漏洞交易行为的刑法边界及相关思考
——以李某出售游戏漏洞案为例

姚建龙，张少男

（上海政法学院， 上海 201701）

【公安与法】

漏洞交易行为的刑法边界及相关思考
——以李某出售游戏漏洞案为例

姚建龙，张少男

（上海政法学院， 上海 201701）

发现游戏漏洞的未成年人出售漏洞遭拒后以向第三方出售相要挟行为在司法实务中引发了定性之争——无罪？强迫交易罪？敲诈勒索罪？从行为角度分析，游戏漏洞发现者的上述行为符合了强迫交易罪的构成要件，但是从刑法谦抑性、刑事政策角度以及现代科技创新发展需求方面来说，不具备有责条件，不宜定罪入刑。在网络行业中，该类行为的突现，应当引起我们对网络行业的监管的重视，建议由政府搭建第三方网络平台，发挥其评估功能、转交易功能以及监督功能，以便漏洞在公平安全双赢的环境下进行交易，同时建立健全网络安全立法，从法律上为网络行业的发展提供强有力的保障，以应对多样化的网络行为。

漏洞；定性；第三方平台；立法监管

一、案情简介与定性之争

2014年下半年，犯罪嫌疑人李某（未成年人）与其他七人在使用上海市某网络科技公司（以下简称“网络公司”）开发的手机游戏中，在QQ聊天软件上建立了“新秀WPE公司，专用学习群”。QQ群建立后，群内成员不断将该款游戏的漏洞发布到QQ群内，后群内网友经商议，决定由李某出面将该款游戏的漏洞出售给网络公司。2014年12月3日，李某作为网友代表联系了网络公司，称已经掌握了该公司手机游戏的漏洞，现要求将漏洞出售给该公司，然而却遭到该公司的拒绝，被拒后，李某声称若网络公司不买，便将漏洞出售给其他玩家，由此网络公司将面临更大的损失。在此情况下，网络公司以人民币5000元的价格购买了3个漏洞。2014年12月5日，李某再次以同样的方式联系网络公司，要求以人民币1万元的价格出售该款游戏的其他漏洞时，网络公司假意答应后报案而案发。①案例来源于“互联网犯罪与互联网安全监管相关问题研讨会”（上海市徐汇区人民检察院主办，2016年2月19日）。

司法实务部门和理论界在对李某的行为性质进行法律上的认定时出现了分歧。

观点一认为李某构成了敲诈勒索罪。敲诈勒索罪是指以非法占有为目的，对被害人使用威胁或要挟的方法，强行索要公私财物的行为。主张者认为，从主观方面而言，李某明知“将游戏漏洞出售给其他玩家，将使网络公司遭受巨大损失”这一事实，却在遭到网络公司拒绝购买后，仍以“出售给其他玩家”为威胁，反映出了李某要求网络公司“允诺购买”的强制性态度，其非法占有他人财物的主观目的显露无遗；从客观方面而言，网络公司在李某的言语威胁下，无奈选择购买游戏漏洞，该购买行为纯属被迫性，由李某的威胁行为造成，两者之间存在直接的因果关系，李某行为所表现出的主客观方面，均已符合敲诈勒索罪的构成要件，且根据最高人民法院《关于敲诈勒索罪数额认定标准问题的规定》，敲诈勒索罪的起刑点为一千元至三千元（各地根据实际情况确定），在本案中，李某所涉数额已经达到了入罪标准，因此应当以敲诈勒索罪对李某进行定罪量刑。反对者认为，敲诈勒索罪属于财产犯罪，其成立的前提要求行为人有非法占有财产的主观恶性心态，虽然李某的言语威胁行为体现出了其渴望获得网络公司一定金钱数额的强烈欲望，但是同时李某对网络公司实施了对待给付，即将其智力成果所得——游戏漏洞告诉对方，这是一种各取所需的交易行为，与财产犯罪中传统意义上的“占有”并不完全相同，因此李某是否具备非法占有他人财物的主观恶性值得商榷。

