陈沛文、黄双双:关于“接码平台批量注册账号”已决案例评析(二)
————————————————
上篇提到,全国和江苏省的首例“通过接码平台批量注册账号”的案例,只针对接码平台“批量注册”的软件程序进行了评价,并均以提供专门用于侵入、非法控制计算机信息系统的程序、工具罪进行定罪处罚。我国其他地区的法院认为,对于这类案件中的验证码,账号等信息,也应当进行刑法评价,并且通常以非法获取计算机信息系统数据罪,对涉案行为定罪处罚。但是,笔者团队认为,非法获取计算机信息系统数据罪作为近年来炙手可热,甚至有逐渐成为计算机犯罪类“口袋罪”地位的罪名,却在这类案件中的适用上呈现出张冠李戴、生搬硬套的尴尬局面。
判例三:(2020)苏13刑终23号
————————————————
实体问题
1、验证码=数据?
数据与信息是两个不同概念,简单理解,数据是信息的具体表现形式,是信息的载体,信息需要经过数据化处理,转变成系统内的数据才能存储和运输,以公式化的语言表达“数据=信息+数据冗余”。
所谓信息,指的是数据中的可视化内容,以芒果TV平台近期热播的综艺节目《乘风破浪的姐姐》第一期视频为例,该视频的“信息”就是观众所看到的视频内容。此时该期视频若以数据形式存在,则指的是储存在芒果TV系统后台的一串,由冗余的计算机语言、文字、代码、字符等构成的内容。
结合本案,验证码系用于注册账号的可视化的注册验证信息,而非数字化的文本信息记忆处理、加工过程中冗余的计算机语言、代码、字符等,即涉案的验证码不属于数据。
再者,倘若认定验证码属于数据,还需要解决验证码的权属问题。举一例明之,手机登陆支付宝时,支付宝向手机发送的验证码,其权属应归于支付宝,还是应归于用户?显然,验证码的权属难以界定,其无明确的权属主体,不符合数据的特征,不属于数据。
2、验证码=身份认证信息?
《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条规定非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。
绝大多数的公诉观点认为,验证码系《解释》第一条第二款规定,其他身份认证信息。但是,从信息网络安全角度看,所谓的身份认证是指,用户要向系统证明访问系统的是他所声称的特定的用户。常见的身份认证的方法有4种,如口令、密码;USB Key,通行证;用户生物特征(如指纹、DNA、声音等)以及用户行为特征(如手写签字)。因此,从身份认证信息的功能角度看,其必须具有识别特定的人作用。在“批量注册账号”案件中,验证码的作用在于区分判断访问平台并使用平台功能的主体是“计算机”还是“人类”,而不是判断访问系统的主体是否是特定的注册用户。因此,其不具与动态口令(动态密码)相仿的有身份认证的功能。相反的是,在“批量注册账号”案件中,只有先行获取验证码,才能够实现成为平台的特定用户的目的。因此,验证码也不属于身份认证信息。
3、实时验证码技术亦非计算机信息系统的安全保护措施。
如前所述,验证码的作用在于区分判断访问平台并使用平台功能的主体是“计算机”还是“人类”,当前被普遍应用于各大网站、APP,来防止计算机的登录、灌水、刷票等行为。因此从本质上看,验证码技术仅是一项识别人机用户的计算机程序功能,并不具有拦截DDOS攻击、域名劫持等对计算机信息系统的攻击行为,不是计算机信息系统的安全防护措施。
4、本案中的接码软件、平台不具有侵入或与侵入相类似的技术功能,而仅能够接收相应的验证码信息,不能取得相应计算机信息系统的数据。
最高人民检察院第36号案例(卫某某非法获取计算机信息系统数据案)明确了,“非法侵入”的实质内涵是违背他人意愿进入他人计算机信息系统,既包括采取技术手段进入,也包括未征得他人同意或者授权进入。很明显,“侵入”取决于一个人是否虚拟地进入他人的计算机信息系统。
