|
【201918045】利用爬虫加粉软件“打劫”个人信息牟利如何适用法律
文/林维;高艳东;谢虹燕;汤隽
作者单位:中国社会科学院大学浙江大学光华法学院互联网法律研究中心阿里巴巴集团安全部浙江省绍兴市越城区人民检察院
专题分类:个人信息保护
期刊栏目:疑案精解
编者按近年来,随着大数据收集、分析技术和网络自媒体的快速兴起和发展,计算机网络犯罪也呈现出新的模式和特点。为更好地打击此类犯罪,解决案件侦查和证据收集中的难题,统一法律适用,本刊遴选浙江省绍兴市越城区检察院办理的一起行为人利用恶意程序非法获取公民个人信息牟利涉嫌犯罪的案件,邀请专家学者和办案单位代表对有关焦点、难点问题进行研讨。
主持人:庄永廉(《人民检察》副主编、编辑部主任)
点评专家:林维(中国社会科学院大学副校长、教授、博士生导师)
特邀嘉宾:高艳东(浙江大学光华法学院互联网法律研究中心主任、副教授)
谢虹燕(阿里巴巴集团安全部高级专家)
汤隽(浙江省绍兴市越城区人民检察院副检察长)
文稿统筹:杨赞(《人民检察》编辑)
案情简介
2013年5月,邢某(另案处理)成立北京瑞智华胜科技股份有限公司(以下简称“瑞智华胜”)。瑞智华胜通过邢某成立的其他关联公司与运营商签订精准广告营销协议,获取运营商服务器登录许可,并通过部署SD程序(一种可以私下采集运营商流量里cookie数据的程序),从运营商服务器抓取、采集网络用户的登录cookie数据。瑞智华胜将上述数据保存在运营商redis数据库中,利用研发的爬虫软件、加粉软件远程访问redis数据库中的数据,非法登录用户网络账号,实施强制加粉、爬取公民个人信息等行为,从中牟利。
案发前,瑞智华胜发现浙江某网络有限公司(以下简称“网络公司”)调查公民个人信息被爬情况,遂将服务器数据删除。经鉴定,SD程序运行后可以实现对指定网卡网络传输流量数据包进行获取并解析的功能;爬虫软件运行后可以绕过系统保护措施,提取公民个人信息;加粉软件运行后可以绕过系统保护措施获取用户信息,并对指定账号添加好友。
案发后经查,周某系瑞智华胜的法定代表人,负责公司运维部的各项工作;黄某系瑞智华胜股东,负责通过关联公司与运营商签订营销协议,获取运营商服务器登录权限;梁某、石某系瑞智华胜运维部员工,主要负责SD程序、爬虫软件、加粉软件的部署;袭某、王A、王B系瑞智华胜研发部员工,袭某负责加粉软件的研发、维护,王A负责SD程序的研发、维护,王B负责爬虫软件的维护、优化更新。
2018年4月17日至18日间,瑞智华胜通过黄某租用的116.63段IP地址,爬取包括居住在浙江省绍兴市越城区的李某在内的某网络平台公民个人信息共计220552条(某网络平台实际输出10000条)。瑞智华胜向某网络平台指定加粉账号恶意添加好友共计137093个(某网络平台实际输出20000个)。
分歧意见
关于周某等人的行为定性。第一种意见认为,周某等人构成非法获取计算机信息系统数据罪。理由是:周某等人利用爬虫软件、加粉软件等恶意程序获取消费者在某网络平台的账户密码数据,数量较大,情节严重,构成非法获取计算机信息系统数据罪。第二种意见认为,周某等人构成非法获取计算机信息系统数据罪和侵犯公民个人信息罪,应数罪并罚。理由是:周某等人利用爬虫软件、加粉软件等恶意程序获取消费者在某网络平台的账号密码数据,本质上侵犯了两种不同的法益,应数罪并罚。第三种意见认为,周某等人构成侵犯公民个人信息罪和非法获取计算机信息系统数据罪的牵连犯,应择一重罪处罚。理由是:非法获取计算机信息系统数据是手段行为,侵犯公民个人信息并以此牟利属于目的行为,二者之间是手段和目的的关系。
关于周某等人非法获取的某网络平台账号密码数量的认定。第一种意见认为,应依照公安机关实际侦查到的数量计算(公民个人信息220552条、加粉好友137093个),达到了最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)第一条规定的“情节特别严重”的标准。第二种意见认为,应以某网络平台实际输出的数据(公民个人信息10000条、加粉好友20000个)为准计算。
问题一:关于计算机信息系统的判断
主持人:依照国务院《计算机信息系统安全保护条例》(以下简称《条例》)的规定,计算机信息系统是由计算机及其配套设备、设施作为信息载体的系统。网络时代背景下,有观点主张应将网络平台、移动客户端、App软件系统等应用程序纳入“计算机信息系统”。您如何看待这一观点?对刑法意义上的“计算机信息系统”应如何界定?该案中,某网络平台是否属于“计算机信息系统”的范畴?
