【微课·“检例”精释】第68号·叶源星、张剑秋提供侵入计算机信息系统程序、谭房妹非法获取计算机信息系统数据案指导性意义探析
检察机关指导性案例是由最高人民检察院统一发布的,案件处理结果已经发生法律效力,办案程序符合法律规定,在事实认定、证据运用、法律适用、政策把握、办案方法等方面对办理类似案件具有指导意义,体现检察机关职能作用,取得良好政治效果、法律效果和社会效果的“精品案例”。近年来,最高人民检察院对检察机关指导性案例作了突出检察特色的“改版”,进一步加强了指导性案例的业务指导功能与宣教普法机能,得到各方认同。加强对指导性案例的学习应用,充分发挥指导性案例对检察办案工作的示范引领作用,对于促进检察机关严格公正司法,保障法律统一正确实施具有重大意义。北京市人民检察院第一分院将于近期推出“检察机关指导性案例精释”系列线上“微课”,深入剖析指导性案例的典型意义,创新推进业务建设,促进办案质效的全面提升。
→→点击查看 最高人民检察院发布第十八批指导性案例
“打码撞库”行为是伴随着信息网络时代的发展产生的一种新型犯罪方式,并逐渐形成了黑色产业链条,涉案环节多、侵害程度高,有着较为严重的社会危害性。但在以往的司法实践中,囿于对“撞库”等信息网络技术的认识不够深入,在信息网络犯罪的司法认定中产生了诸多困境。因此,检例68号重点解答了“打码”“撞库”行为的认定问题,并对《刑法》第二百八十五条提供侵入计算机信息系统程序罪的构成要件展开了深入讨论,对于司法机关处理类似案件具有重要的借鉴意义和参考价值。
(文本框内上下滑动查看)
一、提供侵入计算机信息系统程序罪的认定
在本案中,谭某利用“小黄伞”软件撞库获得大量网络用户信息,构成非法获取计算机信息系统数据罪应无异议,难点在于叶某、张某二人是否构成提供侵入计算机信息系统程序罪,以及对该罪的构成要件应如何把握的问题。
2011年两高联合发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)(以下简称《解释》),对“专门程序”这一概念作出了较为明确的界定:
(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;
(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;
(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。
结合立法机关编写的其他相关论著,“专门用于侵入计算机信息系统的程序”一般可以理解为专门用于非法获取他人登录网络应用服务、计算机系统的账号、密码等认证信息以及智能卡等认证工具,并且在操作过程中可以绕过计算机系统的防护措施,实现非法入侵目的的计算机程序,且这种程序只能用于实施非法侵入或非法控制计算机信息系统的用途。②从逻辑上看,这种“专门程序”与普通程序的区别之处在于其具有特定的犯罪用途和犯罪目的,其他既可用于违法犯罪目的、又可用于合法目的的“中立程序”,则不属于《解释》第二条所规制的“专门程序”的范畴。
也就是说,“专门”一词是对计算机程序本身的用途所作出的限定,如果某款计算机程序在编写之初便只具有非法用途,是为违法侵入计算机系统、非法获取数据而专门设计的,排除其他具有合法用途的可能,就可以将其称之为“专门程序”。
结合《解释》第二条,“专门程序”还须具备“避开或者突破计算机信息系统安全保护措施”的功能。还需强调的是,这种功能必须是由该程序自身具备的,不需借助其他程序或设备加以辅助。事实上,目前许多计算机程序在人为设计下均可以做到避开或突破安全保护措施,实现远程控制或者获取数据的目的,其中也不乏合法程序的存在。例如许多商业系统经常采用的一些借助远程控制技术实现计算机系统维护的“中立程序”,③这些程序既可用作合法用途,也可用于非法目的。因此,考虑到这些合法程序的存在,《解释》第二条着重强调了违法程序的功能要件,就是为了防止将其他中立程序纳入本罪的规制范围。
通常情况下,合法的远程控制程序具有“使用前获得授权”“使用中操作规范”的特征,而非法的“专门程序”则会在未经授权的情况下擅自逃避杀毒系统和防火墙、自动关停计算机杀毒程序,或者采取其他手段(例如“打码”等方式)故意绕开安全验证系统,实施数据的非法获取。也就是说,未获得授权是“专门程序”功能上的要求,也是《解释》第二条对非法获取数据罪要求的违法性要件。
综上所述,若要认定某一计算机程序为“专门用于侵入计算机信息系统的程序”,需要符合以下几个要件:
1.从目的上来看,该程序须以侵入为目的,在未被允许的情况下,通过冒充合法用户或技术攻击的方式,进入计算机系统进行非法访问;④ 2.从用途上看,该程序应以违法目的为设计初衷,且用途单一,仅针对侵入计算机信息系统,而无其他合法用途; 3.从功能上看,该程序要能避开计算机系统的安全保护措施,实现非法目的; 4.从违法性上看,该程序须未经用户授权或者超越授权,擅自抓取数据。
(二)行为方式的认定
在明知他人实施侵入、非法控制计算机信息系统的违法行为而为其提供程序、工具的情形下,本罪的成立并不要求行为人提供的程序属于上文提到的“专门程序”,即不以“专用性”为必要,该程序在可以非法侵入计算机系统的同时也可能包含其他正当用途,仅在非法使用时才会产生危害后果。因此,为了防止刑法对这种“中立帮助行为”的不当规制与对信息技术发展的过分限制,实践中对于此类行为方式的认定应当严格把握。
