《人民检察》:利用恶意程序“打劫”个人信息牟利如何定性
案例
浙江省绍兴市越城区检察院曾办理一起案件:2013年5月,邢某(另案处理)成立了北京瑞智华胜科技股份有限公司(下称“瑞智华胜”)。其后,瑞智华胜通过邢某成立的其他关联公司与运营商签订精准广告营销协议,获取运营商服务器登录许可,并通过部署SD程序(一种可以私下采集运营商流量里cookie数据的程序),从运营商服务器抓取、采集网络用户的登录cookie数据,并将上述数据保存在运营商redis数据库中,之后利用研发的爬虫软件、加粉软件远程访问redis数据库中的数据,非法登录用户网络账号,实施强制加粉、爬取公民个人信息等行为,从中牟利。
案发前,瑞智华胜发现浙江某网络有限公司(下称“网络公司”)调查公民个人信息被爬情况,遂将服务器数据删除。经鉴定,SD程序运行后可以实现对指定网卡网络传输流量数据包进行获取并解析的功能;爬虫软件运行后可以绕过系统保护措施,提取公民个人信息;加粉软件运行后可以绕过系统保护措施获取用户信息,并对指定账号添加好友。案发后经查,周某系瑞智华胜的法定代表人,负责公司运维部的各项工作;黄某系瑞智华胜股东,负责通过关联公司与运营商签订营销协议,获取运营商服务器登录权限;梁某、石某、袭某等系瑞智华胜员工,主要负责SD程序、爬虫软件、加粉软件的部署、研发和维护。该案办理中,司法人员对于计算机信息系统的判断、非法获取计算机信息系统数据罪中“情节严重”的认定以及涉计算机类犯罪和侵犯公民个人信息犯罪之间的罪数关系等方面存在分歧。
近日,《人民检察》杂志特邀请专家学者和办案单位代表对该案有关焦点、难点问题进行研讨。
关于计算机信息系统的判断
具体到该案,浙江省绍兴市越城区检察院副检察长汤隽认为,行为人侵害计算机信息系统的行为分为两个阶段:一是非法获取运营商服务器上网络用户的上网流量;二是通过筛选获取的cookie数据非法登录网络用户的账号,进行信息窃取或强制加粉。无论哪一个阶段,都离不开对服务器数据的侵害。因此,应当将某网络平台纳入“计算机信息系统”的范畴内。
非法获取计算机信息系统数据罪中“情节严重”的认定标准
对此,林维谈到,考虑到《解释》第1条规定的前四项“情节严重”的范围已经包括了网络金融服务类的身份认证信息、其他身份认证信息以及非法控制计算机信息系统的数量和违法所得、经济损失等因素,那么第五项规定的兜底条款就没有必要也不应等同于前述情形。对于“其他情节严重的情形”的解释,核心在于情节严重的综合判断。“其他情节严重的情形”可以包括犯罪前、犯罪过程中乃至犯罪后表征行为的客观危害性和行为人的主观危险性等各种情节。阿里巴巴集团安全部高级专家谢虹燕认为,非法获取计算机信息系统数据罪作为结果犯,须达到“情节严重”的标准方可入罪,行为人一旦非法获取了计算机信息系统中的数据,就已经发生了现实危害。至于后续对非法获取的数据的其他不法利用,应当另行评价。
涉计算机类犯罪和侵犯公民个人信息犯罪之间的罪数关系
具体到该案,谢虹燕认为,首先,周某等人在运营商不知情的情况下在运营商服务器中私自部署SD程序非法抓取网络用户的登录cookie数据并予以保存,这一行为系通过恶意软件从运营商服务器中非法获取数据,破坏了运营商计算机信息系统的安全性,应当构成非法获取计算机信息系统数据罪。其次,获取到用户cookie数据后,周某等人又利用爬虫软件从不同的网络平台爬取用户的公民个人信息,应构成侵犯公民个人信息罪。再次,周某等人爬取用户个人信息的目的是为了分析用户的行为,利用加粉软件对用户账号进行强制添加好友,从中牟利。在强制加粉这一环节,周某等人冒用用户的身份登录相关网络平台,采用不断更换IP地址、破解网站接口加密验证等技术手段,强行为用户账号添加好友,构成破坏计算机信息系统罪。可见,周某等人爬取用户个人信息的目的是为了给用户账号强制加粉并以此非法牟利,属于手段和目的的牵连犯,其行为同时构成侵犯公民个人信息罪和破坏计算机信息系统罪,应择一重罪处罚,即按照破坏计算机信息系统罪定罪处罚。综上,该案中,对周某等人应当按照非法获取计算机信息系统数据罪和破坏计算机信息系统罪数罪并罚。
关于该案定性,高艳东认为,对周某等人应按照非法获取计算机信息系统数据罪、侵犯公民个人信息罪和破坏计算机信息系统罪三罪数罪并罚。谢虹燕认为,该案中,周某等人的行为构成非法获取计算机信息系统数据罪和破坏计算机信息系统罪,应数罪并罚。汤隽认为,该案中,瑞智华胜及周某等人的行为均构成非法获取计算机信息系统数据罪。
来源:《人民检察》2019年第18期
推荐阅读