而就涉案软件和平台的功能而言,仅仅是对人类申请手机验证码行为的模仿,系模拟人机交互的过程,并未突破或绕过任何计算机信息系统的安全保护措施,进入计算机信息系统。这与通常具有侵入计算机信息系统,或者通过非法手段取得技术信息的“木马程序”、“后门软件”、“键盘跟踪技术”、“攻击病毒”、“开放端口”、“钓鱼软件”等恶意的计算机程序具有显著的差异。
根据案情,个人用户通过手机号,向百度糯米平台发送会员账号注册申请,则平台的注册程序自动向这些手机号发送验证码。此时,验证码是百度糯米平台根据提前设定的程序自动、自愿发送给申请注册的用户,并未违背平台的意愿,更不是“非法侵入”平台的行为。
5、涉案接码软件和平台接收验证码不同于“获取”,单纯取得信息而未复制数据的行为不属于“获取”。
根据通行的国际标准,ISO/IEC 27037:2012《信息技术-安全技术-电子数据识别、收集、获取和保存指南》中对“获取”的概念界定,所谓“获取(acquisition)”是指“在特定的数据集合中进行数据副本创建的过程(process of creating a copy of data within a defined set)”;同时对于该条款的注释亦明确“获取的内容是对于拟获取的数据信息的备份(The product of an acquisition is a potential digitai evidence copy)”。可见,“获取”的技术含义应当是获取者在主观意志的支配下对于既有数据的复制行为。
而本案中接码软件和平台的功能仅仅局限于取得验证码信息,而不具有复制、下载计算机信息系统数据的功能,不能等同于“获取”。因此,本案中平台既没有“侵入”行为也没有“获取”行为,不具备非法获取计算机信息系统数据罪的法定构成要件。
综上,笔者认为,本案错误地认定了“久码平台”所得到的验证码是属于数据,且是属于百度糯米的数据,也错误地判定了实时验证码技术的功能属性,更未将“获取”行为的计算机程序属性进行厘清。将本案定性为非法获取计算机信息系统数据罪尚有不妥,值得商榷。
判例四:(2020)豫0703刑初26号刑事判决书
————————————————
实体问题:
1、“修改注册时的 IP 地址,避开腾讯注册系统封号风险”实质上是属于使用代理IP的行为,其主要目的是为了避免登陆行为被错误识别为恶意攻击,不属于“侵入”计算机信息系统。
最高人民检察院第36号案例(卫某某非法获取计算机信息系统数据案)明确了,“非法侵入”的实质内涵是违背他人意愿进入他人计算机信息系统,既包括采取技术手段进入,也包括未征得他人同意或者授权进入。很明显,“侵入”取决于一个人是否虚拟地进入他人的计算机信息系统。
首先,使用代理IP本身并不违法。代理IP服务系《电信业务分类目录》的B13国内互联网虚拟专用网业务(IP-VPN)的衍生业务,该业务的存在具有合法的行业基础。同时,代理IP的使用也是互联网行业获取信息的通用解决方案,诸如百度、腾讯、阿里巴巴等互联网企业,都存在使用代理IP的情况。因此衍生出了专门从事代理行业的企业,开发了许多产品,例如芝麻代理、飞猪IP等。
其次,互联网行业使用代理IP进行登陆访问的主要目的,是为了避免单一IP地址多次重复登陆的行为被服务器错误识别为网络攻击,进而触发服务器内部的保护措施,对相关IP地址进行封禁。
由于爬虫程序自动化访问的特点,当超过服务器承载量的爬虫对同一服务器进行访问时,会大量占据服务器的流量,进而影响正常用户的访问体验。因此,不少网站设计了相应的反爬虫程序,其目的在于避免短时间内爬虫机器人对于服务器流量的挤占,进而对于超量访问的IP地址进行封禁。
但由于这种反爬虫程序仅仅是在计算机信息系统登入之初进行IP地址的识别,规避反爬虫机制所带来的效果无非是让服务器将机器人识别为用户个人,而不具备任何“侵入”计算机信息系统的功能。因此,这种更换IP地址的模式,实质上不会影响第三方网站的权益,不具有任何意义上的不法性。
