|
【202014037】预置广告SDK控制用户手机如何适用法律
文/于改之;李永红;王云燕;向鸣霞
作者单位:华东政法大学浙江工业大学律师学院浙江省人民检察院第一检察部浙江省平湖市人民检察院第一检察部
专题分类:网络犯罪
期刊栏目:疑案精解
编者按 近年来,网络犯罪、计算机犯罪等新型犯罪尤为多发,其中,以非法弹送广告、静默下载等方式实施的非法控制计算机信息系统犯罪占比较大。在2020年全国两会上,针对网络弹窗泛滥现象的治理,多位代表委员积极建言献策。为进一步明确此类行为的法律定性,加大对互联网黑灰产业链的打击力度,促进行业整改,《人民检察》特遴选浙江省平湖市检察院办理的一起行为人预置广告SDK控制用户手机案,邀请专家学者和办案单位代表对有关焦点、难点问题进行研讨。
主持人:庄永廉(《人民检察》副主编、编辑部主任)
点评专家:于改之(华东政法大学教授、博士生导师)
特邀嘉宾:李永红(浙江工业大学律师学院执行院长、教授)
王云燕(浙江省人民检察院第一检察部检察官)
向鸣霞(浙江省平湖市人民检察院第一检察部主任)
文稿统筹:华炫宁(《人民检察》编辑)
案情简介
2015年8月,欧某某带领陈某某、宋某、吕某等人加入上海朗趣科技有限公司(以下简称“朗趣公司”),成立北京团队(直至案发陆续有刘某等人加入),在与朗趣公司团队(又称“上海团队”)继续合作原有业务基础上开始研发只保留广告功能的SDK,即广告SDK,同时向罗某某、李某某所在的上海智汇云商科技有限公司(以下简称“云商公司”)、赖某某所在的深圳鼎勤科技有限公司(以下简称“鼎勤公司”)等手机方案商、中间商、厂商(以下统称为“手机商”)推广广告SDK业务。经协商,由朗趣公司北京团队提供广告SDK工具包,手机商将广告SDK工具包预装到智能手机系统中,并使广告SDK获取系统权限。在用户首次开机联网时,广告SDK即通过互联网与后台服务器连接,在用户不知情的情况下向后台服务器上传imei(国际移动设备识别码)、imsi(国际移动用户识别码)等用户信息、自动更新广告SDK版本等。北京团队根据与手机商达成的运营方案,通过服务端(即“BOSS系统”)对推送方式、内容及频率等进行配置,向用户推送软件、广告等商业性电子信息,从而产生广告费收入。
2015年下半年起,朗趣公司原本的桌面业务因市场原因萎缩,负责桌面业务的朗趣公司上海团队于2016年11月左右解散,北京团队的广告SDK业务成为朗趣公司的主要业务。2016年底起,朗趣公司的绝大部分收入来源于广告SDK业务产生的收入。2016年8月,欧某某使用他人身份信息注册成立北京瑞徕科技有限公司(以下简称“瑞徕公司”)等用于收取广告收入。
2016年8月,欧某某招募颜某等人加入瑞徕公司,并于2017年2月起开始研发“一键达apk”,在用户手机中利用广告SDK的静默安装功能自动下载安装“一键达apk”。“一键达apk”在用户点击推送的文章或新闻后,即自动下载欧某某等人运营的公众号二维码图片,强制用户关注该公众号,并向其继续推送广告等商业性电子信息。2017年8月,欧某某带领北京团队集体离开朗趣公司,入驻瑞徕公司办公地点。
2017年9月22日,浙江省平湖市公安局立案侦查此案。截至案发,该团队从深圳腾讯科技有限公司(以下简称“腾讯公司”)处获利共计66007629.76元(从获利来源看,朗趣公司的广告主来源众多,腾讯公司为其主要获利源)。自合作起,云商公司从朗趣公司分成获利3916164.28元;鼎勤公司从朗趣公司分成获利4755745.25元。关于朗趣公司与手机商的资金结算方式,分为两种:一是按手机用户广告SDK的激活量分成,二是按广告费分成。但无论采取哪种分成模式,一台手机只能收费一次,故势必要解决手机双卡双待情形下计费标准的计算等问题。欧某某等人遂研发了uid。uid是服务器为了识别用户的手机,给每个激活的手机分配的一个ID。朗趣公司与手机商的费用结算即以uid数量为基础进行计算。
