上篇提到,全国和江苏省的首例“通过接码平台批量注册账号”的案例,只针对接码平台“批量注册”的软件程序进行了评价,并均以提供专门用于侵入、非法控制计算机信息系统的程序、工具罪进行定罪处罚。我国其他地区的法院认为,对于这类案件中的验证码,账号等信息,也应当进行刑法评价,并且通常以非法获取计算机信息系统数据罪,对涉案行为定罪处罚。但是,笔者团队认为,非法获取计算机信息系统数据罪作为近年来炙手可热,甚至有逐渐成为计算机犯罪类“口袋罪”地位的罪名,却在这类案件中的适用上呈现出张冠李戴、生搬硬套的尴尬局面。
判例三:(2020)苏13刑终23号
实体问题
1、验证码=数据?
数据与信息是两个不同概念,简单理解,数据是信息的具体表现形式,是信息的载体,信息需要经过数据化处理,转变成系统内的数据才能存储和运输,以公式化的语言表达“数据=信息+数据冗余”。
所谓信息,指的是数据中的可视化内容,以芒果TV平台近期热播的综艺节目《乘风破浪的姐姐》第一期视频为例,该视频的“信息”就是观众所看到的视频内容。此时该期视频若以数据形式存在,则指的是储存在芒果TV系统后台的一串,由冗余的计算机语言、文字、代码、字符等构成的内容。
结合本案,验证码系用于注册账号的可视化的注册验证信息,而非数字化的文本信息记忆处理、加工过程中冗余的计算机语言、代码、字符等,即涉案的验证码不属于数据。
再者,倘若认定验证码属于数据,还需要解决验证码的权属问题。举一例明之,手机登陆支付宝时,支付宝向手机发送的验证码,其权属应归于支付宝,还是应归于用户?显然,验证码的权属难以界定,其无明确的权属主体,不符合数据的特征,不属于数据。
2、验证码=身份认证信息?
《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条规定非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。
绝大多数的公诉观点认为,验证码系《解释》第一条第二款规定,其他身份认证信息。但是,从信息网络安全角度看,所谓的身份认证是指,用户要向系统证明访问系统的是他所声称的特定的用户。常见的身份认证的方法有4种,如口令、密码;USB Key,通行证;用户生物特征(如指纹、DNA、声音等)以及用户行为特征(如手写签字)。因此,从身份认证信息的功能角度看,其必须具有识别特定的人作用。在“批量注册账号”案件中,验证码的作用在于区分判断访问平台并使用平台功能的主体是“计算机”还是“人类”,而不是判断访问系统的主体是否是特定的注册用户。因此,其不具与动态口令(动态密码)相仿的有身份认证的功能。相反的是,在“批量注册账号”案件中,只有先行获取验证码,才能够实现成为平台的特定用户的目的。因此,验证码也不属于身份认证信息。
3、实时验证码技术亦非计算机信息系统的安全保护措施。
如前所述,验证码的作用在于区分判断访问平台并使用平台功能的主体是“计算机”还是“人类”,当前被普遍应用于各大网站、APP,来防止计算机的登录、灌水、刷票等行为。因此从本质上看,验证码技术仅是一项识别人机用户的计算机程序功能,并不具有拦截DDOS攻击、域名劫持等对计算机信息系统的攻击行为,不是计算机信息系统的安全防护措施。
4、本案中的接码软件、平台不具有侵入或与侵入相类似的技术功能,而仅能够接收相应的验证码信息,不能取得相应计算机信息系统的数据。
最高人民检察院第36号案例(卫某某非法获取计算机信息系统数据案)明确了,“非法侵入”的实质内涵是违背他人意愿进入他人计算机信息系统,既包括采取技术手段进入,也包括未征得他人同意或者授权进入。很明显,“侵入”取决于一个人是否虚拟地进入他人的计算机信息系统。