笔者以代理IP为关键词在百度中进行搜索,搜索结果显示,有许多专门从事代理IP业务的企业(如芝麻代理、飞猪IP、万变IP、uuhtpp等)相关企业均提供代理IP的服务。同时,点击查看相关代理IP企业的合作商户,可见包括百度、知乎、抖音、阿里巴巴在内的诸多知名互联网企业,均是相关代理IP企业的客户或合作方。可以证实通过代理IP技术进行站点访问,是为了避免单一IP重复访问被错误识别为网络攻击。
胡某使用涉案“小果”软件修改注册时的 IP 地址,是为了避免注册行为被识别为攻击腾讯网站的行为。且腾讯网站开启IP识别,本质是为了防止短时间内爬虫机器人对于服务器流量的挤占,进而对于超量访问的IP地址进行封禁。根据案情,胡某通过购买的验证码,使用“小果软件”访问腾讯公司的注册程序,而QQ号码是腾讯平台根据提前设定的程序自动、自愿发送给申请注册的用户,因此涉案批量注册QQ号的行为也未违背平台的意愿,更不是“非法侵入”平台的行为。
2、QQ号码不是数据而是数字标识。
根据腾讯公司公示的《QQ号码规则》第二条【QQ号码的性质】规定,QQ号码是腾讯按照本规则授权注册用户用于登录、使用腾讯的软件或服务的数字标识。
如前所述,“数据=信息+数据冗余”。信息指的是数据中的可视化内容。很明显,QQ号码不具备数据的特征,且腾讯公司已经明确了QQ号码的属性,QQ号码并不属于数据。
3、涉案批量注册的行为不应当被评价位“获取”,单纯取得信息而未复制数据的行为不属于“获取”。
根据通行的国际标准,ISO/IEC 27037:2012《信息技术-安全技术-电子数据识别、收集、获取和保存指南》中对“获取”的概念界定,所谓“获取(acquisition)”是指“在特定的数据集合中进行数据副本创建的过程(process of creating a copy of data within a defined set)”;同时对于该条款的注释亦明确“获取的内容是对于拟获取的数据信息的备份(The product of an acquisition is a potential digitai evidence copy)”。可见,“获取”的技术含义应当是获取者在主观意志的支配下对于既有数据的复制行为。
而本案中小果软件的功能就是使用代理IP批量获得QQ号数字标识,而不具有复制、下载计算机信息系统数据的功能,不能等同于“获取”。因此,本案中平台既没有“侵入”行为也没有“获取”行为,不具备非法获取计算机信息系统数据罪的法定构成要件。
综上,笔者认为,本案错误认定胡某使用的代理IP技术是非法获取计算机信息系统数据罪中的“侵入”行为,也错误认定了QQ号的属性,更未将“获取”行为的计算机程序属性进行理清。将本案定性为非法获取计算机信息系统数据罪尚有不妥,值得商榷。
————————————————
上述两个案例,笔者团队集中讨论了4个问题,即什么是“数据”,什么是《解释》规定的“身份认证信息”,什么是“侵入”行为,什么是“获取”行为。要判定一个行为是否涉嫌构成非法获取计算机信息系统数据罪,必然要评价涉案行为是否满足上述四项构罪要素。很显然,在“批量注册账号”案件中,仅上述两个案例,在四个构罪要素上都存在一定的“类推”适用问题。笔者团队认为,计算机类犯罪罪名虽然有限,但罪名规制范畴也是界限分明。司法实践中对于“批量注册账号”类案件,却出现了以不同罪名评价同类行为的问题,本就反应出该类案件的刑法评价存在实践争议。笔者团队认为,司法机关虽然以严厉打击计算机犯罪行为的初衷,但在具体案件中也不能为了定罪而“类推”适用某一罪名进行定罪处罚。
1
END
1
作者文章相关链接:
1、陈沛文、黄双双:关于“接码平台批量注册账号”已决案例评析(一)
2、【理论探讨】陈沛文:“软暴力”犯罪的认定标准之探索
3、【热点刑评】陈沛文:区块链智能合约“搬砖套利”的骗局与破局
4、【热点刑评】陈沛文:刑法修正案十一(草案)评述——企业融资渠道的刑法规制
5、王建波、陈沛文:“流量劫持”类灰黑产的刑事责任辨析 |理论研讨
6、【理论研讨】陈沛文、徐晔:危害计算机信息系统安全类犯罪司法裁判规则综述(一)——破坏计算机信息系
7、【热点刑评】陈沛文、徐晔:打击非法VPN到底在打击什么?
