【2016062307】用admin账户登录他人信息系统行为的定性
文/温锦资
【案情回放】
2014年10月开始,被告人付某先后在湖北省汉川市家中、武汉市某小区2栋2105房中使用台式电脑和笔记本电脑,在互联网上使用默认账户admin登录被害人公司账户后台,利用下载助手软件下载获取被害人公司月结账户的客户资料信息。被告人付某多次作案,累计非法获取客户信息几十万条,再利用QQ在群中发布消息转卖相关信息,共获利8万余元。
广东省深圳市南山区人民法院经审理认为,被告人付某非法侵入被害公司的计算机信息系统,获取该计算机信息系统中储存的数据,情节特别严重,其行为已构成非法获取计算机信息系统数据罪,判处其有期徒刑四年,并处罚金4万元。付某不服一审判决,上诉称:其系使用默认账户admin登录他人计算机信息系统,并未使用非法手段,故不构成非法获取计算机信息系统数据罪。
广东省深圳市中级人民法院二审审理认为,被告人付某使用默认账户admin多次登录被害人公司计算机信息系统获取存储的客户个人信息,获利8万余元,是同一行为同时触犯非法获取计算机信息系统数据罪、非法获取公民个人信息罪,应从一重罪处罚;被告人构成非法获取计算机信息系统数据罪。二审维持了一审判决。
【不同观点】
被告人利用被害公司的疏忽,使用默认的账户admin登录到被害公司的计算机信息系统,下载了被害公司存储的快递单图片并出售牟利,其行为构成何罪,有三种意见。
第一种意见认为,被告人使用admin进入被害公司计算机信息系统,其手段有别于盗取账户资料或者利用黑客软件工具强行进入等明显非法的手段,不符合“非法侵入”计算机信息系统的罪状特征。非法获取计算机信息系统数据罪保护的法益是计算机信息系统安全,在缺乏“非法侵入”罪状的情况下,可以认为没有侵害计算机信息系统安全,被告人不构成非法获取计算机信息系统数据罪。但被告人下载包含客户信息的快递单图片并出售其中的客户信息获利,其实质侵害的法益是公民的个人信息,被告人在他人计算机信息系统非法下载获取公民个人信息,其行为构成非法获取公民个人信息罪。
第二种意见认为,被告人只要是未经授权进入他人计算机信息系统,无论被告人采取何种手段或方式,都属于非法进入他人计算机信息系统。被告人利用默认的admin账户进入被害公司的计算信息系统并下载在该信息系统存储的数据,最终出售获利,其行为构成非法获取计算机信息系统数据罪。
第三种意见认为,开放、共享是互联网世界最基本的原则,同时,互联网又是无形、没有物理边际的,因此,网络世界中的行为规范与现实生活的行为规范应有所区别,不能一概认为只要未经授权进入他人计算机信息系统就是非法侵入。本案被告人多次利用admin账户进入他人计算机信息系统,非法获取包含大量个人信息的数据,其同一行为同时触犯非法获取计算机信息系统数据罪和非法获取公民个人信息罪,应从一重罪论处,被告人应构成非法获取计算机信息系统数据罪。
【法官回应】
信息系统有明显的权利界限是认定非法侵入的前提
本案争议的焦点在于被告人使用默认的账户admin登录是否构成非法侵入他人计算机信息系统,从而构成非法获取计算机信息系统数据罪。
1.非法进入的认定
根据刑法第二百八十五条第二款规定,构成非法获取计算机信息系统数据罪,需要具备非法侵入这一行为。非法侵入从形式上讲一般有以下几种情形:一是通过非法手段盗取账户密码登录他人计算机信息系统;二是直接通过破解技术手段进入他人计算机信息系统;三是越权或者无权进入计算机信息系统,即虽然有进入相关系统的权限,但对系统中某些子系统未被允许就进入,或者相应权限被取消后仍继续进入相关计算机信息系统。上述几种情形中非法侵入的手段本身就具有违法性,其构成非法进入较为容易理解。但本案中被告人只是使用系统默认的admin登录账号进入被害人的计算机信息系统,没有使用任何的技术手段,也没有去偷取相关的账户资料,其进入计算机信息系统的手段本身难言有违法性,且互联网开放、共享是基本特性,互联网中数据分享是原则,限制是例外,一个计算机信息系统能够用admin默认的账号进入,一定程度上是否可理解为该计算机信息系统是允许公众进入,那就不构成非法侵入。被告人正是因此认为其没有非法侵入被害人计算机信息系统,也就不构成非法获取计算机信息系统数据罪。
