【第1553号】丁某提供侵入计算机信息系统程序案——“专门用于侵入、非法控制计算机信息系统的程序、工具”的司法认定
一、基本案情
被告人丁某,男,19××年×月×日出生。2022年1月20日被逮捕,同年5月9日被取保候审。
江苏省无锡市梁溪区人民检察院指控被告人丁某犯提供侵入计算机信息系统程序罪,向无锡市梁溪区人民法院提起公诉。
被告人丁某对指控的事实、罪名没有异议。其辩护人提出:涉案行为的社会危害性较小,情节相对轻微,丁某具有坦白情节,真诚悔罪,系初犯,退缴全部违法所得,认罪认罚,适用缓刑对所在社区没有不良影响,建议对其从轻处罚并适用缓刑。
无锡市梁溪区人民法院经审理查明:2021年10月5日,被告人丁某在经营马鞍山耀腾信息咨询有限公司期间,从丁某强(另案处理)处购买“汇易获客”软件代理权,明知该款软件未经授权,专门用于入侵短视频平台服务器非法获取用户昵称、留言、评论等数据,仍将软件改名为“客多多精准获客”并对外销售。2021年10月至12月,丁某在安徽省马鞍山市花山区紫源大厦1805室内,组织其公司销售人员孙某西、石某、徐某朋、丁某萍(均另案处理)通过网络向王某、林某康、芦某等人销售“客多多精准获客”软件,违法所得共计人民币2.436万元。经福建中证司法鉴定中心鉴定,送检的“采集端1.5.vmp.exe”程序在实现获取短视频平台当前热门话题功能的过程中,先发送验证请求至特定IP地址的服务器中“天盾服务端”程序进行验证,之后发送POST请求至特定网址获取X-Gorgon值,最后根据X-Gorgon、X-Khronos等参数值发送GET请求获取短视频平台服务器数据。丁某到案后,如实供述自己的犯罪事实,并退出销售“客多多精准获客”软件的全部违法所得。
无锡市梁溪区人民法院认为,被告人丁某伙同他人,提供专门用于侵入计算机信息系统的程序,情节严重,其行为已构成提供侵入计算机信息系统程序罪。丁某在共同犯罪中起主要作用,系主犯,应按照其所参与的全部犯罪处罚;丁某归案后如实供述自己的罪行,自愿认罪认罚,依法从轻处罚。依照《中华人民共和国刑法》第二百八十五条第三款,第二十五条第一款,第二十六条第一款、第四款,第六十七条第三款,第七十二条,第七十三条第二款、第三款,第六十四条,《中华人民共和国刑事诉讼法》第十五条及《最高人民法院、最高人民检察院关于办理危害计算机信息系统麦全刑事案件应用法律若干问题的解释》第二条、第三条第一款第五项之规定,判决如下:
一、被告人丁某犯提供侵入计算机信息系统程序罪,判处有期徒刑一年六个月,缓刑二年,并处罚金人民币三万元。
二、扣押在案的被告人丁某的手机一部、电脑主机一台依法予以没收。被告人丁某已退缴的违法所得人民币二万四千三百六十元予以没收。
三、禁止被告人丁某在缓刑考验期限内从事互联网相关经营活动。
一审宣判后,在法定期限内,检察机关未抗诉,被告人丁某未上诉。判决已发生法律效力。
二、主要问题
提供侵入计算机信息系统程序罪涉及的“专门用于侵入、非法控制计算机信息系统的程序、工具”应如何认定?