观点二认为李某构成强迫交易罪。强迫交易罪是指以暴力、威胁手段强买强卖商品，强迫他人提供服务或者强迫他人接受服务，情节严重的行为。主张者认为，在本案中，游戏漏洞系李某的智力成果，具有一定的价值性，具备了商品的本质属性，同时李某经过智力劳动发现漏洞后提供给网络公司从而使得网络公司得以及时弥补漏洞，这一过程系一种服务活动，因此无论将游戏漏洞作为一种商品还是服务，均可以成为强迫交易罪的对象。此外，李某与网络公司的交易并非正常的市场交易，其中充斥着李某对网络公司的言语威胁，系强迫行为，其与网络公司允诺交易之间存在着直接的因果关系，因此应当以强迫交易罪定罪处罚。然而反对者认为，“游戏漏洞”是否系商品或者服务在法律上尚无定论，且强迫交易罪的行为特征是以“暴力、威胁”为基础的，那么在本案中李某的言语威胁行为是否达到了刑法意义上的“威胁”，即精神上不得以反抗的程度呢？而这些目前都没有形成统一的意见，因此以强迫交易罪论处依旧存在着争议。

观点三认为李某的行为不构成犯罪，赞同此观点者又持有着不同角度的评判标准。以“刑法介入”为界限划分，主要包括两种角度：（1）李某的行为纯属民事行为，不应当由刑法介入评价；（2）李某的行为具有一定的社会危害性，符合犯罪的基本特征，但是基于刑事政策、科技发展等的需要，目前不宜入罪处罚。

综上所述，对于此案的定性之争的焦点主要围绕以下三方面：第一，李某是否具有非法占有的主观心态；第二，李某对网络公司的言语威胁是否达到了犯罪构成要件意义上的程度；第三，李某的行为是否具备刑法评价的条件，有无处罚的必要性。

笔者以为，游戏漏洞发现者要求出售漏洞遭拒后以向第三方出售相要挟的行为作为网络游戏行业中新出现的一种具备潜在风险性的“行为模式”，对其进行法理上的分析实属必要。因此笔者以本案为契机，围绕上述三方面的矛盾焦点，对该类案件所涉“行为模式”的法律定性予以论证。

二、“发现、交易、胁迫”行为的应有之义

在本案中，“发现、交易、胁迫”行为紧紧围绕着游戏漏洞而展开，因此有必要对游戏漏洞的概念及其特征予以说明。从科技信息角度来说，所谓的漏洞是指在网络环境下，系统所存在的弱点或者缺陷，它影响着系统对特定威胁攻击或危险事件的敏感性或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或者操作系统在设计时的缺陷或编码时的错误，也可能来自业务交互处理过程中的设计缺陷或逻辑流程上的不合理之处，而在网络游戏系统中这些缺陷、错误、不合理之处即为游戏漏洞。游戏漏洞一旦被游戏开发商或者运营商以外的人如玩家，有意或无意地利用，将对网络游戏公司的运行产生不利影响，甚至是遭受巨大的经济损失乃至无法运转。

游戏漏洞有其自身的特性：第一，游戏漏洞的普遍性与不可避免性。由于技术的局限性，任何一款游戏都不可避免地存在着自身的漏洞，且这些漏洞与时间紧密联系，一款游戏系统本身从发布之日起，随着用户的深入使用，系统中存在的漏洞就会不断被发现，这些被发现的漏洞不断被系统开发商或供应商所修补或者在日后发布的新版系统中得以纠正，然而新版系统在纠正旧版本中的漏洞的同时，也会引入一些新的漏洞，就这样，旧漏洞消失，新漏洞出现，不断往复，游戏漏洞的问题也就会一直存在，不可避免。第二，游戏漏洞的价值性。游戏漏洞的价值性源于虚拟物的价值性。在目前的司法实践中，虚拟物包括金币、装备、角色等作为无形财产的价值性已经得到了肯定。在网络游戏中，这些虚拟物除了通过正规途径获得外，如从游戏运营商处直接购买或通过完成游戏中的任务取得，还存在着利用非法代码获得游戏道具或虚拟货币，即利用游戏漏洞。正是由于游戏漏洞有创造虚拟财产的可能性，因此对于玩家来说，它是创造财富的助手，对于网络公司来说，它有助于减少财产损失。因为有所需，所以游戏漏洞获得了网游行业中的市场价值。

