黑客攻击案纪实(第68号叶源星张剑秋提供侵入计算机信息系统程序)(1)

检察机关指导性案例是由最高人民检察院统一发布的,案件处理结果已经发生法律效力,办案程序符合法律规定,在事实认定、证据运用、法律适用、政策把握、办案方法等方面对办理类似案件具有指导意义,体现检察机关职能作用,取得良好政治效果、法律效果和社会效果的“精品案例”。近年来,最高人民检察院对检察机关指导性案例作了突出检察特色的“改版”,进一步加强了指导性案例的业务指导功能与宣教普法机能,得到各方认同。加强对指导性案例的学习应用,充分发挥指导性案例对检察办案工作的示范引领作用,对于促进检察机关严格公正司法,保障法律统一正确实施具有重大意义。北京市人民检察院第一分院将于近期推出“检察机关指导性案例精释”系列线上“微课”,深入剖析指导性案例的典型意义,创新推进业务建设,促进办案质效的全面提升。

第69讲

黑客攻击案纪实(第68号叶源星张剑秋提供侵入计算机信息系统程序)(2)

检例第68号“叶源星、张剑秋提供侵入计算机信息系统程序、谭房妹非法获取计算机信息系统数据案”是最高人民检察院于2020年4月发布的第十八批指导性案例之一,也是全国首例对“打码撞库”①行为做出定性的案件。

→→点击查看 最高人民检察院发布第十八批指导性案例

“打码撞库”行为是伴随着信息网络时代的发展产生的一种新型犯罪方式,并逐渐形成了黑色产业链条,涉案环节多、侵害程度高,有着较为严重的社会危害性。但在以往的司法实践中,囿于对“撞库”等信息网络技术的认识不够深入,在信息网络犯罪的司法认定中产生了诸多困境。因此,检例68号重点解答了“打码”“撞库”行为的认定问题,并对《刑法》第二百八十五条提供侵入计算机信息系统程序罪的构成要件展开了深入讨论,对于司法机关处理类似案件具有重要的借鉴意义和参考价值。

导 读

一、提供侵入计算机信息系统程序罪的认定

(一)“专门用于侵入计算机信息系统程序”的认定标准

(二)行为方式的认定

(三)主观方面的认定

二、“打码”行为的认定问题

三、信息网络犯罪中司法鉴定机构的资质审查

一、提供侵入计算机信息系统程序罪的认定

在本案中,谭某利用“小黄伞”软件撞库获得大量网络用户信息,构成非法获取计算机信息系统数据罪应无异议,难点在于叶某、张某二人是否构成提供侵入计算机信息系统程序罪,以及对该罪的构成要件应如何把握的问题。

(一)“专门用于侵入计算机信息系统程序”的认定标准

根据《刑法》第二百八十五条第三款规定,提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,成立本罪。简言之,成立该罪的前提是提供了“专门用于侵入计算机信息系统的程序”(以下简称“专门程序”)。

2011年两高联合发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)(以下简称《解释》),对“专门程序”这一概念作出了较为明确的界定:

结合立法机关编写的其他相关论著,“专门用于侵入计算机信息系统的程序”一般可以理解为专门用于非法获取他人登录网络应用服务、计算机系统的账号、密码等认证信息以及智能卡等认证工具,并且在操作过程中可以绕过计算机系统的防护措施,实现非法入侵目的的计算机程序,且这种程序只能用于实施非法侵入或非法控制计算机信息系统的用途。②从逻辑上看,这种“专门程序”与普通程序的区别之处在于其具有特定的犯罪用途和犯罪目的,其他既可用于违法犯罪目的、又可用于合法目的的“中立程序”,则不属于《解释》第二条所规制的“专门程序”的范畴。

也就是说,“专门”一词是对计算机程序本身的用途所作出的限定,如果某款计算机程序在编写之初便只具有非法用途,是为违法侵入计算机系统、非法获取数据而专门设计的,排除其他具有合法用途的可能,就可以将其称之为“专门程序”。

结合《解释》第二条,“专门程序”还须具备“避开或者突破计算机信息系统安全保护措施”的功能。还需强调的是,这种功能必须是由该程序自身具备的,不需借助其他程序或设备加以辅助。事实上,目前许多计算机程序在人为设计下均可以做到避开或突破安全保护措施,实现远程控制或者获取数据的目的,其中也不乏合法程序的存在。例如许多商业系统经常采用的一些借助远程控制技术实现计算机系统维护的“中立程序”,③这些程序既可用作合法用途,也可用于非法目的。因此,考虑到这些合法程序的存在,《解释》第二条着重强调了违法程序的功能要件,就是为了防止将其他中立程序纳入本罪的规制范围。

通常情况下,合法的远程控制程序具有“使用前获得授权”“使用中操作规范”的特征,而非法的“专门程序”则会在未经授权的情况下擅自逃避杀毒系统和防火墙、自动关停计算机杀毒程序,或者采取其他手段(例如“打码”等方式)故意绕开安全验证系统,实施数据的非法获取。也就是说,未获得授权是“专门程序”功能上的要求,也是《解释》第二条对非法获取数据罪要求的违法性要件。

