其他
通过预置软件的方式获取用户手机数据并向用户推送商业性电子信息的行为构成非法获取计算机信息系统数据、非法控制计算机信息系统罪——杨某某等十人非法获取计算机信息系统数据、非法控制计算机信息系统案关键词:计算机信息系统 通讯设备 非法获取非法控制 商业性电子信息作者:吴小军:北京市高级人民法院法官李 佳:腾讯研究院犯罪研究中心高级研究员被告人未经用户同意,向用户手机中预置具有获取用户手机位置、用户手机网络状态、删除用户手机内安装的应用程序、安装其他应用程序等功能的软件,并通过后台服务器操控的方式,在用户不知情的情况下向用户推送软件、广告等商业性电子信息,其行为实现了对他人计算机信息系统的侵入、控制,非法获取了相关数据,已违反国家规定,达到“情节严重”的构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。《中华人民共和国刑法》第二百八十五条第二款 《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》2010年7月,被告人杨某某、陈某、罗某某、张某等人在广东省深圳市成立深圳市安丰易联信息技术有限公司(以下简称安丰公司,住所位于广东省深圳市福田区,法定代表人陈某);后杨某某、罗某某等人又成立深圳市万丰博通信息技术有限公司(以下简称万丰公司,住所位于广东省深圳市福田区,法定代表人罗某某);2011年5月,杨某某在北京市成立北京麦德联合信息技术有限公司(以下简称麦德公司,住所位于北京市朝阳区望京新兴产业区利泽中园二区208号3号楼3509A室)。 上述三家公司的经营范围包括计算机软件开发、网络技术开发、手机软硬件开发等。被告人马某某于2011年底在安丰公司任技术员,后于2012年底到麦德公司任技术员;被告人林某某于2011年1月至2012年2月在安丰公司任技术员;被告人吴某于2011年6月至2013年2月在麦德公司任技术员;被告人黄某某于2012年9月至2013年8月在麦德公司任副总经理。 自2011年底起,被告人杨某某、陈某、罗某某、张某经商议后,授意被告人马某某、林某某、吴某、黄某某研发“静默插件”,将该插件通过刷机的方式植入大量移动终端;杨某某、张某等人安排被告人祝某某、杜某某通过后台服务端操控的方式向植入“静默插件”的移动终端推送软件、广告等商业性电子信息。 经鉴定:涉案的“静默插件”具有在用户不知情的情况下,获取用户手机位置、用户手机网络状态、更改用户网络状态、删除用户手机内安装的应用程序、安装其他应用程序、通过手机网络访问互联网、强制关闭用户手机内正在运行的应用程序、获取当前用户手机内运行的应用列表、唤醒用户手机、读写用户存储卡等信息的功能;以及在用户不知情时,上传手机收发短信、通话信息、通信录、GPS定位信息的功能。 经对涉案公司网站数据库进行勘查:被告人杨某某等所经营的公司服务器内含有大量用户移动终端内的信息,其中被获取imsi(国际移动用户识别码)的移动终端有206 806部,被获取手机型号的移动终端有265 970部,被获取手机号码的移动终端有44564部,被获取地址信息的移动终端有132 168部,被获取软件安装列表的移动终端有196 733部,被获取imei(国际移动设备识别码)的移动终端有265 991部,被获取通讯录的移动终端有102368部,被获取的通讯录共19 426 523条。 2013年8月30日,被告人杨某某、陈某、罗某某、张某、马某某、黄某某、祝某某、杜某某被抓获;2013年9月3日,被告人吴某、林某某被抓获。北京市朝阳区人民法院于2015年1月29日作出(2014)朝刑初字第1743号刑事判决,认定: 被告人杨某某等人犯非法获取计算机信息系统数据、非法控制计算机信息系统罪,分别判处有期徒刑三年六个月至一年五个月不等,罚金人民币一万元。 一审宣判后,被告人杨某某、陈某、张某、罗某某、黄某某均提出上诉,二审法院北京市第三中级人民法院经过审理后认为,一审刑事判决定罪及适用法律正确,量刑适当,审判程序合法,于2015年6月19日作出(2015)三中刑终字第00288号刑事裁定书:驳回杨某某等五人的上诉,维持原判。