（一）“发现漏洞”行为的应有评价

法律之所以禁止某项行为的实施，从本质上来说，是因为该项行为所产生的效果不利于整个社会的稳定发展与进步，所以站在全局的角度，法律选择牺牲个人部分的自由行为，将其作为禁止的消极行为，从而规避行为所带来的社会风险，营造良好的社会稳定环境。从这个角度来说，“发现游戏漏洞”的行为是否应当为法律所禁止可由该行为所创造的效果——利与弊来评价。

首先，我们应当明确“发现漏洞”不等于“制造漏洞”。所谓“发现”是指由于对某一个目标的研究或因经验而找到，它所指向的对象本身是客观存在的；而“制造”的原义为把原材料加工成适用的产品，所指向的对象一般是从无到有的，更加强调人为性。其实从严格意义上来说，游戏系统经编码后一旦完成，游戏漏洞就已经随之产生，因此所谓的玩家“制造漏洞”本身是并不存在的。因为“制造漏洞”的能力在游戏系统生成之初就已经消失了，而只有网络游戏公司的游戏创造者在游戏创造的过程中才可能因为主观的非法目的而进行“游戏漏洞的制造”，而在游戏市场中盛行的“非法代码的游戏道具与虚拟货币”并不是“制造游戏漏洞”的结果，而是“利用游戏漏洞”而非法产生的。“制造漏洞”本身具有一定的主观恶性，严重影响了游戏的公正性与平衡性，不利于网络游戏行业的发展，而且制造者本身失去了一定的职业道德，因此应当成为法律所禁止的行为。但是既然“发现漏洞”并不等于“制造漏洞”，那么应当如何界定“发现漏洞”的性质呢？

笔者在前文中已经讲到，“发现”是通过一定的经验和研究找到一些客观存在的事务或者事实，因此“发现漏洞”行为首先应当是一种“智力性”行为，玩家对“漏洞”的信息掌握是依靠自己的智力劳动所获取的；其次，它应当是一种“中立性”行为，既然漏洞是客观存在的，那么“发现漏洞”行为本身既没有给社会带来积极的作用，也没有造成消极的影响，因此它应当是中立性的；再者，“发现”行为应当具有普遍性和长期性，这是由“漏洞”的不可避免性所决定的。在游戏行业的实践中，为了提高游戏的质量，规避“漏洞”所带来的风险，会不断对“漏洞”进行检测，然后发现、修复。一般而言，“游戏漏洞”的检测分为“内测”与“外测”，“内测”是指在游戏开发商或运营商在将新款游戏投入市场之前，聘用“游戏测试员”对游戏进行试玩，通过聘用玩家的不断测试，发现漏洞。“外测”是指将游戏投入市场，经过不特定多数的玩家在长时间的不断玩的过程中，发现漏洞，然后进行反馈，定期进行修复。可见，不论是游戏开发商或者运营商还是玩家，在网络游戏的整个行业中，各方对于“发现漏洞”行为都是持有“无可诟病”的态度，甚至是“支持”的态度。正是因为“发现漏洞”行为的“智力性”、“中立性”、“普遍性与长期性”，它并不应当成为法律做出否定性评价的对象。

回归本案，犯罪嫌疑人李某对漏洞的掌握，并不是不劳而获的，而是通过自己长时间的投入，凭借经验与智慧而获得的，因此，应当属于“发现漏洞”的行为，不属于法律禁止范围之内。

（二）“交易”行为的应有评价

虽然“发现漏洞”行为本身不具有法律否定性评价的意义，但是由于“漏洞”所带有的价值性决定了发现者享有了支配这些价值去向的权利。从法律意义上来说，“漏洞”信息是游戏漏洞发现者对其智力劳动成果所享有的一种特殊性财产，对其的支配实质上是一种民事权利的行使。玩家对于“发现的漏洞”信息可以选择消极的处分——无视它，也可以进行积极的处分——在网络游戏市场中，对“漏洞信息”积极的处分包括两种类型，一种是利用漏洞实施“私服”、“外挂”行为，获取不正当利益，由于此类行为带有明显的恶意性，严重影响了游戏的公正性与平衡性，基本已由法律介入对其进行规制；而另一种则是交易行为，目前法律对“漏洞信息的交易”并无明确的规定，从理论上来说，“法无明文规定即自由”，这样看来“漏洞信息”的交易应当是合法的，但是法律具有滞后性，“漏洞信息”的交易是否由法律进行评价应当回归漏洞交易行为在社会实践中呈现的社会效果而言。