而就涉案软件和平台的功能而言,仅仅是对人类申请手机验证码行为的模仿,系模拟人机交互的过程,并未突破或绕过任何计算机信息系统的安全保护措施,进入计算机信息系统。这与通常具有侵入计算机信息系统,或者通过非法手段取得技术信息的“木马程序”、“后门软件”、“键盘跟踪技术”、“攻击病毒”、“开放端口”、“钓鱼软件”等恶意的计算机程序具有显著的差异。
根据案情,个人用户通过手机号,向百度糯米平台发送会员账号注册申请,则平台的注册程序自动向这些手机号发送验证码。此时,验证码是百度糯米平台根据提前设定的程序自动、自愿发送给申请注册的用户,并未违背平台的意愿,更不是“非法侵入”平台的行为。
5、涉案接码软件和平台接收验证码不同于“获取”,单纯取得信息而未复制数据的行为不属于“获取”。
根据通行的国际标准,ISO/IEC 27037:2012《信息技术-安全技术-电子数据识别、收集、获取和保存指南》中对“获取”的概念界定,所谓“获取(acquisition)”是指“在特定的数据集合中进行数据副本创建的过程(process of creating a copy of data within a defined set)”;同时对于该条款的注释亦明确“获取的内容是对于拟获取的数据信息的备份(The product of an acquisition is a potential digitai evidence copy)”。可见,“获取”的技术含义应当是获取者在主观意志的支配下对于既有数据的复制行为。
而本案中接码软件和平台的功能仅仅局限于取得验证码信息,而不具有复制、下载计算机信息系统数据的功能,不能等同于“获取”。因此,本案中平台既没有“侵入”行为也没有“获取”行为,不具备非法获取计算机信息系统数据罪的法定构成要件。
综上,笔者认为,本案错误地认定了“久码平台”所得到的验证码是属于数据,且是属于百度糯米的数据,也错误地判定了实时验证码技术的功能属性,更未将“获取”行为的计算机程序属性进行厘清。将本案定性为非法获取计算机信息系统数据罪尚有不妥,值得商榷。
判例四:(2020)豫0703刑初26号刑事判决书
实体问题:
1、“修改注册时的 IP 地址,避开腾讯注册系统封号风险”实质上是属于使用代理IP的行为,其主要目的是为了避免登陆行为被错误识别为恶意攻击,不属于“侵入”计算机信息系统。
最高人民检察院第36号案例(卫某某非法获取计算机信息系统数据案)明确了,“非法侵入”的实质内涵是违背他人意愿进入他人计算机信息系统,既包括采取技术手段进入,也包括未征得他人同意或者授权进入。很明显,“侵入”取决于一个人是否虚拟地进入他人的计算机信息系统。
首先,使用代理IP本身并不违法。代理IP服务系《电信业务分类目录》的B13国内互联网虚拟专用网业务(IP-VPN)的衍生业务,该业务的存在具有合法的行业基础。同时,代理IP的使用也是互联网行业获取信息的通用解决方案,诸如百度、腾讯、阿里巴巴等互联网企业,都存在使用代理IP的情况。因此衍生出了专门从事代理行业的企业,开发了许多产品,例如芝麻代理、飞猪IP等。
其次,互联网行业使用代理IP进行登陆访问的主要目的,是为了避免单一IP地址多次重复登陆的行为被服务器错误识别为网络攻击,进而触发服务器内部的保护措施,对相关IP地址进行封禁。
由于爬虫程序自动化访问的特点,当超过服务器承载量的爬虫对同一服务器进行访问时,会大量占据服务器的流量,进而影响正常用户的访问体验。因此,不少网站设计了相应的反爬虫程序,其目的在于避免短时间内爬虫机器人对于服务器流量的挤占,进而对于超量访问的IP地址进行封禁。
但由于这种反爬虫程序仅仅是在计算机信息系统登入之初进行IP地址的识别,规避反爬虫机制所带来的效果无非是让服务器将机器人识别为用户个人,而不具备任何“侵入”计算机信息系统的功能。因此,这种更换IP地址的模式,实质上不会影响第三方网站的权益,不具有任何意义上的不法性。
