• 2022-05
  • 18
陈沛文、杨磊:外挂技术的实务分析与辩护策略选择(一)——“星援”App涉刑案罪名适用的刑事评论
2018年,“明星蔡徐坤一条微博转发量过亿”事件引发舆论对流量造假的关注,2019年与之相关的“星援”APP被刑事调查,2021年初,中国裁判文书网公布了“星援”APP开发者蔡坤苗的判决书,其因提供侵入计算机信息系统程序罪一审获刑五年。虽然流量造假一事需规制,但本案真的适用此罪吗? 分析涉案的“星援”App是否构成此罪,就要先了解其工作原理。从判决书了解到的情况看:“星援”APP通过截取新浪微博服务器中对应账号的相关数据,后使用与其截取数据相同的网络数据格式向该服务器提交数据并完成与该服务器的交互,以实现不登录新浪微博客户端即可转发微博博文的功能以及自动批量转发微博博文的功能。

2018年,“明星蔡徐坤一条微博转发量过亿”事件引发舆论对流量造假的关注,2019年与之相关的“星援”APP被刑事调查,2021年初,中国裁判文书网公布了“星援”APP开发者蔡坤苗的判决书,其因提供侵入计算机信息系统程序罪一审获刑五年。虽然流量造假一事需规制,但本案真的适用此罪吗?

分析涉案的“星援”App是否构成此罪,就要先了解其工作原理。从判决书了解到的情况看:“星援”APP通过截取新浪微博服务器中对应账号的相关数据,后使用与其截取数据相同的网络数据格式向该服务器提交数据并完成与该服务器的交互,以实现不登录新浪微博客户端即可转发微博博文的功能以及自动批量转发微博博文的功能。

 一:“星援”App的技术解析

1、不登录客户端即可转发的功能

判决书中载明,“星援”App是通过截取手段获取的新浪微博服务器中对应账号的相关数据。但根据鉴定意见,其“不登录用户端即可转发”的功能主要基于“星援”App获取了微博客户端与微博服务器之间的网络数据格式,并将该网络数据格式应用于“星援”App与微博服务器之间,使得微博服务器与“星援”App产生交互,从而实现“不登录即可转发”的功能。

2、自动批量转发功能

所谓的自动批量转发即为刷量,指通过技术技术,提高某产品或服务在互联网平台上的浏览量、销售额、分享次数、粉丝人数、或用虚假的账户提供虚假评论和信息等的一种流量造假行为。

从一审判决中可以看出,对于本案的入罪思路在于:“星援”App通过反编译手段获取新浪微博服务器与客户端之间的数据格式,使得不登录微博即可实现转发微博博文等功能。同时,从源代码中获取的密钥和特定算法使得“星援”App可以伪装成正常的客户端与服务器进行交互,且在转发微博时随即生成不同的硬件设备信息,避开了微博服务器对同一客户端连续请求的限制措施。而且,“星援”App要求用户登录账号需要关闭微博保护,登录保护作为保障微博账号安全的机制对微博登录过程中的数据交互起到了安全保护作用,“星援”App的做法使得该项安全保护措施被避开,故“星援”App具备避开计算机系统安全保护措施的功能。

二:本案判决中的几点误区

1、微博客户端不属于计算机信息系统

根据两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条之规定:“本解释所称‘计算机信息系统’和‘计算机系统’,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。”计算机信息系统的特征为“具备自动处理数据功能”以及属于“计算机、网络设备”等硬件设备。故本案涉及的计算机信息系统有二,其一是微博服务器,其二是用户计算机终端,即移动智能终端。而微博客户端,是移动智能终端作为计算机信息系统所安装的应用程序,需要依附于移动智能终端才可以运行。一般而言,数据的交互发生于计算机信息系统设备之间,所以微博的登录与转发,也是移动智能终端与微博服务器之间的交互。

2、“星援”App并未侵入或控制计算机信息系统

(图一)

上述图一是在正常状态下,用户转发微博的过程。其中用户通过用户客户端进行操作后,将相应请求通过网络发送给微博服务器。“网络数据格式”相当于客户端与服务器之间的密码,在密码对应的情况下,服务器响应请求转发操作。

(图二)

图二即为“星援”App参与下的转发过程。用户通过登录“星援”App,在发出转发请求后,“星援”App利用其获得的与微博服务器之间的“网络数据格式”向微博发出请求,微博在核对“网络数据格式”无误的情况下,响应转发请求完成操作。