“漏洞信息”的交易在网络游戏行业十分普遍，其首先表现为游戏开发商或者运营商对游戏漏洞进行测试的环节中。例如在外测环境中，为了及时掌握漏洞信息，避免玩家利用漏洞从而造成巨大损失，网络游戏公司通常会在官方的游戏平台中发布诸如“对漏洞发现举报者的奖励”的公告，对于漏洞的举报者，经官方鉴定后，根据漏洞的价值，通过Q币、高额道具等形式对举报者进行奖励，而官方则对所获得的漏洞进行修复，提高游戏质量。网络游戏公司通过发布公告继而对不特定人发出要约，而玩家即漏洞发现者向官方进行举报即为即时完成的承诺，这本质上是一种民事交易行为，而这种交易行为基本上在所有网络游戏公司与玩家之间形成了一个固定的模式，被普遍接受。

漏洞信息的交易除了在发现者与网络游戏公司之间进行外，其巨大的商业价值滋生了灰色的市场交易平台，例如地下黑市The Real Deal提供漏洞交易服务①地下黑市TheRealDeal提供0day漏洞交易服务，http://www.myhack58.com/ Article/60/76/2015/61477.htm，2015-04-21．。网络安全公司“知道创宇”的技术VIP余弦曾说：有巨大价值的漏洞，都会在黑市上被交易，如果你把一个Win10的致命漏洞提交给微软，可能拿到几万美金，如果你拿到漏洞黑市上交易，你可以得到几倍、几十倍、几百倍的利润。撇开道德因素，一个理智的黑客一定会在黑市中交易他手中的漏洞。虽然如此，余弦并未不认可黑市市场，他启动“漏洞社区”计划，这个社区最独特的地方就在于可以明目张胆地合法交易漏洞。他认为，每个人都在集市里换得他们需要的漏洞，这是漏洞集市最大的价值所在。②知道创宇余弦——阳光下的“漏洞买卖”，http://www.leiphone.com/news/201509/ S8fxoNLO2KnSkjql.html?utm_source=tuicool ，2015-09-11．虽然游戏漏洞并未达到诸如Win10等致命漏洞的价值，但是对于网络游戏行业而言，其价值性同样打开了所谓“阳光下买卖”的灰色交易市场甚至是黑色市场的大门。不论是漏洞的黑色交易市场还是非官方的第三方漏洞买卖平台都在一定程度上打破了正常的市场秩序，给网络游戏公司带来了巨大的危机，有碍于整个行业的稳定健康发展，应当成为法律予以限制甚至禁止的漏洞交易行为。

回归本案，犯罪嫌疑人李某在发现漏洞之后，要求将漏洞出售给网络游戏公司，对李某的这一行为，一些学者认为李某具有“非法占有”的目的，是“非法占有行为”的前置表现。但是什么是“非法占有”？学者张绍谦认为③张绍谦教授在“互联网犯罪与互联网安全监管相关问题研讨会”（上海市徐汇区人民检察院主办，2016年2月19日）的发言观点。，“非法占有”应当是一方纯粹地以非法手段，把属于对方财产转为本人或者第三人所有，从而使得自己纯粹获益，对方纯粹受害的行为。而在本案中李某出卖漏洞，从网络游戏公司处获得相当价值的货币，但是网络游戏公司也并未纯粹受害，他获取了漏洞信息，从而有机会对漏洞进行弥补，提高游戏的质量，可以说这是一个互利互惠的交易行为。这种交易行为是发生在发现者与网络游戏公司之间，与上述所讲的“网游公司发布公告搜集漏洞”的性质一样，只是要约主体与承诺主体发生了转换而已。因此，李某要求出卖漏洞的行为本质上是一种处于协商过程中的交易行为，其没有非法占有的意图，不构成敲诈勒索罪。

