丁某提供侵入计算机信息系统程序案
——“专门用于侵入、非法控制计算机信息系统的程序、工具”的认定
入库编号2024-18-1-253-001
关键词 刑事 提供侵入、非法控制计算机信息系统程序、工具罪 专门用于侵入、非法控制计算机信息系统的程序、工具 网络爬虫
基本案情
2021年10月5日,被告人丁某在经营马鞍山某信息咨询有限公司期间,从丁某某(另案处理)处购买“汇易获客”软件代理权,明知该款软件未经授权,专门用于入侵短视频平台服务器非法获取用户昵称、UID、sec_uid、留言、评论等未授权人员访问受限的数据,仍将软件改名为“客多多精准获客”并对外销售。2021年10月至12月,丁某在安徽省马鞍山市花山区某大厦,组织其公司销售人员通过网络向他人销售“客多多精准获客”软件。经鉴定,送检的“采集端1.5.vmp.exe”程序在实现获取短视频平台当前热门话题功能的过程中,先发送验证请求至特定IP地址的服务器中“天盾服务端”程序进行验证,之后发送POST请求至特定网址获取X-Gorgon值,最后根据X-Gorgon、X-Khronos等参数值发送GET请求获取短视频平台服务器中上述数据。丁某到案后,如实供述自己的犯罪事实,并退出销售“客多多精准获客”软件的全部违法所得。
江苏省无锡市梁溪区人民法院于2022年5月10日作出(2022)苏0213刑初223号刑事判决:被告人丁某犯提供侵入计算机信息系统程序罪,判处有期徒刑一年六个月,缓刑二年,并处罚金人民币三万元;禁止被告人丁某在缓刑考验期限内从事互联网相关经营活动。宣判后,没有抗诉、上诉,判决已发生法律效力。
裁判理由
法院生效裁判认为:本案争议焦点在于被告人丁某向他人提供的“客多多精准获客”软件是否属于刑法规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”。
刑法第二百八十五条第三款规定:“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第二条进一步规定:“有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的‘专门用于侵入、非法控制计算机信息系统的程序、工具’:(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。”据此,认定“专门用于侵入、非法控制计算机信息系统的程序、工具”,关键有二:一是程序本身具有避开或者突破计算机信息系统安全保护措施的功能;二是程序、工具获取数据和控制的功能,在设计上能在未经授权或者超越授权的状态下得以实现,这是该类程序、工具区别于“中性程序、工具”的典型特征。此外,刑法未专门规定“专门用于非法获取计算机信息系统数据的程序、工具”,而非法获取计算机信息系统数据的行为通常需要以侵入为前提,故一般可以将该类工具归入“专门用于侵入计算机信息系统的程序、工具”的范畴。
本案中,短视频平台服务器采用以X——Gorgon加密算法进行签名校验的安全保护措施。具体而言,短视频平台服务器根据发送数据请求用户的信息运用算法得出特定的X——Gorgon参数值,与数据请求中所携带的X——Gorgon参数值进行匹配,以验证请求的合法性。而涉案“客多多精准获客”软件,经鉴定,系先发送验证请求至特定IP地址的服务器中“天盾服务端”程序进行验证,之后发送POST请求至特定网址非法获取X——Gorgon值,最后利用算法解析出加密的X——Gorgon等参数值发送GET请求获取短视频平台服务器数据。可见,该软件可以避开短视频平台服务器系统安全保护措施,进而未经授权非法获取服务器中用户昵称、UID、sec_uid、留言、评论等访问受限的数据。据此,该程序属于刑法规定的“专门用于侵入计算机信息系统的程序”。故而,被告人丁某伙同他人,提供专门用于侵入计算机信息系统的程序,情节严重,其行为已构成提供侵入计算机信息系统程序罪。经综合考虑被告人丁某在共同犯罪中所起作用,以及归案后如实供述自己的罪行,自愿认罪认罚等情节,法院宣告缓刑,并依法适用禁止令。
裁判要旨
具有避开或者突破网络平台等计算机信息系统安全保护措施,使他人非法获取访问受限的数据的软件,属于刑法第二百八十五条第三款规定的“专门用于侵入计算机信息系统的程序”。行为人提供上述软件,情节严重的,依法以提供侵入计算机信息系统程序罪定罪处罚。
关联索引
《中华人民共和国刑法》第285条第3款
《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第2条、第3条
一审:江苏省无锡市梁溪区人民法院(2022)苏0213刑初223号刑事判决(2022年5月10日)
提供非法爬虫软件行为的刑法规制
——《丁某提供侵入计算机信息系统程序案(入库编号:2024-18-1-253-001)》解读
王肃之 黎鹏