法院生效裁判认为:非法获取计算机信息系统数据、非法控制计算机信息系统罪是指行为人违反国家规定,实施了侵入普通计算机信息系统或采用其他技术手段,获取计算机信息系统数据,或者对计算机信息系统实施非法控制,达到情节严重的行为。 本案中,被告人杨某某、陈某、罗某某、张某,以营利为目的,授意技术人员马某某、林某某、吴某、黄某某研发升级“静默插件”,安排祝某某、杜某某通过后台服务端操控的方式向植入“静默插件”的移动终端推送软件、广告等商业性电子信息,从而非法获取计算机信息系统数据,实现对计算机信息系统的非法控制。上述十被告人的行为均已构成非法获取计算机信息系统数据、非法控制计算机信息系统罪,依法应予惩处。 北京市朝阳区人民检察院指控上述十被告人犯非法获取计算机信息系统数据、非法控制计算机信息系统罪的事实清楚,证据确实、充分,指控罪名成立。本案系计算机犯罪中较为复杂的新类型案件,涉及非法获取计算机信息系统数据、非法控制计算机信息系统罪的司法认定。根据刑法第258条第2款之规定,非法获取计算机信息系统数据、非法控制计算机信息系统罪是指违反国家规定,侵入国家事务、国防科技、尖端科学技术领域以外的计算机信息系统或采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,达到情节严重的行为。 尽管相关司法解释对计算机信息系统的范围、情节严重的标准等问题作出规定,但是关于行为人侵入、控制计算机信息系统,以及获取计算机信息系统数据的具体行为方式,立法和司法解释并未加以列举释明,这使得审判实践中对此类案件的定性成为争议焦点和审判难点。 尤其随着近年来随着互联网信息技术的快速发展,侵入用户手机等通讯设备进而获取相关手机数据,推送软件、广告等电子信息的行为究竟属于民事侵权行为还是刑事犯罪,已成为审判实践亟需解决的问题。本案系涉通讯设备终端的新类型网络犯罪案件,具有较强的典型性。 一向用户手机预置静默插件的行为违反国家规定 本案所称的静默插件,是指在用户不知情的情况下,具备获取用户手机位置、用户手机网络状态、更改用户网络状态、删除用户手机内安装的应用程序、安装其他应用程序、通过手机网络访问互联网、强制关闭用户手机内正在运行的应用程序、获取当前用户手机内运行的应用列表、唤醒用户手机、读写用户存储卡等信息的功能的软件安装包。 根据《中华人民共和国计算机信息系统安全保护条例》(1994年2月18日通过,2011年1月8日修订)、《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日)以及《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(自2011年9月1日起施行)的规定,获取手机用户信息或者向手机用户推送商业性电子信息应当以向用户明示为原则,且必须征得用户的同意方可实施。 静默插件的基本属性决定了它不可能满足用户同意的条件,因此安装、使用静默插件违反了上述国家规定。 二向未出售的手机预置静默插件的行为应认定为非法侵入计算机信息系统 由刑法第258条第2款可知,构成非法获取计算机信息系统数据、非法控制计算机信息系统罪的前提性要件是行为人违反国家规定,侵入计算机信息系统。本案中,杨某某等人通过“刷机”的方式将自己研发的静默插件“刷入”尚未出售的手机,这一行为能否认定为非法侵入计算机信息系统? 《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》规定,“计算机信息系统是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等”。手机作为最常用的通讯设备,显然属于计算机信息系统的范围。本案的特殊性在于,静默插件的置入对象为尚未出售、使用的手机,其是否也属于司法解释中所规定的“通讯设备”? 