（三）“胁迫”行为的应有评价

交易行为强调双方意思的一致性，在本案中，李某提出将漏洞出卖给网络游戏公司，遭到网络游戏公司的拒绝，而后以“将漏洞出卖给其他人致使网络游戏公司遭受更大损失”迫使网络游戏公司答应进行交易，这一行为到底该如何进行评价？有观点认为，这种言语表现属于正常的商务谈判技巧，但是谈判应当是双方利益的博弈，双方不断通过彼此手中的筹码获得更多利益或者进行让步，这应当是建立在一个公平的基础上，双方都有着相对自由的选择。但是在本案中，李某所掌握的“漏洞”筹码使得打破了自由选择的平台格局，这种言语所表现出的所谓“谈判技巧”已经突破了“谈判双赢”的理念，更带有“胁迫”性，因此不应当认为李某的言语行为仅仅是谈判技巧的表现。而作为一种“胁迫”行为，就直接表明了交易的非正当性，因此有观点主张李某的行为构成强迫交易罪。在本案中，李某与网络游戏公司之间是一种交易行为，在上文中已经阐述，那么李某的言语胁迫是否就达到了刑法意义上的强迫交易罪中“威胁”的程度呢？有观点认为，在学理上一般将“威胁”分为三个层面：第一层面，行为人实施了某种行为使得对方产生恐惧心理；第二层面实施某种行为使得对方产生恐惧心理并影响对方的自由意志，使得对方不得不与之交易；第三层面，威胁行为使得对方丧失了反抗和认知的能力。从刑法介入的角度来说，第一层面的威胁不足以启动刑法进行规制，第二层面的威胁通常达到了“强迫交易罪”所涉构成要件的程度，第三层面则是上升到诸如抢劫、敲诈勒索等罪名中的“威胁”程度。

在本案中，李某的“威胁”达到何种程度关键在于厘清“漏洞”之于“网络游戏公司”的价值。笔者在前文已经阐述，漏洞具有及其重要的价值性，许多第三方依靠对漏洞的利用发家致富，而这损失皆由网络游戏公司自身承担，一些较为重要的漏洞若卖给第三方也会直接致使公司遭受致命性打击甚至直接倒闭，可见“漏洞”之于“网络游戏公司”而言具有至关重要的作用，任何一家网络游戏公司都将受到漏洞所带来的安全隐患。因此李某的威胁是足以影响网络游戏公司自由意志，迫使其做出交易的。但是有观点又提出，并非所有的漏洞都有影响网络公司生存的威胁，一些小的漏洞虽会给网络游戏公司带来影响，但是这属于正常的网络游戏行业中游戏公司合理承担损失的范畴之内，而这就不会达到第二层面的威胁程度，因此不应当一概而论。

笔者认为，漏洞的价值在经过检测与验证之前是无法确定它对于网络游戏公司造成的影响的，而李某在与网络公司交涉的过程中，其不可能先让网络游戏公司进行价值评估，因此对于网络公司而言，不管漏洞实际的价值是多少，它都会被当作一个潜在的巨大风险来看待，而这种心理就足以达到“威胁”的程度。在本案中，事后的“漏洞价值”评估应当作为是否达到强迫交易罪的立案标准予以采用，而非作为影响“强迫交易罪”中“威胁”程度的影响因素。因此，从上述分析来看，笔者以为李某的胁迫行为达到了刑法意义上强迫交易罪“威胁”的程度。

三、本案的法律定性分析

从“发现漏洞”、“交易漏洞”到“胁迫公司”，虽然李某的“发现漏洞”行为不应当为法律所评价，但是从构成要件角度，其后的“交易—胁迫”行为所构成的整体符合了“强迫交易罪”的定罪标准，看似应当以“强迫交易罪”定罪量刑，但是，本案存在其特殊性。在新时代背景下，对于新类型案件的定罪不应当仅仅立足于“犯罪构成要件——行为”视角，而应当回归刑法甚至是法律最基础的理念和原则。基于此思考，笔者以为虽然本案符合强迫交易罪的行为特征，但是不宜进行定罪量刑，主要理由在于：

（一）刑法谦抑性原则的要求

刑法谦抑性原则强调刑法介入的谨慎性。日本学者大谷实教授认为，谦抑性是刑法解释的原理，又是刑事立法的原理，包括补充性、不完整性、宽容性，刑法所具有的、保护法益的、最后手段的特性被称为刑法的补充性；刑法不介入市民生活的各个角落的特性被称为刑法的不完备性；即使现实生活中已发生犯罪，但从维持社会秩序的角度来看，缺乏处罚的必要，因而刑法不进行处罚的特性被称为宽容性。①大谷实著、黎宏译．刑事政策学[M]．中国人民大学出版社，2009：86．

