符合法律、相关司法解释的规定。但从保护法益、受害人损失填补、罪刑均衡等角度分析,仅以计算机犯罪定罪处罚仍有不妥之处,下文以非法控制计算机信息系统罪为例展开分析:
第一,适用非法控制计算机信息系统罪未能充分保护法益。该罪的保护法益为国家事务、国防建设、尖端科学技术领域以外的普通计算机信息系统的安全,也有观点将该罪保护法益扩张为广义的网络安全与秩序。然而,非法获取算力这一“非法控制行为”侵害的法益除计算机信息系统安全外,还包括受害人的财产权益。事实上,控制计算机信息系统罪在设立之初主要是为了解决计算机信息系统的“使用盗窃”问题,而触犯该罪的主要动机是牟利 [9] ,但考虑到计算机信息系统的属性界定困难、“非法控制”后续违法犯罪行为取证难、定罪难问题,只将情节严重的手段行为——非法控制计算机信息系统入罪,在情节严重的认定上考虑侵财因素以“违法所得”和“经济损失”数额作为判断标准之一。
第二,适用非法控制计算机信息系统罪难以填补受害人损失。首先,非法获取算力挖矿相关案件的判决中一般会写明“追缴被告人违法所得,予以没收并上缴国库。”但诸如百度公司、网吧这样的受害主体的损失,如电费损失、计算机卡机、运行慢、掉线及成本攀升等损失多数情况无法获得财产上的退赔5。其次,追缴被告人的违法所得收益,与实际的算力损失并没有显著的相关性。“挖矿”收益受多种因素的影响存在不确定性,如挖矿的时间先后、矿工的数量、币价的波动、交易手续费等等。而比特币等虚拟货币交易的匿名性也导致想要毫无遗漏地查清被告人所有获取、结算、交易的虚拟货币数量,即使对专业化程度较高刑事侦查技术部门来说也并非易事。最后,从电费损失的角度考量,挖矿收益有时会低于电力成本。
第三,适用非法控制计算机信息系统罪可能导致罪刑不均衡。非法控制计算机信息系统罪的法定最高刑为七年。计算机的运行离不开电力,行为人非法获取的算力价值中必然包含了对电力的非法占有。在非法获取算力规模尚小、时间较短,造成电力流失不大的情形下,行为人“盗用”算力与盗窃电力分别适用的非法控制计算机信息系统罪与盗窃罪的刑罚基本相当。以“段某某、孙某某盗窃学院电力挖矿案”为例,该案行为人并非直接获取学院计算机设备的算力而是通过私拉电缆线秘密窃取学院电力用作虚拟币挖矿,窃电金额约为11万,应认定为盗窃数额巨大,最后两人分别被判处有期徒刑四年三个月、四年。若将窃电金额视作非法控制计算机信息系统罪中“造成的经济损失”数额,达到了该罪情节特别严重的认定标准“5万以上”,量刑幅度应在三年以上七年以下,盗窃罪的刑期也在此范围内。然而,当非法获取算力规模大、造成电力损失数额特别巨大时,适用盗窃罪可判处十年以上有期徒刑或无期徒刑,但因非法控制计算机信息系统罪的最高刑为七年,此种情形下就存在罪刑不均衡的问题。例如,在“李某军盗窃电力挖矿案”6中,被告人偷电挖矿,至案发被盗电力价值共计人民币60余万元,最终法院认定其窃取国家电力数额特别巨大,被判处有期徒刑十二年。换言之,“盗用”算力挖矿的罪犯比起自购矿机、自设场所,窃电挖矿的罪犯在两者造成的电力损失都达到盗窃罪数额特别巨大的标准,即三十万元至五十万元以上的,“空手套白狼”者反而能获得更轻的裁判,这显然存在不合理之处。
4. 归罪新路径之设想:财产犯罪
4.1. 算力的财物属性争议
将非法获取算力行为认定为计算机犯罪既然存在诸多问题,我们不妨探寻一条归罪的新路径——财产犯罪。如前所述,算力在数字时代的价值逐渐凸显,但其法律定性模糊,算力侵害行为的法律责任尚无明确规定。若要选择财产犯罪的归罪路径,首先必须回答算力是否属于刑法上的财物这一问题。
我国《刑法》分则第五章标题为“侵犯财产罪”,而关于抢劫、盗窃、诈骗、侵占等具体法条中对犯罪对象的表述均为“财物”。笔者同意将“财物”和“财产”作同一理解的观点。“财物”不应局限于“物”而应侧重在“财”的意义上加以把握 [10] 。我国刑法通说认为财物还包括财产性利益,承认财产性利益可以作为侵财类犯罪的客体。此外,在有关盗窃罪的司法解释中,盗窃电力、盗接通信线路、盗窃网络账号密码并使用,达到数额较大标准的,也以盗窃罪定罪处罚。但对于算力的法律属性,刑法条文及司法解释均未提及。
司法实践对算力的财物属性基本持否定的态度。在“成某非法控制计算机信息系统案”7中辩护律师提出应认定被告构成职务侵占罪,法院认为被告人本职工作是维护网吧计算机的日常运营,并没有经手管理单位财物的权限,因此不构成职务侵占罪。虽未直接言明,但从侧面否认了计算机算力的财物属性,由此排除了适用职务侵占罪的可能。