笔者以代理IP为关键词在百度中进行搜索,搜索结果显示,有许多专门从事代理IP业务的企业(如芝麻代理、飞猪IP、万变IP、uuhtpp等)相关企业均提供代理IP的服务。同时,点击查看相关代理IP企业的合作商户,可见包括百度、知乎、抖音、阿里巴巴在内的诸多知名互联网企业,均是相关代理IP企业的客户或合作方。可以证实通过代理IP技术进行站点访问,是为了避免单一IP重复访问被错误识别为网络攻击。
胡某使用涉案“小果”软件修改注册时的 IP 地址,是为了避免注册行为被识别为攻击腾讯网站的行为。且腾讯网站开启IP识别,本质是为了防止短时间内爬虫机器人对于服务器流量的挤占,进而对于超量访问的IP地址进行封禁。根据案情,胡某通过购买的验证码,使用“小果软件”访问腾讯公司的注册程序,而QQ号码是腾讯平台根据提前设定的程序自动、自愿发送给申请注册的用户,因此涉案批量注册QQ号的行为也未违背平台的意愿,更不是“非法侵入”平台的行为。
2、QQ号码不是数据而是数字标识。
根据腾讯公司公示的《QQ号码规则》第二条【QQ号码的性质】规定,QQ号码是腾讯按照本规则授权注册用户用于登录、使用腾讯的软件或服务的数字标识。
如前所述,“数据=信息+数据冗余”。信息指的是数据中的可视化内容。很明显,QQ号码不具备数据的特征,且腾讯公司已经明确了QQ号码的属性,QQ号码并不属于数据。
3、涉案批量注册的行为不应当被评价位“获取”,单纯取得信息而未复制数据的行为不属于“获取”。
根据通行的国际标准,ISO/IEC 27037:2012《信息技术-安全技术-电子数据识别、收集、获取和保存指南》中对“获取”的概念界定,所谓“获取(acquisition)”是指“在特定的数据集合中进行数据副本创建的过程(process of creating a copy of data within a defined set)”;同时对于该条款的注释亦明确“获取的内容是对于拟获取的数据信息的备份(The product of an acquisition is a potential digitai evidence copy)”。可见,“获取”的技术含义应当是获取者在主观意志的支配下对于既有数据的复制行为。
而本案中小果软件的功能就是使用代理IP批量获得QQ号数字标识,而不具有复制、下载计算机信息系统数据的功能,不能等同于“获取”。因此,本案中平台既没有“侵入”行为也没有“获取”行为,不具备非法获取计算机信息系统数据罪的法定构成要件。
综上,笔者认为,本案错误认定胡某使用的代理IP技术是非法获取计算机信息系统数据罪中的“侵入”行为,也错误认定了QQ号的属性,更未将“获取”行为的计算机程序属性进行理清。将本案定性为非法获取计算机信息系统数据罪尚有不妥,值得商榷。
上述两个案例,笔者团队集中讨论了4个问题,即什么是“数据”,什么是《解释》规定的“身份认证信息”,什么是“侵入”行为,什么是“获取”行为。要判定一个行为是否涉嫌构成非法获取计算机信息系统数据罪,必然要评价涉案行为是否满足上述四项构罪要素。很显然,在“批量注册账号”案件中,仅上述两个案例,在四个构罪要素上都存在一定的“类推”适用问题。笔者团队认为,计算机类犯罪罪名虽然有限,但罪名规制范畴也是界限分明。司法实践中对于“批量注册账号”类案件,却出现了以不同罪名评价同类行为的问题,本就反应出该类案件的刑法评价存在实践争议。笔者团队认为,司法机关虽然以严厉打击计算机犯罪行为的初衷,但在具体案件中也不能为了定罪而“类推”适用某一罪名进行定罪处罚。
作者:上海靖予霖律师事务所、网络犯罪研究与辩护部主任 陈沛文;靖霖绍兴所、专职律师 黄双双
