《刑事审判参考》总第137辑(2023.1)
节选裁判说理部分,仅为个人学习、研究和说明问题,如有侵权,立即删除。
[第1553号]丁某提供侵入计算机信息系统程序案
—— “专门用于侵入、非法控制计算机信息系统的程序、工具”的司法认定
二 、主要问题
提供侵入计算机信息系统程序罪涉及的“专门用于侵入、非法控制计算机信息系统的程序、工具”应如何认定?
三、裁判理由
随着信息技术和互联网产业的发展,尤其是大数据的广泛应用,“爬虫”软件作为网络数据提取工具,能够快速扫描网页内容、采集数据, 在数据信息搜集、过滤等方面具有突出优势,已成为一种常见的计算机技术手段。但任何技术手段在提供和使用的过程中,均应通过合法的途径、手段,在法律允许的范围内运用,超出法律边界则可能成为侵犯计算机信息系统和数据安全的犯罪工具。“爬虫”软件被滥用,是导致计算机犯罪泛滥的重要原因。2009年刑法修正案(七)增设提供侵入、非法控制计算机信息系统程序、工其罪,进一步严密保护计算机信息系统和 数据安全的刑事法网。人民法院对提供侵入、非法控制计算机信息系统 程序、工具行为进行依法惩处,有利于从源头遏制非法侵入计算机信息 系统、非法获取计算机信息系统数据、非法控制计算机信息系统等下游 犯罪行为,依法保护网民个人信息安全和互联网平台系统安全、数据安 全,彰显网络并非法外之地。实践中,涉案程序、工具是否属于“专门用于侵入、非法控制计算机信息系统的程序、工具”,影响罪与非罪的判 定,成为争议焦点。
针对以上问题,我们认为可以从以下两方面进行综合审查判断。
( 一)功能审查
涉案程序是否属于“专门用于侵入、非法控制计算机信息系统的程序、工具”,首先应进行功能审查,确认是否具备侵入、非法控制计算机信息系统的功能。一般而言,侵入是非法获取他人计算机信息系统中存储、处理或者传输数据的前提条件,如利用黑客工具、木马程序等非法侵入计算机系统,获取互联网用户数据、个人隐私、身份信息等。非法控制是指非法获取计算机信息系统的控制权限,进而利用权限对计算机信息系统数据、系统本身加以操控,尚未造成系统功能、数据的实质性破坏或妨害系统正常运行的行为,即通过技术手段使他人计算机信息系统处于行为人控制之下,接受行为人指令,完成行为人实施的操作活动。 不具有侵入和控制功能,对下游计算机犯罪无任何帮助,相关程序和工 具就不属于“专门用于侵入、非法控制计算机信息系统的程序、工具”。
是否具有侵入和控制功能,关键在于能否避开或突破安全保护措施。 在网络环境中,计算机信息系统控制人往往会设置密码防护、防火墙、 身份认证、数据加密、反爬措施等各种安全保护措施,一般人利用普通技术手段无法避开或突破。“专门用于侵入、非法控制计算机信息系统的 程序、工具”,可以通过破解、盗取密码,病毒或后门攻击以及协议漏洞渗透等手段,避开或突破计算机信息系统的安全措施,帮助他人非法侵入计算机信息系统,进而实施非法获取计算机信息系统数据、非法控制计算机信息系统等行为。由此可见,涉案程序和工具是否具有侵入和控制功能,属于技术问题,必要时可委托司法鉴定机构出具鉴定意见。
(二)权限审查
权限审查是指使用涉案程序或工具获取计算机信息系统数据,对计算机信息系统进行控制、访问,是否经过授权以及是否在授权范围内进行。在互联网大数据时代,网民在享受互联网给生活带来便捷的过程中, 个人的数据、信息也在源源不断地输入互联网,特别是在使用软件、注册会员时,同意用户协议就已将个人信息、数据提供给服务提供商。但是,相关信息、数据并不是无条件、无限制地向所有人员开放,需要在数据提供者知情并同意、数据保管者许可并授权,遵守合理合法运用、 保密使用、限制扩散等规则的前提下,有限制、有边界地合法使用。
涉案程序和工具虽具备侵入和控制功能,但使用者获取计算机信息系统数据和控制计算机信息系统得到合法授权,相应地,提供行为也不具有社会危害性和非法性。相反,他人利用被告人提供的程序和工具, 未经相关授权或越权获取计算机信息系统数据,对计算机信息系统进行控制、访问,违背用户意愿,损害计算机系统控制人利益和意志,危害用户信息安全和计算机系统安全、数据安全,就应当认定涉案程序、工具系“专门用于侵入、非法控制计算机信息系统的程序、工具”。
本案中的短视频平台服务器采用以X-Gorgon 加密算法进行签名校验的安全保护措施。短视频平台服务器根据发送数据请求用户的信息运用算法得出特定的X-Gorgon 参数值,与数据请求中所携带的X-Gorgon 参 数值进行匹配,以验证请求的合法性。而被告人丁某向他人提供的“客多多精准获客”软件,经福建中证司法鉴定中心鉴定,先发送验证请求至特定 IP 地址的服务器中“天盾服务端”程序进行验证,之后发送 POST请求至特定网址非法获取X-Gorgon 值,最后利用算法解析出加密 的X-Gorgon 等参数值发送GET请求获取短视频平台服务器数据。该软件避开短视频平台服务器系统安全保护措施,从短视频平台服务器中批量获取用户昵称、留言、评论等数据信息,属于“爬虫”软件,具有侵入 和非法获取功能。其可以未经授权非法获取短视频平台服务器中未对普通用户开放的内部信息系统数据,且主要功能就是非法获取相关信息, 客观上为下游计算机犯罪提供了技术支持,故应认定属于“专门用于侵 入、非法控制计算机信息系统的程序、工具”。
综上,人民法院认定被告人丁某提供“客多多精准获客”软件的行为构成提供侵入计算机信息系统程序罪,是正确的。
(撰稿:江苏省无锡市梁溪区人民法院,黎鹏 审编:最高人民法院刑四庭姚龙兵)