查看原文
其他

【案例研究】使用“撞库”软件获取计算机信息系统数据行为的司法评价


编者按:“撞库”是一种针对计算机数据库的攻击方式,指通过攻击者所拥有的数据库数据攻击目标数据库,在此过程中,“撞库”软件帮助攻击者比对已知信息进而获得用户未知但潜在信息的行为。此种行为应如何评价?本案从行为人获取数据是否经过授权或者超越授权,对其作出违法性评价;并对出售“撞库”软件与使用“撞库”软件是否属于吸收犯予以论述。



裁  判  要  旨


“非法获取”计算机信息系统数据是指获取数据手段的非法性,而非数据的非法性。使用“撞库”软件获取数据,因为未经授权或者超越授权,具有非法性。提供“撞库”软件行为与使用行为不具有关联性,应数罪并罚。



诉  辩  主  张


1.公诉机关指控称


2015年12月至2016年4月,被告人顾某使用“百度账号改密”、“百度HI扫号机—自用”等专门用于侵入计算机信息系统的程序及包含大量用户名密码的样本数据,对百度公司的计算机信息系统实施撞库攻击,非法获取了百度公司储存的用户身份认证信息4674组。在此期间,被告人顾某还将上述专门用于侵入计算机信息系统的程序通过QQ群、网站等出售给他人,违法所得共计人民币31 000元。2016年6月21日,公安机关将被告人顾某抓获,后其如实供述了上述犯罪事实。


针对上述指控,公诉人向本院提交了相关证据,认为被告人顾某违反国家规定,采用技术手段获取计算机信息系统中储存的数据,情节特别严重,其行为已触犯了《中华人民共和国刑法》第二百八十五条第二款条之规定,构成非法获取计算机信息系统数据罪;


被告人顾某提供专门用于侵入计算机信息系统的程序,情节特别严重,其行为已触犯《中华人民共和国刑法》第二百八十五条第三款之规定,构成提供侵入计算机信息系统的程序罪,提请本院对被告人顾某依法惩处。


2.被告辩称


被告人顾某对检察院的指控罪名及指控事实未提出异议。


辩护人认为,在案件定性上,被告人顾某获取百度用户身份认证信息系从网上公开渠道获取,同时被告人顾某通过“撞库”的方式验证身份信息系为测试程序,其行为属于吸收犯,应以一罪定罪处罚。


被告人顾某为在校学生,系初犯、偶犯;


其并未认识自己行为的社会危害性,在得知自己行为可能涉嫌违法犯罪后,便主动停止了相关行为,主观恶性较小;


其行为未对百度公司造成实际损失,亦未对百度账号实际合法使用人造成任何损失;


被告人顾某到案后认罪态度较好,具有立功表现,同时提供计算机信息系统的程序罪具有自首情节,建议法庭对其判处缓刑或者减轻处罚。



基  本  事  实


法院经公开审理查明:2015年12月至2016年4月,被告人顾某使用“百度账号改密”“百度HI扫号机—自用”等专门用于侵入计算机信息系统的程序及包含大量用户名密码的样本数据,对百度公司的计算机信息系统实施撞库攻击,非法获取了百度公司储存的用户身份认证信息4674组。在此期间,被告人顾某还将上述专门用于侵入计算机信息系统的程序通过QQ群、网站等出售给他人,违法所得共计人民币31 000元。


2016年6月15日,百度公司向公安机关报案称发现有人公开出售百度账号扫号器并非法获取大量百度公司数据库内储存的百度账号。经侦查,公安机关发现被告人顾某有重大嫌疑。同年6月21日,公安机关将被告人顾某抓获归案,其到案后如实供述了上述事实。



判  案  理  由


法院经审理认为:被告人顾某违反国家规定,采用技术手段获取计算机信息系统中储存的数据,情节特别严重,其行为已构成非法获取计算机信息系统数据罪,应予惩处;