对于故意为他人提供“专门程序”侵入计算机信息系统非法获取数据,由于该违法程序的存在本身就有危害信息网络安全的风险,且主观恶性较大,理应受到刑法规制。因此只要行为人将“专门程序”提供给他人,无论被提供者是否实际使用,是否进行后续的违法行为,均不影响犯罪成立。在成立本罪的意义上,如若行为人提供的是“非专门程序”,则须提供者明知被提供者会将该程序用于违法活动,仍然为其提供帮助,且该程序最终被实际使用,并产生一定的社会危害性时,提供行为才具有可罚性。⑤也就是说,为他人提供“专门程序”侵入计算机系统的犯罪不以危害结果的发生为必要,属于行为犯;而提供“非专门程序”的行为则以危害结果为评价基础,属于结果犯。
(三)主观方面的认定
这是因为,从本罪的特殊性来看,如果将主观方面仅限定为直接故意,就为不法分子提供了可乘之机,可能出现不法分子为规避刑法制裁,刻意不去了解被提供者会将该程序用于何种用途而只负责设计非法程序的情况,此时,提供者对下游犯罪的危害性虽不具备希望其发生的直接故意,但受其间接故意支配的“提供”行为同样会产生值得规制的社会危害。
二、“打码”行为的认定问题
“打码”行为是伴随着信息技术发展出现的新型网络犯罪方式,是为批量破解验证码、非法获取用户信息而采取的辅助行为。用户登录账号时被要求输入验证码在如今是十分常见的安全保障措施,许多网站为了防止遭受非法程序的攻击,会通过使用图片验证码的方式防止计算机对验证码进行自动识别,以规避利用程序实施的“撞库”行为。因此,为了实现“撞库”,一些不法分子通过雇佣劳动力对验证码批量进行肉眼识别,再人工输入到“撞库”的程序中。在本案中,张某向叶某提供的“打码”服务即属于这一类型。显然,“打码”行为为提供侵入、非法控制计算机信息系统程序、工具罪乃至非法侵入计算机信息系统罪等网络犯罪提供了帮助行为,应当认定为相关犯罪的共犯。因此,在检例68号中,检察机关对共同犯罪人之间的犯意联络进行了重点审查。
就检例68号来看,本案作为全国首例“打码撞库”案,将涉案人张某的“打码”行为最终定性为“提供侵入计算机信息系统程序罪”,将其纳入了刑法规制的范畴。这对于“打码”行为的定性问题提供了处理思路和逻辑上的参考借鉴。⑦
值得注意的是,《刑法修正案(九)》在刑法二百八十七条中第二款增设了帮助信息网络犯罪活动罪,⑧规定只要行为人明知他人利用信息网络实施犯罪,仍为其犯罪行为提供帮助且情节严重的,均成立该罪。一般认为,该罪属共犯正犯化的立法模式,为信息网络犯罪的帮助行为提供了一个独立罪名,在上下游犯罪之间不存在共同犯意时起到兜底条款的作用,并通过第三款对想象竞合的处理方式作出了规定,强化了对帮助信息网络犯罪活动行为的处罚力度。
三、信息网络犯罪中司法鉴定机构的资质审查
上文主要分析了提供侵入计算机信息系统程序罪的部分实体认定问题,而除实体问题外,检例68号还着重强调了司法鉴定机构资质的审查问题。
对此,最高法、最高检、公安部联合出台的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(法发〔2016〕22号)规定:“对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具报告,对于人民检察院直接受理的案件,也可以由最高人民检察院指定的机构出具报告”。
①“打码”行为又称“打码验证”,是一种采用非法手段批量输入验证码的行为。验证码是目前一种区别人机行为、验证用户身份的重要工具,也是对用户信息安全的一重保障。“打码”行为能够帮助除用户外的其他人突破验证码的安全防线,未经授权非法获取用户信息,为下一步的违法行为提供帮助,具有极大的社会危害性。“撞库”是指黑客收集“打码”之后泄露出的用户信息,利用账户使用者相同的注册习惯,尝试批量登录相关网站,从而非法获取可登录的用户信息的行为。②参见全国人大常委会法工委刑法室编:《中华人民共和国刑法条文说明、立法理由及相关规定》,北京大学出版社2009年版,第592页③喻海松:《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的理解与适用,载《人民司法》,2011年第19期,24-32页④参见项宗友:《非法获取计算机信息系统数据、非法控制计算机信息系统罪研究》,西南政法大学硕士学位论文,2011年⑤参见易琦,梁燕宏:《提供侵入、非法控制计算机信息系统程序、工具罪的司法认定》,载《中国检察官》,2018年第4期,第59页⑥参见苏家成:《提供侵入、非法控制计算机信息系统程序、工具罪的认定》,载《人民司法》2013年12期,64-68页⑦参见王茹仪:《“打码”行为的刑法定性——破解网络安全验证系统帮助行为的一体化定罪思路》,中国政法大学硕士学位论文,2020年⑧《刑法》第二百八十七条第二款:“帮助信息网络犯罪活动罪:明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络储存、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金”。
微课往期回顾
第68讲:【微课·“检例”精释】第65号·王鹏等人利用未公开信息交易案指导性意义探析
第67讲:【微课·“检例”精释】第66号·博元投资股份有限公司、余蒂妮等人违规披露、不披露重要信息案指导性意义探析
第66讲:【微课·政治轮训第4讲】努力让人民群众在每一个司法案件中感受到公平正义
第64讲:【微课·政治轮训第2讲】坚持“最大优势” 做到“两个维护”
点击文末左下角“阅读原文”获取更多课程内容