计算机信息系统、信息数据犯罪合规与辩护实践要点解析[转载]
编者按:
随着大数据应用技术的快速发展,“数据”也成为了犯罪分子“争相追逐”的对象。网络爬虫在互联网数据产品研发、网络舆情监控等方面发挥了越来越重要的作用,但其滥用也频频招致监管部门的处罚,甚至引发了多起刑事犯罪案件。
计算机信息系统类刑事案件是指《刑法》第285条、第286条等规定的以计算机信息系统或信息数据为对象的各类犯罪。针对计算机信息系统、信息数据的犯罪形态不断变化,呈现出犯罪对象多样化、犯罪主体链条化、犯罪后果扩张化等新特征。实践中,对于该类犯罪如何区分行为类型及具体表现形式、如何区分主从犯等均存在较大争议。针对以上实务难点,本文就将深入解读并分享解决方案的探索。期待读者朋友们能够有所收获!
一
对裁判思路的整体评价与相应辩护建议
01
本罪在司法实践中,其客观构成要件有向“无权获取”这一实质要件理解的趋势,非法获取计算机信息系统数据罪的表现形式:侵入+技术。其中“侵入”的实质是“未经合法授权进入计算机信息系统”,并不要求“侵入”的手段行为是否具有技术性。而“其他技术手段”从立法语意理解为要求手段行为具有技术性。
实践中存在的问题是,仅仅属于买卖、交换、诈骗、超越职权等无权获取行为也被纳入裁判对象。
辩护思路:否定超越立法的指控和裁判。
02
公开数据和共享数据的区分还没有被司法实践所理解
问题:司法实践中还是更多地使用公开数据这一概念,而没有理解共享数据的内涵。
辩护思路:利用证据收集和论证的空白,要求补充证据以做无罪或罪轻辩护。
03
对虚拟财产的财产属性、对信息、数据与系统的区分,司法实践中没有统一认识
问题:指控和裁判中存在此罪与彼罪、重罪与轻罪的区分错误。
辩护思路:坚持有利于被告人的思路,利用部分司法典型案例来做罪轻辩护。
二
合规前提:红线|行为分类与具体表现形式
01
采用技术手段获取
1、采用爬虫技术非法获取
(1)绕过用户信息认证机制获取数据
典型案例如(2017)京0108刑初2384号案件(2019年全国十大刑事案件),被告人张某某、宋某、侯某某经共谋,于2016年至2017年间采用技术手段抓取被害单位北京字节跳动网络技术有限公司服务器中存储的视频数据,并由侯某某指使被告人郭某破解北京字节跳动网络技术有限公司的防抓取措施,使用“tt_spider”文件实施视频数据抓取行为,造成被害单位北京字节跳动网络技术有限公司损失技术服务费人民币2万元。经鉴定,“tt_spider”文件中包含通过头条号视频列表、分类视频列表、相关视频及评论3个接口对今日头条服务器进行数据抓取,并将结果存入到数据库中的逻辑。在数据抓取的过程中使用伪造device_id绕过服务器的身份校验,使用伪造UA及IP绕过服务器的访问频率限制。2017年2月27日,被告人宋某、侯某某被公安机关抓获;3月4日,被告人张某某、郭某被公安机关抓获。
(2)通过API接口非法获取他人采取了防护措施的数据
典型案例如(2020)京0105刑初1289号案件,被告人赵某某2015年6月入职宽客公司,负责“音悦台”APP ios端开发及在苹果商店上架相关事宜,后于2017年5月离职。“音悦台”APP可通过收取会员费、植入广告等盈利,该APP 于2018年八九月份因故下线。2019年1月至12月间,赵某某利用其在宽客公司工作时所了解到的技术信息以及客户资源,结合自身专业能力,仿制了“音悦台—无广告高清纯净版”APP,并在苹果应用商店上架以供下载,并通过收取下载费用获利,通过赵某某的设计,该仿制APP的用户也可以访问宽客公司的服务器,从而得以欣赏宽客公司服务器中存储的视频、音频等资源。经统计,赵某某共获利28 605.87美元(折合人民币197595.50元)。
在这个案件中,法院观点如下。首先,宽客公司虽然遵从“爬虫协议”,但这种遵从所对应的数据公开不是无限的,而是有边界的,宽客公司也同时对“音悦台”APP中的数据设置了层层防护,且这种防护措施即使在公司内部也只有少数人才能知晓。其次,赵某某曾经是宽客公司”音悦台”APP核心开发人员,非常清楚宽客公司对于”音悦台”APP的设置的各层防护,赵某某利用了自己熟悉宽客公司防护设置及客户需求的便利,结合自己的专业能力设计的仿制APP,可以随意对”音悦台”APP中的数据进行调取并使用。此外,宽客公司的数据存储于公司的服务器之中,而赵某某没有自己的服务器,其仿制的APP使用的数据是存储于宽客公司的服务器之中的数据。鉴于以上三点,法院认为,无论这种调取并使用数据是侵入到计算机信息系统内部,亦或是通过API接口进行,均是通过一定的技术手段实现,即使路径不一,结果也应当视为已经获取了”音悦台”APP中的数据。被告人赵某某犯非法获取计算机信息系统数据罪,判处有期徒刑四年六个月,罚金人民币五万元。
辩护要点:考察数据是否公开,而不是信息是否公开。关键是robots协议、技术保护措施、是否允许下载。公众可以不受限地访问网页并可以随意下载复制视频数据。又如,网站允许APP用户下载视频,同时不禁止用户将视频复制给他人。阅读、复制、截屏等等不同的保护措施,但只要允许复制或截屏,就意味着数据共享。
2.其他常见的采用技术手段获取
(1)采用“撞库”或者“解锁”的形式,筛查验证系统账号,获得系统认证通过的有效账号。
(2)利用在网络系统中“木马”程序或植入后门程序的方式非法获取数据。
(3)通过网络抓包工具抓取充值交易网络数据后,修改交易金额欺骗系统生成大额虚拟货币等数据.