根据“星援”App的技术原理,用户在运行“星援”App的环境下,登录“星援”App,绑定微博账号点击登录后,“星援”App会向微博服务器发出请求。然后,微博服务器收到请求后,会根据其预先设置的程序运行操作,只要传输回来的数据符合微博服务器的操作和管理程序,就可以完成相应操作,并将结果反馈至用户移动智能终端。

从图二可以看出:登录阶段,用户移动智能终端共有三次操作,申请登录、安全验证以及登录成功,在整个过程中,其原有功能没有受到实质性的破坏,始终处于正常运行的状态。服务器共有两次操作,收到登录请求、发送安全验证和验证完成,其功能也没有遭受任何侵害,属于正常运行,因此即便是不登录微博客户端,移动智能终端和微博服务器均未受到任何影响。

批量转发阶段,用户移动智能终端的操作有发出转发申请、完成转发操作、自动生成硬件设备信息、发出转发申请、转发成功。而服务器的操作有验证硬件设备信息、验证成功、接收转发申请、转发微博。

“星援”App实现不登录即转发、批量转发的过程,是依据密钥伪装身份完成操作。而密钥的获得,根据判决书显示,是通过反编译的手段获得的网络数据格式。反编译,即反向编译,也称还原编译,是指依据结果对目标程序进行逆向分析,从而推导出该程序的思路、原理、运行方式等要素,特殊情况下可推导出源代码。可见,反编译行为本身并未获取计算机信息系统数据,并不能被评价为避开或突破行为。

3、登录保护不属于计算机信息系统安全措施

所谓登录保护,也称作双重登录验证,是一套保障微博账户安全的机制,当双重登录验证开启后,用户在陌生手机登录时,需要验证用户信息。该登录保护是否可评价为计算机信息系统安全措施?

从保护对象看,该机制保护的是用户账号的安全。用户账号的获取是通过申请注册的方式从微博得来,在用户使用期间,该账号的使用权归用户所有。故为了保护用户的账号安全,才会开发验证功能,因此,归根到底,该机制的保护对象是微博账号的安全。

根据《中华人民共和国计算机信息系统安全保护条例》第三条,计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。可见所谓的计算机信息系统安全,是指计算机功能可以正常发挥,正常运行的安全。

可见上述登录保护并非微博服务器端安全运行的内容。同时,由于客户端的所有操作由用户完成,所以也没有影响客户端的安全。

三:“星援”App犯罪行为刑事规制的路径

当我们分析某一行为究竟该按照何种罪名来规制时,应当抓住行为的本质特征,着重分析行为究竟是侵犯了何种法益才值得科处刑罚。

一如“星援”App,其希望利用技术手段发挥微博大批量转载的功能,前提是用户能够经许可进入微博,依附于用户的账号而存在,而非侵入微博服务器所用。所谓控制,是指占有、管理或掌握,微博系由服务器端及大量的客户端组成,服务器是网络数据交换及处理的核心,“星缘”软件是通过冒充客户端数据欺骗服务器达到批量转达的效果,并不具有控制的属性。即便有控制作用,也只是对实际使用该转件的用户客户端产生作用,对于其他未使用该软件的客户端及服务器完全不产生任何占有、管理或掌控之作用,因此不宜认定为控制。

从“星援”App程序开发过程看,开发工作大体上可以划分为两个部分:前期部分工作是对外挂的主体进行分析,不同类型的外挂分析主体的内容也不相同。“星援”App中的自动批量转发等为自动完成大量繁琐和单一功能的行为而使用外挂时,其分析过程常是针对微博中的转发功能进行分析,以实现外挂自动批量转发。如外挂为实现不登陆即转发的功能时,其分析过程常是针对微博服务器与客户端之间通讯包数据的结构、内容以及加密算法的分析。因网络公司一般都不会公布其产品通讯包数据的结构、内容和加密算法等信息,所以对于此类外挂成功的关键在于是否能正确分析游戏包数据的结构、内容以及加密算法,“星援”App即通过反编译的手法对微博的思路、原理、运行方式等要素进行了而分析。后期部分工作主要是根据前期对软件的分析结果,使用大量的程序开发技术编写外挂程序以实现对软件的接入、控制或修改。