算力是否属于刑法意义上的财物,在学界大致存在两种观点。持肯定说的学者主张,算力的商品化推动算力逐步脱离特定的计算设备,从设备性能指标符号转化为具有使用价值和交换价值的新型财产 [4] 。数据服务的背后是算力,它和电力一样属于无体物,可以解释为财产性利益。计算机类罪名可以保护具有公共利益性质的数据服务,但个人利益性质的数据服务,应当交由财产类罪名保护 [8] 。算力具有管理可能性、转移可能性与客观经济价值,应当被刑法保护。并且算力的产生本身就意味着电力的消费、服务器的损耗,将其认定为财物没有常识上的问题 [11] 。持反对观点的学者认为,非法获取算力不应构成盗窃罪,盗窃罪是数额犯。算力损失存在数额认定上的困难,不具有可操作性 [12] 。
笔者支持肯定说的观点,算力虽为无体物,但其具有刑法上的财物属性。传统的有体性说认为刑法上的财物必须是有具体形状,具有一定空间和容量的现实之物,不限于固体,也包括液体和气体,如水、工业用气等。工业时代,德国、日本认为刑法中的财物应当是有体物。第二次工业革命后人类社会进入了电气时代,电作为一种无体物,极大地改变了人们的生产生活。随着盗窃电力案件出现,“物必有体”的认识发生了改变,1907年《日本刑法典》将财物范围扩张到包括电力在内的无体物,德国刑法也专门规定了盗窃电力罪。数字时代的全面开启,改变了财物的存在形式。算力作为数字时代的一种新型能源,与电力、火力、冷气等传统能源一样,都是提高生产效率的能量 [8] 。据研究,算力指数平均每提高1个点,数字经济和GDP将分别增长3.3‰和1.8‰;当一个国家的算力指数达到40分以上时,指数每提升1个点,对于GDP增长的拉动将提高到1.5倍8。工信部信息通信发展司司长表示,数字经济时代,算力不仅是关键生产力,也将成为普遍应用。算力正在从“资源”变成“要素”,最终将像水、电一样,应需而生、应需而动、应需而变,成为人们生产、生活必不可少的基本组成部分。就如同先前“电力”这一看不见的抽象能源一般,刑法认可算力的财物属性也必然有一个过程。此外,我国刑法第九十二条关于财产形态中“其他财产”的兜底性规定,以及第二百六十四条盗窃罪条文中的“公私财物”并未排除无体物,这为在罪刑法定原则下与时俱进地解释财产的具体存在形态提供了刑法解释空间 [13] 。
4.2. 算力具备财物的价值性、管理可能性、交易可能性等一般属性
刘宪权教授认为,某一物品是否属于刑法中的财物并不是由其是否被其他法律认可所决定的,而是由其是否具有经济价值、管理可能性和交易可能性决定的 [14] 。对此,笔者深以为然。
首先“算力”具有价值性。算力的价值属性与其他“虚拟财产”不同之处在于,其作为一种数字经济时代必不可少的“资源”,价值的客观性更加凸显。一方面算力建设需要大量的资金、设备、能源、技术和人员投入,客观上看凝聚了大量智力劳动成果,具有价值和使用价值。另一方面,“供不应求”是算力市场的现状。算力是数据处理的能源来源,大数据、人工智能等各行各业都离不开强大的算力保障。2023年开年来,Chat GPT以其强大的信息整合和对话能力惊艳了全球,引发火爆关注,其背后的算力消耗惊人,后续的AI训练所需算力呈指数增长。
其次,算力具备管理可能性。算力虽不具备物质实体,也无法像电、光、热等可被身体感知,但是人们可以凭借信息技术手段对其进行支配和管理。在终端算力中,我们可以通过服务器对不同任务进行运算资源的控制与管理;在网络化算力中,算力运行供给的各个阶段都按照管理者事先设定的程序、步骤和路径进行,一切都在掌控之中。各类型、各层次的算力都能够在算力网络中非常便利地实现统筹供给和利用,这种管理并非直接管理,而是通过计算机网络、算法、秘钥等可操控的间接方式予以管理,待算力产业逐渐成熟,管理也将更为有序、便捷。
最后,算力具有交易可能性。算力的商品化过程要经历终端算力阶段、网络化算力阶段、算力网络阶段 [4] 。当前,我们的算力产业发展处于从网络化算力阶段进阶到算力网络的过渡期,云算力平台已基本取代企业的数据中心成为主流,算网一体化发展势头强劲。2023年2月国内首个算力交易平台“东数西算一体化算力服务平台”上线运营,像购买水、电一样“一站式”购买算力服务成为现实。与此同时,2023年5月,中国电信在业内率先发布“算力套餐”,套餐是“基础算力 + 算力连接 + 算法模型 + 算力安全”的一体化服务产品,算力的交易更加便捷,选择也更加多样。
算力的上述属性表明,算力具备刑法上财物的特征,完全可以扩大解释为财产犯罪的对象。当然,对于需要由刑法特别保护的无形物,笔者更期待在时机成熟时以法律或立法、司法解释作出明确列举的方式确认其“财物”属性。