被告人顾某提供专门用于侵入计算机信息系统的程序,情节特别严重,其行为亦构成提供侵入计算机信息系统的程序罪,应与其所犯非法获取计算机信息系统数据罪并罚。


北京市海淀区人民检察院指控被告人顾某犯非法获取计算机信息系统数据罪、提供侵入计算机系统的程序罪事实清楚,证据确凿,指控罪名成立。


关于辩护人发表的吸收犯的辩护意见,法庭认为,吸收犯的数个犯罪行为之间应具有紧密的联系,而本案中被告人顾某通过“撞库”软件撞库非法获取百度公司大量用户身份认证信息的行为与出售“撞库”软件之间的行为并不存在这种紧密联系的关系,故上述行为均应单独评价、数罪并罚;


关于辩护人发表的自首的辩护意见,法庭认为,百度公司向公安机关报案时已提及了在网上销售“撞库”软件的线索,即公安机关已经掌握相应的罪行,而后抓获被告人顾某,因此被告人顾某并无自首情节;


关于辩护人发表的立功的辩护意见,法庭认为,现有证据无法证明被告人顾某有立功表现;故辩护人的上述辩护意见无事实和法律依据,本院均不予采纳。被告人顾某到案后如实供述犯罪事实,可以对其依法从轻处罚。辩护人的相关意见本院酌予采纳。



定  案  结  论


北京市海淀区人民法院依照《中华人民共和国刑法》第二百八十五条第二款、第三款,第六十九条,第六十七条第三款,第五十三条,第六十四条之规定,作出如下判决:


1.被告人顾某犯非法获取计算机信息系统数据罪,判处有期徒刑三年,罚金人民币六千元;犯提供侵入计算机信息系统的程序罪,判处有期徒刑三年六个月,罚金人民币四万元,决定执行有期徒刑五年,罚金人民币四万六千元。


2.继续向被告人顾某追缴违法所得人民币三万一千元,予以没收。


3.扣押在案的台式电脑机箱一台予以没收。



解      说


本案争议的焦点在于使用“撞库”软件获取用户账号和密码的行为是否是非法获取计算机信息系统数据罪的行为,该行为是否符合侵犯公民个人信息罪,以及被告人的行为是否是吸收犯。


《刑法》第二百八十五条第二款规定非法获取计算机信息系统数据罪为“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据”。


按照两高2011年出台的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,非法获取计算机信息系统数据的数据包括“用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等身份信息”,本案中被告人获取百度公司用户的账户号与密码是属于身份信息,并且获取数量超过五百组,那么认定是否是“非法获取”就成为是否构罪的关键。


一、  违法性评价


使用撞库软件比对获取用户账号和密码的行为已经违反法律规定,“撞库”是一种针对数据库的攻击方式,“是通过攻击者所拥有的数据库的数据攻击目标数据库,或者说使用用户在A网站被盗的账户密码来登陆B网站,因为很多用户在不同网站使用的是相同的账号密码,因此可以起到获取用户在B网站的用户账户”[1]。因此撞库软件的作用是帮助攻击者比对已知信息进而获得用户未知但潜在信息的行为,这一行为本身就具有违法性。


全国人大常委会发布的互联网的基础性法律《中华人民共和国网络安全法》中第二十七条规定“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具”。


第四十四条规定“ 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”


本案中顾某先是获得了用户的信息,此信息的来源虽然无法证明是否是非法,但是顾某利用已知的用户信息去测试获取用户可能存在的其他账号和密码,在没有获得百度公司和用户许可的情况下,通过技术手段比对获得正确的用户信息,这已经违反了《网络安全法》,具有违法性。