(4)使用“外挂”等程序侵入系统并获取数据。
(5)利用“薅羊毛”软件获取用户登录认证信息,实现批量下单。
(6)“接码平台”获取短信验证码。
(7)通过“外挂”软件刷游戏币的行为属于非法获取数据。
(8)利用黑客软件对不特定IP地址进行扫描,并对扫描的IP地址进行弱口令拆解及对破解密码IP进行操作,从而获取主机IP地址及对应的账号、密码信息。
(9)未获得授权,突破系统后台安全防范机制,实现对用户账号批量换绑手机号码、修改密码。
(10)使用3D人脸动态图的方式突破了人脸识别认证系统,解除账号限制登录后获取数据。
(11)非法修改数据,也属于非法获取数据。
(12)采用获取直播服务推流链接、修改推流地址ID的方式,获取流量。
(13)使用欺骗手段通过录音系统获取客户数据。
(14)采取解绑原主人账号绑定信息变更为新绑定内容的方式获取账号
(15)争议行为:交管12123平台上的车牌号查询选号,也构成非法获取数据。
02
无技术型非法侵入获取
1.超出授权范围使用账号、密码登录计算机信息系统,属于侵入计算机信息系统的行为;侵入计算机信息系统后下载其储存的数据,可以认定为非法获取数据。
2.非法利用他人工作电脑进入计算机系统获取数据。
3.使用内部账号在游戏系统内违规添加大量稀有游戏道具后转移
03
非侵入非技术性手段获取
1.超越公司的授权,在无业务需求情况下,查询并获取密文。
2.有权进入系统无权转移数据时转移数据的,也属于非法获取数据。
3.买卖交换数据的,也被认定为非法获取数据。
4.使用网络电话软件冒充官方客服,骗取密码,也属于非法获取数据。
两种特殊数据:存储在支付宝等账户中的现实货币,也属于数据;警用对讲机的参数频率,也属于计算机信息系统数据。
三
定性区分与辩护
01
非法获取计算机信息系统数据罪与破坏计算机信息系统罪的区别
对游戏道具等虚拟财产,不宜以销售价格计算其价值,并相应计算被害单位的经济损失。刑法上的财产具有实体性,使用即消耗,而网络虚拟财产具有虚拟性,不会因为使用而有所减少,网络运营商可以生成同种类虚拟财产,且其价值难以衡量,故其无法作出价格鉴定。
对于系统破坏和数据侵害行为已经在客体上进行立法调整,同时将非法获取计算机信息系统数据罪更名为侵害计算机信息系统数据罪,而不应仅仅将非法获取数据这一种行为作为侵害数据罪的犯罪,而应将增加、修改、删除计算机信息系统数据的行为均纳入侵害计算机信息系统数据罪,就如同非法获取公民个人信息罪变更为侵害公民个人信息罪的立法修改思路一样。
02
非法获取计算机信息系统罪与非法利用信息网络罪
非法侵入他人网站植入涉黄、涉赌内容的违法广告,属于输出数据,而非获得数据,本案裁判结果值得商榷。刑法第287条之一,规定利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;(三)为实施诈骗等违法犯罪活动发布信息的。
页面公开信息并不属于非法获取的数据对象。页面信息代表的是信息公开性,笔者认为,即使页面信息公开,也不代表页面信息的载体——数据是可以共享的,这需要结合权利人对页面信息的载体即数据的态度和客观措施进行判断,比如是否进行了爬取行为在技术上或者robots协议书进行了限制。
03
非法获取计算机信息系统数据罪与财产犯罪
关于虚拟财产是否属于财产,司法实践中一直存在争议,而且即使在相关司法解释已经明确游戏道具不属于财产的情况下,一些法院仍然认为一些平台上的虚拟财产属于财产,而将非法获取虚拟财产的行为认定为财产犯罪。这个问题已经持续了二十年未得到解决,导致不同的地区裁判思路不统一,定罪量刑出现严重不均衡的问题。
04
非法获取计算机信息系统数据罪与侵犯公民个人信息罪