高艳东:随着信息技术的发展,计算机已经从硬盘、CPU等硬件设备,演变成数据处理系统。尤其在云计算时代,大量数据并非储存在某一个计算机上,而是通过网络进行分布性、流动性储存。质言之,刑事立法设计时“计算机信息系统”的重点是“计算机”,而今天其重点是“信息系统”。对法条术语应当按照社会的发展变化进行与时俱进的客观解释,而不能拘泥于立法者的原意,这是解释新型犯罪的基本原则。按照《解释》的规定,计算机信息系统是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等,淡化了硬件设备的限制。按照这一思路,网络平台、移动客户端、App软件等,实质上都是自动处理数据的系统,都属于信息系统的一部分,应当属于信息时代的“计算机信息系统”。
谢虹燕:按照《条例》第二条的规定,计算机信息系统是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”刑法中要保护的计算机信息系统,除了对其硬件设备进行保护,核心要素是计算机运行环境的安全和计算机功能的正常发挥,而计算机功能的正常发挥依赖于数据处理和应用程序的正常运行。网络平台、移动客户端、App软件系统等应用程序,就是通过一系列硬件设施(包括网络)和应用程序,自动采集、加工、存储、传输各类数据,应属于刑法保护的计算机信息系统。
汤隽:刑法上对于计算机信息系统的理解不仅仅局限于计算机操作系统本身,与之相配套使用的硬件载体与软件应用均涵盖在计算机信息系统的范畴之中。刑法对于计算机信息系统保护的根本目的在于保护其载有的数据安全,保障数据的正常处理、传输,而对于硬件、软件、传输设备的破坏必然导致计算机信息系统中的数据安全遭受严重侵害,因此将计算机信息系统作广义理解,符合立法精神。网络平台、移动客户端、APP软件系统等应用程序仅仅是计算机信息系统进行数据处理的外在物化的表现,用户最终实现购物、聊天交流等目的仍然离不开服务器数据的运算,将上述应用程序纳入计算机信息系统中,本质上并未超出立法意图。
该案中,侵害计算机信息系统的行为分为两个阶段:一是非法获取运营商服务器上网络用户的上网流量;二是通过筛选获取的cookie数据非法登录网络用户的账号,进行信息窃取或强制加粉。无论哪一个阶段,都离不开对服务器数据的侵害。因此,应当将某网络平台纳入“计算机信息系统”的范畴内。
问题二:如何理解“情节严重”
主持人:非法获取计算机信息系统数据罪的认定须达到“情节严重”的程度。这里的“情节”,是指已发生的现实危害,还是包括有可能发生的实害?对于《解释》第一条规定的“其他情节严重的情形”应如何界定?司法实务中应如何在实体层面把握“情节严重”的标准?该案办理中,对于周某等人非法获取某网络平台账号密码的数量如何认定?周某等人的行为是否达到“情节严重”的标准?