此外,顾某还将撞库软件进行贩卖,通过贩卖这种窃取网络数据的程序以获利,贩卖这种软件的行为也是违反法律规定的。


二、行为性质评价


非法获取计算机信息系统数据罪中,最重要的是非法获取行为的理解。辩护人提出的辩护观点也是顾某是在常规渠道获得的用户信息和数据,这一行为不能认定为非法获取。


非法获取计算机信息系统数据罪所要惩戒的是用非法手段获取计算机信息系统数据的行为,或者说是行为人没有得到授权或者超出授权获得数据的行为。“在行为人即使有权进入他人计算机信息系统,但其获取或超越授权获取无权获取数据的,仍可构成本罪。”[2]


“撞库”这种获取数据和用户信息的方式,需要用已知的数据库去比对未知的数据库,其比对的原理是基于用户使用同一账号和密码注册登录不同网站的习惯,这种获取用户未知数据的行为本身就是个测试的过程,对犯罪人而言是个“撞运气”的过程,比对成功的用户信息和密码对于犯罪人而言才是有价值的,也是犯罪人所希望获得的新数据,获取这种数据没有经过用户和百度公司授权,所以 “撞库”就是非法获取计算机信息系统数据的行为。


受到“撞库”攻击的百度公司也向司法机关详细解释了,百度云的账号和密码都属于百度公司,用户拥有百度云的账号和密码使用权,没有经过任何一方的许可就获得数据,这一行为是符合犯罪构成客观要件的。


至于辩护人所提到的顾某获得数据是合法渠道获得的,这一行为则不是本案所惩戒的行为,原始数据来源的合法性与否不是该案件评价的对象。该案中受到法律惩戒的行为是使用“撞库”软件获取到用户未知账号和密码的行为,所以对于辩护人的这一辩护合议庭没有予以采纳。


此外,使用 “撞库”将用户的账号和密码确认后,再售卖用户信息、修改密码、盗取账号中的财物等行为,则可能构成侵犯公民个人信息罪、盗窃罪、破坏计算机信息系统罪等罪名,可以与本罪数罪并罚。


三、与他罪区分


“撞库”行为的在定性上除了罪与非罪的争议,还存在与侵犯公民个人信息罪的区分。


侵害公民个人信息罪的犯罪方式是“ 非法获取、出售或者提供公民个人信息”,这两个罪名最重要的区别是非法获取的对象,按照两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。


公民个人信息更偏向于与公民身份和特定活动有关系的数据,而计算机信息系统数据则是一个范围更为广泛的上位概念,如本案中数据的拥有者是百度公司,使用者是用户,这些用户账号和密码也是百度公司的数据资源,这些用户账号和密码不能直接反应自然人身份和特定自然人活动情况,所以作为计算机信息系统数据更为合适。


四、是否作为吸收犯


关于顾某出售“撞库”软件的行为,辩护人提出吸收犯的辩护意见,但是吸收犯的数个犯罪行为之间应具有紧密的联系,而本案中被告人顾某通过“撞库”软件撞库非法获取百度公司大量用户身份认证信息的行为与出售“撞库”软件之间的行为并不存在这种紧密联系的关系,所以予以单独评价、数罪并罚。


根据两高发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条规定具有下列情形之一的程序、工具应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:


(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;


(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;


(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。


该案中顾某出售的“撞库“软件正具有避开密保措施,未经授权或超越授权获取计算机信息系统数据的功能。所以出售提供此类软件的行为是符合犯罪构成要件的,依法应予以定罪。(作者单位:北京市海淀区人民法院)


[1] 什么是撞库?- 知乎

https://www.zhihu.com/question/21562202。

[2] 李遐桢, 侯春平《论非法获取计算机信息系统数据罪的认定— ——以法解释学为视角》,《河北法学》2014年5月刊。



往期精彩回顾

【1921—2018】纪念建党97周年

重磅!最高人民法院发布第18批指导性案例(附案例全文)

欧盟史上最严数据保护法(GDPR),我们真的搞明白了?

用户起诉“ofo小黄车” 法院为何管不了?

举办了婚礼但未领证,分开后彩礼还能要回来吗?

本期责编:焦冲

注:文章不代表平台观点

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存