在本案中，虽然李某的行为符合了强迫交易罪的构成要件，符合了犯罪的该当性要件，但是在违法性层面，李某的行为是否具备违法性则是处于模糊地带，“漏洞出售”作为发现者合理行使处分权的行为，法律并未做出明确的禁止，根据“法无禁止即自由”的罪刑法定理论，“漏洞出售”在网络实践和社会生活中是被允许的，至少目前是允许的。而“转售给第三方”作为处分权的一种延伸，虽然确实给网络公司造成了损害，影响网络游戏行业的整体发展，法律应当予以介入调整，但是“转售”行为是在遭拒后行使的行为，是基于整个网络行业对发现者的智力劳动成果保护的空白造成的，而在未来网络游戏行业政策法规的调整中，这种“转售行为”在特定条件下可能被予以合法化。因此，李某的行为在违法性层面上是模糊的，是值得考虑的。在本案中，李某的行为并未给网络游戏公司造成实质性损害，又基于李某的未成年人身份，因此并无处罚的必要性。既然刑法作为调整社会生活的最后补充手段，在其违法性模糊、无处罚必要性的前提下，动用刑法违背了刑法谦抑性的原则。再者，刑法谦抑性又称为“二次评价”理论，是指对于某种危害社会的行为，国家只有在运用民事、行政等手段仍不足以抗制时，才能运用刑法的方法。本案李某的行为介于“民事”与“刑事”的分水岭，但是民事尚未对此类行为进行规制，而直接采用刑法对其进行评价，同样违背刑法谦抑性原则。因此，对于李某的行为不宜入罪。

（二）未成年人刑事政策的要求

我国对未成年人刑事犯罪案件坚持“教育为主、惩罚为辅”，“少捕、慎诉、少监禁”的刑事政策方针。在本案中，李某作为未成年人在发现漏洞之后，对漏洞的利用是十分有分寸和有节制的，李某并没有实施诸如外挂、私服等法律所禁止的行为，也没有直接将漏洞信息出卖给第三方，而是先与网络游戏公司交涉，且李某所要求的金额是符合漏洞价值的，在合理议价范畴之内，这是李某合理处分智力劳动成果的表现。在协商未果之后，李某采取言语威胁，虽然达到了足以影响网络游戏公司自由意志的程度，但是立足于未成年人身心的视角，在未成年人这一成长阶段，其较易冲动，言语威胁时常带有“吓唬吓唬”的孩子心态，尤其作为游戏玩家，网络公司对其交易的允诺往往是对其智力劳动成果的肯定，遭拒后的失落与不甘促使了“非理性”的未成年人做出这样的胁迫行为。在本案中，未成年人是弱势群体，法律不应当只立足于网络公司这一强大一方的利益得失去评价。对未成年人的“错”应当保持必要的宽容，以教育感化为主，刑法评价应当极为慎重。

（三）现代市场经济发展及科技创新的要求

以互联网产业为代表的中国信息产业日益蓬勃发展，并已成为国民经济和社会发展的重要组成部分，其中网络游戏产业的发展速度最为惊人，见下图所示：

网络游戏为国民经济的发展带来了巨大的增长点，但是漏洞作为网络游戏发展不可避免的制约因素，直接影响了社会的发展。唯有通过科技的不断创新，快速持续不断地发现漏洞、及时弥补漏洞，减少网络游戏行业损失，才能使网络游戏这一新兴产业拥有良好的发展前景。在本案中，李某通过智力劳动发现漏洞，若能及时且成功地与网络游戏公司进行协商，网络游戏公司便可防范漏洞所造成的损失，同时通过对漏洞的研究，不断提高网络游戏的质量，推动行业发展且利于科技的发展，这是网络游戏这一特殊行业立足的需求，是网络游戏行业不管如何发展进步都无可避免地走“漏洞弥补、科技创新”的循环路径。倘若对李某的行为予以刑法这一最严厉的法律介入规制，在缺乏对“漏洞发现者”合理处置权保障的前提下，将会降低玩家对漏洞发现、报告的积极性，仅仅依靠网络游戏公司研发者对漏洞的发现、修复的探索，会制约科技前进的步伐，影响网络游戏行业发展的效率；从另一方面来说，法律若过分注重对网络游戏公司的保护，将会使得玩家走向外挂、私服以及黑市交易等另一个极端，而这一极端路径更加不利于行业发展、社会进步。

