2018年,“明星蔡徐坤一条微博转发量过亿”事件引发舆论对流量造假的关注,2019年与之相关的“星援”APP被刑事调查,2021年初,中国裁判文书网公布了“星援”APP开发者蔡坤苗的判决书,其因提供侵入计算机信息系统程序罪一审获刑五年。虽然流量造假一事需规制,但本案真的适用此罪吗?
分析涉案的“星援”App是否构成此罪,就要先了解其工作原理。从判决书了解到的情况看:“星援”APP通过截取新浪微博服务器中对应账号的相关数据,后使用与其截取数据相同的网络数据格式向该服务器提交数据并完成与该服务器的交互,以实现不登录新浪微博客户端即可转发微博博文的功能以及自动批量转发微博博文的功能。
一:“星援”App的技术解析
1、不登录客户端即可转发的功能
判决书中载明,“星援”App是通过截取手段获取的新浪微博服务器中对应账号的相关数据。但根据鉴定意见,其“不登录用户端即可转发”的功能主要基于“星援”App获取了微博客户端与微博服务器之间的网络数据格式,并将该网络数据格式应用于“星援”App与微博服务器之间,使得微博服务器与“星援”App产生交互,从而实现“不登录即可转发”的功能。
2、自动批量转发功能
所谓的自动批量转发即为刷量,指通过技术技术,提高某产品或服务在互联网平台上的浏览量、销售额、分享次数、粉丝人数、或用虚假的账户提供虚假评论和信息等的一种流量造假行为。
从一审判决中可以看出,对于本案的入罪思路在于:“星援”App通过反编译手段获取新浪微博服务器与客户端之间的数据格式,使得不登录微博即可实现转发微博博文等功能。同时,从源代码中获取的密钥和特定算法使得“星援”App可以伪装成正常的客户端与服务器进行交互,且在转发微博时随即生成不同的硬件设备信息,避开了微博服务器对同一客户端连续请求的限制措施。而且,“星援”App要求用户登录账号需要关闭微博保护,登录保护作为保障微博账号安全的机制对微博登录过程中的数据交互起到了安全保护作用,“星援”App的做法使得该项安全保护措施被避开,故“星援”App具备避开计算机系统安全保护措施的功能。
二:本案判决中的几点误区
1、微博客户端不属于计算机信息系统
根据两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条之规定:“本解释所称‘计算机信息系统’和‘计算机系统’,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。”计算机信息系统的特征为“具备自动处理数据功能”以及属于“计算机、网络设备”等硬件设备。故本案涉及的计算机信息系统有二,其一是微博服务器,其二是用户计算机终端,即移动智能终端。而微博客户端,是移动智能终端作为计算机信息系统所安装的应用程序,需要依附于移动智能终端才可以运行。一般而言,数据的交互发生于计算机信息系统设备之间,所以微博的登录与转发,也是移动智能终端与微博服务器之间的交互。
2、“星援”App并未侵入或控制计算机信息系统
(图一)
上述图一是在正常状态下,用户转发微博的过程。其中用户通过用户客户端进行操作后,将相应请求通过网络发送给微博服务器。“网络数据格式”相当于客户端与服务器之间的密码,在密码对应的情况下,服务器响应请求转发操作。
(图二)
图二即为“星援”App参与下的转发过程。用户通过登录“星援”App,在发出转发请求后,“星援”App利用其获得的与微博服务器之间的“网络数据格式”向微博发出请求,微博在核对“网络数据格式”无误的情况下,响应转发请求完成操作。
根据“星援”App的技术原理,用户在运行“星援”App的环境下,登录“星援”App,绑定微博账号点击登录后,“星援”App会向微博服务器发出请求。然后,微博服务器收到请求后,会根据其预先设置的程序运行操作,只要传输回来的数据符合微博服务器的操作和管理程序,就可以完成相应操作,并将结果反馈至用户移动智能终端。
