智能合约伴生风险的类型研判
在区块链时代智能合约衍生出三类严重伴生风险:以智能合约为场景的利用代码规则行为、以 智能合约为对象的侵害私钥行为以及以智能合约为手段的犯罪交易行为。现行《刑法》在应对智能合约伴生风险时存在行为属性不明、罪名适用争议以及犯罪治理困难等问题,场景风险所引起的行为属性不明源于法律安全与技术自由的价值博弈,对象风险所导致的罪名适用争议源自私钥与数字货币之间本体差异与价值关 联的矛盾,手段风险所致的犯罪治理困难源于犯罪匿名与共犯信任的结合。应对这些风险需要分别从三个方面着手:智能合约应在个人自决的基础上划分为自治型与半自治型智能合约,并援用被害人同意理论合理划定犯罪圈;侵害私钥行为应划分为非法获取私钥行为与非法删除私钥行为,并对其刑事责任采取类型化的认定模式;设立非法编写智能合约罪能够有效阻止智能合约被用于违法犯罪,防范智能合约的手段风险。
目录
一、区块链下智能合约伴生风险的类型研判
(一)以智能合约为场景的利用代码规则行为
(二)以智能合约为对象的侵害私钥行为
(三)以智能合约为手段的犯罪交易行为
(一)行为属性不明:法律安全与技术自由的博弈
(二)罪名适用争议:本体差异与价值关联的矛盾
(一)完全违法性立场之评析
一、区块链下智能合约伴生风险的类型研判
化解风险必先了解风险的类型。根据智能合约伴生风险的原因不同,可以将智能合约伴生的风险
归纳为三种类型:以智能合约为场景的利用代码规则行为、以智能合约为对象的侵害私钥行为以及以智
能合约为手段的犯罪交易行为。
(一)以智能合约为场景的利用代码规则行为
智能合约是供合约双方进行交易的平台,当公众在智能合约平台进行交易时,智能合约就演变成具
有组织性的“分布式自治社会”
[1] 。在该社会场景中个体体现为一定数额的数字货币账户,人们的交易行
为则体现为资金快速周转流动。智能合约场景由代码所构建,有着自身的运行规则,人们依照代码规则
实施行为。但是,代码规则并非完美无缺,在智能合约中人们利用代码规则的“漏洞”实施的侵害他人利
益的行为时有发生,且危害性极大, The DAO 黑客事件就是典型例证。
The DAO 是运行于以太坊上的私募基金合约。 2016 年 6 月, The DAO 社区发生黑客盗取事件,黑客
利用以太坊 Solidity 语言中的递归调用漏洞 [2] ,实施了符合智能合约的代码规则的应用行为,盗走价值
6000 万美元的以太币 [3] 。好在 The DAO 运营公司利用硬分叉技术使黑客行为归于无效,挽回了损失,最
终事件有惊无险,但是这也让我们看到在智能合约场景中利用代码规则行为的严重危害性。
利用代码规则行为的危害性主要表现在三个方面:其一,涉案金额往往巨大。利用代码规则行为盗
取的是他人的数字货币。近年来数字货币的价格增长十分迅猛, 2016 年 6 月, The DAO 事件中被窃取的
以太币价值 6000 万美元。当时以太币的单价在 15 美元左右, 2021 年 1 月,以太币的单价已经突破 1000
美元,如果再次发生利用代码规则盗取以太币的事件,其涉案金额无疑十分巨大。
其二,被害人数众多。智能合约是提供某种服务的场景平台,参与者人数众多。例如,部署于以太
坊的私募基金合约,如同汇集参与者的公开交易市场。利用代码规则行为如同一把万能钥匙,当能开一
个数字货币账户时,就能开其他账户。更为重要的是,由于区块链的跨区域性,被害人分布范围广泛。
其三,犯罪实施便捷。区块链下的智能合约属于新型网络科技,运用该科技需要具有专业的知识储
备。一旦掌握新型网络技术,实施利用代码规则行为就十分便利。与传统线下犯罪不同,利用代码规则
行为是在网络上实施,一旦行为人找到网络技术漏洞,实施盗取数字货币的行为就很便捷,足不出户即
可完成。
(二)以智能合约为对象的侵害私钥行为
智能合约的价值主要在于与智能合约相关联的数字货币账户,而私钥对数字货币而言尤为重要。
私钥与公钥相对,但两者功能不同,需要配套使用。在数字货币领域公钥用于加密,私钥用于解密。公
钥是面向大众公开,私钥是私人持有且需要保密,数字货币的所有人依照私钥来确证自身所有权。如果
私钥被他人获取或者丢失,所有权人会丧失对其数字货币的所有权,私钥的安全需要源于私钥与数字货
币的唯一关联性。根据侵害私钥的手段不同,可以将侵害私钥行为分为三种类型:
一是获取行为并未剥离所有权人对私钥的占有,如复制他人私钥。这种情形所有权人的权益只有