经查:欧某某等人所在的公司服务器内含有大量用户移动终端内的信息,其中植入广告SDK并被激活的移动终端有2171万部,被获取imsi的移动终端有2391万部,被获取imei的移动终端有2171万部,利用“一键达apk”关注公众号的移动终端有820万部,获取用户微信号130万个。
分歧意见
关于行为人的行为是否属于非法控制计算机信息系统的行为。第一种意见认为,预装及运行广告SDK不属于非法控制计算机信息系统的行为。非法控制计算机信息系统必须采取“侵入”手段,“控制”应达到排除他人控制的程度。广告SDK主要是一种运行程序,而非对系统进行控制,该案中计算机信息系统没有被侵害。第二种意见认为,非法控制的本质是“非法性”,也就是未经授权或者超越授权实施相关行为。预装广告SDK未经用户允许,是未经授权的行为,违反了全国人大常委会《关于加强网络信息保护的决定》及国务院《计算机信息系统安全保护条例》等相关规定。行为人利用广告SDK及“一键达apk”所实施的一系列活动均是通过技术手段控制用户手机接收指令执行特定操作,属于非法控制行为。
关于非法控制计算机信息系统数量的认定。第一种意见认为,对于双卡双待手机有重复计算等情况。因此,数据库的数据不客观。第二种意见认为,该案中,给用户手机生成的uid是唯一的,根据uid数量认定行为人非法控制计算机信息系统的数量真实客观。
关于单位犯罪。第一种意见认为,该案中,各行为人所实施的行为属于履行单位职责的行为,因此应当认定为单位犯罪。第二种意见认为,2015年8月,欧某某带领团队进入郎趣公司,成立北京团队,之后一直从事广告SDK业务,以实施犯罪为主要活动,不属于单位犯罪,成立自然人犯罪。
问题一:关于非法控制计算机信息系统罪的犯罪构成
主持人:如何理解非法控制计算机信息系统罪中的“非法控制”和“计算机信息系统”?在手机中预先植入广告SDK是否具有非法性?利用广告SDK获取用户信息,向用户手机弹送广告以及利用“一键达apk”执行的一系列操作是否属于非法控制计算机信息系统?
李永红:非法控制计算机信息系统罪在犯罪类别上属于妨害社会管理秩序的法定犯。该罪在客观上须以侵入等技术手段实施非法控制,犯罪对象是计算机信息系统。SDK是指为对接其他应用程序的调用接口(API)而编制的软件开发工具包。目前诸多网络运营商将其用于用户数据采集、用户画像、广告推送等商业用途,由于将广告SDK预装入出厂智能手机中能增加广告收入,因而成为一些中小手机厂商的生存之道。该案中,手机用户对广告SDK、“一键达apk”的预装和安装均不知情,且对二者的运行均未授权,可以认定预装广告SDK及“一键达apk”并自动运行的行为涉嫌非法控制。
值得注意的是,涉及智能手机的操作行为的情况往往比较复杂,侵权、不正当竞争、违法和犯罪行为交织,需要严格对照刑法规定的犯罪构成要件查清案件事实,准确适用法律,具体应区分以下情况:一是不当利用和非法控制。如果程序研发商、手机商利用互联网、计算机信息系统从事广告活动,发布、发送广告的行为并未影响用户正常使用手机,在手机界面弹出广告时显著标明了关闭标志且能够确保一键关闭,不存在强制手机用户关注等行为,那么,按照广告法第四十四条的规定,所有相关主体的行为都只是利用计算机信息系统实施的广告行为,而不是非法控制计算机信息系统的行为。即使他们在推送广告时存在侵权、不正当竞争等情形,也不属于非法控制计算机信息系统,不应追究刑事责任。二是中立技术和帮助犯罪。如果负责研发广告SDK和“一键达apk”的程序研发商只是通过合作关系将程序提供给手机商,程序本身不足以侵害终端用户的知情权和选择权,不影响其对网络的自主使用,而手机商在预装入出厂手机时实施了隐瞒规避等行为,那么非法控制的责任主体就是手机商而不是程序研发商。当然,如果程序研发商和手机商为了分享广告利益而共谋,那么双方就属于共同犯罪。