从图二可以看出:登录阶段,用户移动智能终端共有三次操作,申请登录、安全验证以及登录成功,在整个过程中,其原有功能没有受到实质性的破坏,始终处于正常运行的状态。服务器共有两次操作,收到登录请求、发送安全验证和验证完成,其功能也没有遭受任何侵害,属于正常运行,因此即便是不登录微博客户端,移动智能终端和微博服务器均未受到任何影响。
批量转发阶段,用户移动智能终端的操作有发出转发申请、完成转发操作、自动生成硬件设备信息、发出转发申请、转发成功。而服务器的操作有验证硬件设备信息、验证成功、接收转发申请、转发微博。
“星援”App实现不登录即转发、批量转发的过程,是依据密钥伪装身份完成操作。而密钥的获得,根据判决书显示,是通过反编译的手段获得的网络数据格式。反编译,即反向编译,也称还原编译,是指依据结果对目标程序进行逆向分析,从而推导出该程序的思路、原理、运行方式等要素,特殊情况下可推导出源代码。可见,反编译行为本身并未获取计算机信息系统数据,并不能被评价为避开或突破行为。
3、登录保护不属于计算机信息系统安全措施
所谓登录保护,也称作双重登录验证,是一套保障微博账户安全的机制,当双重登录验证开启后,用户在陌生手机登录时,需要验证用户信息。该登录保护是否可评价为计算机信息系统安全措施?
从保护对象看,该机制保护的是用户账号的安全。用户账号的获取是通过申请注册的方式从微博得来,在用户使用期间,该账号的使用权归用户所有。故为了保护用户的账号安全,才会开发验证功能,因此,归根到底,该机制的保护对象是微博账号的安全。
根据《中华人民共和国计算机信息系统安全保护条例》第三条,计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。可见所谓的计算机信息系统安全,是指计算机功能可以正常发挥,正常运行的安全。
可见上述登录保护并非微博服务器端安全运行的内容。同时,由于客户端的所有操作由用户完成,所以也没有影响客户端的安全。
三:“星援”App犯罪行为刑事规制的路径
当我们分析某一行为究竟该按照何种罪名来规制时,应当抓住行为的本质特征,着重分析行为究竟是侵犯了何种法益才值得科处刑罚。
一如“星援”App,其希望利用技术手段发挥微博大批量转载的功能,前提是用户能够经许可进入微博,依附于用户的账号而存在,而非侵入微博服务器所用。所谓控制,是指占有、管理或掌握,微博系由服务器端及大量的客户端组成,服务器是网络数据交换及处理的核心,“星缘”软件是通过冒充客户端数据欺骗服务器达到批量转达的效果,并不具有控制的属性。即便有控制作用,也只是对实际使用该转件的用户客户端产生作用,对于其他未使用该软件的客户端及服务器完全不产生任何占有、管理或掌控之作用,因此不宜认定为控制。
从“星援”App程序开发过程看,开发工作大体上可以划分为两个部分:前期部分工作是对外挂的主体进行分析,不同类型的外挂分析主体的内容也不相同。“星援”App中的自动批量转发等为自动完成大量繁琐和单一功能的行为而使用外挂时,其分析过程常是针对微博中的转发功能进行分析,以实现外挂自动批量转发。如外挂为实现不登陆即转发的功能时,其分析过程常是针对微博服务器与客户端之间通讯包数据的结构、内容以及加密算法的分析。因网络公司一般都不会公布其产品通讯包数据的结构、内容和加密算法等信息,所以对于此类外挂成功的关键在于是否能正确分析游戏包数据的结构、内容以及加密算法,“星援”App即通过反编译的手法对微博的思路、原理、运行方式等要素进行了而分析。后期部分工作主要是根据前期对软件的分析结果,使用大量的程序开发技术编写外挂程序以实现对软件的接入、控制或修改。
而根据《刑修十一》对刑法第二百一十七条侵犯著作权进行的修改:未经著作权人或者与著作权有关的权利人许可,故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施的。所以以侵犯著作权罪来定罪处罚,更符合罪刑法定原则。
作者:上海靖予霖律师事务所网络犯罪研究与辩护部主任陈沛文、上海靖予霖律师事务所海关刑事业务部副主任杨磊