而根据《刑修十一》对刑法第二百一十七条侵犯著作权进行的修改:未经著作权人或者与著作权有关的权利人许可,故意避开或者破坏权利人为其作品、录音录像制品等采取的保护著作权或者与著作权有关的权利的技术措施的。所以以侵犯著作权罪来定罪处罚,更符合罪刑法定原则。



作者:上海靖予霖律师事务所网络犯罪研究与辩护部主任陈沛文、上海靖予霖律师事务所海关刑事业务部副主任杨磊



相关律师介绍
陈沛文
陈沛文
上海靖予霖律师事务所 高级合伙人
网络犯罪研究与辩护部主任
靖霖疑难案件指导委员会秘书长
靖霖业务指导委员会副主任
核心专长:⽹络犯罪辩护与⻛险防范数据犯罪与数据合规区块链犯罪与合规刑事控告与涉刑资产处置企业与企业家刑事⻛险防范及刑事合规⾦融犯罪辩护与⻛险防范
相关案例更多 
黄某某非法吸收公众存款案
  • 黄某某非法吸收公众存款案
  • 【案件概况】由葛某实际控制的中新房东方控股公司于2015年9月以承债方式,收购了上海心茗金融信息服务有限公司90%的股份,由心茗公司公开向社会吸收资金,用于中新房公司的运营。随后,葛某又成立了中合商业保理有限公司并担任法人,将中合保理作为心茗公司与中新房公司进行融资的资金监管方和资产匹配方。2016年3月2日,葛某考虑到中合保理与中新房公司法人同为其本人,不利于心茗公司的融资,故指令其助理黄某某作为中合保理公司的挂名法人。黄某某领取固定工资,平时主要工作为安排葛某出行及按照指示与客户对接。2017年10月,心茗公司兑付不能,按照葛某的要求,黄某某以“副总”的身份出面安抚投资人、协商兑付方案。11月3日,黄某某在与投资人会议协商后被扭送至公安机关,本案案发。
2022-05-18
了解更多 
严某某非法吸收公众存款案
  • 严某某非法吸收公众存款案
  • 【案件概况】杭州小算盘实业有限公司开发的“小算盘金服”平台,系为出借人和借款人搭建的信贷撮合平台。小算盘公司在平台上发布投资理财信息,吸引出借人在平台上购买理财产品,出借人充值至小算盘公司在第三方支付机构开立的账户或银行存管账户,借款人将募集资金提现使用后,将资金还款杭州小算盘实业有限公司。王某某、严某某于2015年5月收购小算盘实业有限公司并实际控制该公司。李某某于2015年8月入职杭州小算盘实业有限公司任营销总监,后任该公司法人代表、CEO。李某某明知杭州小算盘实业有限公司系富来森有限公司法人代表王某某实际控制的情况下,使用湖州融盛资产管理有限公司、杭州百得胜欧贸易有限公司等富兰富莱森关联企业为借款人协助实际控制人王某某、严某某在“小算盘金融”平台发布标的向出借人借款。同时李某某使用湖州融盛资产管理有限公司、丽水元通汽车租赁有限等十家非富来森关联企业为借款人在“小算盘”金融平台发布标的向出借人借款。在李某某负责经营阶段,“小算盘金融”平台共计收到出借人充值金额54766544.73元人民币,截至目前净流出到上述16个借款人二23868096.67元人民币。李某某于2017年6月以其担任法人代表的上海软林金融信息服务有限公司与施某某签订《股权转让协议》,以2350万元人民币出让杭州小算盘实业有限公司100%股权,并使用股权转让款填补其经营期间产生的资金缺口。
2022-05-18
了解更多 
魔蝎科技侵犯公民个人信息案
  • 魔蝎科技侵犯公民个人信息案
  • 【案件概况】魔蝎科技的爬虫程序即代替用户进入其个人账户,利用各类爬虫技术,爬取(复制)上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信情况,并从网贷平台获取每笔0.1元至0.3元不等的费用。截至2019年9月案发时,以明文形式非法保存的个人贷款用户各类账号和密码条数多达2000万余条。
2022-05-18
了解更多 
戈某某提供侵入、控制计算机信息系统程序、工具案
  • 戈某某提供侵入、控制计算机信息系统程序、工具案
  • 【案件概况】戈某某自行研发某VPN软件,并向他人出租、出售,收取相应费用。至案发时,经统计其支付宝等流水约为100万元。后公安机关以提供侵入、控制计算机信息系统工具、程序罪立案侦查。