王云燕:依据《计算机信息系统安全保护条例》第二条和最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条的规定,计算机信息系统应是由硬件、软件两部分组成,具备自动处理数据功能的系统。该案所涉智能手机和计算机一样,具备独立的自动处理数据的操作系统、独立的运行空间,可以由用户自行安装软件等程序,并可以通过移动通信网络实现无线网络接入,应当认定为刑法上的“计算机信息系统”。
非法控制计算机信息系统罪中的“非法控制”是指违背他人意志,使计算机信息系统按照行为人的意愿接受发出的指令,完成相应操作的行为。通常来说,通过黑客侵入、木马程序植入等修改他人的计算机参数设备、复制文件、窥视硬盘中的信息等是较为典型的非法控制行为。该案中,行为人在智能手机系统中预装广告SDK工具包,手机用户只要开机联网,广告SDK即通过互联网与后台服务器连接,在用户不知情的情况下向后台发送用户的imei、imsi等信息,自动更新广告SDK版本,并通过服务端向用户推送软件、广告等商业性电子信息,上述事实表明该广告SDK对计算机信息系统内部分数据进行收集的同时还可以发出指令进行操作,且上述行为均是在用户不知情的情况下进行的,显然系违背他人意志,属于“非法控制”。同时,“非法控制”不要求排他性的完全控制,部分控制他人计算机信息系统的也属于刑法所规定的“非法控制”。
向鸣霞:在手机中预先植入广告SDK是否具有非法性,关键应从其本质上论证相关行为有无授权。该案中,广告SDK是预先集成在手机系统中的软件包,用户在使用手机时只能看到宿主软件(比如桌面),无法看到广告SDK本身。但行为人在送检的进网样机中并未植入该软件包,通过AB版的形式逃避工信部门的检查,该行为违反了工信部门要求明确预置应用软件基本配置、新增预置应用软件必须报备等相关规定。同时,在广告SDK的预装与运营过程中,行为人也存在诸多规避行为,例如设置白名单、区域性设置、设置静默期(激活后一段时间内不运营),等等,均证实预装广告SDK未经用户允许,是未经授权的行为,违反了相关规定,具有非法性。
关于广告SDK是否具有控制用户手机的功能,可以从其运行原理入手进行认定。广告SDK的运行原理是:预先集成广告SDK、联网后调动广告SDK、自动对接服务器、上传用户基本信息、动态加载更新广告SDK版本、扫包、读取配置弹送广告(弹送广告的时机、频率、方式均由行为人控制)、静默下载安装“一键达apk”、下载二维码、关注公众号、删除照片等,上述行为均是行为人通过技术手段控制用户手机接收指令执行特定操作,是在用户不知情或无法控制的状态下进行的,属于非法控制行为。
问题二:对一部手机的鉴定意见是否适用于其他手机
主持人:《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十条规定,对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”“专门用于侵入、非法控制计算机信息系统的程序、工具”“计算机病毒等破坏性程序”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。如何认识鉴定意见在非法控制计算机信息系统犯罪认定中的作用及地位,涉案软件的性质是否必须依靠鉴定意见来认定,还是可以根据其本质来判定?鉴定意见一般仅针对一部手机作出,该案涉案手机品牌多、杂,鉴定意见对其他手机是否适用?