非法获取的数据类型包括公民个人信息和其他数据,以一罪来处理,足以涵盖对不同信息类型数据的全面评价。前期非法获取的不同类型数据与后期获取公民个人信息具有手段行为与目的行为,属于牵连犯,应该酌一重罪处理。但是,由于立法上,这两罪的法定刑一样,因此只能从情节标准上进行区分孰轻孰重。如果依然区分不了,则存在罪名选择上的难题。一般情况下,依据指控罪名认定即可。但是如果指控罪名存在两罪,而只能认定一罪时,则有法官自由选择其中一个罪名即可。
四
数据合规建设与数据风险行业分布特点
01
数据合规建设
1.两个方面
一是不要非法获取他人数据;二是保护好自己的数据资产。
2.数据合规体系
(1)高层对于数据合规的坚定决心;
(2)合规管理组织;
(3)信息安全、数据安全和系统安全管理制度;
(4)运营合规体系:运营活动——合规把关——风控+审核;
(5)数据安全系统建设;
(6)合规义务清单——合规访谈——风险清单——岗位职责——合规承诺——整改落地——合规okr——数据安全培训——每年复盘;
(7)技术合规(审计)+制度合规(日常);
(8)合规文化建设、反舞弊举报调查、公安合规、证据留存.
02
数据风险行业分布特点
1.娱乐直播行业:直播平台及用户的虚拟货币和虚拟礼物都是数据,行为人侵入用户账号中使用和消费这些数据的行为,就属于非法获取数据行为,例如:
(1)盗用他人账户打赏套现;
(2)使用技术手段虚增虚拟财产“钻石”;
(3)使用技术手段提高账户等级后出售账户。
2.电商行业中可能成为非法获取对象的信息数据
电商直播平台的主播位置、PV、UV、销量、IP地址、销售额、标签、客户手机号码、近期搜索、推荐商品、浏览商品等信息数据;“接码平台”“猫池控制软件”等均构成非法获取数据。
3.游戏行业中可能成为非法获取对象的信息数据
游戏行业里的“游戏装备”“游戏币”经常被盗取,游戏玩家、联盟以及全区账号的坐标、战力、状态等数据可能被非法查询,这些行为均属于非法获取数据。网络游戏的运营公司的员工有的会监守自盗或者内外勾结盗取游戏装备的虚拟财产。
4.账号信息等数据可能成为非法获取对象
电信行业的待售手机号码、手机App里的积分、宽带账号数据等;App里充值数据;医疗行业里的“药品ID、药品名称、规格、单位、生产厂家、医生排序、医生工号、医生姓名、数量、金额、占比等”“处方”等;快递行业里的订单数据、优惠卷、网点用户账号及密码等;汽车行业里的车辆维修保养和保险出险信息;电商、直播、汽车出行、外卖、快递等平台只要存在“奖励”等推广活动;房屋中介平台上的“cookie数据”“房源”“用户手机号码”等都可能成为“薅羊毛”的对象。
5.交易过程中潜在的非法获取数据
支付平台或者其他充值系统漏洞会成为利用或攻击对象。公司内部的优惠权利;内外勾结非法获取供货商历史、实时订单销量和产品的款式以及基于消费评价这一利益需求,产生用户cookie数据被非法获取,淘宝、京东、大众点评等类似平台都可能是侵害对象。交管12123平台上的车牌号查询选号以及数字货币交易网站的数字货币都会成为侵犯对象。
6.其他行业中的非法数据获取对象
知名产品的防伪数据;窃取游戏数据、构建盗版游戏平台;电子产品维修行业的维修数据;手机的序列号、设备码、蓝牙、WIFI、IMEI码等硬件数据;考试系统及对考试服务器中考试信息;知名产品的交易凭证;为提供“加粉”服务;教育培训机构或网站的课件等训资料和学生、家长等公民工人信息;航空公司的旅客及其购票信息;公司作为商业秘密保护的电子数据以及合作第三方企业员工非法获取企业数据都是潜在的侵犯对象。另外还有域名交易平台的域名,期货户、证券户、期权户的账号及密码等多基金交易系统代码数据等等。
作者简介:
游涛
北京星来科技有限公司总编辑
高级合规总监