回应被告人的疑问,判断行为人是否构成非法侵入,要把问题放到互联网这个语境中,不能拘泥于形式上的理解,要从实质意义上去寻找问题的答案,而关键就在于在互联网中计算机信息系统数据的权利边界在哪里。
2.计算机信息系统数据的权利界限
我国刑法规制的涉及计算机信息系统安全的犯罪行为包括非法侵入、非法获取数据、非法控制、提供侵入、非法控制的程序、工具、破坏等,所有的这些行为主要涉及两方面的内容,一是计算机信息系统的数据安全,二是计算机信息系统的正常运行安全。本案非法获取计算机信息系统数据主要是侵犯了计算机信息系统的数据安全。
作为计算机信息系统数据的所有者,一般来说其对数据会有不同的用途或者说目的,有共享的目的,权利人主动将数据共享供公众使用;还有非共享目的,包括牟利目的,权利人提供数据,但他人获取数据需要支付相应的对价;也包括保密目的,类似商业秘密、技术秘密,或者根据法律规定不能公开的数据,如本案中的公民个人信息。前者是允许公众接近并复制,无需适用刑法保护,后者则是禁止接近或者需支付对价,否则有可能受到刑法规制。但是如果缺乏明确权利声明,或者其计算机信息系统的数据处于可随意访问的状态,由于互联网世界中数据汗牛充栋,数据的传输和交换无时无刻不在进行,且互联网数据无形、共享的特点,对于公众而言,是难以判断其接近、复制某些数据的行为是否构成违法甚至是犯罪。如果认为未经许可进入他人计算机信息系统一律就是非法侵入,违背了互联网共享开放的精神,对行为人是不公平的,也与刑法的谦抑性不相符。因此,必须存在一定的权利边界便于公众判断其网络行为的合法性,维护各方利益平衡。
计算机信息系统数据的权利边界,对于法益特别重大的数据,由法律直接规定禁止接近,刑法第二百八十五条第一款规定国家事务、国防建设、尖端科技技术领域的计算机信息系统是禁止进入的,即禁止接近系统内的数据。对于法律直接规定之外的其他计算机信息系统的数据,则需要权利人在互联网世界中向公众宣告自己的数据权利来确定边界。为保护计算机信息系统中的数据,权利人会采取相应的技术措施,设置登录权限或者防火墙,又或者设置权利声明禁止他人进入计算机信息系统,登录窗口、防火墙或者权利声明就是权利人就数据安全设置的边界,任何人都不得越过该界限进入其计算机信息系统,除非获得授权。
判断行为人是否构成非法侵入就要结合权利人的数据用途和是否设置权利边界进行分析。如果权利人的数据是为了共享,就没有继续评价进入计算机信息系统的方式合法与否的必要性,因为没有计算机信息系统数据安全这一法益需要保护。如果权利人的数据是牟利或者保密,不是为了共享,权利人设置了明确的权利边界,那么,行为人只要是未获授权进入该计算机信息系统就构成“非法侵入”。但是如果权利人没有设置任何的技术障碍,也没有不得进入的义务提醒,行为人遵守日常生活中常见的方式直接进入其计算机信息系统,难言该计算机信息系统的安全法益被侵犯,因为根本就不存在有计算机信息系统安全的保护藩篱,况且互联网中权利的边界并不像现实生活中的权利存在物理边界那么明显,在缺乏义务提醒或者技术措施隔离的情况下,人们一般难以判断是否属于禁止进入的领域,也就缺乏非法侵入的主观故意,因此,这种情况不应认定为“非法侵入”,除非行为人明知不得进入。
本案中,被害人的计算机信息系统中含有大量反映客户个人信息的图片,对于这些信息无论是出于商业道德要求还是法律规定,被害人都有保护客户个人信息的义务。因此,被害人的计算机信息系统的图片不属于共享型的数据;被害人设置了登录程序,必须被授权的人才有权登录该信息系统,其数据有了明显的权利边界。被告人利用了被害人未更改默认登录的账号和密码的疏忽多次进入被害人计算机信息系统,侵入的主观故意明显,其属于未获授权就进入被害人的计算机信息系统,构成了“非法侵入”。
被告人付某非法侵入被害人计算机信息系统并获取该系统存储包含个人信息的数据,同一行为同时触犯非法获取计算机信息系统数据罪、非法获取公民个人信息罪,应从一重罪处罚。故法院最终认定被告人付某构成非法获取计算机信息系统数据罪。
(作者单位:广东省深圳市中级人民法院)
|