高艳东:在网络空间,数据即结果,不能用工业时代的危害后果审视信息时代的法条。网络空间中,衡量危害后果的标准不同于传统社会,传统犯罪的危害后果一般表现为公民人身健康遭到侵害、财产遭受损失,而多数网络犯罪直接指向流量、信息、数据、点击频次等对象。《解释》第一条规定的“情节严重”包括:“(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。”有观点认为,“其他情节严重的情形”针对的仍是“身份认证信息”,这种把“数据=身份认证信息”的观点,会不当缩小该罪的处罚范围,不利于保护数据资源。个人认为,《解释》第一条规定的“其他情节严重的情形”应当指非身份认证信息等数据,结合司法实践,应当包括以下情况:一是非法获取其他受保护数据量达到GB级别或者超过10万条的;二是非法获取受保护数据用于实施犯罪的;三是受过行政处罚后在两年内又非法获取受保护数据的。
具体到该案中,周某等人的行为已经超出“情节严重”,达到了“情节特别严重”的程度。该案中,行为人通过私下采集运营商流量里的cookie数据以完成加粉等后续行为,而cookie数据就是某些网站为了辨别用户身份、进行跟踪而储存在用户本地终端上的数据,可以认为属于用户的登录凭证。这些数据使得用户可以直接登录之前的网站,实际上就是一种网络身份认证信息。根据公安机关查证的非法获取的信息条数,相关行为已经达到了《解释》第一条规定的“情节特别严重”的标准。
谢虹燕:非法获取计算机信息系统数据罪作为结果犯,须达到“情节严重”的标准方可入罪,行为人一旦非法获取了计算机信息系统中的数据,就已经发生了现实危害。至于后续对非法获取的数据的其他不法利用,应当另行评价。同时,由于对入罪标准采取量化的立法模式容易造成入罪标准过于单一,无法适应犯罪手段的不断变化。因此,立法设置了“其他情节严重的情形”作为兜底条款,在保持立法稳定性的同时,也具有一定灵活性,以不断适应新情况。对兜底条款的解释,一般应遵循同类解释的原则,即行为手段和危害后果应与条款中其他所列明的情形相当。司法实务中,对非法获取计算机信息系统数据罪“情节严重”标准的把握,主要难点在于对数据类别的准确界定和对数量的认定方面。
该案中,由于周某等人得知非法获取计算机信息系统数据的行为已经被某网络公司发现,于是将服务器数据删除,销毁了相关证据,导致无法准确认定周某等人实际非法获取的账号密码的具体数量。但是,公安机关扣押了犯罪嫌疑人的电脑,对电脑中的电子数据进行现场勘查,通过鉴定确定了电脑中非法获取的公民个人信息的条数及恶意加粉的账号数。根据犯罪嫌疑人的供述,这些电子数据都是周某等人通过SD程序,爬虫、加粉软件非法获取的。同时,公安机关通过向相关网络公司调取证据,证实特定IP地址在特定时间访问的信息数量与公安机关在犯罪嫌疑人电脑中获取的信息数量一致,相关行为达到了《解释》第一条规定的“情节特别严重”的标准。
汤隽:刑法理论上对于是否将造成实害发生的可能性纳入犯罪结果存在较大争议。个人认为不能将造成实害发生的可能性作为犯罪结果来认定,因为立法已经以危险犯的形式将该种情形予以规定,此种犯罪并不需要特定的犯罪结果发生。因此,非法获取计算机信息系统数据罪中作为构成要件的危害结果必须是对犯罪客体造成的客观影响,并由此产生一定的结果。该案中,周某等人非法获取计算机信息系统数据的结果是非法盗取公民在某网络平台的账号密码,应当按照周某等人侵入的账号数量来认定具体的“情节”。某网络平台所属公司根据IP地址查获的被盗账号共计30余万个,而由于设备输出的限制,能够导出的账号数量仅有3万个,并且通过对部分账号持有者进行核实了解,确实存在被恶意加粉、个人信息被爬取的情形。因此,从某网络平台所属公司后台获取的数据是真实可靠的,即应当按照某网络平台所属公司后台查获的30余万个账号数量来认定周某等人非法获取计算机信息系统数据罪的“情节”。
问题三:关于罪数的认定
主持人:不管是司法实践中,还是刑事法理论层面,对于涉计算机类犯罪和侵犯公民个人信息犯罪之间的罪数关系都有颇多争议,焦点往往集中在牵连犯与吸收犯、想象竞合犯与数罪并罚之间。您对此如何看待?该案中,周某等人利用爬虫软件、加粉软件等恶意程序获取用户在某网络平台的账户密码数据,本质上是对计算机信息系统的破坏,还是对公民个人信息的侵害?抑或是构成数罪?
