开发虚拟定位软件获刑5年6个月,“被害人自陷风险”了没?
10月31日,法治日报微信公众号刊发《帮人上班“打卡”狂赚数百万,这个CEO被判了》,介绍了一款名叫“大牛助手”的手机APP,通过虚拟定位技术,将虚假的位置传送至钉钉系统,以达到“打卡”的效果,最终该公司CEO锒铛入狱。故笔者从裁判文书网下载了该刑事判决,就该案的罪与非罪进行讨论。
▲ 配图来源:凤凰网科技
01.
基本案情
北京市某法院认定:被告人张××于2017年至2019年在本市××区运营北京得牛科技有限公司期间,开发大牛助手APP并通过互联网推广该APP 10万余人次。大牛助手APP可对被害单位阿里巴巴(中国)有限公司(以下简称阿里公司)开发的钉钉系统处理、传输的地理位置数据进行未授权地干扰,破坏钉钉系统获取用户真实地理位置的功能。经鉴定,大牛助手APP为破坏性程序。
该院认为,被告人张××故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果特别严重,其行为已构成破坏计算机信息系统罪,应予惩处。判决如下:
被告人张××犯破坏计算机信息系统罪,判处有期徒刑五年六个月。
02.
技术解析
法治日报文章中的“打卡”涉及到GPS定位等计算机技术应用。因此,在讨论本案的法律适用问题之前,需要先介绍下相关的技术原理。
1.GPS定位
位置服务已经成为互联网时代越来越热的技术应用之一,成为当下及未来所有移动终端设备(智能手机、掌上电脑等)的标配。而定位导航技术中,目前精度最高、应用最广泛的,自然非GPS莫属。
GPS定位通常指的是美国政府提供的全球定位系统,包括24颗GPS卫星。卫星不断向地球发射着包含时间、卫星点位等重要参数的信息。以手机为例,上述信息被我们的手机收到后,手机就会利用特定的算法,计算出手机所在的位置。考虑到卫星时钟与手机时钟之间的误差,事实上,手机往往可以锁住4颗以上的卫星,这时,手机即可依照算法挑选出误差最小的一组用作定位。
2.APP打卡考勤原理
▲ 打卡考勤原理
目前,众多办公软件内置了员工打卡考勤功能,他们无一例外地使用了终端所集成的GPS模块的定位功能。考虑到,我们较为常用的是“钉钉”、汪师傅打卡,且“钉钉”其所在的阿里公司也是本案所谓的“被害人”,故笔者在此以“钉钉”为例,介绍相应的技术原理:当用户使用手机、平板等终端,打开“钉钉”,启动“打卡”时,钉钉即调用系统的GPS模块。
GPS模块从GPS卫星处获得该终端所在的地理位置信息,然后“钉钉”调用该地理位置信息,与服务器上预先存储的公司(单位)地理信息进行比对,如上述两类信息一致,此时打卡人多半在单位内或者附近,则提示“打卡成功”;反之,打卡人远在单位范围之外,就会显示“打卡失败”。
3.大牛助手工作原理
▲ 大牛助手软件界面
根据本案判决书,我们不能判断出,大牛助手向用户提供了虚拟定位的服务。顾名思义,即指的是用户无须向微信、钉钉等发送真实的地理位置信息,大牛助手阻止了微信、钉钉等调用GPS模块,可以直接虚拟地球上的任何一个位置,并将该虚假的地理位置信息提供给微信、钉钉等软件。
正如判决书中阿里巴巴公司员工周某所作的证言那样:经其公司技术人员对“大牛助手Android系统1.1.1”进行分析,发现该软件绕过了“钉钉”无限安全保镖模块,劫持了“钉钉”平行空间检测接口,当“钉钉”的平行空间检测接口需要获取设备信息时,大牛助手通过重放技术伪造虚假数据,直接向“钉钉”的平行空间检测接口传输虚假数据,造成伪造打卡记录。
周某的证言与大牛助手所在的公司员工李某所作的证言可相互印证。
此外,我们需要注意的到是,周某此处所指的“钉钉”,应当指的是用户终端设备上安装的“钉钉”,并非“钉钉”服务器。
03.