8、【理论研讨】陈沛文、黄双双:“套路贷”案件中“套路”行为的认定
9、陈沛文、黄双双:银行流水泄露事件背后的灰黑产,调查公司的刑事风险有多大?
10、陈沛文:境外开设赌场接受境内人员电话投注的行为如何定性?|跨境及境内网络赌博类犯罪辩护研究(一)
作者简介
陈沛文
上海靖予霖律师事务所
网络犯罪研究与辩护部主任
华东政法大学刑事诉讼法学硕士,2016年国际刑事法院模拟法庭大赛中文赛(荷兰•海牙国际赛)亚军、最佳辩手。律师执业以来参与办理了多件刑事辩护案件,理论功底深厚,曾在各级期刊、论坛中发表多篇学术论文。专业研究企业的专项刑事法律顾问业务与企业家刑事风险防范业务。为多家企业提供专项刑事法律顾问服务。
添加作者个人微信交流联系
黄双双
靖霖绍兴所 专职律师
浙江靖霖律师事务所权益合伙人。律师执业以来参与办理了多件刑事辩护案件,撰写过多篇文章并分别获得杭州律师论坛一等奖、二等奖、优秀奖。2019年获得浙江省律师协会通报表扬。专业研究企业的专项刑事法律顾问业务与企业家刑事风险防范业务。
添加作者个人微信交流联系
版式设计:马倩
(文中部分图片来自网络,若有侵权请联系删除)
靖霖刑事律师机构,由上海靖予霖律师事务所、浙江靖霖律师事务所及其分所共同设立,专门从事刑事业务(刑事辩护、刑事代理、刑事合规),总部设在上海靖予霖律师事务所。机构已在北京、上海、杭州、南京、宁波、济南、昆明、武汉、贵阳、广州、温州、绍兴、义乌、天津、福州设有办公室,沈阳、苏州、哈尔滨办公室正在设立中,拥有律师300余人。
出版专业书籍十本,有大量刑案及项目积累,办案经验丰富,技术精湛,奉行“专业、优质、兢业”服务理念,攻刑以专,相靖予霖。
联系我们
<< 点击关注
专业 |优质 | 兢业
上海(总部):黄浦区中山东二路88号外滩SOHO,C座19层
021-32206717
杭州:滨江区江南大道4760号亚科中心B座15、16层
0571-87392937/87392255
南京:鼓楼区清江南路7号越洋国际商务中心5层
025-86707788
北京:朝阳区东三环北路甲19号嘉盛中心23层
010-82488010
宁波:鄞州区文康路128号(浙商银行大厦)16楼
0574-87636510
义乌:西江路300号西江园B座1001室
0579-85335539
温州:鹿城区大南路温州世贸中心4101室
0577-88688612
贵阳:观山湖区长岭北路贵阳国际金融中心14号楼15
0851-84837890
济南:历下区经十路9777号鲁商国奥城4号楼15层
0531-55569506
昆明:滇池路569号南亚风情第壹城国际B座19层1903室
0871-67126852
广州:广州市天河区华就路23号润德大厦7D
020-33373788
武汉:武昌区中北路海山金谷大厦12楼
027-87363402、81360262
绍兴:越城区延安东路654号新地大厦9楼
0575-88623887
天津:红桥区北马路170号陆家嘴金融广场A座39层
022-60716868
福州:台江区宁化街道振武路70号福晟钱隆广场34层
0591-83802112
法律服务专线:400-183-1099
上海靖予霖律师事务所官网
https://www.shkindall.com
靖霖刑事律师机构官网
http://www.kindall.cn
常年招聘刑辩英才
联系人:覃女士
联系电话:15692107006
邮箱:cissieqin@163.com