三、裁判理由
随着信息技术和互联网产业的发展,尤其是大数据的广泛应用,“爬虫”软件作为网络数据提取工具,能够快速扫描网页内容、采集数据,在数据信息搜集、过滤等方面具有突出优势,已成为一种常见的计算机技术手段。但任何技术手段在提供和使用的过程中,均应通过合法的途径、手段,在法律允许的范围内运用,超出法律边界则可能成为侵犯计算机信息系统和数据安全的犯罪工具。“爬虫”软件被滥用,是导致计算机犯罪泛滥的重要原因。2009年刑法修正案(七)增设提供侵入、非法控制计算机信息系统程序、工具罪,进一步严密保护计算机信息系统和数据安全的刑事法网。人民法院对提供侵入、非法控制计算机信息系统程序、工具行为进行依法惩处,有利于从源头遏制非法侵入计算机信息系统、非法获取计算机信息系统数据、非法控制计算机信息系统等下游犯罪行为,依法保护网民个人信息安全和互联网平台系统安全、数据安全,彰显网络并非法外之地。实践中,涉案程序、工具是否属于“专门用于侵入、非法控制计算机信息系统的程序、工具”,影响罪与非罪的判定,成为争议焦点。
针对以上问题,我们认为可以从以下两方面进行综合审查判断。
(一)功能审查
涉案程序是否属于“专门用于侵入、非法控制计算机信息系统的程序、工具”,首先应进行功能审查,确认是否具备侵入、非法控制计算机信息系统的功能。一般而言,侵入是非法获取他人计算机信息系统中存储、处理或者传输数据的前提条件,如利用黑客工具、木马程序等非法侵入计算机系统,获取互联网用户数据、个人隐私、身份信息等。非法控制是指非法获取计算机信息系统的控制权限,进而利用权限对计算机信息系统数据、系统本身加以操控,尚未造成系统功能、数据的实质性破坏或妨害系统正常运行的行为,即通过技术手段使他人计算机信息系统处于行为人控制之下,接受行为人指令,完成行为人实施的操作活动。不具有侵入和控制功能,对下游计算机犯罪无任何帮助,相关程序和工具就不属于“专门用于侵入、非法控制计算机信息系统的程序、工具”。
是否具有侵入和控制功能,关键在于能否避开或突破安全保护措施。在网络环境中,计算机信息系统控制人往往会设置密码防护、防火墙、身份认证、数据加密、反爬措施等各种安全保护措施,一般人利用普通技术手段无法避开或突破。“专门用于侵入、非法控制计算机信息系统的程序、工具”,可以通过破解、盗取密码,病毒或后门攻击以及协议漏洞渗透等手段,避开或突破计算机信息系统的安全措施,帮助他人非法侵入计算机信息系统,进而实施非法获取计算机信息系统数据、非法控制计算机信息系统等行为。由此可见,涉案程序和工具是否具有侵入和控制功能,属于技术问题,必要时可委托司法鉴定机构出具鉴定意见。
(二)权限审查
权限审查是指使用涉案程序或工具获取计算机信息系统数据,对计算机信息系统进行控制、访问,是否经过授权以及是否在授权范围内进行。在互联网大数据时代,网民在享受互联网给生活带来便捷的过程中,个人的数据、信息也在源源不断地输入互联网,特剐是在使用软件、注册会员时,同意用户协议就已将个人信息、数据提供给服务提供商。但是,相关信息、数据并不是元条件、无限制地向所有人员开放,需要在数据提供者知情并同意、数据保管者许可并授权,遵守合理合法运用、保密使用、限制扩散等规则的前提下,有限制、有边界地合法使用。
涉案程序和工具虽具备侵入和控制功能,但使用者获取计算机信息系统数据和控制计算机信息系统得到合法授权,相应地,提供行为也不具有社会危害性和非法性。相反,他人利用被告人提供的程序和工具,未经相关授权或越权获取计算机信息系统数据,对计算机信息系统进行控制、访问,违背用户意愿,损害计算机系统控制人利益和意志,危害用户信息安全和计算机系统安全、数据安全,就应当认定涉案程序、工具系“专门用于侵入、非法控制计算机信息系统的程序、工具”。
本案中的短视频平台服务器采用以X-Gorgon加密算法进行签名校验的安全保护措施。短视频平台服务器根据发送数据请求用户的信息运用算法得出特定的X-Gorgon参数值,与数据请求中所携带的X-Gorgon参数值进行匹配,以验证请求的合法性。而被告人丁某向他人提供的“客多多精准获客”软件,经福建中证司法鉴定中心鉴定,先发送验证请求至特定IP地址的服务器中“天盾服务端”程序进行验证,之后发送POST请求至特定网址非法获取X-Gorgon值,最后利用算法解析出加密的X-Gorgon等参数值发送GET请求获取短视频平台服务器数据。该软件避开短视频平台服务器系统安全保护措施,从短视频平台服务器中批量获取用户呢称、留言、评论等数据信息,属于“爬虫”软件,具有侵入和非法获取功能。其可以未经授权非法获取短视频平台服务器中未对普通用户开放的内部信息系统数据,且主要功能就是非法获取相关信息,客观上为下游计算机犯罪提供了技术支持,故应认定属于“专门用于侵入、非法控制计算机信息系统的程序、工具”。
综上,人民法院认定被告人丁某提供“客多多精准获客”软件的行为构成提供侵入计算机信息系统程序罪,是正确的。
(撰稿:江苏省无锡市梁溪区人民法院 黎鹏
审编:最高人民法院刑四庭 姚龙兵)
|