法律剖析
1.大牛助手用户自陷风险,无须刑法保护
判决书认定:“大牛助手APP可对被害单位阿里巴巴(中国)有限公司开发的钉钉系统处理、传输的地理位置数据进行未授权地干扰,破坏钉钉系统获取用户真实地理位置的功能。”
对此,笔者深不以为然。
根据前文介绍的技术原理,我们可以看到,大牛助手只是影响了用户使用的终端设备功能(主要包括苹果、安卓设备)。这些设备上安装的微信、钉钉等APP不再能够顺利调用GPS模块,无法获得真实的地理位置信息,而是获得了由大牛助手制造的、虚假的地理位置信息。
但是,用户使用大牛助手,属于典型的“被害人自陷风险”,即被害人自愿安装大牛助手,宁愿自己所有的终端设备运行不正常,也要使用大牛助手提供的虚假地理位置信息。由此导致带来的是,用户常用的微信、钉钉等APP无法获得真实的地理位置信息,这样的不安全风险却是用户自己创设的,也是用户自身乐于接受的。
那么,在用户自行安装大牛助手,充值使用,自设“被害人自陷风险”的情况下,本案完全不存在对大牛助手进行刑事制裁的必要性。
2.大牛助手未对阿里公司服务器造成任何破坏
判决同时认为,大牛助手APP的运行阻断了钉钉服务器与用户之间的正常数据交换并通过返回虚假数据对钉钉服务器获取用户真实地理位置功能进行未授权地干扰,造成计算机系统无法正常运行。
在这儿,判决书存在着偷换对象、指向不明的重大瑕疵——此处无法正常运行的计算机系统,究竟指的是用户终端设备的计算机系统,还是指的是阿里公司的钉钉服务器系统?
如果指的是用户所有的计算机系统,基于被害人自陷风险,刑法无须对安装大牛助手的计算机系统进行保护。
如果指的是阿里公司的钉钉服务器,那么,从在案证据来看,该服务器工作正常,未受到任何影响。
当一些用户使用大牛助手时,其计算机系统受到了干扰、修改,钉钉、微信等APP无法调用GPS模块,只是接收到了大牛助手提供的虚假地位位置信息。但是,钉钉此时并没有异常工作,阿里公司的钉钉服务器也在正常工作。理由如下:即使钉钉获得了虚假的地理位置信息,其仍然正常地将之与服务器存储的地理位置信息进行比对,得出用户“打卡成功”的判断。与此同时,即使多达7675名钉钉用户打卡异常,阿里向其他广大用户提供的打卡服务并未受到影响——那些未使用大牛助手的普通用户打卡不会存在任何的问题:依旧是在单位外打卡不成功,在单位范围之内出现“打卡成功”“签到成功”的类似提示。
所以,判决认定的“造成计算机系统无法正常运行”,系模糊表述,实则是犯罪事实不清,定罪依据不足。
退一步来说,即使出现钉钉打卡异常,受损的只是用户所在的单位组织(如学校、公司等),其基于钉钉设立的在线考勤制度受到了破坏。用户违反的是与所在单位组织约定的如实打卡考勤义务,其要相应承担虚拟打卡的行为暴露,被所在单位组织发现,受到内部处罚的风险。但是,这样的风险不应当、也无法上升到刑事制裁层面,承担相应的刑事责任。
既然基于“罪刑法定”的刑法原则,用户打卡无须承担刑事责任,让大牛助手这样的辅助工具来承担刑事责任,更是属于无稽之谈。
3.大牛助手不涉及任何计算机犯罪
如前分析,大牛助手只是影响了用户自己所有的终端设备,且系用户自行安装大牛助手、充值使用所致,基于“被害人自陷风险”的原则。由此导致终端设备运行异常,是用户为了使用大牛助手而期待的、乐于接受的,我们完全无须对此类干扰、破坏行为进行刑事规制。
与此同时,阿里公司的钉钉服务器也在正常工作,仍然能够向其他普通用户提供着打卡考勤服务。
因此,大牛助手不涉及刑法第285、286条的任何罪名,该案判决的说理性存疑,正当性不足。
04.
结语
时常,微信好友与我处于同一城市,却发来他(她)在香港、悉尼的地理位置,我对这样的恶作剧一笑置之,想必不少读者也遇到这样的情形,我们都不会大动肝火。
1984年,美国联邦最高法院在著名的“索尼(Sony)案”中确立了“技术中立原则”。即,某项产品或者技术是被用于合法用途还是非法用途,并非产品或者技术的提供者所能预料和控制,因而不能因为产品或技术成为侵权工具而要求提供者为他人的侵权行为负责。
作为曾经的互联网从业者,笔者更多持有“技术容易作恶”的倾向。但是对于虚拟定位技术,我们应当有更高的容忍度,不能只出现《对“虚拟定位”软件应有法治监管》这样的极端声音与主张。我们更不能完全忽视“技术中立”原则,滥用刑事制裁手段。
后记:
清早看到新闻,起来赶了这篇稿子,以供和读者探讨。后续有看到网上有流传二审辩护律师的言论,基本确定本案不涉及破坏性程序了:
作者丨狗熊
编辑、排版丨deer
校对 | 老斑鸠
审核丨橙子、老斑鸠
投稿请加微信:kevinzhang0801
※ 以上观点,仅代表作者个人观点,如有异议,欢迎参与讨论
END
广而告之.
11月12日,四川成都
庭立方·第十六期出庭律师高级培训班
即将启程
2021最后一场,不见不散:
关于以上话题
如果你也有自己的看法
欢迎在评论区给我们留言
或者扫码加入为你辩护网读者交流群
与更多的同行者进行沟通交流
「为你辩护网·法律专栏」
下次再相遇,还需要你的「点赞」「在看」,与转发 ↓↓↓