中美合锤！米哈游再次抓到“内鬼”：“妮可少女”被捕，最终法律责任如何？

近年来，游戏研发期间的未公开内容泄密（俗称“内鬼”爆料），一直是悬在各大游戏厂商，尤其是二次元游戏厂商头顶的顽疾。

无论是打乱耗资千万的宣发节奏，还是破坏玩家社区生态，泄密行为给厂商造成的隐性与显性损失都难以估量。

以往，厂商维权多以发函警告或民事诉讼为主，但近一两年，刑事追责的案例也在不断上升。

而最近，米哈游则向全行业展示了一次教科书级别的“跨国双轨”维权行动。

2月27日，上海警方宣布破获首例游戏领域“非法剧透”刑事案件，抓获三名嫌疑人。其中主犯，正是搭建泄密网站“玉衡杯”、网名HomDGCat（中文昵称“妮可少女”）的留美数学系博士（网传）周某。

而在大洋彼岸，米哈游的海外主体Cognosphere已于2月5日在美国联邦法院正式对周某提起民事诉讼，索要天价赔偿。

作为一个《崩坏：星穹铁道》的玩家，说来惭愧（其实没有），笔者以前也用过周某搭建的“玉衡杯”网站，提前了解下个版本要刷什么角色突破材料，好提前在长草期刷好材料（现在游戏内置前瞻就不需要了）。

今天，我们就来硬核梳理一下，这位00后天才学霸究竟面临着怎样的法律责任，以及米哈游的法务团队打出了一套怎样的“连招”。

*本文仅为笔者个人观点，不视为任何法律建议或法律意见。

一、“解包”的技术与法律边界在哪里？

警方通报中提到了一个核心的技术手段：“通过技术手段破解游戏测试安装包”。

在游戏圈，这通常被称为“解包”。

笔者以前在《【游法知识】用Asset Studio解包合法吗？》一文中就详细探讨过这个话题。

很多玩家对“解包”的法律边界存在严重的误区，认为“工具是开源的，包是我自己下载的，我拆开看看怎么了？”

“懂法”的可能还会觉得，《著作权法》不是说了“个人学习无责”吗？

第二十四条　在下列情况下使用作品，可以不经著作权人许可，不向其支付报酬，但应当指明作者姓名或者名称、作品名称，并且不得影响该作品的正常使用，也不得不合理地损害著作权人的合法权益：

（一）为个人学习、研究或者欣赏，使用他人已经发表的作品；

第五十条　下列情形可以避开技术措施，但不得向他人提供避开技术措施的技术、装置或者部件，不得侵犯权利人依法享有的其他权利：

（五）进行加密研究或者计算机软件反向工程研究。

其实，这里的核心在于“对象”与“目的”。

可以：已发布内容+ 善意使用

如果玩家只是用Asset Studio等工具，解包了已经正式上线的游戏客户端，目的是为了学习一下大厂的3D模型布线，或者自己在电脑上做个非商业目的的同人MMD（当然，米哈游等主流大厂现在也开始直接给模型出来给大家免费用），这在实务中通常处于“合理使用”的灰色安全区，厂商法务一般也不会追究。

不可以：未发布内容 + 恶意使用

但这次，周某等人的目的“并不单纯”。

首先，他们解包的不是公开客户端，而是通过各种手段弄到的未公开的加密测试包。

再者，他们将解包出的【未公开发布的】核心商业机密（新角色、新场景、技能倍率，甚至还有剧情文本、新深渊BOSS等）制作成视频以及建立数据库，大肆公开，并以此来博取近10万的订阅流量、获取平台分成和用户打赏。

同时，经过米哈游多次沟通，仍【拒不整改】。

那只能引来“铁拳”了。

二、先说国内，为何会面临刑事强制措施？

实务中，很多涉足知识产权侵权的人，经常有一种近乎天真的错觉：

“大不了就是被平台发个警告信，我下架视频不就完事了？”

其实，还真不一定。

此次上海警方的行动，则直接提供了充分的实例，来彻底打破这种幻想。

这是上海首例针对游戏领域“非法剧透”行为采取刑事打击的实战案例，相信也不会是最后一例。

为什么能抓人？

因为游戏研发期间的未公开信息，不仅是著作权法保护的作品，更是反不正当竞争法保护的商业秘密。

而就在2025年4月，最高法、最高检联合发布了《关于办理侵犯知识产权刑事案件适用法律若干问题的解释》（之前也写过）。这份司法解释，则为这次以刑事手段打击游戏领域“非法剧透”提供了明确的法律指导。

第十三条  实施刑法第二百一十七条规定的侵犯著作权或者与著作权有关的权利的行为，违法所得数额在三万元以上的，应当认定为刑法第二百一十七条规定的“违法所得数额较大”；具有下列情形之一的，应当认定为刑法第二百一十七条规定的“其他严重情节”:

（四）通过信息网络向公众传播他人作品、录音录像制品或者表演，数量合计在五百件（部）以上的，或者下载数量达到一万次以上的，或者被点击数量达到十万次以上的，或者以会员制方式传播，注册会员数量达到一千人以上的；

此外，周某等人的行为，不仅为自己获利，还对米哈游造成了极大的实质性损害。

未完成的数据被提前放出，不仅严重破坏了既定的商业宣发节奏，更可能引发了玩家社区的无端争执，破坏了游戏生态。

当侵权行为对权利人造成了重大经济损失，且自身非法经营（如流量变现、打赏）数额达到立案标准时，就已触犯了《刑法》第二百一十七条（侵犯著作权罪）或第二百一十九条（侵犯商业秘密罪）。

怎么判？

直接上法条：

第二百一十七条 以营利为目的，有下列侵犯著作权情形之一，违法所得数额较大或者有其他严重情节的，处三年以下有期徒刑或者拘役，并处或者单处罚金；违法所得数额巨大或者有其他特别严重情节的，处三年以上七年以下有期徒刑，并处罚金：

（一）未经著作权人许可，复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的；

第二百一十九条 有下列侵犯商业秘密行为之一，给商业秘密的权利人造成重大损失的，处三年以下有期徒刑或者拘役，并处或者单处罚金；造成特别严重后果的，处三年以上七年以下有期徒刑，并处罚金：

（一）以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的；

（二）披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的；

（三）违反约定或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密的。

没看到实际获利认定，但一般而言，考虑到目前能看到的公开信息，三年以下，乃至判一缓一，也差不多了。

注意上述的“违反约定或者违反权利人有关保守商业秘密的要求”，也就是泄露测试服信息的，其实严格来说，也有刑事责任风险的。

三、再看在美国，米哈游是怎么起诉他们的？

除了在国内采取刑事措施外，米哈游在美国也起诉了他们。

笔者设法查阅了米哈游在美国佐治亚州北区联邦地方法院提交的起诉书全文。

这份起诉书非常值得研读。

（关注我，聊天栏输入“妮可少女”，获取英文起诉书全文PDF）

在这份长达45页的文书中，米哈游并没有单一地主张著作权，而是打出了一套极其严密的“七项诉由（Counts）”组合拳：

1. 商业秘密窃取（Count I & II）

首先，是援引了联邦《保护商业秘密法》(DTSA)和《佐治亚州商业秘密法》(GTSA)。

未公开的游戏版本不能仅仅按“作品”来保护。起诉书第一、第二条直接将其定性为高价值的“商业秘密”。

为了满足法律对商业秘密“保密措施”的要求，米哈游在起诉书中详细列举了他们采取的安保手段：对测试玩家签署严格的NDA（保密协议）、研发区域的物理隔离、IT系统的密码保护与权限分割等。

确立了商业秘密的属性后，由于周某的行为被认定为“故意且恶意（intentionally and maliciously）”，这直接赋予了米哈游主张惩罚性赔偿（Exemplary/Punitive Damages）的权利。

2.主张法定最高赔偿（Count III）

周某未经授权，将游戏内的角色立绘、模型、文本对话直接复制并发布在Telegram频道和HomDGCat网站上，侵犯了复制权和发行权。

米哈游没有纠结于难以计算的“实际损失”，而是直接亮剑，通过援引美国《版权法》（17 U.S.C. §§ 106 & 501），保留选择法定赔偿（Statutory Damages）的权利。对于故意侵权（Willful Infringement），美国版权法规定的法定赔偿上限是每部作品高达15万美元。

3.违反DMCA反规避条款（Count IV）

很多“技术宅”认为自己只是提取了数据，没有用于盈利就不算犯法。但DMCA规定，只要你破解了厂商的加密技术，这个“规避行为”本身就是违法的。

起诉书指出，测试包体是经过加密（Encryption）的，周某提取数据的行为属于“规避技术保护措施”。

根据美国法律，每一次规避行为，最高可主张2500美元的法定赔偿。 

考虑到网站上数以万计的数据条目，仅这一项的理论索赔额就是天文数字。

4.通过TOS（用户协议）完成兜底（Count V）

绝大多数“内鬼”本身也是游戏玩家，周某当然也不例外。

起诉书第26-29段指出，周某拥有Hoyoverse账号，注册时必然点击同意了《用户服务协议》（TOS）。

而米哈游的TOS里写得明明白白：“禁止提取源代码或破解加密材料”、“禁止用于商业目的”。

可见，一份好的用户协议，不仅是免责声明，当要维权时，还会成为锋利武器。

（但实际上又有多少人真的会看完那些长长的《用户协议》呢）

5.侵权干扰合同关系（Count VI）

很多泄密大V喜欢狡辩说：

“测试包是别人发给我的，我只是代为发布，违约的是那些测试玩家。”