李永红:该案中,鉴定意见仅针对一部手机作出,但该案涉案手机品牌多、杂,鉴定意见对其他手机是否适用,这实际上涉及样品取样代表性问题。一般来说,对某部手机的鉴定意见,只能适用于同一品牌、同一型号、同一批次的手机。比如,植入同一款软件,对IOS系统和安卓系统的影响有可能不同。这种情况下,对一部手机的鉴定,显然就不能适用于两种不同系统的手机。因此,对某部手机所作的鉴定意见能否适用于其他手机,要看预装广告SDK工具包对手机系统的控制能否产生相同的效果。
王云燕:鉴定意见仅仅属于一种证据种类,要使鉴定意见转化为定罪的依据,必须符合证据的合法性、客观性、关联性特征。办案中对鉴定意见的形式和内容都应进行审查,结合涉案软件本身的性质及案件事实予以综合评判,确定是否可以作为定罪的依据。具体到该案中,鉴定意见是对广告SDK的鉴定,是对其功能、运行原理等开展的鉴定、检验。广告SDK的功能及运行原理不因手机型号差异而不同,且预置在不同型号手机中的广告SDK是同一的,故鉴定意见对该案其他手机具有普适性,可以适用于该案其他手机。
向鸣霞:涉计算机案件中的鉴定意见,更多的是从专业角度剖析涉案软件,解析计算机语言,分析其运行原理,至于涉案软件的法律评价,还应结合被告人供述、被害人陈述、证人证言、其他客观性证据等综合作出判断。
预装类案件是从源头上侵害被害人权益的案件,危害性更大,该案涉及手机千万部,不存在对每部手机都进行鉴定的现实可能性。该类案件中,行为人为了实现预装手机内存消耗小的目的,通常会采取加载桩的方式进行动态加载,也就是说预装的是联网模块,联网后再从服务器上下载完整版的SDK。不同的生产厂家、不同型号的手机,其预装的广告SDK都是一致的,即一个空壳的jar,里面为联网模块。鉴定意见中的“f9ed53b467ab67.jar”为原广告SDK,它具有程序更新的功能,更新过程就是先下载更新文件,取名为“update_temp.jar”,后删除“f9ed53b467ab67.jar”,并将“update_temp.jar”重新命名为“f9ed53b467ab67.jar”。也就是说,手机安装的原广告SDK都是相同版本,其通过读取配置信息进行自动更新后获得新的功能点。因此,鉴定意见具有通用效力。
问题三:关于非法控制计算机信息系统数量的认定
主持人:《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条细化了非法获取计算机信息系统数据或者非法控制计算机信息系统情节严重、情节特别严重的各种情形。该案中,对于双卡双待手机,是否存在重复计算的问题?根据uid数量认定行为人非法控制计算机信息系统的数量是否客观?
李永红:关于犯罪对象数量认定问题,uid是用户身份的唯一标识,既排除了双卡双待的问题,又排除了与桌面用户混同的问题,故以Uid数量认定行为人非法控制计算机信息系统的数量较为妥当。值得注意的是,虽然uid已经相对准确地计算出已激活的手机数量,但是,“激活”到底是基于网络的激活还是基于手机号码的激活,有待明确,因为两种激活方式对作为犯罪情节的数量认定是有差别的。如果是基于网络的激活,有可能是在未插入SIM卡的无线网络下进行的,也就是说被激活的手机可能处于流通环节,还没有遇到用户,这类手机是否可以被计入非法控制计算机信息系统的数量,存在疑问。
王云燕:计算机信息系统是软硬件的结合,双卡双待手机虽多为两套操作系统,但只对应一台设备,从有利于犯罪嫌疑人、被告人的角度出发,认定为一部手机更为妥当。该案中,uid是通过采集用户手机日志中的imei、imsi,激活当前时间,IP四个数据生成的,具有唯一性,且结算双方对此数量均予以认可,因此可以作为认定该案非法控制计算机信息系统数量的依据。此外,一方面,计算机信息技术不断发展;另一方面,法律由于诸多原因难以及时跟上互联网快速发展的步伐,这就造成相关法律规定的滞后性。《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》对非法控制计算机信息系统罪的起刑点确定为非法控制计算机信息系统20台,其颁布于2011年,2011年智能手机尚未普及,相关规定更多针对的是计算机信息系统。而在该解释出台近十年后,仍以非法控制计算机信息系统20台以上作为入罪标准,明显具有一定的滞后性和局限性。
向鸣霞:如果单纯以imei号认定双卡双待手机的数量,确实存在重复计算的可能。该案的结算模式分为两种,一种是按手机用户SDK的激活量分成,一种是按广告费分成。无论哪种分成模式,一部手机只能收费一次,否则不符合市场规律,广告商的利益会受到损失,因此行为人势必要解决手机双卡双待的问题。uid是服务器为了识别用户的手机,由服务器给每个激活的手机分配的一个ID,通过采集用户手机日志中的imei、imsi,激活当前时间,IP四个数据,根据62进制算法,给用户生成一个唯一的uid存在数据库内。也就是说每一部手机的uid号是唯一的,在第一次激活后该手机就有了其唯一的身份编号,只要是同一部手机连接服务器就是这个uid号,朗趣公司跟手机商的结算也是以uid数量为基础计算相关费用。因此,根据uid数量认定行为人非法控制计算机信息系统的数量真实客观。
问题四:关于指控与证明犯罪
主持人:该案办理中,在指控与证明犯罪方面,检察机关应重点审查哪些内容?