2022-05-18
了解更多 
王某某帮助信息网络犯罪活动案
  • 王某某帮助信息网络犯罪活动案
  • 【案件概况】2020年10月,沈某某受李某所托与沈某妻子王某某共同办理了六张银行卡,并将六张银行卡交由犯罪嫌疑人李某使用,未履行保管义务,致上述银行卡被用于电信网络诈骗。经查,沈某某名下三张银行卡总流水共计824余万元,王某某名下的三张银行卡总流水共计1224余万元。其中其名下尾号为4471的农业银行卡全国串并案1起,涉案金额3999元。
2022-05-18
了解更多 
葛某某非法获取计算机信息系统数据案
  • 葛某某非法获取计算机信息系统数据案
  • 【案件概况】2017年底,潘某某、季某通过网上认识,先后合作开设“土豆”、“芒果云”接码平台,由季某负责写网站代码,潘某某负责营销、推广业务,“土豆”(“橙子”)、“芒果云”平台通过收取注册会员预存款,并向注册会员提供由卡商接入平台的不特定手机号、手机验证码服务,并以每条验证码0.06-0.1元不等的价格,在预存款中扣除的方式进行盈利。葛某某某以“土豆”(“橙子”)、“芒果云”接码平台普通注册会员身份,向平台事先存入资金、非法获取手机号、验证码口令等数据资源,用于注册各类网络账号出售。葛某某某在“土豆”(“橙子”)接码平台充值支付手机号、短信验证码数据资源费用46110元,获取手机号、短信验证码用于注册网络账号出售后获利约7万元。
2022-05-18
了解更多 
相关文章更多 
时空·行为·后果 —— 对重大责任事故罪客观要件三要素的思考
  • 时空·行为·后果 —— 对重大责任事故罪客观要件三要素的思考
  • 本文以重大责任事故罪客观要件三要素出发,分析此罪对时空、行为、后果的本质要求,以期为司法实践提供些许参考。
2022-07-25
了解更多 
出海企业刑事合规(五): 美国法中窃取商业秘密罪的特殊要件
  • 出海企业刑事合规(五): 美国法中窃取商业秘密罪的特殊要件
  • 本文将具体分析美国法对“涉案商业秘密与州际贸易或外国商业的产品或服务有关”这一要件。
2022-07-18
了解更多 
徐宗新、陈沛文:网络犯罪辩护的内功心法 —— 读《网络刑法原理》有感
  • 徐宗新、陈沛文:网络犯罪辩护的内功心法 —— 读《网络刑法原理》有感
  • 《网络刑法原理》充分结合了刑法理论与实践,立足于网络犯罪的特性,深度剖析了网络刑法的理解与适用。对于网络犯罪的刑事辩护实务具有较高的参考与借鉴价值,值得深入阅读与学习。
2022-07-14
了解更多 
徐宗新、洪凌啸:大辩护与小辩护 —— 读赵运恒大律师新著《大辩护》有感
  • 徐宗新、洪凌啸:大辩护与小辩护 —— 读赵运恒大律师新著《大辩护》有感
  • 《大辩护,我和我的刑辩故事》是一本刑辩工作指导书,又是一本经典案例集,还是一场精彩故事会,读起来津津有味,让我们深受启发,奉上一篇读后感。
2022-07-14
了解更多 
出海企业刑事合规(四): 美国法对窃取商业秘密罪心理要件的认定
  • 出海企业刑事合规(四): 美国法对窃取商业秘密罪心理要件的认定
  • 在《出海企业刑事合规(一):美国法中的“窃取商业秘密罪”——立法简介》中,笔者结合海能达案的基本情况介绍了美国法对商业秘密保护和“窃取商业秘密罪”的相关立法,总结出“窃取商业秘密罪”的核心要件(element of an offense),本文将具体分析美国法如何认定窃取商业秘密罪的心理要件,即“行为人蓄意或明知”。
2022-07-11
了解更多 
出海企业刑事合规(三):美国法对窃取商业秘密行为的认定
  • 出海企业刑事合规(三):美国法对窃取商业秘密行为的认定
  • 窃取商业秘密罪的第一类行为包括窃取、诈骗、藏匿等,该类行为本身便具有明显的不法特征,因此对于此类行为的认定重点在于客观事实。需要指出,如之前商业秘密的定义中提到,商业秘密的本质是信息,其载体可能是有形的亦可能是无形的。
2022-07-11
了解更多 
 客服热线

微信公众号