侵害的危险,其依旧可以验证并转移数字货币。
二是获取行为剥离所有权人对私钥的占有,如剪切他人私钥。这种情形给所有权人造成直接侵害,
所有权人丧失通过验证转移数字货币的能力。
三是非法删除私钥行为。在剪切他人私钥的情况下,所有权人可以通过救济恢复其对私钥的占有。
在删除他人私钥情况下,私钥被彻底销毁,且难以恢复。此时,依托区块链而存在的数字货币就形同虚
设,可见而不可用。
(三)以智能合约为手段的犯罪交易行为
与通常的互联网科技相比,智能合约具备自动执行、匿名性等独特功能,而这些功能会被犯罪分子
所利用。作为一种新型犯罪手段,智能合约对犯罪的助力体现在三个方面:
第一,自动识别与执行。智能合约具有自动识别与执行功能,自动识别的对象是用于启动智能合约
的条件信息,自动执行的对象是与智能合约相关联的数字货币。当智能合约设置成功,合约交易方就自
行履行自身义务。当合同义务履行完毕后,智能合约就自行收集并判断义务完成与否,并根据已完成的
前置条件执行应执行给付的财产义务。自动识别与执行的功能极大地减少了犯罪分子之间的实质性
接触。
第二,匿名性。犯罪分子都希望通过隐匿踪迹而逃脱处罚,智能合约的匿名性功能自然受到犯罪人
的青睐。智能合约的交易方虽然是自然人,但是在区块链上则是数字货币账户,数字货币账户与人的联
系是由私钥沟通的。然而,私钥具有不记名性,这一方面使侵害私钥的行为具有严重危害性,另一方面
也隐匿了账户所有者的主体身份。智能合约的匿名性功能使犯罪更加便利,使罪犯更容易逃脱处罚。
第三,去中心化跨区域犯罪。与现实世界不同,网络世界能够跨越区域的限制,实现远距离的即时
沟通与交流。与传统中心化网络不同,区块链具有去中心性,在去中心化系统下,个人与个人之间的交
流跨越对中心节点的依赖而实现互通有无 [4] 。同时拥有去中心化与跨区域性的智能合约,必然为犯罪提
供极大便利,依靠一个国家的刑事力量将难以摧毁全球化的犯罪团伙。
二、刑法应对智能合约伴生风险的障碍
现行刑法在应对智能合约的伴生风险时存在行为属性不明、罪名适用争议以及犯罪治理困难等三
个方面的问题。
(一)行为属性不明:法律安全与技术自由的博弈
在以智能合约为场景的犯罪中,利用代码规则行为的违法性存在争议。在 The DAO 事件发生后,一
位自称对 The DAO 事件负责的黑客公开宣称,其行为完全符合以太坊社区的代码规则,属于合法行为,
The DAO 运营公司实施中心化的硬分叉技术反而违背了社区自治化的基本理念。由此可知,行为的违
法性争议在本质上源于法律安全与技术自由之间的价值冲突。
刑法的重要使命是保障安全,当存在严重侵害他人合法权益的事件时,国家机关就可以根据刑法打
击犯罪。然而,智能合约与其他科技并不相同,依托于区块链技术的智能合约是以自由价值为主导,其
技术价值在于脱离中心媒介的掌控实现自我裁决 [5] 。众所周知,刑法介入社会生活不能过分限制公民的
自由,利用代码规则行为一方面侵害他人数字财产,另一方面抗拒第三方的强制介入,使法律安全与技
术自由产生冲突。
评价利用代码规则行为是否具有违法性,取决于法律安全与技术自由之间的博弈,即两种价值何者
为主导的问题。在智能合约领域,如果认为技术自由优于法律安全,则利用代码规则行为不具有违法
性,这将使公众财产权益得不到有效保护;如果认为法律安全优于技术自由,利用代码规则侵害他人财
产权益的行为就具有违法性。然而,在智能合约领域只关注保障法益并非完全有益,在智能合约领域完
全贯彻“安全优于自由”的理念有三个方面的问题:
第一,消解智能合约的价值基础。智能合约属于区块链技术的衍生科技,是新型“脱媒”技术。脱离
中心化媒介的控制是区块链的特有功能之一,也是其吸引公众参与区块链项目的重要原因 [6] 。允许第三
方强制介入区块链运行过程会消解这一价值基础,使其丧失公众吸引力,进而使智能合约的存在与发展
大打折扣。
第二,剥夺参与者自我决定权。从公众自身角度出发,以刑法为代表的第三方力量介入智能合约运
行,实则剥夺参与者的自我决定权利,因为以太坊以公众自我管理、自我裁决为特色吸引公众 [7] ,且公众
参与智能合约项目也是为了获取自我裁决的自由权益。第三方介入智能合约,迫使参与者放弃智能合
约的自身规则而遵从第三方规则,公众自决权就无法得到体现与保障。