综上所述,若要认定某一计算机程序为“专门用于侵入计算机信息系统的程序”,需要符合以下几个要件:

在本案中,由叶某编写开发的“小黄伞”程序具有批量校验并非法获取用户账号、密码的功能。在实施撞库的过程中,为防止被电商平台的防护措施识别,“小黄伞”还具备自动拨号、自动切换IP地址的功能,能有效避开电商平台的防护措施,也可以通过码工的“打码”行为,对验证码进行识别,从而顺利绕过电商平台的验证码识别防护措施。一旦成功登陆用户账号,在未经授权的情况下,“小黄伞”就能自动抓取该账号中的用户信息,包括账号星级、注册时间、认证情况等信息,留待日后自行使用或售卖。可见,“小黄伞”的设计就是为了实现非法获取账号信息的目的,不具有被合法使用的可能性,应属于《解释》第二条规定的“专门用于侵入计算机信息系统的程序”。

(二)行为方式的认定

根据刑法二百八十五条第三款规定,提供用于侵入计算机信息系统程序罪的行为方式包含两种,一种是提供专门用于侵入计算机信息系统的程序(即“专门程序”),另一种是明知他人实施侵入、非法控制计算机信息系统的违法行为而为其提供程序、工具。

在明知他人实施侵入、非法控制计算机信息系统的违法行为而为其提供程序、工具的情形下,本罪的成立并不要求行为人提供的程序属于上文提到的“专门程序”,即不以“专用性”为必要,该程序在可以非法侵入计算机系统的同时也可能包含其他正当用途,仅在非法使用时才会产生危害后果。因此,为了防止刑法对这种“中立帮助行为”的不当规制与对信息技术发展的过分限制,实践中对于此类行为方式的认定应当严格把握。

对于故意为他人提供“专门程序”侵入计算机信息系统非法获取数据,由于该违法程序的存在本身就有危害信息网络安全的风险,且主观恶性较大,理应受到刑法规制。因此只要行为人将“专门程序”提供给他人,无论被提供者是否实际使用,是否进行后续的违法行为,均不影响犯罪成立。在成立本罪的意义上,如若行为人提供的是“非专门程序”,则须提供者明知被提供者会将该程序用于违法活动,仍然为其提供帮助,且该程序最终被实际使用,并产生一定的社会危害性时,提供行为才具有可罚性。⑤也就是说,为他人提供“专门程序”侵入计算机系统的犯罪不以危害结果的发生为必要,属于行为犯;而提供“非专门程序”的行为则以危害结果为评价基础,属于结果犯。

(三)主观方面的认定

本案中,叶某、张某已达到“明知行为会发生危害后果且希望其发生”的程度,属于直接故意,这一点不必赘言。从刑法第二百八十五条第三款的规定来看,本罪并未对犯罪故意的类型作出限定。但关于本罪的主观方面是否包含间接故意,尚存在一定争议。目前只有少数观点认为不可能存在提供者将违法程序放任他人占有使用的情况,因而无法成立间接故意。⑥但主流观点和司法实践均未对本罪的主观故意进行限制解释,而是承认本罪存在间接故意的可能性。本文也认同这一观点,间接故意不应被排除于本罪的构成要件之外。

这是因为,从本罪的特殊性来看,如果将主观方面仅限定为直接故意,就为不法分子提供了可乘之机,可能出现不法分子为规避刑法制裁,刻意不去了解被提供者会将该程序用于何种用途而只负责设计非法程序的情况,此时,提供者对下游犯罪的危害性虽不具备希望其发生的直接故意,但受其间接故意支配的“提供”行为同样会产生值得规制的社会危害。

此外,在司法实践中,极有可能出现行为人并非涉案程序的直接设计者,而是供货者的情况。由于涉案的非法程序属于计算机领域的专业程序,需要具有相当的专业知识储备才能了解掌握,很可能提供者(供货者)对其只是一知半解,无法判别自己的提供行为会造成怎样的危害,对下游犯罪的危害后果仅持以“听之任之”的态度。在这种情况下,如果将间接故意排除于本罪的成立范围之外,无疑是对提供者违法行为的放纵。由此可见,本罪在主观方面上应当包含间接故意的情形。

二、“打码”行为的认定问题

“打码”行为是伴随着信息技术发展出现的新型网络犯罪方式,是为批量破解验证码、非法获取用户信息而采取的辅助行为。用户登录账号时被要求输入验证码在如今是十分常见的安全保障措施,许多网站为了防止遭受非法程序的攻击,会通过使用图片验证码的方式防止计算机对验证码进行自动识别,以规避利用程序实施的“撞库”行为。因此,为了实现“撞库”,一些不法分子通过雇佣劳动力对验证码批量进行肉眼识别,再人工输入到“撞库”的程序中。在本案中,张某向叶某提供的“打码”服务即属于这一类型。显然,“打码”行为为提供侵入、非法控制计算机信息系统程序、工具罪乃至非法侵入计算机信息系统罪等网络犯罪提供了帮助行为,应当认定为相关犯罪的共犯。因此,在检例68号中,检察机关对共同犯罪人之间的犯意联络进行了重点审查。