高艳东:首先,行为人获取cookie数据的行为构成非法获取计算机信息系统数据罪。cookie数据的主要内容是登录凭证,是一种网络身份认证信息,属于数据。但这种网络身份认证信息只用于用户与网站之间的登录,并不包含可以识别个人身份信息的内容,因而不属于公民个人信息,对其进行非法获取也就不构成侵犯公民个人信息罪。其次,行为人之后利用爬虫软件等爬取公民个人信息的行为,既构成侵犯公民个人信息罪,也构成非法获取计算机信息系统数据罪,属于两罪的想象竞合。再次,使用加粉软件强行加粉的行为,是对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,构成破坏计算机信息系统罪。
该案中,周某等人存在先后三个独立的行为:获取cookie数据、获取用户个人信息和强行加粉;分别侵犯了三种法益:数据安全、个人信息自决权和计算机信息系统的运行安全。对此,宜按照非法获取计算机信息系统数据罪(获取cookie数据)、侵犯公民个人信息罪(获取用户信息)和破坏计算机信息系统罪(强行加粉)三罪数罪并罚。
谢虹燕:该案中,首先,周某等人在运营商不知情的情况下,在运营商服务器中私自部署SD程序非法抓取网络用户的登录cookie数据并予以保存,这一行为系通过恶意软件从运营商服务器中非法获取数据,破坏了运营商计算机信息系统的安全性,应当构成非法获取计算机信息系统数据罪。其次,获取到用户cookie数据后,周某等人又根据不同的需求对用户cookie数据加以清洗利用,登录用户在不同网络平台的账号,利用爬虫软件从不同的网络平台爬取用户的公民个人信息(包括姓名、联系方式、地址等),这一行为侵犯了用户的个人信息安全,同时也破坏了相关网络平台的计算机信息系统安全,考虑到获取的数据属于特殊对象,具有公民个人信息的属性,应构成侵犯公民个人信息罪。再次,周某等人爬取用户个人信息的目的是为了分析用户的行为,利用加粉软件对用户账号进行强制添加好友,从中牟利。在强制加粉这一环节,行为人冒用用户的身份登录相关网络平台,采用不断更换IP地址、破解网站接口加密验证等技术手段,强行为用户账号添加好友,对计算机信息系统中存储、处理或者传输的数据进行修改、增加等操作,危害了计算机信息系统数据采集和流量分配体系的正常运行,侵害了网络平台的信息系统安全和用户的知情权,违法所得数额巨大,构成破坏计算机信息系统罪。可见,周某等人爬取用户个人信息的目的是为了给用户账号强制加粉并以此非法牟利,属于手段和目的的牵连犯,其行为同时构成侵犯公民个人信息罪和破坏计算机信息系统罪,应择一重罪处罚,即按照破坏计算机信息系统罪定罪处罚。综上,该案中,对周某等人应当按照非法获取计算机信息系统数据罪和破坏计算机信息系统罪数罪并罚。
汤隽:从司法实务来看,单纯意义上的侵害计算机信息系统的犯罪较为少见,较常见的是利用黑客技术侵入计算机信息系统,盗取相关信息用于违法犯罪,最终实现经济目的。该案中,周某等人存在两个行为,分别符合两个犯罪构成,但两个行为之间存在关联,非法获取cookie数据的目的是爬取公民个人信息,进行强制加粉。非法获取计算机信息数据是手段行为,侵犯公民个人信息是目的行为,应择一重罪处罚,即以非法获取计算机信息系统数据罪处罚。但从证据上看,因设备输出的限制,从后台导出的公民个人信息、加粉账号的数量要远小于后台实际可查询到的数量,采信何种数据直接影响了该案的定性。因此,这里又引申出一个新的问题,即如何把握用户账号与身份认证信息的关系。《解释》第十一条将“身份认证信息”定义为用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等,这里账号的内涵要广于公民个人信息中的“账号”。实践中,账号并不一定属于公民个人信息,只有经过实名认证且与特定自然人相关联的账号才属于公民个人信息。而认定身份认证信息中的账号则可以不用考虑是否与特定自然人发生关联,即直接以网络平台所属公司后台查获的30余万个账号数量来认定周某等人构成非法获取计算机信息系统数据罪即可。
问题四:关于单位犯罪的认定
主持人:从司法实务来看,为数不少的涉计算机类犯罪案件是以单位或者其分支机构的名义组织实施的。这种情况下,认定案件是单位犯罪还是自然人犯罪,直接意义在于处罚范围、追诉标准和处罚力度的不同。涉计算机类犯罪案件中,应如何准确界定单位犯罪和自然人犯罪?该案办理中,有观点主张瑞智华胜属于单位犯罪,并建议对周某等人依照作用大小进行处罚。您如何看待?
