劳东燕:未经允许植入“广告 SDK”的刑法思考 | 2019年互联网法律十大案例点评
在互联网法学领域,中国法律人正站在理论与实践的最前沿。互联网法律大会旨在“以中国新型案例引领法律创新”,发布了2019年互联网法律十大案例并邀请专家点评,推动工业时代的法学向信息时代的法学转型。以下为专家点评之一:
劳东燕
清华大学法学院教授
本文发表于
《民主与法制时报》
2020年9月20日
未经允许植入“广告 SDK”的刑法思考
据《检察日报》等媒体报道,2015年8月起,欧某等 20 余人成立公司开始研发“广告 SDK”(即软件开发工具包),向多家手机方案商、中间商、厂商推广“广告 SDK”业务。装有“广告SDK”的手机在用户首次开机联网时,“广告 SDK”即通过互联网与后台服务器连接,在用户不知情的情况下向后台服务器上传有关信息,并根据与手机商达成的运营方案,向用户推送商业性电子信息,从而产生广告费收入。
为实现公众号粉丝量快速增长,2017 年 2 月起,欧某等人开始研发“一键达 apk(即安卓应用程序包)”,利用“广告 SDK”的静默安装功能自动下载并安装“一键达 apk”。“一键达 apk”在用户点击推送的文章或新闻后自动下载二维码图片,利用手机辅助功能模拟用户操作,使用户微信自动识别下载的二维码图片,关注该团伙运营的公众号。
2019年1月,浙江平湖市人民法院对未经允许植入“广告 SDK”案做出一审判决,认定欧某等 20 余名被告人,利用商业经营形式,与手机方案商、生产商相勾结,在所销售手机内预置“广告 SDK”。通过前述工具包,被告人在未告知用户也未求得其同意的情况下,向用户推送大量商业广告信息;同时,被告人利用预置的“广告 SDK”,进而在用户手机中静默下载“一键达apk”,模拟用户操作而关注特定的微信公众号,利用“广告 SDK”“一键达 apk”关注公众号的移动终端 800 余万部,非法获利 3000 万元以上。最终,法院以“非法控制计算机信息系统罪”判处各被告人有期徒刑4年6个月不等。
该判决明确了以预装方式对手机系统进行非法控制行为的刑法定性,对非法弹送广告、静默下载等互联网黑灰产业链予以打击,对今后类似案件的处理具有指导意义,有助于促进相应行业整改,发挥刑法规范作为行为规范的指导效果。
非法控制计算机信息系统罪保护双重法益
该案涉及通过预置应用程序,未经用户同意而向用户手机推送商业广告的行为,在刑法上如何定性的问题。其问题的关键在于,利用预置的“广告 SDK”与静默下载的“一键达 apk”,推送广告与自动关注微信公众号的行为,是否构成对计算机信息系统的非法控制。
非法控制计算机信息系统罪保护的是双重法益,即国家对计算机信息系统安全的管理秩序与计算机信息系统的安全。前者意味着构成本罪要求违反前置性的行政规定,后者意味着只有进一步危及计算机信息系统安全的行为,才能按本罪来论处。就内在关系而言,国家对计算机信息系统安全的管理秩序与计算机信息系统的安全之间,类似于形式与实质的关系。立足于所保护的法益,本罪要处罚的不法类型仅限于违反计算机信息系统安全相关的规范,并进而对计算机信息系统的安全构成侵害的行为。
因此,要准确勾勒非法控制计算机信息系统罪针对的不法类型,首要问题是对计算机信息系统的安全做出界定。根据《计算机信息系统安全保护条例》第 3 条的规定,计算机信息系统的安全保护,包括保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥。由此可知,计算机信息系统的安全,包括硬件、软件层面的安全,系统本身的安全、运行环境的安全,系统功能的安全、信息的安全。
由于不法的类型不仅取决于所保护的法益,也取决于相关立法条文对罪状的描述。因此,若想准确勾勒非法控制计算机信息系统罪所针对的不法类型,势必需要在结合其保护法益的基础上,尊重立法的文义表述与相应的体系性制约,对相应的构成要件做出限定。据此,一方面,对构成要件的解释应当在法益的指导之下进行;另一方面,法益的实质性指导受刑法条文的表述与体系融贯性要求的反制。
《中华人民共和国刑法》第 285 条规定:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”立足于文义上的解读可以发现,“违反国家规定”究竟只是非法获取计算机信息系统数据罪的成立要件,还是作为两罪的共同成立要件而存在,单从立法的文义表述来看,难以得出确定的结论。但如果承认本罪保护的法益中包含国家对计算机信息系统安全的管理秩序,则应当说,将“违反国家规定”也视为非法控制计算信息系统罪的成立要件,比较合乎体系逻辑的要求。
预置“广告 SDK”行为入罪的要件