第三,存在第三方强制侵害之风险。事实上,智能合约之所以排斥第三方救济,是因为其对第三方
的担忧。在传统中心化网络构造或者市场构造下,公众面临严峻的中心化机构的侵害风险。以数字货
币的产生为例,由于中心化发行机构往往过多发行货币而造成通货膨胀,依靠区块链而产生的去中心化
数字货币,可以有效解决中心化发行模式的通货膨胀问题。
(二)罪名适用争议:本体差异与价值关联的矛盾
一般而言,本体与价值具有合一性,事物的价值源于其自身。然而,私钥却出现本体差异与价值关
联的矛盾,该矛盾体现在私钥与数字货币之间。私钥与数字货币虽然在本质上都是数据,但是两者并非
同一个体。数字货币存在于区块链之中,并能够在区块链的不同账户中转移。私钥用于验证数字货币
的所有权,由个人进行储存。随着社会认同与计算成本的增加,数字货币的价格逐渐高涨。但是,被公
众所追逐、价格逐渐高涨的是数字货币,而非私钥。
私钥本质上是由数字和字母随机组成的 64 位字符,其本身并不具有价值,但是私钥对数字货币具有
重要作用。为了保障数字货币的安全性与匿名性,数字货币分别利用公钥与私钥进行加密与解密,所有
权人掌握私钥,验证或者转移数字货币。为了保证所有权的排他性,用于证明所有权的私钥自然具有唯
一性。正是由于私钥与数字货币的唯一关联性,使得侵害私钥的行为会对数字货币造成严重影响,如毁
坏私钥会造成他人无法证明与利用自己的数字货币。
基于私钥与数字货币本体差异与价值关联的特性,刑法是否应该规制、如何规制侵害私钥行为是个
难题。如果将私钥与数字货币视为不同个体,则刑法无法对数字货币给予充分的保护;如果将私钥与数
字货币视为同一个体,则同时侵害私钥与数字货币的行为会被评价为两种损害,刑法就有打击不当
之嫌。
三、智能合约场景下伴生风险分域而治
以智能合约为场景的伴生风险应通过分域而治化解,这样既可以顾及法律的安全保障功能,又能充
分尊重智能合约下的个人自由,能够恰如其分地平衡两者的关系。
(一)完全违法性立场之评析
在互联网诞生之初学界几乎一致认为,互联网并不是法外之地,需要受到法律的监管。关于在智能
合约领域利用代码规则行为是否能够承继这一结论?诸多学者给予肯定的回答,并认为, The DAO 事件
表明依靠纯粹算法治理具有局限性,法律应当积极介入弥补其局限性,保障信任 [9] 。区块链本身属于中
立性技术,法律要在中立性技术被利用后对利用行为进行价值评价。持肯定意见的学者还从刑法打击
犯罪、保护法益的立场出发,主张刑法应对利用代码侵害他人利益的行为进行规制。既有互联网治理的
前车之鉴,又有刑法维护社会的价值分析,证明利用代码规则行为违法性的存在似乎没有问题,但是笔
者却不以为然。
首先,智能合约与早期互联网的技术基础不同。早期互联网是建立在开放协议之上,任何人都能够
在互联网上开发使用软件。正因如此,诸如 Facebook 、 Google 等商业互联网企业迅速发展并形成强有力
的互联网中心节点,这些强有力的中心节点能够提供更加方便的互联网服务,但是用户放置于互联网的
个人信息被这些中心商业节点所监控与利用 [10] 。智能合约以区块链为底层技术,区块链技术是以去中
心化为技术基础。在区块链下每个计算机都是一个独立节点,并能与其他计算机节点直接沟通。去中心化理念的产生是为了弥补中心化构造的缺陷,具有特殊价值。当前虽然区块链的发展仍然存在安全性问题,但是完全放弃区块链去中心化、自治性的优势的观点值得推敲。
其次,刑法既要保障安全又要维护自由。法律既有安全价值,也有自由价值,应当在两者之间进行 合理的平衡。刑法作为一把双刃剑,必须遵循谦抑性原则,审慎衡量法益侵害的严重性,不能轻易涉足属于他人行为自由的领域。去中心化、自治性等特征表明,区块链领域是以自由价值为主导的领域。即便认为这一领域应当受到民法、行政法等法律的规范,但是作为惩罚最严厉的刑法是否应当完全忽视区块链的自由价值而侵入这一领域,不无疑问。事实上,The DAO 事件发生后,涉案被害人对该问题的看法出现两极分化。部分被害人认为,无论使用什么方法,只要能挽回自身财产损失即可;另一部分被害人则认为, The DAO 社区使用硬分叉冲击 了社区的基本原则,这是令人无法接受的。被害人的两种不同态度启示我们,即便存在危害,也不意味 着第三方强制力量就能理所当然地介入智能合约运行。简言之,就利用代码规则而言,应当合理地划定 刑法介入的范围,而非简单粗暴地认为刑法应该不加区分地介入。