当然，那些测试玩家肯定是违约的。

但在英美法系下，如果你明知他人有保密义务，还去诱导他人违约，你就构成了侵权。

起诉书第35段直接附上了周某在2024年4月19日发在Telegram上的铁证（见前文的图），他主动教唆（Soliciting）测试服玩家提供测试包，并承诺“我不会知道你的身份，也不会把你给我的下载链接泄露给任何人”。

通过这一点，来直接撕下了周某“单纯信息分享者”的伪装（消灭其“善意”），将其定性为主动构建、组织泄密网络并诱导玩家违约的“主谋”。

这也让法庭更容易下达严厉的惩罚性判决。

6.要求承担巨额律师费与诉讼成本（Count VII）

起诉书第46段披露了一个关键细节，可以印证米哈游法务视频中的信息。

米哈游在2025年12月24日曾向他发送过停止侵权函（C&D Letter），但周某回复极其强硬，明确拒绝停止非法数据挖掘（Datamining）和索要测试包的行为。

总所周知，在美国打知识产权官司，律师费往往是天价。

米哈游以此证明被告表现出“恶意、顽固好讼（stubbornly litigious）”，给原告造成了不必要的麻烦，因此要求法庭判令被告承担米哈游方面的全部律师费和诉讼开销。

这套“连招”打下来，从商业秘密、版权、技术规避，一路封锁到用户协议和教唆违约，几乎堵死了被告在民事诉讼中的一切抗辩空间。

四、更麻烦的是，周某回不去美国了应诉了

现在，周某还面临着一个极其棘手的程序法困境。

米哈游在美国佐治亚州对他提起的民事诉讼已经立案。

但是，被告周某目前人在国内，且已被上海警方依法采取刑事强制措施。

这意味着周某客观上根本无法前往美国应诉，他甚至可能都无法及时聘请美国律师来为自己提交答辩状。

根据美国的民事诉讼规则，如果被告在法定期限内未能做出回应或出庭答辩，原告可以向法院申请缺席判决（Default Judgment）。

在缺席判决的程序下，法官通常会直接采纳原告（米哈游）在起诉书中提出的事实认定和诉讼请求。

也就是说，包括侵权赔偿、DMCA顶格法定赔偿、惩罚性赔偿以及高昂的律师费在内，这张可能高达数百万甚至千万美元的判决书，大概率会被法院全盘批准。

即便周某日后在国内的刑事案件中结案，只要这份美国法院的判决生效，他在美国境内的所有资产都将被随时申请强制执行。

带着这种恶性知识产权侵权的巨额债务记录，这位曾就读少年班（传闻）、目前在读佐治亚理工博士的“学霸”，其未来的海外学术生涯和职业道路，基本已被彻底锁死。

（当然，被收编了就另说。）

五、最后

从出具停止侵权函被拒，到美国联邦法院提起七大诉由的民事诉讼，再到配合中国警方进行刑事打击，米哈游这次向全行业展示了打击涉密黑灰产的决心与手腕。

面对日益猖獗的黑灰产，除了传统的民事诉讼和发函，依托新司法解释的指导，可能会有更多的厂商，会尝试积极配合公安机关，来合法运用刑事手段维护自身权利。

这起案件，也给广大合规经营的游戏厂商提供了一份教科书级别的“实战指南”。想要挥舞起法律的武器，底层的合规建设必须扎实。梳理并细化用户协议（TOS）与保密协议（NDA），将禁止数据挖掘、禁止破解技术保护措施等条款落实到字面；在技术上完善测试包的加密与溯源机制。

只有先筑牢自己的“护城河”，在面对侵权时才能打出这样一套毫无破绽的跨国组合拳。

而对于广大玩家和具有技术背景的创作者来说，这更是一堂生动且沉重的普法课。

互联网技术，尤其AI的突飞猛进，赋予了更多人探索代码底层的能力，但这绝不是窃取他人商业机密并以此牟利的通行证。

不要为了追求那点可怜的“首发流量”和打赏，去触碰法律的红线。

另外，也要警惕那些向你保证“绝对安全、绝不泄露你身份”的所谓“泄密大佬”，他们只是拿普通测试玩家当做免费获取资源的“炮灰”。

一旦大厂法务与警方联动，溯源到底，他们连自己内裤颜色都保不住，更何况是交出测试包的你？

保护未公开的商业机密，就是保护游戏企业赖以生存的生命线，也是保护整个行业能够持续产出优质内容的基石。