高艳东:对相关行为按照单位犯罪还是自然人犯罪处理,需要考虑网络犯罪的特殊性。互联网灰黑产业有一个显著的特征,就是违法犯罪经常以公司的方式或名义实施,一是便于签订合同,对外开展非法牟利活动;二是冠上科技、数据公司的名头,容易迷惑社会公众,获得政策支持。一般而言,单位犯罪的最终处罚较轻,为了防止不法分子逃避法律的制裁,司法机关需要刺穿公司的面纱、厘清单位的性质。如果该案中瑞智华胜的主要业务就是从运营商服务器中抓取、采集网络用户的登录cookie数据,进而实施获取用户个人信息、强行加粉等非法活动,那么就可以认为,该公司属于最高人民法院《关于审理单位犯罪案件具体应用法律有关问题的解释》(以下简称《单位犯罪案件解释》)规定的“公司、企业、事业单位设立后,以实施犯罪为主要活动的,不以单位犯罪论处”的情形,对周某等人应以自然人犯罪论处。
谢虹燕:根据《单位犯罪案件解释》,个人为进行违法犯罪活动而设立的公司、企业、事业单位实施犯罪的,或者公司、企业、事业单位设立后,以实施犯罪为主要活动的,不以单位犯罪论处。盗用单位名义实施犯罪,违法所得由实施犯罪的个人私分的,依照刑法有关自然人犯罪的规定定罪处罚。该案中,邢某成立瑞智华胜公司,周某负责公司运营,股东黄某通过其他关联公司与运营商签订精准广告营销协议,相关行为人获取运营商服务器登录许可,并通过私自部署SD程序,从运营商服务器中非法抓取网络用户的登录cookie数据,后非法登录用户的网络平台账号,进行公民个人信息爬取、强制加粉等行为,从中牟利。行为人成立公司只是为了通过合作协议获取运营商的登录许可,便于非法获取数据,属于以实施犯罪为主要活动,应以自然人犯罪定罪处罚。
汤隽:涉计算机类犯罪除了手段方式与传统犯罪有别之外,在认定单位犯罪上与传统犯罪无异,认定的核心仍在于是否以单位的意志实施,所得收益是否归属于单位,符合这两个基本特征的,就应认定为单位犯罪。对单位的主管人员以及与犯罪行为有直接联系的其他直接责任人员也应当追究刑事责任。
该案中,瑞智华胜在具体的商业活动中均是以单位名义对外签订合同,相关的业务活动也是由单位决策层作出,单位的工作人员根据单位的指令完成各项工作,而且经营收入也归属于单位,符合单位犯罪的构成要件,应当认定为单位犯罪。瑞智华胜的相关责任人员中,法定代表人负责公司主要经营活动的经营决策,一般员工负责具体的业务工作。主管人员与一般员工(其他直接责任人员)之间存在支配与被支配的关系,此种情况下,对周某等人不宜仅以作用大小进行处罚,否则处于被支配地位的一般员工将与主管人员在同一个量刑幅度内处罚,显失公平。这种情况下,应考虑整案的量刑均衡,区分主、从犯。
问题五:信息安全保护机制的构建
主持人:该案犯罪手段新颖、社会危害性大,在案证据显示,行为人利用恶意程序,使得运营商流量在源头遭劫持,导致数百家互联网公司用户数据被窃取,为互联网行业的安全运营敲响了警钟。作为信息安全的关联方,运营商、互联网企业和公民个人应如何做好信息安全保护工作?检察机关在信息安全保护机制构建中应发挥哪些作用?