李永红:一是程序上重视听取犯罪嫌疑人供述及辩护人的辩护意见。谨慎审查判断言词证据,同时重视物证、书证、电子数据等实物证据和鉴定意见的运用。二是实体上注意区分刑事犯罪与民事纠纷。比如网络主体、市场主体围绕流量展开的角逐,有些可能只涉及著作权纠纷或不正当竞争,不涉及刑事犯罪。三是在专门性问题解决上应重视背景知识的学习和运用,通过区分相关技术概念实现法律规则的精准适用。如,域名劫持和链路劫持、单机操作程序与计算机信息系统,不同技术概念背后所涉及行为的性质不同。
王云燕:根据非法控制计算机信息系统罪的构成要件及特点,应重点审查以下内容:一是对犯罪手段的审查。通过调取被控制的智能手机操作系统的控制端程序、相关数据等,审查行为人实施控制的设备、程序的使用情况。二是对犯罪后果及因果关系的审查。根据从行为人作案设备以及被非法控制的计算机信息系统内提取的程序、日志等电子数据,结合言词证据综合确定上述设备的控制与被控制关系,以及行为人非法控制的计算机信息系统情况。三是对社会危害性的审查。针对此类犯罪,尤其应注重审查是否具有严重的社会危害性。严重的社会危害性是犯罪的本质特征,应结合行为性质及危害后果综合分析认定。四是着重审查电子数据及鉴定意见。关于电子数据,应注重审查电子数据的类别、文件格式、完整性校验值等属性特征以及封存状态与公安机关提取该电子数据时记载的是否一致,确保该电子数据在保管、移送过程中的完整性;关于鉴定意见,应注重审查鉴定机构是否具有鉴定资格,鉴定方法是否科学,是否已对涉案软件的功能、运行原理等进行了鉴定、检验。结合涉案软件性质及案件事实,综合认定相关所为是否属于非法控制计算机信息系统犯罪。
向鸣霞:从犯罪构成要件着手,可以重点审查以下证据:一是重点审查证明行为“非法性”的相关证据:包括行为人规避相关检查、规避相关地域等证据,以此证实行为人客观上未取得被害人授权。二是重点审查广告SDK及“一键达apk”的运行原理,证实行为人系通过技术手段控制用户手机接收指令执行特定操作。三是重点审查鉴定意见,远程勘验、检查笔录等证据是否具有程序合法性、数据客观性,能否解决手机双卡双待、鉴定意见通用性等影响犯罪证明的问题。四是重点审查各行为人在该案中的作用地位、违法可能性认识等证据,包括各行为人的主观认知、聊天记录、收入证明等。
问题五:关于单位犯罪的认定
主持人:该案属于单位犯罪还是自然人犯罪?该案中,对行为人的行为该如何定性和处罚?