就检例68号来看,本案作为全国首例“打码撞库”案,将涉案人张某的“打码”行为最终定性为“提供侵入计算机信息系统程序罪”,将其纳入了刑法规制的范畴。这对于“打码”行为的定性问题提供了处理思路和逻辑上的参考借鉴。⑦

本案中叶某属于非法程序的设计者和提供者,而张某则是为叶某的非法程序提供打码服务的“码工”,法院基于张某与叶某之间的QQ聊天记录认定其二人之间存在共同犯罪故意,最终按照共同犯罪处理,判定叶张二人同时构成提供侵入计算机信息系统程序罪,系共同犯罪。

值得注意的是,《刑法修正案(九)》在刑法二百八十七条中第二款增设了帮助信息网络犯罪活动罪,⑧规定只要行为人明知他人利用信息网络实施犯罪,仍为其犯罪行为提供帮助且情节严重的,均成立该罪。一般认为,该罪属共犯正犯化的立法模式,为信息网络犯罪的帮助行为提供了一个独立罪名,在上下游犯罪之间不存在共同犯意时起到兜底条款的作用,并通过第三款对想象竞合的处理方式作出了规定,强化了对帮助信息网络犯罪活动行为的处罚力度。

一般来说,“打码”行为为信息网络犯罪活动提供了重要帮助,符合帮助信息网络犯罪活动罪的构成要件。但同时,如前所述,“打码”行为也系具体网络犯罪的帮助行为,构成具体网络犯罪行为的共犯。因此,在司法实践中,“打码”行为通常按照具体网络犯罪的共犯来处理,在有证据证明共同犯罪故意时不再以帮助信息网络犯罪活动罪论处。

三、信息网络犯罪中司法鉴定机构的资质审查

上文主要分析了提供侵入计算机信息系统程序罪的部分实体认定问题,而除实体问题外,检例68号还着重强调了司法鉴定机构资质的审查问题。

程序正义是实现实体正义的保障。在提供侵入计算机信息系统程序案件的办理过程中,鉴定意见的作用在于由有资质的鉴定机构运用专业知识全面审查涉案程序的运行情况,查明该程序是否具有自动变更IP地址等避开计算机安全防护措施的功能,是认定行为对象的直接证据。在检例68号所涉案件的庭审过程中,叶张二人的辩护人对鉴定机构的资质提出了质证意见,以检察机关未提供省级以上有资质机构的检验结论为由主张据以定罪的证据不足。对于这一问题,指导案例给予了着重回应。

信息网络犯罪的专业性和技术性直接决定了相关案件的办理对鉴定意见的质量要求十分严格,也对司法鉴定机构的资质提出了更高的要求。根据《解释》第十条规定,当难以认定涉案程序是否属于“专门用于侵入、非法控制计算机信息系统的程序、工具”时,应当委托省级以上“负责计算机信息系统安全保护管理工作的部门”检验。

对此,最高法、最高检、公安部联合出台的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(法发〔2016〕22号)规定:“对电子数据涉及的专门性问题难以确定的,由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具报告,对于人民检察院直接受理的案件,也可以由最高人民检察院指定的机构出具报告”。

由此可见,相关文件对于鉴定“专门用于侵入、非法控制计算机信息系统的程序、工具”的鉴定机构资质已经有了较为明确的规定,且要求标准较高,在司法实践中,一般应交由省级以上的机关进行检验鉴定,且以公安机关为主。

尾注:

①“打码”行为又称“打码验证”,是一种采用非法手段批量输入验证码的行为。验证码是目前一种区别人机行为、验证用户身份的重要工具,也是对用户信息安全的一重保障。“打码”行为能够帮助除用户外的其他人突破验证码的安全防线,未经授权非法获取用户信息,为下一步的违法行为提供帮助,具有极大的社会危害性。“撞库”是指黑客收集“打码”之后泄露出的用户信息,利用账户使用者相同的注册习惯,尝试批量登录相关网站,从而非法获取可登录的用户信息的行为。

②参见全国人大常委会法工委刑法室编:《中华人民共和国刑法条文说明、立法理由及相关规定》,北京大学出版社2009年版,第592页

③喻海松:《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的理解与适用,载《人民司法》,2011年第19期,24-32页

④参见项宗友:《非法获取计算机信息系统数据、非法控制计算机信息系统罪研究》,西南政法大学硕士学位论文,2011年

⑤参见易琦,梁燕宏:《提供侵入、非法控制计算机信息系统程序、工具罪的司法认定》,载《中国检察官》,2018年第4期,第59页

⑥参见苏家成:《提供侵入、非法控制计算机信息系统程序、工具罪的认定》,载《人民司法》2013年12期,64-68页

⑦参见王茹仪:《“打码”行为的刑法定性——破解网络安全验证系统帮助行为的一体化定罪思路》,中国政法大学硕士学位论文,2020年

⑧《刑法》第二百八十七条第二款:“帮助信息网络犯罪活动罪:明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络储存、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金”。

,