笔者认为,未经允许植入“广告 SDK”案中,被告人的行为是否构成非法控制计算机信息系统罪,取决于四个方面:手机的操作系统是否属于计算机信息系统;行为是否“违反国家规定”;行为是否属于“非法控制”;是否达到“情节严重”的程度。
其一,手机的操作系统是否属于计算机信息系统。根据 2011 年“两高”发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第 11 条的规定,计算机信息系统是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。因此,手机的操作系统应属于计算机信息系统。
其二,被告人的行为是否“违反国家规定”。一般认为,所谓的“国家规定”只限于全国人大及其人大常委会与国务院所颁行的法律、法规,而不包括地方性法规与部门规章等规范性文件。从相关规定来看,就非法控制计算机信息系统罪而言,其中的“国家规定”主要涉及的是告知与同意方面的内容。该案被告人的行为可能涉嫌违反如下规定:一是《中华人民共和国网络安全法》第 22 条第 3 款的规定,即网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。这里的“用户信息”显然不限于公民个人信息。该案中被告人所使用的线上服务器数据库发现大量手机号、imsi 号与 imei 号,即便不具有可识别性,仍构成“用户信息”,故需征得用户同意。二是《关于加强网络信息保护的决定》第 7 条规定:“任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。”三是《计算机信息系统安全保护条例》第 7 条规定:“任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。”该案中,被告人在销售的手机内预置“广告 SDK”的行为,虽获得了手机生产商的同意,但并未明示告知手机用户并征得其同意。因此,其行为属于“违反国家规定”。
其三,被告人的行为是否属于“非法控制”。“非法控制”中的“非法”与前述“违反国家规定”具有内在的逻辑关联。“非法控制”是指未经授权或者超越授权控制计算机信息系统,执行特定的操作。其实质在于,非基于用户或有权操作者的自由意思而对系统运作支配。这里的“控制”,既包括直接控制,也包括间接控制,它不限于行为人直接使用了控制权,也可以是通过计算机程序等媒介使用控制权。该案中,被告人通过预置的“广告 SDK”,使得相应的广告在非基于手机用户的真实意思而获得推送;同时,利用“广告 SDK”的程度,非基于手机用户的真实意思而静默下载“一键达 apk”,并模拟用户操作而关注特定的微信公众号。相应的行为对手机的信息系统虽未达到完全支配程度,但具有部分支配,虽未对系统安全本身造成侵害,但对计算机功能的正常发挥与运行的环境具有消极影响。若在案证据能够证明相应行为均系未获用户的授权而实施,可在性质上认定为“非法控制”。
其四,被告人的行为是否达到“情节严重”的程度。根据现有的司法解释,情节严重与否的判断,主要根据是否涉及金融服务的身份认证信息、身份认证信息的数量、涉及的计算机信息系统的数量,以及违法所得或经济损失等方面的因素来判断。无论是根据涉及的计算机信息系统的数量标准,还是违法所得的标准,被告人的行为均已达到“情节特别严重”的程度。需要指出的是,司法解释对情节要件做的是统一的规定,司法实务处理中,有必要依据计算机信息系统的类型与非法控制的程度等,对情节标准作相对灵活的把握。这主要是因为不同的计算机信息系统所涉法益的重要性程度有差别,且控制程度也会影响行为本身的不法程度,机械适用所规定的情节标准,可能导致罪刑不相适应。
综上,被告人的行为可构成非法控制计算机信息系统罪;其静默下载“一键达 apk”的行为,如果能认定为“后果严重”,可能同时触犯刑法第 286 条第 2 款而构成破坏计算机信息系统罪,成立想象竞合。此外,由于内网服务中含有大量用户的个人信息,包括微信号及昵称、名字、生日、好友数量与用户手机号等,被告人的行为还可能涉嫌触犯侵犯公民个人信息罪。若手机方案商与生产商对被告人的行为具有明知,便属于明知是他人非法控制的计算机信息系统而对该系统的控制权加以利用的情形,也可能涉嫌非法控制计算机信息系统罪。
end
(此文观点和内容与本公众号无关)
(图片来源于网络)
延伸阅读:
资讯 | 中央网信办向“自媒体”乱象出拳!整顿敲诈勒索、恶意营销、虚假信息问题
主主编编:王凯旋
副a主b编:黄海舟,林小琦
来稿请投:zjulaw@aliyun.com
转载须经授权