四、本案引发的进一步思考

网络游戏行业的兴起与发展带来了社会行为的多样化与不可预测化，法律在应对这些新出现的行为类型上显得有些苍白无力与无所适从。在互联网盛行时代，法律如何发挥对网络背景下新兴行为的引导作用值得思考。在本案中，游戏漏洞发现者出售漏洞遭拒后以向第三方出售相要挟行为之所以引发理论与司法实务界的争论，是因为现行的政策、法规对网络监管的滞后所导致的，跳出本案的定性之争，我们应当重点审视本案带给我们的理论思考，即网络游戏行业发展如何与行为规制之间做到无缝对接。

在本案中，几名涉案未成年人都是酷爱网络游戏的玩家，在游戏漏洞的发现上都具有极高的天分，这是玩家们智力劳动的成果。而在网络行业中，由于游戏漏洞具有较强的价值性，这就决定了玩家对于漏洞的信息的支配应当属于其该有的民事权利。但是，漏洞不仅仅涉及金钱价值，同时它影响着网络游戏公司的生存发展，在整个网络游戏行业发展过程中具有举足轻重的地位，此外它更涉及网络的安全问题，因此其支配权应当是有一定的限度的。在我国的民商法律关系中，“优先购买权”就是出卖人权利受限的一典型。所谓的“优先购买权”是指特定人依照法律规定或合同约定，在出卖人出卖标的物于第三人时，享有的在同等条件下优先于第三人购买的权利。优先购买权的价值在于法律作为利益分配的调节器，应坚持“两利相权取其重”的价值取向进行平衡，保护这一利益不但对于个人且对经济秩序的稳定发展具有十分重要的意义。针对本案所折射出的漏洞交易，网络游戏公司应当被赋予“优先购买权”的地位，玩家对漏洞信息的使用应当是合理地使用，而非肆意地支配。

在理论上，网络游戏公司虽享有优先购买权，但是在实践操作中存在着一些问题：第一，优先购买的对象是漏洞信息，漏洞信息是虚拟产物，其价值性难以判定，在涉利双方——玩家与网络游戏公司之间，对漏洞信息的可靠性与价值性的判断皆有失偏颇；第二，玩家合理使用权的保护。虽然网络游戏公司享有优先购买权，但是玩家对漏洞信息的支配权依旧是合法正当的权利，在网络游戏公司拒绝行使购买权的前提下，玩家如何保护自己的合理使用权应予考量。笔者以为有必要引入第三方中立机构，对上述实践难题予以必要的帮助。

第三方网络平台作为中立机构，应当发挥三大功能：一是评估功能。第三方网络平台作为无利害关系第三方对漏洞的评估具有客观性，通过第三方网络平台的介入，能够消除网络游戏公司对玩家提供漏洞价值的质疑，合理做出是否购买的决定，同时减少了玩家与网络游戏公司之间斡旋的时间成本。二是转交易功能。由于玩家与网络游戏公司之间存在着利益的博弈，有时候漏洞的交易在双方之间难以达成合意，此时，第三方网络平台就发挥了转交易功能，充当起了中转站，由第三方网络平台收购玩家提供的漏洞，再转卖于网络游戏公司。这种“转交易”避免了玩家因遭拒后导致智力劳动成果利益享有的丧失，将不利后果的承担由玩家个人转向了第三方中立平台，保护了公民的合法权利，同时也是避免玩家因不得利转而走向实施“私服”、“外挂”等禁止行为的最好方式。三是监督功能。在前文中已经提及，目前网络漏洞的交易存在着诸如“阳光下的漏洞买卖”这种灰色的民间交易市场，甚至还存在着黑色市场，这种灰色乃至黑色的市场交易的存在不仅仅是利益价值的得与失，其实是对整个网络安全最危险最大的潜在冲击，因此第三方平台应当承担起监督功能，及时发现并制止，对玩家“合理使用权”进行正确的引导。