李永红:一般而言,对单位犯罪中的单位意志、单位利益、单位决策程序的认定等较少发生争议,争议较大的往往是单位的成立是否“以实施违法犯罪活动为目的”、单位设立后是否“以实施犯罪为主要活动”。具体而言,通常有以下几种情况:一是涉案单位存在转型情形,原先设立公司时从事合法经营,后因故进入灰黑地带;二是涉案单位总体合法经营,但内部部分团队实施违法犯罪行为;三是单位的产品或业务有的合法有的不合法,或者其产品、业务既可以用于合法用途又可以用于非法用途。上述情况都会引发自然人犯罪和单位犯罪的争议。具体到该案,可以考虑认定为单位犯罪,理由如下:一是公司成立时不是“以实施违法犯罪活动为目的”。二是在SDK广泛应用的大背景下,公司的后续运行要评价为“以实施犯罪为主要活动”尚存疑问。
王云燕:单位犯罪是指公司、企业、事业单位、机关、团体等刑法意义上的单位,在单位主体的意志支配下为了单位的利益实施的违法犯罪。认定单位犯罪主要从以下三个方面考量:一是体现单位意志。二是为了单位的利益,即违法所得归单位所有。三是不以实施犯罪而设立或设立后不以实施犯罪为主要活动。
该案中,朗趣公司早在2013年就已成立且有合法业务,显然不是为犯罪而设立。欧某某等人于2015年8月加入该公司,成立北京团队研发广告SDK,此时公司做桌面业务的上海团队仍在经营,直至2016年底解散,故不能认为朗趣公司在2013年设立后系以实施违法犯罪为主要活动。据此,可知,认定该案是否属于单位犯罪的关键是违法所得的归属。结合在案证据可知,违法所得的归属前期主要进入朗趣公司,后期主要流入欧某某等人控制的公司,如在案证据在时间及犯罪数额证明上能作准确区分,则前期为单位犯罪,后期为自然人犯罪;如果不能区分,倾向于认定为自然人犯罪,在量刑时酌情予以考虑。
关于该案定性,行为人违反国家规定,通过在智能手机中植入广告SDK,从而实现对计算机信息系统实施特定操作的目的,且控制的手机数量特别巨大,涉及面特别广,具有严重的社会危险性,构成非法控制计算机信息系统罪。关于该案的处罚,建议宽严相济,分层打击。原因在于:一是该案虽符合非法控制计算机信息系统罪的构成要件,但广告SDK的主要功能是推送广告,与通过黑客侵入、木马程序植入等复制文件、窥探信息等典型性的非法控制计算机信息系统行为相比,主观恶性较小,且未对用户手机产生实质影响,更多的是干扰了用户操作。二是从国内软件开发及免费使用的现状看,目前国内软件基本是免费使用,其开发成本和收入来源主要靠点击量和广告推送,若对强制推送广告的行为一律从严科以刑罚,有违刑法的谦抑性,社会效果不佳。
向鸣霞:首先,根据最高人民法院《关于审理单位犯罪案件具体应用法律有关问题的解释》第二条的规定,个人为进行违法犯罪活动而设立公司,或者公司设立后,以实施犯罪为主要活动的,不以单位犯罪论处。因此,认定该案是单位犯罪还是犯罪团伙首先需要明确公司性质。该案欧某某所带领的朗趣公司北京团队,主营业务就是广告SDK,能够变现的也是广告SDK。该案中的另一家公司瑞徕公司成立于2016年8月,亦由欧某某实际控制,该公司自注册成立后主营“一键达apk”,向用户推送广告等商业性电子信息,亦属于设立后以实施犯罪为主要活动。其次,单位犯罪通常以单位名义作出、收益归单位所有。该案中,很多合同是以欧某某实际控制公司的名义订立,收益有较大一部分流入欧某某实际控制的公司,上述运营模式不符合单位犯罪的构成要件,应认定为自然人犯罪。
该案中,欧某某团队其他人员作为公司成员,清楚广告SDK的作用,在主观明知下,根据各自分工为广告SDK变现提供帮助,积极追求犯罪结果的发生,属共同犯罪。在共同犯罪中,各行为人作用地位相对较低,可以认定为从犯。
|