高艳东:强化运营商的法律责任,是防范数据泄露的主要途径。该案中,瑞智华胜与运营商签订精准广告营销协议,获取运营商服务器登录许可,这是周某等人能够获得cookie数据,进而获得用户个人信息的关键一步。用户都是通过运营商与各大网站和平台进行数据交换,用户的所有数据都在运营商的直接管理、掌握之中。该案中运营商通过精准广告营销协议使周某等人取得了运营商服务器的登录许可,等于是把用户的数据向周某等人开放了。虽然在运营商和瑞智华胜的合同中可能存在要求瑞智华胜合法使用数据、运营商免责的风险规避条款,但这不能免除运营商保护数据不力、甚至故意出卖用户数据的嫌疑。运营商与瑞智华胜签订精准广告营销协议,本身就已经把用户的数据当成了非法牟利的工具。具体到该案中建议检察机关追根溯源,查清运营商的法律责任。如果运营商明知瑞智华胜非法获取数据而为其提供帮助,则符合共同犯罪的成立条件,应当按照帮助犯追究其刑事责任。如果运营商被瑞智华胜欺骗,过失地实施了帮助行为,虽然不构成犯罪,但仍然应承担相应的行政与民事责任。
谢虹燕:运营商处于互联网数据保护中更为基础和底层的一环,其应当加强数据保护能力和管理规范。只有运营商、互联网平台、用户个人都尽到各自应尽的注意义务,才能最大程度地保护用户数据安全。检察机关通过相关案件的办理,发现运营商、互联网企业存在数据泄露风险的相关管理问题时,应积极提出检察建议,为企业和用户的数据安全提供法律保障。
汤隽:随着互联网信息技术的不断更新,大数据时代已经来临,作为承载信息的数据其经济价值越来越凸显,但也成为了犯罪分子非法获取和交易的对象,当下计算机、互联网犯罪的高发就是其见证。信息传输的整个链条上都有可能出现风险,如果没有一整套保护机制,仅靠企业本身去监管,往往达不到理想的效果,该案就是一个典型的例证。运营商掌握着整个网络的信息,该案中相关运营商为了盈利将如此重要的登录权限提供给了一家外包企业,同时又缺少必要的监管,最终造成公民的个人信息被疯狂窃取。这提醒我们,信息安全问题不应该仅仅只是依靠某几家公司,也不仅仅是装上防火墙、杀毒软件就万无一失,应更多依靠顶层设计。立法应建立一套全面的保护机制,对信息传输的每个环节加以约束,避免肆意授权、监管缺位等现象的发生。同时,应该尊重和保护公民的知情权,将信息所有人引入信息流通环节,形成外部监督。
问题六:该案如何处理
主持人:该案中,对于瑞智华胜和周某等人应如何定性和处罚?
高艳东:该案中,对周某、黄某、梁某、石某应按照非法获取计算机信息系统数据罪、侵犯公民个人信息罪和破坏计算机信息系统罪三罪数罪并罚。周某、黄某在犯罪过程中起到主要作用,属于主犯。梁某、石某属于执行具体工作的员工,应当按照上述三罪的从犯进行处罚。袭某负责某网络平台加粉软件的研发、维护,只成立破坏计算机信息系统罪的从犯;王A负责SD程序的研发、维护,只成立非法获取计算机信息系统数据罪的从犯;王B负责爬虫软件的维护、优化更新,只成立侵犯公民个人信息罪的从犯。
谢虹燕:该案中,周某等人的行为构成非法获取计算机信息系统数据罪和破坏计算机信息系统罪,应数罪并罚。
汤隽:该案中,瑞智华胜及周某等人的行为均构成非法获取计算机信息系统数据罪。
|