此外，对于第三方网络平台的搭建主体，笔者以为，目前由政府主导最为适宜。虽然网络发展有其自身的态势，政府过多的干预容易限制其发展，但是我国目前尚处于网络安全发展的不稳定期，各种问题层出不穷，将第三方网络平台完全任由民间力量进行主导，浓厚的商业性质容易使其走向模糊的危险地带。此外，第三方网络平台的“转交易”功能和监督功能要求搭建主体不仅仅具有中立性质，同时应当具有公立性质和威慑性质，而目前，政府是最佳的选择。因此由政府主导，搭建第三方网络平台是应对网络漏洞过程中应有的举措。

由本案所引发出的争议以及当前在灰色地带产生的第三方平台所带来的问题，其根结点还是落脚于如何健全网络安全立法。近些年，我国的网络安全立法有了很大的进展，主要体现在两个方面：一是专门的网络安全法进入立法计划。2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法（草案）》，随后该草案在中国人大网上全文公布，并向社会公开征求意见。《网络安全法》进入十二届全国人大常委会公布的2016年立法计划之中。二是其他相关法律对于网络安全问题多有涉及。例如，《刑法修正案（九）》针对网络违法犯罪行为的新情况，进一步完善了刑法有关网络犯罪的规定，进一步加强了对公民个人信息的保护，对网络服务提供者、网络信息发布者等主体的责任做出了更为严密的规定。此外，在《反恐法》、《国家安全法》等相关法律中对于网络安全问题也都有所涉及。

在目前网络安全立法进展中最快的，主要是涉及到国家安全和重大社会公共利益的领域，我国的网络安全监管立法在这些领域做了比较快速的漏洞弥补。但对于私人领域的，包括一般的公司、企业与个人之间的网络安全行为及其合法性的边界，在目前的立法中并未得到较为全面的修补与完善。除了涉及国家安全和重大社会公共利益的领域之外，在属于私人领域的网络空间，其行为的合法性边界同样需要明晰的划定。因为，这不仅会涉及到公民个人权利保障和企业正当经营权的界限问题，而且从深层次上看，也与某一领域的互联网安全息息相关。

网络的发展伴随着信息技术的革新，“我国网络法律结构单一，难以适应信息技术发展的需要和日益严重的网络安全问题。网络安全保护实践的依据多为保护条例或管理办法，缺少系统规范网络行为的基本法律”。①网络安全立法面临三大“软肋”[EB/OL]．http://zqb.cyol.com/html/2014-11/01/ nw.D110000zgqnb_20141101_4-03.htm，2014-11-01．由该起案件所提出的值得思考的问题是，如何合理地界定网络空间中行为的合法性边界，这也是完善网络安全立法应当解决的核心问题。

How to Def ne Bug-Trading Act According to Criminal Law and Related Consideration——Take for Example Li’s Case of Trading Game Bugs

Yao Jianlong, Zhang Shaonan
(Shanghai University of Political Science and Law, Shanghai 201701, China)

A juvenile who discovered a game bug attempted to sell the bug but it was refused so he threatened to sell it to a third party. Whether his act is guilty or not leads to an judicial argument. Is it forced trading or extortion or blackmail? From the perspective of behavior analysis, the bug discoverer matches constitutive elements of forced trading but from the angle of limitation of criminal law, criminal policies and demands of modern science development, he is not guilty and can not be convicted. In the network, the act of such kind is on the rise, which should draw our attention and supervision. It is suggested that the government should establish a third-party platform, which has its assessment functions and plays the role of both trading and supervision so that the win-win goal can be attained by trading bugs safely and fairly. Meanwhile, laws on the web safety should be made or perfected to provide legal protection of the web and to deal with coming diverse web acts.

Bug; Def ne; Third-Party Platform; Legislation and Supervision

D914

B

1008-5750(2017)01-0047-(11)

10.13643/j.cnki.issn1008-5750.2017.01.006

2016-12-27 责任编辑：陈 汇

姚建龙，上海政法学院刑事司法学院院长、教授、博士生导师；张少男，上海政法学院刑法学研究生。