4.3. 非法获取算力可适用盗窃罪或职务侵占罪
上文既已论证算力属于财产犯罪中的“财物”范畴,那么非法获取算力数额达到入刑标准,可适用财产犯罪中的盗窃罪或职务侵占罪。下文以“非法获取算力挖矿”为例进行具体分析。
首先,非法获取算力挖矿一般通过植入木马程序和获取设备登录账号这两种和平非暴力的技术手段进行,行为人并未实施欺诈行为,不知情的受害人也并未对算力作出处分,因此不适用抢劫罪、抢夺罪、诈骗罪等罪名。其次,非法获取算力挖矿的行为只侵占了设备的部分算力,对计算机、服务器等硬件性能与运行不会造成功能性损坏,因此也排除故意毁坏财物罪的适用。盗窃罪的成立以“转移占有”为前提,算力的非法获取并未转移占有计算设备,而是利用技术手段排除被害人对运算资源的占有支配,通过自用或上传算力至挖矿网站的方式完成转移占有并消耗算力。具有刑事责任能力的行为人在算力财产权利人不知情的情况下,以非法占有他人算力“挖矿”牟利为目的,秘密实施获取他人算力行为,且达到数额较大标准,符合盗窃罪的构成要件。相同的行为模式下,行为主体若是公司、企业或者其他单位的工作人员且利用职务上的便利侵犯单位算力,应当适用职务侵占罪。
4.4. 无法回避的实践难题:算力损失计算
财产犯罪中犯罪数额的认定是定罪量刑的关键,与其他有形财物相较,算力作为一种新型财物有其特殊性,受害者的算力损失计算无疑是最大的司法实践难题。当前,对于算力损失的计算大致存在以下两种思路。第一,以行为人非法获取的算力本身价值作为损失计算的依据,其中包括算力数量与单价的认定两方面。就数量而言,如果非法获取算力的过程有精准记录,则按照记录数量认定算力减少量;如果没有精准记录,可以借鉴电力、燃气、自来水等盗窃案中的数量认定方法,以盗用前月均正常用量减去盗用后可查实的月均用量推算月均盗窃数量。就算力价格而言,优先适用损失发生时当地算力的市场价格。当没有可比市场价格时,可适用“其他合理方式”来计算算力损失,例如由专业的评估机构出具算力价值鉴定意见。第二,以挖矿收益,即违法所得的虚拟货币价值金额作为算力损失的认定标准。首先,与算力估价的复杂程序与较高成本而言,以挖矿收益作为涉案金额予以认定更加高效、明确。其次,我国盗窃罪的司法解释规定盗接他人通信线路、复制他人电信码号出售的,按照销赃数额认定盗窃数额。若将算力的使用与消耗视作一种“销赃”般的利益置换,这样的类比似乎也能成立。
笔者认为,以挖矿收益作为算力损失计算的依据有不妥之处。上文已讨论挖矿的违法所得收益与实际的算力损失并没有显著的相关性,故笔者认为其不能作为数额认定依据,但可以作为酌定的量刑情节予以考虑。相比之下,以算力本身价值作为损失计算的依据更为合理。稍显不足的是,从已有判决看算力的“盗用”对象多为用户自有的终端算力,算力的“月均用量”并没有电表、水表这样直观可信的数据。虽说市场上已有许多算力监控工具如“挖矿小能手”,可以精准监控算力的使用情况,但普通用户的计算设备很少会提前安装此类监控工具。一般情况下,通过检测计算设备的CPU、任务管理器与流量使用情况可初步判断是否存在非法获取、使用算力的行为,但对于算力损失的具体数量,除计算设备中尚存的缓存记录与系统日志外,往往无从查证。
对此,笔者建议可借鉴“偷电挖矿”盗窃案件9中对涉案矿机单位时间内用电量的侦查实验方式,首先在涉案计算设备上提前安装算力检测工具,而后在单位时间内运行被告植入的挖矿程序,获得该时段内算力消耗的数量。接着根据行为人利用的计算设备数量与使用时间得出算力损失的总数量,结合当地、当时的算力价格,最终完成对算力损失的价值评估。
NOTES
1北京市海淀区人民法院(2019)京0108刑初80号判决书。
2江西省宁都县人民法院(2018)赣0730刑初419号判决书。
3鞍山市铁东区人民法院(2020)辽0302刑初311号判决书。
4杭州市下城区法院(2019)浙0103刑初25号判决书。
5绍兴市中级人民法院(2020)浙06刑终196号裁定书。
6淮南市田家庵区人民法院(2019)皖0403刑初339号判决书。
7广州市番禺区人民法院(2018)粤0113刑初2876号判决书。
8浪潮信息联合IDC。2020全球计算力指数评估报告[EB/OL]。 https://mp.weixin.qq.com/s/40bxwyMwlySJNMiJU3PSQg,2021-02-07。
9安徽省淮南市田家庵区人民法院(2019)皖0403刑初339号判决书。