在大数据时代,信息数据的商业价值日益凸显,获取计算机信息系统数据的软件被广泛应用于搜索引擎、大数据分析预测、舆情监控等各方面,推动了互联网数据生态的繁荣,促进了信息数据向生产力的转化。网络爬虫技术作为典型的数据获取技术,是通过特定的规则,模拟人工自动化访问、浏览网站并抓取、收集目标计算机信息系统数据的信息数据收集、处理技术。信息技术是把“双刃剑”,随着网络爬虫技术的广泛应用,其在批量化、自动化获取系统数据时,可能会破坏计算机信息系统安全、信息数据安全、互联网管理秩序等,对滥用、甚至非法使用爬虫技术行为如何进行法律规制逐渐成为司法实践的热点、难点问题。
2009年刑法修正案(七)增设提供侵入、非法控制计算机信息系统程序、工具罪,进一步严密保护计算机信息系统和数据安全的刑事法网。实践中,关于“专门用于侵入、非法控制计算机信息系统的程序、工具”的审查判定仍是实务难点,特别是在新型程序、工具日趋替代木马程序成为主流的背景下。人民法院案例库入库参考案例《丁某提供侵入计算机信息系统程序案(入库编号:2024-18-1-253-001)》裁判要旨明确:“具有避开或者突破网络平台等计算机信息系统安全保护措施,使他人未经授权非法获取访问受限的数据的软件,属于刑法第二百八十五条第三款规定的‘专门用于侵入计算机信息系统的程序’。行为人提供上述软件,情节严重的,依法以提供侵入计算机信息系统程序罪定罪处罚。”该裁判要旨为类案提供了审查判断的规则指引。以此为参照,对刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”的认定,应当注意把握以下几点:
第一,是否具有避开或者突破计算机信息系统安全保护措施的功能。传统的避开或者突破上述措施通常表现在系统安全层面,如逃避杀毒程序的查杀、防火墙的控制等。但在提供非法爬虫软件的情形中则更为复杂,应当结合具体情况对软件是否具有规避安全防护措施的功能进行实质性审查。(1)作为基础,应当审查相关软件是否避开或者突破计算机信息系统验证措施。计算机信息系统控制者通常会采取设置密码防护、身份认证、数据加密等措施保护数据安全,他人未经授权一般难以轻易进入系统。非法爬虫软件可以通过破解加密算法、规避身份校验、利用系统漏洞、盗窃账号密码等手段,避开、绕开或突破计算机信息系统的验证措施,违背计算机信息系统控制者的意愿,强行或隐蔽地“侵入”他人计算机信息系统。(2)在前述基础上,应当进一步审查相关软件是否避开或者突破反爬措施。设置反爬措施均是为规范、限制网络爬虫技术不当使用的技术手段,这在实践中应当成为判定是否具有规避安全防护措施的功能的重要内容。
第二,是否可以突破访问权限获取网络用户数据。获取计算机信息系统数据应在授权范围内进行,而不应未经授权或超越授权范围进行。网络用户在注册或使用相关软件时,不可避免地生成专属个人的相关数据。而相关用户数据的获取与使用,需要在数据主体知情并同意、网络平台许可并授权,遵守合理合法使用、保密使用、最低限度使用、限制扩散等规则的前提下,有限制、有边界地合法使用。未经相关授权或超越授权范围获取数据,既违背了用户的意愿,也损害了网络平台的利益。关于授权与否,可通过是否具有版权声明、授权白名单等明示方式,是否设置安全防护措施、数据加密等默示方式加以判断。此外,需要注意的是,同一类型的网络用户数据可能在不同网络平台设置有差别的访问权限要求。以用户UID信息为例,有的网络平台允许查看任何用户UID信息,有的网络平台则仅允许查看用户自己的UID信息,对此,实践中需要加以准确判断。
第三,是否专门用于侵入、非法控制计算机信息系统。“专门”是对程序、工具本身的用途非法性的限定,即某款程序、工具在功能设计上就只能用来违法实施控制、获取数据的行为,没有其他合法用途。正是基于此,刑法第二百八十五条第三款规定提供专门用于侵入、非法控制计算机信息系统的程序、工具即具有刑事违法性,无需再查实是否为他人违法犯罪提供帮助。与传统的“专门”程序、工具中存在“中性程序”一样,对于爬虫程序,也应注重甄别是否只可用于非法用途。实际上,爬虫技术本身对于互联网的发展和应用至关重要,如各大搜索引擎都是依靠爬取网页信息才能提供服务,大量网站也接受数据爬取行为,从而增加访问流量,这些搜索引擎的爬虫程序显然不具有专门用于非法用途的性质。
依据上述判断标准,本案例中案涉“客多多精准获客”软件属于刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”。具体而言:(1)短视频平台服务器采用以X——Gorgon加密算法进行签名校验的安全保护措施,“客多多精准获客”软件系通过非法方式解析X——Gorgon等参数值,进而完成验证,发送GET请求获取短视频平台服务器数据,突破了计算机信息系统验证措施的功能,无疑具有“避开或者突破计算机信息系统安全保护措施”功能。(2)“客多多精准获客”软件获取的UID、sec_uid等数据只限用户登录自行查看,用户本人以外的人员无法通过正常访问渠道获得,该软件的获取行为显然具有未经授权的性质。(3)“客多多精准获客”软件除非法获取短视频平台用户昵称、UID、sec_uid、留言、评论等访问受限的数据并无其他合法用途,属于典型的非法爬虫程序。综上,对被告人丁某依法以提供侵入计算机信息系统程序罪定罪处罚。