近年来,随着大数据收集、分析技术和网络自媒体的快速兴起和发展,计算机网络犯罪也呈现出新的模式和特点。
利用恶意程序“打劫”个人信息牟利如何定性
林维
汤隽
高艳东
谢虹燕
浙江省绍兴市越城区检察院曾办理一起案件:2013年5月,邢某(另案处理)成立了北京瑞智华胜科技股份有限公司(下称“瑞智华胜”)。其后,瑞智华胜通过邢某成立的其他关联公司与运营商签订精准广告营销协议,获取运营商服务器登录许可,并通过部署SD程序(一种可以私下采集运营商流量里cookie数据的程序),从运营商服务器抓取、采集网络用户的登录cookie数据,并将上述数据保存在运营商redis数据库中,之后利用研发的爬虫软件、加粉软件远程访问redis数据库中的数据,非法登录用户网络账号,实施强制加粉、爬取公民个人信息等行为,从中牟利。
案发前,瑞智华胜发现浙江某网络有限公司(下称“网络公司”)调查公民个人信息被爬情况,遂将服务器数据删除。经鉴定,SD程序运行后可以实现对指定网卡网络传输流量数据包进行获取并解析的功能;爬虫软件运行后可以绕过系统保护措施,提取公民个人信息;加粉软件运行后可以绕过系统保护措施获取用户信息,并对指定账号添加好友。案发后经查,周某系瑞智华胜的法定代表人,负责公司运维部的各项工作;黄某系瑞智华胜股东,负责通过关联公司与运营商签订营销协议,获取运营商服务器登录权限;梁某、石某、袭某等系瑞智华胜员工,主要负责SD程序、爬虫软件、加粉软件的部署、研发和维护。该案办理中,司法人员对于计算机信息系统的判断、非法获取计算机信息系统数据罪中“情节严重”的认定以及涉计算机类犯罪和侵犯公民个人信息犯罪之间的罪数关系等方面存在分歧。
近日,《人民检察》杂志特邀请专家学者和办案单位代表对有关焦点、难点问题进行研讨。
关于计算机信息系统的判断
依照国务院《计算机信息系统安全保护条例》(下称《条例》)的规定,计算机信息系统是由计算机及其配套设备、设施作为信息载体的系统。网络时代背景下,有观点主张应将网络平台、移动客户端、App软件系统等应用程序纳入“计算机信息系统”。对此,浙江大学光华法学院互联网法律研究中心主任、副教授高艳东认为,随着信息技术的发展,计算机已经从硬盘、CPU等硬件设备,演变成数据处理系统。刑事立法设计时“计算机信息系统”的重点是“计算机”,而今天其重点是“信息系统”。对法条术语应当按照社会的发展变化进行与时俱进的客观解释,而不能拘泥于立法者的原意,这是解释新型犯罪的基本原则。中国社会科学院大学副校长、教授林维分析,按照最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称《解释》)第11条规定,“计算机信息系统”和“计算机系统”是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。由此可知,设备仅仅是计算机信息系统的外在载体。诸如网络平台、移动客户端、App软件系统等作为计算机信息系统的要素之一,其通过一系列硬件设施和应用程序,实现对信息和数据的采集、加工、存储、传输、检索,毫无疑问应当认定为计算机信息系统。
具体到该案,浙江省绍兴市越城区检察院副检察长汤隽认为,行为人侵害计算机信息系统的行为分为两个阶段:一是非法获取运营商服务器上网络用户的上网流量;二是通过筛选获取的cookie数据非法登录网络用户的账号,进行信息窃取或强制加粉。无论哪一个阶段,都离不开对服务器数据的侵害。因此,应当将某网络平台纳入“计算机信息系统”的范畴内。
非法获取计算机信息系统数据罪中“情节严重”的认定标准