笔者认为:虽然未出售的手机尚未联入互联网,但其已经完全具备了自动处理数据的功能,且随时可以投入使用,故其与正在使用的手机已没有实质区别,属于司法解释中“通讯设备”的范围。就本案而言,被告人预置静默插件的行为是整个犯罪中的一环,不应将其限定在某一时段内孤立看待。因此,向未出售的手机预置静默插件的行为应当视为非法获取相关数据、非法控制手机计算机系统的准备行为,可以认定为非法侵入计算机信息系统。 三手机imei号码、用户通讯录、地理位置等信息属于非法获取计算机信息系统数据罪中的“数据” 本案被告人通过静默插件获取了用户手机imei(国际移动设备标识)号码、激活时间、用户所安装的软件数量、插件版本号、手机系统版本号、手机型号、用户通讯录、手机位置信息等数据,那么这些数据是否属于刑法第258条第2款所规定的“计算机信息系统数据”?对于该罪“数据”的范围,我国刑法及其司法解释并未进行具体规定。 基于保障计算机信息系统安全之考量,应对“数据”的范围进行当然性解释,即计算机信息系统中存储、处理或者传输的数据,应当属于该罪“数据”的范围。用户手机imei号码、激活时间、用户所安装的软件数量、插件版本号、手机系统版本号、手机型号等信息属于计算机存储、处理的数据,当然属于该罪“数据”的范围;而用户通讯录、手机位置信息则属于用户的个人隐私信息,更应受法律严格保护。 四通过静默插件向手机用户推送软件、广告等商业性电子信息应认定为非法控制计算机信息系统 本案被告人预置静默插件的目的是为了向手机用户推送软件、广告等商业性电子信息,进而从网络运营商处谋取利益。本案中,各被告人的行为是否已经达到控制用户手机的程度?从涉案静默插件的功能来看,其具有更改用户网络状态、删除用户手机内安装的应用程序、安装其他应用程序、通过手机网络访问互联网、强制关闭用户手机内正在运行的应用程序、唤醒用户手机等功能。 这意味着在用户完全不知情的情况下,被告人可以通过后台服务器远程遥控用户手机自动下载相关软件。被告人的这一行为已实质上侵犯了用户对手机完全支配的权利,显然属于未经授权对计算机系统实施控制的情形。因此在未获允许的情况下,通过静默插件向手机用户推送软件、广告等商业性电子信息的行为,应当认定为非法控制计算机信息系统。 五本案中的民刑界限问题 本案关键的争点在于对被告人行为的违法性认识上,涉及民刑分界的问题。辩护人认为被告人的行为不具有刑事违法性,仅仅是侵犯消费者知情权的民事侵权行为。不可否认,被告人的行为确属广义上的侵权行为,但与普通的民事侵权相比,这一行为的实际危害程度已远超出民事法律能够调整的范围。 首先,杨某某等十人所获取的手机信息直接涉及用户个人隐私、身份信息等,危害极大。本案被告人通过静默插件获取的信息包括用户通讯录、用户手机身份信息、用户地理位置等,这些信息均为用户重要的个人信息,未经同意不得任意获取披露。被告人在用户完全不知情的情况下获取这些信息,其危害程度甚至超过侵犯公民个人信息的犯罪行为,显然已超出了民事法律调整的范围。 其次,本案侵犯用户手机的数量达几十万之众,危害范围广,不能简单界定为民事案件。从危害后果来看,本案须通过刑法进行规范调整。最后,手机用户在整个过程中都处于不知情的状态。如果不是警方主动介入,用户不会发现自己的手机被控制,更谈不上诉诸民事渠道解决。随着互联网信息行业的快速发展,涉及手机等移动通讯终端的网络犯罪案件日渐增多。在专业技术壁垒的掩护下,该类犯罪表现出极强的隐蔽性,往往犯罪行为已持续很久,但手机用户却毫不知情。伴随着智能手机的不断普及,未来这类犯罪势必将对手机用户的合法权利造成更大危害。 鉴于这一新型网络犯罪的专业性和隐蔽性,我国亟需出台专门针对手机等通讯设备的网络犯罪司法解释,对该类犯罪的行为模式、认定标准以及处罚方式作出明确、细致的规定,一来有利于统一该类案件在审判实践中的裁判尺度,二来有利于规范相关从业者的市场行为,促进我国手机互联网行业的健康发展。
(图片来自互联网)
时间:2016-6-5
来源:腾讯研究院犯罪研究中心(微信公众号tencentccc)