非法获取计算机信息系统数据罪的认定须达到“情节严重”的程度。这里的“情节”,是指已发生的现实危害,还是包括有可能发生的实害,以及对于《解释》第1条规定的“其他情节严重的情形”应如何界定,目前司法实务中还存在一定的分歧,尚未形成统一的标准。
对此,林维谈到,考虑到《解释》第1条规定的前四项“情节严重”的范围已经包括了网络金融服务类的身份认证信息、其他身份认证信息以及非法控制计算机信息系统的数量和违法所得、经济损失等因素,那么第五项规定的兜底条款就没有必要也不应等同于前述情形。对于“其他情节严重的情形”的解释,核心在于情节严重的综合判断。“其他情节严重的情形”可以包括犯罪前、犯罪过程中乃至犯罪后表征行为的客观危害性和行为人的主观危险性等各种情节。阿里巴巴集团安全部高级专家谢虹燕认为,非法获取计算机信息系统数据罪作为结果犯,须达到“情节严重”的标准方可入罪,行为人一旦非法获取了计算机信息系统中的数据,就已经发生了现实危害。至于后续对非法获取的数据的其他不法利用,应当另行评价。
涉计算机类犯罪和侵犯公民个人信息犯罪之间的罪数关系
不管是司法实践中,还是刑事法理论层面,对于涉计算机类犯罪和侵犯公民个人信息犯罪之间的罪数关系都有颇多争议,焦点往往集中在牵连犯与吸收犯、想象竞合犯与数罪并罚之间。对于该案所涉及的非法获取计算机信息系统数据罪、破坏计算机信息系统罪和侵犯公民个人信息罪之间的罪数关系,高艳东认为,cookie数据的主要内容是登录凭证,是一种网络身份认证信息,属于数据。但这种网络身份认证信息只用于用户与网站之间的登录,并不包含可以识别个人身份信息的内容,因而不属于公民个人信息,对其进行非法获取也就不构成侵犯公民个人信息罪。其次,利用爬虫软件等爬取公民个人信息的行为,既构成侵犯公民个人信息罪,也构成非法获取计算机信息系统数据罪,属于两罪的想象竞合。再次,使用加粉软件强行加粉的行为,是对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,构成破坏计算机信息系统罪。
具体到该案,谢虹燕认为,首先,周某等人在运营商不知情的情况下在运营商服务器中私自部署SD程序非法抓取网络用户的登录cookie数据并予以保存,这一行为系通过恶意软件从运营商服务器中非法获取数据,破坏了运营商计算机信息系统的安全性,应当构成非法获取计算机信息系统数据罪。其次,获取到用户cookie数据后,周某等人又利用爬虫软件从不同的网络平台爬取用户的公民个人信息,应构成侵犯公民个人信息罪。再次,周某等人爬取用户个人信息的目的是为了分析用户的行为,利用加粉软件对用户账号进行强制添加好友,从中牟利。在强制加粉这一环节,周某等人冒用用户的身份登录相关网络平台,采用不断更换IP地址、破解网站接口加密验证等技术手段,强行为用户账号添加好友,构成破坏计算机信息系统罪。可见,周某等人爬取用户个人信息的目的是为了给用户账号强制加粉并以此非法牟利,属于手段和目的的牵连犯,其行为同时构成侵犯公民个人信息罪和破坏计算机信息系统罪,应择一重罪处罚,即按照破坏计算机信息系统罪定罪处罚。综上,该案中,对周某等人应当按照非法获取计算机信息系统数据罪和破坏计算机信息系统罪数罪并罚。
关于该案定性,高艳东认为,对周某等人应按照非法获取计算机信息系统数据罪、侵犯公民个人信息罪和破坏计算机信息系统罪三罪数罪并罚。谢虹燕认为,该案中,周某等人的行为构成非法获取计算机信息系统数据罪和破坏计算机信息系统罪,应数罪并罚。汤隽认为,该案中,瑞智华胜及周某等人的行为均构成非法获取计算机信息系统数据罪。
(详见《人民检察》2019年第18期)
